今年八月最值得期待的網(wǎng)絡(luò)產(chǎn)業(yè)大事件之一即思科ACI(以應(yīng)用為中心的基礎(chǔ)架構(gòu))全面上市。自去年9月份起,思科已經(jīng)開始通過“單機模式”部署 Nexus9000系列超高速數(shù)據(jù)中心以太網(wǎng)交換機�����。Nexus 9000的從第三季度的180個銷售訂單到第四個財季末的580個訂單,足足增長了三倍����。思科在發(fā)布Nexus9000時曾承諾要實現(xiàn)通過“ACI架構(gòu)模 式”來部署此類交換機,因為ACI這一模式能夠在降低運營成本����、提升網(wǎng)絡(luò)靈活性�����、增加網(wǎng)絡(luò)基礎(chǔ)架構(gòu)應(yīng)用程序連接數(shù)量方面取得前所未有的效果�����。思科將這一架 構(gòu)模式以ACI的形式展現(xiàn)出來,而且目前正在致力于實現(xiàn)ACI的量產(chǎn)��。在本篇LippisReport研究紀(jì)要中�����,我們要來研究一下ACI到底可以從哪些 方面來改善當(dāng)今的數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)���。
ACI架構(gòu)有三個基本構(gòu)建單元:
1)網(wǎng)絡(luò)策略模型��,即將網(wǎng)絡(luò)裝置按容器式結(jié)構(gòu)劃分以及描述設(shè)備連接情況的組織原則���;
2)APIC(應(yīng)用基礎(chǔ)設(shè)施控制器/即SDN中的控制器),提供所有配置策略的單獨管理點和信息庫���;
3)ACI架構(gòu)��,即組成ACI的所有物理和虛擬網(wǎng)絡(luò)設(shè)備的抽象概念���。
我們通過下面的圖示迅速重溫一下上述三個ACI組成部分����。
策略模型:
ACI 策略模型創(chuàng)建了一種新的基于“GBP(基于組策略)”概念的網(wǎng)絡(luò)連接配置方法�����。思科的這種策略模型提供了一種通用的網(wǎng)絡(luò)連接配置方法�����。舉例來說��,想象我們 要為數(shù)據(jù)中心部署典型的三層網(wǎng)絡(luò)應(yīng)用程序���,該程序可能包含前端網(wǎng)頁層�����、中端應(yīng)用層�����、以及后端數(shù)據(jù)庫層�;同時我們還要將該程序與外部網(wǎng)絡(luò)進行連接?�;?GBP概念�����,我們可以在ACI中直接定義該程序所需要的網(wǎng)絡(luò)連接配置策略���,但是這要求該模型要具備很強的通用性。比如當(dāng)某個外界(遠程站點及網(wǎng)絡(luò)流量)群 組連接到DMZ群組���,而DMZ又連接到網(wǎng)絡(luò)內(nèi)部群組時����,該策略可被用于確定面向安全性的網(wǎng)絡(luò)策略�。或者���,通過GBP概念����,我們甚至能夠模擬大多數(shù)情況下, 如何通過映射到多個群組中的虛擬局域網(wǎng)以及/或者子網(wǎng)進行網(wǎng)絡(luò)配置���。最后�����,思科希望指出GBP概念下不同的利益相關(guān)方�,這樣一來就無需勞煩CCIE(思科 認(rèn)證網(wǎng)絡(luò)專家)或網(wǎng)絡(luò)方面的專家來做聯(lián)網(wǎng)工作���。數(shù)據(jù)中心管理員則可以將這一過程簡單描述為將“一組東西”連接到另外“一組東西”上����。我們隨口一說的“一組 組的東西”��,思科有專門的術(shù)語來表達����,即EPG(端點群組),代表多個物理或虛擬端點的集合�。所以,EPG可以是實體服務(wù)�����、服務(wù)器裸機、或是橫跨多個不同 管理程序的虛擬機等等���。其重點在于����,思科能夠?qū)⑦@些“東西”靈活地安置到群組中��,而無需了解它們在整個ACI中的具體位置���。
ACI 策略模型的另外一個核心概念即通過這一模型�,我們能夠確定EPG之間的相互關(guān)系����。這種關(guān)系被稱之為“合同”����,它描述了不同EPG間的數(shù)據(jù)流動或聯(lián)網(wǎng)方式。 每個合同都包含一個具體的協(xié)議(或一組協(xié)議)�����,我們可將該協(xié)議應(yīng)用于任意群組之間,或者把它寫入4-7層網(wǎng)絡(luò)服務(wù)圖來實現(xiàn)網(wǎng)絡(luò)服務(wù)(如防火墻�����、負(fù)載均衡 等)在群組間聯(lián)網(wǎng)的應(yīng)用�。
就安全策略管理人員看來,ACI策略模型實質(zhì)是為保證網(wǎng)絡(luò)安全而執(zhí)行的白名單模型�����,其執(zhí)行方式跟如今的ACL存在很大區(qū)別����。在當(dāng)今的組網(wǎng)模式下,網(wǎng)絡(luò)管理人 員假設(shè)除了那些無法鎖定在ACL中的端點���,網(wǎng)絡(luò)中其他任何端點之間都是互通的���;這即遵循了為確保網(wǎng)絡(luò)安全而創(chuàng)建的黑名單模型。其實����,整個ACI架構(gòu)在運行 層面上可被視為一個基于內(nèi)容的大型分散式防火墻,而這面防火墻在全數(shù)據(jù)中心范圍內(nèi)執(zhí)行網(wǎng)絡(luò)安全策略�。
思科把上文提到的EPG�����、合同以及外部網(wǎng)絡(luò)統(tǒng)稱為ANP(應(yīng)用網(wǎng)絡(luò)配置文件)����。這些ANP完全獨立于任何物理或虛擬的基礎(chǔ)網(wǎng)絡(luò)架構(gòu)����,因此它們可以被復(fù)制到一 個不同的ACI網(wǎng)絡(luò)中并被再次實例化。這樣一來�,我們就能很容易地確定橫跨全世界任何pods或站點的應(yīng)用網(wǎng)絡(luò)連接��,而無需安排應(yīng)用程序管理員去了解某個 特定網(wǎng)絡(luò)的具體構(gòu)建方式�����。
(待續(xù)...)
