Bu büyülü Cisco ACI betiğinin yardımıyla, hızlı bir şekilde bir ağ kurabilirsiniz.
Cisco ACI veri merkezi için ağ fabrikası beş yıldır var, ancak Habré bu konuda gerçekten bir şey söylemedi, ben de biraz düzeltmeye karar verdim. Ne olduğunu, ne işe yaradığını ve tırmığının nerede olduğunu kendi deneyimlerime dayanarak size anlatacağım.
Bu nedir ve nereden geldi?
ACI (Application Centric Infrastructure) 2013 yılında duyurulduğu zaman, rakipler aynı anda üç taraftan veri merkezi ağlarına yönelik geleneksel yaklaşımlarda ilerliyordu.
Bir yandan, OpenFlow tabanlı "birinci nesil" SDN çözümleri, ağları aynı zamanda daha esnek ve daha ucuz hale getirme sözü verdi. Fikir, geleneksel olarak tescilli anahtar yazılımı tarafından yapılan karar verme sürecini merkezi bir denetleyiciye taşımaktı.
Bu denetleyici, olan her şey hakkında tek bir vizyona sahip olacak ve buna dayanarak, tüm anahtarların donanımını belirli akışları işlemek için kurallar düzeyinde programlayacaktır.
Öte yandan, yer paylaşımlı ağ çözümleri, sanallaştırılmış ana bilgisayarlar arasında yazılım tünelleri oluşturarak, fiziksel ağda hiçbir değişiklik olmaksızın gerekli bağlantı ve güvenlik politikalarının uygulanmasını mümkün kıldı. Bu yaklaşımın en iyi bilinen örneği, o zamana kadar VMWare tarafından 1,26 milyar dolara satın alınan ve mevcut VMWare NSX'in ortaya çıkmasına neden olan Nicira'ydı. Nicira'nın kurucu ortaklarının, daha önce OpenFlow'un kökenlerinde yer alan ve şimdi bir veri merkezi fabrikası kurmak için bunu söyleyen aynı kişiler olması, duruma biraz keskinlik kattı. .
Ve son olarak, açık piyasada bulunan anahtarlama çipleri (tüccar silikonu olarak adlandırılır), geleneksel anahtar üreticileri için gerçek bir tehdit haline geldikleri bir olgunluk aşamasına ulaştı. Daha önce her satıcı, anahtarları için bağımsız olarak yongalar geliştirdiyse, zamanla, başta Broadcom olmak üzere üçüncü taraf üreticilerin yongaları, işlevler açısından satıcı yongalarıyla olan mesafeyi azaltmaya başladı ve fiyat / performans oranı açısından onları aştı. Bu nedenle birçok kişi, kendi tasarımlarına sahip çiplerdeki geçiş günlerinin sayılı olduğuna inanıyordu.
ACI, yukarıdakilerin hepsine Cisco'nun "asimetrik yanıtı" (daha doğrusu eski çalışanları tarafından kurulan Insieme şirketi) haline geldi.
OpenFlow'dan farkı nedir?
İşlevlerin dağılımı açısından, ACI aslında OpenFlow'un tam tersidir.
OpenFlow mimarisinde, ayrıntılı kuralların (akışların) yazılmasından denetleyici sorumludur.
tüm anahtarların donanımında, yani büyük bir ağda, ağdaki yüzlerce noktada on milyonlarca kaydın korunmasından ve en önemlisi değiştirilmesinden sorumlu olabilir, bu nedenle performansı ve güvenilirliği bir darboğaz haline gelir. büyük uygulama.
ACI ters yaklaşımı kullanır: elbette, bir denetleyici de vardır, ancak anahtarlar ondan üst düzey bildirim ilkeleri alır ve anahtarın kendisi, bunları donanımdaki belirli ayarların ayrıntılarına dönüştürür. Denetleyici yeniden başlatılabilir veya tamamen kapatılabilir ve elbette şu anda kontrol eksikliği dışında ağa kötü bir şey olmayacak. İlginç bir şekilde, ACI'de OpenFlow'un hala kullanıldığı, ancak yerel olarak Open vSwitch programlama için ana bilgisayar içinde kullanıldığı durumlar vardır.
