Nos últimos anos, a Cisco promoveu ativamente uma nova arquitetura de rede de data center no data center -
Application Centric Infrastructure (ou ACI) . Alguns já estão familiarizados com ela. E alguém até conseguiu introduzi-lo em suas empresas, inclusive na Rússia. No entanto, para a maioria dos profissionais e executivos de TI, a ACI é uma abreviação obscura ou apenas uma discussão sobre o futuro.
Neste artigo, tentaremos aproximar esse futuro. Para fazer isso, falaremos sobre os principais componentes arquitetônicos do ACI, além de ilustrar como colocá-lo em prática. Além disso, em um futuro próximo, organizaremos uma demonstração visual do trabalho da ACI, com a qual todos os especialistas em TI interessados podem se inscrever.
Você pode aprender mais sobre a nova arquitetura de construção de rede em São Petersburgo em maio de 2019. Todos os detalhes estão no
link . Inscreva-se!
Antecedentes
O modelo tradicional e mais popular para construir uma rede é um modelo hierárquico de três níveis: núcleo -> distribuição (agregação) -> acesso. Ao longo dos anos, esse modelo foi o padrão; os fabricantes o usaram para produzir vários dispositivos de rede com a funcionalidade correspondente.
Anteriormente, quando a tecnologia da informação era um tipo de apêndice necessário (e, francamente, nem sempre desejado) aos negócios, esse modelo era conveniente, muito estático e confiável. No entanto, agora que a TI é um dos impulsionadores do desenvolvimento de negócios e, em muitos casos, o próprio negócio, a natureza estática desse modelo se tornou um grande problema.
Os negócios modernos geram um grande número de diferentes requisitos complexos para a infraestrutura de rede. O sucesso do negócio depende diretamente do momento da implementação desses requisitos. O atraso nessas condições é inaceitável, e o modelo clássico de construção de uma rede geralmente não permite a satisfação oportuna de todas as necessidades de negócios.
Por exemplo, o surgimento de um novo aplicativo de negócios complexo envolve administradores de rede executando um grande número de operações de rotina do mesmo tipo em um grande número de dispositivos de rede diferentes em diferentes níveis. Além de levar muito tempo, também aumenta o risco de cometer um erro, o que pode levar a um tempo de inatividade grave dos serviços de TI e, como resultado, a danos financeiros.
A raiz do problema não é nem o momento em si nem a complexidade dos requisitos. O fato é que esses requisitos devem ser "traduzidos" do idioma dos aplicativos de negócios para o idioma da infraestrutura de rede. Como você sabe, qualquer tradução é sempre uma perda parcial de significado. Quando o proprietário do aplicativo fala sobre a lógica do aplicativo, o administrador da rede entende o conjunto de VLANs, listas de acesso em dezenas de dispositivos que precisam ser mantidos, atualizados e documentados.
A experiência acumulada e a comunicação constante com os clientes permitiram à Cisco projetar e implementar novos princípios para a construção de uma rede de dados de data center, que atendem às tendências modernas e baseiam-se principalmente na lógica dos aplicativos de negócios. Daí o nome - Infra-estrutura centrada em aplicativos.
Arquitetura ACI
A arquitetura ACI é mais corretamente visualizada não do lado físico, mas do lado lógico. Ele é baseado em um modelo de políticas automatizadas, cujos objetos no nível superior podem ser divididos nos seguintes componentes:
- Rede baseada em switches Nexus.
- Cluster do controlador APIC
- Perfis de aplicativos;
Considere cada nível com mais detalhes - enquanto passaremos de simples para complexos.
Rede de comutadores Nexus
A rede na fábrica da ACI é semelhante ao modelo hierárquico tradicional, mas é muito mais simples de construir. Para organizar a rede, é usado o modelo Leaf-Spine, que se tornou uma abordagem geralmente aceita para a implementação de redes de próxima geração. Este modelo consiste em dois níveis: coluna vertebral e folha, respectivamente.
O nível da coluna vertebral é responsável apenas pelo desempenho. O desempenho geral dos switches Spine é igual ao desempenho de toda a fábrica; portanto, os switches com portas 40G ou superiores devem ser usados nesse nível.
Os comutadores de coluna conectam-se a todos os comutadores de nível seguinte: comutadores de folha aos quais os hosts finais se conectam. O papel principal dos switches Leaf é a capacidade da porta.
Assim, os problemas de dimensionamento são facilmente resolvidos: se precisamos aumentar o rendimento da fábrica, adicionamos switches Spine e se precisamos aumentar a capacidade da porta - Leaf.
Nos dois níveis, são utilizados os switches Cisco Nexus 9000 series, que para a Cisco são a principal ferramenta para a construção de redes de datacenter, independentemente de sua arquitetura. Para o nível Spine, os switches Nexus 9300 ou Nexus 9500 são usados e, para Leaf, apenas o Nexus 9300.
A gama de switches Nexus usados na fábrica da ACI é mostrada na figura abaixo.
Cluster APIC (Application Policy Infrastructure Controller)
Os controladores APIC são servidores físicos especializados e, para pequenas implantações, é permitido usar um cluster de um controlador APIC físico e dois virtuais.
