Kalayan bantuan sapotong gaib ieu Aksara Cisco ACI, anjeun bisa gancang nyetél jaringan.
Pabrik jaringan pikeun puseur data Cisco ACI geus eksis pikeun lima taun, tapi Habré teu bener ngomong nanaon ngeunaan eta, jadi kuring mutuskeun pikeun ngalereskeun eta saeutik. Kuring gé ngabejaan Anjeun tina pangalaman kuring sorangan naon éta, naon pamakéan na dimana eta boga rake a.
Naon eta jeung ti mana asalna?
Nalika ACI (Application Centric Infrastructure) diumumkeun dina 2013, pesaing maju dina pendekatan tradisional kana jaringan pusat data tina tilu sisi sakaligus.
Di hiji sisi, solusi SDN "generasi kahiji" dumasar kana OpenFlow jangji bakal ngajantenkeun jaringan langkung fleksibel sareng langkung mirah dina waktos anu sami. Gagasanna nyaéta pikeun mindahkeun kaputusan anu sacara tradisional dilakukeun ku parangkat lunak saklar proprietary ka controller sentral.
Controller Ieu bakal boga visi tunggal sagalana yén kajadian na, dumasar kana ieu, bakal program hardware sadaya switch dina tingkat aturan pikeun ngolah aliran husus.
Di sisi anu sanésna, solusi jaringan overlay ngamungkinkeun pikeun ngalaksanakeun konektipitas sareng kawijakan kaamanan anu diperyogikeun tanpa aya parobihan dina jaringan fisik, ngawangun torowongan parangkat lunak antara host virtualisasi. Conto anu paling kasohor tina pendekatan ieu nyaéta Nicira, anu ku VMWare parantos kaala ku $ 1,26 milyar sareng nyababkeun VMWare NSX ayeuna. Sababaraha piquancy tina kaayaan ieu ditambahkeun ku kanyataan yén ko-pendiri Nicira éta jalma anu sarua anu saméméhna ngadeg di asal muasal OpenFlow, ayeuna nyebutkeun yen guna ngawangun pabrik puseur data. .
Sarta pamustunganana, ngaganti chip sadia di pasar kabuka (anu disebut silikon padagang) geus ngahontal tahap kematangan dimana maranéhna geus jadi anceman nyata pikeun pabrik switch tradisional. Upami sateuacanna unggal padagang sacara mandiri ngembangkeun chip pikeun saklarna, teras kana waktosna, chip ti pabrik pihak katilu, utamina ti Broadcom, mimiti ngirangan jarak sareng chip ngajual dina hal fungsi, sareng ngalangkungan aranjeunna tina segi harga / rasio kinerja. Ku alatan éta, loba nu percaya yén poé switch on chip desain sorangan wilanganana.
ACI parantos janten "réspon asimétri" Cisco (langkung tepatna, perusahaan Insieme, diadegkeun ku tilas karyawanna) pikeun sadayana di luhur.
Naon bédana sareng OpenFlow?
Dina watesan distribusi fungsi, ACI sabenerna sabalikna ti OpenFlow.
Dina arsitéktur OpenFlow, controller tanggung jawab nulis aturan lengkep (aliran)
dina hardware sadaya saklar, nyaeta, dina jaringan badag, éta bisa jadi tanggung jawab pikeun ngajaga tur, paling importantly, ngarobah puluhan juta rékaman dina ratusan titik dina jaringan, jadi kinerja sarta reliabilitas na jadi bottleneck dina a palaksanaan badag.
ACI nganggo pendekatan sabalikna: tangtosna, aya ogé controller, tapi saklar nampi kawijakan déklaratif tingkat tinggi ti dinya, sarta switch sorangan ngalakukeun Rendering maranéhna pikeun detil setelan husus dina hardware. Controller tiasa di-reboot atanapi dipareuman sadayana, sareng teu aya anu goréng anu bakal kajadian ka jaringan, kecuali, tangtosna, kurangna kontrol dina waktos ayeuna. Narikna, aya kaayaan di ACI dimana OpenFlow masih dianggo, tapi sacara lokal dina host pikeun pemrograman Open vSwitch.
