Kwa msaada wa kipande hiki cha kichawi cha hati ya Cisco ACI, unaweza kuanzisha mtandao haraka.
Kiwanda cha mtandao cha kituo cha data cha Cisco ACI kimekuwepo kwa miaka mitano, lakini HabrΓ© hakusema chochote kuhusu hilo, kwa hiyo niliamua kurekebisha kidogo. Nitakuambia kutokana na uzoefu wangu mwenyewe ni nini, ni nini matumizi yake na wapi ina reki.
Ni nini na imetoka wapi?
Kufikia wakati ACI (Application Centric Infrastructure) ilipotangazwa mwaka wa 2013, washindani walikuwa wakiendeleza mbinu za kitamaduni za mitandao ya kituo cha data kutoka pande tatu mara moja.
Kwa upande mmoja, suluhisho za "kizazi cha kwanza" za SDN kulingana na OpenFlow ziliahidi kufanya mitandao iwe rahisi zaidi na ya bei nafuu kwa wakati mmoja. Wazo lilikuwa kuhamisha uamuzi wa jadi unaofanywa na programu ya kubadili wamiliki hadi kwa mtawala mkuu.
Mdhibiti huyu atakuwa na maono moja ya kila kitu kinachotokea na, kwa kuzingatia hili, angepanga vifaa vya swichi zote kwa kiwango cha sheria za usindikaji wa mtiririko maalum.
Kwa upande mwingine, suluhu za mtandao zilizowekelewa zilifanya iwezekane kutekeleza muunganisho unaohitajika na sera za usalama bila mabadiliko yoyote katika mtandao halisi, kujenga vichuguu vya programu kati ya wapangishi walioboreshwa. Mfano unaojulikana zaidi wa mbinu hii ulikuwa Nicira, ambayo wakati huo ilikuwa tayari imenunuliwa na VMWare kwa dola bilioni 1,26 na ikasababisha VMWare NSX ya sasa. Piquancy fulani ya hali hiyo iliongezwa na ukweli kwamba waanzilishi wa Nicira walikuwa watu wale wale ambao hapo awali walisimama kwenye asili ya OpenFlow, sasa wakisema kwamba ili kujenga kiwanda cha kituo cha data. .
Na hatimaye, kubadili chips zinazopatikana kwenye soko la wazi (kinachoitwa silicon ya mfanyabiashara) zimefikia hatua ya ukomavu ambapo zimekuwa tishio la kweli kwa wazalishaji wa kubadili jadi. Ikiwa mapema kila muuzaji alitengeneza chips kwa swichi zake kwa kujitegemea, basi baada ya muda, chips kutoka kwa wazalishaji wa tatu, hasa kutoka Broadcom, walianza kupunguza umbali na chips za wauzaji kwa suala la kazi, na kuzizidi kwa uwiano wa bei / utendaji. Kwa hivyo, wengi waliamini kuwa siku za swichi kwenye chips za muundo wao zilihesabiwa.
ACI imekuwa "majibu yasiyolingana" ya Cisco (kwa usahihi zaidi, kampuni yake ya Insieme, iliyoanzishwa na wafanyikazi wake wa zamani) kwa yote yaliyo hapo juu.
Kuna tofauti gani na OpenFlow?
Kwa upande wa usambazaji wa kazi, ACI kwa kweli ni kinyume cha OpenFlow.
Katika usanifu wa OpenFlow, mtawala ana jukumu la kuandika sheria za kina (mtiririko)
katika vifaa vya swichi zote, yaani, katika mtandao mkubwa, inaweza kuwa na jukumu la kudumisha na, muhimu zaidi, kubadilisha makumi ya mamilioni ya rekodi kwa mamia ya pointi kwenye mtandao, hivyo utendaji wake na kuegemea kuwa kizuizi katika utekelezaji mkubwa.
ACI hutumia mbinu ya kinyume: bila shaka, pia kuna mtawala, lakini swichi hupokea sera za kiwango cha juu kutoka kwake, na swichi yenyewe hufanya utoaji wao kwa maelezo ya mipangilio maalum katika maunzi. Mdhibiti anaweza kuwashwa tena au kuzimwa kabisa, na hakuna kitu kibaya kitatokea kwa mtandao, isipokuwa, bila shaka, ukosefu wa udhibiti kwa wakati huu. Inafurahisha, kuna hali katika ACI ambayo OpenFlow bado inatumika, lakini ndani ya mwenyeji kwa programu ya Open vSwitch.
