Cisco ACI skriptining ushbu sehrli qismi yordamida siz tezda tarmoqni sozlashingiz mumkin.
Cisco ACI ma'lumotlar markazi uchun tarmoq zavodi besh yildan beri mavjud, ammo Habre bu haqda hech narsa aytmadi, shuning uchun men uni biroz tuzatishga qaror qildim. Men sizga o'z tajribamdan aytib beraman, bu nima, undan nima foyda va qayerda rake bor.
Bu nima va u qaerdan kelgan?
2013 yilda ACI (Application Centric Infrastructure) e'lon qilingan paytda, raqobatchilar bir vaqtning o'zida uch tomondan ma'lumotlar markazlari tarmoqlariga an'anaviy yondashuvlar bo'yicha oldinga siljishdi.
Bir tomondan, OpenFlow-ga asoslangan "birinchi avlod" SDN yechimlari tarmoqlarni bir vaqtning o'zida yanada moslashuvchan va arzonroq qilishga va'da berdi. G'oya an'anaviy ravishda xususiy kalit dasturiy ta'minot tomonidan amalga oshiriladigan qarorlarni markaziy boshqaruvchiga o'tkazish edi.
Ushbu kontroller sodir bo'layotgan hamma narsani yagona ko'rishga ega bo'ladi va shunga asoslanib, barcha kalitlarning apparatini muayyan oqimlarni qayta ishlash qoidalari darajasida dasturlaydi.
Boshqa tomondan, overlay tarmoq echimlari virtuallashtirilgan xostlar o'rtasida dasturiy tunnellarni qurish orqali jismoniy tarmoqda hech qanday o'zgarishlarsiz zarur ulanish va xavfsizlik siyosatini amalga oshirishga imkon berdi. Ushbu yondashuvning eng mashhur namunasi Nicira bo'lib, u o'sha paytgacha VMWare tomonidan 1,26 milliard dollarga sotib olingan va hozirgi VMWare NSX-ni yaratgan. Vaziyatning ba'zi bir jirkanchligi shundaki, Nicira asoschilari ilgari OpenFlowning kelib chiqishida turgan bir xil odamlar bo'lgan, endi esa ma'lumotlar markazi zavodini qurish uchun .
Va nihoyat, ochiq bozorda mavjud bo'lgan kommutatsiya chiplari (bu savdogar kremniy deb ataladi) etuklik bosqichiga etib keldi, ular an'anaviy kalit ishlab chiqaruvchilar uchun haqiqiy tahdidga aylandi. Agar ilgari har bir sotuvchi o'z kalitlari uchun chiplarni mustaqil ravishda ishlab chiqqan bo'lsa, vaqt o'tishi bilan uchinchi tomon ishlab chiqaruvchilarining chiplari, birinchi navbatda Broadcom kompaniyasi, funktsiyalar bo'yicha sotuvchi chiplari bilan masofani qisqartira boshladi va narx / ishlash nisbati bo'yicha ulardan o'zib ketdi. Shuning uchun, ko'pchilik o'z dizaynidagi chiplarni o'zgartirish kunlari raqamlangan deb ishonishgan.
ACI yuqorida aytilganlarning barchasiga Cisco’ning “assimetrik javobi”ga aylandi (aniqrog‘i, uning sobiq xodimlari tomonidan asos solingan Insieme kompaniyasi).
OpenFlow bilan qanday farq bor?
Funktsiyalarni taqsimlash nuqtai nazaridan, ACI aslida OpenFlow-ga qarama-qarshidir.
OpenFlow arxitekturasida boshqaruvchi batafsil qoidalarni (oqimlarni) yozish uchun javobgardir.
barcha kalitlarning apparatida, ya'ni katta tarmoqda, u tarmoqning yuzlab nuqtalarida o'n millionlab yozuvlarni saqlash va eng muhimi, o'zgartirish uchun javobgar bo'lishi mumkin, shuning uchun uning ishlashi va ishonchliligi muammoga aylanadi. katta amalga oshirish.
