De afgelopen jaren heeft Cisco actief een nieuwe architectuur gepromoot voor het bouwen van een datatransmissienetwerk in het datacenter - Applicatiegerichte infrastructuur (of ACI). Sommigen zijn er al mee bekend. En sommigen slaagden er zelfs in om het in hun ondernemingen te implementeren, ook in Rusland. Voor de meeste IT-professionals en IT-managers is ACI echter nog steeds een obscuur acroniem of slechts een reflectie op de toekomst.
In dit artikel zullen we proberen deze toekomst dichterbij te brengen. Om dit te doen, zullen we praten over de belangrijkste architecturale componenten van ACI, en ook illustreren hoe het in de praktijk kan worden gebruikt. Daarnaast organiseren we de komende tijd een visuele demonstratie van ACI, waar iedere geïnteresseerde IT-specialist zich voor kan aanmelden.
In mei 2019 kunt u meer leren over de nieuwe netwerkarchitectuur in Sint-Petersburg. Alle details zijn binnen . Aanmelden!
prehistorie
Het traditionele en populairste netwerkconstructiemodel is een hiërarchisch model met drie niveaus: kern -> distributie (aggregatie) -> toegang. Jarenlang was dit model de standaard; fabrikanten produceerden diverse netwerkapparaten met de juiste functionaliteit daarvoor.
Vroeger, toen informatietechnologie een noodzakelijk (en eerlijk gezegd niet altijd gewenst) aanhangsel van het bedrijfsleven was, was dit model handig, zeer statisch en betrouwbaar. Nu IT echter een van de drijvende krachten achter de bedrijfsontwikkeling is, en in veel gevallen het bedrijf zelf, begint het statische karakter van dit model voor grote problemen te zorgen.
Het moderne bedrijfsleven genereert een groot aantal verschillende complexe vereisten voor de netwerkinfrastructuur. Het succes van het bedrijf hangt rechtstreeks af van de timing van de implementatie van deze vereisten. Vertraging in dergelijke omstandigheden is onaanvaardbaar, en het klassieke model van netwerkconstructie maakt het vaak niet mogelijk om tijdig aan alle zakelijke behoeften te voldoen.
De opkomst van een nieuwe, complexe bedrijfstoepassing vereist bijvoorbeeld dat netwerkbeheerders een groot aantal soortgelijke routinematige handelingen uitvoeren op een groot aantal verschillende netwerkapparaten op verschillende niveaus. Naast dat het tijdrovend is, verhoogt het ook de kans op het maken van fouten, wat kan leiden tot ernstige downtime van IT-diensten en als gevolg daarvan tot financieel verlies.
De oorzaak van het probleem zijn niet eens de deadlines zelf of de complexiteit van de vereisten. Feit is dat deze vereisten moeten worden “vertaald” van de taal van bedrijfsapplicaties naar de taal van de netwerkinfrastructuur. Zoals u weet is elke vertaling altijd een gedeeltelijk verlies van betekenis. Wanneer de applicatie-eigenaar praat over de logica van zijn applicatie, begrijpt de netwerkbeheerder een reeks VLAN's, toegangslijsten op tientallen apparaten die moeten worden ondersteund, bijgewerkt en gedocumenteerd.
Dankzij de opgebouwde ervaring en constante communicatie met klanten kon Cisco nieuwe principes ontwerpen en implementeren voor het bouwen van een datatransmissienetwerk voor datacenters dat voldoet aan moderne trends en in de eerste plaats gebaseerd is op de logica van bedrijfsapplicaties. Vandaar de naam: Application Centric Infrastructure.
ACI-architectuur.
Het is het meest correct om de ACI-architectuur niet vanuit de fysieke kant te bekijken, maar vanuit de logische kant. Het is gebaseerd op een model van geautomatiseerd beleid, waarvan de objecten op het hoogste niveau kunnen worden onderverdeeld in de volgende componenten:
- Netwerk op basis van Nexus-switches.
- APIC-controllercluster;
- Toepassingsprofielen;
Laten we elk niveau in meer detail bekijken - en we gaan van eenvoudig naar complex.
