思科应用为中心的基础设施(ACI)
思科ACI是新的数据中心架构,旨在解决现在传统网络的需求,以及满足新计算趋势和业务因素给网络带来的新兴需求。
▲思科ACI的概括图
使用基于组策略的应用为中心的策略模型
正如上文所说,当前网络技术的最大挑战之一是网络协议和功能、转发和策略的紧密耦合。因为这种耦合,策略中的变更可能会给转发带来不利影响。此外,由于网络协议和功能被设计用于其特定的用例,操作这些协议和功能需要非常了解网络语义。
为了在数据中心基础设施提供灵活性和简单性,需要新的语言描述连接的抽象化意图,以使最终用户不需要丰富的网络知识来描述连接的需求。此外,这个意图应该从网络转发语义中解耦,以便最终用户可以描述策略,让策略中的变更不会影响转发行为。
在思科ACI出现之前,并不存在这种抽象的解耦策略模型,思科创造了这样的模型,被称为基于组的策略(GBP),这是OpenStack和OpenDaylight中的工作项目。
OpenDaylight称基于组的策略是“应用为中心的策略模型,它分离了关于应用连接要求的信息与关于底层网络基础设施的详细信息”。
这种方法提供了很多优势,包括:
● 更简单的以应用为中心的表达策略: 通过创建策略来映射应用程序语义,这个框架提供了更简单的自我记录机制来捕捉策略要求,而不需要非常了解网络。
● 提高自动化: 分组结构允许更高级别的自动化工具简单地同时操作网络端点组。
● 一致性: 通过分组端点和应用策略到各组,该框架提供了一致的方法来处理策略变更。
● 可扩展策略模型: 由于这种策略模型是抽象的,没有绑定到特定网络部署,它可以简单地捕捉连接、安全、QoS等。
思科ACI在其应用为中心的策略模型中广泛利用了基于组的策略,其中通过整合端点(物理或虚拟)到端点组(EPG)来定义连接。当最终用户在EPG之间确定合作关系时,就会定义连接。最终用户不需要了解创建这种连接所使用的协议或功能。
▲应用程序为中心的策略模型#p#
思科应用策略基础设施控制器(APIC)
一般情况下,人们希望整个网络的策略保持一致。然而,在现有网络中管理策略的主要挑战之一是设备的数据以及确保一致性。APIC解决了这个问题。
思科APIc是一个分布式系统,它作为控制器集群来部署。它提供单一的控制点、中央API、全球数据的中央存储库,以及基于组策略数据的存储库。
思科APIC是通过基于组策略表示的基于策略配置的统一点。思科APIC的主要功能是为思科ACI架构及设备提供策略权威和策略解析机制。自动化是策略解析的直接结果,并呈现其影响在思科ACI架构中,让最终用户不再需要触碰每个网络元素以及手动确保所有政策得到适当配置。需要注意的是,思科APIC不参与转发计算或路由配置,这提供了额外的可扩展性、稳定性和性能。
▲思科APIC在ACI架构中的作用
思科APIC与思科ACI架构通信来分配策略到连接点,并向该架构提供关键管理功能。思科APIC并不直接参与数据平面转发,因此,集群中所有思科APIC元件的断连并不会影响转发功能,这提高了整个系统的可靠性。
通常情况下,策略根据需要或管理静态捆绑来分配到节点,这可以在整个架构实现更大的可扩展性。
思科APIC还提供对多租户的支持,让多个兴趣小组(企业内部或外部)可以安全地共享思科ACI架构,仍然可以根据需要访问共享资源。思科APIC还支持基于角色的访问控制(RBAC),从而可以对整个架构的角色授予权限(读取、写入或两者皆有)。
思科APIC还有完全开放的API,用户可以使用基于具象状态传输(REST)的调用(通过XML或JavaScript对象符号)来配置、管理、监控系统或排除故障。此外,思科APIC包含一个CLI和GUI作为对整个思科ACI架构的管理中心点。#p#
思科ACI架构
如前所述,随着工作负载的不断发展,流量正逐渐变成东西方向。网络需要更快响应动态的虚拟化和云计算工作负载,并适应变得更大的数据集。
▲思科ACI架构
在下一代数据中心架构的设计中,可扩展性、简便性、灵活性和效率是主要目标。在设计思科ACI架构时,思科需要考虑数据中心面临的所有新挑战,还需要了解和迎合现有的挑战。思科ACI架构(图4)被设计为同时解决现在和未来的要求,以下为主要目标:
● 可扩展架构: 思科ACI架构是基于一种最有效和可扩展的网络设计模型:主干加分支式二分图,其中每个分支连接到每个主干。为了减少架构中活动形成热点的可能性,所有设备连接到架构的分支节点。这种方法允许架构提供简单的方法来扩展连接设备的数量,通过添加更多分支节点。如果该架构截面带宽的数量需要增加,管理员只需要增加主干节点即可。这种灵活性允许该架构作为小环境开始,根据需要,逐渐发展为更大的环境。该架构还是用基于标准的IP路由接口来构建,在更大的向外扩展部署中提供更大的灵活性。