ACI teskari yondashuvdan foydalanadi: albatta, boshqaruvchi ham bor, lekin kalitlar undan yuqori darajadagi deklarativ siyosatlarni oladi va kalitning o'zi ularni apparatdagi muayyan sozlamalar tafsilotlariga ko'rsatishni amalga oshiradi. Tekshirgichni qayta ishga tushirish yoki butunlay o'chirish mumkin va tarmoqqa hech qanday yomon narsa bo'lmaydi, albatta, hozirgi vaqtda boshqaruvning etishmasligi bundan mustasno. Qizig'i shundaki, ACI-da OpenFlow hali ham qo'llaniladigan, lekin Open vSwitch dasturlash uchun xost ichida mahalliy bo'lgan holatlar mavjud.
ACI butunlay VXLAN-ga asoslangan overlay transportida qurilgan, lekin bitta yechimning bir qismi sifatida asosiy IP transportini o'z ichiga oladi. Cisco buni "integratsiyalangan qoplama" atamasi deb atadi. ACI-dagi qoplamalar uchun tugatish nuqtasi sifatida ko'p hollarda zavod kalitlari ishlatiladi (ular buni ulanish tezligida bajaradilar). Xostlardan zavod, inkapsulyatsiya va h.k.lar haqida hech narsa bilishi shart emas, biroq baʼzi hollarda (masalan, OpenStack xostlarini ulash uchun) ularga VXLAN trafigini keltirish mumkin.
ACI-da qoplamalar nafaqat transport tarmog'i orqali moslashuvchan ulanishni ta'minlash, balki metama'lumotni uzatish uchun ham qo'llaniladi (masalan, xavfsizlik siyosatini qo'llash uchun ishlatiladi).
Broadcom chiplari ilgari Cisco tomonidan Nexus 3000 seriyali kalitlarida ishlatilgan.ACI-ni qo'llab-quvvatlash uchun maxsus chiqarilgan Nexus 9000 oilasida dastlab Merchant + deb nomlangan gibrid model joriy qilingan. Kalit bir vaqtning o'zida yangi Broadcom Trident 2 chipidan va Cisco tomonidan ishlab chiqilgan, ACI ning barcha sehrlarini amalga oshiradigan qo'shimcha chipdan foydalangan. Ko'rinib turibdiki, bu mahsulotning chiqarilishini tezlashtirishga va kalitning narxini oddiygina Trident 2 asosidagi modellarga yaqin darajaga tushirishga imkon berdi. Bunday yondashuv ACI yetkazib berishning dastlabki ikki yoki uch yili uchun etarli edi. Bu vaqt ichida Cisco ko'proq unumdorlik va xususiyatlar to'plamiga ega, lekin bir xil narx darajasida o'z chiplarida keyingi avlod Nexus 9000 ni ishlab chiqdi va ishga tushirdi. Zavoddagi o'zaro ta'sir nuqtai nazaridan tashqi spetsifikatsiyalar to'liq saqlanib qolgan. Shu bilan birga, ichki plomba butunlay o'zgardi: refaktoring kabi bir narsa, lekin temir uchun.
Cisco ACI arxitekturasi qanday ishlaydi
Eng oddiy holatda, ACI Klose tarmog'ining topologiyasi yoki ular tez-tez aytganidek, Spine-Leaf asosida qurilgan. Orqa miya darajasidagi kalitlar ikkitadan (yoki xatoga chidamlilik haqida qayg'urmasak, bittadan) oltitagacha bo'lishi mumkin. Shunga ko'ra, ular qanchalik ko'p bo'lsa, xatolarga chidamlilik qanchalik yuqori bo'lsa (halokat sodir bo'lganda yoki bitta umurtqa pog'onasiga texnik xizmat ko'rsatishda tarmoqli kengligi va ishonchliligini pasaytirish qanchalik past) va umumiy ishlash. Barcha tashqi ulanishlar barg darajasidagi kalitlarga o'tadi: bu serverlar va L2 yoki L3 orqali tashqi tarmoqlarga ulanish va APIC kontrollerlarini ulash. Umuman olganda, ACI bilan nafaqat konfiguratsiya, balki statistik ma'lumotlarni to'plash, nosozliklarni kuzatish va boshqalar - hamma narsa kontrollerlar interfeysi orqali amalga oshiriladi, ulardan uchtasi standart o'lchamdagi ilovalarda mavjud.