ACI diwangun sagemblengna dina angkutan overlay basis VXLAN, tapi ngawengku angkutan IP kaayaan salaku bagian tina solusi tunggal. Cisco disebut ieu istilah "overlay terpadu". Salaku titik terminasi pikeun overlays di ACI, di hal nu ilahar, switch pabrik dipaké (aranjeunna ngalakukeun ieu dina speed link). Hosts teu diperlukeun uninga nanaon ngeunaan pabrik, encapsulation, jeung sajabana, kumaha oge, dina sababaraha kasus (Contona, pikeun nyambungkeun OpenStack host), lalulintas VXLAN bisa dibawa ka aranjeunna.
Overlays dipaké dina ACI teu ukur nyadiakeun konektipitas fléksibel ngaliwatan jaringan angkutan, tapi ogé pikeun mindahkeun metainformation (ieu dipaké, contona, pikeun nerapkeun kawijakan kaamanan).
Chips ti Broadcom saméméhna dipaké ku Cisco dina saklar séri Nexus 3000. Dina kulawarga Nexus 9000, husus dileupaskeun pikeun ngarojong ACI, model hibrid asalna dilaksanakeun, nu disebut Merchant +. Saklar sakaligus nganggo chip Broadcom Trident 2 anyar sareng chip pelengkap anu dikembangkeun ku Cisco, anu ngalaksanakeun sagala sihir ACI. Tétéla, ieu ngamungkinkeun pikeun nyepetkeun sékrési produk jeung ngurangan tag harga switch ka tingkat deukeut model saukur dumasar kana Trident 2. pendekatan ieu cukup keur dua atawa tilu taun mimiti pangiriman ACI. Antukna, Cisco dimekarkeun sarta dibuka Nexus generasi saterusna 9000 on chip sorangan kalawan leuwih kinerja sarta fitur set, tapi dina tingkat harga anu sarua. spésifikasi éksternal dina watesan interaksi di pabrik sagemblengna dilestarikan. Dina waktos anu sami, keusikan internal parantos robih: sapertos refactoring, tapi pikeun beusi.
Kumaha Cisco ACI Arsitéktur Gawé
Dina kasus pangbasajanna, ACI diwangun dina topologi jaringan Klose, atanapi, sabab sering aranjeunna nyarios, Tulang tonggong-Daun. Saklar tingkat tulang tonggong tiasa tina dua (atanapi hiji, upami urang henteu paduli kasabaran kasalahan) dugi ka genep. Sasuai, beuki di antarana, nu leuwih luhur kasabaran sesar (nu handap rubakpita jeung réliabilitas réduksi bisi kacilakaan atawa pangropéa hiji tulang tonggong) jeung kinerja sakabéh. Sadaya sambungan éksternal angkat ka saklar tingkat daun: ieu mangrupikeun server, sareng docking sareng jaringan éksternal ngalangkungan L2 atanapi L3, sareng nyambungkeun pangendali APIC. Sacara umum, kalawan ACI, teu ukur konfigurasi, tapi ogé kempelan statistik, ngawas gagalna, jeung saterusna - sagalana geus rengse ngaliwatan panganteur controller, nu aya tilu di implementations standar-ukuran.
Anjeun teu kedah nyambung ka saklar sareng konsol, bahkan pikeun ngamimitian jaringan: controller sorangan ngadeteksi saklar sareng ngumpul pabrik ti aranjeunna, kalebet setélan sadaya protokol jasa, janten, ku jalan kitu, penting pisan pikeun nulis handap nomer serial sahiji alat keur dipasang salila instalasi, ku kituna engké anjeun teu kudu nebak mana switch nu aya di rak nu. Pikeun ngungkulan, lamun perlu, Anjeun bisa nyambung ka saklar via SSH: aranjeunna baranahan nu biasa Cisco acara Paréntah rada taliti.
Sacara internal, pabrik nganggo angkutan IP, janten henteu aya Tangkal Spanning sareng horor sanésna di jerona: sadaya tautan aub, sareng konvergénsi bisi gagal pisan gancang. Lalu lintas dina lawon dikirimkeun ngaliwatan torowongan dumasar kana VXLAN. Leuwih tepat, Cisco sorangan nelepon encapsulation iVXLAN, sarta eta béda ti VXLAN biasa yén widang ditangtayungan dina header jaringan dipaké pikeun ngirimkeun informasi jasa, utamana ngeunaan hubungan lalulintas keur grup EPG. Hal ieu ngamungkinkeun anjeun pikeun nerapkeun aturan interaksi antara grup dina alat-alat, ngagunakeun angka maranéhanana dina cara nu sarua salaku alamat dipaké dina daptar aksés biasa.
