Embed Size (px)
Citation preview
Скороходов Александр
Системный инженер-консультант
Cisco ACI. Инфраструктура,
ориентированная на приложения
Решаемые задачи и преимущества
Концепция инфраструктуры, модель политик
Развитие подходов к построению сети ЦОД
Традиционная
модель сети
Альтернативная
SDN модель
Новая
модель сети
Проверенное решение
Существующая модель эксплуатации сети и приложений
Широкое распространение
Много точек управления
Негибкость
Остаётся сложность
Отдельные оверлей и транспортная сеть
Зависимость от гипервизора
Несколько точек управления
Программная виртуализация сети
Application Centric Infrastructure
Сумма устройств
Устраняет сложность
Управление по политикам
Аппаратные оверлеи
Автоматизация
Программируемая инфраструктура
Защита инвестиций
Cеть и приложения Два разных языка
Язык владельцев приложений
?
Язык администраторов сети
• VLAN
• IP адреса
• Подсети
• МСЭ
• Quality of Service
• Балансировщики
нагрузки
• Access Lists
• ...
• Структура уровней
приложения, связи и
зависимости между ними
• Требования безопасности
• Service Level Agreement
• Производительность
• Соответствие норм. треб.
• Зависимость от гео-положения
• ...
Политика Связь требований приложений с инфраструктурой
Язык сети
Язык вычислений
Язык безопасности
Язык приложений
• Уровни приложений
• Производительность
• SLA
• Доступность
• Безопасность
• Нормативные
требования
Общая
политика
App
Network
Profile
UCS
Service
Profile
Эксперт определяет политику 1
Cisco ACI: модель ресурсов и политик Перенос опыта Cisco UCS в сетевую инфраструктуру
СИСТЕМНЫЙ ПОДХОД:
Быстрое разворачивание приложений. Масшабируемость, безопасность и полный контроль
Network SME
Security SME
Application SME
APIC
2
Политика используется для создания модели приложения
3
Автоматическая конфигурация политики во всей инфраструктуре
Управление жизненным циклом политики в день 1, день 2
4
Physical Networking
Compute L4–L7 Services
Storage Hypervisors and Virtual Networking
Multi DC WAN and Cloud
Nexus 2K
Nexus 7K
Integrated
WAN Edge
Cisco ACI новое поколение инфраструктуры ЦОД
ACI фабрика
Программируемость, масштабируемость, открытость
App DB Web
Внешняя сеть
передачи
данных
QoS
ACL
QoS
LB
QoS
МСЭ, LB
Application Policy
Infrastructure
Controller
APIC
Модель политик ACI профиль приложения
Сетевой профиль приложения (ANP) представляет собой набор групп EPG и
политик, которые определяют правила взаимоотношений между группами
Inbound/Outbound политики
Сетевой Профиль Приложения
Inbound/Outbound политики
EPG A
Service A
Service A
Service A
Service A
Service B
Service B
Service B
Service B
EPG B
Service C
Service C
Service C
Service C
Service C Service C
EPG C
Service D
Service E
Service D
Service E
Модель политик ACI End-Point Group (EPG)
HTTPS Service
HTTPS Service
HTTPS Service
HTTPS Service
HTTP Service
HTTP Service
HTTP Service
HTTP Service
EPG - Web
EPG – логическая группа конечных хостов представляющих
приложение целиком или компоненты приложения,
(в общем случае) не зависящая от сетевых атрибутов
Модель политик ACI различные методы определения элементов EPG
Интерфейс, при помощи которого конечное устройство подключается к сети
Имеет адрес (identity), местоположения, атрибуты (version, patch level)
Может быть физическим или виртуальным
Примеры критериев отнесения к EPG
Физический порт (leaf или FEX)
Логический порт (VM port group)
VLAN ID
VXLAN (VNID)
Атрибуты виртуальных машин
IP адрес (применительно ко внешним подключениям)
IP Prefix/Subnet (применительно ко внешним подключениям)
Сервер
Виртуальные машины
или контейнеры
СХД
Клиенты
Профиль приложения и его применение к сети
Вся передача данных в фабрике управляется при помощи профилей приложений
• IP адреса полностью переносимы и могут использоваться где угодно внутри фабрики
