Cisco ACI اسکرپٹ کے اس جادوئی ٹکڑے کی مدد سے، آپ تیزی سے ایک نیٹ ورک ترتیب دے سکتے ہیں۔
Cisco ACI ڈیٹا سینٹر کے لیے نیٹ ورک فیکٹری پانچ سالوں سے موجود ہے، لیکن Habré نے واقعی اس کے بارے میں کچھ نہیں بتایا، اس لیے میں نے اسے تھوڑا ٹھیک کرنے کا فیصلہ کیا۔ میں آپ کو اپنے تجربے سے بتاؤں گا کہ یہ کیا ہے، اس کا استعمال کیا ہے اور اس کا ریک کہاں ہے۔
یہ کیا ہے اور کہاں سے آیا؟
2013 میں جس وقت ACI (ایپلی کیشن سینٹرک انفراسٹرکچر) کا اعلان کیا گیا تھا، حریف بیک وقت تین اطراف سے ڈیٹا سینٹر نیٹ ورکس کے لیے روایتی طریقوں پر آگے بڑھ رہے تھے۔
ایک طرف، اوپن فلو پر مبنی "پہلی نسل" کے SDN حل نے ایک ہی وقت میں نیٹ ورکس کو مزید لچکدار اور سستا بنانے کا وعدہ کیا۔ خیال یہ تھا کہ روایتی طور پر ملکیتی سوئچ سافٹ ویئر کے ذریعے کیے جانے والے فیصلہ سازی کو مرکزی کنٹرولر میں منتقل کیا جائے۔
اس کنٹرولر کے پاس ہونے والی ہر چیز کا ایک ہی وژن ہوگا اور، اس کی بنیاد پر، تمام سوئچز کے ہارڈ ویئر کو مخصوص بہاؤ پر کارروائی کرنے کے قواعد کی سطح پر پروگرام کرے گا۔
دوسری طرف، اوورلے نیٹ ورک کے حل نے فزیکل نیٹ ورک میں کسی بھی تبدیلی کے بغیر ضروری کنیکٹیویٹی اور سیکورٹی پالیسیوں کو لاگو کرنا ممکن بنایا، ورچوئلائزڈ ہوسٹس کے درمیان سافٹ ویئر ٹنل بنا کر۔ اس نقطہ نظر کی سب سے مشہور مثال نیکیرا تھی، جسے اس وقت تک VMWare $1,26 بلین میں حاصل کر چکا تھا اور اس نے موجودہ VMWare NSX کو جنم دیا۔ صورتحال میں کچھ گڑبڑ اس حقیقت سے شامل ہوئی کہ نیکیرا کے شریک بانی وہی لوگ تھے جو پہلے اوپن فلو کی ابتداء پر کھڑے تھے، اب کہتے ہیں کہ ڈیٹا سینٹر فیکٹری بنانے کے لیے .
اور آخر کار، کھلی مارکیٹ پر دستیاب سوئچنگ چپس (جسے مرچنٹ سلکان کہا جاتا ہے) پختگی کے اس مرحلے پر پہنچ چکے ہیں جہاں وہ روایتی سوئچ مینوفیکچررز کے لیے حقیقی خطرہ بن گئے ہیں۔ اگر پہلے ہر وینڈر نے اپنے سوئچز کے لیے آزادانہ طور پر چپس تیار کیں، تو وقت گزرنے کے ساتھ، تیسری پارٹی کے مینوفیکچررز کی چپس، بنیادی طور پر براڈ کام سے، فنکشنز کے لحاظ سے وینڈر چپس کے ساتھ فاصلہ کم کرنا شروع کر دیا، اور قیمت/کارکردگی کے تناسب کے لحاظ سے ان سے آگے نکل گیا۔ لہذا، بہت سے لوگوں کا خیال تھا کہ ان کے اپنے ڈیزائن کے چپس پر سوئچ کے دن گنے جا چکے تھے۔
ACI مندرجہ بالا سب کے لیے سسکو کا "غیر متناسب ردعمل" بن گیا ہے (مزید واضح طور پر، اس کی Insieme کمپنی، جس کی بنیاد اس کے سابق ملازمین نے رکھی تھی)۔
OpenFlow کے ساتھ کیا فرق ہے؟
افعال کی تقسیم کے لحاظ سے، ACI دراصل OpenFlow کے برعکس ہے۔
اوپن فلو فن تعمیر میں، کنٹرولر تفصیلی قواعد (بہاؤ) لکھنے کا ذمہ دار ہے۔
تمام سوئچز کے ہارڈ ویئر میں، یعنی ایک بڑے نیٹ ورک میں، یہ نیٹ ورک کے سینکڑوں پوائنٹس پر دسیوں ملین ریکارڈز کو برقرار رکھنے اور سب سے اہم بات یہ ہے کہ تبدیل کرنے کا ذمہ دار ہو سکتا ہے، اس لیے اس کی کارکردگی اور وشوسنییتا ایک رکاوٹ بن جاتی ہے۔ بڑے نفاذ.