Torowongan ngamungkinkeun duanana bagéan L2 jeung bagéan L3 (ie VRF) bisa stretched ngaliwatan angkutan IP internal. Dina hal ieu, gateway standar disebarkeun. Ieu ngandung harti yén unggal switch tanggung jawab routing lalulintas ngasupkeun lawon. Dina watesan logika aliran lalulintas, ACI sarupa jeung lawon VXLAN / EVPN.
Lamun kitu, naon bédana? Sagalana sejenna!
Beda nomer hiji anu anjeun tepang sareng ACI nyaéta kumaha server disambungkeun ka jaringan. Dina jaringan tradisional, kaasup duanana server fisik sarta mesin virtual ka VLANs, sarta sagalana sejenna tarian ti aranjeunna: konektipitas, kaamanan, jeung sajabana Dina ACI dipaké desain anu Cisco nelepon EPG (Grup tungtung-titik), ti mana. aya nowhere kabur. Naha kasebut nyaéta dimungkinkeun pikeun equate ka VLAN? Sumuhun, tapi dina hal ieu aya kasempetan pikeun leungit lolobana naon ACI masihan.
Ngeunaan EPG, sadaya aturan aksés dirumuskeun, sareng dina ACI, prinsip "daftar bodas" dianggo sacara standar, nyaéta, ngan ukur lalu lintas anu diidinan, petikan anu diidinan sacara eksplisit. Hartina, urang bisa nyieun grup "Web" jeung "MySQL" EPG jeung nangtukeun aturan anu ngamungkinkeun komunikasi antara aranjeunna ukur dina port 3306. Ieu bakal dianggo tanpa kabeungkeut alamat jaringan komo dina subnet sarua!
Kami ngagaduhan palanggan anu parantos milih ACI kusabab fitur ieu, sabab ngamungkinkeun anjeun ngabatesan aksés antara server (virtual atanapi fisik - henteu masalah) tanpa nyered aranjeunna di antara subnet, anu hartosna henteu ngarampa alamat. Leres, leres, kami terang yén teu aya anu resep alamat IP dina konfigurasi aplikasi ku panangan, leres?
Aturan lalulintas di ACI disebut kontrak. Dina kontrak sapertos kitu, hiji atanapi langkung grup atanapi tingkat dina aplikasi multi-tier janten panyadia jasa (sebutkeun, jasa database), anu sanés janten konsumen. Kontrak ngan saukur tiasa ngalangkungan lalu lintas, atanapi tiasa ngalakukeun anu langkung rumit, contona, langsung ka firewall atanapi balancer, sareng ogé ngarobih nilai QoS.
Kumaha server asup kana grup ieu? Upami ieu mangrupikeun server fisik atanapi anu kalebet dina jaringan anu tos aya dimana kami nyiptakeun batang VLAN, teras pikeun nempatkeunana dina EPG, anjeun kedah nunjuk ka port switch sareng VLAN anu dianggo dina éta. Sakumaha anjeun tiasa tingali, VLAN muncul dimana anjeun teu tiasa ngalakukeun tanpa aranjeunna.
Upami server mangrupikeun mesin virtual, maka cukup pikeun ngarujuk kana lingkungan virtualisasi anu disambungkeun, teras sadayana bakal kajantenan nyalira: grup port bakal didamel (dina hal VMWare) pikeun nyambungkeun VM, VLAN atanapi VXLAN anu diperyogikeun bakal. ditugaskeun, aranjeunna bakal kadaptar dina palabuhan switch perlu, jeung sajabana, sanajan ACI diwangun sabudeureun jaringan fisik, sambungan pikeun server maya kasampak leuwih basajan ti keur fisik. ACI parantos gaduh konektipitas anu diwangun sareng VMWare sareng MS Hyper-V, ogé dukungan pikeun OpenStack sareng RedHat Virtualization. Ti sababaraha titik, dukungan anu diwangun pikeun platform wadahna ogé parantos muncul: Kubernetes, OpenShift, Cloud Foundry, sedengkeun éta masalah boh aplikasi kabijakan sareng ngawaskeun, nyaéta, administrator jaringan tiasa langsung ningali host mana anu polong dianggo sareng grup mana maranéhna digolongkeun kana.