• Безопасность и передача данных не зависят от сетевых атрибутов
• Коммутаторы автономно обновляют свои настройки на основе правил, определенных
профилем приложения, в случае переезда/миграции приложения или его компонент
DB Tier
Storage Storage
Клиент
приложения
Web
Tier
App Tier
Профиль приложения: определяет
сетевые требования приложения
(сетевой профиль приложения)
Применение профиля: каждое
сетевое устройство динамически
производит изменения настройки,
требуемые профилем
VM VM VM
10.2.4.7
VM
10.9.3.37
VM
10.32.3.7
VM VM
APIC
Application Policy Infrastructure Controller Централизованная автоматизация и управление фабрикой
• Единая точка управления политиками в
сети ЦОД:
• Профили приложений
• Интеграция с сервисами L4-L7
• Открытая модель данных для управления при
помощи внешних средств оркестрации
• Мониторинг приложений, поиск и устранение
неисправностей фабрики
• Накопление статистики/телеметрии
• Управление образами ПО коммутаторов
• Не принимает непосредственное
участие в передаче данных
• Не занимается детальной настройкой
• Кластеризация для масштабирования и
доступности (от 3 до 5 и более узлов)
Сервисы 4..7 Управление
системами
Управление
СХД
Оркестрация
Storage SME Server SME Network SME
Security SME App. SME OS SME
Открытый
RESTful API
Управление при помощи
политик
APIC
Сетевая фабрика ACI
• Наиболее эффективная фабрика в индустрии:
‒ 1/10 Gb на границе сети, высокая плотность 40GE на
Spine и возможность перехода на 100GE
‒ До 1 миллиона IPv4 и IPv6 хостов
‒ Тысячи логических организаций (tenants)
‒ Десятки тысяч 1/10 Gb серверов
• Маршрутизируемая фабрика – оптимальная
передача IP трафика
‒ Масштабируемая распределённая коммутация (L2) и
маршрутизация (L3) для VXLAN, NVGRE, VLAN
‒ Не требуются программные шлюзы – физические или
виртуальные
‒ Гибкость развертывания приложения – нет ограничений
при выборе точки их размещения в фабрике
• Полная прозрачность – физическая или
виртуальная нагрузка
• Передача метаданных вместе с трафиком
‒ Детальное управление политиками без необходимости
программировать потоки
Spine: модульные (Nexus 9500) или фиксированные (9336) Аппаратная база отображения адресов
До 576 x 40 Gb портов на устройство
Высокая плотность за умеренную стоимость
Оптимизация фабрики Использование IEEE 1588 для измерения
задержки
Оптимальная балансировка ECMP
Leaf (доступ): Nexus 9300 Применение политик
Интеллектуальное кеширование
Поддержка терминации оверлеев
Улучшенная аналитика
APIC
Фабрика с поддержкой нескольких гипервизоров
• Заказчик не ограничен в выборе
платформы виртуализации:
VMWare, Microsoft, OpenStack или
использовании
невиртуализированных серверов
• Возможность использования
нескольких VMM в одной группе
EPG
• Интегрированный шлюз для
VLAN, VxLAN, NVGRE сетей
Интеграция с физическим
и виртуальным миром
Сетевой
администратор
Администратор
приложения
ФИЗИЧЕСКИЙ
СЕРВЕР
VLAN
VXLAN
VLAN
NVGRE
VLAN
VXLAN
VLAN
ESX Hyper-V KVM
Управление
гипервизором
ACI фабрика
APIC
APIC
ACI: интеграция с сервисами 4 - 7 уровня Централизация, автоматизация и поддержка существующей модели
• Эластичность вставки сервиса
физического или виртуального
• Помощь в административном разделении
между уровнями приложения и сервиса
• APIC – центральная точка контроля сети и
согласовании политик
• Автоматизация процесса
развертывания/свертывания сервиса
посредством программируемого
интерфейса
• Поддержка текущей операционной модели
эксплуатации
• Применение сервиса вне зависимости от
места нахождения приложения
Web
Server
App Tier
A
Web
сервер
Web
Server
App Tier
B
App
сервер
Сервисная
послед-ть
“Security 5”
Политика
перенаправления
Администратор
приложения
Администрато
р сервиса
Серв.
граф
begin end Stage 1 …..
Stage N
Pro
vid
ers
inst
inst
…
МСЭ
inst
inst
…
Балансировка
……..
