思科應(yīng)用為中心的基礎(chǔ)設(shè)施(ACI)

思科ACI是新的數(shù)據(jù)中心架構(gòu)，旨在解決現(xiàn)在傳統(tǒng)網(wǎng)絡(luò)的需求，以及滿足新計(jì)算趨勢(shì)和業(yè)務(wù)因素給網(wǎng)絡(luò)帶來(lái)的新興需求。

▲思科ACI的概括圖

使用基于組策略的應(yīng)用為中心的策略模型

正如上文所說(shuō)，當(dāng)前網(wǎng)絡(luò)技術(shù)的最大挑戰(zhàn)之一是網(wǎng)絡(luò)協(xié)議和功能、轉(zhuǎn)發(fā)和策略的緊密耦合。因?yàn)檫@種耦合，策略中的變更可能會(huì)給轉(zhuǎn)發(fā)帶來(lái)不利影響。此外，由于網(wǎng)絡(luò)協(xié)議和功能被設(shè)計(jì)用于其特定的用例，操作這些協(xié)議和功能需要非常了解網(wǎng)絡(luò)語(yǔ)義。

為了在數(shù)據(jù)中心基礎(chǔ)設(shè)施提供靈活性和簡(jiǎn)單性，需要新的語(yǔ)言描述連接的抽象化意圖，以使最終用戶不需要豐富的網(wǎng)絡(luò)知識(shí)來(lái)描述連接的需求。此外，這個(gè)意圖應(yīng)該從網(wǎng)絡(luò)轉(zhuǎn)發(fā)語(yǔ)義中解耦，以便最終用戶可以描述策略，讓策略中的變更不會(huì)影響轉(zhuǎn)發(fā)行為。

在思科ACI出現(xiàn)之前，并不存在這種抽象的解耦策略模型，思科創(chuàng)造了這樣的模型，被稱為基于組的策略(GBP)，這是OpenStack和OpenDaylight中的工作項(xiàng)目。

OpenDaylight稱基于組的策略是“應(yīng)用為中心的策略模型，它分離了關(guān)于應(yīng)用連接要求的信息與關(guān)于底層網(wǎng)絡(luò)基礎(chǔ)設(shè)施的詳細(xì)信息”。

這種方法提供了很多優(yōu)勢(shì)，包括：

● 更簡(jiǎn)單的以應(yīng)用為中心的表達(dá)策略： 通過(guò)創(chuàng)建策略來(lái)映射應(yīng)用程序語(yǔ)義，這個(gè)框架提供了更簡(jiǎn)單的自我記錄機(jī)制來(lái)捕捉策略要求，而不需要非常了解網(wǎng)絡(luò)。

● 提高自動(dòng)化： 分組結(jié)構(gòu)允許更高級(jí)別的自動(dòng)化工具簡(jiǎn)單地同時(shí)操作網(wǎng)絡(luò)端點(diǎn)組。

● 一致性： 通過(guò)分組端點(diǎn)和應(yīng)用策略到各組，該框架提供了一致的方法來(lái)處理策略變更。

● 可擴(kuò)展策略模型： 由于這種策略模型是抽象的，沒(méi)有綁定到特定網(wǎng)絡(luò)部署，它可以簡(jiǎn)單地捕捉連接、安全、QoS等。

思科ACI在其應(yīng)用為中心的策略模型中廣泛利用了基于組的策略，其中通過(guò)整合端點(diǎn)(物理或虛擬)到端點(diǎn)組(EPG)來(lái)定義連接。當(dāng)最終用戶在EPG之間確定合作關(guān)系時(shí)，就會(huì)定義連接。最終用戶不需要了解創(chuàng)建這種連接所使用的協(xié)議或功能。

▲應(yīng)用程序?yàn)橹行牡牟呗阅Ｐ?p#

思科應(yīng)用策略基礎(chǔ)設(shè)施控制器(APIC)

一般情況下，人們希望整個(gè)網(wǎng)絡(luò)的策略保持一致。然而，在現(xiàn)有網(wǎng)絡(luò)中管理策略的主要挑戰(zhàn)之一是設(shè)備的數(shù)據(jù)以及確保一致性。APIC解決了這個(gè)問(wèn)題。

