Anwendungszentrierte Infrastruktur. Netzwerkarchitektur der Zukunft - vom Denken zum Geschäft

In den letzten Jahren hat Cisco eine neue Netzwerkarchitektur für Rechenzentren im Rechenzentrum aktiv beworben - Application Centric Infrastructure (oder ACI) . Einige kennen sie bereits. Und jemand hat es sogar geschafft, es in seinen Unternehmen einzuführen, auch in Russland. Für die meisten IT-Experten und IT-Manager ist ACI jedoch entweder ein obskures Akronym oder nur eine Diskussion über die Zukunft.

In diesem Artikel werden wir versuchen, diese Zukunft näher zu bringen. Zu diesem Zweck werden wir über die wichtigsten architektonischen Komponenten von ACI sprechen und veranschaulichen, wie diese in die Praxis umgesetzt werden können. Darüber hinaus werden wir in naher Zukunft eine visuelle Demonstration der Arbeit von ACI organisieren, für die sich jeder interessierte IT-Spezialist anmelden kann.

Im Mai 2019 erfahren Sie mehr über die neue Netzwerkarchitektur in St. Petersburg. Alle Details finden Sie auf dem Link . Melde dich an!

Hintergrund

Das traditionelle und beliebteste Modell zum Aufbau eines Netzwerks ist ein dreistufiges hierarchisches Modell: Kern -> Verteilung (Aggregation) -> Zugriff. Im Laufe der Jahre war dieses Modell der Standard, und die Hersteller verwendeten es, um verschiedene Netzwerkgeräte mit der entsprechenden Funktionalität herzustellen.

Früher war dieses Modell praktisch, sehr statisch und zuverlässig, als Informationstechnologie eine Art notwendiger (und offen gesagt nicht immer erwünschter) Geschäftsanhang war. Jetzt, da die IT einer der Treiber der Geschäftsentwicklung und in vielen Fällen des Geschäfts selbst ist, ist die statische Natur dieses Modells zu einem großen Problem geworden.

Das moderne Geschäft stellt eine Vielzahl unterschiedlicher komplexer Anforderungen an die Netzwerkinfrastruktur. Der Erfolg des Geschäfts hängt direkt vom Zeitpunkt der Umsetzung dieser Anforderungen ab. Eine Verzögerung unter solchen Bedingungen ist nicht akzeptabel, und das klassische Modell des Aufbaus eines Netzwerks ermöglicht häufig nicht die rechtzeitige Befriedigung aller Geschäftsanforderungen.

Zum Beispiel erfordert die Entstehung einer neuen komplexen Geschäftsanwendung, dass Netzwerkadministratoren eine große Anzahl von Routineoperationen desselben Typs auf einer großen Anzahl verschiedener Netzwerkgeräte auf verschiedenen Ebenen ausführen. Neben der Tatsache, dass dies viel Zeit in Anspruch nimmt, erhöht sich auch das Fehlerrisiko, was zu schwerwiegenden Ausfallzeiten der IT-Services und damit zu finanziellen Schäden führen kann.

Die Wurzel des Problems ist nicht einmal das Timing selbst oder die Komplexität der Anforderungen. Tatsache ist, dass diese Anforderungen aus der Sprache der Geschäftsanwendungen in die Sprache der Netzwerkinfrastruktur "übersetzt" werden müssen. Wie Sie wissen, ist jede Übersetzung immer ein teilweiser Bedeutungsverlust. Wenn der Anwendungseigentümer über die Logik seiner Anwendung spricht, versteht der Netzwerkadministrator die VLANs und Zugriffslisten auf Dutzenden von Geräten, die gewartet, aktualisiert und dokumentiert werden müssen.

Die gesammelten Erfahrungen und die ständige Kommunikation mit Kunden ermöglichten es Cisco, neue Prinzipien für den Aufbau eines Rechenzentrums-Datennetzwerks zu entwerfen und umzusetzen, die modernen Trends entsprechen und in erster Linie auf der Logik von Geschäftsanwendungen basieren. Daher der Name - Application Centric Infrastructure.

ACI-Architektur

Die ACI-Architektur wird am korrektesten nicht von der physischen Seite, sondern von der logischen Seite betrachtet. Es basiert auf einem Modell automatisierter Richtlinien, deren Objekte auf oberster Ebene in folgende Komponenten unterteilt werden können:

1. Netzwerk basierend auf Nexus-Switches.
2. APIC-Controller-Cluster
3. Anwendungsprofile;

Betrachten Sie jede Ebene genauer - während wir von einfach zu komplex wechseln.

