Gjatë viteve të fundit, Cisco ka promovuar në mënyrë aktive një arkitekturë të re për ndërtimin e një rrjeti të transmetimit të të dhënave në qendrën e të dhënave - Infrastruktura qendrore e aplikimit (ose ACI). Disa tashmë janë njohur me të. Dhe disa madje arritën ta zbatojnë atë në ndërmarrjet e tyre, përfshirë në Rusi. Megjithatë, për shumicën e profesionistëve dhe menaxherëve të IT-së, ACI është ende ose një akronim i panjohur ose thjesht një reflektim për të ardhmen.
Në këtë artikull do të përpiqemi ta afrojmë këtë të ardhme. Për ta bërë këtë, ne do të flasim për përbërësit kryesorë arkitekturorë të ACI, dhe gjithashtu do të ilustrojmë se si mund të përdoret në praktikë. Gjithashtu, në të ardhmen e afërt do të organizojmë një demonstrim vizual të ACI-së, ku çdo specialist i interesuar i IT-së mund të regjistrohet.
Mund të mësoni më shumë rreth arkitekturës së re të rrjetit në Shën Petersburg në maj 2019. Të gjitha detajet janë në . Regjistrohu!
parahistorinë
Modeli tradicional dhe më i popullarizuar i ndërtimit të rrjetit është një model hierarkik me tre nivele: bërthamë -> shpërndarja (agregimi) -> aksesi. Për shumë vite, ky model ishte standardi; prodhuesit prodhuan pajisje të ndryshme rrjeti me funksionalitetin e duhur për të.
Më parë, kur teknologjia e informacionit ishte një lloj shtojce e nevojshme (dhe, sinqerisht, jo gjithmonë e dëshiruar) për biznesin, ky model ishte i përshtatshëm, shumë statik dhe i besueshëm. Megjithatë, tani që IT është një nga shtytësit e zhvillimit të biznesit, dhe në shumë raste edhe vetë biznesi, natyra statike e këtij modeli ka filluar të shkaktojë probleme të mëdha.
Biznesi modern gjeneron një numër të madh kërkesash të ndryshme komplekse për infrastrukturën e rrjetit. Suksesi i biznesit varet drejtpërdrejt nga koha e zbatimit të këtyre kërkesave. Vonesa në kushte të tilla është e papranueshme dhe modeli klasik i ndërtimit të rrjetit shpesh nuk lejon përmbushjen e të gjitha nevojave të biznesit në kohën e duhur.
Për shembull, shfaqja e një aplikacioni të ri biznesi kompleks kërkon që administratorët e rrjetit të kryejnë një numër të madh operacionesh rutinë të ngjashme në një numër të madh pajisjesh të ndryshme rrjeti në nivele të ndryshme. Përveçse kërkon shumë kohë, ai gjithashtu rrit rrezikun për të bërë një gabim, i cili mund të çojë në ndërprerje serioze të shërbimeve të TI-së dhe, si rezultat, në humbje financiare.
Rrënja e problemit nuk janë as vetë afatet apo kompleksiteti i kërkesave. Fakti është se këto kërkesa duhet të "përkthehen" nga gjuha e aplikacioneve të biznesit në gjuhën e infrastrukturës së rrjetit. Siç e dini, çdo përkthim është gjithmonë një humbje e pjesshme e kuptimit. Kur pronari i aplikacionit flet për logjikën e aplikacionit të tij, administratori i rrjetit kupton një grup VLAN-sh, lista Access në dhjetëra pajisje që duhet të mbështeten, përditësohen dhe dokumentohen.
Përvoja e akumuluar dhe komunikimi i vazhdueshëm me klientët i lejuan Cisco-s të hartonte dhe zbatonte parime të reja për ndërtimin e një rrjeti të transmetimit të të dhënave të qendrës së të dhënave që plotësojnë tendencat moderne dhe bazohen, para së gjithash, në logjikën e aplikacioneve të biznesit. Prandaj emri - Application Centric Infrastructure.
Arkitektura ACI.
Është më e sakta të merret parasysh arkitektura ACI jo nga ana fizike, por nga ana logjike. Ai bazohet në një model të politikave të automatizuara, objektet e të cilave në nivelin më të lartë mund të ndahen në komponentët e mëposhtëm:
- Rrjeti i bazuar në çelësat Nexus.
- grupi i kontrolluesve APIC;
- profilet e aplikacionit;
Le të shohim çdo nivel në më shumë detaje - dhe ne do të kalojmë nga e thjeshtë në komplekse.
