En los últimos años, Cisco ha promovido activamente una nueva arquitectura de red de centro de datos en el centro de datos:
Infraestructura centrada en aplicaciones (o ACI) . Algunos ya están familiarizados con ella. Y alguien incluso logró introducirlo en sus empresas, incluso en Rusia. Sin embargo, para la mayoría de los profesionales de TI y ejecutivos de TI, ACI es una abreviatura oscura o simplemente una discusión sobre el futuro.
En este artículo intentaremos acercar este futuro. Para hacer esto, hablaremos sobre los principales componentes arquitectónicos de ACI, e ilustraremos cómo ponerlo en práctica. Además, en el futuro cercano organizaremos una demostración visual del trabajo de ACI, en la que todos los especialistas de TI interesados pueden inscribirse.
Puede obtener más información sobre la nueva arquitectura de construcción de redes en San Petersburgo en mayo de 2019. Todos los detalles están en el
enlace . Regístrate!
Antecedentes
El modelo tradicional y más popular para construir una red es un modelo jerárquico de tres niveles: núcleo -> distribución (agregación) -> acceso. Con los años, este modelo ha sido el estándar; los fabricantes lo usaron para producir varios dispositivos de red con la funcionalidad correspondiente.
Anteriormente, cuando la tecnología de la información era un tipo de apéndice necesario (y, francamente, no siempre deseado) para los negocios, este modelo era conveniente, muy estático y confiable. Sin embargo, ahora que TI es uno de los impulsores del desarrollo empresarial, y en muchos casos el negocio en sí, la naturaleza estática de este modelo se ha convertido en un gran problema.
Las empresas modernas generan una gran cantidad de requisitos complejos diferentes para la infraestructura de red. El éxito del negocio depende directamente del momento de la implementación de estos requisitos. El retraso en tales condiciones es inaceptable, y el modelo clásico de construcción de una red a menudo no permite la satisfacción oportuna de todas las necesidades comerciales.
Por ejemplo, la aparición de una nueva aplicación empresarial compleja implica que los administradores de red realicen una gran cantidad de operaciones de rutina del mismo tipo en una gran cantidad de dispositivos de red diferentes en diferentes niveles. Además del hecho de que lleva mucho tiempo, también aumenta el riesgo de cometer un error que puede conducir a un tiempo de inactividad grave de los servicios de TI y, como resultado, a daños financieros.
La raíz del problema ni siquiera es el tiempo en sí mismo o la complejidad de los requisitos. El hecho es que estos requisitos deben "traducirse" del idioma de las aplicaciones comerciales al idioma de la infraestructura de red. Como sabes, cualquier traducción es siempre una pérdida parcial de significado. Cuando el propietario de la aplicación habla sobre la lógica de su aplicación, el administrador de la red comprende el conjunto de VLAN, listas de acceso en docenas de dispositivos que deben mantenerse, actualizarse y documentarse.
La experiencia acumulada y la comunicación constante con los clientes permitieron a Cisco diseñar e implementar nuevos principios para construir una red de datos de centros de datos, que satisfagan las tendencias modernas y se basen principalmente en la lógica de las aplicaciones comerciales. De ahí el nombre: Infraestructura centrada en la aplicación.
Arquitectura ACI
La arquitectura ACI se ve más correctamente no desde el lado físico, sino desde el lógico. Se basa en un modelo de políticas automatizadas, cuyos objetos en el nivel superior se pueden dividir en los siguientes componentes:
- Red basada en conmutadores Nexus.
- Clúster de controladores APIC
- Perfiles de aplicación;
Considere cada nivel con más detalle, mientras que pasaremos de lo simple a lo complejo.
Red de conmutadores Nexus
La red en la fábrica de ACI es similar al modelo jerárquico tradicional, pero es mucho más simple de construir. Para organizar la red, se utiliza el modelo Leaf-Spine, que se ha convertido en un enfoque generalmente aceptado para implementar redes de próxima generación. Este modelo consta de dos niveles: columna vertebral y hoja, respectivamente.
El nivel de la columna solo es responsable del rendimiento. El rendimiento general de los conmutadores Spine es igual al rendimiento de toda la fábrica, por lo tanto, los conmutadores con puertos de 40G o más deben usarse en este nivel.
Los interruptores de columna se conectan a todos los interruptores de nivel siguiente: interruptores de hoja a los que se conectan los hosts finales. El papel principal de los conmutadores Leaf es la capacidad del puerto.
Por lo tanto, los problemas de escalado se resuelven fácilmente: si necesitamos aumentar el rendimiento de la fábrica, agregamos interruptores de columna y si necesitamos aumentar la capacidad del puerto: Leaf.
Para ambos niveles, se utilizan los conmutadores de la serie Cisco Nexus 9000, que para Cisco son la herramienta principal para construir redes de centros de datos independientemente de su arquitectura. Para el nivel de la columna vertebral, se utilizan los interruptores Nexus 9300 o Nexus 9500, y para Leaf, solo el Nexus 9300.
El rango de interruptores Nexus utilizados en la fábrica ACI se muestra en la figura a continuación.
Clúster APIC (controlador de infraestructura de políticas de aplicación)
Los controladores APIC son servidores físicos especializados, y para implementaciones pequeñas se permite usar un clúster de un controlador APIC físico y dos virtuales.
