د سیسکو ACI سکریپټ د دې جادو ټوټې په مرسته، تاسو کولی شئ په چټکۍ سره شبکه جوړه کړئ.
د سیسکو ACI ډیټا مرکز لپاره د شبکې پارچه د پنځو کلونو لپاره شتون لري ، مګر واقعیا پدې اړه په هیبر کې هیڅ ندي ویل شوي ، نو ما پریکړه وکړه چې دا یو څه سم کړم. زه به تاسو ته د خپلې تجربې څخه ووایم چې دا څه شی دی، ګټې یې څه دي او د هغې ریک چیرته دی.
دا څه شی دی او له کوم ځای څخه راغلی؟
په هغه وخت کې چې په 2013 کې ACI (د اپلیکیشن سنټریک زیربنا) اعلان شو، د معلوماتو مرکز شبکو ته دودیز تګلارې په یو وخت کې د دریو اړخونو سیالانو لخوا برید شوي.
له یوې خوا، د OpenFlow پر بنسټ د "لومړی نسل" SDN حلونو ژمنه کړې چې شبکې به په ورته وخت کې ډیر انعطاف وړ او ارزانه کړي. نظر دا و چې پریکړه کول، په دودیز ډول د ملکیت سویچ سافټویر لخوا اداره کیږي، مرکزي کنټرولر ته.
دا کنټرولر به د هرڅه چې پیښیږي یو متحد لید ولري او د دې پراساس به د ځانګړي جریان پروسس کولو لپاره د مقرراتو په کچه د ټولو سویچونو تجهیزات برنامه کړي.
له بلې خوا ، د پوښښ شبکې حلونو دا ممکنه کړې چې د مطلوب ارتباط او امنیت پالیسۍ پلي کول پرته له کوم فزیکي شبکې کې کوم بدلون رامینځته کړي ، د مجازی کوربه توبونو ترمینځ د سافټویر تونلونو رامینځته کول. د دې تګلارې ترټولو مشهوره بیلګه د نیکیرا حل و، کوم چې تر هغه وخته د VMWare لخوا د 1,26 ملیارد ډالرو لپاره اخیستل شوی و او اوسني VMWare NSX ته یې وده ورکړه. هغه څه چې وضعیت ته یو څه خوندورتیا اضافه کړه دا وه چې د نیکیرا شریک بنسټ ایښودونکي هماغه خلک وو چې دمخه د OpenFlow په اصل کې ولاړ وو، چا چې اوس وویل چې د معلوماتو مرکز فابریکه جوړه کړي. .
او په نهایت کې ، په خلاص بازار کې موجود سویچ چپس (هغه څه چې د سوداګریز سیلیکون په نوم یادیږي) د پختۍ کچې ته رسیدلي چیرې چې دوی د دودیز سویچ جوړونکو لپاره ریښتیني ګواښ ګرځیدلی. که دمخه هر پلورونکي پخپله د دې سویچونو لپاره چپس رامینځته کړي ، نو د وخت په تیریدو سره ، د دریمې ډلې جوړونکو چپس ، په عمده ډول د براډ کام څخه ، د دندو په شرایطو کې د پلورونکي چپس سره فاصله بندول پیل کړل ، او د نرخ / فعالیت تناسب کې یې تیر کړل. له همدې امله، ډیری باور درلود چې د ملکیت چپسونو د سویچونو ورځې شمیرل شوي.
ACI د سیسکو "غیر متناسب غبرګون" شو (په دقیق ډول ، شرکت Insieme ، چې د هغې برخه وه ، د دې پخوانیو کارمندانو لخوا تاسیس شوې) پورته ټولو ته.
د OpenFlow سره څه توپیر دی؟
د دندو د ویش په شرایطو کې، ACI په حقیقت کې د OpenFlow مخالف دی.
د OpenFlow په جوړښت کې، کنټرولر د مفصل قواعدو لیکلو مسولیت لري (روان)
د ټولو سویچونو په هارډویر کې، دا په لویه شبکه کې، دا ممکن د ساتلو مسولیت ولري او تر ټولو مهم، په شبکه کې په سلګونو نقطو کې د لسګونو میلیونو ریکارډونو بدلول، نو په لوی ګمارلو کې د هغې فعالیت او اعتبار بدلیږي. یو خنډ.