Siz hech qachon konsol bilan kalitlarga ulanishingiz shart emas, hatto tarmoqni ishga tushirish uchun ham: boshqaruvchi o'zi kalitlarni aniqlaydi va ulardan zavodni, shu jumladan barcha xizmat protokollari sozlamalarini yig'adi, shuning uchun aytmoqchi, bu juda muhim. o'rnatish vaqtida o'rnatilayotgan uskunaning seriya raqamlarini yozib qo'ying, shunda keyinchalik qaysi kalit qaysi rafda joylashganligini taxmin qilishingiz shart emas. Muammolarni bartaraf etish uchun, agar kerak bo'lsa, siz SSH orqali kalitlarga ulanishingiz mumkin: ular odatdagi Cisco show buyruqlarini juda ehtiyotkorlik bilan takrorlaydi.
Ichkarida zavod IP transportidan foydalanadi, shuning uchun unda Spanning Tree va o'tmishning boshqa dahshatlari yo'q: barcha havolalar ishtirok etadi va buzilish holatlarida konvergentsiya juda tez sodir bo'ladi. Matodagi trafik VXLAN asosidagi tunnellar orqali uzatiladi. Aniqrog‘i, Cisco’ning o‘zi iVXLAN inkapsulyatsiyasini chaqiradi va u oddiy VXLAN’dan farq qiladi, chunki tarmoq sarlavhasidagi ajratilgan maydonlar xizmat ma’lumotlarini, birinchi navbatda, EPG guruhiga trafik aloqasi haqida ma’lumot uzatish uchun ishlatiladi. Bu sizga uskunadagi guruhlar o'rtasidagi o'zaro ta'sir qoidalarini amalga oshirishga imkon beradi, ularning raqamlaridan oddiy kirish ro'yxatlarida foydalanilganidek foydalaniladi.
Tunnellar L2 segmentlarini ham, L3 segmentlarini ham (ya'ni VRF) ichki IP transporti orqali cho'zish imkonini beradi. Bunday holda, standart shlyuz taqsimlanadi. Bu shuni anglatadiki, har bir kalit matoga kiradigan trafikni yo'naltirish uchun javobgardir. Trafik oqimi mantig'i nuqtai nazaridan, ACI VXLAN/EVPN matosiga o'xshaydi.
Agar shunday bo'lsa, qanday farqlar bor? Boshqa hamma narsa!
ACI bilan duch keladigan birinchi raqamli farq bu serverlar tarmoqqa qanday ulanganligidir. An'anaviy tarmoqlarda ham jismoniy serverlar, ham virtual mashinalarning kiritilishi VLAN-larga o'tadi va qolgan hamma narsa ulardan raqsga tushadi: ulanish, xavfsizlik va boshqalar. ACI-da Cisco EPG (End-point Group) deb nomlanadigan dizayndan foydalaniladi. qochadigan joy yo'q. Uni VLANga tenglashtirish mumkinmi? Ha, lekin bu holda ACI beradigan narsalarning ko'pini yo'qotish imkoniyati mavjud.
EPGga kelsak, barcha kirish qoidalari shakllantirilgan va ACIda sukut bo'yicha "oq ro'yxat" tamoyili qo'llaniladi, ya'ni faqat o'tishga ruxsat berilgan trafikka ruxsat beriladi. Ya'ni, biz "Web" va "MySQL" EPG guruhlarini yaratishimiz va ular o'rtasida faqat 3306 portda aloqa o'rnatishga ruxsat beruvchi qoidani belgilashimiz mumkin. Bu tarmoq manzillariga bog'lanmasdan va hatto bir xil quyi tarmoq ichida ishlaydi!
