思科ACI是SDN技術(shù)嗎?--官方首次回應(yīng)
思科應(yīng)用為中心的基礎(chǔ)設(shè)施(ACI)
思科ACI是新的數(shù)據(jù)中心架構(gòu),旨在解決現(xiàn)在傳統(tǒng)網(wǎng)絡(luò)的需求,以及滿足新計(jì)算趨勢(shì)和業(yè)務(wù)因素給網(wǎng)絡(luò)帶來(lái)的新興需求。

▲思科ACI的概括圖
使用基于組策略的應(yīng)用為中心的策略模型
正如上文所說(shuō),當(dāng)前網(wǎng)絡(luò)技術(shù)的最大挑戰(zhàn)之一是網(wǎng)絡(luò)協(xié)議和功能、轉(zhuǎn)發(fā)和策略的緊密耦合。因?yàn)檫@種耦合,策略中的變更可能會(huì)給轉(zhuǎn)發(fā)帶來(lái)不利影響。此外,由于網(wǎng)絡(luò)協(xié)議和功能被設(shè)計(jì)用于其特定的用例,操作這些協(xié)議和功能需要非常了解網(wǎng)絡(luò)語(yǔ)義。
為了在數(shù)據(jù)中心基礎(chǔ)設(shè)施提供靈活性和簡(jiǎn)單性,需要新的語(yǔ)言描述連接的抽象化意圖,以使最終用戶不需要豐富的網(wǎng)絡(luò)知識(shí)來(lái)描述連接的需求。此外,這個(gè)意圖應(yīng)該從網(wǎng)絡(luò)轉(zhuǎn)發(fā)語(yǔ)義中解耦,以便最終用戶可以描述策略,讓策略中的變更不會(huì)影響轉(zhuǎn)發(fā)行為。
在思科ACI出現(xiàn)之前,并不存在這種抽象的解耦策略模型,思科創(chuàng)造了這樣的模型,被稱為基于組的策略(GBP),這是OpenStack和OpenDaylight中的工作項(xiàng)目。
OpenDaylight稱基于組的策略是“應(yīng)用為中心的策略模型,它分離了關(guān)于應(yīng)用連接要求的信息與關(guān)于底層網(wǎng)絡(luò)基礎(chǔ)設(shè)施的詳細(xì)信息”。
這種方法提供了很多優(yōu)勢(shì),包括:
● 更簡(jiǎn)單的以應(yīng)用為中心的表達(dá)策略: 通過(guò)創(chuàng)建策略來(lái)映射應(yīng)用程序語(yǔ)義,這個(gè)框架提供了更簡(jiǎn)單的自我記錄機(jī)制來(lái)捕捉策略要求,而不需要非常了解網(wǎng)絡(luò)。
● 提高自動(dòng)化: 分組結(jié)構(gòu)允許更高級(jí)別的自動(dòng)化工具簡(jiǎn)單地同時(shí)操作網(wǎng)絡(luò)端點(diǎn)組。
● 一致性: 通過(guò)分組端點(diǎn)和應(yīng)用策略到各組,該框架提供了一致的方法來(lái)處理策略變更。
● 可擴(kuò)展策略模型: 由于這種策略模型是抽象的,沒(méi)有綁定到特定網(wǎng)絡(luò)部署,它可以簡(jiǎn)單地捕捉連接、安全、QoS等。
思科ACI在其應(yīng)用為中心的策略模型中廣泛利用了基于組的策略,其中通過(guò)整合端點(diǎn)(物理或虛擬)到端點(diǎn)組(EPG)來(lái)定義連接。當(dāng)最終用戶在EPG之間確定合作關(guān)系時(shí),就會(huì)定義連接。最終用戶不需要了解創(chuàng)建這種連接所使用的協(xié)議或功能。

▲應(yīng)用程序?yàn)橹行牡牟呗阅P?p#
思科應(yīng)用策略基礎(chǔ)設(shè)施控制器(APIC)
一般情況下,人們希望整個(gè)網(wǎng)絡(luò)的策略保持一致。然而,在現(xiàn)有網(wǎng)絡(luò)中管理策略的主要挑戰(zhàn)之一是設(shè)備的數(shù)據(jù)以及確保一致性。APIC解決了這個(gè)問(wèn)題。