ACI tamamen VXLAN tabanlı yer paylaşımlı aktarım üzerine inşa edilmiştir, ancak tek bir çözümün parçası olarak temeldeki IP aktarımını içerir. Cisco buna "entegre kaplama" terimi adını verdi. ACI'deki kaplamalar için bir sonlandırma noktası olarak, çoğu durumda fabrika anahtarları kullanılır (bunu bağlantı hızında yaparlar). Ana bilgisayarların fabrika, kapsülleme vb. hakkında herhangi bir şey bilmesi gerekmez, ancak bazı durumlarda (örneğin, OpenStack ana bilgisayarlarını bağlamak için), onlara VXLAN trafiği getirilebilir.
Yer paylaşımları, ACI'de yalnızca aktarım ağı aracılığıyla esnek bağlantı sağlamak için değil, aynı zamanda meta bilgileri aktarmak için de kullanılır (örneğin, güvenlik ilkelerini uygulamak için kullanılır).
Broadcom'dan gelen yongalar daha önce Cisco tarafından Nexus 3000 serisi anahtarlarda kullanılıyordu.ACI'yi desteklemek için özel olarak piyasaya sürülen Nexus 9000 ailesinde, orijinal olarak Merchant + adı verilen hibrit bir model uygulandı. Anahtar aynı anda hem yeni Broadcom Trident 2 çipini hem de ACI'nin tüm sihrini uygulayan Cisco tarafından geliştirilen tamamlayıcı bir çipi kullandı. Görünüşe göre bu, ürünün piyasaya sürülmesini hızlandırmayı ve anahtarın fiyat etiketini basitçe Trident 2'ye dayalı modellere yakın bir seviyeye düşürmeyi mümkün kıldı. Bu yaklaşım, ACI teslimatlarının ilk iki veya üç yılı için yeterliydi. Bu süre zarfında Cisco, daha fazla performans ve özellik kümesiyle, ancak aynı fiyat düzeyinde, kendi yongaları üzerinde yeni nesil Nexus 9000'i geliştirdi ve piyasaya sürdü. Fabrikadaki etkileşim açısından dış özellikler tamamen korunur. Aynı zamanda, dahili dolgu tamamen değişti: yeniden düzenleme gibi bir şey, ancak donanım için.
Cisco ACI Mimarisi Nasıl Çalışır?
En basit durumda, ACI, Klose ağının topolojisi veya sıklıkla dedikleri gibi Spine-Leaf üzerine kuruludur. Sırt seviyesi anahtarları ikiden (veya hata toleransını umursamıyorsak birden) altıya kadar olabilir. Buna göre, ne kadar çok olursa, hata toleransı (kaza veya bir Omurganın bakımı durumunda bant genişliği ve güvenilirlik düşüşü o kadar düşük) ve genel performans o kadar yüksek olur. Tüm harici bağlantılar, yaprak seviyesindeki anahtarlara gider: bunlar, sunucular ve L2 veya L3 aracılığıyla harici ağlarla bağlantı kurma ve APIC denetleyicilerini bağlamadır. Genel olarak, ACI ile, yalnızca yapılandırma değil, aynı zamanda istatistik toplama, arıza izleme vb. - her şey, standart boyutlu uygulamalarda üç tane bulunan denetleyicilerin arabirimi aracılığıyla yapılır.
Ağı başlatmak için bile anahtarlara asla konsolla bağlanmanız gerekmez: denetleyicinin kendisi anahtarları algılar ve tüm hizmet protokollerinin ayarları da dahil olmak üzere bunlardan bir fabrika oluşturur, bu nedenle, bu arada, çok önemlidir. kurulum sırasında kurulan ekipmanın seri numaralarını not edin, böylece daha sonra hangi anahtarın hangi rafta olduğunu tahmin etmek zorunda kalmazsınız. Gerekirse sorun giderme için anahtarlara SSH aracılığıyla bağlanabilirsiniz: bunlar, olağan Cisco show komutlarını oldukça dikkatli bir şekilde yeniden üretir.
Fabrika dahili olarak IP aktarımını kullanır, bu nedenle içinde Yayılan Ağaç ve geçmişin diğer korkuları yoktur: tüm bağlantılar söz konusudur ve arıza durumunda yakınsama çok hızlıdır. Yapıdaki trafik, VXLAN tabanlı tüneller aracılığıyla iletilir. Daha kesin olarak, Cisco'nun kendisi iVXLAN kapsülleme olarak adlandırılır ve normal VXLAN'dan farklıdır, çünkü ağ başlığındaki ayrılmış alanlar, öncelikle trafiğin EPG grubuna olan ilişkisi hakkında hizmet bilgilerini iletmek için kullanılır. Bu, ekipmandaki gruplar arasındaki etkileşim kurallarını, numaralarını normal erişim listelerinde kullanılan adreslerle aynı şekilde kullanarak uygulamanıza olanak tanır.
