Selama beberapa tahun terakhir, Cisco telah secara aktif mempromosikan arsitektur jaringan pusat data baru di pusat data -
Application Centric Infrastructure (atau ACI) . Beberapa sudah akrab dengannya. Dan seseorang bahkan berhasil memperkenalkannya di perusahaan mereka, termasuk di Rusia. Namun, bagi sebagian besar profesional TI dan eksekutif TI, ACI adalah akronim yang tidak jelas atau hanya sebuah diskusi tentang masa depan.
Pada artikel ini kami akan mencoba mendekatkan masa depan ini. Untuk melakukan ini, kita akan berbicara tentang komponen arsitektur utama ACI, serta menggambarkan bagaimana mempraktikkannya. Selain itu, dalam waktu dekat kami akan menyelenggarakan demonstrasi visual dari karya ACI, yang dapat didaftarkan oleh setiap spesialis IT yang tertarik.
Anda dapat mempelajari lebih lanjut tentang arsitektur bangunan jaringan baru di St. Petersburg pada Mei 2019. Semua detail ada di
tautan . Daftar!
Latar belakang
Model tradisional dan paling populer untuk membangun jaringan adalah model hierarki tiga tingkat: inti -> distribusi (agregasi) -> akses. Selama bertahun-tahun, model ini telah menjadi standar, produsen menggunakannya untuk menghasilkan berbagai perangkat jaringan dengan fungsi yang sesuai.
Sebelumnya, ketika teknologi informasi adalah semacam perlengkap (dan, terus terang, tidak selalu diinginkan) untuk bisnis, model ini nyaman, sangat statis dan dapat diandalkan. Namun, sekarang TI adalah salah satu pendorong pengembangan bisnis, dan dalam banyak kasus bisnis itu sendiri, sifat statis model ini telah menjadi masalah besar.
Bisnis modern menghasilkan sejumlah besar persyaratan kompleks berbeda untuk infrastruktur jaringan. Keberhasilan bisnis secara langsung tergantung pada waktu pelaksanaan persyaratan ini. Keterlambatan dalam kondisi seperti itu tidak dapat diterima, dan model klasik membangun jaringan seringkali tidak memungkinkan kepuasan tepat waktu dari semua kebutuhan bisnis.
Sebagai contoh, kemunculan aplikasi bisnis baru yang kompleks melibatkan administrator jaringan yang melakukan sejumlah besar operasi rutin dengan jenis yang sama pada sejumlah besar perangkat jaringan yang berbeda pada tingkat yang berbeda. Selain fakta bahwa itu membutuhkan banyak waktu, itu juga meningkatkan risiko membuat kesalahan yang dapat menyebabkan downtime serius pada layanan TI dan, akibatnya, kerusakan keuangan.
Akar masalahnya bahkan bukan waktu itu sendiri atau kompleksitas persyaratan. Faktanya adalah bahwa persyaratan ini harus "diterjemahkan" dari bahasa aplikasi bisnis ke dalam bahasa infrastruktur jaringan. Seperti yang Anda ketahui, terjemahan apa pun selalu kehilangan sebagian makna. Ketika pemilik aplikasi berbicara tentang logika aplikasinya, administrator jaringan memahami set VLAN, Access daftar pada lusinan perangkat yang perlu dipertahankan, diperbarui dan didokumentasikan.
Akumulasi pengalaman dan komunikasi yang konstan dengan pelanggan memungkinkan Cisco untuk merancang dan menerapkan prinsip-prinsip baru untuk membangun jaringan data pusat data, yang memenuhi tren modern dan terutama didasarkan pada logika aplikasi bisnis. Karena itulah namanya - Application Centric Infrastructure.
Arsitektur ACI
Arsitektur ACI paling tepat dilihat bukan dari sisi fisik, tetapi dari sisi logis. Ini didasarkan pada model kebijakan otomatis, objek yang di tingkat atas dapat dibagi menjadi komponen-komponen berikut:
- Jaringan berdasarkan sakelar Nexus.
- Cluster pengontrol APIC
- Profil aplikasi;
Pertimbangkan setiap level secara lebih detail - sementara kita akan beralih dari yang sederhana ke yang kompleks.