Salian mangrupa kaasup kana grup port tinangtu, server maya miboga sipat tambahan: ngaran, atribut, jeung sajabana, nu bisa dipaké salaku kriteria keur nransferkeun aranjeunna ka grup sejen, sebutkeun, lamun VM ieu diganti atawa tag tambahan muncul dina. ieu. Cisco nyaéta panggero grup mikro-segmentation ieu, sanajan, sacara umum, rarancang sorangan kalawan kamampuhan pikeun nyieun loba bagéan kaamanan dina bentuk EPGs dina subnet sarua oge rada mikro-segmentation. Nya, anu ngajual langkung terang.
EPGs sorangan constructs murni logis, teu dihijikeun ka saklar husus, server, jeung sajabana, sangkan anjeun bisa ngalakukeun hal kalawan aranjeunna sarta constructs dumasar kana éta (aplikasi jeung lapak) nu hese ngalakukeun dina jaringan biasa, kayaning kloning. Hasilna, hayu urang nyarios gampang pisan pikeun kloning lingkungan produksi supados kéngingkeun lingkungan uji anu dijamin sami sareng lingkungan produksi. Anjeun tiasa ngalakukeun sacara manual, tapi langkung saé (sareng langkung gampang) ngalangkungan API.
Sacara umum, logika kontrol dina ACI henteu sami sareng anu biasana anjeun tepang
dina jaringan tradisional ti Cisco sarua: panganteur software nyaeta primér, sarta GUI atanapi CLI sekundér, saprak aranjeunna dianggo ngaliwatan API sarua. Ku alatan éta, ampir dulur aub dina ACI, sanggeus bari, dimimitian pikeun nganapigasi model obyék dipaké pikeun manajemén jeung ngajadikeun otomatis hal pikeun nyocogkeun ka kabutuhan maranéhanana. Cara panggampangna pikeun ngalakukeun ieu nyaéta tina Python: aya alat anu siap-siap pikeun éta.
Dijangjikeun rake
Masalah utama nyaéta yén seueur hal dina ACI dilakukeun sacara béda. Pikeun ngamimitian damel sareng éta normal, anjeun kedah ngalatih deui. Ieu hususna leres pikeun tim operasi jaringan dina konsumén badag, dimana insinyur geus "resep VLANs" pikeun taun on pamundut. Kanyataan yén ayeuna VLAN geus euweuh VLANs, na anjeun teu perlu nyieun VLANs ku leungeun iklas jaringan anyar dina host virtualized, lengkep blows hateup kaluar networkers tradisional jeung ngajadikeun eta nempel kana pendekatan akrab. Ieu kudu dicatet yén Cisco diusahakeun sweeten pél saeutik tur nambahkeun hiji "NXOS-kawas" CLI mun controller nu, nu ngidinan Anjeun pikeun ngalakukeun konfigurasi tina panganteur sarupa switch tradisional. Tapi tetep, pikeun ngamimitian nganggo ACI sacara normal, anjeun kedah ngartos kumaha jalanna.
Tina segi harga, dina skala ageung sareng sedeng, jaringan ACI henteu bénten sareng jaringan tradisional dina alat Cisco, sabab saklar anu sami dianggo pikeun ngawangun aranjeunna (Nexus 9000 tiasa dianggo dina ACI sareng dina modeu tradisional sareng ayeuna janten anu utama. "workhorse" pikeun proyék puseur data anyar). Tapi pikeun pusat data dua saklar, ayana controller jeung arsitéktur tulang tonggong-Daun, tangtosna, nyieun sorangan ngarasa. Anyar-anyar ieu, pabrik Mini ACI parantos muncul, dimana dua tina tilu pangendali diganti ku mesin virtual. Ieu ngurangan bédana dina biaya, tapi tetep. Janten pikeun palanggan, pilihanna didikte ku sabaraha anjeunna kabetot dina fitur kaamanan, integrasi sareng virtualisasi, titik kontrol tunggal, sareng saterasna.
sumber: www.habr.com