Сетевая инфраструктура Cisco ACI: решение для ЦОД нового поколения SDN Скороходов Александр
by user
Comments
Transcript
Сетевая инфраструктура Cisco ACI: решение для ЦОД нового поколения SDN Скороходов Александр
Сетевая инфраструктура Cisco ACI: SDN решение для ЦОД нового поколения Скороходов Александр Системный инженер-консультант Октябрь 2015 Динамика современных приложений и их влияние на ИТ Модель «бимодального IT» Gartner Традиционные системы (“mode 1”) Системы Cloud Scale (“mode 2”) Сделать «правильно» Сделать «быстро» Online SCM ERP/Financial Client/ Server CRM Эффективность Стабильность Server Надёжность Email Single Server Content Gaming Mobileдо результата» IoT eCommerce Гибкость и «время Фокус на задачах подразделений Эксперименты Single Application Быстрое развитие приложений Hypervisor Поддержка текущего бизнеса Many Applications Новые возможности для бизнеса Many Servers Заказчикам нужна поддержка обоих подходов © 2013-2015 Cisco and/or its affiliates. All rights reserved. 2 Развитие подходов к построению сети ЦОД Традиционная модель сети Альтернативная SDN модель Новая модель сети Сумма устройств Программная виртуализация сети Application Centric Infrastructure Существующая модель эксплуатации Проверенное решение Много точек управления Негибкость Самая медленная часть инфраструктуры ЦОД «Хрупкость» © 2013-2015 Cisco and/or its affiliates. All rights reserved. Остаётся сложность Отдельные оверлей и транспортная сеть Зависимость от гипервизора Несколько точек управления и диагностики Управление по политикам Устраняет сложность Аппаратные оверлеи Независимость от гипервизора Автоматизация и программируемость Защита инвестиций 3 Cеть и приложения Два разных языка Язык владельцев приложений • Структура уровней приложения, связи и зависимости между ними • Требования безопасности • Service Level Agreement • Производительность • Соответствие норм. треб. • Зависимость от расположения • ... © 2013-2015 Cisco and/or its affiliates. All rights reserved. Язык администраторов сети ? • • • • • • VLAN IP адреса Подсети МСЭ Quality of Service Балансировщики нагрузки • Access Lists • ... 4 Cisco ACI: модель ресурсов и политик Перенос опыта Cisco UCS в сетевую инфраструктуру Network SME Security SME Application SME Physical Networking APIC Hypervisors and Virtual Networking Compute L4–L7 Services 1 Multi DC WAN and Cloud Nexus 7K Integrated WAN Edge Nexus 2K Эксперт определяет политику Storage 2 Политика используется для создания модели приложения 3 Автоматическая конфигурация политики во всей инфраструктуре 4 Управление жизненным циклом политики в день 1, день 2 СИСТЕМНЫЙ ПОДХОД: Быстрое разворачивание приложений. Масшабируемость, безопасность и полный контроль © 2013-2015 Cisco and/or its affiliates. All rights reserved. 5 Cisco ACI новое поколение инфраструктуры ЦОД App Web Внешняя сеть передачи данных DB QoS QoS QoS МСЭ, LB LB ACL APIC ACI фабрика Программируемость, масштабируемость, открытость © 2013-2015 Cisco and/or its affiliates. All rights reserved. Application Policy Infrastructure Controller 6 Модель политик ACI профиль приложения Сетевой профиль приложения (ANP) представляет собой набор групп EPG и политик, которые определяют правила взаимоотношений между группами Сетевой Профиль Приложения EPG A EPG B EPG C Service A Service A Service C Service C Service D Service D Service A Service A Service C Service C Service E Service E Service B Service B Service C Service C Service B Service B Контракты © 2013-2015 Cisco and/or its affiliates. All rights reserved. Контракты 7 Application Policy Infrastructure Controller Централизованная автоматизация и управление фабрикой • Единая точка управления политиками в сети