În ultimii ani, Cisco a promovat în mod activ o nouă arhitectură pentru construirea unei rețele de transmisie a datelor în centrul de date - Infrastructură centrată pe aplicații (sau ACI). Unii sunt deja familiarizați cu el. Și unii chiar au reușit să o implementeze la întreprinderile lor, inclusiv în Rusia. Cu toate acestea, pentru majoritatea profesioniștilor IT și managerilor IT, ACI este încă fie un acronim obscur, fie doar o reflecție asupra viitorului.
În acest articol vom încerca să aducem acest viitor mai aproape. Pentru a face acest lucru, vom vorbi despre principalele componente arhitecturale ale ACI și, de asemenea, vom ilustra modul în care poate fi utilizat în practică. În plus, în viitorul apropiat vom organiza o demonstrație vizuală a ACI, la care se poate înscrie orice specialist IT interesat.
Puteți afla mai multe despre noua arhitectură de rețea din Sankt Petersburg în mai 2019. Toate detaliile sunt în . Inscrie-te!
preistorie
Modelul tradițional și cel mai popular de construcție a rețelei este un model ierarhic pe trei niveluri: nucleu -> distribuție (agregare) -> acces. Timp de mulți ani, acest model a fost standardul; producătorii au produs diverse dispozitive de rețea cu funcționalitatea adecvată pentru acesta.
Anterior, când tehnologia informației era un fel de anexă necesar (și, sincer, nu întotdeauna dorit) afacerilor, acest model era convenabil, foarte static și de încredere. Cu toate acestea, acum că IT-ul este unul dintre motoarele dezvoltării afacerii și, în multe cazuri, afacerea în sine, natura statică a acestui model a început să creeze mari probleme.
Afacerile moderne generează un număr mare de cerințe complexe diferite pentru infrastructura de rețea. Succesul afacerii depinde direct de momentul implementării acestor cerințe. Întârzierea în astfel de condiții este inacceptabilă, iar modelul clasic de construcție a rețelei nu permite adesea satisfacerea tuturor nevoilor de afaceri în timp util.
De exemplu, apariția unei noi aplicații complexe de afaceri necesită administratorilor de rețea să efectueze un număr mare de operațiuni similare de rutină pe un număr mare de dispozitive de rețea diferite la niveluri diferite. Pe lângă faptul că consumă mult timp, crește și riscul de a face o greșeală, ceea ce poate duce la perioade serioase de întrerupere a serviciilor IT și, ca urmare, la pierderi financiare.
Rădăcina problemei nu sunt nici măcar termenele în sine sau complexitatea cerințelor. Faptul este că aceste cerințe trebuie „traduse” din limba aplicațiilor de afaceri în limba infrastructurii de rețea. După cum știți, orice traducere este întotdeauna o pierdere parțială a sensului. Când proprietarul aplicației vorbește despre logica aplicației sale, administratorul de rețea înțelege un set de VLAN-uri, Liste de acces pe zeci de dispozitive care trebuie să fie suportate, actualizate și documentate.
Experiența acumulată și comunicarea constantă cu clienții i-au permis Cisco să proiecteze și să implementeze noi principii pentru construirea unei rețele de transmisie a datelor din centre de date care să răspundă tendințelor moderne și să se bazeze, în primul rând, pe logica aplicațiilor de business. De aici și numele - Application Centric Infrastructure.
Arhitectura ACI.
Cel mai corect este să luăm în considerare arhitectura ACI nu din partea fizică, ci din partea logică. Se bazează pe un model de politici automatizate, ale cărui obiecte la nivelul superior pot fi împărțite în următoarele componente:
- Rețea bazată pe comutatoare Nexus.
- cluster controller APIC;
- Profiluri de aplicație;
Să ne uităm la fiecare nivel mai detaliat - și vom trece de la simplu la complex.
