close

Вход

Забыли?

вход по аккаунту

- Cisco Connect

код для вставкиСкачать
Cisco ACI: концепция инфраструктуры,
ориентированной на приложения
Хаванкин Максим
cистемный архитектор
[email protected]
11/24/14
© 2014 Cisco and/or its affiliates. All rights reserved.
Развитие подходов к построению сети ЦОД
Традиционная
модель сети
Альтернативная
SDN модель
Новая
модель сети
Сумма
устройств
Программная
виртуализация сети
Application Centric
Infrastructure
Проверенное решение
Существующая модель
эксплуатации сети и
приложений
Остаётся сложность
Устраняет сложность
Отдельные оверлей и
транспортная сеть
Управление по политикам
Аппаратные оверлеи
Широкое
распространение
Зависимость от
гипервизора
Автоматизация
Много точек управления
Несколько точек
управления
Программируемая
инфраструктура
Негибкость
Защита инвестиций
Cisco ACI: модель ресурсов и политик
Перенос опыта Cisco UCS в сетевую инфраструктуру
Network
SME
Security
SME
Application
SME
Physical
Networking
APIC
Hypervisors
and Virtual
Networking
Compute
L4–L7
Services
1
Multi DC
WAN and Cloud
Nexus 7K
Integrated
WAN Edge
Nexus 2K
Эксперт определяет
политику
Storage
2
Политика
используется для
создания модели
приложения
3
Автоматическая
конфигурация
политики во всей
инфраструктуре
4
Управление
жизненным циклом
политики в
день 1, день 2
СИСТЕМНЫЙ ПОДХОД:
Быстрое разворачивание приложений. Масшабируемость, безопасность и полный контроль
Введение в инфраструктуру ЦОД,
ориентированную на приложения
11/24/14
© 2014 Cisco and/or its affiliates. All rights reserved.
4
Cеть и приложения
Два разных языка
Язык владельцев приложений
•  Application Tier Policy and
Dependencies
•  Требования безопасности
•  Service Level Agreement
•  Производительность
•  Соответствие норм. треб.
•  Зависимость от гео-положения
•  И т.д.
Язык администраторов сети
?
• 
• 
• 
• 
• 
• 
VLAN
IP адреса
Подсети
МСЭ
Quality of Service
Балансировщики
нагрузки
•  Access Lists
Основной принцип ACI - логическая конфигурация сети, не
привязанная оборудованию
App
Web
Внешняя сеть
передачи данных
(Tenant VRF)
DB
QoS
QoS
QoS
Filter
Service
Filter
APIC
ACI фабрика
Неблокируемая фабрика на базе оверлеев
11/24/14
© 2013 Cisco and/or its affiliates. All rights reserved.
6
Application Policy
Infrastructure
Controller
ACI сетевой профиль
Управление фабрикой на основе политик/профилей
•  Расширение принципов сервисного
профиля Cisco UCS® Manager на всю
фабрику
•  Сетевой профиль: определение
требований приложения без привязки к
оборудованию (stateless принцип)
̶  Уровни приложений (tiers)
̶  Политики регламентирующие взаимодействие
̶  Сервисы 4 – 7 уровня
̶  XML/JSON схема
•  Полная абстракция от физической
инфраструктуры
̶  устранение зависимости от инфраструктуры
̶  переносимость между фабриками различных
ЦОД
Приложение
Web Tier
Storage
Storage
App Tier
DB Tier
Сетевой профиль полностью описывает
сетевые и сервисные потребности
приложения
## Network Profile: Defines Application Level Metadata (Pseudo Code Example)
<Network-Profile = Production_Web>
<App-Tier = Web>
<Connected-To = Application_Client>
<Connection-Policy = Secure_Firewall_External>
<Connected-To = Application_Tier>
<Connection-Policy = Secure_Firewall_Internal & High_Priority>
...
<App-Tier = DataBase>
<Connected-To = Storage>
<Connection-Policy = NFS_TCP & High_BW_Low_Latency>
...
