Sa nakalipas na ilang taon, ang Cisco ay aktibong nagpo-promote ng isang bagong arkitektura para sa pagbuo ng isang network ng paghahatid ng data sa data center - Application Centric Infrastructure (o ACI). Ang ilan ay pamilyar na dito. At ang ilan ay nagawang ipatupad ito sa kanilang mga negosyo, kabilang ang sa Russia. Gayunpaman, para sa karamihan ng mga propesyonal sa IT at mga tagapamahala ng IT, ang ACI ay isa pa ring hindi malinaw na acronym o isang pagmuni-muni lamang sa hinaharap.
Sa artikulong ito susubukan naming ilapit ang hinaharap na ito. Upang gawin ito, pag-uusapan natin ang mga pangunahing bahagi ng arkitektura ng ACI, at ilarawan din kung paano ito magagamit sa pagsasanay. Bilang karagdagan, sa malapit na hinaharap ay mag-oorganisa kami ng isang visual na demonstrasyon ng ACI, na maaaring mag-sign up para sa sinumang interesadong IT specialist.
Maaari kang matuto nang higit pa tungkol sa bagong arkitektura ng network sa St. Petersburg sa Mayo 2019. Lahat ng detalye ay nasa . Mag-sign up!
prehistory
Ang tradisyonal at pinakasikat na modelo ng pagtatayo ng network ay isang tatlong antas na hierarchical na modelo: core -> distribution (pagsasama-sama) -> access. Sa loob ng maraming taon, ang modelong ito ay ang pamantayan; ang mga tagagawa ay gumawa ng iba't ibang mga aparato sa network na may naaangkop na pag-andar para dito.
Noong nakaraan, kapag ang teknolohiya ng impormasyon ay isang uri ng kinakailangan (at, sa totoo lang, hindi palaging ninanais) na kalakip sa negosyo, ang modelong ito ay maginhawa, napaka-static at maaasahan. Gayunpaman, ngayon na ang IT ay isa sa mga driver ng pag-unlad ng negosyo, at sa maraming mga kaso ang negosyo mismo, ang static na katangian ng modelong ito ay nagsimulang magdulot ng malalaking problema.
Ang modernong negosyo ay bumubuo ng isang malaking bilang ng iba't ibang kumplikadong mga kinakailangan para sa imprastraktura ng network. Ang tagumpay ng negosyo ay direktang nakasalalay sa oras ng pagpapatupad ng mga kinakailangang ito. Ang pagkaantala sa gayong mga kundisyon ay hindi katanggap-tanggap, at ang klasikal na modelo ng pagtatayo ng network ay kadalasang hindi nagpapahintulot na matugunan ang lahat ng pangangailangan ng negosyo sa isang napapanahong paraan.
Halimbawa, ang paglitaw ng isang bagong kumplikadong application ng negosyo ay nangangailangan ng mga administrator ng network na magsagawa ng isang malaking bilang ng mga katulad na regular na operasyon sa isang malaking bilang ng iba't ibang mga network device sa iba't ibang antas. Bilang karagdagan sa pag-ubos ng oras, pinapataas din nito ang panganib na magkamali, na maaaring humantong sa malubhang downtime ng mga serbisyo ng IT at, bilang resulta, pagkawala ng pananalapi.
Ang ugat ng problema ay hindi kahit ang mga deadline mismo o ang pagiging kumplikado ng mga kinakailangan. Ang katotohanan ay ang mga kinakailangang ito ay kailangang "isalin" mula sa wika ng mga aplikasyon ng negosyo sa wika ng imprastraktura ng network. Tulad ng alam mo, ang anumang pagsasalin ay palaging isang bahagyang pagkawala ng kahulugan. Kapag pinag-uusapan ng may-ari ng application ang lohika ng kanyang aplikasyon, nauunawaan ng administrator ng network ang isang hanay ng mga VLAN, Mga listahan ng Access sa dose-dosenang mga device na kailangang suportahan, i-update at idokumento.
Ang naipon na karanasan at patuloy na komunikasyon sa mga customer ay nagbigay-daan sa Cisco na magdisenyo at magpatupad ng mga bagong prinsipyo para sa pagbuo ng isang data center data transmission network na nakakatugon sa mga modernong uso at nakabatay, una sa lahat, sa lohika ng mga aplikasyon sa negosyo. Samakatuwid ang pangalan - Application Centric Infrastructure.
Arkitektura ng ACI.
Ito ay pinaka-tama na isaalang-alang ang ACI architecture hindi mula sa pisikal na bahagi, ngunit mula sa lohikal na bahagi. Ito ay batay sa isang modelo ng mga automated na patakaran, ang mga bagay na nasa pinakamataas na antas ay maaaring hatiin sa mga sumusunod na bahagi:
- Network batay sa mga switch ng Nexus.
- APIC controller cluster;
- Mga profile ng aplikasyon;
Tingnan natin ang bawat antas nang mas detalyado - at lilipat tayo mula sa simple hanggang sa kumplikado.
