Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Application Centric Infrastructure. Архітектура мережі майбутнього - від міркувань до справи

2019-05-07
Автор: Телесфера

Останні кілька років Cisco активно просуває нову архітектуру побудови мережі передачі даних в ЦОД - Application Centric Infrastructure (або ACI). Деякі з нею вже знайомі. А хтось навіть встиг впровадити її на своїх підприємствах. Однак для більшості ІТ-фахівців та ІТ-керівників ACI поки є або незрозумілою абревіатурою, або всього лише міркуванням про майбутнє.

У цій статті ми постараємося це майбутнє наблизити. Для цього ми розповімо про основні архітектурні компоненти ACI, а також проілюструємо спосіб її застосування на практиці.

Передісторія

Традиційною і найпопулярнішою моделлю побудови мережі є трирівнева ієрархічна модель: ядро -> розподіл (агрегація) -> доступ. Протягом багатьох років ця модель була еталоном, під неї виробники випускали різні мережеві пристрої відповідного функціоналу.

Раніше, коли інформаційні технології були свого роду необхідним (і, чесно кажучи, не завжди бажаним) придатком до бізнесу, дана модель була зручна, дуже статична і надійна. Однак зараз, коли ІТ є одним із драйверів розвитку бізнесу, а в багатьох випадках і самим бізнесом, статичність даної моделі стала викликати великі проблеми.

Сучасний бізнес генерує велику кількість різних складних вимог до мережевої інфраструктури. Від термінів реалізації цих вимог безпосередньо залежить успішність бізнесу. Зволікання в таких умовах неприпустимо, а класична модель побудови мережі часто не дозволяє своєчасно задовольняти всі бізнес-потреби.

Наприклад, поява нового складного бізнес-додатку передбачає вчинення мережевими адміністраторами великої кількості однотипних рутинних операцій на великій кількості різних мережевих пристроїв на різних рівнях. Крім того, що це займає багато часу, це ще й підвищує ризик припуститися помилки, яка може привеcті до серйозного простою ІТ-послуг і, як результат, до фінансових збитків.

Коренем проблеми є навіть не самі терміни або складність вимог. Справа в тому, що ці вимоги необхідно «переводити» з мови бізнес-додатків на мову мережевої інфраструктури. Як відомо, будь-який переклад - це завжди часткова втрата сенсу. Коли власник додатку говорить про логіку роботи свого застосування, мережевий адміністратор розуміє набір VLAN-ів, Access list-ів на десятках пристроїв, які потрібно підтримувати, актуалізувати і документувати.

Накопичений досвід і постійне спілкування з замовниками дозволило Cisco спроектувати і впровадити нові принципи побудови мережі передачі даних центру обробки даних, які відповідають сучасним тенденціям і грунтуються, в першу чергу, на логіці бізнес-додатків. Звідси і назва - Application Centric Infrastructure.

Архітектура ACI

Архітектуру ACI найбільш правильно розглядати не з фізичної сторони, а з логічної. Вона заснована на моделі автоматизованих політик, об'єкти яких на верхньому рівні можна розділити на наступні компоненти:

  1. Мережа на базі комутаторів Nexus
  2. Кластер контролерів APIC
  3. Профілі додатків

Розглянемо кожен рівень більш детально - при цьому ми будемо переходити від простого до складного.

Мережа на базі комутаторів Nexus

Мережа в ACI-фабриці схожа на традиційну ієрархічну модель, але будується значно простіше. Для організації мережі використовується модель Leaf-Spine, яка стала загальноприйнятим підходом для реалізації мереж нового покоління. Дана модель складається з двох рівнів: Spine і Leaf, відповідно.

Рівень Spine відповідає тільки за продуктивність. Сумарна продуктивність Spine-комутаторів дорівнює продуктивності всієї фабрики, тому на цьому рівні слід використовувати комутатори з портами 40G або вище.

Spine-комутатори з'єднуються з усіма комутаторами наступного рівня: Leaf-комутаторами, до яких підключаються кінцеві хости. Основна роль Leaf-комутаторів - портова ємність.