Netwerk op basis van Nexus-switches
Het netwerk in een ACI-fabriek lijkt op het traditionele hiërarchische model, maar is veel eenvoudiger te bouwen. Het Leaf-Spine-model wordt gebruikt om het netwerk te organiseren, wat een algemeen aanvaarde aanpak is geworden voor het implementeren van netwerken van de volgende generatie. Dit model bestaat uit twee niveaus: respectievelijk Spine en Leaf.
Het Ruggengraatniveau is alleen verantwoordelijk voor de prestaties. De totale prestaties van Spine-switches zijn gelijk aan de prestaties van de gehele fabric, dus switches met 40G of hogere poorten moeten op dit niveau worden gebruikt.
Spine-schakelaars zijn verbonden met alle schakelaars op het volgende niveau: Leaf-schakelaars, waarop eindhosts zijn aangesloten. De belangrijkste rol van Leaf-switches is havencapaciteit.
Schaalproblemen kunnen dus eenvoudig worden opgelost: als we de fabric-doorvoer moeten vergroten, voegen we Spine-switches toe, en als we de poortcapaciteit moeten vergroten, voegen we Leaf toe.
Voor beide niveaus worden switches uit de Cisco Nexus 9000-serie gebruikt, die voor Cisco het belangrijkste hulpmiddel zijn voor het bouwen van datacenternetwerken, ongeacht hun architectuur. Voor de Spine-laag worden Nexus 9300- of Nexus 9500-schakelaars gebruikt, en voor Leaf alleen Nexus 9300.
Het modellengamma van Nexus-switches die in de ACI-fabriek worden gebruikt, is weergegeven in onderstaande figuur.
APIC-controllercluster (Application Policy Infrastructure Controller).
APIC-controllers zijn gespecialiseerde fysieke servers, terwijl het voor kleine implementaties mogelijk is om een cluster van één fysieke APIC-controller en twee virtuele te gebruiken.
APIC-controllers bieden controle- en monitoringfuncties. Het belangrijkste is dat controllers nooit deelnemen aan de gegevensoverdracht, dat wil zeggen dat zelfs als alle clustercontrollers uitvallen, dit de stabiliteit van het netwerk helemaal niet zal beïnvloeden. Er moet ook worden opgemerkt dat de beheerder met behulp van APIC's absoluut alle fysieke en logische bronnen van de fabriek beheert, en om eventuele wijzigingen aan te brengen, is het niet langer nodig om verbinding te maken met een bepaald apparaat, aangezien ACI een enkel controlepunt.
Laten we nu verder gaan met een van de belangrijkste componenten van ACI: applicatieprofielen.
Applicatienetwerkprofiel is de logische basis van ACI. Het zijn applicatieprofielen die het interactiebeleid tussen alle netwerksegmenten definiëren en de netwerksegmenten zelf beschrijven. Met ANP kun je abstraheren van de fysieke laag en je feitelijk voorstellen hoe je de interactie tussen verschillende netwerksegmenten vanuit een toepassingsoogpunt moet organiseren.
Een applicatieprofiel bestaat uit verbindingsgroepen (Eindpuntgroepen - EPG). Een verbindingsgroep is een logische groep hosts (virtuele machines, fysieke servers, containers, etc.) die zich in hetzelfde beveiligingssegment bevinden (geen netwerk, maar beveiliging). De eindhosts die bij een bepaalde EPG horen, kunnen worden bepaald door een groot aantal criteria. De volgende worden vaak gebruikt:
- Fysieke haven
- Logische poort (poortgroep op de virtuele switch)
- VLAN-ID of VXLAN
- IP-adres of IP-subnet
- Serverkenmerken (naam, locatie, besturingssysteemversie, etc.)
Voor de interactie van verschillende EPG's is een entiteit beschikbaar die contracten wordt genoemd. Het contract definieert de relatie tussen de verschillende EPG's. Met andere woorden, het contract definieert welke dienst de ene EPG aan een andere EPG levert. We maken bijvoorbeeld een contract waarmee verkeer via het HTTPS-protocol kan stromen. Vervolgens verbinden we met dit contract bijvoorbeeld EPG Web (een groep webservers) en EPG App (een groep applicatieservers), waarna deze twee terminalgroepen verkeer kunnen uitwisselen via het HTTPS-protocol.
