服務(wù)鏈接和復(fù)制

4-7層網(wǎng)絡(luò)服務(wù)有兩種基本的集成方式：基于物理網(wǎng)絡(luò)服務(wù)，并將其根據(jù)邏輯分割成多個(gè)網(wǎng)絡(luò)環(huán)境分配給各個(gè)網(wǎng)絡(luò)租戶，或者為每個(gè)租戶提供專屬的虛擬服務(wù)。

ACI 能夠支持上述兩種集成方式，因?yàn)榇蠖鄶?shù)IT公司和云服務(wù)供應(yīng)商對這兩種方式都有需求。例如在大多數(shù)企業(yè)中，數(shù)據(jù)在進(jìn)入企業(yè)應(yīng)用定義域之前必須經(jīng)過一道邊界 防火墻。這道防火墻跟航天器或潛艇的氣隙極其相似，其功能通常受到嚴(yán)密控制以保證極高的安全性。但近幾年的事實(shí)證明用戶并不需要實(shí)際存在的氣隙，而大部分 安全管理人員希望部署一臺實(shí)體裝置來作為策略控制點(diǎn)。在這種情境下，ACI能夠與思科以及其他網(wǎng)絡(luò)服務(wù)供應(yīng)商的防火墻平臺進(jìn)行集成，而這些防火墻平臺應(yīng)當(dāng) 能夠被添加到ACI網(wǎng)絡(luò)架構(gòu)中。具備嚴(yán)格安保控制措施的企業(yè)青睞這一體系結(jié)構(gòu)模型，因?yàn)樗麄冋J(rèn)為虛擬防火墻無法完全保障DMZ區(qū)域的安全。對這些企業(yè)來 說，最好的方法就是利用他們現(xiàn)有的防火墻平臺，無論是思科的ASA、CheckPoint的防火墻、Juniper的SRX或Palo Alto Networks的防火墻。有了APIC的幫助，IT公司能將現(xiàn)有的防火墻投資直接變成ACI構(gòu)架的一部分，從而通過APIC合并其功能和組網(wǎng)策略。

業(yè)界對鎖定或細(xì)分不同應(yīng)用程序邏輯層之間的通信內(nèi)容越來越感興趣；這就從網(wǎng)絡(luò)擴(kuò)展和網(wǎng)絡(luò)性能的角度闡明了ACI策略模型的作用。因?yàn)榫W(wǎng)絡(luò)策略的定義是由 ANP定義的，所以這些策略能夠在整個(gè)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中被廣泛應(yīng)用，并在ACI的第一個(gè)入口點(diǎn)被執(zhí)行，從而將防火墻功能散布至所有ANP。

ACI 支持面向單個(gè)網(wǎng)絡(luò)租戶提供專屬虛擬服務(wù)，類似于向具有具體規(guī)格的物理設(shè)備提供服務(wù)。云服務(wù)供應(yīng)商非常想要為每個(gè)網(wǎng)絡(luò)租戶都建立并定制一個(gè)虛擬防火墻或負(fù)載 均衡的應(yīng)用實(shí)例，從而使得每個(gè)租戶都能自行對防火墻或負(fù)載進(jìn)行控制和管理工作。比如許多IT公司都將網(wǎng)絡(luò)租戶的概念應(yīng)用到單個(gè)業(yè)務(wù)單元中。然而，即便添加 了虛擬網(wǎng)絡(luò)服務(wù)，要部署虛擬防火墻或負(fù)載均衡還需要經(jīng)過另外一個(gè)步驟，那就是進(jìn)行恰當(dāng)?shù)陌姹究刂撇惭b正確的許可證。這就是眾所周知的虛擬服務(wù)生命周期管 理。思科跟Embrane合作，以期將這一功能嵌入到思科的ACI服務(wù)中。

對IT系統(tǒng)審計(jì)師來說，這是一個(gè)巨大的進(jìn)步

對 EPG和“合同”進(jìn)行顯性定義的最大好處在于，網(wǎng)絡(luò)管理員和IT審計(jì)師能夠比較容易地觀察到被實(shí)例化的策略，以及用戶的最初意圖。我們都知道大多數(shù)IT公 司幾乎不保存任何系統(tǒng)策略文件。如果有的話，那么保證數(shù)據(jù)準(zhǔn)確性和進(jìn)行文件升級將需要一筆巨大的IT管理費(fèi)用。另外，最初的應(yīng)用程序或平臺所有者可能已經(jīng) 變換了角色，或直接離開了最初的東家，從而留下了巨大的知識缺口。相關(guān)人員不得不重新檢索和審查交換機(jī)/路由器/防火墻/負(fù)載均衡的配置以推導(dǎo)原所有者的 意圖，這是一個(gè)昂貴、艱巨、且耗時(shí)的過程。