Логическая модель определяет политику подключения
Логическая модель
Конфигурация ориентированная на
приложение, целевая группа политики,
правила
Обратная
связь
Обновление политики
NXOS: VXLAN, VRFs, etc…
(subset)
Logical
Model
Часть
логической
модели
Concrete Model
Преобразование
(implicit render)
порты, карты,
интерфейсы,
VLAN-ы, узлы
Применение
Сетевое
устройство
Программируемый коммутатор
Animation Complete*
Профиль приложения и его применение к сети
Клиент
приложения
Профиль приложения: определяет
сетевые требования приложения
(сетевой профиль приложения)
Storage
Storage
App Tier
Web
Tier
DB Tier
Применение профиля: каждое
сетевое устройство динамически
производит изменения настройки,
требуемые профилем
APIC
VM
VM
10.2.4.7
VM
10.9.3.37
VM
VM
VM
VM
10.32.3.7
Вся передача данных в фабрике управляется при помощи профилей приложений
•  IP адреса полностью переносимы и могут использоваться где угодно внутри фабрики
•  Безопасность и передача данных не зависят от любых физических и логических сетевых
атрибутов
•  Коммутаторы автономно обновляют свои настройки на основе правил, определенных
профилем приложения, в случае переезда/миграции приложения или его компонент
Application Policy Infrastructure Controller
Централизованная автоматизация и управление фабрикой
•  Единая точка управления политиками в
сети ЦОД:
Сервисы 4..7
Управление
системами
Управление
СХД
Оркестрация
•  Профили приложений
•  Интеграция с сервисами L4-L7
•  Открытая модель данных для управления при
помощи внешних средств оркестрации
•  Мониторинг приложений, поиск и устранение
неисправностей фабрики
Открытый
RESTful API
•  Управление образами (Spine / Leaf)
•  Кластер APIC может поддержать более
миллиона конечных хостов, 200,000+
портов, 64,000+ логических организаций
(tenant)
•  Не принимает непосредственное участие в
передаче данных
•  Не занимается детальной настройкой
APIC
Управление при помощи
политик
Storage SME
Server SME
Network SME
Security SME
App. SME
OS SME
Подробнее про сетевой профиль приложения
11/24/14
© 2014 Cisco and/or its affiliates. All rights reserved.
11
ACI модель политик – концепция End-Point Group (EPG)
EPG - Web
HTTPS
Service
HTTPS
Service
HTTPS
Service
HTTPS
Service
HTTP
Service
HTTP
Service
HTTP
Service
HTTP
Service
EPG – логическая группа конечных хостов
представляющих приложение целиком или компоненты
приложения, которая не зависит от сети
Примеры конечных хостов
End Points = EP
Сервер
VM Виртуальная машина
СХД
Клиент
•  Устройства, подключенные к сети
напрямую или косвенно
•  Имеют адрес (identity), расположение
(location), атрибуты (version, patch level)
•  Могут быть физическими или
виртуальными
•  Примеры:
- 
- 
- 
- 
- 
Сервер
Виртуальная машина
СХД
NIC, vNIC
DNS
EPG, подсети и политики
EPG Web
Применение
политики/
правил
безопасности
происходит на
уровне EPG
HTTPS
Service
HTTPS
Service
HTTPS
Service
HTTPS
Service
HTTP
Service
HTTP
Service
HTTP
Service
HTTP
Service
10.10.11.x
10.10.10.x
EPG не привязана к адресации в сети. Например при
смене IP адреса на EP политика будет продолжать
применяться.