ACI ریورس اپروچ استعمال کرتا ہے: بلاشبہ، ایک کنٹرولر بھی ہے، لیکن سوئچ اس سے اعلیٰ سطحی اعلاناتی پالیسیاں وصول کرتے ہیں، اور سوئچ خود ہارڈ ویئر میں مخصوص سیٹنگز کی تفصیلات میں اپنی رینڈرنگ انجام دیتا ہے۔ کنٹرولر کو دوبارہ شروع یا مکمل طور پر بند کیا جا سکتا ہے، اور نیٹ ورک کو کچھ بھی برا نہیں ہوگا، سوائے اس وقت کنٹرول کی کمی کے۔ دلچسپ بات یہ ہے کہ ACI میں ایسے حالات ہیں جن میں OpenFlow اب بھی استعمال ہوتا ہے، لیکن مقامی طور پر Open vSwitch پروگرامنگ کے لیے میزبان کے اندر۔
ACI مکمل طور پر VXLAN پر مبنی اوورلے ٹرانسپورٹ پر بنایا گیا ہے، لیکن اس میں ایک ہی حل کے حصے کے طور پر بنیادی IP ٹرانسپورٹ شامل ہے۔ سسکو نے اسے "مربوط اوورلے" اصطلاح کہا۔ ACI میں اوورلیز کے لیے ختم ہونے والے نقطہ کے طور پر، زیادہ تر معاملات میں، فیکٹری کے سوئچز استعمال کیے جاتے ہیں (وہ لنک کی رفتار سے ایسا کرتے ہیں)۔ میزبانوں کو فیکٹری، انکیپسولیشن وغیرہ کے بارے میں کچھ جاننے کی ضرورت نہیں ہے، تاہم، بعض صورتوں میں (مثال کے طور پر، OpenStack میزبانوں کو جوڑنے کے لیے)، VXLAN ٹریفک کو ان تک پہنچایا جا سکتا ہے۔
ACI میں اوورلیز کا استعمال نہ صرف ٹرانسپورٹ نیٹ ورک کے ذریعے لچکدار کنیکٹیویٹی فراہم کرنے کے لیے کیا جاتا ہے، بلکہ metainformation کی منتقلی کے لیے بھی استعمال کیا جاتا ہے (مثال کے طور پر، حفاظتی پالیسیوں کو لاگو کرنے کے لیے)۔
Broadcom کے چپس پہلے سسکو کے ذریعے Nexus 3000 سیریز کے سوئچز میں استعمال کیے گئے تھے۔ Nexus 9000 فیملی میں، خاص طور پر ACI کو سپورٹ کرنے کے لیے جاری کیے گئے، ایک ہائبرڈ ماڈل کو اصل میں لاگو کیا گیا تھا، جسے مرچنٹ + کہا جاتا تھا۔ سوئچ میں بیک وقت نئی Broadcom Trident 2 چپ اور Cisco کی تیار کردہ ایک تکمیلی چپ دونوں کا استعمال کیا گیا، جو ACI کے تمام جادو کو نافذ کرتا ہے۔ بظاہر، اس نے پروڈکٹ کی ریلیز کو تیز کرنا اور سوئچ کی قیمت ٹیگ کو ماڈلز کے قریب کی سطح تک کم کرنا ممکن بنایا جس کی بنیاد صرف ٹرائیڈنٹ 2 پر تھی۔ یہ طریقہ ACI ڈیلیوری کے پہلے دو یا تین سالوں کے لیے کافی تھا۔ اس وقت کے دوران، Cisco نے اگلی جنریشن Nexus 9000 کو مزید کارکردگی اور فیچر سیٹ کے ساتھ اپنی چپس پر تیار کیا اور لانچ کیا، لیکن قیمت کی سطح پر۔ فیکٹری میں تعامل کے لحاظ سے بیرونی وضاحتیں مکمل طور پر محفوظ ہیں۔ ایک ہی وقت میں، اندرونی بھرائی مکمل طور پر بدل گئی ہے: ریفیکٹرنگ کی طرح کچھ، لیکن لوہے کے لئے.