Сер
ви
сны
й
пр
оф
ил
ь
Определение “Security 5”
ACI фабрика: управление трафиком
Фокус на времени отклика приложения
• ACI фабрика отслеживает перегрузки на
всем пути передачи входящим и исходящим
leaf (измерения в реальном времени)
‒ Перегрузка на внешних портах
коммутаторов (external wires)
‒ Перегрузка на соединениях ASIC-to-ASIC
(internal wires)
• Фабрика балансирует потоки трафика по
принципу ‘flowlet switching’
‒ Динамическое перенаправление активных
потоков с загруженного пути на менее
загруженный путь передачи трафика
• Фабрика приоритезирует небольшие потоки
‒ Увеличение скорости реакции для
интерактивных соединений
APIC
Мониторинг приложения Видимость на уровне приложения и его компонент
Действия:
Не добавлять хосты или VM
Отключить хост гипервизора
Перебалансировать кластер
PetStore
Событие
PetStore Dev • Leaf 1 и 2
• Spine 1 – 3
• Atomic counters
PetStore Prod • Leaf 2 и 3
• Spine 1 – 2
• Atomic counters
PetStore QA • Leaf 3 и 4
• Spine 2 – 3
• Atomic counters
VXLAN
статистика для
каждого узла
Физическая и
виртуальная
нагрузка
ACI фабрика предоставляет
аналитические возможности
следующего поколения
Приложение, потребитель (tenant) и
инфраструктура:
• Показатели здоровья (health scores)
• Задержка
• Atomic counters
• Потребление ресурсов
Интеграция с управлением нагрузкой –
первичное размещение и миграция
Триггерное
событие
APIC
Открытая экосистема ACI Все возможности доступны благодаря открытому API и модели данных
Объектно-ориентированная
Автоматизация
RESTful XML / JSON
Открытая
экосистема
Программируемость
Полный доступ к системе
посредством API
Northbound API
• Быстрая интеграция с
существующими средствами
управления
• Поддержка приложений и орг.
cтруктуры (tenant)
• Поддержка OpenStack
Southbound API
• Опубликованная модель данных
• Опубликованная инкапсуляция
• Протокол OpFlex для открытой интеграции элементов в ACI
• Встраивание L4-L7 сервисов *Есть ограничения, обращайтесь за уточнениями
Системное
управление
Управление
гипервизорами
Средства
автоматизации
Средства
оркестрации
Модель политик ACI
и примеры её использования
03.10.2015 © 2013 Cisco and/or its affiliates. All rights reserved. 18
conf t interface e1/10
vpc domain 5
ip address 10.1.1.1/24
router ospf 30
channel-group 400 mode active
no shutdown
vrf context prod
feature lldp
Традиционное управление сетью
Управление по политикам в ACI
20
Tenant App
Profile
Bridge
Domain
Private
Network Contract
Filter
Subnet
EPG Attachable
Entity
Profile
Filter
Interface
Profile
Switch
Profile
Interface
Selector VMM
Domain
VLAN Pool Physical
Domain
L3
Outside
L2
Outside
Логическая модель: контракт
EPG-WEB
EP 1
EP 2
EPG-APP
EP 1
EP 2
EPG-DB
EP 1
EP 2
Контракт Контракт
Сетевой профиль приложения
Контракт: filter, action, label
Subject - это комбинация следующих
действий- filter, action и label
Контракты определяют
правила взаимодействия
между EPG
Filter | Action | Label Subject
TCP Port 80
Фильтр
Permit
Действие
Web Access
Метка
Контракт 1
Subject 1
Subject 2
Subject 3
ACI контракты
Использование контрактов дает возможность отделить что делает политика от того где
политика находится, таким образом расширяя действие политики (физ. – вирт.)
Сетевой профиль приложения C Контракт
Контракт определяет что и как EPG предоставляет другим EPG или внешним клиентам
Контракты можно использовать повторно для различных EPG или наследовать C
C
EPG NFS
EPG MGMT
EPG DB
EPG App EPG Web C C C
Пример № 1: 2-уровневое приложение
Tenant: Логический контейнер для размещения политик
приложений. Этот контейнер может быть выделен
отдельному арендатору, организации или приложению.
