V posledných rokoch Cisco aktívne propaguje novú architektúru pre budovanie siete na prenos dát v dátovom centre – Application Centric Infrastructure (alebo ACI). Niektorí to už poznajú. Niektorým sa to dokonca podarilo implementovať vo svojich podnikoch vrátane Ruska. Pre väčšinu IT profesionálov a IT manažérov je však ACI stále buď nejasnou skratkou, alebo len úvahou o budúcnosti.
V tomto článku sa pokúsime priblížiť túto budúcnosť. Aby sme to dosiahli, budeme hovoriť o hlavných architektonických komponentoch ACI a tiež ukážeme, ako sa dá použiť v praxi. Okrem toho v blízkej budúcnosti zorganizujeme názornú ukážku ACI, na ktorú sa môže prihlásiť každý IT špecialista, ktorý má záujem.
Viac o novej architektúre siete v Petrohrade sa dozviete v máji 2019. Všetky podrobnosti sú v . Prihlásiť Se!
pravek
Tradičným a najpopulárnejším modelom konštrukcie siete je trojúrovňový hierarchický model: jadro -> distribúcia (agregácia) -> prístup. Po mnoho rokov bol tento model štandardom, výrobcovia vyrábali rôzne sieťové zariadenia s príslušnou funkcionalitou.
Predtým, keď informačné technológie boli akýmsi nevyhnutným (a, úprimne povedané, nie vždy žiadaným) doplnkom podnikania, bol tento model pohodlný, veľmi statický a spoľahlivý. Teraz, keď je IT jedným z motorov rozvoja podnikania a v mnohých prípadoch aj samotného podnikania, však statický charakter tohto modelu začal spôsobovať veľké problémy.
Moderné podnikanie generuje veľké množstvo rôznych komplexných požiadaviek na sieťovú infraštruktúru. Úspech podnikania priamo závisí od načasovania implementácie týchto požiadaviek. Oneskorenie v takýchto podmienkach je neprijateľné a klasický model výstavby siete často neumožňuje včas splniť všetky obchodné potreby.
Napríklad vznik novej komplexnej podnikovej aplikácie vyžaduje, aby správcovia siete vykonávali veľké množstvo podobných rutinných operácií na veľkom počte rôznych sieťových zariadení na rôznych úrovniach. Okrem časovej náročnosti zvyšuje aj riziko omylu, ktorý môže viesť k vážnym výpadkom IT služieb a v dôsledku toho k finančným stratám.
Koreňom problému nie sú ani samotné termíny či zložitosť požiadaviek. Faktom je, že tieto požiadavky je potrebné „preložiť“ z jazyka podnikových aplikácií do jazyka sieťovej infraštruktúry. Ako viete, každý preklad je vždy čiastočnou stratou významu. Keď vlastník aplikácie hovorí o logike svojej aplikácie, správca siete rozumie množine VLAN, prístupových zoznamov na desiatkach zariadení, ktoré je potrebné podporovať, aktualizovať a dokumentovať.
Nazbierané skúsenosti a neustála komunikácia so zákazníkmi umožnili spoločnosti Cisco navrhnúť a implementovať nové princípy budovania siete na prenos dát v dátovom centre, ktoré zodpovedajú moderným trendom a vychádzajú predovšetkým z logiky podnikových aplikácií. Odtiaľ pochádza názov – Application Centric Infrastructure.
Architektúra ACI.
Najsprávnejšie je uvažovať o architektúre ACI nie z fyzickej stránky, ale z logickej stránky. Je založený na modeli automatizovaných politík, ktorých objekty na najvyššej úrovni možno rozdeliť do nasledujúcich komponentov:
- Sieť založená na prepínačoch Nexus.
- klaster ovládačov APIC;
- Aplikačné profily;
Pozrime sa na každú úroveň podrobnejšie - a prejdeme od jednoduchých k zložitým.