Tüneller, hem L2 segmentlerinin hem de L3 segmentlerinin (örn. VRF) dahili IP aktarımı yoluyla genişletilmesine izin verir. Bu durumda, varsayılan ağ geçidi dağıtılır. Bu, her anahtarın yapıya giren trafiği yönlendirmekten sorumlu olduğu anlamına gelir. Trafik akışı mantığı açısından ACI, bir VXLAN/EVPN yapısına benzer.
Eğer öyleyse, farklar nelerdir? Diğer her Şey!
ACI ile karşılaştığınız bir numaralı fark, sunucuların ağa nasıl bağlandığıdır. Geleneksel ağlarda, hem fiziksel sunucuların hem de sanal makinelerin dahil edilmesi VLAN'lara gider ve diğer her şey onlardan dans eder: bağlantı, güvenlik vb. ACI'de, Cisco'nun EPG (Uç Nokta Grubu) olarak adlandırdığı bir tasarım kullanılır. kaçacak yer yok. Bunu VLAN'a eşitlemek mümkün mü? Evet, ancak bu durumda ACI'nin verdiklerinin çoğunu kaybetme şansı var.
EPG ile ilgili olarak, tüm erişim kuralları formüle edilmiştir ve ACI'de varsayılan olarak "beyaz liste" ilkesi kullanılır, yani yalnızca geçişine açıkça izin verilen trafiğe izin verilir. Yani "Web" ve "MySQL" EPG gruplarını oluşturabilir ve sadece 3306 numaralı bağlantı noktasından aralarındaki iletişime izin veren bir kural tanımlayabiliriz. Bu, ağ adreslerine bağlı olmadan ve hatta aynı alt ağ içinde çalışacaktır!
ACI'yi tam olarak bu özelliği nedeniyle seçen müşterilerimiz var, çünkü sunucular (sanal veya fiziksel - fark etmez) arasındaki erişimi alt ağlar arasında sürüklemeden, yani adreslemeye dokunmadan kısıtlamanıza olanak tanır. Evet, evet, uygulama yapılandırmalarında kimsenin IP adreslerini elle yazmadığını biliyoruz, değil mi?
ACI'deki trafik kurallarına sözleşme denir. Böyle bir sözleşmede, çok katmanlı bir uygulamadaki bir veya daha fazla grup veya düzey bir hizmet sağlayıcı (örneğin, bir veritabanı hizmeti) haline gelirken, diğerleri bir tüketici haline gelir. Sözleşme, trafiği kolayca iletebilir veya daha zor bir şey yapabilir, örneğin trafiği bir güvenlik duvarına veya dengeleyiciye yönlendirebilir ve ayrıca QoS değerini değiştirebilir.
Sunucular bu gruplara nasıl giriyor? Bunlar fiziksel sunucular veya içine bir VLAN gövdesi oluşturduğumuz mevcut bir ağa dahil olan bir şeyse, bunları EPG'ye yerleştirmek için anahtar bağlantı noktasını ve üzerinde kullanılan VLAN'ı göstermeniz gerekir. Gördüğünüz gibi, VLAN'lar onlarsız yapamayacağınız yerlerde görünür.
Sunucular sanal makineler ise, bağlı sanallaştırma ortamına başvurmak yeterlidir ve ardından her şey kendi kendine gerçekleşir: VM'yi bağlamak için bir bağlantı noktası grubu oluşturulur (VMWare açısından), gerekli VLAN'lar veya VXLAN'lar atanacaksa, gerekli anahtar bağlantı noktalarına vb. kaydedileceklerdir. Bu nedenle, ACI fiziksel bir ağ etrafında oluşturulmuş olsa da, sanal sunucular için bağlantılar fiziksel olanlardan çok daha basit görünür. ACI, OpenStack ve RedHat Sanallaştırma desteğinin yanı sıra VMWare ve MS Hyper-V ile yerleşik bağlantıya sahiptir. Bir noktadan sonra, konteyner platformları için yerleşik destek de ortaya çıktı: Kubernetes, OpenShift, Cloud Foundry, hem politikaların uygulanması hem de izleme ile ilgili olsa da, yani ağ yöneticisi hangi ana bilgisayarlarda hangi bölmelerin çalıştığını hemen görebilir ve hangi gruplara giriyorlar.