Private network: набор изолированных сетевых
сегментов, аналог VRF
Subnet: IP подсеть, в которой размещается нагрузка
Tenant_001
Private network VRF1
Brid
ge
Do
ma
in B
D1
Subnet
10.1.1.254/24
Bridge Domain: Логическая конструкция представляющая
L2-сегмент передачи данных внутри фабрики. Один или
несколько EPG могут быть ассоциированы с одним BD.
Application Profile: профиль приложения моделирует
требования приложения к сети и включает в себя
необходимое количество EPG.
Ко
нтр
акт
EPG
Front end
EPG
Back-end
End Point Group (EPG): EPG это набор физических или
виртуальных объектов, для которых должны быть
обеспечены одинаковые политики и сервисы при
подключении к сети.
Контракты: регламентирует правила передачи данных
между EPG при помощи механизмов фильтрации,
обеспечения качества обслуживания и перенаправления
трафика на внешние сервисные устройства, такие как
МСЭ и т.д.
VRF2
Brid
ge
Do
ma
in B
D3
ANP 2-tier App B
D2
Subnet
20.2.2.254/24
Пример № 2: Microsoft Exchange
EPG
CAS
EPG
Mail_Box
EPG
AD
EPG
Outside
Сервисное
устройство SLB
Контракт
Контракт
Пример № 2: Microsoft Exchange
EPG
Mail_Box
EPG
AD
EPG
Outside
EPG
CAS Контракт
Контракт
SLB
Service Graph Template
Динамика современных приложений и их влияние на ИТ Модель «бимодального IT» Gartner
Традиционные системы (“mode 1”) Системы Cloud Scale (“mode 2”)
Many
Applications
Server Single
Server
Many
Servers
Single
Application
SCM ERP/Financial Client/ Server CRM Email Online
Content Gaming Mobile IoT eCommerce
Hypervisor
Заказчикам нужна поддержка обоих подходов
Эффективность
Стабильность
Надёжность
Поддержка текущего бизнеса
Сделать «правильно»
Гибкость и «время до результата»
Фокус на задачах подразделений
Эксперименты
Быстрое развитие приложений
Новые возможности
для бизнеса
Сделать «быстро»
Логическая модель ACI
и новые подходы к эксплуатации
Prod- Web
BD1
10.0.0.254/24
20.0.0.254/24
No f ooding
etc …
Prod- App PreProd- Web
10.0.0.254/24
No f ooding
etc …
PreProd- App
20.0.0.254/24
No f ooding
etc …
BD2 BD3
Private Network “Production
Private Network “PreProduction
Tenant “Tenant1”
ACI
…
Разработка и
тестирование
Продуктив Модификация
Клонирование
Prod- Web
BD1
10.0.0.254/24
20.0.0.254/24
No f ooding
etc …
Prod- App PreProd- Web
10.0.0.254/24
No f ooding
etc …
PreProd- App
20.0.0.254/24
No f ooding
etc …
BD2 BD3
Private Network “Production
Private Network “PreProduction
Tenant “Tenant2”
Разработка и
тестирование
Продуктив
Prod- Web
BD1
10.0.0.254/24
20.0.0.254/24
No f ooding
etc …
Prod- App PreProd- Web
10.0.0.254/24
No f ooding
etc …
PreProd- App
20.0.0.254/24
No f ooding
etc …
BD2 BD3
Private Network “Production
Private Network “PreProduction
Tenant “Tenant100”
Разработка и
тестирование
Продуктив
Клонирование
Не готовы к внедрению политик? Полностью открытое взаимодействие
Contracts
Provided
Filter Contracts
Provided
Contracts
consumed
Filter
EPG “VLAN 10” VLAN10 Default ALL ALL Default
EPG “VLAN 20” VLAN20 Default ALL ALL
EPG “VLAN 30” VLAN30 Default ALL ALL
ALL VLAN 10
VLAN 20
VLAN 30
Если я потом захотел внедрить ACL между VLAN 10 и 20...
ALL VLAN 10
VLAN 20
VLAN 30
Contracts
Provided
Filter Contracts
Provided
Contracts
consumed
Filter
EPG “VLAN 10” VLAN10 Default VLAN20 Port 80
EPG “VLAN 20” VLAN20 Default ALL ALL Default
EPG “VLAN 30” VLAN30 Default ALL ALL
Преимущества архитектуры ACI
03.10.2015 © 2013 Cisco and/or its affiliates. All rights reserved. 31
Application Centric Infrastructure
…для администраторов приложений
• Описание логики приложения в терминах приложения, а не сети
• Нет потребности в «переводе на сетевой язык»: VLAN,
адресов и т.д.
