Персоналії

Cisco ACI – переосмысление сетевой инфраструктуры ЦОД

15 января, 2015. 09:01 Виктор Подкорытов
Концепция Application Centric Infrastructure от Cisco призвана решить наиболее значимые и важные проблемы, стоящие перед руководителями ЦОД: как более тесно связать, автоматизировать настройку сетей датацентров с приложениями, работающими поверх этих сетей. Цель состоит в том, чтобы уменьшить количество человеческих ошибок, сократить сроки внедрения приложений, и свести к минимуму путаницу, которая может возникнуть, когда менеджеры приложений и сетевые администраторы говорят на различных языках (серверные фермы, Exchange, Sharepoint с одной стороны и коммутаторы, межсетевые экраны, ACL, VLAN и т.п. с другой).

Получая запросы приложений непосредственно от владельца приложения, ACI позволяет ему контролировать настройку сетевых услуг, создавая целостную и задокументированную конфигурацию из сетевых элементов. Сеть ЦОД представлена для владельца приложения как абстракция (см. пример ниже).

 

Сетевой сервисный профиль приложения в GUI контроллера

Сетевые администраторы и владельцы приложений могут использовать GUI APIC для определения связности компонентов приложения, а также создавать «контракты» для коммуникаций между ними: кому позволено передавать данные, по каким портам, какое качество обслуживания требуется, какие сетевые службы необходимы. 

Состав фабрики ACI

Сама ACI-фабрика построена на коммутаторах Nexus 9000, которые интерпретируют сетевые абстракции приложений в политики, применяемые к подключаемым виртуальным и/или физическим серверам (расширяются Nexus 2000). Все коммутаторы доступа (leaf) связаны по каналам 40 Гбит со всеми коммутаторами агрегации (spin).

Сетевые абстракции разрабатываются в Контроллере Политик Инфраструктуры Application Policy Controller (APIC). Контроллер представляет собой отказоустойчивый кластер из трех серверов, который поддерживает базу данных информации о конфигурациях, и транслирует эту информацию в сетевые политики и программирует в коммутаторах. Контроллер собирает и визуализирует «здоровье» сети: задержки и потери пакетов для каждого приложения, для группы приложений, для ландшафтов (теннант), состояние сети в общем. 

  

 

 

 

  

 

 


ACI Фабрика и кластер APIC 

Для подключения виртуальной инфраструктуры используется новая версия виртуального коммутатора Nexus 1000V – Cisco Application Virtual Switch (AVS), который также управляется контроллером APIC (возможно использование и стандартных виртуальных коммутаторов). APIC кроме того работает с рядом сторонних продуктов, в том числе с балансировщиками нагрузки от Citrix и F5, и с межсетевыми экранами ASA, коммутаторами Catalyst, маршрутизаторами ISR и ASR. 

ACI цепочка сетевых сервисов 

Для того, чтобы отправить трафик на инспекцию и/или балансировку, достаточно в сетевой профиль между компонентами приложения вставить сервисный граф. ACI-фабрика перенаправит трафик в эту цепочку и после обработки вернет назад.

В дополнение к конфигурации фабрики, APIC имеет множество аналитических инструментов, обеспечивающих видимость текущего статуса инфраструктуры запущенных приложений, групп приложений и сети в общем. 

Не только инструмент для настройки

APIC — это не просто утилита автоматизации, которая создает файлы конфигураций. Физические (и виртуальные) коммутаторы ACI используют VXLAN(Virtual Extensible LAN)-технологию, для передачи L2 поверх L3-инфраструктуры, при этом пользователю нет необходимости настраивать VXLAN (при добавлении коммутатора в фабрику ACI ему присваивается служебный IP-адрес и формируется связность с другими).

В VXLAN Ethernet фреймы инкапсулируются в UDP-пакеты, которые могут воспользоваться преимуществами L3: IP-мультикаст, маршрутизация, балансировка по множеству аплинков и так далее. Благодаря этому размер фабрики легко масштабируется от 2 до тысяч коммутаторов, до 1 млн IPv4 / IPv6 хостов без увеличения сложности администрирования. Контроллер является инструментом настройки и управления.

Виртуализация серверов является огромным преимуществом для владельцев приложений (быстрота разворачивания, гибкость, масштабирование и т.д.), но только если сеть не является ограничением. Идея VXLAN в фабрике ЦОД: сделать сеть достаточно гибкой, чтобы одинаково легко работать как с виртуализацией, так и физическими серверами с помощью сетевых абстракций и создавать необходимые связности между приложениями с такой же скоростью и удобством, как и при настройке виртуальной среды.

ACI строит ЦОД-фабрику поверх VXLAN — это способ получить «растянутый» L2 домен, без «классических» ограничений, присущих L2. Например, нет широковещательных рассылок (если только не включена опция бродкаста), т.к. на каждом коммутаторе агрегации (Spin) находится общая база знаний обо всех MAC/IP-адресах по всей фабрике. Подключение хостов возможно как с помощью VLAN, так и VXLAN, NVGRE — каждый коммутатор доступа (Leaf) проводит нормализацию в VXLAN.

VXLAN в Nexus 9000— это аппаратный оверлей, и, в отличии от программного (на уровне гипервизора), ACI владеет информацией о текущем состоянии коммутаторов и аплинков фабрики, сервисных профилей приложений, может эффективно балансировать нагрузку, приоритезировать и, при необходимости, перенаправлять на инспекцию или зеркалировать трафик. Виртуальный Application Virtual Switch также управляется контроллером, понимает профили приложений и может быть софтовым оверлеем (VXLAN отрабатывается CPU сервера) или же отправлять трафик на аппаратный оверлей (т.е. коммутатор, к которому подключен гипервизор). В контроллере APIC имеются встроенные утилиты по нахождению и устранению неисправностей. 

Заключение

Cisco ACI рассматривает сеть ЦОД как единое целое, а не совокупность коммутаторов. Решение использует центральный APIC-контроллер, чтобы автоматизировать такие задачи, как первоначальный запуск ACI-фабрики, применение обновлений и индивидуальных конфигураций коммутаторов. ACI позволяет администраторам приложений применять политики в сети, просто описывая как компоненты приложений связаны друг с другом.

ACI предоставляет новый способ взглянуть на сети ЦОД, и сетевые администраторы могут тратить намного меньше времени на настройку, устранение неисправностей и отладку конфигураций ЦОД.

Конечная цель заключается в значительном сокращении операционных расходов и скорости внедрения новых бизнес-услуг и сервисов.

Материалы по теме:
Комментарии:

ДРУГИЕ БЛОГИ

ИБ без бюджета. 7 сценариев
Алексей Лукацкий 02 декабря, 2019. 09:12
FUDO PAM – эффективный контроль привилегированных пользователей
Стас Похилько 17 апреля, 2019. 09:04
Norton Security – лидер №1 по защите в сегменте Home&Small Business
Андрей Ульянов 08 апреля, 2019. 10:04
SolarWinds – мониторинг, анализ и управление ИТ-инфраструктурой
Тарас Залужный 15 марта, 2019. 10:03
Защита веб-приложений: новые вызовы и будущие тенденции
Алексей Мудрицкий 07 марта, 2019. 10:03