Network batay sa mga switch ng Nexus
Ang network sa isang pabrika ng ACI ay katulad ng tradisyonal na hierarchical na modelo, ngunit ito ay mas simple upang bumuo. Ginagamit ang modelong Leaf-Spine upang ayusin ang network, na naging pangkalahatang tinatanggap na diskarte para sa pagpapatupad ng mga susunod na henerasyong network. Ang modelong ito ay binubuo ng dalawang antas: Spine at Leaf, ayon sa pagkakabanggit.
Ang antas ng Spine ay responsable lamang para sa pagganap. Ang kabuuang pagganap ng mga switch ng Spine ay katumbas ng pagganap ng buong tela, kaya ang mga switch na may 40G o mas mataas na port ay dapat gamitin sa antas na ito.
Ang mga switch ng spine ay kumokonekta sa lahat ng switch sa susunod na antas: Mga switch ng dahon, kung saan nakakonekta ang mga end host. Ang pangunahing papel ng mga switch ng Leaf ay kapasidad ng port.
Kaya, ang mga isyu sa pag-scale ay madaling naresolba: kung kailangan nating dagdagan ang throughput ng tela, idaragdag natin ang mga switch ng Spine, at kung kailangan nating dagdagan ang kapasidad ng port, idaragdag natin ang Leaf.
Para sa parehong antas, ginagamit ang Cisco Nexus 9000 series switch, na para sa Cisco ay ang pangunahing tool para sa pagbuo ng mga network ng data center, anuman ang kanilang arkitektura. Para sa Spine layer, ginagamit ang Nexus 9300 o Nexus 9500 switch, at para sa Leaf lang ang Nexus 9300.
Ang hanay ng modelo ng mga switch ng Nexus na ginagamit sa pabrika ng ACI ay ipinapakita sa figure sa ibaba.
APIC (Application Policy Infrastructure Controller) Controller Cluster
Ang mga APIC controller ay mga dalubhasang pisikal na server, habang para sa maliliit na pagpapatupad ay posibleng gumamit ng isang kumpol ng isang pisikal na APIC controller at dalawang virtual na mga.
Ang mga APIC controller ay nagbibigay ng mga function ng kontrol at pagsubaybay. Ang mahalagang bagay ay ang mga controllers ay hindi kailanman lumahok sa paglipat ng data, iyon ay, kahit na ang lahat ng mga cluster controllers ay nabigo, hindi ito makakaapekto sa katatagan ng network. Dapat ding tandaan na sa tulong ng mga APIC, ganap na pinamamahalaan ng administrator ang lahat ng pisikal at lohikal na mapagkukunan ng pabrika, at upang makagawa ng anumang mga pagbabago, hindi na kailangang kumonekta sa isang partikular na device, dahil gumagamit ang ACI ng isang nag-iisang punto ng kontrol.
Ngayon ay lumipat tayo sa isa sa mga pangunahing bahagi ng ACI - mga profile ng application.
Profile sa Network ng Application ay ang lohikal na batayan ng ACI. Ito ay mga profile ng application na tumutukoy sa mga patakaran sa pakikipag-ugnayan sa pagitan ng lahat ng mga segment ng network at naglalarawan sa mga segment ng network mismo. Pinapayagan ka ng ANP na mag-abstract mula sa pisikal na layer at, sa katunayan, isipin kung paano mo kailangang ayusin ang pakikipag-ugnayan sa pagitan ng iba't ibang mga segment ng network mula sa isang punto ng view ng application.
Ang profile ng application ay binubuo ng mga grupo ng koneksyon (End-point group - EPG). Ang isang grupo ng koneksyon ay isang lohikal na grupo ng mga host (mga virtual machine, pisikal na server, container, atbp.) na matatagpuan sa parehong segment ng seguridad (hindi network, ngunit seguridad). Ang mga end host na kabilang sa isang partikular na EPG ay maaaring matukoy ng malaking bilang ng mga pamantayan. Ang mga sumusunod ay karaniwang ginagamit:
- Pisikal na port
- Logical port (port group sa virtual switch)
- VLAN ID o VXLAN
- IP address o IP subnet
- Mga katangian ng server (pangalan, lokasyon, bersyon ng OS, atbp.)
Para sa pakikipag-ugnayan ng iba't ibang EPG, isang entity na tinatawag na mga kontrata ay ibinigay. Tinutukoy ng kontrata ang relasyon sa pagitan ng iba't ibang EPG. Sa madaling salita, tinutukoy ng kontrata kung anong serbisyo ang ibinibigay ng isang EPG sa isa pang EPG. Halimbawa, gumawa kami ng kontrata na nagpapahintulot sa trapiko na dumaloy sa HTTPS protocol. Susunod, kumonekta kami sa kontratang ito, halimbawa, EPG Web (isang pangkat ng mga web server) at EPG App (isang pangkat ng mga server ng application), pagkatapos ay maaaring makipagpalitan ng trapiko ang dalawang terminal na grupong ito sa pamamagitan ng HTTPS protocol.