Таким чином, легко вирішуються питання масштабування: якщо нам потрібно збільшити пропускну здатність фабрики, ми додаємо Spine-комутатори, а якщо нам потрібно збільшити портову ємність - Leaf.

Для обох рівнів використовуються комутатори серії Cisco Nexus 9000, які для Cisco є основним інструментом для побудови мереж ЦОД незалежно від їх архітектури. Для рівня Spine використовуються комутатори Nexus 9300 або Nexus 9500, а для Leaf тільки Nexus 9300.

Модельний ряд комутаторів Nexus, які використовуються в ACI фабриці, наведено на малюнку нижче.

Кластер контролерів APIC (Application Policy Infrastructure Controller)

APIC-контролери являють собою спеціалізовані фізичні сервери, при цьому для невеликих впроваджень допускається використовувати кластер з одного фізичного APIC контролера і двох віртуальних.

Контролери APIC здійснюють функції управління і моніторингу. Важливим є те, що контролери ніколи не беруть участь в передачі даних, тобто, якщо навіть всі контролери кластера вийдуть з ладу, то на стабільність роботи мережі це абсолютно не вплине. Також необхідно відзначити, що за допомогою APIC-ів адміністратор керує всіма фізичними та логічними ресурсами фабрики, і для того, щоб внести будь-які зміни, не потрібно більше підключатися до того чи іншого пристрою, оскільки в ACI використовується єдина точка управління.

Тепер перейдемо до одного з головних компонентів ACI - профілів додатків.

Профіль додатку (Application Network Profile) - це логічна основа ACI. Саме профілі додатків визначають політики взаємодії між усіма мережевими сегментами і описують безпосередньо самі мережеві сегменти. ANP дозволяє абстрагуватися від фізичного рівня і, по суті, уявити, як потрібно організувати взаємодію між різними сегментами мережі з точки зору програми.

Профіль додатку складається з груп підключень (End-point groups - EPG). Група підключень - це логічна група хостів (віртуальних машин, фізичних серверів, контейнерів і т.п.), які знаходяться в одному сегменті безпеки (НЕ мережі, а саме безпеки). Кінцеві хости, які відносяться до тієї чи іншої EPG, можуть визначатися великою кількістю критеріїв. Зазвичай використовуються такі:

  • Фізичний порт
  • Логічний порт (порт-група на віртуальному комутаторі)
  • VLAN ID або VXLAN
  • IP-адреса або IP-підмережа
  • Атрибути сервера (ім'я, розташування, версія ОС і т.п.)

Для взаємодії різних EPG передбачена сутність, яка називається контрактами. Контракт визначає відносини між різними EPG. Іншими словами, контракт визначає яку послугу одна EPG надає іншій EPG. Наприклад, ми створюємо контракт, який дозволяє ходити трафіку по протоколу HTTPS. Далі ми з'єднуємо цим контрактом, наприклад, EPG Web (група веб-серверів) і EPG App (група серверів додатків), після цього ці дві термінальні групи можуть обмінюватися трафіком по протоколу HTTPS.

На малюнку нижче описаний приклад налаштування зв'язку різних EPG через контракти в рамках одного ANP.

Профілів додатків в рамках ACI-фабрики може бути скільки завгодно. Крім того, контракти не прив'язані до конкретного профілю додатку, їх можна (і потрібно) використовувати для з'єднання EPG в різних ANP.

По суті, кожен додаток, для якого в тому чи іншому вигляді потрібна мережа, описується власним профілем. Наприклад, на схемі вище приведена стандартна архітектура триланцюгового додатку, що складається з N-ної кількості серверів зовнішнього доступу (Web), серверів додатків (App) і серверів СУБД (DB), а також описані правила взаємодії між ними. У традиційній мережевій інфраструктурі це був би набір правил, прописаних на різних пристроях в інфраструктурі. В архітектурі ACI ми описуємо ці правила в рамках одного профілю додатка. ACI за допомогою профілю додатка дозволяє значно спростити створення великої кількості налаштувань на різних пристроях, згрупувавши їх усі в єдиний профіль.

На малюнку нижче показаний більш життєвий приклад. Профіль додатки Microsoft Exchange, виконаний з декількох EPG і контрактів.

