باستخدام هذه القطعة السحرية من برنامج Cisco ACI النصي ، يمكنك تهيئة شبكتك بسرعة.كان مصنع الشبكات الخاص بمركز بيانات Cisco ACI موجودًا منذ خمس سنوات ، لكن لم يقل شيء عن ذلك في Habr ، لذلك قررت إصلاحه قليلاً. سوف أخبرك من تجربتي الخاصة ما هو عليه ، وما هو جيد ، ومكان حدوثه.
ما هي ومن أين أتت؟
بحلول وقت إعلان ACI (Application Centric Infrastructure) في 2013 ، كان المنافسون يهاجمون الأساليب التقليدية لشبكات مراكز البيانات من ثلاث جهات في آن واحد.
فمن ناحية ، وعدت حلول الجيل الأول من شبكات SDN القائمة على OpenFlow بجعل الشبكات أكثر مرونة وأرخص في نفس الوقت. كانت الفكرة هي اتخاذ القرارات ، والتي يتم تنفيذها تقليديًا بواسطة برنامج الملكية الخاص بالمفاتيح ، على جهاز التحكم المركزي.
سيكون لدى وحدة التحكم هذه رؤية واحدة لكل ما كان يحدث ، وبناءً على ذلك ، تقوم ببرمجة الأجهزة لجميع المحولات على مستوى قواعد معالجة التدفقات المحددة.
من ناحية أخرى ، مكنت حلول شبكات التراكب من تنفيذ سياسات الاتصال والأمن الضرورية دون أي تغييرات على الشبكة الفعلية ، وبناء أنفاق البرامج بين المضيفين الظاهري. كان المثال الأكثر شهرة لهذا النهج هو القرار الذي اتخذته Nicira ، والذي بحلول ذلك الوقت كانت قد استحوذت عليه VMWare بالفعل مقابل 1.26 مليار دولار وأدى إلى VMWare NSX الحالي. إلى حد ما في هذا الموقف ، تم تأسيس Nicira من قبل نفس الأشخاص الذين سبق لهم الوقوف على أصول OpenFlow ، ويقولون الآن أن
OpenFlow غير مناسب لبناء مصنع لمركز البيانات.
وأخيرًا ، وصلت رقائق التحويل المتاحة في السوق المفتوحة (ما يسمى بالسيليكون التاجر) إلى درجة من النضج أصبحت عندها تهديدًا حقيقيًا لمصنعي المحولات التقليدية. في السابق ، قام كل بائع بنفسه بتطوير رقائق لمفاتيح التبديل الخاصة به ، ولكن مع مرور الوقت ، بدأت رقائق من الشركات المصنعة لجهة خارجية ، وخاصةً من Bradcom ، في تقليل المسافة مع رقائق البائع من حيث الوظائف ، ومن حيث نسبة السعر / الأداء التي تجاوزوها. لذلك ، يعتقد الكثيرون أن أيام التبديل على رقائق من تصميمهم الخاص مرقمة.
كانت ACI هي "الاستجابة غير المتماثلة" من Cisco (أو بالأحرى ، Insieme ، التي أسسها موظفوها السابقون) ، لكل ما سبق.
ما هو الفرق مع OpenFlow؟
من حيث توزيع الوظائف ، فإن ACI هو في الواقع عكس OpenFlow.
في بنية OpenFlow ، تكون وحدة التحكم مسؤولة عن وصف القواعد التفصيلية (التدفقات)
في الأجهزة الخاصة بجميع المحولات ، أي في شبكة كبيرة ، يمكن أن تكون مسؤولة عن صيانة ، والأهم من ذلك ، تغيير عشرات الملايين من السجلات في مئات النقاط في الشبكة ، وبالتالي يصبح أدائها وموثوقيتها في التنفيذ على نطاق واسع عنق الزجاجة.
تستخدم ACI الطريقة المعاكسة: بالطبع ، هناك أيضًا وحدة تحكم ، لكن المحولات تتلقى سياسات تعريفية عالية المستوى منه ، ويقوم المحول نفسه بإدخالها في تفاصيل الإعدادات المحددة في الجهاز. يمكن إعادة تشغيل وحدة التحكم أو إيقاف تشغيلها تمامًا ، ولن يحدث أي شيء سيئ للشبكة ، باستثناء ، بالطبع ، عدم التحكم في هذه اللحظة. ومن المثير للاهتمام ، أن هناك مواقف في ACI لا يزال فيها OpenFlow يُستخدم ، ولكن محليًا داخل المضيف للبرمجة Open vSwitch.