思科APIc是一個(gè)分布式系統(tǒng)，它作為控制器集群來(lái)部署。它提供單一的控制點(diǎn)、中央API、全球數(shù)據(jù)的中央存儲(chǔ)庫(kù)，以及基于組策略數(shù)據(jù)的存儲(chǔ)庫(kù)。

思科APIC是通過(guò)基于組策略表示的基于策略配置的統(tǒng)一點(diǎn)。思科APIC的主要功能是為思科ACI架構(gòu)及設(shè)備提供策略權(quán)威和策略解析機(jī)制。自動(dòng)化是策略解析的直接結(jié)果，并呈現(xiàn)其影響在思科ACI架構(gòu)中，讓最終用戶不再需要觸碰每個(gè)網(wǎng)絡(luò)元素以及手動(dòng)確保所有政策得到適當(dāng)配置。需要注意的是，思科APIC不參與轉(zhuǎn)發(fā)計(jì)算或路由配置，這提供了額外的可擴(kuò)展性、穩(wěn)定性和性能。

▲思科APIC在ACI架構(gòu)中的作用

思科APIC與思科ACI架構(gòu)通信來(lái)分配策略到連接點(diǎn)，并向該架構(gòu)提供關(guān)鍵管理功能。思科APIC并不直接參與數(shù)據(jù)平面轉(zhuǎn)發(fā)，因此，集群中所有思科APIC元件的斷連并不會(huì)影響轉(zhuǎn)發(fā)功能，這提高了整個(gè)系統(tǒng)的可靠性。

通常情況下，策略根據(jù)需要或管理靜態(tài)捆綁來(lái)分配到節(jié)點(diǎn)，這可以在整個(gè)架構(gòu)實(shí)現(xiàn)更大的可擴(kuò)展性。

思科APIC還提供對(duì)多租戶的支持，讓多個(gè)興趣小組(企業(yè)內(nèi)部或外部)可以安全地共享思科ACI架構(gòu)，仍然可以根據(jù)需要訪問(wèn)共享資源。思科APIC還支持基于角色的訪問(wèn)控制(RBAC)，從而可以對(duì)整個(gè)架構(gòu)的角色授予權(quán)限(讀取、寫(xiě)入或兩者皆有)。

思科APIC還有完全開(kāi)放的API，用戶可以使用基于具象狀態(tài)傳輸(REST)的調(diào)用(通過(guò)XML或JavaScript對(duì)象符號(hào))來(lái)配置、管理、監(jiān)控系統(tǒng)或排除故障。此外，思科APIC包含一個(gè)CLI和GUI作為對(duì)整個(gè)思科ACI架構(gòu)的管理中心點(diǎn)。#p#

思科ACI架構(gòu)

如前所述，隨著工作負(fù)載的不斷發(fā)展，流量正逐漸變成東西方向。網(wǎng)絡(luò)需要更快響應(yīng)動(dòng)態(tài)的虛擬化和云計(jì)算工作負(fù)載，并適應(yīng)變得更大的數(shù)據(jù)集。

▲思科ACI架構(gòu)

在下一代數(shù)據(jù)中心架構(gòu)的設(shè)計(jì)中，可擴(kuò)展性、簡(jiǎn)便性、靈活性和效率是主要目標(biāo)。在設(shè)計(jì)思科ACI架構(gòu)時(shí)，思科需要考慮數(shù)據(jù)中心面臨的所有新挑戰(zhàn)，還需要了解和迎合現(xiàn)有的挑戰(zhàn)。思科ACI架構(gòu)(圖4)被設(shè)計(jì)為同時(shí)解決現(xiàn)在和未來(lái)的要求，以下為主要目標(biāo)：

● 可擴(kuò)展架構(gòu)： 思科ACI架構(gòu)是基于一種最有效和可擴(kuò)展的網(wǎng)絡(luò)設(shè)計(jì)模型：主干加分支式二分圖，其中每個(gè)分支連接到每個(gè)主干。為了減少架構(gòu)中活動(dòng)形成熱點(diǎn)的可能性，所有設(shè)備連接到架構(gòu)的分支節(jié)點(diǎn)。這種方法允許架構(gòu)提供簡(jiǎn)單的方法來(lái)擴(kuò)展連接設(shè)備的數(shù)量，通過(guò)添加更多分支節(jié)點(diǎn)。如果該架構(gòu)截面帶寬的數(shù)量需要增加，管理員只需要增加主干節(jié)點(diǎn)即可。這種靈活性允許該架構(gòu)作為小環(huán)境開(kāi)始，根據(jù)需要，逐漸發(fā)展為更大的環(huán)境。該架構(gòu)還是用基于標(biāo)準(zhǔn)的IP路由接口來(lái)構(gòu)建，在更大的向外擴(kuò)展部署中提供更大的靈活性。