Центральне управління, автоматизація і моніторинг - одна з ключових переваг ACI. ACI фабрика позбавляє адміністраторів від рутинної роботи по створенню великої кількості правил на різних комутаторах, маршрутизаторах і міжмережевих екранах (при цьому класичний ручний метод наслаштування дозволений і може бути використаний). Налаштування профілів додатків і інших об'єктів ACI автоматично застосовуються по всій ACI фабриці. Навіть при фізичному перемиканні серверів в інші порти комутаторів фабрики не буде потрібно дублювати налаштування зі старих комутаторів на нові і зачищати непотрібні правила. Виходячи з критеріїв приналежності хоста до EPG, фабрика виконає ці налаштування автоматично і автоматично очистить невикористовувані правила.

Інтегровані політики безпеки ACI реалізовані за принципом білих списків, тобто те, що явно не дозволено, за замовчуванням заборонено. У сукупності з автоматичною актуалізацією конфігурацій мережевого обладнання (видалення «забутих» невикористовуваних правил і дозволів) цей підхід значно підвищує загальний рівень безпеки мережі і звужує поверхню потенційної атаки.

ACI дозволяє організовувати мережеву взаємодію не тільки віртуальних машин і контейнерів, а й фізичних серверів, апаратних МСЕ і мережевого устаткування сторонніх виробників, що робить ACI унікальним на поточний момент рішенням.

Новий підхід компанії Cisco до побудови мережі передачі даних на базі логіки додатків - це не тільки автоматизація, безпека і централізоване управління. Це ще й сучасна горизонтально масштабована мережа, що відповідає всім вимогам сучасного бізнесу.

Реалізація мережевої інфраструктури на базі ACI дозволяє всім підрозділам підприємства розмовляти однією мовою. Адміністратор керується тільки логікою роботи додатку, в якому описані необхідні правила і зв'язки. Також, як і логікою роботи програми керуються власники і розробники програми, служба інформаційної безпеки, економісти і власники бізнесу.

Таким чином, компанія Cisco на практиці реалізує концепцію мережі центру обробки даних нового покоління.

Джерело: https://habr.com/ru/company/cisco/blog/450650/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Побудова корпоративних мереж передачі даних

Побудова корпоративних мереж передачі даних
Cisco,Cisco Network,Wi-Fi,Налаштування,Локальні Обчислювальні Мережі,Блог Телесфера,Послуги Телесфера Інтеграція,Телесфера Інтеграція

Корпоративна мережа дозволяє ефективно об'єднати територіально віддалені підрозділи компанії. Що отримає підприємство при створенні корпоративної мережі або об'єднання офісних майданчиків: - єдиний інформаційний простір; - оперативність отримання інформації і можливість формування консолдованих звітів рівня підприємства; - централізація фінансових і інформаційних потоків даних...

Application Centric Infrastructure. Архітектура мережі майбутнього - від міркувань до справи

Application Centric Infrastructure. Архітектура мережі майбутнього - від міркувань до справи
Cisco,Cisco Network,cisco,cisco безпека,Блог Телесфера,Налаштування Cisco,Продуктивність,Телесфера Інтеграція

Останні кілька років Cisco активно просуває нову архітектуру побудови мережі передачі даних в ЦОД - Application Centric Infrastructure (або ACI). Деякі з нею вже знайомі. А хтось навіть встиг впровадити її на своїх підприємствах. Однак для більшості ІТ-фахівців та ІТ-керівників ACI поки є або незрозумілою абревіатурою, або всього лише міркуванням про майбутнє.

Cisco перейде до нових стандартів Wi-Fi 6. Як це вплине на її бізнес

Cisco перейде до нових стандартів Wi-Fi 6. Як це вплине на її бізнес
Cisco,Cisco Network,Wi-Fi,wi-fi,новини,cisco,Налаштування Cisco,Cisco Wi-Fi

Cisco Systems запустить апаратне забезпечення для наступного покоління Wi-Fi. Компанія оновить свій бізнес інфраструктури вартістю в $ 28,2 млрд. Це еволюція Cisco від апаратної моделі до програмної, заявили експерти