Уменьшение размера таблицы политик
Источник 1
2
3
4
5
n = 5 Получатель фильтры 1 -­‐ Allow x 2 -­‐ Deny y 3 -­‐ Allow x 4 -­‐ Deny y 5 – Allow x f = 5 Исходный EPG 1
2
3
4
5
n = 1 1
2
3
4
Всего количество записей = n * m * f Стандартная модель потребует 100 записей в таблице m = 4 EPG Получатель Фильтры 1 -­‐ Allow x 2 -­‐ Deny y 3 -­‐ Allow x 4 -­‐ Deny y 5 – Allow x f = 5 1
2
3
4
m = 1 ACI модель потребует 5 записей в таблице Анонс сессии – 19 ноября 18:00
Название
Докладчик
Время и дата Зал
Как развернуть и
настроить ACI фабрику
– основные шаги
Дмитрий
Жечков
19 ноября
11:20 – 12:20
Амур
Архитектура и
принципы
функционирования
сетевой фабрики Cisco
ACI
Александр
Скороходов
19 ноября
16:45 – 17:45
Конгресс-зал 2
Модель политик Cisco
ACI
Михаил
Дворкин
19 ноября
18:00 – 19:00
Конгресс-зал 2
ACI для администратора и владельца
приложения
11/24/14
© 2013 Cisco and/or its affiliates. All rights reserved.
17
Application Centric Infrastructure
…для администраторов приложений
•  Описание логики приложения в терминах приложения, а не сети
•  Нет потребности в «трансляции» в термины VLAN, адресов и
т.д.
•  Мобильность политик между ЦОД
•  Возможность расширения, миграции P2V и т.д.
•  Поддержка полностью или частично виртуализированных
приложений или физических серверов
•  Корпоративные приложения
•  Web-сервисы
•  Big Data
•  Управление инфраструктурой, а не коммутаторами
•  Декларативная модель: описание политик для приложений а
не настроек сетевых устройств
•  Мониторинг
•  Сетевое «здоровье» конкретного приложения
•  Точный учёт трафика каждого из компонентов
APIC
Мониторинг приложения
Видимость на уровне приложения и его компонент
ACI фабрика предоставляет
аналитические возможности
следующего поколения
PetStore
Событие
Триггерное
событие
Действия:
Не добавлять хосты или VM
Отключить хост гипервизора
Перебалансировать кластер
Приложение, потребитель (tenant) и
инфраструктура:
•  Показатели здоровья (health scores)
•  Задержка
•  Atomic counters
•  Потребление ресурсов
PetStore Dev
PetStore Prod
PetStore QA
•  Leaf 1 и 2
•  Spine 1 – 3
•  Atomic counters
•  Leaf 2 и 3
•  Spine 1 – 2
•  Atomic counters
•  Leaf 3 и 4
•  Spine 2 – 3
•  Atomic counters
APIC
Интеграция с управлением нагрузкой –
первичное размещение и миграция
VXLAN
статистика для
каждого узла
Физическая и
виртуальная
нагрузка
ACI: интеграция с сервисами 4 - 7 уровня
Централизация, автоматизация и поддержка существующей модели
•  Эластичность вставки сервиса
физического или виртуального
Администратор
приложения
Политика
перенаправления
Web
Web
Server
сервер
Stage 1
…..
inst
inst
……..
…
…
Администратор
сервиса
Stage N
inst
inst
МСЭ
Балансировка
end
Сервисный
профиль
begin
Серв.
граф
Определение “Security 5”
•  Автоматизация процесса развертывания/
свертывания сервиса посредством
программируемого интерфейса
•  Применение сервиса вне зависимости от
места нахождения приложения
Web
App
Server
сервер
Сервисная
послед-ть
“Security 5”
•  APIC – центральная точка контроля сети
и согласовании политик
•  Поддержка текущей операционной
модели эксплуатации
App Tier
B
Providers
•  Помощь в административном
разделении между уровнями приложения
и сервиса
App Tier
A
ACI для администраторов безопасности
11/24/14
© 2013 Cisco and/or its affiliates. All rights reserved.