• Переносимость политик между ЦОД
• Возможность расширения среды, миграции P2V и т.д.
• Поддержка полностью или частично виртуализированных
приложений или физических серверов
• Корпоративные приложения
• Web-сервисы
• Big Data
• Управление инфраструктурой, а не коммутаторами
• Декларативная модель: описание желаемых политик для
приложений, а не конкретных настроек сетевых устройств
• Мониторинг
• Сетевое «здоровье» конкретного приложения
• Точный учёт трафика каждого из компонентов
APIC
Application Centric Infrastructure
…для администраторов безопасности
• Управление правилами доступа
• Единая точка контроля политик взаимодействия
• Структура правил/контрактов увязана с сервисами, а
не с адресами
• Нет «накопления» неиспользуемых правил МСЭ
• Модель «белого списка»
• Всё, что не разрешено, по умолчанию запрещено
• «Распределённый МСЭ»
• Микросегментация и контроль сессий
• Встраивание средств безопасности
• Физические или виртуальные
• Cisco или другие разработчики
• Полная изоляция организаций (tenants)
• Интегрированные возможности аудита
• Протоколирований действий администраторов
• API для внешнего анализа соответствия политикам
• Безопасность управления ACI
• Контроль доступа и ролевое управление
ПРИЛОЖЕНИЯ
Web
Tier
App
Tier
DB
Tier
БЕЗОПАСНОСТЬ
Trusted
Zone
DB
Tier DMZ
Внешний мир
ИНФРАСТРУКТУРА
APIC
Application Centric Infrastructure
…для облачных архитекторов
• Открытый REST интерфейс для
управления/оркестрации
• Поддержка разных сред виртуализации и физических
нагрузок
• Интеграция с несколькими гипервизорами в одном
приложении
• Возможность развёртывания невиртуализированных
ландшафтов (Big Data и т.д.)
• Возможность развёртывания приложений с
виртуальными и физическими компонентами
• Поддержка изоляции организаций
• Тысячи заказчиков (tenants)
• Управление инфраструктурой, а не коммутаторами
• Декларативная модель: «сеть как сервис»
• Автоматизация сервисных цепочек
• Поддержка OpenStack
• Интеграция c OpenStack Neutron
• Интеграция модели политик (Group Based Policy)
ФИЗИЧЕСКИЙ СЕРВЕР
VLAN
VXLAN
VLAN
NVGRE
VLAN
VXLAN
VLAN
ESX Hyper-V KVM
ACI фабрика APIC
Application Centric Infrastructure
…для сетевых администраторов
• Эксплуатация сети как единого комплекса, а не
набора устройств
• Сокращение рутинных операций
• Снижение числа ошибок
• Высокая производительность и масштабируемость
• Доступ 1/10G, 40G
• Внутренний транспорт 40G (с развитием к 100G) с
эффективной балансировкой нагрузки и
приоритезацией транзакций
• До миллиона IPv4/IPv6 узлов
• Десятки и сотни тысяч портов
• Оптимизированный транспорт L2+L3
• Распределённая маршрутизация
• Единая среда коммутации для физических и
виртуальных серверов
• Сквозной транспорт P+V
• Поддержка многих гипервизоров
• Детальная телеметрия и диагностика
• Измерение задержки и счётчики
Spine: модульные (Nexus 9500) или фиксированные (9336) Аппаратная база отображения адресов
До 576 x 40 Gb портов на устройство
Высокая плотность за умеренную стоимость
Оптимизация фабрики Использование IEEE 1588 для
измерения задержки
Оптимальная балансировка ECMP
Leaf (доступ): Nexus 9300 Применение политик
Интеллектуальное кеширование
Поддержка терминации оверлеев
Улучшенная аналитика
APIC
Ждем ваших сообщений с хештегом
#CiscoConnectKZ
© 2015 Cisco and/or its affiliates. All rights reserved.
Спасибо Пожалуйста, заполните анкеты.
Ваше мнение очень важно для нас.
Contacts:
Name Александр Скороходов
Phone +7(495)789-8615
E-mail [email protected]