ACI imejengwa kabisa kwenye usafiri wa juu wa msingi wa VXLAN, lakini inajumuisha usafiri wa msingi wa IP kama sehemu ya suluhisho moja. Cisco aliita hili neno la "mwelekeo uliojumuishwa". Kama sehemu ya kukomesha kwa viwekeleo kwenye ACI, mara nyingi, swichi za kiwanda hutumiwa (hufanya hivi kwa kasi ya kiungo). Majeshi hawatakiwi kujua chochote kuhusu kiwanda, encapsulation, nk, hata hivyo, katika baadhi ya matukio (kwa mfano, kuunganisha majeshi ya OpenStack), trafiki ya VXLAN inaweza kuletwa kwao.
Vifuniko hutumiwa katika ACI sio tu kutoa uunganisho rahisi kupitia mtandao wa usafiri, lakini pia kuhamisha metainformation (hutumiwa, kwa mfano, kutumia sera za usalama).
Chips kutoka Broadcom zilitumiwa hapo awali na Cisco katika swichi za mfululizo wa Nexus 3000. Katika familia ya Nexus 9000, iliyotolewa maalum ili kusaidia ACI, mfano wa mseto ulianzishwa awali, ambao uliitwa Merchant +. Swichi hiyo ilitumia wakati huo huo chipu mpya ya Broadcom Trident 2 na chipu ya ziada iliyotengenezwa na Cisco, ambayo hutekeleza uchawi wote wa ACI. Inaonekana, hii ilifanya iwezekanavyo kuharakisha kutolewa kwa bidhaa na kupunguza tag ya bei ya kubadili kwa kiwango cha karibu na mifano tu kulingana na Trident 2. Njia hii ilikuwa ya kutosha kwa miaka miwili au mitatu ya kwanza ya utoaji wa ACI. Wakati huu, Cisco imeunda na kuzindua kizazi kijacho Nexus 9000 kwenye chipsi zake zenye utendaji zaidi na kuweka vipengele, lakini kwa kiwango sawa cha bei. Vipimo vya nje katika suala la mwingiliano katika kiwanda huhifadhiwa kabisa. Wakati huo huo, kujaza ndani kumebadilika kabisa: kitu kama refactoring, lakini kwa chuma.
Jinsi Usanifu wa Cisco ACI Unafanya Kazi
Katika kesi rahisi, ACI imejengwa juu ya topolojia ya mtandao wa Klose, au, kama wanasema, Spine-Leaf. Swichi za kiwango cha mgongo zinaweza kutoka mbili (au moja, ikiwa hatujali uvumilivu wa makosa) hadi sita. Ipasavyo, zaidi yao, juu ya uvumilivu wa makosa (chini ya bandwidth na kupunguza kuegemea katika kesi ya ajali au matengenezo ya Mgongo mmoja) na utendaji wa jumla. Viunganisho vyote vya nje huenda kwa swichi za kiwango cha jani: hizi ni seva, na kuunganisha na mitandao ya nje kupitia L2 au L3, na kuunganisha vidhibiti vya APIC. Kwa ujumla, na ACI, si tu usanidi, lakini pia ukusanyaji wa takwimu, ufuatiliaji wa kushindwa, na kadhalika - kila kitu kinafanywa kwa njia ya interface ya watawala, ambayo kuna tatu katika utekelezaji wa ukubwa wa kawaida.
Haupaswi kamwe kuunganisha swichi na koni, hata kuanza mtandao: mtawala yenyewe hugundua swichi na kukusanya kiwanda kutoka kwao, pamoja na mipangilio ya itifaki zote za huduma, kwa hivyo, kwa njia, ni muhimu sana. andika nambari za serial za vifaa vilivyowekwa wakati wa ufungaji, ili baadaye usilazimike nadhani ni swichi gani ambayo rack iko. Kwa utatuzi wa shida, ikiwa ni lazima, unaweza kuunganishwa na swichi kupitia SSH: wanazalisha amri za kawaida za Cisco show kwa uangalifu kabisa.
Ndani, kiwanda kinatumia usafiri wa IP, kwa hiyo hakuna Mti wa Spanning na vitisho vingine vya zamani ndani yake: viungo vyote vinahusika, na muunganisho katika kesi ya kushindwa ni haraka sana. Trafiki kwenye kitambaa hupitishwa kupitia vichuguu kulingana na VXLAN. Kwa usahihi zaidi, Cisco yenyewe inaita encapsulation ya iVXLAN, na inatofautiana na VXLAN ya kawaida kwa kuwa sehemu zilizohifadhiwa kwenye kichwa cha mtandao hutumiwa kusambaza habari za huduma, hasa kuhusu uhusiano wa trafiki kwa kikundi cha EPG. Hii inakuwezesha kutekeleza sheria za mwingiliano kati ya makundi katika vifaa, kwa kutumia namba zao kwa njia sawa na anwani zinazotumiwa katika orodha za kawaida za upatikanaji.