● 可擴(kuò)展性： 這種ACI架構(gòu)具有高度可擴(kuò)展性。架構(gòu)管理員可以整合虛擬網(wǎng)絡(luò)(通過(guò)整合微軟System Center Virtual Machine Manager)以及4-7層網(wǎng)絡(luò)服務(wù)(防火墻、負(fù)載均衡器等)。這種整合允許最終用戶使用思科APIC中基于組的策略來(lái)明確連接要求，而虛擬網(wǎng)絡(luò)和4-7層網(wǎng)絡(luò)服務(wù)的配置將會(huì)自動(dòng)被渲染在相應(yīng)的終端系統(tǒng)，讓用戶不再需要協(xié)調(diào)這些設(shè)備的連接和策略。未來(lái)軟件版本還將包括WAN路由器集成。

● 簡(jiǎn)便性: 雖然網(wǎng)絡(luò)域中存在眾多協(xié)議和功能，該架構(gòu)的作用很簡(jiǎn)單：隨時(shí)隨地提供連接。思科ACI架構(gòu)不支持很多協(xié)議和功能，它在設(shè)計(jì)時(shí)考慮的事數(shù)據(jù)中心用例。其結(jié)果是，沒(méi)有不必要復(fù)雜性的簡(jiǎn)化架構(gòu)。單個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議(IGP)被選定作為底層架構(gòu)節(jié)點(diǎn)發(fā)現(xiàn)協(xié)議：中間系統(tǒng)到中間系統(tǒng)的路由選擇協(xié)議(IS-IS)，這個(gè)協(xié)議可以非常有效地檢測(cè)鏈路故障，并從這些故障中恢復(fù)?；跇?biāo)準(zhǔn)的可擴(kuò)展局域網(wǎng)(VXLAN)為面向租戶的流量提供了簡(jiǎn)單的覆蓋，支持2層網(wǎng)絡(luò)橋接和3層路由。

● 靈活性： 思科ACI架構(gòu)支持本地功能，允許用戶在整個(gè)架構(gòu)的任何地方連接到任何主機(jī)。通過(guò)使用集成VXLAN覆蓋，流量可以靈活地橋接和路由。此外，思科ACI架構(gòu)可以規(guī)范化來(lái)自主機(jī)及其各自該虛擬機(jī)管理程序的不同封裝類型，包括VLAN、VXLAN和NVGRE。此功能允許物理、虛擬和基于容器的主機(jī)同時(shí)存在共享的基礎(chǔ)設(shè)施。另外，下一代數(shù)據(jù)中心架構(gòu)需要向后兼容老舊的應(yīng)用程序，這些程序可能不是基于IP或可能使用網(wǎng)絡(luò)泛濫語(yǔ)義用語(yǔ)發(fā)現(xiàn)和通信。思科ACI架構(gòu)可以同時(shí)支持現(xiàn)代數(shù)據(jù)中心要求和傳統(tǒng)基于裸機(jī)及大型機(jī)應(yīng)用程序的要求。

● 效率： 思科ACI架構(gòu)的主干分支式二分圖架構(gòu)的優(yōu)勢(shì)是，在該架構(gòu)中，每個(gè)主機(jī)與其他主機(jī)相距兩個(gè)物理跳數(shù)。對(duì)于需要機(jī)器間大量東西流量的大數(shù)據(jù)工作負(fù)載，思科ACI架構(gòu)提供了可預(yù)測(cè)的低延遲線。這種方法還可以有效支持傳統(tǒng)數(shù)據(jù)中心應(yīng)用程序。這種思科ACI架構(gòu)在架構(gòu)帶寬效率方面超越了其他傳統(tǒng)主干分支架構(gòu)，因?yàn)樗紤]了數(shù)據(jù)包達(dá)到時(shí)間、端至端架構(gòu)擁塞，讓交換作出更智能的負(fù)載均衡決策。