ЦОД: Сервисы 4..7 Управление системами Управление СХД Оркестрация • Профили приложений • Интеграция с сервисами L4-L7 • Открытая модель данных для управления при помощи внешних средств оркестрации • Мониторинг приложений, поиск и устранение неисправностей фабрики Открытый RESTful API APIC • Накопление статистики/телеметрии • Управление образами ПО коммутаторов • Не принимает непосредственное участие в передаче данных Управление при помощи политик Storage SME Server SME Network SME Security SME App. SME OS SME • Не занимается детальной настройкой • Кластеризация для масштабирования и доступности (от 3 до 5 и более узлов) © 2013-2015 Cisco and/or its affiliates. All rights reserved. 8 Сетевая фабрика ACI • Наиболее эффективная фабрика в индустрии: Spine: модульные (Nexus 9500) или фиксированные (9336) • 1/10 Gb на границе сети, высокая плотность 40GE Аппаратная база отображения адресов До 576 x 40 Gb портов на устройство на Spine и возможность перехода на 100GE Высокая плотность за умеренную стоимость • До 1 миллиона IPv4 и IPv6 хостов • Тысячи логических организаций (tenants) • Десятки тысяч 1/10 Gb серверов • Маршрутизируемая фабрика – оптимальная передача IP трафика • Масштабируемая распределённая коммутация (L2) и маршрутизация (L3) для VXLAN, NVGRE*, VLAN • Не требуются программные шлюзы – физические или виртуальные • Гибкость развертывания приложения – нет ограничений при выборе точки их размещения в фабрике • Полная прозрачность – физическая или виртуальная нагрузка Оптимизация фабрики Leaf (доступ): Nexus 9300 • Передача метаданных вместе с трафиком Использование IEEE 1588 для измерения Применение политик • Детальное управление по политикам без задержки Интеллектуальное кеширование Оптимальная балансировка ECMP Поддержка терминации оверлеев необходимости программировать потоки Улучшенная аналитика © 2013-2015 Cisco and/or its affiliates. All rights reserved. APIC 9 Фабрика с поддержкой нескольких гипервизоров Интеграция с физическим и виртуальным миром Сетевой администратор APIC APIC ACI фабрика • Заказчик не ограничен в выборе платформы виртуализации: VMWare, Microsoft, OpenStack или использовании невиртуализированных серверов • Возможность использования нескольких VMM в одной группе EPG • Интегрированный шлюз для VLAN, VxLAN, NVGRE* сетей © 2013-2015 Cisco and/or its affiliates. All rights reserved. VLAN VXLAN Администратор приложения ESX VLAN NVGRE* Hyper-V VLAN VXLAN VLAN KVM ФИЗИЧЕСКИЙ СЕРВЕР Управление гипервизором 10 Мониторинг приложения Видимость на уровне приложения и его компонент ACI фабрика предоставляет аналитические возможности следующего поколения PetStore Событие Триггерное событие Действия: Не добавлять хосты или VM Отключить хост гипервизора Перебалансировать кластер Приложение, потребитель (tenant) и инфраструктура: • Показатели здоровья (health scores) • Задержка • Atomic counters PetStore Dev PetStore Prod PetStore QA • Leaf 1 и 2 • Spine 1 – 3 • Atomic counters • Leaf 2 и 3 • Spine 1 – 2 • Atomic counters • Leaf 3 и 4 • Spine 2 – 3 • Atomic counters • Потребление ресурсов APIC Интеграция с управлением нагрузкой – первичное размещение и миграция © 2013-2015 Cisco and/or its affiliates. All rights reserved. VXLAN статистика для каждого узла Физическая и виртуальная нагрузка 11 ACI – фабрика нового поколения для интегрированных систем Управление на основе политик Повышение гибкости внедрения и снижение рисков Функции автоматизации в рамках всей ACI фабрики Системы Vblock с ACI повышают скорость IT © 2013-2015 Cisco and/or its affiliates. All rights reserved. ACI-READY Vblock™ 340 и Vblock™ 720 12 © 2013-2015 Cisco and/or its affiliates. All rights reserved. 