21
Application Centric Infrastructure
…для администраторов безопасности
•  Управление правилами доступа
•  Единая точка контроля политик взаимодействия
•  Структура увязана с сервисами, а не с адресами
•  Нет «накопления» правил МСЭ
•  Модель «белого списка»
•  Всё, что не разрешено, по умолчанию запрещено
•  Встраизивание средств безопасности
Web
Tier
Внешний мир
DMZ
App
Tier
DB
Tier
Trusted
Zone
DB
Tier
ПРИЛОЖЕНИЯ
БЕЗОПАСНОСТЬ
•  Физические или виртуальные
•  Cisco или другие разработчики
•  Полная изоляция организаций (tenants)
ИНФРАСТРУКТУРА
•  Интегрированные возможности аудита
•  Протоколирований действий
•  API для внешнего анализа
•  Безопасность управления ACI
•  Контроль доступа и ролевое управление
APIC
ACI и атрибуты информационной безопасности
&
Конфиденциальность
Целостность
Доступность
Встроенная
MULTITENANCY
&
Сервисные
графы
API для аудита &
расследований
Контроль над
физическим и
виртуальным
Распределенные
контроллеры
Федерация между
несколькими
системами
Передача данных
на основе
политик
Безопасность
в режиме
ALWAYS-ON
Сбор телеметрии
в фабрике & RBAC
Централизованное управление политиками
External
Zone
РЕАЛИЗАЦИЯ
ПОЛИТИК НА
СКОРОСТИ
РАБОТЫ
ИНТЕРФЕЙСА
DMZ
Trusted
Zone
DB
Tier
БЕЗОПАСНОСТЬ
АВТОМАТИЗАЦИЯ
ВНЕШНИХ L4-7
СЕРВИСОВ
ПОДДЕРЖКА
АППЛАИНСОВ
БЕЗОПАСНОСТИ
APIC
ФАБРИКА
ЕДИНАЯ ТОЧКА
УПРАВЛЕНИЯ
ПОЛИТИКАМИ
БЕЗОПАСНОСТИ
L4-7 СЕРВИСЫ
ACI фабрика – организация управления
Аутентификация, Авторизация, RBAC
Доступ ко всем объектам управления
после аутентификации и по
защищенному каналу
Каждый объект имеет уникальный
набор RBAC атрибутов на ЧТЕНИЕ и
ЗАПИСЬ
APIC и фабрика спроектированы
изначально с поддержкой multi-tenant
Локальный и внешний сервис AAA
(TACACS+, RADIUS, LDAP) для
авторизации и аутентификации
APIC
Universe
Tenant: Pepsi
Tenant: Coke
Фабрика
App Profile
App Profile
Коммутаторы
EPGs
EPGs
Линейные
карты
Layer 3
Networks
Layer 3
Networks
Порты
ACI для сетевых администраторов
11/24/14
© 2013 Cisco and/or its affiliates. All rights reserved.
26
Application Centric Infrastructure
…для сетевых администраторов
•  Эксплуатация сети как единого комплекса, а не
набора устройств
•  Высокая производительность и масштабируемость
Spine
Аппаратная база отображения адресов
До 576 x 40 Gb портов
Высокая плотность за умеренную стоимость
•  Доступ 1/10G, 40G
•  Внутренний транспорт 40G с эффективной
балансировкой нагрузки
•  До миллиона IPv4/IPv6 узлов
APIC
•  Десятки и сотни тысяч портов
•  Оптимизированный транспорт L2+L3
•  Распределённая маршрутизация
•  Единая среда коммутации для физических и
виртуальных серверов
•  Сквозной транспорт P+V
•  Поддержка многих гипервизоров
•  Детальная телеметрия и диагностика
•  Измерение задержки и счётчики
Оптимизация фабрики
Масштабирование
Использование IEEE 1588 для
измерения задержки
Оптимальная балансировка
ECMP
Интеллектуальное кеширование
Поддержка терминации оверлеев
Улучшенная аналитика
ACI - шаги миграции
• Расширение уровня
доступа в ЦОД
• Решение проблем
сервисных цепочек и
интеграции сервисных
устройств
11/24/14
© 2014 Cisco and/or its affiliates. All rights reserved.
