Au cours des dernières années, Cisco a activement promu une nouvelle architecture de réseau de centre de données dans le centre de données -
Application Centric Infrastructure (ou ACI) . Certains la connaissent déjà. Et quelqu'un a même réussi à l'introduire dans leurs entreprises, y compris en Russie. Cependant, pour la plupart des professionnels de l'informatique et des cadres informatiques, ACI est soit une abréviation obscure, soit simplement une discussion sur l'avenir.
Dans cet article, nous allons essayer de rapprocher cet avenir. Pour ce faire, nous parlerons des principaux éléments architecturaux d'ACI, et illustrerons comment le mettre en pratique. En outre, dans un proche avenir, nous organiserons une démonstration visuelle du travail d'ACI, à laquelle tous les informaticiens intéressés pourront s'inscrire.
Vous pouvez en savoir plus sur la nouvelle architecture de construction de réseau à Saint-Pétersbourg en mai 2019. Tous les détails sont sur le
lien . Inscrivez-vous!
Contexte
Le modèle traditionnel et le plus populaire pour la construction d'un réseau est un modèle hiérarchique à trois niveaux: cœur -> distribution (agrégation) -> accès. Au fil des ans, ce modèle a été la norme; les fabricants l'ont utilisé pour produire divers périphériques réseau de la fonctionnalité correspondante.
Auparavant, lorsque la technologie de l'information était une sorte d'appendice nécessaire (et, franchement, pas toujours souhaité) aux entreprises, ce modèle était pratique, très statique et fiable. Cependant, maintenant que l'informatique est l'un des moteurs du développement commercial et, dans de nombreux cas, l'entreprise elle-même, la nature statique de ce modèle est devenue un gros problème.
Les entreprises modernes génèrent un grand nombre d'exigences complexes différentes pour l'infrastructure réseau. Le succès de l'entreprise dépend directement du moment de la mise en œuvre de ces exigences. Un retard dans de telles conditions est inacceptable et le modèle classique de construction d'un réseau ne permet souvent pas de satisfaire en temps opportun tous les besoins de l'entreprise.
Par exemple, l'émergence d'une nouvelle application métier complexe implique que les administrateurs réseau effectuent un grand nombre d'opérations de routine du même type sur un grand nombre de périphériques réseau différents à différents niveaux. Outre le fait que cela prend beaucoup de temps, cela augmente également le risque de faire une erreur qui peut entraîner de graves interruptions des services informatiques et, par conséquent, des dommages financiers.
La racine du problème n'est même pas le timing lui-même ou la complexité des exigences. Le fait est que ces exigences doivent être "traduites" de la langue des applications métier vers la langue de l'infrastructure réseau. Comme vous le savez, toute traduction est toujours une perte partielle de sens. Lorsque le propriétaire de l'application parle de la logique de son application, l'administrateur réseau comprend l'ensemble des VLAN, Access répertorie des dizaines d'appareils qui doivent être maintenus, mis à jour et documentés.
L'expérience accumulée et la communication constante avec les clients ont permis à Cisco de concevoir et de mettre en œuvre de nouveaux principes pour la construction d'un réseau de données de centre de données, qui répondent aux tendances modernes et reposent principalement sur la logique des applications commerciales. D'où le nom - Application Centric Infrastructure.
Architecture ACI
L'architecture ACI est plus correctement vue non pas du côté physique, mais du côté logique. Il est basé sur un modèle de politiques automatisées, dont les objets au niveau supérieur peuvent être divisés en les composants suivants:
- Réseau basé sur les commutateurs Nexus.
- Cluster de contrôleur APIC
- Profils d'application;
Considérez chaque niveau plus en détail - tandis que nous passerons du simple au complexe.
Réseau de commutateurs Nexus
Le réseau de l'usine ACI est similaire au modèle hiérarchique traditionnel, mais il est beaucoup plus simple à construire. Pour organiser le réseau, le modèle Leaf-Spine est utilisé, qui est devenu une approche généralement acceptée pour la mise en œuvre de réseaux de nouvelle génération. Ce modèle se compose de deux niveaux: colonne vertébrale et feuille, respectivement.
Le niveau de la colonne vertébrale est uniquement responsable des performances. Les performances globales des commutateurs Spine sont égales aux performances de l'ensemble de l'usine, par conséquent, les commutateurs avec des ports 40G ou plus doivent être utilisés à ce niveau.
Les commutateurs Spine se connectent à tous les commutateurs de niveau suivant: commutateurs Leaf auxquels les hôtes d'extrémité se connectent. Le rôle principal des commutateurs Leaf est la capacité du port.
Ainsi, les problèmes de mise à l'échelle sont facilement résolus: si nous devons augmenter le débit de l'usine, nous ajoutons des commutateurs Spine et si nous devons augmenter la capacité du port - Leaf.
Pour les deux niveaux, les commutateurs de la gamme Cisco Nexus 9000 sont utilisés, lesquels sont pour Cisco l'outil principal pour la construction de réseaux de centres de données quelle que soit leur architecture. Pour le niveau Spine, les commutateurs Nexus 9300 ou Nexus 9500 sont utilisés, et pour Leaf, seul le Nexus 9300.
La gamme de commutateurs Nexus utilisés dans l'usine ACI est illustrée ci-dessous.
Cluster APIC (Application Policy Infrastructure Controller)
Les contrôleurs APIC sont des serveurs physiques spécialisés, et pour les petits déploiements, il est autorisé d'utiliser un cluster d'un contrôleur physique APIC et de deux contrôleurs virtuels.
