Cisco ACI: концепция инфраструктуры, ориентированной на...

Хаванкин Максим cистемный архитектор [email protected]

Cisco ACI: концепция инфраструктуры, ориентированной на приложения

11/24/14 © 2014 Cisco and/or its affiliates. All rights reserved.

Развитие подходов к построению сети ЦОД Традиционная модель сети

Альтернативная SDN модель

Новая модель сети

Проверенное решение Существующая модель эксплуатации сети и приложений

Широкое распространение Много точек управления

Негибкость

Остаётся сложность Отдельные оверлей и транспортная сеть Зависимость от гипервизора

Несколько точек управления

Программная виртуализация сети

Application Centric Infrastructure

Сумма устройств

Устраняет сложность Управление по политикам

Аппаратные оверлеи

Автоматизация

Программируемая инфраструктура Защита инвестиций

Эксперт определяет политику 1

Cisco ACI: модель ресурсов и политик Перенос опыта Cisco UCS в сетевую инфраструктуру

СИСТЕМНЫЙ ПОДХОД: Быстрое разворачивание приложений. Масшабируемость, безопасность и полный контроль

Network SME

Security SME

Application SME

APIC

2 Политика используется для создания модели приложения

3 Автоматическая конфигурация политики во всей инфраструктуре

Управление жизненным циклом политики в день 1, день 2

4

Physical Networking

Compute L4–L7 Services

Storage Hypervisors and Virtual Networking

Multi DC WAN and Cloud

Nexus 2K

Nexus 7K

Integrated WAN Edge

Введение в инфраструктуру ЦОД, ориентированную на приложения

11/24/14 © 2014 Cisco and/or its affiliates. All rights reserved. 4

Cеть и приложения Два разных языка

Язык владельцев приложений

?

Язык администраторов сети

•  VLAN •  IP адреса •  Подсети •  МСЭ •  Quality of Service •  Балансировщики нагрузки

•  Access Lists

•  Application Tier Policy and Dependencies

•  Требования безопасности •  Service Level Agreement •  Производительность •  Соответствие норм. треб. •  Зависимость от гео-положения •  И т.д.

Основной принцип ACI - логическая конфигурация сети, не привязанная оборудованию


ACI фабрика

Неблокируемая фабрика на базе оверлеев

App DB Web

Внешняя сеть передачи данных

(Tenant VRF)

QoS

Filter

QoS

Service

QoS

Filter

Application Policy Infrastructure

Controller

APIC

ACI сетевой профиль Управление фабрикой на основе политик/профилей

•  Расширение принципов сервисного профиля Cisco UCS® Manager на всю фабрику

•  Сетевой профиль: определение требований приложения без привязки к оборудованию (stateless принцип)   Уровни приложений (tiers)

  Политики регламентирующие взаимодействие

  Сервисы 4 – 7 уровня

  XML/JSON схема

•  Полная абстракция от физической инфраструктуры   устранение зависимости от инфраструктуры

  переносимость между фабриками различных ЦОД

## Network Profile: Defines Application Level Metadata (Pseudo Code Example) <Network-Profile = Production_Web> <App-Tier = Web> <Connected-To = Application_Client> <Connection-Policy = Secure_Firewall_External> <Connected-To = Application_Tier> <Connection-Policy = Secure_Firewall_Internal & High_Priority> . . . <App-Tier = DataBase> <Connected-To = Storage> <Connection-Policy = NFS_TCP & High_BW_Low_Latency> . . .

App Tier DB Tier

Storage Storage

Web Tier

Приложение

Сетевой профиль полностью описывает сетевые и сервисные потребности

приложения

Логическая модель определяет политику подключения

NXOS: VXLAN, VRFs, etc…

Concrete Model

порты, карты, интерфейсы, VLAN-ы, узлы

Логическая модель

Конфигурация ориентированная на приложение, целевая группа политики,

правила

(subset) Logical Model

Часть логической модели

Преобразование (implicit render) Применение

Обновление политики

Animation Complete*

Обратная связь

Программируемый коммутатор

Сетевое устройство

Профиль приложения и его применение к сети

Вся передача данных в фабрике управляется при помощи профилей приложений •  IP адреса полностью переносимы и могут использоваться где угодно внутри фабрики •  Безопасность и передача данных не зависят от любых физических и логических сетевых атрибутов

•  Коммутаторы автономно обновляют свои настройки на основе правил, определенных профилем приложения, в случае переезда/миграции приложения или его компонент