● 投資保護(hù)： 客戶可能想要其現(xiàn)有IP網(wǎng)絡(luò)中的應(yīng)用程序加入思科ACI架構(gòu)策略。思科ACI架構(gòu)可以確保投資保護(hù)，思科APIC管理現(xiàn)有網(wǎng)絡(luò)中虛擬或物理服務(wù)器的策略。對(duì)于虛擬服務(wù)器，它們連接到應(yīng)用為中心的虛擬交換機(jī)(AVS)，并可用于思科ACI，在現(xiàn)有思科Nexus網(wǎng)絡(luò)中。AVS作為思科ACI主干分支架構(gòu)的虛擬分支，由于邊緣交換機(jī)連接到思科ACI，它可以根據(jù)思科ACI策略規(guī)則轉(zhuǎn)發(fā)流量，并使用思科ACI管理的4-7層網(wǎng)絡(luò)服務(wù)。對(duì)于物理服務(wù)器，思科Nexus 9300平臺(tái)交換機(jī)作為現(xiàn)有覆蓋網(wǎng)絡(luò)的接入層交換機(jī)。與其他軟件定義網(wǎng)絡(luò)覆蓋解決方案相比，這個(gè)解決方案為物理和虛擬工作負(fù)載提供了公共基礎(chǔ)設(shè)施，并有更先進(jìn)的應(yīng)用為中心的策略模型。

開(kāi)放API、合作伙伴生態(tài)系統(tǒng)和OpFlex

思科ACI支持可擴(kuò)展的合作伙伴生態(tài)系統(tǒng)，其中包括4-7層網(wǎng)絡(luò)服務(wù);虛擬機(jī)管理程序;以及管理、監(jiān)測(cè)和云編排平臺(tái)。所有合作伙伴都使用思科ACI的開(kāi)放API和開(kāi)發(fā)工具包、設(shè)備封裝和插件，以及新的策略協(xié)議—OpFlex，它用于交換基于組的策略信息。

● 開(kāi)放API： 思科ACI支持通過(guò)REST接口的API接入、GUI和CLI以及一些軟件開(kāi)發(fā)工具包(包括Python和Ruby)。思科APIC支持跨HTTP/HTTPS的REST API，并綁定XML和JSON編碼。這個(gè)API同時(shí)提供類級(jí)別和樹(shù)級(jí)數(shù)據(jù)訪問(wèn)。REST是分布式系統(tǒng)軟件架構(gòu)，多年來(lái)，它一直是領(lǐng)先的Web服務(wù)設(shè)計(jì)模型，并已經(jīng)逐漸取代簡(jiǎn)單對(duì)象訪問(wèn)(SOAP)和Web服務(wù)描述語(yǔ)言(WSDL)等其他設(shè)計(jì)模型。

●合作伙伴生態(tài)系統(tǒng)和OpFlex： 南向API—OpFlex是開(kāi)放的可擴(kuò)展策略協(xié)議，用于在策略控制器(例如思科APIC)和任何設(shè)備(包括管理程序交換機(jī)、物理交換機(jī)和4-7層網(wǎng)絡(luò)設(shè)備)之間的XML或JSON傳輸抽象策略。思科的合作伙伴包括英特爾、微軟、Red Hat、Citrix、F5、Embrane和Canonical，現(xiàn)在他們正與IETF和開(kāi)源社區(qū)合作來(lái)規(guī)范OpFlex，并提供參考部署。

OpFlex是一種新機(jī)制，它用于從現(xiàn)代網(wǎng)絡(luò)控制器向一組能夠渲染策略的智能設(shè)備傳輸抽象策略。很多現(xiàn)有協(xié)議(例如Open vSwitch數(shù)據(jù)庫(kù)管理協(xié)議)專注于命令控制，而OpFlex則是作為聲明性控制系統(tǒng)(例如思科ACI)的一部分，其中抽象策略可以按需共享。這種模型的主要好處之一是能夠暴露底層設(shè)備完整的功能集，允許區(qū)分硬件和軟件對(duì)象。

除了在開(kāi)源社區(qū)的部署，OpFlex是一種主要機(jī)制，它允許其他設(shè)備可以與思科APIC交換和執(zhí)行策略。OpFlex定義了這種互動(dòng)。因此，通過(guò)使用思科ACI整合思科及其合作伙伴的一些設(shè)備，企業(yè)可以獲得投資保護(hù)。