Les contrôleurs APIC fournissent des fonctions de gestion et de surveillance. Il est important que les contrôleurs ne participent jamais au transfert de données, c'est-à-dire que même si tous les contrôleurs de cluster échouent, cela n'affectera pas la stabilité du réseau. Il convient également de noter qu'avec l'aide des APIC, l'administrateur gère absolument toutes les ressources physiques et logiques de l'usine, et pour apporter des modifications, il n'est plus nécessaire de se connecter à un appareil particulier, car l'ACI utilise un seul point de contrôle.
Passons maintenant à l'un des principaux composants d'ACI - les profils d'application.Un profil de réseau d'application est le fondement logique d'ACI. Ce sont les profils d'application qui déterminent les politiques d'interaction entre tous les segments de réseau et décrivent directement les segments de réseau eux-mêmes. ANP vous permet d'abstraire de la couche physique et, en fait, d'imaginer comment organiser l'interaction entre différents segments du réseau du point de vue de l'application.
Un profil d'application se compose de groupes de points d'extrémité (EPG). Un groupe de connexions est un groupe logique d'hôtes (machines virtuelles, serveurs physiques, conteneurs, etc.) qui se trouvent dans le même segment de sécurité (pas un réseau, à savoir la sécurité). Les hôtes d'extrémité qui appartiennent à un EPG particulier peuvent être déterminés par un grand nombre de critères. Les éléments couramment utilisés sont les suivants:
- Port physique
- Port logique (groupe de ports sur le commutateur virtuel)
- ID VLAN ou VXLAN
- Adresse IP ou sous-réseau IP
- Attributs du serveur (nom, emplacement, version du système d'exploitation, etc.)
Pour l'interaction des différents EPG, une entité appelée contrats est fournie. Le contrat définit la relation entre les différents EPG. En d'autres termes, le contrat détermine quel service un EPG fournit un autre EPG. Par exemple, nous créons un contrat qui permet au trafic de passer par le protocole HTTPS. Ensuite, nous nous connectons avec ce contrat, par exemple, EPG Web (groupe de serveurs Web) et EPG App (groupe de serveurs d'applications), après quoi ces deux groupes de terminaux peuvent échanger du trafic via le protocole HTTPS.
La figure ci-dessous décrit un exemple de configuration de la communication de différents EPG via des contrats au sein d'un même ANP.
Il peut y avoir n'importe quel nombre de profils d'application dans une usine ACI. De plus, les contrats ne sont pas liés à un profil d'application spécifique; ils peuvent (et doivent) être utilisés pour connecter des EPG dans différents ANP.
En fait, chaque application qui a besoin d'un réseau sous une forme ou une autre est décrite par son propre profil. Par exemple, le diagramme ci-dessus montre l'architecture standard d'une application à trois niveaux, composée du Nième nombre de serveurs d'accès externes (Web), de serveurs d'applications (App) et de serveurs SGBD (DB), et décrit également les règles d'interaction entre eux. Dans une infrastructure de réseau traditionnelle, il s'agirait d'un ensemble de règles énoncées sur divers périphériques de l'infrastructure. Dans l'architecture ACI, nous décrivons ces règles dans un profil d'application unique. ACI en utilisant le profil d'application vous permet de simplifier considérablement la création d'un grand nombre de paramètres sur différents appareils, en les regroupant tous dans un seul profil.
La figure ci-dessous montre un exemple plus réaliste. Un profil d'application Microsoft Exchange constitué de plusieurs EPG et contrats.
La gestion, l'automatisation et la surveillance centralisées sont l'un des principaux avantages d'ACI. L'usine ACI élimine le besoin pour les administrateurs de créer un grand nombre de règles sur divers commutateurs, routeurs et pare-feu (la méthode de configuration manuelle classique est autorisée et peut être utilisée). Les paramètres des profils d'application et d'autres objets ACI sont automatiquement appliqués dans toute l'usine ACI. Même lors du basculement physique des serveurs vers d'autres ports des commutateurs d'usine, vous n'aurez pas besoin de dupliquer les paramètres des anciens commutateurs vers les nouveaux et de nettoyer les règles inutiles. En fonction des critères d'appartenance de l'hôte à l'EPG, l'usine effectuera ces réglages automatiquement et effacera automatiquement les règles inutilisées.
Les politiques de sécurité ACI intégrées sont mises en œuvre selon le principe des listes blanches, c'est-à-dire que ce qui n'est clairement pas autorisé est interdit par défaut. Associée à la mise à jour automatique des configurations d'équipements réseau (suppression des règles et autorisations inutilisées «oubliées»), cette approche augmente considérablement le niveau global de sécurité du réseau et réduit la surface d'une attaque potentielle.
ACI vous permet d'organiser la mise en réseau non seulement de machines et conteneurs virtuels, mais également de serveurs physiques, d'ITU matériels et d'équipements réseau tiers, ce qui fait d'ACI une solution unique pour le moment.
La nouvelle approche de Cisco pour la construction d'un réseau de données basé sur la logique d'application n'est pas seulement l'automatisation, la sécurité et la gestion centralisée. C'est également un réseau évolutif horizontalement moderne qui répond à toutes les exigences des entreprises modernes.
La mise en œuvre d'une infrastructure réseau basée sur ACI permet à tous les services de l'entreprise de parler la même langue. L'administrateur est guidé uniquement par la logique de l'application, qui décrit les règles et les communications requises. Outre la logique de l'application, les propriétaires et développeurs de l'application, le service de sécurité de l'information, les économistes et les propriétaires d'entreprise sont guidés.
Ainsi, Cisco met en œuvre concrètement le concept d'un réseau de datacenters de nouvelle génération. Vous voulez voir par vous-même? Venez à la Demonstration
Application Centric Infrastructure à Saint-Pétersbourg et travaillez maintenant avec le réseau de centres de données du futur.
Vous pouvez vous inscrire à un événement
ici .