Bizda aynan shu xususiyat tufayli ACI-ni tanlagan mijozlarimiz bor, chunki u serverlar orasidagi kirishni cheklash imkonini beradi (virtual yoki jismoniy - bu muhim emas), ularni pastki tarmoqlar o'rtasida sudrab chiqmasdan, ya'ni manzilga tegmasdan. Ha, ha, biz bilamizki, hech kim dastur konfiguratsiyasida IP-manzillarni qo'lda belgilamaydi, to'g'rimi?
ACIda yo'l harakati qoidalari shartnomalar deb ataladi. Bunday shartnomada ko'p darajali ilovadagi bir yoki bir nechta guruhlar yoki darajalar xizmat ko'rsatuvchi provayderga (masalan, ma'lumotlar bazasi xizmati), boshqalari iste'molchiga aylanadi. Shartnoma oddiygina trafikni o'tkazib yuborishi mumkin yoki u yanada murakkabroq narsani qilishi mumkin, masalan, uni xavfsizlik devori yoki balanserga yo'naltirishi, shuningdek QoS qiymatini o'zgartirishi mumkin.
Serverlar ushbu guruhlarga qanday kiradi? Agar bu jismoniy serverlar yoki biz VLAN magistralini yaratgan mavjud tarmoqqa kiritilgan biror narsa bo'lsa, ularni EPG-ga joylashtirish uchun siz kommutator portiga va unda ishlatiladigan VLAN-ga ishora qilishingiz kerak bo'ladi. Ko'rib turganingizdek, VLAN-lar ularsiz ishlamaydigan joyda paydo bo'ladi.
Agar serverlar virtual mashinalar bo'lsa, u holda ulangan virtualizatsiya muhitiga murojaat qilish kifoya va keyin hamma narsa o'z-o'zidan sodir bo'ladi: VMni ulash uchun port guruhi (VMWare nuqtai nazaridan) yaratiladi, kerakli VLAN yoki VXLAN-lar bo'ladi. tayinlangan bo'lsa, ular kerakli kommutator portlarida ro'yxatga olinadi va hokazo. Shunday qilib, ACI jismoniy tarmoq atrofida qurilgan bo'lsa-da, virtual serverlar uchun ulanishlar jismoniylarga qaraganda ancha sodda ko'rinadi. ACI allaqachon VMWare va MS Hyper-V bilan o'rnatilgan ulanishga ega, shuningdek, OpenStack va RedHat virtualizatsiyasini qo'llab-quvvatlaydi. Bir vaqtning o'zida konteyner platformalari uchun o'rnatilgan qo'llab-quvvatlash ham paydo bo'ldi: Kubernetes, OpenShift, Cloud Foundry, bu siyosatlarni qo'llash va monitoringga tegishli bo'lsa-da, ya'ni tarmoq ma'muri qaysi xostlar ustida ishlayotganini va qaysi xostlarda ishlashini darhol ko'rishi mumkin. ular qaysi guruhlarga kiradi.
Muayyan port guruhiga kiritilganidan tashqari, virtual serverlar qo'shimcha xususiyatlarga ega: nom, atributlar va boshqalar, ularni boshqa guruhga o'tkazish mezoni sifatida foydalanish mumkin, masalan, VM nomi o'zgartirilganda yoki qo'shimcha teg paydo bo'lganda. bu. Cisco bu mikro-segmentatsiya guruhlari deb ataladi, garchi umuman olganda, dizaynning o'zi bir xil kichik tarmoqda EPG ko'rinishida ko'plab xavfsizlik segmentlarini yaratish qobiliyatiga ega bo'lsa ham, mikro-segmentatsiya. Xo'sh, sotuvchi yaxshiroq biladi.