Onderstaande figuur beschrijft een voorbeeld van het opzetten van communicatie tussen verschillende EPG's via contracten binnen hetzelfde ANP.
Binnen een ACI-fabriek kan een willekeurig aantal toepassingsprofielen bestaan. Bovendien zijn contracten niet gebonden aan een specifiek toepassingsprofiel; ze kunnen (en moeten) worden gebruikt om EPG's in verschillende ANP's met elkaar te verbinden.
In feite wordt elke toepassing die een netwerk in een of andere vorm vereist, beschreven door een eigen profiel. Het bovenstaande diagram toont bijvoorbeeld de standaardarchitectuur van een drielaagse applicatie, bestaande uit een N aantal externe toegangsservers (web), applicatieservers (app) en DBMS-servers (DB), en beschrijft ook de regels voor interactie tussen hen. In een traditionele netwerkinfrastructuur zou dit een reeks regels zijn die zijn geschreven voor de verschillende apparaten in de infrastructuur. In de ACI-architectuur beschrijven we deze regels binnen één applicatieprofiel. ACI, dat gebruik maakt van een applicatieprofiel, maakt het veel eenvoudiger om een groot aantal instellingen op verschillende apparaten te creëren door ze allemaal in één profiel te groeperen.
De onderstaande afbeelding toont een realistischer voorbeeld. Een Microsoft Exchange-applicatieprofiel gemaakt van meerdere EPG's en contracten.
Centraal beheer, automatisering en monitoring zijn een van de belangrijkste voordelen van ACI. ACI Factory ontlast beheerders van het vervelende werk van het maken van een groot aantal regels op verschillende switches, routers en firewalls (terwijl de klassieke handmatige configuratiemethode is toegestaan en kan worden gebruikt). Instellingen voor applicatieprofielen en andere ACI-objecten worden automatisch toegepast in de hele ACI-structuur. Zelfs bij het fysiek overschakelen van servers naar andere poorten van de fabric-switches is het niet nodig om instellingen van oude switches naar nieuwe te dupliceren en onnodige regels te verwijderen. Op basis van de EPG-lidmaatschapscriteria van de host zal de fabriek deze instellingen automatisch doorvoeren en ongebruikte regels automatisch opschonen.
Geïntegreerd ACI-beveiligingsbeleid wordt geïmplementeerd als witte lijsten, wat betekent dat wat niet expliciet is toegestaan, standaard verboden is. Samen met het automatisch bijwerken van de configuraties van netwerkapparatuur (het verwijderen van “vergeten” ongebruikte regels en machtigingen), verhoogt deze aanpak het algehele niveau van netwerkbeveiliging aanzienlijk en verkleint het oppervlak van een potentiële aanval.
Met ACI kunt u niet alleen de netwerkinteractie organiseren van virtuele machines en containers, maar ook van fysieke servers, hardwarefirewalls en netwerkapparatuur van derden, wat ACI op dit moment tot een unieke oplossing maakt.
Cisco's nieuwe aanpak voor het bouwen van een datanetwerk op basis van applicatielogica gaat niet alleen over automatisering, beveiliging en gecentraliseerd beheer. Het is bovendien een modern horizontaal schaalbaar netwerk dat voldoet aan alle eisen van het moderne bedrijfsleven.
Door de implementatie van een netwerkinfrastructuur op basis van ACI kunnen alle afdelingen van de onderneming dezelfde taal spreken. De beheerder laat zich alleen leiden door de logica van de applicatie, die de vereiste regels en verbindingen beschrijft. Naast de logica van de applicatie laten de eigenaren en ontwikkelaars van de applicatie, de informatiebeveiligingsdienst, economen en ondernemers zich erdoor leiden.
Zo brengt Cisco het concept van een datacenternetwerk van de volgende generatie in de praktijk. Wil je dit zelf zien? Kom naar de demonstratie Applicatiegerichte infrastructuur in Sint-Petersburg en werk nu met het datacenternetwerk van de toekomst.
U kunt zich inschrijven voor het evenement .
Bron: www.habr.com