Nexus Switch-Netzwerk

Das Netzwerk in der ACI-Factory ähnelt dem traditionellen hierarchischen Modell, ist jedoch viel einfacher aufzubauen. Zur Organisation des Netzwerks wird das Leaf-Spine-Modell verwendet, das zu einem allgemein akzeptierten Ansatz für die Implementierung von Netzwerken der nächsten Generation geworden ist. Dieses Modell besteht aus zwei Ebenen: Wirbelsäule und Blatt.


Die Wirbelsäulenstufe ist nur für die Leistung verantwortlich. Die Gesamtleistung der Spine-Switches entspricht der Leistung der gesamten Fabrik. Daher sollten Switches mit Ports 40G oder höher auf dieser Ebene verwendet werden.

Wirbelsäulenschalter verbinden sich mit allen Schaltern der nächsten Ebene: Blattschalter, mit denen Endhosts verbunden sind. Die Hauptaufgabe von Leaf-Switches ist die Portkapazität.

Somit lassen sich Skalierungsprobleme leicht lösen: Wenn wir den Durchsatz der Fabrik erhöhen müssen, fügen wir Spine-Switches hinzu, und wenn wir die Portkapazität erhöhen müssen - Leaf.

Für beide Ebenen werden die Switches der Cisco Nexus 9000-Serie verwendet, die für Cisco das Hauptwerkzeug zum Aufbau von Rechenzentrumsnetzwerken sind, unabhängig von ihrer Architektur. Für die Wirbelsäulenstufe werden Nexus 9300- oder Nexus 9500-Schalter verwendet, und für Leaf nur das Nexus 9300.

Die Palette der in der ACI-Fabrik verwendeten Nexus-Schalter ist in der folgenden Abbildung dargestellt.

APIC-Cluster (Application Policy Infrastructure Controller)

APIC-Controller sind spezialisierte physische Server. Für kleine Bereitstellungen kann ein Cluster aus einem physischen und zwei virtuellen APIC-Controllern verwendet werden.

APIC-Controller bieten Verwaltungs- und Überwachungsfunktionen. Es ist wichtig, dass die Controller niemals an der Datenübertragung teilnehmen. Das heißt, selbst wenn alle Cluster-Controller ausfallen, hat dies keine Auswirkungen auf die Stabilität des Netzwerks. Es sollte auch beachtet werden, dass der Administrator mit Hilfe von APICs absolut alle physischen und logischen Ressourcen der Fabrik verwaltet. Um Änderungen vorzunehmen, ist es nicht mehr erforderlich, eine Verbindung zu einem bestimmten Gerät herzustellen, da die ACI einen einzigen Kontrollpunkt verwendet.


Kommen wir nun zu einer der Hauptkomponenten von ACI - Anwendungsprofilen.
Ein Anwendungsnetzwerkprofil ist die logische Grundlage von ACI. Es sind Anwendungsprofile, die die Interaktionsrichtlinien zwischen allen Netzwerksegmenten bestimmen und die Netzwerksegmente selbst direkt beschreiben. Mit ANP können Sie von der physischen Schicht abstrahieren und sich vorstellen, wie die Interaktion zwischen verschiedenen Segmenten des Netzwerks aus Sicht der Anwendung organisiert werden kann.

Ein Anwendungsprofil besteht aus Endpunktgruppen (EPGs). Eine Verbindungsgruppe ist eine logische Gruppe von Hosts (virtuelle Maschinen, physische Server, Container usw.), die sich im selben Sicherheitssegment befinden (kein Netzwerk, nämlich Sicherheit). Endhosts, die zu einem bestimmten EPG gehören, können anhand einer Vielzahl von Kriterien bestimmt werden. Häufig verwendet werden die folgenden:

• Physischer Port
• Logischer Port (Portgruppe auf dem virtuellen Switch)
• VLAN ID oder VXLAN
• IP-Adresse oder IP-Subnetz
• Serverattribute (Name, Speicherort, Betriebssystemversion usw.)

Für die Interaktion verschiedener EPGs wird eine Einheit namens Verträge bereitgestellt. Der Vertrag definiert die Beziehung zwischen verschiedenen EPGs. Mit anderen Worten, der Vertrag bestimmt, welche Dienstleistung ein EPG einem anderen EPG erbringt. Zum Beispiel erstellen wir einen Vertrag, der es dem Datenverkehr ermöglicht, über das HTTPS-Protokoll zu gehen. Als nächstes verbinden wir uns mit diesem Vertrag, zum Beispiel EPG Web (Gruppe von Webservern) und EPG App (Gruppe von Anwendungsservern), wonach diese beiden Terminalgruppen Datenverkehr über das HTTPS-Protokoll austauschen können.