28
Анонс сессии – 19 ноября 16:45
Название
Докладчик
Время и дата
Зал
Как развернуть и
настроить ACI фабрику
– основные шаги
Дмитрий
Жечков
19 ноября
11:20 – 12:20
Амур
Архитектура и
принципы
функционирования
сетевой фабрики Cisco
ACI
Александр
Скороходов
19 ноября
16:45 – 17:45
Конгресс-зал 2
Модель политик Cisco
ACI
Михаил
Дворкин
19 ноября
18:00 – 19:00
Конгресс-зал 2
Достоинства архитектуры ACI
11/24/14
© 2013 Cisco and/or its affiliates. All rights reserved.
30
#1: Прикладные политики – в сети
APP
WEB
Требования
приложений
“ЧТО?”
Отображение
в сети
приложений и
сервисных
цепочек “КАК?”
F/W
ADC
DB
WAN
LB to App
Connect to App
Firewall
Connect to DB
High Priority
WEB
WEB
WEB
WEB
ADC
DB
APP
APP
APP
APP
НЕПОСРЕДСТВЕННАЯ РЕАЛИЗАЦИЯ СЕТЕВОГО
ПРОФИЛЯ ПРИЛОЖЕНИЯ
DB
DB
DB
#2: Гибкость и развитие: любой тип развертывания (физический
+виртуальный), в любой точке, с любым масштабом
Traditional
3-Tier
Application
WEB
F/W
ADC
APP
ADC
WEB WEB WEB
APP APP APP
DB
DB
DB
DB
SLA
Extensible Scripting Model
QoS
APPLICATION
NETWORK PROFILE
CONNECTIVITY
POLICY
DB
Security
SECURITY
POLICIES
Load
Balancing
QOS
BANDWIDTH
RESERVATION
AVAILABILITY
APPLICATION
NETWORK PROFILE
HYPERVISOR
WEB
WEB
HYPERVISOR
WEB
APP
DB
HYPERVISOR
WEB
APP
WEB
32
APPLICATION
L4-L7
SERVICES
DB
STORAGE AND
COMPUTE
#3 – Сетевое оборудование нового поколения программируемость и
производительность
Nexus 9000
Ведущие показатели цена/производительность:
Самая быстрая платформа 10G/40G /100G
1/10/40/100G
1011
0010
Програмируемость/ APIs: Python, Power Shell,
Puppet, Chef, Linux контейнеры…
Идеальная платформа для DevOps!!
На 15% лучше энергоэффективность
~3X выше надёжнось
Инновации аппаратный дизайн без
мидплейна, объектная модель,
телеметрия...
Экономия от внедрения 40/100G на
существующей СКС с BiDi оптикой.
Плавный переход на 40G
#4 - Открытость:
обеспечение выбора и защита инвестиций
Выбор модели
эксплуатации
Экосистема
APPLICATION
1.  Программирование/скрипты
RESTful APIs, Python etc.
Hypervisors
SECURITY
NETWORK
L4-L7 Services
2.  ИТ автоматизация
Management
Automate
3.  Open Source
OpFlex
4.  Интегированное решение
CLOUD
Security
Storage
#5 – Телеметрия: детальный мониторинг по приложениям
и организациям
Tenant 1
Tenant 2
Tenant
APIC
Tenant 4
APP
TENANT
Tenant 3
Анонс сессий – 19 ноября
Название
Докладчик
Время и дата
Зал
Как развернуть и
настроить ACI фабрику
– основные шаги
Дмитрий
Жечков
19 ноября
11:20 – 12:20
Амур
Архитектура и
принципы
функционирования
сетевой фабрики Cisco
ACI
Александр
Скороходов
19 ноября
16:45 – 17:45
Конгресс-зал 2
Модель политик Cisco
ACI
Михаил
Дворкин
19 ноября
18:00 – 19:00
Конгресс-зал 2
Ждем ваших сообщений с хештегом
#CiscoConnectRu
Спасибо
Пожалуйста, заполните анкеты.
Ваше мнение очень важно для нас.
Contacts:
Name Хаванкин Максим
Phone +74999295710
E-mail [email protected]
CiscoRu
11/24/14
Cisco
© 2014 Cisco and/or its affiliates. All rights reserved.
CiscoRussia
1/--страниц
Пожаловаться на содержимое документа