Upload
cisco-russia
View
99
Download
0
Tags:
Embed Size (px)
Citation preview
Хаванкин Максим cистемный архитектор [email protected]
Cisco ACI: концепция инфраструктуры, ориентированной на приложения
11/24/14 © 2014 Cisco and/or its affiliates. All rights reserved.
Развитие подходов к построению сети ЦОД Традиционная модель сети
Альтернативная SDN модель
Новая модель сети
Проверенное решение Существующая модель эксплуатации сети и приложений
Широкое распространение Много точек управления
Негибкость
Остаётся сложность Отдельные оверлей и транспортная сеть Зависимость от гипервизора
Несколько точек управления
Программная виртуализация сети
Application Centric Infrastructure
Сумма устройств
Устраняет сложность Управление по политикам
Аппаратные оверлеи
Автоматизация
Программируемая инфраструктура Защита инвестиций
Эксперт определяет политику 1
Cisco ACI: модель ресурсов и политик Перенос опыта Cisco UCS в сетевую инфраструктуру
СИСТЕМНЫЙ ПОДХОД: Быстрое разворачивание приложений. Масшабируемость, безопасность и полный контроль
Network SME
Security SME
Application SME
APIC
2 Политика используется для создания модели приложения
3 Автоматическая конфигурация политики во всей инфраструктуре
Управление жизненным циклом политики в день 1, день 2
4
Physical Networking
Compute L4–L7 Services
Storage Hypervisors and Virtual Networking
Multi DC WAN and Cloud
Nexus 2K
Nexus 7K
Integrated WAN Edge
Введение в инфраструктуру ЦОД, ориентированную на приложения
11/24/14 © 2014 Cisco and/or its affiliates. All rights reserved. 4
Cеть и приложения Два разных языка
Язык владельцев приложений
?
Язык администраторов сети
• VLAN • IP адреса • Подсети • МСЭ • Quality of Service • Балансировщики нагрузки
• Access Lists
• Application Tier Policy and Dependencies
• Требования безопасности • Service Level Agreement • Производительность • Соответствие норм. треб. • Зависимость от гео-положения • И т.д.
Основной принцип ACI - логическая конфигурация сети, не привязанная оборудованию
11/24/14 © 2013 Cisco and/or its affiliates. All rights reserved. 6
ACI фабрика
Неблокируемая фабрика на базе оверлеев
App DB Web
Внешняя сеть передачи данных
(Tenant VRF)
QoS
Filter
QoS
Service
QoS
Filter
Application Policy Infrastructure
Controller
APIC
ACI сетевой профиль Управление фабрикой на основе политик/профилей
• Расширение принципов сервисного профиля Cisco UCS® Manager на всю фабрику
• Сетевой профиль: определение требований приложения без привязки к оборудованию (stateless принцип) Уровни приложений (tiers)
Политики регламентирующие взаимодействие
Сервисы 4 – 7 уровня
XML/JSON схема
• Полная абстракция от физической инфраструктуры устранение зависимости от инфраструктуры
переносимость между фабриками различных ЦОД
## Network Profile: Defines Application Level Metadata (Pseudo Code Example) <Network-Profile = Production_Web> <App-Tier = Web> <Connected-To = Application_Client> <Connection-Policy = Secure_Firewall_External> <Connected-To = Application_Tier> <Connection-Policy = Secure_Firewall_Internal & High_Priority> . . . <App-Tier = DataBase> <Connected-To = Storage> <Connection-Policy = NFS_TCP & High_BW_Low_Latency> . . .
