Przez ostatnie kilka lat Cisco aktywnie promowało nową architekturę budowy sieci transmisji danych w centrum danych - Infrastruktura zorientowana na aplikacje (lub ACI). Niektórzy już to znają. Niektórym udało się nawet wdrożyć to w swoich przedsiębiorstwach, w tym w Rosji. Jednak dla większości specjalistów IT i menedżerów IT ACI jest nadal albo mało znanym akronimem, albo po prostu refleksją na temat przyszłości.
W tym artykule postaramy się przybliżyć tę przyszłość. W tym celu omówimy główne elementy architektoniczne ACI, a także zilustrujemy, jak można je wykorzystać w praktyce. Dodatkowo w najbliższym czasie zorganizujemy wizualną demonstrację ACI, na którą będzie mógł zapisać się każdy zainteresowany informatyk.
Więcej o nowej architekturze sieci można dowiedzieć się w maju 2019 w St. Petersburgu. Wszystkie szczegóły są w środku . Zapisać się!
prehistoria
Tradycyjnym i najpopularniejszym modelem budowy sieci jest trójpoziomowy model hierarchiczny: rdzeń -> dystrybucja (agregacja) -> dostęp. Przez wiele lat model ten był standardem, producenci produkowali różne urządzenia sieciowe z odpowiednią dla niego funkcjonalnością.
Wcześniej, gdy informatyka była swego rodzaju niezbędnym (i szczerze mówiąc nie zawsze pożądanym) dodatkiem do biznesu, model ten był wygodny, bardzo statyczny i niezawodny. Jednak teraz, gdy IT jest jednym z motorów rozwoju biznesu, a w wielu przypadkach samego biznesu, statyczny charakter tego modelu zaczął powodować duże problemy.
Współczesny biznes generuje dużą liczbę różnych złożonych wymagań dotyczących infrastruktury sieciowej. Sukces firmy zależy bezpośrednio od czasu wdrożenia tych wymagań. Opóźnienie w takich warunkach jest niedopuszczalne, a klasyczny model budowy sieci często nie pozwala na terminowe zaspokojenie wszystkich potrzeb biznesowych.
Na przykład pojawienie się nowej złożonej aplikacji biznesowej wymaga od administratorów sieci wykonywania dużej liczby podobnych rutynowych operacji na dużej liczbie różnych urządzeń sieciowych na różnych poziomach. Oprócz tego, że jest czasochłonne, zwiększa także ryzyko popełnienia błędu, który może skutkować poważnymi przestojami usług IT i w efekcie stratami finansowymi.
Źródłem problemu nie są nawet same terminy czy złożoność wymagań. Faktem jest, że wymagania te trzeba „przełożyć” z języka aplikacji biznesowych na język infrastruktury sieciowej. Jak wiadomo, każde tłumaczenie jest zawsze częściową utratą znaczenia. Kiedy właściciel aplikacji mówi o logice swojej aplikacji, administrator sieci rozumie zbiór sieci VLAN, listy dostępu na dziesiątkach urządzeń, które wymagają obsługi, aktualizacji i dokumentowania.
Zgromadzone doświadczenie i stała komunikacja z klientami pozwoliły Cisco zaprojektować i wdrożyć nowe zasady budowy sieci transmisji danych w centrach danych, odpowiadające współczesnym trendom i oparte przede wszystkim na logice aplikacji biznesowych. Stąd nazwa – Infrastruktura zorientowana na aplikacje.
Architektura ACI.
Najbardziej poprawne jest rozważenie architektury ACI nie od strony fizycznej, ale od strony logicznej. Opiera się na modelu zautomatyzowanych polityk, których obiekty na najwyższym poziomie można podzielić na następujące komponenty:
- Sieć oparta na przełącznikach Nexus.
- klaster kontrolerów APIC;
- Profile aplikacji;
Przyjrzyjmy się każdemu poziomowi bardziej szczegółowo - i przejdziemy od prostego do złożonego.