Sieť založená na prepínačoch Nexus
Sieť v továrni ACI je podobná tradičnému hierarchickému modelu, ale je oveľa jednoduchšie vybudovať. Na organizáciu siete sa používa model Leaf-Spine, ktorý sa stal všeobecne akceptovaným prístupom pre implementáciu sietí novej generácie. Tento model pozostáva z dvoch úrovní: Spine a Leaf.
Úroveň chrbtice je zodpovedná iba za výkon. Celkový výkon prepínačov Spine sa rovná výkonu celého tkaniva, takže na tejto úrovni by sa mali používať prepínače s portami 40G alebo vyššími.
Chrbticové spínače sa pripájajú ku všetkým spínačom na ďalšej úrovni: Listové spínače, ku ktorým sú pripojené koncové hostiteľské zariadenia. Hlavnou úlohou prepínačov Leaf je kapacita portov.
Problémy so škálovaním sú teda jednoducho vyriešené: ak potrebujeme zvýšiť priepustnosť tkaniva, pridáme prepínače Spine a ak potrebujeme zvýšiť kapacitu portov, pridáme Leaf.
Pre obe úrovne sú použité prepínače Cisco Nexus série 9000, ktoré sú pre Cisco hlavným nástrojom na budovanie sietí dátových centier bez ohľadu na ich architektúru. Pre vrstvu Spine sa používajú spínače Nexus 9300 alebo Nexus 9500 a pre Leaf iba Nexus 9300.
Modelový rad prepínačov Nexus, ktoré sa používajú v továrni ACI, je znázornený na obrázku nižšie.
Klaster radičov APIC (Application Policy Infrastructure Controller).
APIC radiče sú špecializované fyzické servery, pričom pre malé implementácie je možné použiť klaster jedného fyzického APIC radiča a dvoch virtuálnych.
Ovládače APIC poskytujú riadiace a monitorovacie funkcie. Dôležité je, že kontroléry sa nikdy nezúčastňujú na prenose dát, to znamená, že aj keď zlyhajú všetky radiče klastra, nebude to mať vplyv na stabilitu siete. Treba tiež poznamenať, že pomocou APIC správca spravuje absolútne všetky fyzické a logické zdroje továrne a na vykonanie akýchkoľvek zmien už nie je potrebné pripájať sa ku konkrétnemu zariadeniu, pretože ACI používa jediný kontrolný bod.
Teraz prejdime k jednej z hlavných súčastí ACI – aplikačným profilom.
Profil siete aplikácie je logickým základom ACI. Sú to aplikačné profily, ktoré definujú interakčné politiky medzi všetkými segmentmi siete a popisujú samotné segmenty siete. ANP vám umožňuje abstrahovať od fyzickej vrstvy a v skutočnosti si predstaviť, ako potrebujete organizovať interakciu medzi rôznymi segmentmi siete z hľadiska aplikácie.
Aplikačný profil pozostáva zo skupín pripojení (End-point groups - EPG). Skupina pripojení je logická skupina hostiteľov (virtuálne počítače, fyzické servery, kontajnery atď.), ktorí sa nachádzajú v rovnakom segmente zabezpečenia (nie sieť, ale bezpečnosť). Koncoví hostitelia, ktorí patria do konkrétneho EPG, môžu byť určení podľa veľkého počtu kritérií. Bežne sa používajú:
- Fyzický port
- Logický port (skupina portov na virtuálnom prepínači)
- VLAN ID alebo VXLAN
- IP adresa alebo IP podsieť
- Atribúty servera (názov, umiestnenie, verzia OS atď.)
Pre interakciu rôznych EPG je poskytnutá entita nazývaná kontrakty. Zmluva definuje vzťah medzi rôznymi EPG. Inými slovami, zmluva definuje, akú službu poskytuje jeden EPG druhému EPG. Napríklad vytvoríme zmluvu, ktorá umožní prenos dát cez protokol HTTPS. Ďalej sa k tomuto kontraktu pripájame napríklad EPG Web (skupina webových serverov) a EPG App (skupina aplikačných serverov), po ktorých si tieto dve skupiny terminálov môžu vymieňať prevádzku cez protokol HTTPS.