App Tier DB Tier
Storage Storage
Web Tier
Приложение
Сетевой профиль полностью описывает сетевые и сервисные потребности
приложения
Логическая модель определяет политику подключения
NXOS: VXLAN, VRFs, etc…
Concrete Model
порты, карты, интерфейсы, VLAN-ы, узлы
Логическая модель
Конфигурация ориентированная на приложение, целевая группа политики,
правила
(subset) Logical Model
Часть логической модели
Преобразование (implicit render) Применение
Обновление политики
Animation Complete*
Обратная связь
Программируемый коммутатор
Сетевое устройство
Профиль приложения и его применение к сети
Вся передача данных в фабрике управляется при помощи профилей приложений • IP адреса полностью переносимы и могут использоваться где угодно внутри фабрики • Безопасность и передача данных не зависят от любых физических и логических сетевых атрибутов
• Коммутаторы автономно обновляют свои настройки на основе правил, определенных профилем приложения, в случае переезда/миграции приложения или его компонент
DB Tier
Storage Storage
Клиент приложения
Web Tier
App Tier
Профиль приложения: определяет сетевые требования приложения (сетевой профиль приложения)
Применение профиля: каждое сетевое устройство динамически производит изменения настройки, требуемые профилем
VM VM VM
10.2.4.7
VM
10.9.3.37
VM
10.32.3.7
VM VM
APIC
Application Policy Infrastructure Controller Централизованная автоматизация и управление фабрикой
• Единая точка управления политиками в сети ЦОД:
• Профили приложений
• Интеграция с сервисами L4-L7 • Открытая модель данных для управления при помощи внешних средств оркестрации
• Мониторинг приложений, поиск и устранение неисправностей фабрики
• Управление образами (Spine / Leaf)
• Кластер APIC может поддержать более миллиона конечных хостов, 200,000+ портов, 64,000+ логических организаций (tenant)
• Не принимает непосредственное участие в передаче данных
• Не занимается детальной настройкой
Сервисы 4..7 Управление системами
Управление СХД
Оркестрация
Storage SME Server SME Network SME
Security SME App. SME OS SME
Открытый RESTful API
Управление при помощи политик
APIC
Подробнее про сетевой профиль приложения
11/24/14 © 2014 Cisco and/or its affiliates. All rights reserved. 11
ACI модель политик – концепция End-Point Group (EPG)
HTTPS Service
HTTPS Service
HTTPS Service
HTTPS Service
HTTP Service
HTTP Service
HTTP Service
HTTP Service
EPG - Web
EPG – логическая группа конечных хостов представляющих приложение целиком или компоненты
приложения, которая не зависит от сети
Примеры конечных хостов
• Устройства, подключенные к сети напрямую или косвенно
• Имеют адрес (identity), расположение (location), атрибуты (version, patch level)
• Могут быть физическими или виртуальными
• Примеры: - Сервер - Виртуальная машина - СХД - NIC, vNIC - DNS
End Points = EP
Сервер
VM
Виртуальная машина
СХД
Клиент
EPG, подсети и политики
EPG не привязана к адресации в сети. Например при смене IP адреса на EP политика будет продолжать
применяться.
10.10.10.x
10.10.11.x Применение политики/правил
безопасности происходит на уровне EPG
HTTPS Service
HTTPS Service
HTTPS Service
HTTPS Service
HTTP Service
HTTP Service
HTTP Service
HTTP Service
EPG Web
Уменьшение размера таблицы политик
12345
1234
фильтры 1 -‐ Allow x 2 -‐ Deny y 3 -‐ Allow x 4 -‐ Deny y 5 – Allow x
n = 5 f = 5 m = 4
Всего количество записей = n * m * f
Стандартная модель потребует 100
записей в таблице
Источник Получатель
12345
1234
Фильтры 1 -‐ Allow x 2 -‐ Deny y 3 -‐ Allow x 4 -‐ Deny y 5 – Allow x
n = 1 f = 5 m = 1
ACI модель потребует 5 записей в
таблице
Исходный EPG EPG Получатель
Анонс сессии – 19 ноября 18:00
Название Докладчик Время и дата Зал Как развернуть и настроить ACI фабрику – основные шаги
Дмитрий Жечков
19 ноября 11:20 – 12:20
Амур
Архитектура и принципы функционирования сетевой фабрики Cisco ACI
Александр Скороходов
19 ноября 16:45 – 17:45
Конгресс-зал 2
Модель политик Cisco ACI
Михаил Дворкин
19 ноября 18:00 – 19:00
Конгресс-зал 2
ACI для администратора и владельца приложения
11/24/14 © 2013 Cisco and/or its affiliates. All rights reserved. 17
Application Centric Infrastructure …для администраторов приложений
• Описание логики приложения в терминах приложения, а не сети
• Нет потребности в «трансляции» в термины VLAN, адресов и т.д.
• Мобильность политик между ЦОД
• Возможность расширения, миграции P2V и т.д.