تم تصميم ACI بالكامل على نقل التراكب استنادًا إلى VXLAN ، ولكن في الوقت نفسه يشمل نقل IP الأساسي كجزء من حل واحد. تسمى Cisco هذا المصطلح "تراكب متكامل". نظرًا لأن نقطة الإنهاء للتراكبات في ACI ، يتم استخدام مفاتيح المصنع في معظم الحالات (يفعلون ذلك بسرعة القناة). لا يُطلب من المضيفين معرفة أي شيء عن المصنع والتغليف وما إلى ذلك ، ومع ذلك ، في بعض الحالات (على سبيل المثال ، لتوصيل مضيفي OpenStack) ، يمكن جلب حركة مرور VXLAN إليهم.
تُستخدم التراكبات في ACI ليس فقط لتوفير اتصال مرن من خلال شبكة النقل ، ولكن أيضًا لنقل المعلومات الوصفية (يتم استخدامها ، على سبيل المثال ، لتطبيق سياسات الأمان).
سبق لشركة Cisco استخدام رقائق Broadcom في سلسلة المحولات Nexus 3000. طبقت عائلة Nexus 9000 ، التي تم إصدارها خصيصًا لدعم ACI ، نموذجًا هجينًا يدعى Merchant +. استخدم المحول في وقت واحد شريحة Broadcom Trident 2 الجديدة ، ورقاقة تطوير Cisco التي تكملها ، لتحقيق كل سحر ACI. على ما يبدو ، فقد جعل ذلك من الممكن تسريع إنتاج المنتج وتقليل سعر التبديل إلى مستوى قريب من الطرز لترايدنت 2. فقط كانت هذه الطريقة كافية لأول سنتين إلى ثلاث سنوات من إمدادات ACI. خلال هذا الوقت ، قامت Cisco بتطوير وإطلاق الجيل التالي Nexus 9000 على رقائقها الخاصة مع مزيد من الأداء والميزات ، ولكن بنفس مستوى السعر. يتم الحفاظ على المواصفات الخارجية من حيث التفاعل في المصنع بالكامل. في الوقت نفسه ، تغيرت الحشوة الداخلية تمامًا: شيء مثل إعادة البناء ، ولكن بالنسبة للحديد.
كيف يعمل Cisco ACI Architecture
في أبسط الحالات ، تم تصميم ACI على طوبولوجيا شبكة Clos ، أو كما يقولون كثيرًا ، Spine-Leaf. يمكن أن تكون مفاتيح مستوى العمود الفقري من اثنين (أو واحد ، إذا لم نهتم بتسامح الأعطال) إلى ستة. وفقًا لذلك ، كلما زاد عدد الأخطاء ، كلما كان تحمل الخطأ أعلى (تقليل التقليل في عرض النطاق الترددي والموثوقية في حالة وقوع حادث أو صيانة عمود واحد) والأداء الكلي. جميع الاتصالات الخارجية تذهب إلى محولات مستوى الأوراق: هذه هي الخوادم ، والاتصال بالشبكات الخارجية عبر L2 أو L3 ، وتوصيل وحدات تحكم APIC. بشكل عام ، مع ACI ، ليس فقط التكوين ، ولكن أيضًا جمع الإحصائيات ومراقبة الفشل وما إلى ذلك - كل شيء يتم من خلال واجهة وحدات التحكم ، والتي هي ثلاثة تطبيقات في الحجم القياسي.
ليس عليك الاتصال بالمفاتيح مع وحدة التحكم على الإطلاق ، حتى لبدء الشبكة: وحدة التحكم نفسها تكتشف المفاتيح وتجمع المصنع منها ، بما في ذلك إعدادات جميع بروتوكولات الخدمة ، لذلك ، من المهم ، بالمناسبة ، تسجيل الأرقام التسلسلية للجهاز المثبت أثناء التثبيت حتى لا تضطر إلى تخمين أي مفتاح التبديل الرف الذي يقع. لاستكشاف الأخطاء وإصلاحها ، يمكنك الاتصال بالمفاتيح عبر SSH إذا لزم الأمر: فهي تستخدم أوامر إظهار Cisco المعتادة بعناية فائقة.
في الداخل ، يستخدم المصنع نقل IP ، لذلك لا توجد Spanning Tree وغيرها من أهوال الماضي فيه: جميع الروابط متورطة ، والتقارب في حالة الفشل يكون سريعًا جدًا. تنتقل حركة مرور المصانع عبر أنفاق VXLAN. بتعبير أدق ، تستدعي Cisco نفسها تغليف iVXLAN ، وتختلف عن VXLAN المعتادة في استخدام الحقول المحجوزة في رأس الشبكة لنقل المعلومات العامة ، وبشكل أساسي حول علاقة حركة المرور بمجموعة EPG. يتيح لك ذلك تنفيذ قواعد التفاعل بين المجموعات في الجهاز ، باستخدام أرقامها بنفس طريقة استخدام العناوين في قوائم الوصول العادية.