Los controladores APIC proporcionan funciones de gestión y monitoreo. Es importante que los controladores nunca participen en la transferencia de datos, es decir, incluso si todos los controladores de clúster fallan, esto no afectará la estabilidad de la red. También se debe tener en cuenta que con la ayuda de APIC, el administrador administra absolutamente todos los recursos físicos y lógicos de la fábrica, y para realizar cualquier cambio, ya no es necesario conectarse a un dispositivo en particular, ya que el ACI usa un único punto de control.
Ahora pasemos a uno de los componentes principales de ACI: los perfiles de aplicación.Un perfil de red de aplicación es la base lógica de ACI. Son los perfiles de aplicación los que determinan las políticas de interacción entre todos los segmentos de la red y describen directamente los segmentos de la red. ANP le permite abstraerse de la capa física y, de hecho, imaginar cómo organizar la interacción entre diferentes segmentos de la red desde el punto de vista de la aplicación.
Un perfil de aplicación consta de grupos de punto final (EPG). Un grupo de conexión es un grupo lógico de hosts (máquinas virtuales, servidores físicos, contenedores, etc.) que están en el mismo segmento de seguridad (no una red, es decir, seguridad). Los hosts finales que pertenecen a una EPG particular se pueden determinar mediante una gran cantidad de criterios. De uso común son los siguientes:
- Puerto físico
- Puerto lógico (grupo de puertos en el conmutador virtual)
- ID de VLAN o VXLAN
- Dirección IP o subred IP
- Atributos del servidor (nombre, ubicación, versión del sistema operativo, etc.)
Para la interacción de varias EPG, se proporciona una entidad llamada contratos. El contrato define la relación entre diferentes EPG. En otras palabras, el contrato determina qué servicio proporciona una EPG a otra EPG. Por ejemplo, estamos creando un contrato que permite que el tráfico pase por el protocolo HTTPS. A continuación, nos conectamos con este contrato, por ejemplo, EPG Web (grupo de servidores web) y EPG App (grupo de servidores de aplicaciones), después de lo cual estos dos grupos de terminales pueden intercambiar tráfico a través del protocolo HTTPS.
La figura siguiente describe un ejemplo de configuración de comunicación de varias EPG a través de contratos dentro del mismo ANP.
Puede haber cualquier número de perfiles de aplicación dentro de una fábrica de ACI. Además, los contratos no están vinculados a un perfil de aplicación específico; pueden (y deberían) usarse para conectar EPG en diferentes ANP.
De hecho, cada aplicación que necesita una red de una forma u otra se describe con su propio perfil. Por ejemplo, el diagrama anterior muestra la arquitectura estándar de una aplicación de tres niveles, que consiste en el N-ésimo número de servidores de acceso externo (Web), servidores de aplicaciones (App) y servidores DBMS (DB), y también describe las reglas para la interacción entre ellos. En una infraestructura de red tradicional, esto sería un conjunto de reglas enunciadas en varios dispositivos en la infraestructura. En la arquitectura ACI, describimos estas reglas dentro de un único perfil de aplicación. ACI usando el perfil de la aplicación le permite simplificar enormemente la creación de una gran cantidad de configuraciones en varios dispositivos, agrupándolos en un solo perfil.
La siguiente figura muestra un ejemplo más realista. Un perfil de aplicación de Microsoft Exchange hecho de varias EPG y contratos.
La administración central, la automatización y el monitoreo son uno de los beneficios clave de ACI. La fábrica de ACI elimina la necesidad de que los administradores creen una gran cantidad de reglas en varios conmutadores, enrutadores y cortafuegos (el método de configuración manual clásico está permitido y puede usarse). Las configuraciones para los perfiles de aplicación y otros objetos ACI se aplican automáticamente en toda la fábrica de ACI. Incluso cuando cambie físicamente los servidores a otros puertos de los conmutadores de fábrica, no necesitará duplicar la configuración de los conmutadores antiguos a los nuevos y limpiar las reglas innecesarias. Según el criterio de que el host pertenece a la EPG, la fábrica hará que esta configuración borre automática y automáticamente las reglas no utilizadas.
Las políticas de seguridad integradas de ACI se implementan de acuerdo con el principio de las listas blancas, es decir, lo que claramente no está permitido está prohibido por defecto. Junto con la actualización automática de configuraciones de equipos de red (eliminación de reglas y permisos "olvidados" no utilizados), este enfoque aumenta significativamente el nivel general de seguridad de la red y reduce la superficie de un posible ataque.
ACI le permite organizar la conexión en red no solo entre máquinas virtuales y contenedores, sino también servidores físicos, equipos informáticos de hardware y equipos de red de terceros, lo que hace de ACI una solución única en este momento.
El nuevo enfoque de Cisco para construir una red de datos basada en la lógica de la aplicación no es solo automatización, seguridad y administración centralizada. También es una red moderna horizontalmente escalable que cumple con todos los requisitos de las empresas modernas.
La implementación de la infraestructura de red basada en ACI permite que todos los departamentos de la empresa hablen el mismo idioma. El administrador se guía solo por la lógica de la aplicación, que describe las reglas y comunicaciones requeridas. Además de la lógica de la aplicación, se guía a los propietarios y desarrolladores de la aplicación, el servicio de seguridad de la información, los economistas y los dueños de negocios.
Por lo tanto, Cisco implementa en la práctica el concepto de una red de centros de datos de nueva generación. ¿Quieres ver por ti mismo? Venga a la demostración de
Infraestructura centrada en aplicaciones en San Petersburgo y trabaje con la red de centros de datos del futuro ahora.
Puedes registrarte para un evento
aquí .