在过去的几年中,思科一直在数据中心中积极推广一种新的数据中心网络架构-以
应用程序为中心的基础架构(或ACI) 。 有些人已经熟悉她了。 甚至有人设法将其引入包括俄罗斯在内的企业。 但是,对于大多数IT专业人员和IT管理人员而言,ACI只是晦涩的缩写,还是对未来的讨论。
在本文中,我们将尝试拉近这一未来。 为此,我们将讨论ACI的主要架构组件,并说明如何将其付诸实践。 此外,在不久的将来,我们将组织ACI工作的视觉演示,每个有兴趣的IT专家都可以注册。
您可以在2019年5月了解更多关于圣彼得堡新网络建设体系结构的信息。 所有详细信息都在
链接上 。 报名!
背景知识
构建网络的传统且最受欢迎的模型是三级分层模型:核心->分发(聚合)->访问。 多年来,此模型已成为标准;制造商使用它来生产具有相应功能的各种网络设备。
以前,当信息技术是业务的一种必要的(坦率地说,并不总是需要)附属物时,该模型是方便,非常静态和可靠的。 但是,由于IT是业务发展的驱动力之一,并且在许多情况下是业务本身的驱动力,所以此模型的静态性质已成为一个大问题。
现代业务对网络基础结构产生了大量不同的复杂需求。 业务的成功直接取决于这些要求的实施时间。 这种情况下的延迟是不可接受的,并且建立网络的经典模型通常不允许及时满足所有业务需求。
例如,新的复杂业务应用程序的出现涉及网络管理员在不同级别的大量不同网络设备上执行大量相同类型的例行操作。 除了花费大量时间这一事实之外,它还增加了犯错的风险,这可能导致IT服务严重停机,并因此造成财务损失。
问题的根源甚至不在于时间本身或需求的复杂性。 实际上,必须将这些要求从业务应用程序的语言“转换”为网络基础结构的语言。 如您所知,任何翻译总是部分失去意义。 当应用程序所有者谈论其应用程序的逻辑时,网络管理员会了解VLAN的集合,数十个设备上需要维护,更新和记录的访问列表。
积累的经验和与客户的不断沟通使Cisco能够设计和实施构建数据中心数据网络的新原则,这些原则符合现代趋势,并且主要基于业务应用程序的逻辑。 因此,名称为“以应用程序为中心的基础结构”。
ACI架构
最正确地看待ACI体系结构不是从物理方面,而是从逻辑方面。 它基于自动策略的模型,其顶级对象可以分为以下组件:
- 基于Nexus交换机的网络。
- APIC控制器集群
- 应用档案
更详细地考虑每个级别-同时我们将从简单过渡到复杂。
连结交换网络
ACI工厂中的网络类似于传统的分层模型,但是它的构建要简单得多。 为了组织网络,使用了Leaf-Spine模型,该模型已成为实现下一代网络的公认方法。 该模型包括两个级别:分别为Spine和Leaf。
脊椎级别仅负责性能。 Spine交换机的整体性能与整个工厂的性能相同,因此,在此级别上应使用端口40G或更高的交换机。
主干交换机连接到所有下一级交换机:最终主机连接到的叶子交换机。 叶子交换机的主要作用是端口容量。
因此,扩展问题很容易解决:如果我们需要增加工厂的吞吐量,则可以添加Spine交换机,如果需要增加端口容量-Leaf。
在这两个级别上,均使用Cisco Nexus 9000系列交换机,而Cisco Nexus 9000系列交换机是构建数据中心网络的主要工具,而无论其体系结构如何。 对于Spine级别,使用Nexus 9300或Nexus 9500交换机,对于Leaf,仅使用Nexus 9300。
下图显示了ACI工厂中使用的Nexus交换机的范围。
APIC集群(应用程序策略基础结构控制器)
APIC控制器是专用的物理服务器,对于小型部署,允许使用一个物理APIC控制器和两个虚拟APIC控制器的群集。