سسکو ACI فن تعمیر کیسے کام کرتا ہے۔
آسان ترین صورت میں، ACI کلوز نیٹ ورک کی ٹوپولوجی پر بنایا گیا ہے، یا جیسا کہ وہ اکثر کہتے ہیں، Spine-Leaf۔ ریڑھ کی ہڈی کی سطح کے سوئچ دو (یا ایک، اگر ہم غلطی برداشت کرنے کی پرواہ نہیں کرتے ہیں) سے چھ تک ہو سکتے ہیں۔ اس کے مطابق، ان میں سے جتنی زیادہ ہوں گی، غلطی کی برداشت اتنی ہی زیادہ ہوگی (کسی حادثے یا ایک ریڑھ کی ہڈی کی دیکھ بھال کی صورت میں بینڈوتھ اور قابل اعتمادی میں کمی) اور مجموعی کارکردگی۔ تمام بیرونی کنکشنز لیف لیول سوئچز پر جاتے ہیں: یہ سرورز ہیں، اور L2 یا L3 کے ذریعے بیرونی نیٹ ورکس کے ساتھ ڈاکنگ، اور APIC کنٹرولرز کو جوڑ رہے ہیں۔ عام طور پر، ACI کے ساتھ، نہ صرف ترتیب، بلکہ اعداد و شمار جمع کرنا، ناکامی کی نگرانی، اور اسی طرح - سب کچھ کنٹرولرز کے انٹرفیس کے ذریعے کیا جاتا ہے، جن میں سے تین معیاری سائز کے نفاذ میں ہیں۔
آپ کو کبھی بھی کنسول کے ساتھ سوئچ سے جڑنے کی ضرورت نہیں ہے، یہاں تک کہ نیٹ ورک شروع کرنے کے لیے بھی: کنٹرولر خود سوئچز کا پتہ لگاتا ہے اور ان سے ایک فیکٹری کو اسمبل کرتا ہے، بشمول تمام سروس پروٹوکولز کی سیٹنگز، اس لیے، ویسے، یہ بہت ضروری ہے۔ انسٹالیشن کے دوران انسٹال ہونے والے آلات کے سیریل نمبر لکھیں، تاکہ بعد میں آپ کو اندازہ نہ لگانا پڑے کہ کون سا سوئچ کس ریک میں ہے۔ ٹربل شوٹنگ کے لیے، اگر ضروری ہو تو، آپ SSH کے ذریعے سوئچز سے رابطہ قائم کر سکتے ہیں: وہ عام سیسکو شو کمانڈز کو بہت احتیاط سے دوبارہ پیش کرتے ہیں۔
اندرونی طور پر، فیکٹری آئی پی ٹرانسپورٹ کا استعمال کرتی ہے، لہذا اس میں اسپیننگ ٹری اور ماضی کی دیگر ہولناکیاں نہیں ہیں: تمام روابط شامل ہیں، اور ناکامی کی صورت میں ہم آہنگی بہت تیز ہے۔ تانے بانے میں ٹریفک VXLAN کی بنیاد پر سرنگوں کے ذریعے منتقل ہوتی ہے۔ مزید واضح طور پر، سسکو خود کو iVXLAN encapsulation کہتا ہے، اور یہ باقاعدہ VXLAN سے اس لحاظ سے مختلف ہے کہ نیٹ ورک ہیڈر میں محفوظ فیلڈز کو سروس کی معلومات کی ترسیل کے لیے استعمال کیا جاتا ہے، بنیادی طور پر EPG گروپ سے ٹریفک کے تعلق کے بارے میں۔ یہ آپ کو آلات میں گروپوں کے درمیان تعامل کے قواعد کو لاگو کرنے کی اجازت دیتا ہے، ان کے نمبروں کو اسی طرح استعمال کرتے ہوئے جیسے عام رسائی کی فہرستوں میں پتے استعمال کیے جاتے ہیں۔