Sieć oparta na przełącznikach Nexus
Sieć w fabryce ACI jest podobna do tradycyjnego modelu hierarchicznego, ale jest znacznie prostsza w budowie. Do organizacji sieci wykorzystywany jest model Leaf-Spine, który stał się ogólnie przyjętym podejściem przy wdrażaniu sieci nowej generacji. Model ten składa się z dwóch poziomów: odpowiednio Spine i Leaf.
Poziom kręgosłupa odpowiada jedynie za wydajność. Całkowita wydajność przełączników Spine jest równa wydajności całej struktury, dlatego na tym poziomie należy używać przełączników z portami 40G lub wyższym.
Przełączniki Spine łączą się ze wszystkimi przełącznikami następnego poziomu: Przełączniki liściowe, do których podłączone są hosty końcowe. Główną rolą przełączników Leaf jest przepustowość portu.
W ten sposób problemy ze skalowaniem można łatwo rozwiązać: jeśli chcemy zwiększyć przepustowość sieci szkieletowej, dodajemy przełączniki Spine, a jeśli chcemy zwiększyć przepustowość portu, dodajemy Leaf.
Na obu poziomach wykorzystywane są przełączniki serii Cisco Nexus 9000, które dla Cisco stanowią główne narzędzie do budowy sieci centrów danych, niezależnie od ich architektury. Dla warstwy Spine stosowane są przełączniki Nexus 9300 lub Nexus 9500, a dla Leaf wyłącznie Nexus 9300.
Gamę modeli przełączników Nexus stosowanych w fabryce ACI przedstawia poniższy rysunek.
Klaster kontrolerów APIC (Application Policy Infrastructure Controller).
Kontrolery APIC są specjalizowanymi serwerami fizycznymi, natomiast w przypadku małych wdrożeń istnieje możliwość wykorzystania klastra jednego fizycznego kontrolera APIC i dwóch wirtualnych.
Kontrolery APIC realizują funkcje sterujące i monitorujące. Ważne jest, aby kontrolery nigdy nie brały udziału w przesyłaniu danych, czyli nawet jeśli zawiodą wszystkie kontrolery klastra, nie wpłynie to w żaden sposób na stabilność sieci. Należy również zaznaczyć, że za pomocą APIC administrator zarządza absolutnie wszystkimi zasobami fizycznymi i logicznymi fabryki, a aby dokonać jakichkolwiek zmian, nie ma już potrzeby łączenia się z konkretnym urządzeniem, gdyż ACI korzysta z pojedynczy punkt kontroli.
Przejdźmy teraz do jednego z głównych komponentów ACI - profili aplikacji.
Profil sieciowy aplikacji jest logiczną podstawą ACI. To profile aplikacji definiują zasady interakcji pomiędzy wszystkimi segmentami sieci i opisują same segmenty sieci. ANP pozwala na abstrakcję od warstwy fizycznej i wyobrażenie sobie, jak należy zorganizować interakcję pomiędzy różnymi segmentami sieci z punktu widzenia aplikacji.
Profil aplikacji składa się z grup połączeń (Grupy punktów końcowych - EPG). Grupa połączeń to logiczna grupa hostów (maszyn wirtualnych, serwerów fizycznych, kontenerów itp.), które znajdują się w tym samym segmencie zabezpieczeń (nie w sieci, ale w zabezpieczeniach). Hosty końcowe należące do konkretnego EPG można określić na podstawie dużej liczby kryteriów. Powszechnie stosowane są:
- Port fizyczny
- Port logiczny (grupa portów na przełączniku wirtualnym)
- Identyfikator VLAN lub VXLAN
- Adres IP lub podsieć IP
- Atrybuty serwera (nazwa, lokalizacja, wersja systemu operacyjnego itp.)
Do interakcji różnych EPG służy jednostka zwana kontraktami. Umowa określa relacje pomiędzy różnymi EPG. Innymi słowy, umowa określa, jaką usługę jeden EPG świadczy drugiemu EPG. Na przykład tworzymy umowę umożliwiającą przepływ ruchu przez protokół HTTPS. Następnie łączymy się tą umową np. EPG Web (grupa serwerów WWW) i EPG App (grupa serwerów aplikacji), po czym te dwie grupy terminali mogą wymieniać ruch za pośrednictwem protokołu HTTPS.