Rețea bazată pe comutatoare Nexus
Rețeaua dintr-o fabrică ACI este similară cu modelul ierarhic tradițional, dar este mult mai simplu de construit. Modelul Leaf-Spine este utilizat pentru organizarea rețelei, care a devenit o abordare general acceptată pentru implementarea rețelelor de generație următoare. Acest model este format din două niveluri: coloana vertebrală și, respectiv, frunză.
Nivelul coloanei vertebrale este responsabil doar de performanță. Performanța totală a comutatoarelor Spine este egală cu performanța întregii țesături, astfel încât comutatoarele cu porturi de 40G sau mai mari ar trebui utilizate la acest nivel.
Comutatoarele coloanei vertebrale se conectează la toate comutatoarele de la nivelul următor: comutatoare cu frunze, la care sunt conectate gazdele finale. Rolul principal al comutatoarelor Leaf este capacitatea portului.
Astfel, problemele de scalare sunt ușor de rezolvat: dacă trebuie să creștem debitul de material, adăugăm comutatoare Spine, iar dacă trebuie să creștem capacitatea portului, adăugăm Leaf.
Pentru ambele niveluri se folosesc switch-uri Cisco Nexus seria 9000, care pentru Cisco sunt instrumentul principal pentru construirea rețelelor de centre de date, indiferent de arhitectura acestora. Pentru stratul Spine, se folosesc comutatoarele Nexus 9300 sau Nexus 9500, iar pentru Leaf numai Nexus 9300.
Gama de modele de comutatoare Nexus care sunt utilizate în fabrica ACI este prezentată în figura de mai jos.
Cluster de controler APIC (Application Policy Infrastructure Controller).
Controlerele APIC sunt servere fizice specializate, în timp ce pentru implementări mici este posibil să se utilizeze un cluster format dintr-un controler APIC fizic și două virtuale.
Controlerele APIC oferă funcții de control și monitorizare. Important este că controlorii nu participă niciodată la transferul de date, adică chiar dacă toate controlerele de cluster eșuează, acest lucru nu va afecta deloc stabilitatea rețelei. De asemenea, trebuie remarcat faptul că, cu ajutorul APIC-urilor, administratorul gestionează absolut toate resursele fizice și logice ale fabricii, iar pentru a face orice modificări, nu mai este nevoie să se conecteze la un anumit dispozitiv, deoarece ACI folosește un un singur punct de control.
Acum să trecem la una dintre componentele principale ale ACI - profilele aplicației.
Profilul de rețea al aplicației este baza logică a ACI. Profilurile de aplicație definesc politicile de interacțiune între toate segmentele de rețea și descriu segmentele de rețea în sine. ANP vă permite să faceți abstracție de la nivelul fizic și, de fapt, să vă imaginați cum trebuie să organizați interacțiunea dintre diferitele segmente de rețea din punct de vedere al aplicației.
Un profil de aplicație constă din grupuri de conexiuni (End-point groups - EPG). Un grup de conexiuni este un grup logic de gazde (mașini virtuale, servere fizice, containere etc.) care se află în același segment de securitate (nu de rețea, ci de securitate). Gazdele finale care aparțin unui anumit EPG pot fi determinate de un număr mare de criterii. Următoarele sunt utilizate în mod obișnuit:
- Portul fizic
- Port logic (grup de porturi pe comutatorul virtual)
- ID VLAN sau VXLAN
- Adresă IP sau subrețea IP
- Atributele serverului (nume, locație, versiunea sistemului de operare etc.)
Pentru interacțiunea diferitelor EPG-uri, este prevăzută o entitate numită contracte. Contractul definește relația dintre diferitele EPG. Cu alte cuvinte, contractul definește ce serviciu oferă un EPG altui EPG. De exemplu, creăm un contract care permite traficului să circule prin protocolul HTTPS. În continuare, ne conectăm cu acest contract, de exemplu, EPG Web (un grup de servere web) și EPG App (un grup de servere de aplicații), după care aceste două grupuri de terminale pot face schimb de trafic prin protocolul HTTPS.
