O Introducere in Cisco ACI

Adrian Murgescu

adrian.murgescu@alef.com

Soluția Cisco ACI compusă din controlere APIC, switch-uri Spine si switch-uri Leaf, oferă utilizatorului multiple beneficii precum agilitate, automatizare, oferind posibilitatea de configura întreaga rețea dintr-un punct central (APIC), securitate și Analytics, mobilitatea Workload-urilor, scalabilitate dar și integrarea cu device-urile L4-L7.

ACI (Application Centric Infrastructure) reprezintă soluția SDN (Software Defined Networking) pentru environmenturile de Data Center de la Cisco. Soluția se bazează pe un underlay de tip VxLAN, și oferă capabilități multitenant, precum și un framework modular.

Un fabric ACI standard este compus din următoarele elemente:

  1. Controlere APIC (Application Policy Infrastructure Controller):
    • Reprezintă punctul central de management al soluției;
    • Aici administratorii configurează politicile rețelei, urmând ca acestea să fie împinse de către APIC la nivelul switch-urilor;
    • Tot aici sunt colectate informațiile din rețea (loguri, statistici, detalii operaționale, etc.);
    • Upgrade-ul la nivel software este de asemenea gestionat de către clusterul de APIC-uri;
    • APIC-ul este un appliance fizic care are la bază servere fizice UCS din seria C (Rackabile).
  2. Switch-uri Spine:
    • Acest layer poate fi implementat cu switch-uri Nexus din seria 9500 sau Nexus 9300.
  3. Switch-uri Leaf:
    • Acest layer poate fi implementat cu switch-uri Nexus din seria Nexus 9300.

Switch-urile Leaf și Spine sunt interconectate într-o topologie Clos, în care fiecare switch Leaf este conectat la fiecare switch Spine. Nu vom conecta niciodată switch-urile leaf între ele, și nici switch-urile Spine între ele. Clusterul APIC îl vom conecta la mai multe switch-uri Leaf.

După ce clusterul de APIC va fi instalat vom descoperi switch-urile și le vom înrola în fabric. Toată această procedură se va face cu intervenția minimă a administratorilor, și se vor folosi de o serie de protocoale cum ar fi LLDP, DHCP si IS-IS.

ACI oferă o serie de beneficii față de rețelele clasice, cum ar fi:

Agilitate și Automatizare

Configurarea rețelelor clasice trebuie facută de către administrator, la nivelul fiecărui switch în parte. Pe lângă faptul că această metodă consumă foarte mult timp, există și posibilitatea de a face greșeli.

ACI ofera posibilitatea de a configura întreaga rețea dintr-un punct central (APIC), modificările propagându-se în mod automatizat acolo unde este nevoie de ele.

Un alt avantaj vine din faptul că APIC-ul expune API-urile REST către alte tooluri externe de management și automatizare. În acest mod putem să configurăm rețeaua fără să fie nevoie să ne apropiem de controlere.

Nodurile Leaf și Spine, primesc configurația de la APIC prin intermediul protocolului OPFLEX. Configurația va fi stocată local pe fiecare switch în parte. Acest lucru ne permite să avem o funcționalitate neîntreruptă chiar dacă pierdem clusterul de APIC.

Securitate și Analytics

În rețelele tradiționale securitatea se implementează la nivel de subnet/VLAN folosindu-se firewall-uri. În timp observăm că anumite subnet-uri/VLAN-uri primesc reguli de access mai relaxate, iar administratorii preferă, din acest motiv, să își pună serverele în aceste subnet-uri.

Mai cunoaștem acest fenomen și cu denumirea “over provisioning” (sau configurarea unor privilegii mai mari decât este nevoie).

Filozofia ACI este să grupeze endpoint-urile de același fel într-un container care se numește EPG (End Point Group). Cu ajutorul acestor construcții logice putem să oferim servicii de securitate la un nivel mult mai granular. De asemenea, nu este necesar să legăm aceste EPG-uri de un anume subnet.

ACI ne oferă și posibilitatea să vedem centralizat informații legate de traficul din rețeaua noastră.

Mobilitatea Workload-urilor

Având la bază tehnologia VxLAN, ACI ne permite să poziționăm endpointurile noastre oriunde în rețea, fără să ne fie frică că o eventuală mutare a acestora, ne va întrerupe conectivitatea.

Integrarea cu device-urile L4-L7

În rețelele clasice, firewall-urile, load balancere-le, precum și alte appliance-uri de rețea specializate, sunt gestionate în mod individual.

În ACI însă, Cisco colaborează cu diverși producători pentru a integra aceste dipozitive în ecosistemul de data center, prin oferirea posibilității de a le gestiona centralizat din APIC.

Acest feature se numește “Service Graph” sau “L4-L7 Device Integration”.

Scalabilitatea

În mod normal procesul de extindere a unei rețele clasice este destul de laborios. Daca mai avem porturi libere în layerul Distributie putem să adăugăm fără probleme switch-uri suplimentare în layerul de Access. Aceste switch-uri pe care le adaugăm, trebuie însă configurate fiecare în parte, în concordanță cu restul rețelei.

Dacă însă layerul de Distribuție este plin, trebuie să reproiectăm rețeaua noastră.

În oricare situație ne-am afla, acest proces de extindere este unul destul de laborios, și mare consumator de timp.

În ACI însă, acest proces de extindere este unul extrem de simplu:

  • adăugăm Leaf-uri atunci când avem nevoie de porturi de comunicație la nivel access;
  • adăugăm Spine-uri atunci când avem nevoie de o capacitate de transport mai mare în cadrul rețelei noastre.

Atunci când adăugăm aceste switch-uri, singurul lucru pe care îl avem de făcut este să le înrolăm în fabricul nostru, urmând ca APIC-ul să împingă toate configurațiile și informațiile necesare.

Găsim aceste beneficii la Cisco definite ca “Intent-Based Networking”. Acestea permit companiilor să își translateze intențiile de business în configurații de rețea într-un mod extrem de facil. De asemenea permit ajustarea facilă a configurațiilor în funcțiile de schimbările care apar în business.

Vrei să afli mai multe despre Cisco ACI?

Sunt de acord ca ALEF Group să prelucreze datele mele cu caracter personal conform politici

 

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.