Die folgende Abbildung beschreibt ein Beispiel für die Einrichtung der Kommunikation verschiedener EPGs über Verträge innerhalb desselben ANP.


Innerhalb einer ACI-Fabrik kann es eine beliebige Anzahl von Anwendungsprofilen geben. Darüber hinaus sind Verträge nicht an ein bestimmtes Anwendungsprofil gebunden, sondern können (und sollten) verwendet werden, um EPGs in verschiedenen ANPs zu verbinden.

Tatsächlich wird jede Anwendung, die ein Netzwerk in der einen oder anderen Form benötigt, durch ein eigenes Profil beschrieben. Das obige Diagramm zeigt beispielsweise die Standardarchitektur einer dreistufigen Anwendung, die aus der N-ten Anzahl externer Zugriffsserver (Web), Anwendungsserver (App) und DBMS-Server (DB) besteht, und beschreibt auch die Regeln für die Interaktion zwischen diesen. In einer herkömmlichen Netzwerkinfrastruktur wäre dies eine Reihe von Regeln, die auf verschiedenen Geräten in der Infrastruktur festgelegt sind. In der ACI-Architektur beschreiben wir diese Regeln in einem einzigen Anwendungsprofil. Mit ACI, das das Anwendungsprofil verwendet, können Sie die Erstellung einer großen Anzahl von Einstellungen auf verschiedenen Geräten erheblich vereinfachen und alle in einem einzigen Profil zusammenfassen.

Die folgende Abbildung zeigt ein realistischeres Beispiel. Ein Microsoft Exchange-Anwendungsprofil aus mehreren EPGs und Verträgen.


Zentrales Management, Automatisierung und Überwachung sind einer der Hauptvorteile von ACI. In der ACI-Factory müssen Administratoren keine großen Regeln für verschiedene Switches, Router und Firewalls erstellen (die klassische manuelle Konfigurationsmethode ist zulässig und kann verwendet werden). Einstellungen für Anwendungsprofile und andere ACI-Objekte werden automatisch in der gesamten ACI-Factory angewendet. Selbst wenn Sie Server physisch auf andere Ports der werkseitigen Switches umschalten, müssen Sie die Einstellungen von den alten Switches auf die neuen nicht duplizieren und unnötige Regeln bereinigen. Basierend auf den Kriterien, nach denen der Host zum EPG gehört, nimmt das Werk diese Einstellungen automatisch vor und löscht nicht verwendete Regeln automatisch.

Integrierte ACI-Sicherheitsrichtlinien werden nach dem Prinzip der weißen Listen implementiert, dh was eindeutig nicht zulässig ist, ist standardmäßig verboten. Zusammen mit der automatischen Aktualisierung der Netzwerkgerätekonfigurationen (Entfernen „vergessener“ nicht verwendeter Regeln und Berechtigungen) erhöht dieser Ansatz die allgemeine Netzwerksicherheit erheblich und verengt die Oberfläche eines potenziellen Angriffs.

Mit ACI können Sie das Netzwerk nicht nur zwischen virtuellen Maschinen und Containern, sondern auch zwischen physischen Servern, Hardware-ITUs und Netzwerkgeräten von Drittanbietern organisieren. Dies macht ACI derzeit zu einer einzigartigen Lösung.

Der neue Ansatz von Cisco zum Aufbau eines auf Anwendungslogik basierenden Datennetzwerks besteht nicht nur in Automatisierung, Sicherheit und zentraler Verwaltung. Es ist auch ein modernes horizontal skalierbares Netzwerk, das alle Anforderungen moderner Unternehmen erfüllt.

Durch die Implementierung einer ACI-basierten Netzwerkinfrastruktur können alle Abteilungen des Unternehmens dieselbe Sprache sprechen. Der Administrator wird nur von der Logik der Anwendung geleitet, die die erforderlichen Regeln und Kommunikationen beschreibt. Neben der Logik der Anwendung werden die Eigentümer und Entwickler der Anwendung, der Informationssicherheitsdienst, Ökonomen und Geschäftsinhaber angeleitet.

Daher implementiert Cisco in der Praxis das Konzept eines Rechenzentrumsnetzwerks der neuen Generation. Willst du selbst sehen? Besuchen Sie die Demonstration Application Centric Infrastructure in St. Petersburg und arbeiten Sie jetzt mit dem Rechenzentrumsnetzwerk der Zukunft.
Hier können Sie sich für eine Veranstaltung anmelden.