2. Развитие подходов к построению сети ЦОД
Традиционная
модель сети
Альтернативная
SDN модель
Новая
модель сети
Проверенное решение
Существующая модель
эксплуатации сети и
приложений
Широкое
распространение
Много точек управления
Негибкость
Программная
виртуализация сети
Остаётся сложность
Отдельные оверлей и
транспортная сеть
Зависимость от
гипервизора
Несколько точек
управления
Application Centric
Infrastructure
Сумма
устройств
Устраняет сложность
Управление по политикам
Аппаратные оверлеи
Автоматизация
Программируемая
инфраструктура
Защита инвестиций
3. Cisco ACI: модель ресурсов и политик
Перенос опыта Cisco UCS в сетевую инфраструктуру
Network
SME
Security
SME
Application
SME
APIC
Эксперт определяет
1 политику
Политика
используется для
создания модели
приложения
Physical
Networking
Nexus 7K
Nexus 2K
3
Hypervisors Compute L4–L7
Storage
and Virtual
Networking
Автоматическая
конфигурация
политики во всей
инфраструктуре
СИСТЕМНЫЙ ПОДХОД:
2
Multi DC
WAN and Cloud
Integrated
WAN Edge
Управление
жизненным циклом
политики в
день 1, день 2
Services
4
Быстрое разворачивание приложений. Масшабируемость, безопасность и полный контроль
5. Cеть и приложения
Два разных языка
Язык владельцев приложений
?
Язык администраторов сети
• VLAN
• IP адреса
• Подсети
• МСЭ
• Quality of Service
• Балансировщики
нагрузки
• Access Lists
• Application Tier Policy and
Dependencies
• Требования безопасности
• Service Level Agreement
• Производительность
• Соответствие норм. треб.
• Зависимость от гео-положения
• И т.д.
7. ACI сетевой профиль
Управление фабрикой на основе политик/профилей
• Расширение принципов сервисного
профиля Cisco UCS® Manager на всю
фабрику
• Сетевой профиль: определение
требований приложения без привязки к
оборудованию (stateless принцип)
̶ Уровни приложений (tiers)
̶ Политики регламентирующие взаимодействие
̶ Сервисы 4 – 7 уровня
̶ XML/JSON схема
• Полная абстракция от физической
инфраструктуры
̶ устранение зависимости от инфраструктуры
̶ переносимость между фабриками различных
ЦОД
Storage Storage
## Network Profile: Defines Application Level Metadata (Pseudo Code Example)
<Network-Profile = Production_Web>
<App-Tier = Web>
<Connected-To = Application_Client>
<Connection-Policy = Secure_Firewall_External>
<Connected-To = Application_Tier>
<Connection-Policy = Secure_Firewall_Internal & High_Priority>
. . .
<App-Tier = DataBase>
<Connected-To = Storage>
<Connection-Policy = NFS_TCP & High_BW_Low_Latency>
. . .