ACI برعکس طریقه کاروي: البته، یو کنټرولر شتون لري، مګر سویچونه د هغې څخه د لوړې کچې اعلاناتي پالیسۍ ترلاسه کوي، او سویچ پخپله په هارډویر کې د ځانګړو ترتیباتو توضیحاتو ته وړاندې کوي. کنټرولر ریبوټ کیدی شي یا په بشپړ ډول وتړل شي ، او شبکې ته به هیڅ بد پیښ نشي ، پرته لدې چې پدې شیبه کې د کنټرول نشتوالی. په زړه پورې خبره دا ده چې په ACI کې داسې شرایط شتون لري چې پکې OpenFlow لاهم کارول کیږي ، مګر په ځایی ډول د Open vSwitch برنامه کولو لپاره کوربه کې دننه.
ACI په بشپړ ډول د VXLAN پر بنسټ پوښښ ټرانسپورټ کې جوړ شوی، مګر د یو واحد حل برخې په توګه د اصلي IP ټرانسپورټ هم شامل دی. سیسکو دې اصطلاح ته د "متحرک پوښښ" نوم ورکړ. په ډیری قضیو کې، د فیبرک سویچونه په ACI کې د پوښونو لپاره د پای ټکی په توګه کارول کیږي (دوی دا د لینک سرعت سره کوي). کوربه اړتیا نلري چې د ټوکر ، انکیپسولیشن ، او داسې نورو په اړه څه پوه شي ، په هرصورت ، په ځینو حاالتو کې (وایی ، د OpenStack کوربه سره وصل کولو لپاره) ، د VXLAN ترافیک دوی ته راوړل کیدی شي.
پوښښ په ACI کې نه یوازې د ټرانسپورټ شبکې په اوږدو کې د انعطاف وړ ارتباط چمتو کولو لپاره کارول کیږي ، بلکه د میټا معلوماتو رسولو لپاره هم کارول کیږي (د مثال په توګه د امنیت پالیسیو پلي کولو لپاره کارول کیږي).
د Broadcom چپس پخوا د سیسکو لخوا د Nexus 3000 لړۍ سویچونو کې کارول کیده. د Nexus 9000 کورنۍ، په ځانګړې توګه د ACI مالتړ لپاره خپره شوې، په پیل کې د Merchant+ په نوم یو هایبرډ ماډل پلي کړ. سویچ په ورته وخت کې نوی براډکام ټریډینټ 2 چپ او د سیسکو لخوا رامینځته شوی تکمیلي چپ کارولی ، کوم چې د ACI ټول جادو پلي کوي. په ښکاره ډول، دې کار دا ممکنه کړه چې د محصول خوشې کول ګړندي کړي او د سویچ قیمت ټاګ موډل ته نږدې کچې ته راټیټ کړي په ساده ډول د Trident 2 پراساس. دا طریقه د ACI تحویلي لومړیو دوه څخه تر دریو کلونو لپاره کافي وه. د دې وخت په جریان کې، سیسکو راتلونکی نسل Nexus 9000 په خپلو چپسونو کې د غوره فعالیت او ځانګړتیاو سره رامینځته کړ، مګر په ورته قیمت کې. په فابریکه کې د تعامل له لید څخه بهرني مشخصات په بشپړ ډول ساتل کیږي. په ورته وخت کې ، داخلي ډکول په بشپړ ډول بدل شوي: یو څه لکه د ریفکتور کولو ، مګر د هارډویر لپاره.
د سیسکو ACI جوړښت څنګه کار کوي
په ساده حالت کې، ACI د Clos شبکې د ټوپولوژي سره سم جوړ شوی، یا لکه څنګه چې دوی اکثرا وايي، د نخاعې پاڼی. د نخاعې کچې سویچونه له دوه څخه (یا یو، که موږ د غلطۍ زغم ته پام ونه کړو) تر شپږو پورې وي. په دې اساس، د دوی څخه ډیر، د غلطۍ زغم لوړ دی (د بینډ ویت کم کمښت او د یوې حادثې یا د یو نخاع ساتلو په صورت کې اعتبار) او عمومي فعالیت. ټولې بهرنۍ اړیکې د لیف کچې سویچونو ته ځي: پدې کې سرورونه شامل دي ، د L2 یا L3 له لارې بهرني شبکو سره اړیکه ، او د APIC کنټرولرونو پیوستون. په عموم کې، د ACI سره، نه یوازې ترتیب کول، بلکې د احصایې راټولول، د ناکامۍ څارنه، او نور - هرڅه د کنټرولرانو د انٹرفیس له لارې ترسره کیږي، چې درې یې د منظم اندازې پلي کولو کې شتون لري.