EPG-larning o'zi aniq mantiqiy konstruktsiyalar bo'lib, ular ma'lum kalitlarga, serverlarga va boshqalarga bog'lanmagan, shuning uchun siz ular bilan ishlarni bajarishingiz va ularga asoslangan konstruksiyalarni (ilovalar va ijarachilar) klonlash kabi oddiy tarmoqlarda qilish qiyin. Natijada, ishlab chiqarish muhiti bilan bir xil bo'lishi kafolatlangan sinov muhitini olish uchun ishlab chiqarish muhitini klonlash juda oson, deylik. Siz buni qo'lda qilishingiz mumkin, lekin bu API orqali yaxshiroq (va osonroq).
Umuman olganda, ACI-dagi boshqaruv mantig'i siz odatda uchrashadigan narsaga umuman o'xshamaydi
bir xil Cisco'dan an'anaviy tarmoqlarda: dasturiy interfeys asosiy, GUI yoki CLI esa ikkilamchi, chunki ular bir xil API orqali ishlaydi. Shuning uchun, ACI bilan shug'ullanadigan deyarli har bir kishi, bir muncha vaqt o'tgach, boshqarish uchun ishlatiladigan ob'ekt modeli bo'yicha harakat qilishni va ehtiyojlariga mos keladigan narsalarni avtomatlashtirishni boshlaydi. Buning eng oson yo'li Python-dan: buning uchun qulay tayyor vositalar mavjud.
Va'da qilingan rake
Asosiy muammo shundaki, ACIda ko'p narsalar boshqacha tarzda amalga oshiriladi. U bilan normal ishlashni boshlash uchun siz qayta tayyorlashingiz kerak. Bu, ayniqsa, yirik mijozlardagi tarmoq operatsiyalari guruhlari uchun to'g'ri keladi, bu erda muhandislar so'rov bo'yicha yillar davomida "VLAN-larni yozib berishadi". Endi VLAN-lar endi VLAN emasligi va virtuallashtirilgan xostlarga yangi tarmoqlarni joylashtirish uchun VLAN-larni qo'lda yaratishingiz shart emasligi an'anaviy tarmoqchilarni butunlay yo'q qiladi va ularni tanish yondashuvlarga yopishib oladi. Shuni ta'kidlash kerakki, Cisco tabletkani biroz shirinlashtirishga harakat qildi va kontrollerga "NXOS-ga o'xshash" CLI qo'shdi, bu sizga an'anaviy kalitlarga o'xshash interfeysdan konfiguratsiyani amalga oshirish imkonini beradi. Ammo shunga qaramay, ACI-dan normal foydalanishni boshlash uchun uning qanday ishlashini tushunishingiz kerak.
Narxlari bo'yicha, katta va o'rta miqyosda ACI tarmoqlari Cisco uskunalaridagi an'anaviy tarmoqlardan aslida farq qilmaydi, chunki ularni qurish uchun bir xil kalitlar ishlatiladi (Nexus 9000 ACI va an'anaviy rejimda ishlashi mumkin va endi asosiy tarmoqqa aylandi. yangi ma'lumotlar markazi loyihalari uchun "ish kuchi"). Ammo ikkita kalitning ma'lumotlar markazlari uchun kontrollerlar va Spine-Leaf arxitekturasining mavjudligi, albatta, o'zlarini his qiladi. Yaqinda Mini ACI zavodi paydo bo'ldi, unda uchta kontrollerdan ikkitasi virtual mashinalar bilan almashtiriladi. Bu narxdagi farqni kamaytiradi, ammo u hali ham saqlanib qoladi. Shunday qilib, mijoz uchun tanlov uning xavfsizlik xususiyatlariga, virtualizatsiya bilan integratsiyaga, yagona nazorat nuqtasiga va hokazolarga qanchalik qiziqishi bilan bog'liq.
Manba: www.habr.com