تتيح لك الأنفاق الامتداد عبر مقاطع IP الداخلية للنقل و L2 ، و L3 (أي VRF). في هذه الحالة ، يتم توزيع العبارة الافتراضية. هذا يعني أن كل رمز التبديل يشارك في توجيه حركة المرور التي تدخل المصنع. من حيث منطق نقل الحركة ، تشبه ACI المصنع القائم على VXLAN / EVPN.
إذا كان الأمر كذلك ، ما هي الاختلافات؟ لبقية!
الفرق الأول الذي تواجهه في ACI هو كيفية اتصال الخوادم بالشبكة. في الشبكات التقليدية ، ينتقل تضمين كل من الخوادم الفعلية والأجهزة الظاهرية إلى شبكات محلية ظاهرية ، وكل شيء آخر يرقص منها: الاتصال ، الأمان ، إلخ. للابتعاد. هل من الممكن مساواة شبكة VLAN؟ نعم ، ولكن في هذه الحالة هناك فرصة لتفقد معظم ما تقدمه ACI.
فيما يتعلق بـ EPG ، يتم صياغة جميع قواعد الوصول ، ويتم استخدام مبدأ "القائمة البيضاء" افتراضيًا في ACI ، أي أنه يُسمح فقط بحركة المرور ، ويُسمح بنقلها صراحة. وهذا يعني أنه يمكننا إنشاء مجموعات EPG "Web" و "MySQL" وتحديد قاعدة تسمح بالتفاعل بينهما فقط على المنفذ 3306. سيعمل هذا دون الرجوع إلى عناوين الشبكة وحتى داخل نفس الشبكة الفرعية!
لدينا عملاء اختاروا ACI على وجه التحديد بسبب هذه الميزة ، لأنها تتيح لك تقييد الوصول بين الخوادم (الظاهرية أو الفعلية - لا يهم) دون سحبها بين الشبكات الفرعية ، وبالتالي دون لمس العناوين. نعم ، نعم ، نحن نعلم أن لا أحد يصف عناوين IP في تكوينات التطبيق بأيديهم ، أليس كذلك؟
تسمى قواعد مرور ACI بالعقود. في مثل هذا العقد ، تصبح مجموعة واحدة أو أكثر من المستويات أو المستويات في تطبيق متعدد المستويات مزود خدمة (على سبيل المثال ، خدمة قاعدة بيانات) ، ويصبح آخرون مستهلكين. يمكن للعقد ببساطة تخطي حركة المرور ، أو يمكنه القيام بشيء أكثر صعوبة ، على سبيل المثال ، توجيهه إلى جدار الحماية أو الموازن ، وكذلك تغيير قيمة جودة الخدمة.
كيف تدخل الخوادم في هذه المجموعات؟ إذا كانت هذه خوادم فعلية أو شيء متصل بالشبكة الحالية التي أنشأنا فيها صندوق VLAN ، ثم لوضعها في EPG ، ستحتاج إلى الإشارة إلى منفذ التبديل والشبكة المحلية الظاهرية المستخدمة فيه. كما ترون ، تظهر شبكات محلية ظاهرية حيث لا يمكنك الاستغناء عنها.
إذا كانت الخوادم عبارة عن أجهزة افتراضية ، يكفي الإشارة إلى بيئة المحاكاة الافتراضية المتصلة ، ومن ثم سيحدث كل شيء بمفرده: سيتم إنشاء مجموعة منافذ (من حيث VMWare) لتوصيل VM ، وسيتم تعيين VLANs الضرورية أو VXLANs ، وسيتم تسجيلها على منافذ المحولات الضرورية ، إلخ. e. لذا ، على الرغم من أن ACI مبنية على شبكة فعلية ، إلا أن اتصالات الخوادم الافتراضية تبدو أبسط بكثير من اتصالاتها الفعلية. لدى ACI بالفعل حزمة مع VMWare و MS Hyper-V ، وكذلك دعم OpenStack و RedHat Virtualization. في مرحلة ما ، ظهر دعم مضمن لمنصات الحاويات: Kubernetes و OpenShift و Cloud Foundry ، وهو ينطبق على كل من تطبيق السياسة والرصد ، أي يمكن لمسؤول الشبكة أن يرى على الفور أي المضيفين يعملون على المضيفين والمجموعات التي ينتمون إليها.