Vichungi huruhusu sehemu zote za L2 na sehemu za L3 (yaani VRF) kunyoshwa kupitia usafiri wa ndani wa IP. Katika kesi hii, lango la msingi linasambazwa. Hii inamaanisha kuwa kila swichi inawajibika kuelekeza trafiki inayoingia kwenye kitambaa. Kwa upande wa mantiki ya mtiririko wa trafiki, ACI ni sawa na kitambaa cha VXLAN/EVPN.
Ikiwa ndivyo, ni tofauti gani? Kila kitu kingine!
Tofauti ya kwanza unayokutana nayo na ACI ni jinsi seva zinavyounganishwa kwenye mtandao. Katika mitandao ya kitamaduni, ujumuishaji wa seva halisi na mashine za mtandao huenda kwa VLAN, na kila kitu kingine hucheza kutoka kwao: muunganisho, usalama, n.k. Katika ACI, muundo hutumiwa ambao Cisco huita EPG (End-point Group), ambayo kutoka kwao. hakuna pa kutoka. Je, inawezekana kuilinganisha na VLAN? Ndiyo, lakini katika kesi hii kuna nafasi ya kupoteza zaidi ya kile ACI inatoa.
Kuhusiana na EPG, sheria zote za kufikia zimeundwa, na katika ACI, kanuni ya "orodha nyeupe" hutumiwa kwa default, yaani, trafiki tu inaruhusiwa, kifungu ambacho kinaruhusiwa kwa uwazi. Hiyo ni, tunaweza kuunda vikundi vya "Mtandao" na "MySQL" EPG na kufafanua sheria ambayo inaruhusu mawasiliano kati yao tu kwenye bandari 3306. Hii itafanya kazi bila kufungwa kwa anwani za mtandao na hata ndani ya subnet sawa!
Tuna wateja ambao wamechagua ACI kwa usahihi kwa sababu ya kipengele hiki, kwa vile inakuwezesha kuzuia ufikiaji kati ya seva (ya kawaida au ya kimwili - haijalishi) bila kuwavuta kati ya subnets, ambayo ina maana bila kugusa anwani. Ndiyo, ndiyo, tunajua kwamba hakuna mtu anayeagiza anwani za IP katika usanidi wa programu kwa mkono, sawa?
Sheria za trafiki katika ACI zinaitwa mikataba. Katika mkataba kama huo, kikundi kimoja au zaidi au ngazi katika ombi la viwango vingi huwa mtoaji wa huduma (sema, huduma ya hifadhidata), wengine huwa watumiaji. Mkataba unaweza kupitisha trafiki tu, au inaweza kufanya kitu ngumu zaidi, kwa mfano, kuielekeza kwa firewall au usawa, na pia kubadilisha thamani ya QoS.
Je, seva huingiaje katika vikundi hivi? Ikiwa hizi ni seva za kimwili au kitu kilichojumuishwa kwenye mtandao uliopo ambao tumeunda shina la VLAN, basi ili kuziweka kwenye EPG, utahitaji kuelekeza kwenye bandari ya kubadili na VLAN iliyotumiwa juu yake. Kama unaweza kuona, VLAN huonekana ambapo huwezi kufanya bila wao.
Ikiwa seva ni mashine za kawaida, basi inatosha kutaja mazingira ya virtualization yaliyounganishwa, na kisha kila kitu kitatokea peke yake: kikundi cha bandari kitaundwa (kwa mujibu wa VMWare) kuunganisha VM, VLAN au VXLAN muhimu zitaundwa. zitatumwa, zitasajiliwa kwenye bandari muhimu za kubadili, n.k. Kwa hivyo, ingawa ACI imejengwa karibu na mtandao halisi, miunganisho ya seva pepe inaonekana rahisi zaidi kuliko ile halisi. ACI tayari ina muunganisho wa ndani na VMWare na MS Hyper-V, pamoja na usaidizi wa OpenStack na RedHat Virtualization. Kuanzia wakati fulani, usaidizi uliojengewa ndani wa majukwaa ya kontena pia umeonekana: Kubernetes, OpenShift, Cloud Foundry, wakati inahusu utumiaji wa sera na ufuatiliaji, ambayo ni kwamba, msimamizi wa mtandao anaweza kuona mara moja ni wapangishaji gani ambao ganda hufanya kazi na wanaingia katika makundi gani.