سرنگیں L2 سیگمنٹس اور L3 سیگمنٹس (یعنی VRF) کو اندرونی آئی پی ٹرانسپورٹ کے ذریعے پھیلانے کی اجازت دیتی ہیں۔ اس صورت میں، ڈیفالٹ گیٹ وے تقسیم کیا جاتا ہے. اس کا مطلب ہے کہ ہر سوئچ تانے بانے میں داخل ہونے والی ٹریفک کو روٹ کرنے کا ذمہ دار ہے۔ ٹریفک کے بہاؤ کی منطق کے لحاظ سے، ACI VXLAN/EVPN فیبرک کی طرح ہے۔
اگر ایسا ہے تو، کیا اختلافات ہیں؟ باقی سب کچھ!
ACI کے ساتھ آپ کا سامنا نمبر ایک فرق یہ ہے کہ سرور نیٹ ورک سے کیسے جڑے ہیں۔ روایتی نیٹ ورکس میں، فزیکل سرورز اور ورچوئل مشینوں دونوں کی شمولیت VLANs میں جاتی ہے، اور باقی سب کچھ ان سے رقص کرتا ہے: کنیکٹیویٹی، سیکیورٹی وغیرہ۔ ACI میں، ایک ڈیزائن استعمال کیا جاتا ہے جسے سسکو EPG (اینڈ پوائنٹ گروپ) کہتے ہیں، جس سے بھاگنے کی جگہ نہیں ہے. کیا اسے VLAN کے برابر کرنا ممکن ہے؟ ہاں، لیکن اس معاملے میں ACI جو کچھ دیتا ہے اس میں سے زیادہ تر کھونے کا موقع ہے۔
ای پی جی کے حوالے سے، رسائی کے تمام اصول وضع کیے جاتے ہیں، اور ACI میں، "وائٹ لسٹ" اصول بطور ڈیفالٹ استعمال کیا جاتا ہے، یعنی صرف ٹریفک کی اجازت ہے، جس کے گزرنے کی واضح اجازت ہے۔ یعنی، ہم "ویب" اور "مائی ایس کیو ایل" ای پی جی گروپس بنا سکتے ہیں اور ایک اصول کی وضاحت کر سکتے ہیں جو ان کے درمیان صرف پورٹ 3306 پر بات چیت کی اجازت دیتا ہے۔
ہمارے پاس ایسے صارفین ہیں جنہوں نے اس خصوصیت کی وجہ سے قطعی طور پر ACI کا انتخاب کیا ہے، کیونکہ یہ آپ کو سب نیٹس کے درمیان گھسیٹے بغیر سرورز (ورچوئل یا فزیکل - اس سے کوئی فرق نہیں پڑتا) تک رسائی کو محدود کرنے کی اجازت دیتا ہے، جس کا مطلب ہے ایڈریسنگ کو چھوئے بغیر۔ ہاں، ہاں، ہم جانتے ہیں کہ کوئی بھی ہاتھ سے ایپلیکیشن کنفیگریشن میں آئی پی ایڈریس تجویز نہیں کرتا، ٹھیک ہے؟
