Ce este Cisco Application Centric Infrastructure (sau Cisco ACI)?
Adrian Murgescu
System Engineer Data Center
Cisco ACI (sau Application Centric Infrastructure) reprezintă soluția de Software Defined Networking pentru centrele de date. A fost concepută pentru a ajuta organizațiile să gestioneze medii complexe prin automatizarea rețelelor și creșterea eficienței operaționale. Organizațiile folosesc Cisco ACI pentru a îmbunătăți securitatea pentru cloud-uri on-premise, private, cloud-uri publice și centre de date.
Scopul final al acestei soluții este de a permite controlul software al rețelei și a modului în care funcționează, astfel încât software-ul să poată automatiza și schimba setările în funcție de necesitățile de comunicație.
ACI utilizează un concept de endpoint-uri și policy-uri (setări). Endpoint-uri pot fi orice tip de echipament ce comunică pe baza de MAC și/sau IP (VM-uri, servere fizice, sisteme de stocare, etc). Deoarece mai multe endpoint-uri pot avea aceleași nevoi de comunicare, le grupăm în grupuri de endpoint-uri (EndPoint Group sau EPG), urmând apoi să definim modul în care aceste EPG-uri pot comunica între ele, prin intermediul policy-urilor. Tot prin intermediul acestor policy-uri definim și o serie de alți parametri, cum ar fi QoS, precum și alte servicii.
În ACI, managementul se face centralizat, cu ajutorul unui controler care se numește Application Policy Infrastructure Controller (APIC). Cu ajutorul lui se definesc politicile pentru rețeaua din centrul nostru de date.
Componentele principale ACI
Switch-urile de tip Spine
- Reprezintă coloana vertebrală a rețelei noastre (a Fabricului)
- Conectează switch-urile de tip Leaf
Switch-urile de tip Leaf
- Sunt folosite pentru conectarea tuturor dispozitivelor noastre din rețea, inclusiv a APIC-urilor
- Se conectează către Spine-uri
APIC-ul
- Reprezintă componenta de management a rețelei ACI
- Nu este implicat în Data Plane
- De obicei este format dintr-un cluster de 3 servere fizice
- Aici administratorii pot defini politicile de management ale rețelei
Arhitectura ACI
Switchurile folosite în ACI sunt din familia Nexus 9000 (nu pot fi folosite alte switchuri). Aceste switchuri pot fi folosite atât în modul clasic (NX-OS Mode), cât și în modul ACI.
Se folosește o arhitectură de tip Leaf and Spine (CLOS). Legăturile dintre switchuri sunt de mare viteză (40 sau 100Gbps).
Rezolvarea provocărilor din rețelele tradiționale cu ajutorul ACI
Prima provocare a rețelelor tradiționale vine din faptul că acestea au topologii complicate. În mod tradițional acestea utilizează o arhitectură bazată pe layerele: Core-Aggregation-Access. Atunci când acest tip de rețea se mărește, devine complicat de gestionat. În Cisco ACI, se folosește o topologie fixă de tip Leaf and Spine. Conexiunile în interiorul fabricului ACI se fac doar între Leaf-uri și Spine-uri, iar aceste conexiuni sunt de tip full mesh. Nu sunt permise conexiuni între Leaf-uri, sau între Spine-uri.
O altă provocare a rețelelor tradiționale o reprezintă faptul ca la L2 trebuie să ruleze un protocol care să întrerupă buclele. De obicei se rulează o versiune de Spanning Tree. În ACI nu ne bazăm pe Spanning Tree în interiorul fabric-ului. Toate link-urile sunt de tip L3 și folosim Equal Cost Multipathing (ECMP) și în consecință nu avem link-uri blocate.
Din punct de vedere al securității, rețelele tradiționale permit tot traficul „by Default”. Dacă dorim ca un tip de trafic să fie blocat, trebuie să configurăm explicit echipamentele pentru a fi blocat.
În ACI, „by Default” tot traficul este blocat, iar administratorii trebuie să configureze explicit ce tip de comunicație se dorește a fi permisă.
Din punct de vedere management, în rețelele tradiționale, management se face „Box by box”. Putem avea foarte multe echipamente în rețeaua noastră, iar administratorii trebuie să se lege la fiecare în parte (de obicei în CLI cu ajutorul SSH sau Telnet) pentru configurare.
În ACI avem un singur punct de management centralizat, și anume clusterul de APIC-uri. După configurare, APIC-urile împing mai departe configurația către switch-uri, doar acolo unde este nevoie.
Un alt aspect foarte important legat de APIC-uri îl reprezintă faptul că oferă acces pentru configurare prin intermediul API-urilor (asta pe lângă modul tradițional de acces – CLI și GUI).
O altă provocare a rețelelor tradiționale o reprezintă faptul că avem foarte puține opțiuni legate de automatizare, iar configurările de obicei se fac manual și static.
Cisco ACI poate fi configurat prin call-uri de tip REST-API, iar în felul acesta, configurarea se poate automatiza foarte ușor. De asemenea, putem să integrăm fabric-ul cu alte sisteme, dezvoltate de alți vendori, sau dezvoltate în house.
Integrarea de care vorbeam mai sus ajută și la rezolvarea ultimei provocări, și anume coordonarea între echipele de network, servere și virtualizare. În mod normal în companii aceste echipe sunt diferite, cu oameni și „know how” diferit.
Acești oameni trebuie să colaboreze atunci când este nevoie că un serviciu nou să fie lansat (de exemplu să configureze la fel regulile de securitate, VLAN-urile, etc). De multe ori această aliniere nu este foarte simplu de făcut, însă atunci când folosim integrarea dinamică (de ex integrarea cu VMware vSphere), putem împinge configurațiile atât către fabric-ul ACI, cât și către vCenter, și mai departe către host-urile VMware.
Mai multe informații legate de soluția ACI puteți găsi accesând link-urile de mai jos:
- https://www.cisco.com/c/en/us/solutions/collateral/data-center-virtualization/application-centric-infrastructure/solution-overview-c22-741487.html
- https://www.cisco.com/c/en/us/td/docs/dcn/whitepapers/cisco-application-centric-infrastructure-design-guide.html
- https://www.cisco.com/c/en/us/support/cloud-systems-management/application-policy-infrastructure-controller-apic/tsd-products-support-series-home.html