تاسو هیڅکله اړتیا نلرئ د کنسول سره سویچونو سره وصل شئ ، حتی د شبکې پیل کولو لپاره: کنټرولر پخپله سویچونه کشف کوي او له دوی څخه فابریکه راټولوي ، پشمول د ټولو خدماتو پروتوکولونو لپاره تنظیمات. نو له همدې امله ، لیکل خورا مهم دي. د نصب کولو پرمهال د نصب شوي تجهیزاتو سیریل نمبرونه ښکته کړئ، ترڅو وروسته تاسو اټکل ونه کړئ چې کوم سویچ په کوم ریک کې موقعیت لري؟ د ستونزې حل کولو لپاره ، که اړتیا وي ، تاسو کولی شئ د SSH له لارې سویچونو سره وصل شئ: د سیسکو معمول کمانډونه په خورا احتیاط سره تولید شوي.
دننه ، فابریکه د IP ټرانسپورټ کاروي ، نو پدې کې هیڅ سپینګ ونې یا د تیر وخت نور وحشتونه شتون نلري: ټولې اړیکې کارول کیږي ، او د ناکامۍ په صورت کې همغږي خورا ګړندۍ ده. په جامو کې ترافیک د VXLAN پر بنسټ تونلونو له لارې تیریږي. په ډیر دقت سره، سیسکو پخپله encapsulation iVXLAN بولي، او دا د منظم VXLAN څخه توپیر لري چې د شبکې سرلیک کې ساتل شوي ساحې د خدماتو معلوماتو لیږدولو لپاره کارول کیږي، په ابتدايي توګه د EPG ګروپ سره د ټرافیک اړیکو په اړه. دا تاسو ته اجازه درکوي په تجهیزاتو کې د ډلو ترمینځ د متقابل عمل قواعد پلي کړئ ، د دوی شمیرې په ورته ډول کارول لکه پتې چې د منظم لاسرسي لیستونو کې کارول کیږي.
تونلونه تاسو ته اجازه درکوي چې د داخلي IP ټرانسپورټ له لارې دواړه L2 او L3 برخې (چې VRF دی) وغځوي. په دې حالت کې، اصلي دروازه ویشل کیږي. دا پدې مانا ده چې هر سویچ د جامو ته د ننوتو ټرافیک د لیږد مسولیت لري. د ټرافیک لیږد منطق په شرایطو کې، ACI د VXLAN/EVPN پر بنسټ جوړ شوي ټوکر ته ورته دی.
که داسې وي، توپیرونه څه دي؟ نور هر څه!
یو شمیر توپیر چې تاسو په ACI کې ورسره مخ یاست دا دی چې سرورونه څنګه له شبکې سره وصل دي. په دودیزو شبکو کې، د دواړو فزیکي سرورونو او مجازی ماشینونو شاملول VLANs ته ځي، او نور هرڅه له دوی څخه نڅیږي: ارتباط، امنیت، او نور. ACI داسې ډیزاین کاروي چې سیسکو EPG (د پای ټکی ګروپ) بولي، له کوم ځای څخه چې هیڅ شتون نلري. ورک شه. ایا دا د VLAN سره مساوي کیدی شي؟ هو، مګر پدې حالت کې د ډیری هغه څه له لاسه ورکولو چانس شتون لري چې ACI ورکوي.
د لاسرسي ټول مقررات د EPG په اړه جوړ شوي، او په ACI کې، د ډیفالټ په توګه، د "سپینې لیست" اصول کارول کیږي، دا یوازې ټرافیک ته اجازه ورکول کیږي، چې په ښکاره توګه اجازه لري. دا دی، موږ کولی شو د EPG ګروپونه "ویب" او "MySQL" جوړ کړو او یو داسې قاعده تعریف کړو چې یوازې په 3306 پورټ کې د دوی ترمنځ متقابل عمل ته اجازه ورکوي.