Rrjeti i bazuar në çelësat Nexus
Rrjeti në një fabrikë ACI është i ngjashëm me modelin tradicional hierarkik, por është shumë më i thjeshtë për t'u ndërtuar. Modeli Leaf-Spine përdoret për të organizuar rrjetin, i cili është bërë një qasje e pranuar përgjithësisht për zbatimin e rrjeteve të gjeneratës së ardhshme. Ky model përbëhet nga dy nivele: Spine dhe Leaf, përkatësisht.
Niveli i shtyllës kurrizore është përgjegjës vetëm për performancën. Performanca totale e çelsave të shtyllës kurrizore është e barabartë me performancën e të gjithë pëlhurës, kështu që çelësat me porte 40G ose më të larta duhet të përdoren në këtë nivel.
Çelësat e shtyllës kurrizore lidhen me të gjithë çelësat në nivelin tjetër: Çelësat me fletë, në të cilat janë lidhur pritëset fundore. Roli kryesor i ndërprerësve Leaf është kapaciteti i portit.
Kështu, çështjet e shkallëzimit zgjidhen lehtësisht: nëse duhet të rrisim xhiron e pëlhurës, shtojmë çelësat e shtyllës kurrizore dhe nëse duhet të rrisim kapacitetin e portit, shtojmë Leaf.
Për të dy nivelet përdoren çelsat e serisë Cisco Nexus 9000, të cilët për Cisco-n janë mjeti kryesor për ndërtimin e rrjeteve të qendrave të të dhënave, pavarësisht nga arkitektura e tyre. Për shtresën kurrizore, përdoren çelësat Nexus 9300 ose Nexus 9500 dhe për Leaf vetëm Nexus 9300.
Gama e modeleve të çelsave Nexus që përdoren në fabrikën ACI është paraqitur në figurën më poshtë.
Grupi i kontrolluesve APIC (Application Policy Controller Infrastructure).
Kontrollorët APIC janë serverë fizikë të specializuar, ndërsa për implementime të vogla është e mundur të përdoret një grup me një kontrollues fizik APIC dhe dy virtual.
Kontrollorët APIC ofrojnë funksione kontrolli dhe monitorimi. E rëndësishme është që kontrollorët të mos marrin pjesë kurrë në transferimin e të dhënave, domethënë, edhe nëse të gjithë kontrollorët e grupeve dështojnë, kjo nuk do të ndikojë aspak në stabilitetin e rrjetit. Duhet të theksohet gjithashtu se me ndihmën e APIC-ve, administratori menaxhon absolutisht të gjitha burimet fizike dhe logjike të fabrikës dhe për të bërë ndonjë ndryshim, nuk ka më nevojë të lidhet me një pajisje të veçantë, pasi ACI përdor një pikë e vetme e kontrollit.
Tani le të kalojmë te një nga komponentët kryesorë të ACI - profilet e aplikacionit.
Profili i rrjetit të aplikacionit është baza logjike e ACI. Janë profilet e aplikacioneve që përcaktojnë politikat e ndërveprimit midis të gjithë segmenteve të rrjetit dhe përshkruajnë vetë segmentet e rrjetit. ANP ju lejon të abstraktoni nga shtresa fizike dhe, në fakt, të imagjinoni se si duhet të organizoni ndërveprimin midis segmenteve të ndryshme të rrjetit nga pikëpamja e aplikimit.
Një profil aplikacioni përbëhet nga grupe lidhjesh (Grupet e pikës fundore - EPG). Një grup lidhjesh është një grup logjik i hosteve (makinat virtuale, serverët fizikë, kontejnerët, etj.) që ndodhen në të njëjtin segment sigurie (jo rrjet, por siguri). Pritësit përfundimtarë që i përkasin një EPG të veçantë mund të përcaktohen nga një numër i madh kriteresh. Më poshtë përdoren zakonisht:
- Porta fizike
- Porta logjike (grupi i porteve në çelësin virtual)
- VLAN ID ose VXLAN
- Adresa IP ose nënrrjet IP
- Atributet e serverit (emri, vendndodhja, versioni i OS, etj.)
Për ndërveprimin e EPG-ve të ndryshme, ofrohet një ent i quajtur kontrata. Kontrata përcakton marrëdhëniet ndërmjet EPG-ve të ndryshme. Me fjalë të tjera, kontrata përcakton se çfarë shërbimi i ofron një EPG një EPG tjetër. Për shembull, ne krijojmë një kontratë që lejon trafikun të rrjedhë mbi protokollin HTTPS. Më pas, ne lidhemi me këtë kontratë, për shembull, EPG Web (një grup serverësh në internet) dhe EPG App (një grup serverësh aplikacioni), pas së cilës këto dy grupe terminale mund të shkëmbejnë trafikun përmes protokollit HTTPS.