DB Tier

Storage Storage

Клиент приложения

Web Tier

App Tier

Профиль приложения: определяет сетевые требования приложения (сетевой профиль приложения)

Применение профиля: каждое сетевое устройство динамически производит изменения настройки, требуемые профилем

VM VM VM

10.2.4.7

VM

10.9.3.37

VM

10.32.3.7

VM VM

APIC

Application Policy Infrastructure Controller Централизованная автоматизация и управление фабрикой

•  Единая точка управления политиками в сети ЦОД:

•  Профили приложений

•  Интеграция с сервисами L4-L7 •  Открытая модель данных для управления при помощи внешних средств оркестрации

•  Мониторинг приложений, поиск и устранение неисправностей фабрики

•  Управление образами (Spine / Leaf)

•  Кластер APIC может поддержать более миллиона конечных хостов, 200,000+ портов, 64,000+ логических организаций (tenant)

•  Не принимает непосредственное участие в передаче данных

•  Не занимается детальной настройкой

Сервисы 4..7 Управление системами

Управление СХД

Оркестрация

Storage SME Server SME Network SME

Security SME App. SME OS SME

Открытый RESTful API

Управление при помощи политик

APIC

Подробнее про сетевой профиль приложения


ACI модель политик – концепция End-Point Group (EPG)

HTTPS Service

HTTPS Service

HTTPS Service

HTTPS Service

HTTP Service

HTTP Service

HTTP Service

HTTP Service

EPG - Web

EPG – логическая группа конечных хостов представляющих приложение целиком или компоненты

приложения, которая не зависит от сети

Примеры конечных хостов

•  Устройства, подключенные к сети напрямую или косвенно

•  Имеют адрес (identity), расположение (location), атрибуты (version, patch level)

•  Могут быть физическими или виртуальными

•  Примеры: -  Сервер -  Виртуальная машина -  СХД -  NIC, vNIC -  DNS

End Points = EP

Сервер

VM

Виртуальная машина

СХД

Клиент

EPG, подсети и политики

EPG не привязана к адресации в сети. Например при смене IP адреса на EP политика будет продолжать

применяться.

10.10.10.x

10.10.11.x Применение политики/правил

безопасности происходит на уровне EPG

HTTPS Service

HTTPS Service

HTTPS Service

HTTPS Service

HTTP Service

HTTP Service

HTTP Service

HTTP Service

EPG Web

Уменьшение размера таблицы политик

12345

1234

фильтры 1 -‐ Allow x 2 -‐ Deny y 3 -‐ Allow x 4 -‐ Deny y 5 – Allow x

n = 5 f = 5 m = 4

Всего количество записей = n * m * f

Стандартная модель потребует 100

записей в таблице

Источник Получатель

12345

1234

Фильтры 1 -‐ Allow x 2 -‐ Deny y 3 -‐ Allow x 4 -‐ Deny y 5 – Allow x

n = 1 f = 5 m = 1

ACI модель потребует 5 записей в

таблице

Исходный EPG EPG Получатель

Анонс сессии – 19 ноября 18:00

Название Докладчик Время и дата Зал Как развернуть и настроить ACI фабрику – основные шаги

Дмитрий Жечков

19 ноября 11:20 – 12:20

Амур

Архитектура и принципы функционирования сетевой фабрики Cisco ACI

Александр Скороходов

19 ноября 16:45 – 17:45

Конгресс-зал 2

Модель политик Cisco ACI

Михаил Дворкин

19 ноября 18:00 – 19:00


ACI для администратора и владельца приложения


Application Centric Infrastructure …для администраторов приложений

•  Описание логики приложения в терминах приложения, а не сети

•  Нет потребности в «трансляции» в термины VLAN, адресов и т.д.

•  Мобильность политик между ЦОД

•  Возможность расширения, миграции P2V и т.д.