موږ پیرودونکي لرو چې د دې خصوصیت له امله ACI دقیقا غوره کړی، ځکه چې دا تاسو ته اجازه درکوي د سرورونو ترمنځ لاسرسی محدود کړئ (مجازی یا فزیکي، دا مهمه نده) پرته له دې چې دوی د فرعي نیټونو تر مینځ راښکته کړي، او له همدې امله پرته له دې چې پته اغیزه وکړي. هو، هو، موږ پوهیږو، هیڅوک په لاسي ډول د غوښتنلیک په ترتیب کې IP پتې نه لیکي، سمه ده؟
په ACI کې د ټرافیک جریان قواعد قراردادونه بلل کیږي. په داسې یو تړون کې، په څو اړخیزه غوښتنلیک کې یو یا څو ډلې یا پرتونه د خدمت چمتو کونکي کیږي (ووایه، د ډیټابیس خدمت)، او نور یې مصرف کونکي کیږي. قرارداد کولی شي په ساده ډول ټرافیک ته اجازه ورکړي چې تیر شي، یا دا کولی شي یو څه ډیر ستونزمن کار وکړي، د بیلګې په توګه، دا د فایر وال یا بار بیلنسر ته لارښوونه کوي، یا د QoS ارزښت بدل کړي.
سرورونه څنګه په دې ګروپونو کې راځي؟ که دا فزیکي سرورونه وي یا په موجوده شبکه کې یو څه شامل وي چې موږ پکې د VLAN ټرک رامینځته کړی وي ، نو بیا یې په EPG کې د ځای په ځای کولو لپاره موږ اړتیا لرو د سویچ پورټ او VLAN ته اشاره وکړو چې پدې کې کارول کیږي. لکه څنګه چې تاسو لیدلی شئ، VLANs داسې ښکاري چیرې چې تاسو د دوی پرته نشي کولی.
که سرورونه مجازی ماشینونه وي، نو دا د وصل شوي مجازی کولو چاپیریال ته راجع کولو لپاره کافي دي، او بیا به هرڅه پخپله پیښ شي: د پورټ ګروپ به رامینځته شي (د VMWare شرایطو کې) د VMs سره وصل کولو لپاره ، اړین VLANs یا VXLANs به. ګمارل شوي، په اړین سویچ بندرونو کې راجستر شوي، او داسې نور. نو، که څه هم ACI د فزیکي شبکې په شاوخوا کې جوړ شوی، د مجازی سرورونو اړیکې د فزیکي سرورونو په پرتله خورا ساده ښکاري. ACI دمخه د VMWare او MS Hyper-V سره جوړ شوی اړیکه لري ، په بیله بیا د OpenStack او RedHat مجازی کولو ملاتړ. په یو وخت کې ، د کانټینر پلیټ فارمونو لپاره جوړ شوی ملاتړ څرګند شوی: کوبرنیټس ، اوپن شیفټ ، کلاوډ فاؤنډري ، او دا د پالیسیو پلي کولو او نظارت دواړو پورې اړه لري ، دا دی ، د شبکې مدیر سمدلاسه لیدلی شي چې په کوم کوربه کې کوم پوډونه روان دي او په کوم ځای کې. په کومو ډلو کې شامل دي.
په ځانګړي پورټ ګروپ کې د شاملیدو سربیره ، مجازی سرورونه اضافي ملکیتونه لري: نوم ، صفات ، او داسې نور ، کوم چې دوی بلې ډلې ته د لیږد لپاره د معیارونو په توګه کارول کیدی شي ، ووایه کله چې د VM نوم بدل کړئ یا اضافي ټاګ اضافه کړئ . سیسکو دې ته د مایکرو سیګمینټیشن ګروپونه وايي، که څه هم، په لویه کچه، ډیزاین پخپله د دې وړتیا سره چې د EPGs په بڼه په ورته فرعي شبکه کې ډیری امنیتي برخې رامینځته کړي هم خورا مایکرو سیګمینټیشن دی. ښه، پلورونکی ښه پوهیږي.