Figura më poshtë përshkruan një shembull të vendosjes së komunikimit ndërmjet EPG-ve të ndryshme nëpërmjet kontratave brenda të njëjtit ANP.
Mund të ketë çdo numër profilesh aplikacioni brenda një fabrike ACI. Përveç kësaj, kontratat nuk janë të lidhura me një profil specifik aplikacioni; ato mund (dhe duhet) të përdoren për të lidhur EPG në ANP të ndryshme.
Në fakt, çdo aplikacion që kërkon një rrjet në një formë ose në një tjetër përshkruhet nga profili i tij. Për shembull, diagrami i mësipërm tregon arkitekturën standarde të një aplikacioni me tre nivele, i përbërë nga një numër N serverësh me akses të jashtëm (Web), serverët e aplikacionit (App) dhe serverët DBMS (DB), dhe gjithashtu përshkruan rregullat e ndërveprimit midis ato. Në një infrastrukturë rrjeti tradicionale, ky do të ishte një grup rregullash të shkruara nëpër pajisje të ndryshme në infrastrukturë. Në arkitekturën ACI, ne i përshkruajmë këto rregulla brenda një profili të vetëm aplikacioni. ACI, duke përdorur një profil aplikacioni, e bën shumë më të lehtë krijimin e një numri të madh cilësimesh në pajisje të ndryshme duke i grupuar të gjitha në një profil të vetëm.
Fotografia më poshtë tregon një shembull më realist. Një profil aplikacioni i Microsoft Exchange i krijuar nga shumë EPG dhe kontrata.
Menaxhimi qendror, automatizimi dhe monitorimi është një nga përfitimet kryesore të ACI. ACI Factory i liron administratorët nga puna e lodhshme e krijimit të një numri të madh rregullash në çelsat e ndryshëm, ruterat dhe muret e zjarrit (ndërsa metoda klasike e konfigurimit manual lejohet dhe mund të përdoret). Cilësimet për profilet e aplikacioneve dhe objektet e tjera ACI aplikohen automatikisht në të gjithë strukturën ACI. Edhe kur kaloni fizikisht serverët në porte të tjera të ndërprerësve të rrobave, nuk ka nevojë të dublikoni cilësimet nga çelësat e vjetër në ato të reja dhe të pastroni rregullat e panevojshme. Bazuar në kriteret e anëtarësimit të hostit në EPG, fabrika do t'i bëjë këto cilësime automatikisht dhe automatikisht do të pastrojë rregullat e papërdorura.
Politikat e integruara të sigurisë ACI zbatohen si lista të bardha, që do të thotë se ajo që nuk lejohet në mënyrë eksplicite është e ndaluar si parazgjedhje. Së bashku me përditësimin automatik të konfigurimeve të pajisjeve të rrjetit (duke hequr rregullat dhe lejet e papërdorura "të harruara", kjo qasje rrit ndjeshëm nivelin e përgjithshëm të sigurisë së rrjetit dhe ngushton sipërfaqen e një sulmi të mundshëm.
ACI ju lejon të organizoni ndërveprimin e rrjetit jo vetëm të makinave dhe kontejnerëve virtualë, por edhe të serverëve fizikë, mureve të zjarrit të harduerit dhe pajisjeve të rrjetit të palëve të treta, gjë që e bën ACI një zgjidhje unike për momentin.
Qasja e re e Cisco-s për ndërtimin e një rrjeti të dhënash bazuar në logjikën e aplikacionit nuk ka të bëjë vetëm me automatizimin, sigurinë dhe menaxhimin e centralizuar. Është gjithashtu një rrjet modern i shkallëzuar horizontalisht që plotëson të gjitha kërkesat e biznesit modern.
Zbatimi i një infrastrukture rrjeti të bazuar në ACI lejon të gjitha departamentet e ndërmarrjes të flasin të njëjtën gjuhë. Administratori udhëhiqet vetëm nga logjika e aplikacionit, e cila përshkruan rregullat dhe lidhjet e kërkuara. Si dhe logjika e aplikacionit, nga ai udhëhiqen edhe pronarët dhe zhvilluesit e aplikacionit, shërbimi i sigurisë së informacionit, ekonomistët dhe pronarët e bizneseve.
Kështu, Cisco po vë në praktikë konceptin e një rrjeti qendrash të dhënash të gjeneratës së ardhshme. Dëshironi ta shihni këtë vetë? Ejani në demonstratë Infrastruktura qendrore e aplikimit në Shën Petersburg dhe punoni me rrjetin e qendrave të të dhënave të së ardhmes tani.
Ju mund të regjistroheni për ngjarjen .
Burimi: www.habr.com