思科APIc是一個(gè)分布式系統(tǒng),它作為控制器集群來(lái)部署。它提供單一的控制點(diǎn)、中央API、全球數(shù)據(jù)的中央存儲(chǔ)庫(kù),以及基于組策略數(shù)據(jù)的存儲(chǔ)庫(kù)。
思科APIC是通過(guò)基于組策略表示的基于策略配置的統(tǒng)一點(diǎn)。思科APIC的主要功能是為思科ACI架構(gòu)及設(shè)備提供策略權(quán)威和策略解析機(jī)制。自動(dòng)化是策略解析的直接結(jié)果,并呈現(xiàn)其影響在思科ACI架構(gòu)中,讓最終用戶不再需要觸碰每個(gè)網(wǎng)絡(luò)元素以及手動(dòng)確保所有政策得到適當(dāng)配置。需要注意的是,思科APIC不參與轉(zhuǎn)發(fā)計(jì)算或路由配置,這提供了額外的可擴(kuò)展性、穩(wěn)定性和性能。

▲思科APIC在ACI架構(gòu)中的作用
思科APIC與思科ACI架構(gòu)通信來(lái)分配策略到連接點(diǎn),并向該架構(gòu)提供關(guān)鍵管理功能。思科APIC并不直接參與數(shù)據(jù)平面轉(zhuǎn)發(fā),因此,集群中所有思科APIC元件的斷連并不會(huì)影響轉(zhuǎn)發(fā)功能,這提高了整個(gè)系統(tǒng)的可靠性。
通常情況下,策略根據(jù)需要或管理靜態(tài)捆綁來(lái)分配到節(jié)點(diǎn),這可以在整個(gè)架構(gòu)實(shí)現(xiàn)更大的可擴(kuò)展性。
思科APIC還提供對(duì)多租戶的支持,讓多個(gè)興趣小組(企業(yè)內(nèi)部或外部)可以安全地共享思科ACI架構(gòu),仍然可以根據(jù)需要訪問(wèn)共享資源。思科APIC還支持基于角色的訪問(wèn)控制(RBAC),從而可以對(duì)整個(gè)架構(gòu)的角色授予權(quán)限(讀取、寫(xiě)入或兩者皆有)。
思科APIC還有完全開(kāi)放的API,用戶可以使用基于具象狀態(tài)傳輸(REST)的調(diào)用(通過(guò)XML或JavaScript對(duì)象符號(hào))來(lái)配置、管理、監(jiān)控系統(tǒng)或排除故障。此外,思科APIC包含一個(gè)CLI和GUI作為對(duì)整個(gè)思科ACI架構(gòu)的管理中心點(diǎn)。#p#
思科ACI架構(gòu)
如前所述,隨著工作負(fù)載的不斷發(fā)展,流量正逐漸變成東西方向。網(wǎng)絡(luò)需要更快響應(yīng)動(dòng)態(tài)的虛擬化和云計(jì)算工作負(fù)載,并適應(yīng)變得更大的數(shù)據(jù)集。

▲思科ACI架構(gòu)
在下一代數(shù)據(jù)中心架構(gòu)的設(shè)計(jì)中,可擴(kuò)展性、簡(jiǎn)便性、靈活性和效率是主要目標(biāo)。在設(shè)計(jì)思科ACI架構(gòu)時(shí),思科需要考慮數(shù)據(jù)中心面臨的所有新挑戰(zhàn),還需要了解和迎合現(xiàn)有的挑戰(zhàn)。思科ACI架構(gòu)(圖4)被設(shè)計(jì)為同時(shí)解決現(xiàn)在和未來(lái)的要求,以下為主要目標(biāo):
● 可擴(kuò)展架構(gòu): 思科ACI架構(gòu)是基于一種最有效和可擴(kuò)展的網(wǎng)絡(luò)設(shè)計(jì)模型:主干加分支式二分圖,其中每個(gè)分支連接到每個(gè)主干。為了減少架構(gòu)中活動(dòng)形成熱點(diǎn)的可能性,所有設(shè)備連接到架構(gòu)的分支節(jié)點(diǎn)。這種方法允許架構(gòu)提供簡(jiǎn)單的方法來(lái)擴(kuò)展連接設(shè)備的數(shù)量,通過(guò)添加更多分支節(jié)點(diǎn)。如果該架構(gòu)截面帶寬的數(shù)量需要增加,管理員只需要增加主干節(jié)點(diǎn)即可。這種靈活性允許該架構(gòu)作為小環(huán)境開(kāi)始,根據(jù)需要,逐漸發(fā)展為更大的環(huán)境。該架構(gòu)還是用基于標(biāo)準(zhǔn)的IP路由接口來(lái)構(gòu)建,在更大的向外擴(kuò)展部署中提供更大的靈活性。