App Tier DB Tier
Web Tier
Приложение
Сетевой профиль полностью описывает
сетевые и сервисные потребности
приложения
8. Логическая модель определяет политику подключения
Обновление политики
NXOS: VXLAN, VRFs, etc…
Concrete Model
порты, карты,
интерфейсы,
VLAN-ы, узлы
Логическая модель
Конфигурация ориентированная на
приложение, целевая группа политики,
правила
(subset)
Logical
Model
Часть
логической
модели
Преобразование
(implicit render) Применение
Обратная
связь
Сетевое
устройство
Программируемый коммутатор
Animation Complete*
9. Профиль приложения и его применение к сети
Storage Storage
DB Tier
Клиент
приложения
Web
Tier
App Tier
Профиль приложения: определяет
сетевые требования приложения
(сетевой профиль приложения)
Применение профиля: каждое
сетевое устройство динамически
производит изменения настройки,
требуемые профилем
VM VM
VM VM VM
10.2.4.7
VM
10.9.3.37
VM
10.32.3.7
APIC
Вся передача данных в фабрике управляется при помощи профилей приложений
• IP адреса полностью переносимы и могут использоваться где угодно внутри фабрики
• Безопасность и передача данных не зависят от любых физических и логических сетевых
атрибутов
• Коммутаторы автономно обновляют свои настройки на основе правил, определенных
профилем приложения, в случае переезда/миграции приложения или его компонент
10. Application Policy Infrastructure Controller
Централизованная автоматизация и управление фабрикой
• Единая точка управления политиками в
сети ЦОД:
• Профили приложений
• Интеграция с сервисами L4-L7
• Открытая модель данных для управления при
помощи внешних средств оркестрации
• Мониторинг приложений, поиск и устранение
неисправностей фабрики
• Управление образами (Spine / Leaf)
• Кластер APIC может поддержать более
миллиона конечных хостов, 200,000+
портов, 64,000+ логических организаций
(tenant)
• Не принимает непосредственное участие в
передаче данных
• Не занимается детальной настройкой
Сервисы 4..7 Управление
системами
Управление
СХД
Оркестрация
Storage SME Server SME Network SME
Security SME App. SME OS SME
Открытый
RESTful API
Управление при помощи
политик
APIC
12. ACI модель политик – концепция End-Point Group (EPG)
EPG - Web
HTTPS
Service
HTTPS
Service
HTTPS
Service
HTTPS
Service
HTTP
Service
HTTP
Service
HTTP
Service
HTTP
Service
EPG – логическая группа конечных хостов
представляющих приложение целиком или компоненты
приложения, которая не зависит от сети
13. Примеры конечных хостов
• Устройства, подключенные к сети
напрямую или косвенно
• Имеют адрес (identity), расположение
(location), атрибуты (version, patch level)
• Могут быть физическими или
виртуальными
• Примеры:
- Сервер
- Виртуальная машина
- СХД
- NIC, vNIC
- DNS
End Points = EP
Сервер
VM
Виртуальная машина
СХД
Клиент
14. EPG, подсети и политики
EPG Web
Применение 10.10.11.x
политики/
правил
безопасности
происходит на
уровне EPG
EPG не привязана к адресации в сети. Например при
смене IP адреса на EP политика будет продолжать
применяться.
10.10.10.x
HTTPS
Service
HTTPS
Service
HTTPS
Service
HTTPS
Service
HTTP
Service
HTTP
Service
HTTP
Service
HTTP
Service
15. Уменьшение размера таблицы политик
1
2
3
4
5
1
2
3
4
фильтры
1
-‐
Allow
x
2
-‐
Deny
y
3
-‐
Allow
x
4
-‐
Deny
y
5
–
Allow
x
n
=
5
f
=
5
m
=
4
Всего
количество
записей
=
n
*
m
*
f
Стандартная
модель
потребует
100
записей
в
таблице
Источник
Получатель
1
2
3
4
5
1
2
3
4
Фильтры
1
-‐
Allow
x
2
-‐
Deny
y
3
-‐
Allow
x
4
-‐
Deny
y
5
–
Allow
x
n
=
1
f
=
5
m
=
1
ACI
модель
потребует
5
записей
в
таблице
Исходный
EPG
EPG
Получатель
16. Анонс сессии – 19 ноября 18:00
Название Докладчик Время и дата Зал
Как развернуть и
Дмитрий
19 ноября
настроить ACI фабрику
Жечков
11:20 – 12:20
– основные шаги
Амур
Архитектура и
принципы
функционирования
сетевой фабрики Cisco
ACI
Александр
Скороходов
19 ноября
16:45 – 17:45
Конгресс-зал 2
Модель политик Cisco
ACI
Михаил
Дворкин
19 ноября
18:00 – 19:00
Конгресс-зал 2
18. Application Centric Infrastructure
…для администраторов приложений
• Описание логики приложения в терминах приложения, а не сети
• Нет потребности в «трансляции» в термины VLAN, адресов и
т.д.
• Мобильность политик между ЦОД
• Возможность расширения, миграции P2V и т.д.