APIC控制器提供管理和监视功能。 重要的是,控制器切勿参与数据传输,也就是说,即使所有群集控制器发生故障,也不会影响网络的稳定性。 还应该注意的是,借助APIC,管理员可以绝对管理工厂的所有物理和逻辑资源,并且为了进行任何更改,不再需要连接到特定设备,因为ACI使用单个控制点。
现在,让我们进入ACI的主要组件之一-应用程序配置文件。应用程序网络配置文件是ACI的逻辑基础。 应用程序配置文件确定所有网段之间的交互策略,并直接描述网段本身。 ANP允许您从物理层进行抽象,实际上,可以从应用程序的角度想象如何组织网络不同部分之间的交互。
应用程序配置文件由端点组(EPG)组成。 连接组是位于同一安全段(不是网络,即安全性)中的主机(虚拟机,物理服务器,容器等)的逻辑组。 可以通过大量标准来确定属于特定EPG的最终主机。 常用的有以下几种:
- 物理端口
- 逻辑端口(虚拟交换机上的端口组)
- VLAN ID或VXLAN
- IP地址或IP子网
- 服务器属性(名称,位置,操作系统版本等)
对于各种EPG的交互,提供了一个称为合同的实体。 合同定义了不同EPG之间的关系。 换句话说,合同确定一个EPG提供另一个EPG的服务。 例如,我们正在创建允许流量通过HTTPS协议的合同。 接下来,我们以该合同为例进行连接,例如EPG Web(Web服务器组)和EPG App(应用服务器组),之后这两个终端组可以通过HTTPS协议交换流量。
下图描述了通过同一ANP内的合同建立各种EPG通信的示例。
ACI工厂中可以有任意数量的应用程序配置文件。 此外,合同不依赖于特定的应用程序配置文件;它们可以(并且应该)用于连接不同ANP中的EPG。
实际上,每个需要以一种或另一种形式的网络的应用程序都由其自己的配置文件描述。 例如,上图显示了一个三层应用程序的标准体系结构,该结构由第N个外部访问服务器(Web),应用程序服务器(App)和DBMS服务器(DB)组成,并且还描述了它们之间交互的规则。 在传统的网络基础结构中,这是在基础结构中的各种设备上阐明的一组规则。 在ACI体系结构中,我们在单个应用程序配置文件中描述这些规则。 使用应用程序配置文件的ACI允许您极大地简化在各种设备上创建大量设置的过程,并将它们全部分组到一个配置文件中。
下图显示了一个更实际的示例。 由多个EPG和合同组成的Microsoft Exchange应用程序配置文件。
中央管理,自动化和监视是ACI的主要优势之一。 ACI工厂使管理员不必在各种交换机,路由器和防火墙上创建大量规则的例程(允许并可以使用经典的手动配置方法)。 应用程序配置文件和其他ACI对象的设置会自动在整个ACI工厂中应用。 即使将服务器物理切换到工厂交换机的其他端口,您也无需将设置从旧交换机复制到新交换机,也不需要清理不必要的规则。 根据主机属于EPG的条件,工厂将自动进行这些设置,并自动清除未使用的规则。
集成的ACI安全策略是根据白名单的原则实施的,即默认情况下显然禁止的是禁止的。 与自动更新网络设备配置(删除“忘记的”未使用的规则和权限)一起,此方法可显着提高网络安全的整体级别并缩小潜在攻击的范围。
ACI使您不仅可以在虚拟机和容器之间组织网络,而且还可以在物理服务器,硬件ITU和第三方网络设备之间组织网络,这使ACI目前成为唯一的解决方案。
思科基于应用程序逻辑构建数据网络的新方法不仅是自动化,安全性和集中管理。 这也是一个现代水平可扩展网络,可以满足现代业务的所有要求。
基于ACI的网络基础结构的实现允许企业的所有部门使用相同的语言。 管理员仅受应用程序逻辑的指导,该逻辑描述了所需的规则和通信。 除了应用程序的逻辑外,还指导应用程序的所有者和开发人员,信息安全服务,经济学家和企业所有者。
因此,思科在实践中实施了新一代数据中心网络的概念。 想自己看看吗? 来到圣彼得堡的以演示
应用程序为中心的基础架构 ,现在与未来的数据中心网络一起工作。
您可以
在此处注册活动。