Os controladores APIC fornecem funções de gerenciamento e monitoramento. É importante que os controladores nunca participem da transferência de dados, ou seja, mesmo que todos os controladores de cluster falhem, isso não afetará a estabilidade da rede. Observe também que, com a ajuda dos APICs, o administrador gerencia absolutamente todos os recursos físicos e lógicos da fábrica e, para fazer alterações, não é mais necessário conectar-se a um dispositivo específico, pois a ACI usa um único ponto de controle.
Agora vamos para um dos principais componentes do ACI - perfis de aplicativos.Um perfil de rede de aplicativos é a base lógica da ACI. São os perfis de aplicativos que determinam as políticas de interação entre todos os segmentos de rede e descrevem diretamente os próprios segmentos de rede. A ANP permite abstrair da camada física e, de fato, imaginar como organizar a interação entre diferentes segmentos da rede do ponto de vista do aplicativo.
Um perfil de aplicativo consiste em grupos de pontos finais (EPGs). Um grupo de conexão é um grupo lógico de hosts (máquinas virtuais, servidores físicos, contêineres etc.) que estão no mesmo segmento de segurança (não em uma rede, ou seja, segurança). Os hosts finais que pertencem a um EPG específico podem ser determinados por um grande número de critérios. Geralmente usados são os seguintes:
- Porta física
- Porta lógica (grupo de portas no comutador virtual)
- ID da VLAN ou VXLAN
- Endereço IP ou sub-rede IP
- Atributos do servidor (nome, local, versão do SO etc.)
Para a interação de vários EPGs, é fornecida uma entidade chamada contratos. O contrato define o relacionamento entre diferentes EPGs. Em outras palavras, o contrato determina qual serviço um EPG fornece outro EPG. Por exemplo, estamos criando um contrato que permite que o tráfego passe pelo protocolo HTTPS. Em seguida, nos conectamos a este contrato, por exemplo, EPG Web (grupo de servidores da Web) e EPG App (grupo de servidores de aplicativos), após o qual esses dois grupos de terminais podem trocar tráfego por meio do protocolo HTTPS.
A figura abaixo descreve um exemplo de configuração da comunicação de vários EPGs por meio de contratos dentro da mesma ANP.
Pode haver vários perfis de aplicativos em uma fábrica da ACI. Além disso, os contratos não estão vinculados a um perfil de aplicativo específico; eles podem (e devem) ser usados para conectar EPGs em diferentes ANPs.
De fato, todo aplicativo que precisa de uma rede de uma forma ou de outra é descrito por seu próprio perfil. Por exemplo, o diagrama acima mostra a arquitetura padrão de um aplicativo de três camadas, consistindo no N-ésimo número de servidores de acesso externo (Web), servidores de aplicativos (App) e servidores DBMS (DB), além de descrever as regras de interação entre eles. Em uma infraestrutura de rede tradicional, esse seria um conjunto de regras definidas em vários dispositivos na infraestrutura. Na arquitetura ACI, descrevemos essas regras em um único perfil de aplicativo. A ACI usando o perfil do aplicativo permite simplificar bastante a criação de um grande número de configurações em vários dispositivos, agrupando-as em um único perfil.
A figura abaixo mostra um exemplo mais realista. Um perfil de aplicativo do Microsoft Exchange feito de vários EPGs e contratos.
Gerenciamento centralizado, automação e monitoramento são um dos principais benefícios da ACI. A fábrica da ACI elimina a necessidade de os administradores criarem um grande número de regras em vários switches, roteadores e firewalls (o método de configuração manual clássico é permitido e pode ser usado). As configurações para perfis de aplicativos e outros objetos ACI são aplicadas automaticamente em toda a fábrica da ACI. Mesmo ao alternar fisicamente os servidores para outras portas dos comutadores de fábrica, você não precisará duplicar as configurações dos comutadores antigos para os novos e limpar regras desnecessárias. Com base nos critérios de que o host pertence ao EPG, a fábrica fará essas configurações de forma automática e automática, para limpar as regras não utilizadas.
As políticas de segurança integradas da ACI são implementadas de acordo com o princípio das listas brancas, ou seja, o que claramente não é permitido é proibido por padrão. Juntamente com a atualização automática das configurações de equipamentos de rede (removendo regras e permissões não usadas "esquecidas"), essa abordagem aumenta significativamente o nível geral de segurança da rede e reduz a superfície de um possível ataque.
A ACI permite organizar redes entre não apenas máquinas e contêineres virtuais, mas também servidores físicos, ITUs de hardware e equipamentos de rede de terceiros, o que torna a ACI uma solução exclusiva no momento.
A nova abordagem da Cisco para construir uma rede de dados baseada na lógica do aplicativo não é apenas automação, segurança e gerenciamento centralizado. É também uma rede moderna e escalonável horizontalmente que atende a todos os requisitos dos negócios modernos.
A implementação da infraestrutura de rede baseada em ACI permite que todos os departamentos da empresa falem o mesmo idioma. O administrador é guiado apenas pela lógica do aplicativo, que descreve as regras e comunicações necessárias. Além da lógica do aplicativo, os proprietários e desenvolvedores do aplicativo, o serviço de segurança da informação, os economistas e os empresários são orientados.
Assim, na prática, a Cisco implementa o conceito de uma rede de data center de nova geração. Quer ver por si mesmo? Venha para a
infraestrutura centrada em
aplicativos de demonstração em São Petersburgo e trabalhe agora com a rede de datacenters do futuro.
Você pode se inscrever para um evento
aqui .