• Поддержка полностью или частично виртуализированных
приложений или физических серверов
• Корпоративные приложения
• Web-сервисы
• Big Data
• Управление инфраструктурой, а не коммутаторами
• Декларативная модель: описание политик для приложений а
не настроек сетевых устройств
• Мониторинг
• Сетевое «здоровье» конкретного приложения
• Точный учёт трафика каждого из компонентов
APIC
19. Мониторинг приложения
Видимость на уровне приложения и его компонент
Действия:
Не добавлять хосты или VM
Отключить хост гипервизора
Перебалансировать кластер
PetStore
Событие
PetStore Dev
• Leaf 1 и 2
• Spine 1 – 3
• Atomic counters
PetStore Prod
• Leaf 2 и 3
• Spine 1 – 2
• Atomic counters
PetStore QA
• Leaf 3 и 4
• Spine 2 – 3
• Atomic counters
VXLAN
статистика для
каждого узла
Физическая и
виртуальная
нагрузка
ACI фабрика предоставляет
аналитические возможности
следующего поколения
Приложение, потребитель (tenant) и
инфраструктура:
• Показатели здоровья (health scores)
• Задержка
• Atomic counters
• Потребление ресурсов
Интеграция с управлением нагрузкой –
первичное размещение и миграция
Триггерное
событие
APIC
20. ACI: интеграция с сервисами 4 - 7 уровня
Централизация, автоматизация и поддержка существующей модели
• Эластичность вставки сервиса
физического или виртуального
App Tier
• Помощь в административном
A
Web
Web
разделении между уровнями приложения
сервер
Server
и сервиса
• APIC – центральная точка контроля сети
и согласовании политик
• Автоматизация процесса развертывания/
свертывания сервиса посредством
программируемого интерфейса
• Поддержка текущей операционной
модели эксплуатации
• Применение сервиса вне зависимости от
места нахождения приложения
App Tier
B
App
Web
сервер
Server
Политика
перенаправления
Сервисная
послед-ть
“Security 5”
Администратор
приложения
Администратор
сервиса
Серв.
граф
…..
begin Stage 1 Stage N
end
Providers
inst
…
inst
МСЭ
inst
…
inst
Балансировка
……..
Сервисный
профиль
Определение “Security 5”
22. Application Centric Infrastructure
…для администраторов безопасности
• Управление правилами доступа
• Единая точка контроля политик взаимодействия
• Структура увязана с сервисами, а не с адресами
• Нет «накопления» правил МСЭ
• Модель «белого списка»
• Всё, что не разрешено, по умолчанию запрещено
• Встраизивание средств безопасности
• Физические или виртуальные
• Cisco или другие разработчики
• Полная изоляция организаций (tenants)
• Интегрированные возможности аудита
• Протоколирований действий
• API для внешнего анализа
• Безопасность управления ACI
• Контроль доступа и ролевое управление
ПРИЛОЖЕНИЯ
Web
Tier
App
Tier
DB
Tier
Trusted
Zone
БЕЗОПАСНОСТЬ
DB
Tier
Внешний мир
DMZ
ИНФРАСТРУКТУРА
APIC
23. ACI и атрибуты информационной безопасности
Конфиденциальность
Целостность
Доступность
&
Встроенная
MULTI-TENANCY
Передача данных
на основе
политик
Безопасность
в режиме
ALWAYS-ON
&
Контроль над
физическим и
виртуальным
API для аудита &
расследований
Сбор телеметрии
в фабрике & RBAC
Сервисные
графы
Распределенные