بالإضافة إلى التضمين في مجموعة منافذ معينة ، فإن الخوادم الافتراضية لها خصائص إضافية: الاسم والسمات ، وما إلى ذلك ، والتي يمكن استخدامها كمعايير لنقلها إلى مجموعة أخرى ، على سبيل المثال ، عند إعادة تسمية VM أو عندما يكون لها علامة إضافية. تقوم Cisco باستدعاء مجموعات القطاعات الصغيرة ، على الرغم من أن التصميم بشكل عام مع القدرة على إنشاء العديد من قطاعات الأمان مثل EPG في نفس الشبكة الفرعية هو أيضًا التجزئة الجزئي. حسنا ، البائع يعرف أفضل.
تعد EPGs نفسها عبارة عن إنشاءات منطقية بحتة وليست مرتبطة بمفاتيح التبديل والخوادم المعينة ، وما إلى ذلك ، بحيث يمكنك باستخدامها والإنشاءات القائمة عليها (التطبيقات والمستأجرين) القيام بأشياء يصعب القيام بها على الشبكات العادية ، على سبيل المثال ، للاستنساخ. نتيجة لذلك ، دعنا نقول أنه من السهل جدًا إنشاء استنساخ لبيئة إنتاجية من أجل الحصول على بيئة اختبار مضمونة لتكون مطابقة للبيئة المنتجة. يمكن القيام بذلك يدويًا ، ولكن أفضل (وأسهل) - من خلال واجهة برمجة التطبيقات.
بشكل عام ، يختلف منطق التحكم في ACI تمامًا عن ما تصادفه عادة
في الشبكات التقليدية من نفس Cisco: تعد واجهة البرنامج أساسية ، و GUI أو CLI ثانوية ، لأنها تعمل من خلال نفس واجهة برمجة التطبيقات. لذلك ، يبدأ كل من يتعامل مع ACI تقريبًا ، بعد فترة من الزمن ، في التنقل في طراز الكائن المستخدم للتحكم ، وأتمتة شيء لاحتياجاتهم. أسهل طريقة للقيام بذلك هي من Python: هناك أدوات مريحة جاهزة لذلك.
وعد الخليع
المشكلة الرئيسية هي أن العديد من الأشياء في ACI تتم بشكل مختلف. لبدء العمل معها بشكل طبيعي ، تحتاج إلى إعادة التعلم. ينطبق هذا بشكل خاص على فرق تشغيل الشبكات في العملاء الكبار ، حيث شارك المهندسون في "وصف شبكات محلية ظاهرية" للتطبيقات لسنوات. حقيقة أن شبكات محلية ظاهرية الآن لم تعد شبكات محلية ظاهرية ، ولوضع شبكات جديدة في مضيفات افتراضية ، لا تحتاج إلى إنشاء شبكات محلية ظاهرية بأيديكم على الإطلاق ، "تفجر" الشبكات الشبكية التقليدية تمامًا وتجعلك تتشبث بالطرق المعتادة. تجدر الإشارة إلى أن Cisco حاولت تحلية الحبة قليلاً وإضافة CLI "يشبه NXOS" إلى وحدة التحكم ، مما يتيح لك التكوين من واجهة مشابهة للمفاتيح التقليدية. ولكن لا يزال ، من أجل البدء في استخدام ACI بشكل طبيعي ، يجب عليك أن تفهم كيف تعمل.
من وجهة نظر السعر على شبكات ACI الكبيرة والمتوسطة ، لا يختلف عملياً عن الشبكات التقليدية على أجهزة Cisco ، حيث يتم استخدام نفس المحولات في بنائها (يمكن Nexus 9000 العمل في ACI وفي الوضع التقليدي ، والآن الرئيسية "العمود الفقري" لمشاريع مركز البيانات الجديدة). ولكن بالنسبة لمراكز البيانات ذات المحولين ، فإن توفر وحدات التحكم وهندسة أوراق الشجر ، بطبيعة الحال ، يجعلها تشعر. ظهر مؤخراً مصنع Mini ACI ، حيث تم استبدال اثنين من وحدات التحكم الثلاثة بأجهزة افتراضية. هذا يسمح لك بتقليل الفرق في التكلفة ، لكنه لا يزال قائما. لذلك بالنسبة للعميل ، يتم تحديد الخيار من خلال مدى اهتمامه بوظائف الأمان والتكامل مع المحاكاة الافتراضية ونقطة واحدة للإدارة والمزيد.