EPGs پخپله په بشپړ ډول منطقي جوړښتونه دي، د ځانګړو سویچونو، سرورونو او نورو سره تړلي ندي، نو تاسو کولی شئ د دوی او د دوی پر بنسټ جوړونه (غوښتنلیکونه او کرایه کونکي) سره ترسره کړئ چې په منظمه شبکو کې ترسره کول ستونزمن دي، لکه کلونینګ. د پایلې په توګه ، ووایه ، د ازموینې چاپیریال ترلاسه کولو لپاره د تولید چاپیریال کلون رامینځته کول خورا اسانه دي چې تضمین شوی د تولید سره ورته وي. تاسو کولی شئ دا په لاسي ډول ترسره کړئ، مګر دا د API له لارې غوره (او اسانه) دی.
په عموم کې، په ACI کې د کنټرول منطق د هغه څه سره ورته نه دی چې تاسو معمولا ورسره مخ یاست
د ورته سیسکو څخه په دودیزو شبکو کې: د سافټویر انٹرفیس لومړنی دی، او GUI یا CLI ثانوي دي، ځکه چې دوی د ورته API له لارې کار کوي. له همدې امله، نږدې هرڅوک چې د ACI سره کار کوي، یو څه وروسته، د مدیریت لپاره کارول شوي اعتراض ماډل نیویګیټ پیل کوي او د دوی اړتیاو سره سم یو څه اتومات کوي. د دې کولو ترټولو اسانه لاره د Python څخه ده: د دې لپاره مناسب چمتو شوي وسایل شتون لري.
ژمنه شوې ریک
اصلي ستونزه دا ده چې ډیری شیان په ACI کې په مختلف ډول ترسره کیږي. د دې سره په نورمال ډول کار پیل کولو لپاره ، تاسو اړتیا لرئ بیا زده کړه وکړئ. دا په ځانګړې توګه په لوی پیرودونکو کې د شبکې عملیاتي ټیمونو لپاره ریښتیا ده، چیرې چې انجنیران د کلونو لپاره د غوښتنو سره سم "VLANs" لیکي. دا حقیقت چې اوس VLAN نور VLAN نه دی ، او په مجازی کوربه توب کې د نویو شبکو نصبولو لپاره د لاس په واسطه VLANs رامینځته کولو ته اړتیا نشته ، په بشپړ ډول د دودیزو شبکو ذهنونو ته زیان رسوي او دوی مجبوروي چې عادي چلندونو ته غاړه کیږدي. دا باید په یاد ولرئ چې سیسکو هڅه کړې چې ګولۍ یو څه خوږ کړي او کنټرولر ته یې د "NXOS په څیر" CLI اضافه کړي، کوم چې د دودیز سویچونو په څیر د انٹرفیس څخه ترتیب ته اجازه ورکوي. مګر بیا هم، په نورمال ډول د ACI کارولو پیل کولو لپاره، تاسو باید پوه شئ چې دا څنګه کار کوي.
په لوی او متوسطه پیمانو کې د قیمت په شرایطو کې، د ACI شبکې په حقیقت کې د سیسکو تجهیزاتو کې د دودیزو شبکو څخه توپیر نلري، ځکه چې ورته سویچونه د دوی د جوړولو لپاره کارول کیږي (Nexus 9000 کولی شي په ACI او دودیز حالت کې کار وکړي او اصلي "ورک هارس" بدل شوی. د نوي ډیټا مرکز پروژو لپاره). مګر د معلوماتو مرکزونو لپاره چې دوه سویچونه لري، د کنټرولرونو شتون او د نخاعي پاڼي جوړښت، البته، خپل ځان احساسوي. په دې وروستیو کې، د مینی ACI فابریکه راښکاره شوه، په کوم کې چې له دریو څخه دوه کنټرولر د مجازی ماشینونو لخوا بدل شوي. دا په لګښت کې توپیر کموي، مګر دا لاهم پاتې دی. نو د پیرودونکي لپاره، انتخاب د دې له مخې ټاکل کیږي چې هغه په امنیتي ځانګړتیاو کې څومره لیوالتیا لري، د مجازی کولو سره یوځای کول، د کنټرول یو واحد نقطه، او داسې نور.
سرچینه: www.habr.com