Obrázok nižšie popisuje príklad nastavenia komunikácie medzi rôznymi EPG prostredníctvom zmlúv v rámci tej istej ANP.
V rámci továrne ACI môže byť ľubovoľný počet profilov aplikácií. Okrem toho zmluvy nie sú viazané na konkrétny aplikačný profil, môžu (a mali by) byť použité na prepojenie EPG v rôznych ANP.
V skutočnosti je každá aplikácia, ktorá vyžaduje sieť v tej či onej forme, opísaná vlastným profilom. Vyššie uvedený diagram napríklad zobrazuje štandardnú architektúru trojvrstvovej aplikácie, ktorá pozostáva z počtu N serverov s externým prístupom (Web), aplikačných serverov (App) a serverov DBMS (DB), a tiež popisuje pravidlá interakcie medzi ich. V tradičnej sieťovej infraštruktúre by to bol súbor pravidiel napísaných naprieč rôznymi zariadeniami v infraštruktúre. V architektúre ACI popisujeme tieto pravidlá v rámci jedného aplikačného profilu. ACI pomocou aplikačného profilu výrazne uľahčuje vytváranie veľkého množstva nastavení na rôznych zariadeniach ich zoskupením do jedného profilu.
Nasledujúci obrázok ukazuje realistickejší príklad. Profil aplikácie Microsoft Exchange vytvorený z viacerých EPG a zmlúv.
Centrálna správa, automatizácia a monitorovanie je jednou z kľúčových výhod ACI. ACI Factory odbremení administrátorov od únavnej práce s vytváraním veľkého množstva pravidiel na rôznych prepínačoch, routeroch a firewalloch (pričom klasický manuálny spôsob konfigurácie je povolený a možno ho použiť). Nastavenia pre aplikačné profily a ďalšie objekty ACI sa automaticky aplikujú v rámci štruktúry ACI. Dokonca aj pri fyzickom prepínaní serverov na iné porty látkových prepínačov nie je potrebné duplikovať nastavenia zo starých prepínačov na nové a odstraňovať nepotrebné pravidlá. Na základe kritérií členstva v EPG hostiteľa továreň automaticky vykoná tieto nastavenia a automaticky vyčistí nepoužívané pravidlá.
Integrované bezpečnostné politiky ACI sú implementované ako biele listiny, čo znamená, že to, čo nie je výslovne povolené, je štandardne zakázané. Spolu s automatickou aktualizáciou konfigurácií sieťových zariadení (odstránením „zabudnutých“ nepoužívaných pravidiel a oprávnení) tento prístup výrazne zvyšuje celkovú úroveň zabezpečenia siete a zužuje plochu potenciálneho útoku.
ACI vám umožňuje organizovať sieťovú interakciu nielen virtuálnych strojov a kontajnerov, ale aj fyzických serverov, hardvérových firewallov a sieťových zariadení tretích strán, vďaka čomu je ACI v súčasnosti jedinečným riešením.
Nový prístup spoločnosti Cisco k budovaniu dátovej siete založenej na aplikačnej logike nie je len o automatizácii, bezpečnosti a centralizovanom riadení. Je to tiež moderná horizontálne škálovateľná sieť, ktorá spĺňa všetky požiadavky moderného podnikania.
Implementácia sieťovej infraštruktúry založenej na ACI umožňuje všetkým oddeleniam podniku hovoriť rovnakým jazykom. Administrátor sa riadi iba logikou aplikácie, ktorá popisuje požadované pravidlá a prepojenia. Rovnako ako logikou aplikácie sa ňou riadia majitelia a vývojári aplikácie, služba informačnej bezpečnosti, ekonómovia a majitelia firiem.
Cisco tak zavádza do praxe koncept siete dátových centier novej generácie. Chcete to vidieť na vlastné oči? Príďte na demonštráciu Aplikačná centrálna infraštruktúra v Petrohrade a pracovať so sieťou dátových centier budúcnosti už teraz.
Na podujatie sa môžete prihlásiť .
Zdroj: hab.com