Jaringan Switch Nexus
Jaringan di pabrik ACI mirip dengan model hierarkis tradisional, tetapi jauh lebih mudah untuk dibangun. Untuk mengatur jaringan, model Leaf-Spine digunakan, yang telah menjadi pendekatan yang diterima secara umum untuk mengimplementasikan jaringan generasi selanjutnya. Model ini terdiri dari dua level: Spine dan Leaf, masing-masing.
Level Spine hanya bertanggung jawab atas kinerja. Kinerja keseluruhan switch Spine sama dengan kinerja seluruh pabrik, oleh karena itu, switch dengan port 40G atau lebih tinggi harus digunakan pada level ini.
Switch tulang belakang terhubung ke semua switch level berikutnya: Switch daun yang terhubung dengan host akhir. Peran utama Leaf switch adalah kapasitas port.
Dengan demikian, masalah penskalaan mudah diselesaikan: jika kita perlu meningkatkan throughput pabrik, kita menambahkan sakelar Spine, dan jika kita perlu meningkatkan kapasitas port - Leaf.
Untuk kedua level, switch Cisco Nexus 9000 series digunakan, yang untuk Cisco adalah alat utama untuk membangun jaringan pusat data terlepas dari arsitekturnya. Untuk tingkat Tulang Belakang, switch Nexus 9300 atau Nexus 9500 digunakan, dan untuk Leaf, hanya Nexus 9300.
Kisaran sakelar Nexus yang digunakan di pabrik ACI ditunjukkan pada gambar di bawah ini.
Kelompok APIC (Pengontrol Infrastruktur Kebijakan Aplikasi)
Pengontrol APIC adalah server fisik khusus, dan untuk penyebaran kecil diizinkan menggunakan sekelompok pengontrol APIC fisik dan dua yang virtual.
Pengontrol APIC menyediakan fungsi manajemen dan pemantauan. Adalah penting bahwa pengontrol tidak pernah berpartisipasi dalam transfer data, yaitu, bahkan jika semua pengontrol kluster gagal, maka ini tidak akan mempengaruhi stabilitas jaringan. Perlu juga dicatat bahwa dengan bantuan APIC, administrator mengelola sepenuhnya semua sumber daya fisik dan logis dari pabrik, dan untuk membuat perubahan, tidak perlu lagi terhubung ke perangkat tertentu, karena ACI menggunakan satu titik kontrol tunggal.
Sekarang mari kita beralih ke salah satu komponen utama ACI - profil aplikasi.Profil Jaringan Aplikasi adalah fondasi logis dari ACI. Ini adalah profil aplikasi yang menentukan kebijakan interaksi antara semua segmen jaringan dan secara langsung menggambarkan segmen jaringan itu sendiri. ANP memungkinkan Anda untuk abstrak dari lapisan fisik dan, pada kenyataannya, bayangkan bagaimana mengatur interaksi antara berbagai segmen jaringan dari sudut pandang aplikasi.
Profil aplikasi terdiri dari Kelompok Titik Akhir (EPG). Grup koneksi adalah grup host logis (mesin virtual, server fisik, wadah, dll.) Yang berada di segmen keamanan yang sama (bukan jaringan, yaitu keamanan). Host akhir yang memiliki EPG tertentu dapat ditentukan dengan sejumlah besar kriteria. Yang umum digunakan adalah sebagai berikut:
- Port fisik
- Logical port (grup-port pada sakelar virtual)
- VLAN ID atau VXLAN
- Alamat IP atau IP subnet
- Atribut server (nama, lokasi, versi OS, dll.)
Untuk interaksi berbagai EPG, entitas yang disebut kontrak disediakan. Kontrak mendefinisikan hubungan antara EPG yang berbeda. Dengan kata lain, kontrak menentukan layanan mana satu EPG menyediakan EPG lain. Misalnya, kami membuat kontrak yang memungkinkan lalu lintas untuk beralih ke protokol HTTPS. Selanjutnya, kami terhubung dengan kontrak ini, misalnya, EPG Web (grup server web) dan EPG App (grup server aplikasi), setelah itu kedua grup terminal ini dapat bertukar lalu lintas melalui protokol HTTPS.