● 可擴(kuò)展性: 這種ACI架構(gòu)具有高度可擴(kuò)展性。架構(gòu)管理員可以整合虛擬網(wǎng)絡(luò)(通過(guò)整合微軟System Center Virtual Machine Manager)以及4-7層網(wǎng)絡(luò)服務(wù)(防火墻、負(fù)載均衡器等)。這種整合允許最終用戶使用思科APIC中基于組的策略來(lái)明確連接要求,而虛擬網(wǎng)絡(luò)和4-7層網(wǎng)絡(luò)服務(wù)的配置將會(huì)自動(dòng)被渲染在相應(yīng)的終端系統(tǒng),讓用戶不再需要協(xié)調(diào)這些設(shè)備的連接和策略。未來(lái)軟件版本還將包括WAN路由器集成。
● 簡(jiǎn)便性: 雖然網(wǎng)絡(luò)域中存在眾多協(xié)議和功能,該架構(gòu)的作用很簡(jiǎn)單:隨時(shí)隨地提供連接。思科ACI架構(gòu)不支持很多協(xié)議和功能,它在設(shè)計(jì)時(shí)考慮的事數(shù)據(jù)中心用例。其結(jié)果是,沒(méi)有不必要復(fù)雜性的簡(jiǎn)化架構(gòu)。單個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議(IGP)被選定作為底層架構(gòu)節(jié)點(diǎn)發(fā)現(xiàn)協(xié)議:中間系統(tǒng)到中間系統(tǒng)的路由選擇協(xié)議(IS-IS),這個(gè)協(xié)議可以非常有效地檢測(cè)鏈路故障,并從這些故障中恢復(fù)?;跇?biāo)準(zhǔn)的可擴(kuò)展局域網(wǎng)(VXLAN)為面向租戶的流量提供了簡(jiǎn)單的覆蓋,支持2層網(wǎng)絡(luò)橋接和3層路由。
● 靈活性: 思科ACI架構(gòu)支持本地功能,允許用戶在整個(gè)架構(gòu)的任何地方連接到任何主機(jī)。通過(guò)使用集成VXLAN覆蓋,流量可以靈活地橋接和路由。此外,思科ACI架構(gòu)可以規(guī)范化來(lái)自主機(jī)及其各自該虛擬機(jī)管理程序的不同封裝類型,包括VLAN、VXLAN和NVGRE。此功能允許物理、虛擬和基于容器的主機(jī)同時(shí)存在共享的基礎(chǔ)設(shè)施。另外,下一代數(shù)據(jù)中心架構(gòu)需要向后兼容老舊的應(yīng)用程序,這些程序可能不是基于IP或可能使用網(wǎng)絡(luò)泛濫語(yǔ)義用語(yǔ)發(fā)現(xiàn)和通信。思科ACI架構(gòu)可以同時(shí)支持現(xiàn)代數(shù)據(jù)中心要求和傳統(tǒng)基于裸機(jī)及大型機(jī)應(yīng)用程序的要求。
● 效率: 思科ACI架構(gòu)的主干分支式二分圖架構(gòu)的優(yōu)勢(shì)是,在該架構(gòu)中,每個(gè)主機(jī)與其他主機(jī)相距兩個(gè)物理跳數(shù)。對(duì)于需要機(jī)器間大量東西流量的大數(shù)據(jù)工作負(fù)載,思科ACI架構(gòu)提供了可預(yù)測(cè)的低延遲線。這種方法還可以有效支持傳統(tǒng)數(shù)據(jù)中心應(yīng)用程序。這種思科ACI架構(gòu)在架構(gòu)帶寬效率方面超越了其他傳統(tǒng)主干分支架構(gòu),因?yàn)樗紤]了數(shù)據(jù)包達(dá)到時(shí)間、端至端架構(gòu)擁塞,讓交換作出更智能的負(fù)載均衡決策。