•  Поддержка полностью или частично виртуализированных приложений или физических серверов

•  Корпоративные приложения

•  Web-сервисы

•  Big Data

•  Управление инфраструктурой, а не коммутаторами

•  Декларативная модель: описание политик для приложений а не настроек сетевых устройств

•  Мониторинг

•  Сетевое «здоровье» конкретного приложения

•  Точный учёт трафика каждого из компонентов

APIC

Мониторинг приложения Видимость на уровне приложения и его компонент

Действия: Не добавлять хосты или VM Отключить хост гипервизора Перебалансировать кластер

PetStore Событие

PetStore Dev •  Leaf 1 и 2 •  Spine 1 – 3 •  Atomic counters

PetStore Prod •  Leaf 2 и 3 •  Spine 1 – 2 •  Atomic counters

PetStore QA •  Leaf 3 и 4 •  Spine 2 – 3 •  Atomic counters

VXLAN

статистика для каждого узла

Физическая и виртуальная нагрузка

ACI фабрика предоставляет аналитические возможности следующего поколения

Приложение, потребитель (tenant) и инфраструктура: •  Показатели здоровья (health scores) •  Задержка •  Atomic counters •  Потребление ресурсов

Интеграция с управлением нагрузкой – первичное размещение и миграция

Триггерное событие

APIC

ACI: интеграция с сервисами 4 - 7 уровня Централизация, автоматизация и поддержка существующей модели

•  Эластичность вставки сервиса физического или виртуального

•  Помощь в административном разделении между уровнями приложения и сервиса

•  APIC – центральная точка контроля сети и согласовании политик

•  Автоматизация процесса развертывания/свертывания сервиса посредством программируемого интерфейса

•  Поддержка текущей операционной модели эксплуатации

•  Применение сервиса вне зависимости от места нахождения приложения

Web Server

App Tier A

Web сервер

Web Server

App Tier B

App сервер

Сервисная послед-ть “Security 5”

Политика перенаправления

Администратор приложения

Администратор сервиса

Серв.

граф

begin end Stage 1 …..

Stage N

Pro

vide

rs inst

inst

…

МСЭ

inst

inst

…

Балансировка

……..

Сервисный

профиль

Определение “Security 5”

ACI для администраторов безопасности


Application Centric Infrastructure …для администраторов безопасности

•  Управление правилами доступа •  Единая точка контроля политик взаимодействия •  Структура увязана с сервисами, а не с адресами •  Нет «накопления» правил МСЭ

•  Модель «белого списка» •  Всё, что не разрешено, по умолчанию запрещено

•  Встраизивание средств безопасности •  Физические или виртуальные •  Cisco или другие разработчики

•  Полная изоляция организаций (tenants) •  Интегрированные возможности аудита

•  Протоколирований действий •  API для внешнего анализа

•  Безопасность управления ACI •  Контроль доступа и ролевое управление

ПРИЛОЖЕНИЯ

Web Tier

App Tier

DB Tier

БЕЗОПАСНОСТЬ

Trusted Zone

DB Tier

DMZ

Внешний мир

ИНФРАСТРУКТУРА

APIC

ACI и атрибуты информационной безопасности

Конфиденциальность

Целостность

Доступность

& Встроенная

MULTI-TENANCY

Безопасность в режиме

ALWAYS-ON

Передача данных на основе политик

Контроль над физическим и виртуальным

API для аудита & расследований

Сбор телеметрии в фабрике & RBAC

Сервисные графы

&

Распределенные контроллеры

Федерация между несколькими

системами

Централизованное управление политиками

БЕЗОПАСНОСТЬ

Trusted Zone

DB Tier

DMZ

External Zone

L4-7 СЕРВИСЫ

APIC

ФАБРИКА

РЕАЛИЗАЦИЯ ПОЛИТИК НА СКОРОСТИ РАБОТЫ ИНТЕРФЕЙСА

АВТОМАТИЗАЦИЯ ВНЕШНИХ L4-7 СЕРВИСОВ

ПОДДЕРЖКА АППЛАИНСОВ БЕЗОПАСНОСТИ

ЕДИНАЯ ТОЧКА УПРАВЛЕНИЯ ПОЛИТИКАМИ БЕЗОПАСНОСТИ

ACI фабрика – организация управления Аутентификация, Авторизация, RBAC

Доступ ко всем объектам управления после аутентификации и по защищенному каналу

Каждый объект имеет уникальный набор RBAC атрибутов на ЧТЕНИЕ и ЗАПИСЬ

APIC и фабрика спроектированы изначально с поддержкой multi-tenant

Локальный и внешний сервис AAA (TACACS+, RADIUS, LDAP) для авторизации и аутентификации