Belirli bir bağlantı noktası grubuna dahil olmanın yanı sıra, sanal sunucuların ek özellikleri vardır: örneğin bir VM yeniden adlandırıldığında veya ek bir etiket göründüğünde başka bir gruba aktarmak için ölçüt olarak kullanılabilecek ad, öznitelikler vb. BT. Cisco bu mikro segmentasyon gruplarını çağırıyor, ancak aynı alt ağ üzerinde EPG'ler şeklinde birçok güvenlik segmenti oluşturma yeteneğine sahip tasarımın kendisi de oldukça mikro segmentasyon olsa da, genel olarak tasarımın kendisi. Satıcı daha iyi bilir.
EPG'lerin kendileri tamamen mantıksal yapılardır, belirli anahtarlara, sunuculara vb. bağlı değildir, bu nedenle onlarla klonlama gibi sıradan ağlarda yapılması zor olan şeyleri ve bunlara dayalı yapıları (uygulamalar ve kiracılar) yapabilirsiniz. Sonuç olarak, üretim ortamıyla aynı olması garanti edilen bir test ortamı elde etmek için bir üretim ortamını klonlamanın çok kolay olduğunu varsayalım. Manuel olarak yapabilirsiniz, ancak API aracılığıyla daha iyi (ve daha kolay).
Genel olarak, ACI'deki kontrol mantığı, genellikle karşılaştığınız şeye hiç benzemez.
aynı Cisco'nun geleneksel ağlarında: aynı API üzerinden çalıştıkları için yazılım arayüzü birincildir ve GUI veya CLI ikincildir. Bu nedenle, ACI'ye dahil olan hemen hemen herkes, bir süre sonra yönetim için kullanılan nesne modelinde gezinmeye ve ihtiyaçlarına uygun bir şeyi otomatikleştirmeye başlar. Bunu yapmanın en kolay yolu Python'dan: bunun için uygun hazır araçlar var.
vaat edilen tırmık
Asıl sorun, ACI'deki birçok şeyin farklı şekilde yapılmasıdır. Onunla normal şekilde çalışmaya başlamak için yeniden eğitmeniz gerekir. Bu, özellikle mühendislerin talep üzerine yıllardır "VLAN reçetesi yazdığı" büyük müşterilerdeki ağ operasyon ekipleri için geçerlidir. Artık VLAN'ların artık VLAN olmaması ve sanallaştırılmış ana bilgisayarlarda yeni ağlar kurmak için VLAN'ları elle oluşturmanıza gerek olmaması, geleneksel ağ oluşturucuların çatısını tamamen uçurur ve onların tanıdık yaklaşımlara sarılmasına neden olur. Cisco'nun hapı biraz tatlandırmaya çalıştığını ve denetleyiciye "NXOS benzeri" bir CLI eklediğini, bu da geleneksel anahtarlara benzer bir arayüzden yapılandırma yapmanızı sağladığını belirtmek gerekir. Ancak yine de ACI'yi normal şekilde kullanmaya başlamak için nasıl çalıştığını anlamanız gerekir.
Fiyat açısından, büyük ve orta ölçeklerde, ACI ağları aslında Cisco ekipmanındaki geleneksel ağlardan farklı değildir, çünkü bunları oluşturmak için aynı anahtarlar kullanılır (Nexus 9000, ACI'de ve geleneksel modda çalışabilir ve artık ana yeni veri merkezi projeleri için "beygir"). Ancak iki anahtarlı veri merkezleri için, denetleyicilerin ve Spine-Leaf mimarisinin varlığı elbette kendini hissettiriyor. Son zamanlarda, üç denetleyiciden ikisinin sanal makinelerle değiştirildiği bir Mini ACI fabrikası ortaya çıktı. Bu, maliyet farkını azaltır, ancak yine de kalır. Bu nedenle müşteri için seçim, güvenlik özellikleri, sanallaştırma ile entegrasyon, tek bir kontrol noktası vb. ile ne kadar ilgilendiğine göre belirlenir.
Kaynak: habr.com