Mbali na kujumuishwa katika kikundi fulani cha bandari, seva za kawaida zina mali ya ziada: jina, sifa, nk, ambayo inaweza kutumika kama vigezo vya kuwahamisha kwa kikundi kingine, sema, wakati VM inabadilishwa jina au lebo ya ziada inaonekana ndani. hiyo. Cisco inaita vikundi hivi vya sehemu ndogo, ingawa, kwa kiasi kikubwa, muundo yenyewe na uwezo wa kuunda sehemu nyingi za usalama katika mfumo wa EPGs kwenye subnet sawa pia ni sehemu ndogo. Kweli, muuzaji anajua bora.
EPG zenyewe ni miundo ya kimantiki, haijafungwa kwa swichi maalum, seva, n.k., kwa hivyo unaweza kufanya vitu nazo na kuunda kulingana na wao (programu na wapangaji) ambayo ni ngumu kufanya katika mitandao ya kawaida, kama vile cloning. Kwa hivyo, wacha tuseme ni rahisi sana kuiga mazingira ya uzalishaji ili kupata mazingira ya majaribio ambayo yamehakikishwa kuwa sawa na mazingira ya uzalishaji. Unaweza kuifanya kwa mikono, lakini ni bora (na rahisi) kupitia API.
Kwa ujumla, mantiki ya udhibiti katika ACI haifanani kabisa na yale ambayo kawaida hukutana
katika mitandao ya jadi kutoka kwa Cisco sawa: interface ya programu ni ya msingi, na GUI au CLI ni ya sekondari, kwa kuwa wanafanya kazi kupitia API sawa. Kwa hivyo, karibu kila mtu anayehusika katika ACI, baada ya muda, anaanza kuzunguka mfano wa kitu kinachotumiwa kwa usimamizi na kubinafsisha kitu kulingana na mahitaji yao. Njia rahisi zaidi ya kufanya hivyo ni kutoka kwa Python: kuna zana zilizotengenezwa tayari kwa hiyo.
Mchuzi ulioahidiwa
Shida kuu ni kwamba mambo mengi katika ACI hufanywa tofauti. Ili kuanza kufanya kazi nayo kwa kawaida, unahitaji kurejesha tena. Hii ni kweli hasa kwa timu za uendeshaji wa mtandao katika wateja wakubwa, ambapo wahandisi wamekuwa "wakiagiza VLAN" kwa miaka kwa ombi. Ukweli kwamba sasa VLAN sio VLAN tena, na huna haja ya kuunda VLAN kwa mkono ili kuweka mitandao mpya katika majeshi ya virtualized, hupiga kabisa paa kutoka kwa mitandao ya jadi na kuwafanya kushikamana na mbinu zinazojulikana. Ikumbukwe kwamba Cisco alijaribu kupendeza kidonge kidogo na kuongeza CLI "NXOS-kama" kwa mtawala, ambayo inakuwezesha kufanya usanidi kutoka kwa interface sawa na swichi za jadi. Lakini bado, ili kuanza kutumia ACI kawaida, unapaswa kuelewa jinsi inavyofanya kazi.
Kwa upande wa bei, kwa mizani kubwa na ya kati, mitandao ya ACI haitofautiani na mitandao ya kitamaduni kwenye vifaa vya Cisco, kwani swichi sawa hutumiwa kuziunda (Nexus 9000 inaweza kufanya kazi katika ACI na kwa hali ya jadi na sasa imekuwa kuu. "Farasi kazi" kwa miradi mipya ya kituo cha data). Lakini kwa vituo vya data vya swichi mbili, kuwepo kwa watawala na usanifu wa Spine-Leaf, bila shaka, hujifanya kujisikia. Hivi karibuni, kiwanda cha Mini ACI kimeonekana, ambacho watawala wawili kati ya watatu hubadilishwa na mashine za kawaida. Hii inapunguza tofauti katika gharama, lakini bado inabakia. Kwa hivyo kwa mteja, chaguo linaagizwa na ni kiasi gani anavutiwa na vipengele vya usalama, ushirikiano na virtualization, hatua moja ya udhibiti, na kadhalika.
Chanzo: mapenzi.com