● 可扩展性: 这种ACI架构具有高度可扩展性。架构管理员可以整合虚拟网络(通过整合微软System Center Virtual Machine Manager)以及4-7层网络服务(防火墙、负载均衡器等)。这种整合允许最终用户使用思科APIC中基于组的策略来明确连接要求,而虚拟网络和4-7层网络服务的配置将会自动被渲染在相应的终端系统,让用户不再需要协调这些设备的连接和策略。未来软件版本还将包括WAN路由器集成。
● 简便性: 虽然网络域中存在众多协议和功能,该架构的作用很简单:随时随地提供连接。思科ACI架构不支持很多协议和功能,它在设计时考虑的事数据中心用例。其结果是,没有不必要复杂性的简化架构。单个内部网关协议(IGP)被选定作为底层架构节点发现协议:中间系统到中间系统的路由选择协议(IS-IS),这个协议可以非常有效地检测链路故障,并从这些故障中恢复。基于标准的可扩展局域网(VXLAN)为面向租户的流量提供了简单的覆盖,支持2层网络桥接和3层路由。
● 灵活性: 思科ACI架构支持本地功能,允许用户在整个架构的任何地方连接到任何主机。通过使用集成VXLAN覆盖,流量可以灵活地桥接和路由。此外,思科ACI架构可以规范化来自主机及其各自该虚拟机管理程序的不同封装类型,包括VLAN、VXLAN和NVGRE。此功能允许物理、虚拟和基于容器的主机同时存在共享的基础设施。另外,下一代数据中心架构需要向后兼容老旧的应用程序,这些程序可能不是基于IP或可能使用网络泛滥语义用语发现和通信。思科ACI架构可以同时支持现代数据中心要求和传统基于裸机及大型机应用程序的要求。
● 效率: 思科ACI架构的主干分支式二分图架构的优势是,在该架构中,每个主机与其他主机相距两个物理跳数。对于需要机器间大量东西流量的大数据工作负载,思科ACI架构提供了可预测的低延迟线。这种方法还可以有效支持传统数据中心应用程序。这种思科ACI架构在架构带宽效率方面超越了其他传统主干分支架构,因为它考虑了数据包达到时间、端至端架构拥塞,让交换作出更智能的负载均衡决策。
● 投资保护: 客户可能想要其现有IP网络中的应用程序加入思科ACI架构策略。思科ACI架构可以确保投资保护,思科APIC管理现有网络中虚拟或物理服务器的策略。对于虚拟服务器,它们连接到应用为中心的虚拟交换机(AVS),并可用于思科ACI,在现有思科Nexus网络中。AVS作为思科ACI主干分支架构的虚拟分支,由于边缘交换机连接到思科ACI,它可以根据思科ACI策略规则转发流量,并使用思科ACI管理的4-7层网络服务。对于物理服务器,思科Nexus 9300平台交换机作为现有覆盖网络的接入层交换机。与其他软件定义网络覆盖解决方案相比,这个解决方案为物理和虚拟工作负载提供了公共基础设施,并有更先进的应用为中心的策略模型。
开放API、合作伙伴生态系统和OpFlex
思科ACI支持可扩展的合作伙伴生态系统,其中包括4-7层网络服务;虚拟机管理程序;以及管理、监测和云编排平台。所有合作伙伴都使用思科ACI的开放API和开发工具包、设备封装和插件,以及新的策略协议—OpFlex,它用于交换基于组的策略信息。
● 开放API: 思科ACI支持通过REST接口的API接入、GUI和CLI以及一些软件开发工具包(包括Python和Ruby)。思科APIC支持跨HTTP/HTTPS的REST API,并绑定XML和JSON编码。这个API同时提供类级别和树级数据访问。REST是分布式系统软件架构,多年来,它一直是领先的Web服务设计模型,并已经逐渐取代简单对象访问(SOAP)和Web服务描述语言(WSDL)等其他设计模型。
●合作伙伴生态系统和OpFlex: 南向API—OpFlex是开放的可扩展策略协议,用于在策略控制器(例如思科APIC)和任何设备(包括管理程序交换机、物理交换机和4-7层网络设备)之间的XML或JSON传输抽象策略。思科的合作伙伴包括英特尔、微软、Red Hat、Citrix、F5、Embrane和Canonical,现在他们正与IETF和开源社区合作来规范OpFlex,并提供参考部署。
OpFlex是一种新机制,它用于从现代网络控制器向一组能够渲染策略的智能设备传输抽象策略。很多现有协议(例如Open vSwitch数据库管理协议)专注于命令控制,而OpFlex则是作为声明性控制系统(例如思科ACI)的一部分,其中抽象策略可以按需共享。这种模型的主要好处之一是能够暴露底层设备完整的功能集,允许区分硬件和软件对象。
除了在开源社区的部署,OpFlex是一种主要机制,它允许其他设备可以与思科APIC交换和执行策略。OpFlex定义了这种互动。因此,通过使用思科ACI整合思科及其合作伙伴的一些设备,企业可以获得投资保护。