Figura de mai jos descrie un exemplu de stabilire a comunicării între diferite EPG-uri prin contracte în cadrul aceluiași ANP.
Poate exista orice număr de profiluri de aplicație într-o fabrică ACI. În plus, contractele nu sunt legate de un profil de aplicație specific; ele pot (și ar trebui) să fie utilizate pentru a conecta EPG-uri în diferite ANP-uri.
De fapt, fiecare aplicație care necesită o rețea într-o formă sau alta este descrisă de propriul profil. De exemplu, diagrama de mai sus prezintă arhitectura standard a unei aplicații cu trei niveluri, constând dintr-un număr N de servere de acces externe (Web), servere de aplicații (App) și servere DBMS (DB) și, de asemenea, descrie regulile de interacțiune dintre lor. Într-o infrastructură de rețea tradițională, acesta ar fi un set de reguli scrise pe diferitele dispozitive din infrastructură. În arhitectura ACI, descriem aceste reguli într-un singur profil de aplicație. ACI, folosind un profil de aplicație, facilitează crearea unui număr mare de setări pe diferite dispozitive, grupându-le pe toate într-un singur profil.
Imaginea de mai jos prezintă un exemplu mai realist. Un profil de aplicație Microsoft Exchange realizat din mai multe EPG-uri și contracte.
Managementul central, automatizarea și monitorizarea este unul dintre beneficiile cheie ale ACI. ACI Factory scutește administratorii de munca obositoare de a crea un număr mare de reguli pe diverse switch-uri, routere și firewall-uri (în timp ce metoda clasică de configurare manuală este permisă și poate fi utilizată). Setările pentru profilurile de aplicație și alte obiecte ACI sunt aplicate automat în întregul material ACI. Chiar și atunci când comutați fizic serverele la alte porturi ale comutatoarelor fabric, nu este nevoie să duplicați setările de la comutatoarele vechi la altele noi și să eliminați regulile inutile. Pe baza criteriilor de membru EPG ale gazdei, fabrica va efectua aceste setări automat și curăță automat regulile neutilizate.
Politicile de securitate ACI integrate sunt implementate ca liste albe, ceea ce înseamnă că ceea ce nu este permis în mod explicit este interzis în mod implicit. Împreună cu actualizarea automată a configurațiilor echipamentelor de rețea (eliminând regulile și permisiunile neutilizate „uitate”), această abordare crește semnificativ nivelul general de securitate a rețelei și restrânge suprafața unui potențial atac.
ACI vă permite să organizați interacțiunea în rețea nu numai a mașinilor virtuale și a containerelor, ci și a serverelor fizice, a firewall-urilor hardware și a echipamentelor de rețea terță parte, ceea ce face din ACI o soluție unică în acest moment.
Noua abordare a Cisco de a construi o rețea de date bazată pe logica aplicației nu se referă doar la automatizare, securitate și management centralizat. Este, de asemenea, o rețea modernă, scalabilă pe orizontală, care îndeplinește toate cerințele afacerilor moderne.
Implementarea unei infrastructuri de rețea bazată pe ACI permite tuturor departamentelor întreprinderii să vorbească aceeași limbă. Administratorul este ghidat doar de logica aplicației, care descrie regulile și conexiunile necesare. Pe lângă logica aplicației, deținătorii și dezvoltatorii aplicației, serviciul de securitate a informațiilor, economiștii și proprietarii de afaceri sunt ghidați de aceasta.
Astfel, Cisco pune în practică conceptul unei rețele de centre de date de ultimă generație. Vrei să vezi asta pentru tine? Vino la demonstrație Infrastructură centrată pe aplicații în Sankt Petersburg și lucrează acum cu rețeaua de centre de date a viitorului.
Vă puteți înscrie la eveniment .
Sursa: www.habr.com