Poniższy rysunek opisuje przykład konfiguracji komunikacji pomiędzy różnymi EPG poprzez umowy w ramach tego samego ANP.
W fabryce ACI może istnieć dowolna liczba profili aplikacji. Ponadto umowy nie są powiązane z konkretnym profilem aplikacji; mogą (i powinny) być wykorzystywane do łączenia EPG w różnych ANP.
Tak naprawdę każda aplikacja wymagająca sieci w takiej czy innej formie jest opisana własnym profilem. Przykładowo powyższy diagram przedstawia standardową architekturę aplikacji trójwarstwowej, składającej się z N serwerów dostępu zewnętrznego (Web), serwerów aplikacji (App) i serwerów DBMS (DB), a także opisuje zasady interakcji pomiędzy ich. W tradycyjnej infrastrukturze sieciowej byłby to zestaw reguł zapisanych na różnych urządzeniach w infrastrukturze. W architekturze ACI zasady te opisujemy w ramach jednego profilu aplikacji. ACI, korzystając z profilu aplikacji, znacznie ułatwia tworzenie dużej liczby ustawień na różnych urządzeniach, grupując je wszystkie w jeden profil.
Poniższy obrazek przedstawia bardziej realistyczny przykład. Profil aplikacji Microsoft Exchange utworzony z wielu EPG i umów.
Centralne zarządzanie, automatyzacja i monitorowanie to jedna z kluczowych zalet ACI. ACI Factory odciąża administratorów od żmudnej pracy polegającej na tworzeniu dużej liczby reguł na różnych przełącznikach, routerach i firewallach (przy czym dozwolona jest klasyczna metoda ręcznej konfiguracji i może być stosowana). Ustawienia profili aplikacji i innych obiektów ACI są automatycznie stosowane w całej strukturze ACI. Nawet przy fizycznym przełączaniu serwerów na inne porty przełączników szkieletowych nie ma potrzeby duplikowania ustawień ze starych przełączników na nowe i usuwania niepotrzebnych reguł. W oparciu o kryteria członkostwa EPG hosta, fabryka dokona tych ustawień automatycznie i automatycznie usunie nieużywane reguły.
Zintegrowane zasady bezpieczeństwa ACI są implementowane w postaci białych list, co oznacza, że to, co nie jest wyraźnie dozwolone, jest domyślnie zabronione. W połączeniu z automatyczną aktualizacją konfiguracji sprzętu sieciowego (usuwaniem „zapomnianych” nieużywanych reguł i uprawnień) podejście to znacznie zwiększa ogólny poziom bezpieczeństwa sieci i zawęża pole potencjalnego ataku.
ACI pozwala organizować interakcję sieciową nie tylko maszyn wirtualnych i kontenerów, ale także serwerów fizycznych, zapór sprzętowych i sprzętu sieciowego innych firm, co czyni ACI obecnie unikalnym rozwiązaniem.
Nowe podejście Cisco do budowy sieci danych w oparciu o logikę aplikacji to nie tylko automatyzacja, bezpieczeństwo i scentralizowane zarządzanie. To także nowoczesna, poziomo skalowalna sieć, która spełnia wszystkie wymagania współczesnego biznesu.
Wdrożenie infrastruktury sieciowej opartej na ACI pozwala wszystkim działom przedsiębiorstwa mówić tym samym językiem. Administrator kieruje się wyłącznie logiką aplikacji, która opisuje wymagane reguły i połączenia. Oprócz logiki aplikacji kierują się nią właściciele i twórcy aplikacji, służba bezpieczeństwa informacji, ekonomiści i właściciele firm.
Tym samym Cisco wdraża w praktyce koncepcję sieci centrów danych nowej generacji. Chcesz to zobaczyć na własne oczy? Przyjdź na demonstrację Infrastruktura zorientowana na aplikacje w Petersburgu i już teraz pracuj z siecią centrów danych przyszłości.
Można zapisać się na wydarzenie .
Źródło: www.habr.com