ACI میں ٹریفک قوانین کو معاہدہ کہا جاتا ہے۔ اس طرح کے معاہدے میں، کثیر درجے کی ایپلی کیشن میں ایک یا زیادہ گروپس یا لیولز سروس فراہم کرنے والے بن جاتے ہیں (کہیں، ایک ڈیٹا بیس سروس)، دوسرے صارف بن جاتے ہیں۔ معاہدہ ٹریفک کو آسانی سے منتقل کر سکتا ہے، یا یہ کچھ زیادہ مشکل کام کر سکتا ہے، مثال کے طور پر، اسے فائر وال یا بیلنسر پر بھیج سکتا ہے، اور QoS قدر کو بھی تبدیل کر سکتا ہے۔
سرور ان گروپس میں کیسے آتے ہیں؟ اگر یہ فزیکل سرورز ہیں یا موجودہ نیٹ ورک میں شامل کوئی چیز جس میں ہم نے VLAN ٹرنک بنایا ہے، تو انہیں EPG میں رکھنے کے لیے، آپ کو سوئچ پورٹ اور اس پر استعمال ہونے والے VLAN کی طرف اشارہ کرنا ہوگا۔ جیسا کہ آپ دیکھ سکتے ہیں، VLANs ظاہر ہوتے ہیں جہاں آپ ان کے بغیر نہیں کر سکتے۔
اگر سرورز ورچوئل مشینیں ہیں، تو منسلک ورچوئلائزیشن ماحول کا حوالہ دینا کافی ہے، اور پھر سب کچھ خود ہی ہو جائے گا: VM کو جوڑنے کے لیے ایک پورٹ گروپ (VMWare کے لحاظ سے) بنایا جائے گا، ضروری VLANs یا VXLANs تفویض کیا جائے گا، وہ ضروری سوئچ پورٹس وغیرہ پر رجسٹرڈ ہو جائیں گے۔ لہٰذا، اگرچہ ACI ایک فزیکل نیٹ ورک کے ارد گرد بنایا گیا ہے، ورچوئل سرورز کے کنکشن فزیکل سرورز کی نسبت بہت آسان نظر آتے ہیں۔ ACI پہلے سے ہی VMWare اور MS Hyper-V کے ساتھ بلٹ ان کنیکٹیویٹی کے ساتھ ساتھ OpenStack اور RedHat ورچوئلائزیشن کے لیے سپورٹ بھی رکھتا ہے۔ کسی وقت سے، کنٹینر پلیٹ فارمز کے لیے بلٹ ان سپورٹ بھی ظاہر ہوا ہے: Kubernetes، OpenShift، Cloud Foundry، جبکہ یہ پالیسیوں کے اطلاق اور نگرانی دونوں سے متعلق ہے، یعنی نیٹ ورک ایڈمنسٹریٹر فوری طور پر دیکھ سکتا ہے کہ کون سے میزبان کون سے پوڈز پر کام کرتے ہیں اور وہ کن گروپوں میں آتے ہیں۔
کسی خاص پورٹ گروپ میں شامل ہونے کے علاوہ، ورچوئل سرورز میں اضافی خصوصیات ہیں: نام، اوصاف وغیرہ، جنہیں کسی دوسرے گروپ میں منتقل کرنے کے معیار کے طور پر استعمال کیا جا سکتا ہے، کہتے ہیں کہ جب VM کا نام تبدیل کیا جاتا ہے یا اضافی ٹیگ ظاہر ہوتا ہے۔ یہ. سسکو اس مائیکرو سیگمنٹیشن گروپس کو کہتے ہیں، حالانکہ بڑے پیمانے پر، ایک ہی سب نیٹ پر EPGs کی شکل میں بہت سے سیکورٹی سیگمنٹس بنانے کی صلاحیت کے ساتھ ڈیزائن خود بھی کافی مائیکرو سیگمنٹیشن ہے۔ ٹھیک ہے، فروش بہتر جانتا ہے.