• Поддержка полностью или частично виртуализированных приложений или физических серверов
• Корпоративные приложения
• Web-сервисы
• Big Data
• Управление инфраструктурой, а не коммутаторами
• Декларативная модель: описание политик для приложений а не настроек сетевых устройств
• Мониторинг
• Сетевое «здоровье» конкретного приложения
• Точный учёт трафика каждого из компонентов
APIC
Мониторинг приложения Видимость на уровне приложения и его компонент
Действия: Не добавлять хосты или VM Отключить хост гипервизора Перебалансировать кластер
PetStore Событие
PetStore Dev • Leaf 1 и 2 • Spine 1 – 3 • Atomic counters
PetStore Prod • Leaf 2 и 3 • Spine 1 – 2 • Atomic counters
PetStore QA • Leaf 3 и 4 • Spine 2 – 3 • Atomic counters
VXLAN
статистика для каждого узла
Физическая и виртуальная нагрузка
ACI фабрика предоставляет аналитические возможности следующего поколения
Приложение, потребитель (tenant) и инфраструктура: • Показатели здоровья (health scores) • Задержка • Atomic counters • Потребление ресурсов
Интеграция с управлением нагрузкой – первичное размещение и миграция
Триггерное событие
APIC
ACI: интеграция с сервисами 4 - 7 уровня Централизация, автоматизация и поддержка существующей модели
• Эластичность вставки сервиса физического или виртуального
• Помощь в административном разделении между уровнями приложения и сервиса
• APIC – центральная точка контроля сети и согласовании политик
• Автоматизация процесса развертывания/свертывания сервиса посредством программируемого интерфейса
• Поддержка текущей операционной модели эксплуатации
• Применение сервиса вне зависимости от места нахождения приложения
Web Server
App Tier A
Web сервер
Web Server
App Tier B
App сервер
Сервисная послед-ть “Security 5”
Политика перенаправления
Администратор приложения
Администратор сервиса
Серв.
граф
begin end Stage 1 …..
Stage N
Pro
vide
rs inst
inst
…
МСЭ
inst
inst
…
Балансировка
……..
Сервисный
профиль
Определение “Security 5”
ACI для администраторов безопасности
11/24/14 © 2013 Cisco and/or its affiliates. All rights reserved. 21
Application Centric Infrastructure …для администраторов безопасности
• Управление правилами доступа • Единая точка контроля политик взаимодействия • Структура увязана с сервисами, а не с адресами • Нет «накопления» правил МСЭ
• Модель «белого списка» • Всё, что не разрешено, по умолчанию запрещено
• Встраизивание средств безопасности • Физические или виртуальные • Cisco или другие разработчики
• Полная изоляция организаций (tenants) • Интегрированные возможности аудита
• Протоколирований действий • API для внешнего анализа
• Безопасность управления ACI • Контроль доступа и ролевое управление
ПРИЛОЖЕНИЯ
Web Tier
App Tier
DB Tier
БЕЗОПАСНОСТЬ
Trusted Zone
DB Tier
DMZ
Внешний мир
ИНФРАСТРУКТУРА
APIC
ACI и атрибуты информационной безопасности
Конфиденциальность
Целостность
Доступность
& Встроенная
MULTI-TENANCY
Безопасность в режиме
ALWAYS-ON
Передача данных на основе политик
Контроль над физическим и виртуальным
API для аудита & расследований
Сбор телеметрии в фабрике & RBAC
Сервисные графы
&
Распределенные контроллеры
Федерация между несколькими
системами
Централизованное управление политиками
БЕЗОПАСНОСТЬ
Trusted Zone
DB Tier
DMZ
External Zone
L4-7 СЕРВИСЫ
APIC
ФАБРИКА
РЕАЛИЗАЦИЯ ПОЛИТИК НА СКОРОСТИ РАБОТЫ ИНТЕРФЕЙСА
АВТОМАТИЗАЦИЯ ВНЕШНИХ L4-7 СЕРВИСОВ
ПОДДЕРЖКА АППЛАИНСОВ БЕЗОПАСНОСТИ
ЕДИНАЯ ТОЧКА УПРАВЛЕНИЯ ПОЛИТИКАМИ БЕЗОПАСНОСТИ
ACI фабрика – организация управления Аутентификация, Авторизация, RBAC
Доступ ко всем объектам управления после аутентификации и по защищенному каналу
Каждый объект имеет уникальный набор RBAC атрибутов на ЧТЕНИЕ и ЗАПИСЬ
APIC и фабрика спроектированы изначально с поддержкой multi-tenant
Локальный и внешний сервис AAA (TACACS+, RADIUS, LDAP) для авторизации и аутентификации
Universe
Tenant: Pepsi
App Profile
EPGs
Layer 3 Networks
Tenant: Coke
App Profile
EPGs
Layer 3 Networks
Фабрика
Коммутаторы
Линейные карты
Порты
APIC
ACI для сетевых администраторов