ACI 在這個(gè)巨大領(lǐng)域中起著重要作用。因?yàn)锳CI策略是通過高級抽象術(shù)語進(jìn)行描述的，所以IT審計(jì)師僅瞄一眼ANP就能了解程序所有者的意圖。他不需要通過追溯 或關(guān)聯(lián)具體的網(wǎng)絡(luò)和服務(wù)配置文件來了解貫穿整個(gè)網(wǎng)絡(luò)架構(gòu)的策略。此外，思科還針對被修改過的目標(biāo)對象建立了非常詳細(xì)的審計(jì)日志，內(nèi)容包括修改的時(shí)間戳、用 戶、目標(biāo)對象以及配置方式，從而實(shí)現(xiàn)了完整的可追溯性。

多虛擬機(jī)管理器的隧道效應(yīng)和互操作性

從根本上說，ACI雖然具備聯(lián)網(wǎng)能力，但由于應(yīng)用程序橫跨物理和虛擬兩個(gè)網(wǎng)絡(luò)環(huán)境，所以設(shè)備連接方法又是不斷變化的。雖然越來越多的物理工作量已經(jīng)被轉(zhuǎn)化成 虛擬的量，但不可避免的是，虛擬的工作量仍需與裸機(jī)主機(jī)的工作量進(jìn)行通信。此外在去年，業(yè)界人士對基于容器的工作量研究產(chǎn)生了極大的興趣，以期進(jìn)一步優(yōu)化 網(wǎng)絡(luò)性能，降低數(shù)據(jù)處理的成本。網(wǎng)絡(luò)本身即是IT資產(chǎn)和計(jì)算模型最根本的歸一化點(diǎn)，因?yàn)樗泄ぷ髁慷家蕾嚲W(wǎng)絡(luò)連接以進(jìn)行通信。思科力圖讓ACI成為存在于 連接和策略中不同工作負(fù)載標(biāo)準(zhǔn)化的基礎(chǔ)。

如今最需要?dú)w一化的區(qū)域存在于虛擬網(wǎng)絡(luò)中，其中不同的虛擬機(jī)管理器在多個(gè)數(shù)據(jù)平面封裝協(xié)議（VLAN, VXLAN, NVGRE等）的支撐下能夠提供不同的虛擬網(wǎng)管理方法。目前，越來越多的網(wǎng)絡(luò)環(huán)境需要部署多虛擬機(jī)管理程序。順應(yīng)這一趨勢，企業(yè)則需要找到最全面的方法來 管理這些迥然不同的網(wǎng)絡(luò)環(huán)境及相應(yīng)的底層封裝協(xié)議。

思科ACI能夠與VMware的vCenter以及OpenStack Icehouse發(fā)行版直接集成，支持通過通用軟件來運(yùn)行UbuntuKVM。思科還承諾在不久的將來，ACI將能夠支持微軟的SCVMM和 AzurePack以及配置OpenStack的Red Hat KVM。通過多虛擬機(jī)管理器與ACI的集成，APIC則變成物理和虛擬網(wǎng)絡(luò)策略共同的管理核心。同時(shí)，ACI架構(gòu)成為多個(gè)封裝協(xié)議類型(VLAN, VXLAN, NVGRE)的分散式封裝協(xié)議歸一化點(diǎn)，這樣一來，網(wǎng)絡(luò)管理員就能靈活地終止、解析以及重新編譯各類型間不同的封裝協(xié)議。這些封裝協(xié)議在APIC的作用下 相互協(xié)調(diào)，所以網(wǎng)絡(luò)或虛擬機(jī)管理員就無需再去調(diào)整標(biāo)記的綁定。當(dāng)數(shù)據(jù)包進(jìn)入ACI時(shí)，這些獨(dú)特的封裝協(xié)議標(biāo)記就會消失，在出口處重新生成，或被轉(zhuǎn)化成與多 虛擬機(jī)管理器相連接的終點(diǎn)管理程序封裝方案。

基于ACI與VMM（虛擬機(jī)管理器）的集成，管理員能夠利用ACI策略模型以幾乎相同的方法處理物理和虛擬工作量。當(dāng)管理員創(chuàng)建應(yīng)用程序?qū)印踩珔^(qū)域、或任 何與EPG相綁定的東西，這些群組就會被推送到位于網(wǎng)絡(luò)底層的物理和虛擬裝置。在VMWare的vCenter中，APIC將EPG作為VMWare端口 群組推送。在微軟的SCVMM中，APIC則把EPG作為VM Networks推送，而且一旦配置了OpenStack，EPG就被當(dāng)做簡單的網(wǎng)絡(luò)來推送。

舉例來看,假設(shè)在一臺VMWare ESX Hypervisor上部署VXLAN；它對經(jīng)過VXLAN的所有數(shù)據(jù)包進(jìn)行標(biāo)記，但還需要跟另外兩個(gè)基于VLAN封裝協(xié)議的ESX Hypervisor進(jìn)行通信。ACI網(wǎng)絡(luò)架構(gòu)支持VLAN轉(zhuǎn)換，或VXLAN到VLAN的橋接和路由選擇，所以這些數(shù)據(jù)包能夠通過子網(wǎng)絡(luò)傳輸。簡言 之，ACI在硬件性能方面能夠提供完整的VLAN、VXLAN終止、歸一以及路由選擇功能。