Gambar di bawah ini menjelaskan contoh pengaturan komunikasi berbagai EPG melalui kontrak dalam ANP yang sama.
Bisa ada sejumlah profil aplikasi dalam pabrik ACI. Selain itu, kontrak tidak terikat dengan profil aplikasi tertentu, mereka dapat (dan harus) digunakan untuk menghubungkan EPG di ANP yang berbeda.
Bahkan, setiap aplikasi yang membutuhkan jaringan dalam satu bentuk atau yang lain dijelaskan oleh profilnya sendiri. Sebagai contoh, diagram di atas menunjukkan arsitektur standar aplikasi tiga tingkat, yang terdiri dari nomor ke-N server akses eksternal (Web), server aplikasi (App) dan server DBMS (DB), dan juga menjelaskan aturan interaksi di antara mereka. Dalam infrastruktur jaringan tradisional, ini akan menjadi seperangkat aturan yang dijabarkan pada berbagai perangkat dalam infrastruktur. Dalam arsitektur ACI, kami menjelaskan aturan ini dalam satu profil aplikasi. ACI menggunakan profil aplikasi memungkinkan Anda untuk menyederhanakan pembuatan sejumlah besar pengaturan pada berbagai perangkat, mengelompokkan semuanya menjadi satu profil.
Gambar di bawah ini menunjukkan contoh yang lebih realistis. Profil aplikasi Microsoft Exchange dibuat dari beberapa EPG dan kontrak.
Manajemen pusat, otomatisasi, dan pemantauan adalah salah satu manfaat utama ACI. Pabrik ACI membebaskan administrator dari rutinitas menciptakan sejumlah besar aturan tentang berbagai sakelar, router, dan firewall (metode konfigurasi manual klasik diizinkan dan dapat digunakan). Pengaturan untuk profil aplikasi dan objek ACI lainnya secara otomatis diterapkan di seluruh pabrik ACI. Bahkan ketika secara fisik beralih server ke port lain dari switch pabrik, Anda tidak perlu menduplikasi pengaturan dari switch lama ke yang baru dan membersihkan aturan yang tidak perlu. Berdasarkan kriteria bahwa host milik EPG, pabrik akan membuat pengaturan ini secara otomatis dan secara otomatis menghapus aturan yang tidak digunakan.
Kebijakan keamanan ACI terpadu diimplementasikan sesuai dengan prinsip daftar putih, yaitu, apa yang jelas-jelas tidak diizinkan dilarang secara default. Bersama dengan pembaruan otomatis konfigurasi peralatan jaringan (penghapusan aturan dan izin yang tidak digunakan "terlupakan"), pendekatan ini secara signifikan meningkatkan tingkat keamanan jaringan secara keseluruhan dan mempersempit permukaan serangan potensial.
ACI memungkinkan Anda untuk mengatur jaringan antara tidak hanya mesin dan wadah virtual, tetapi juga server fisik, ITU perangkat keras, dan peralatan jaringan pihak ketiga, yang menjadikan ACI solusi unik saat ini.
Pendekatan baru Cisco untuk membangun jaringan data berdasarkan logika aplikasi bukan hanya otomatisasi, keamanan, dan manajemen terpusat. Ini juga merupakan jaringan skalabel horizontal modern yang memenuhi semua persyaratan bisnis modern.
Implementasi infrastruktur jaringan berbasis ACI memungkinkan semua departemen perusahaan berbicara dalam bahasa yang sama. Administrator hanya dipandu oleh logika aplikasi, yang menjelaskan aturan dan komunikasi yang diperlukan. Serta logika aplikasi, pemilik dan pengembang aplikasi, layanan keamanan informasi, ekonom dan pemilik bisnis dipandu.
Dengan demikian, Cisco dalam praktiknya mengimplementasikan konsep jaringan pusat data generasi baru. Ingin melihat sendiri? Datanglah ke
Application Demonstration
Centric Infrastructure di St. Petersburg dan bekerja dengan jaringan pusat data masa depan sekarang.
Anda dapat mendaftar untuk suatu acara di
sini .