ای پی جی خود مکمل طور پر منطقی تعمیرات ہیں، مخصوص سوئچز، سرورز وغیرہ سے منسلک نہیں ہیں، اس لیے آپ ان کے ساتھ وہ کام کر سکتے ہیں اور ان پر مبنی تعمیرات (ایپلی کیشنز اور کرایہ دار) جو عام نیٹ ورکس میں کرنا مشکل ہے، جیسے کہ کلوننگ۔ نتیجے کے طور پر، ہم کہتے ہیں کہ پیداواری ماحول کو کلون کرنا بہت آسان ہے تاکہ ایسا ٹیسٹ ماحول حاصل کیا جا سکے جو پیداواری ماحول سے مماثل ہونے کی ضمانت ہو۔ آپ اسے دستی طور پر کر سکتے ہیں، لیکن یہ API کے ذریعے بہتر (اور آسان) ہے۔
عام طور پر، ACI میں کنٹرول منطق بالکل اس طرح نہیں ہے جس سے آپ عام طور پر ملتے ہیں۔
ایک ہی سسکو کے روایتی نیٹ ورکس میں: سافٹ ویئر انٹرفیس بنیادی ہے، اور GUI یا CLI ثانوی ہیں، کیونکہ وہ ایک ہی API کے ذریعے کام کرتے ہیں۔ اس لیے، ACI میں شامل تقریباً ہر شخص، تھوڑی دیر کے بعد، انتظام کے لیے استعمال ہونے والے آبجیکٹ ماڈل کو نیویگیٹ کرنا شروع کر دیتا ہے اور اپنی ضروریات کو پورا کرنے کے لیے کسی چیز کو خودکار بناتا ہے۔ ایسا کرنے کا سب سے آسان طریقہ Python سے ہے: اس کے لیے آسان ریڈی میڈ ٹولز موجود ہیں۔
وعدہ کیا ریک
بنیادی مسئلہ یہ ہے کہ ACI میں بہت سی چیزیں مختلف طریقے سے کی جاتی ہیں۔ اس کے ساتھ عام طور پر کام شروع کرنے کے لیے، آپ کو دوبارہ تربیت دینے کی ضرورت ہے۔ یہ خاص طور پر بڑے صارفین میں نیٹ ورک آپریشنز ٹیموں کے لیے درست ہے، جہاں انجینئرز درخواست پر برسوں سے "VLANs کا نسخہ" دے رہے ہیں۔ حقیقت یہ ہے کہ اب VLANs اب VLANs نہیں ہیں، اور آپ کو نئے نیٹ ورکس کو ورچوئلائزڈ ہوسٹس میں ڈالنے کے لیے ہاتھ سے VLANs بنانے کی ضرورت نہیں ہے، روایتی نیٹ ورکرز کی چھت کو مکمل طور پر اڑا دیتا ہے اور انہیں مانوس طریقوں سے چمٹ جاتا ہے۔ واضح رہے کہ سسکو نے گولی کو تھوڑا سا میٹھا کرنے کی کوشش کی اور کنٹرولر میں ایک "NXOS-like" CLI شامل کیا، جو آپ کو روایتی سوئچز کی طرح انٹرفیس سے کنفیگریشن کرنے کی اجازت دیتا ہے۔ لیکن پھر بھی، عام طور پر ACI کا استعمال شروع کرنے کے لیے، آپ کو یہ سمجھنا ہوگا کہ یہ کیسے کام کرتا ہے۔
قیمت کے لحاظ سے، بڑے اور درمیانے پیمانے پر، ACI نیٹ ورکس دراصل سسکو کے آلات پر روایتی نیٹ ورکس سے مختلف نہیں ہیں، کیونکہ انہیں بنانے کے لیے ایک ہی سوئچز کا استعمال کیا جاتا ہے (Nexus 9000 ACI اور روایتی موڈ میں کام کر سکتا ہے اور اب اہم بن گیا ہے۔ ڈیٹا سینٹر کے نئے منصوبوں کے لیے "ورک ہارس")۔ لیکن دو سوئچز کے ڈیٹا سینٹرز کے لیے، کنٹرولرز اور اسپائن لیف فن تعمیر کی موجودگی یقیناً خود کو محسوس کرتی ہے۔ حال ہی میں، ایک منی ACI فیکٹری نمودار ہوئی ہے، جس میں تین میں سے دو کنٹرولرز کو ورچوئل مشینوں سے تبدیل کیا گیا ہے۔ اس سے لاگت میں فرق کم ہوجاتا ہے، لیکن یہ اب بھی باقی ہے۔ اس لیے گاہک کے لیے، انتخاب اس بات سے طے ہوتا ہے کہ وہ حفاظتی خصوصیات میں کتنی دلچسپی رکھتا ہے، ورچوئلائزیشن کے ساتھ انضمام، کنٹرول کا ایک نقطہ، وغیرہ۔
ماخذ: www.habr.com