Universe

Tenant: Pepsi

App Profile

EPGs

Layer 3 Networks

Tenant: Coke

App Profile

EPGs

Layer 3 Networks

Фабрика

Коммутаторы

Линейные карты

Порты

APIC

ACI для сетевых администраторов


Application Centric Infrastructure …для сетевых администраторов

•  Эксплуатация сети как единого комплекса, а не набора устройств

•  Высокая производительность и масштабируемость •  Доступ 1/10G, 40G

•  Внутренний транспорт 40G с эффективной балансировкой нагрузки

•  До миллиона IPv4/IPv6 узлов

•  Десятки и сотни тысяч портов

•  Оптимизированный транспорт L2+L3 •  Распределённая маршрутизация

•  Единая среда коммутации для физических и виртуальных серверов

•  Сквозной транспорт P+V

•  Поддержка многих гипервизоров

•  Детальная телеметрия и диагностика •  Измерение задержки и счётчики

Spine Аппаратная база отображения адресов До 576 x 40 Gb портов Высокая плотность за умеренную стоимость

Оптимизация фабрики Использование IEEE 1588 для измерения задержки Оптимальная балансировка ECMP

Масштабирование Интеллектуальное кеширование Поддержка терминации оверлеев Улучшенная аналитика

APIC

ACI - шаги миграции


• Расширение уровня доступа в ЦОД

• Решение проблем сервисных цепочек и интеграции сервисных устройств

Анонс сессии – 19 ноября 16:45



19 ноября 11:20 – 12:20

Амур



19 ноября 16:45 – 17:45




19 ноября 18:00 – 19:00


Достоинства архитектуры ACI


#1: Прикладные политики – в сети

Требования приложений “ЧТО?”

WAN

Firewall

LB to App

Connect to DB

Connect to App

High Priority

WEB APP DB

НЕПОСРЕДСТВЕННАЯ РЕАЛИЗАЦИЯ СЕТЕВОГО ПРОФИЛЯ ПРИЛОЖЕНИЯ

Отображение в сети приложений и сервисных цепочек

WEB APP DB F/W ADC ADC

APP APP APP WEB WEB WEB DB DB DB

“КАК?”

32

CONNECTIVITY POLICY

SECURITY POLICIES

QOS BANDWIDTH

RESERVATION AVAILABILITY

APPLICATION L4-L7

SERVICES STORAGE AND

COMPUTE

APPLICATION NETWORK PROFILE

SLA QoS Security Load Balancing

WEB

WEB WEB WEB

APP

APP APP APP

DB

DB DB DB

F/W ADC ADC

Extensible Scripting Model

DB DB DB

WEB WEB WEB APP WEB APP WEB

HYPERVISOR HYPERVISOR HYPERVISOR

APPLICATION NETWORK PROFILE

Traditional 3-Tier Application

#2: Гибкость и развитие: любой тип развертывания (физический+виртуальный), в любой точке, с любым масштабом

1011 0010

Ведущие показатели цена/производительность: Самая быстрая платформа 10G/40G /100G

Програмируемость/ APIs: Python, Power Shell, Puppet, Chef, Linux контейнеры… Идеальная платформа для DevOps!!

На 15% лучше энергоэффективность ~3X выше надёжнось

Инновации аппаратный дизайн без мидплейна, объектная модель, телеметрия...

Экономия от внедрения 40/100G на существующей СКС с BiDi оптикой. Плавный переход на 40G

Nexus 9000 1/10/40/100G

#3 – Сетевое оборудование нового поколения программируемость и производительность

Выбор модели эксплуатации

RESTful APIs, Python etc.

OpFlex

1.  Программирование/скрипты

2.  ИТ автоматизация

3.  Open Source

4.  Интегированное решение

#4 - Открытость: обеспечение выбора и защита инвестиций

Экосистема

Hypervisors

L4-L7 Services

Management

Security

Storage

CLOUD

SECURITY NETWORK

APPLICATION

Automate

#5 – Телеметрия: детальный мониторинг по приложениям и организациям

APIC

AP

P

TEN

AN

T

Tenant Tenant 1 Tenant 2

Tenant 3 Tenant 4

Анонс сессий – 19 ноября



19 ноября 11:20 – 12:20

Амур



19 ноября 16:45 – 17:45




19 ноября 18:00 – 19:00


CiscoRu Cisco CiscoRussia

Ждем ваших сообщений с хештегом #CiscoConnectRu

Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас.

Спасибо Contacts: Name Хаванкин Максим Phone +74999295710 E-mail [email protected]

11/24/14 © 2014 Cisco and/or its affiliates. All rights reserved.

Cisco ACI: концепция инфраструктуры, ориентированной на...

Technology

Transcript of Cisco ACI: концепция инфраструктуры, ориентированной на...