13 Application Centric Infrastructure …для администраторов приложений • Описание логики приложения в терминах приложения, а не сети • Нет потребности в «переводе на сетевой язык»: VLAN, адресов и т.д. • Переносимость политик между ЦОД • Возможность расширения среды, миграции P2V и т.д. • Поддержка полностью или частично виртуализированных приложений или физических серверов • Корпоративные приложения • Web-сервисы • Big Data • Управление инфраструктурой, а не коммутаторами • Декларативная модель: описание желаемых политик для приложений, а не конкретных настроек сетевых устройств • Мониторинг • Сетевое «здоровье» конкретного приложения • Точный учёт трафика каждого из компонентов © 2013-2015 Cisco and/or its affiliates. All rights reserved. APIC 14 Application Centric Infrastructure …для администраторов безопасности • Управление правилами доступа • Единая точка контроля политик взаимодействия • Структура правил/контрактов увязана с сервисами, а не с адресами • Нет «накопления» неиспользуемых правил МСЭ • Модель «белого списка» • Всё, что не разрешено, по умолчанию запрещено • «Распределённый МСЭ» • Микросегментация и контроль сессий • Встраивание средств безопасности • Физические или виртуальные • Cisco или другие разработчики • Полная изоляция организаций (tenants) • Интегрированные возможности аудита • Протоколирований действий администраторов • API для внешнего анализа соответствия политикам • Безопасность управления ACI • Контроль доступа и ролевое управление © 2013-2015 Cisco and/or its affiliates. All rights reserved. Web Tier Внешний мир DMZ App Tier DB Tier Trusted Zone DB Tier ПРИЛОЖЕНИЯ БЕЗОПАСНОСТЬ ИНФРАСТРУКТУРА APIC 15 Application Centric Infrastructure …для облачных архитекторов • Открытый REST интерфейс для управления/оркестрации • Поддержка разных сред виртуализации и физических нагрузок • Интеграция с несколькими гипервизорами в одном приложении • Возможность развёртывания невиртуализированных ландшафтов (Big Data и т.д.) • Возможность развёртывания приложений с виртуальными и физическими компонентами • Поддержка изоляции организаций • Тысячи заказчиков (tenants) • Управление инфраструктурой, а не коммутаторами • Декларативная модель: «сеть как сервис» • Автоматизация сервисных цепочек • Поддержка OpenStack • Интеграция c OpenStack Neutron • Интеграция модели политик (Group Based Policy) © 2013-2015 Cisco and/or its affiliates. All rights reserved. ACI фабрика APIC VLAN VXLAN ESX VLAN NVGRE Hyper-V VLAN VXLAN VLAN KVM ФИЗИЧЕСКИЙ СЕРВЕР 16 Application Centric Infrastructure …для сетевых администраторов • Эксплуатация сети как единого комплекса, а не Spine: модульные (Nexus 9500) или фиксированные (9336) набора устройств Аппаратная база отображения адресов До 576 x 40 Gb портов на устройство • Сокращение рутинных операций Высокая плотность за умеренную стоимость • Снижение числа ошибок • Высокая производительность и масштабируемость • Доступ 1/10G, 40G • Внутренний транспорт 40G (с развитием к 100G) с эффективной балансировкой нагрузки и APIC приоритезацией транзакций • До миллиона IPv4/IPv6 узлов • Десятки и сотни тысяч портов • Оптимизированный транспорт L2+L3 • Распределённая маршрутизация • Единая среда коммутации для физических и виртуальных серверов • Сквозной транспорт P+V Оптимизация фабрики Leaf (доступ): Nexus 9300 • Поддержка многих гипервизоров Использование IEEE 1588 для Применение политик измерения задержки Интеллектуальное кеширование • Детальная телеметрия и диагностика Оптимальная балансировка ECMP Поддержка терминации оверлеев Улучшенная аналитика • Измерение задержки и счётчики © 2013-2015 Cisco and/or its affiliates. All rights reserved. 17 Спасибо! Заинтересовались? Вопросы? Хотите демо? Обращайтесь на [email protected]