11/24/14 © 2013 Cisco and/or its affiliates. All rights reserved. 26
Application Centric Infrastructure …для сетевых администраторов
• Эксплуатация сети как единого комплекса, а не набора устройств
• Высокая производительность и масштабируемость • Доступ 1/10G, 40G
• Внутренний транспорт 40G с эффективной балансировкой нагрузки
• До миллиона IPv4/IPv6 узлов
• Десятки и сотни тысяч портов
• Оптимизированный транспорт L2+L3 • Распределённая маршрутизация
• Единая среда коммутации для физических и виртуальных серверов
• Сквозной транспорт P+V
• Поддержка многих гипервизоров
• Детальная телеметрия и диагностика • Измерение задержки и счётчики
Spine Аппаратная база отображения адресов До 576 x 40 Gb портов Высокая плотность за умеренную стоимость
Оптимизация фабрики Использование IEEE 1588 для измерения задержки Оптимальная балансировка ECMP
Масштабирование Интеллектуальное кеширование Поддержка терминации оверлеев Улучшенная аналитика
APIC
ACI - шаги миграции
11/24/14 © 2014 Cisco and/or its affiliates. All rights reserved. 28
• Расширение уровня доступа в ЦОД
• Решение проблем сервисных цепочек и интеграции сервисных устройств
Анонс сессии – 19 ноября 16:45
Название Докладчик Время и дата Зал Как развернуть и настроить ACI фабрику – основные шаги
Дмитрий Жечков
19 ноября 11:20 – 12:20
Амур
Архитектура и принципы функционирования сетевой фабрики Cisco ACI
Александр Скороходов
19 ноября 16:45 – 17:45
Конгресс-зал 2
Модель политик Cisco ACI
Михаил Дворкин
19 ноября 18:00 – 19:00
Конгресс-зал 2
#1: Прикладные политики – в сети
Требования приложений “ЧТО?”
WAN
Firewall
LB to App
Connect to DB
Connect to App
High Priority
WEB APP DB
НЕПОСРЕДСТВЕННАЯ РЕАЛИЗАЦИЯ СЕТЕВОГО ПРОФИЛЯ ПРИЛОЖЕНИЯ
Отображение в сети приложений и сервисных цепочек
WEB APP DB F/W ADC ADC
APP APP APP WEB WEB WEB DB DB DB
“КАК?”
32
CONNECTIVITY POLICY
SECURITY POLICIES
QOS BANDWIDTH
RESERVATION AVAILABILITY
APPLICATION L4-L7
SERVICES STORAGE AND
COMPUTE
APPLICATION NETWORK PROFILE
SLA QoS Security Load Balancing
WEB
WEB WEB WEB
APP
APP APP APP
DB
DB DB DB
F/W ADC ADC
Extensible Scripting Model
DB DB DB
WEB WEB WEB APP WEB APP WEB
HYPERVISOR HYPERVISOR HYPERVISOR
APPLICATION NETWORK PROFILE
Traditional 3-Tier Application
#2: Гибкость и развитие: любой тип развертывания (физический+виртуальный), в любой точке, с любым масштабом
1011 0010
Ведущие показатели цена/производительность: Самая быстрая платформа 10G/40G /100G
Програмируемость/ APIs: Python, Power Shell, Puppet, Chef, Linux контейнеры… Идеальная платформа для DevOps!!
На 15% лучше энергоэффективность ~3X выше надёжнось
Инновации аппаратный дизайн без мидплейна, объектная модель, телеметрия...
Экономия от внедрения 40/100G на существующей СКС с BiDi оптикой. Плавный переход на 40G
Nexus 9000 1/10/40/100G
#3 – Сетевое оборудование нового поколения программируемость и производительность
Выбор модели эксплуатации
RESTful APIs, Python etc.
OpFlex
1. Программирование/скрипты
2. ИТ автоматизация
3. Open Source
4. Интегированное решение
#4 - Открытость: обеспечение выбора и защита инвестиций
Экосистема
Hypervisors
L4-L7 Services
Management
Security
Storage
CLOUD
SECURITY NETWORK
APPLICATION
Automate
#5 – Телеметрия: детальный мониторинг по приложениям и организациям
APIC
AP
P
TEN
AN
T
Tenant Tenant 1 Tenant 2
Tenant 3 Tenant 4
Анонс сессий – 19 ноября
Название Докладчик Время и дата Зал Как развернуть и настроить ACI фабрику – основные шаги
Дмитрий Жечков
19 ноября 11:20 – 12:20
Амур
Архитектура и принципы функционирования сетевой фабрики Cisco ACI
Александр Скороходов
19 ноября 16:45 – 17:45
Конгресс-зал 2
Модель политик Cisco ACI
Михаил Дворкин
19 ноября 18:00 – 19:00
Конгресс-зал 2
CiscoRu Cisco CiscoRussia
Ждем ваших сообщений с хештегом #CiscoConnectRu
Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас.
Спасибо Contacts: Name Хаванкин Максим Phone +74999295710 E-mail [email protected]
11/24/14 © 2014 Cisco and/or its affiliates. All rights reserved.