● 投資保護(hù): 客戶可能想要其現(xiàn)有IP網(wǎng)絡(luò)中的應(yīng)用程序加入思科ACI架構(gòu)策略。思科ACI架構(gòu)可以確保投資保護(hù),思科APIC管理現(xiàn)有網(wǎng)絡(luò)中虛擬或物理服務(wù)器的策略。對(duì)于虛擬服務(wù)器,它們連接到應(yīng)用為中心的虛擬交換機(jī)(AVS),并可用于思科ACI,在現(xiàn)有思科Nexus網(wǎng)絡(luò)中。AVS作為思科ACI主干分支架構(gòu)的虛擬分支,由于邊緣交換機(jī)連接到思科ACI,它可以根據(jù)思科ACI策略規(guī)則轉(zhuǎn)發(fā)流量,并使用思科ACI管理的4-7層網(wǎng)絡(luò)服務(wù)。對(duì)于物理服務(wù)器,思科Nexus 9300平臺(tái)交換機(jī)作為現(xiàn)有覆蓋網(wǎng)絡(luò)的接入層交換機(jī)。與其他軟件定義網(wǎng)絡(luò)覆蓋解決方案相比,這個(gè)解決方案為物理和虛擬工作負(fù)載提供了公共基礎(chǔ)設(shè)施,并有更先進(jìn)的應(yīng)用為中心的策略模型。
開(kāi)放API、合作伙伴生態(tài)系統(tǒng)和OpFlex
思科ACI支持可擴(kuò)展的合作伙伴生態(tài)系統(tǒng),其中包括4-7層網(wǎng)絡(luò)服務(wù);虛擬機(jī)管理程序;以及管理、監(jiān)測(cè)和云編排平臺(tái)。所有合作伙伴都使用思科ACI的開(kāi)放API和開(kāi)發(fā)工具包、設(shè)備封裝和插件,以及新的策略協(xié)議—OpFlex,它用于交換基于組的策略信息。
● 開(kāi)放API: 思科ACI支持通過(guò)REST接口的API接入、GUI和CLI以及一些軟件開(kāi)發(fā)工具包(包括Python和Ruby)。思科APIC支持跨HTTP/HTTPS的REST API,并綁定XML和JSON編碼。這個(gè)API同時(shí)提供類級(jí)別和樹(shù)級(jí)數(shù)據(jù)訪問(wèn)。REST是分布式系統(tǒng)軟件架構(gòu),多年來(lái),它一直是領(lǐng)先的Web服務(wù)設(shè)計(jì)模型,并已經(jīng)逐漸取代簡(jiǎn)單對(duì)象訪問(wèn)(SOAP)和Web服務(wù)描述語(yǔ)言(WSDL)等其他設(shè)計(jì)模型。
●合作伙伴生態(tài)系統(tǒng)和OpFlex: 南向API—OpFlex是開(kāi)放的可擴(kuò)展策略協(xié)議,用于在策略控制器(例如思科APIC)和任何設(shè)備(包括管理程序交換機(jī)、物理交換機(jī)和4-7層網(wǎng)絡(luò)設(shè)備)之間的XML或JSON傳輸抽象策略。思科的合作伙伴包括英特爾、微軟、Red Hat、Citrix、F5、Embrane和Canonical,現(xiàn)在他們正與IETF和開(kāi)源社區(qū)合作來(lái)規(guī)范OpFlex,并提供參考部署。
OpFlex是一種新機(jī)制,它用于從現(xiàn)代網(wǎng)絡(luò)控制器向一組能夠渲染策略的智能設(shè)備傳輸抽象策略。很多現(xiàn)有協(xié)議(例如Open vSwitch數(shù)據(jù)庫(kù)管理協(xié)議)專注于命令控制,而OpFlex則是作為聲明性控制系統(tǒng)(例如思科ACI)的一部分,其中抽象策略可以按需共享。這種模型的主要好處之一是能夠暴露底層設(shè)備完整的功能集,允許區(qū)分硬件和軟件對(duì)象。
除了在開(kāi)源社區(qū)的部署,OpFlex是一種主要機(jī)制,它允許其他設(shè)備可以與思科APIC交換和執(zhí)行策略。OpFlex定義了這種互動(dòng)。因此,通過(guò)使用思科ACI整合思科及其合作伙伴的一些設(shè)備,企業(yè)可以獲得投資保護(hù)。