Ang figure sa ibaba ay naglalarawan ng isang halimbawa ng pag-set up ng komunikasyon sa pagitan ng iba't ibang EPG sa pamamagitan ng mga kontrata sa loob ng parehong ANP.
Maaaring mayroong anumang bilang ng mga profile ng aplikasyon sa loob ng pabrika ng ACI. Bilang karagdagan, ang mga kontrata ay hindi nakatali sa isang partikular na profile ng aplikasyon; maaari silang (at dapat) gamitin upang ikonekta ang mga EPG sa iba't ibang ANP.
Sa katunayan, ang bawat aplikasyon na nangangailangan ng network sa isang anyo o iba pa ay inilalarawan ng sarili nitong profile. Halimbawa, ang diagram sa itaas ay nagpapakita ng karaniwang arkitektura ng isang three-tier na application, na binubuo ng isang N bilang ng mga external na access server (Web), application server (App) at DBMS server (DB), at inilalarawan din ang mga panuntunan ng pakikipag-ugnayan sa pagitan ng sila. Sa isang tradisyunal na imprastraktura ng network, ito ay isang hanay ng mga panuntunan na nakasulat sa iba't ibang mga aparato sa imprastraktura. Sa arkitektura ng ACI, inilalarawan namin ang mga panuntunang ito sa loob ng isang profile ng application. Ang ACI, gamit ang isang application profile, ay ginagawang mas madali upang lumikha ng isang malaking bilang ng mga setting sa iba't ibang mga device sa pamamagitan ng pagpapangkat sa lahat ng ito sa isang solong profile.
Ang larawan sa ibaba ay nagpapakita ng mas makatotohanang halimbawa. Isang profile ng application ng Microsoft Exchange na ginawa mula sa maraming EPG at kontrata.
Ang sentral na pamamahala, automation at pagsubaybay ay isa sa mga pangunahing benepisyo ng ACI. Ang ACI Factory ay nagpapagaan sa mga administrator ng nakakapagod na gawain ng paglikha ng isang malaking bilang ng mga panuntunan sa iba't ibang switch, router at firewall (habang ang klasikong manu-manong paraan ng pagsasaayos ay pinapayagan at maaaring gamitin). Ang mga setting para sa mga profile ng application at iba pang ACI object ay awtomatikong inilalapat sa buong ACI fabric. Kahit na pisikal na inilipat ang mga server sa iba pang mga port ng mga switch ng tela, hindi na kailangang i-duplicate ang mga setting mula sa mga lumang switch patungo sa mga bago at i-clear ang mga hindi kinakailangang panuntunan. Batay sa pamantayan ng pagiging miyembro ng EPG ng host, awtomatikong gagawin ng pabrika ang mga setting na ito at awtomatikong lilinisin ang mga hindi ginagamit na panuntunan.
Ipinapatupad ang mga pinagsama-samang patakaran sa seguridad ng ACI bilang mga whitelist, ibig sabihin, ang hindi tahasang pinapayagan ay ipinagbabawal bilang default. Kasabay ng awtomatikong pag-update ng mga configuration ng network equipment (pag-aalis ng "nakalimutan" na mga hindi nagamit na panuntunan at pahintulot), ang diskarteng ito ay makabuluhang nagpapataas sa pangkalahatang antas ng seguridad ng network at nagpapaliit sa ibabaw ng isang potensyal na pag-atake.
Pinapayagan ka ng ACI na ayusin ang pakikipag-ugnayan sa network hindi lamang ng mga virtual machine at container, kundi pati na rin ng mga pisikal na server, hardware firewall at third-party na kagamitan sa network, na ginagawang isang natatanging solusyon ang ACI sa ngayon.
Ang bagong diskarte ng Cisco sa pagbuo ng isang network ng data batay sa lohika ng aplikasyon ay hindi lamang tungkol sa automation, seguridad at sentralisadong pamamahala. Isa rin itong modernong pahalang na nasusukat na network na nakakatugon sa lahat ng kinakailangan ng modernong negosyo.
Ang pagpapatupad ng isang imprastraktura ng network batay sa ACI ay nagpapahintulot sa lahat ng mga departamento ng negosyo na magsalita ng parehong wika. Ang tagapangasiwa ay ginagabayan lamang ng lohika ng application, na naglalarawan ng mga kinakailangang panuntunan at koneksyon. Pati na rin ang lohika ng application, ang mga may-ari at developer ng application, ang serbisyo sa seguridad ng impormasyon, mga ekonomista at may-ari ng negosyo ay ginagabayan nito.
Kaya, isinasabuhay ng Cisco ang konsepto ng isang susunod na henerasyong network ng data center. Gusto mo bang makita ito para sa iyong sarili? Halika sa demonstrasyon Application Centric Infrastructure sa St. Petersburg at magtrabaho kasama ang data center network ng hinaharap ngayon.
Maaari kang magparehistro para sa kaganapan .
Pinagmulan: www.habr.com