контроллеры
Федерация между
несколькими
системами
24. Централизованное управление политиками
Trusted
Zone
БЕЗОПАСНОСТЬ
DB
Tier
External
Zone
DMZ
L4-7 СЕРВИСЫ
APIC
ФАБРИКА
РЕАЛИЗАЦИЯ
ПОЛИТИК НА
СКОРОСТИ
РАБОТЫ
ИНТЕРФЕЙСА
АВТОМАТИЗАЦИЯ
ВНЕШНИХ L4-7
СЕРВИСОВ
ЕДИНАЯ ТОЧКА
УПРАВЛЕНИЯ
ПОЛИТИКАМИ
БЕЗОПАСНОСТИ
ПОДДЕРЖКА
АППЛАИНСОВ
БЕЗОПАСНОСТИ
25. ACI фабрика – организация управления
Аутентификация, Авторизация, RBAC
Доступ ко всем объектам управления
после аутентификации и по
защищенному каналу
Каждый объект имеет уникальный
набор RBAC атрибутов на ЧТЕНИЕ и
ЗАПИСЬ
APIC и фабрика спроектированы
изначально с поддержкой multi-tenant
Локальный и внешний сервис AAA
(TACACS+, RADIUS, LDAP) для
авторизации и аутентификации
Universe
Tenant: Pepsi
App Profile
EPGs
Layer 3
Networks
Tenant: Coke
App Profile
EPGs
Layer 3
Networks
Фабрика
Коммутаторы
Линейные
карты
Порты
APIC
27. Application Centric Infrastructure
…для сетевых администраторов
• Эксплуатация сети как единого комплекса, а не
набора устройств
• Высокая производительность и масштабируемость
• Доступ 1/10G, 40G
• Внутренний транспорт 40G с эффективной
балансировкой нагрузки
• До миллиона IPv4/IPv6 узлов
• Десятки и сотни тысяч портов
• Оптимизированный транспорт L2+L3
• Распределённая маршрутизация
• Единая среда коммутации для физических и
виртуальных серверов
• Сквозной транспорт P+V
• Поддержка многих гипервизоров
• Детальная телеметрия и диагностика
• Измерение задержки и счётчики
Spine
Аппаратная база отображения адресов
До 576 x 40 Gb портов
Высокая плотность за умеренную стоимость
Оптимизация фабрики
Использование IEEE 1588 для
измерения задержки
Оптимальная балансировка
ECMP
APIC
Масштабирование
Интеллектуальное кеширование
Поддержка терминации оверлеев
Улучшенная аналитика
29. Анонс сессии – 19 ноября 16:45
Название Докладчик Время и дата Зал
Как развернуть и
Дмитрий
19 ноября
настроить ACI фабрику
Жечков
11:20 – 12:20
– основные шаги
Амур
Архитектура и
принципы
функционирования
сетевой фабрики Cisco
ACI
Александр
Скороходов
19 ноября
16:45 – 17:45
Конгресс-зал 2
Модель политик Cisco
ACI
Михаил
Дворкин
19 ноября
18:00 – 19:00
Конгресс-зал 2
31. #1: Прикладные политики – в сети
Требования
приложений
“ЧТО?”
WEB APP DB
WAN
Firewall
LB to App
Connect to DB
Connect to App
High Priority
НЕПОСРЕДСТВЕННАЯ РЕАЛИЗАЦИЯ СЕТЕВОГО
ПРОФИЛЯ ПРИЛОЖЕНИЯ
Отображение
в сети
приложений и
сервисных
цепочек
F/W WEB APP DB
ADC ADC
WEB WEB WEB APP APP APP DB DB DB
“КАК?”
32. #2: Гибкость и развитие: любой тип развертывания (физический
+виртуальный), в любой точке, с любым масштабом
32
WEB WEB WEB
CONNECTIVITY
POLICY
SLA
QoS
Security
SECURITY
Load
POLICIES
Balancing
QOS
BANDWIDTH
RESERVATION
AVAILABILITY
APPLICATION
L4-L7
SERVICES
STORAGE AND
COMPUTE
WEB
APPLICATION
NETWORK PROFILE
APP
APP APP APP
DB
DB DB DB
F/W
ADC ADC
Extensible Scripting Model
DB DB DB
HYPERVISOR HYPERVISOR HYPERVISOR
WEB WEB WEB APP WEB APP WEB
Traditional
3-Tier
Application
APPLICATION
NETWORK PROFILE
33. #3 – Сетевое оборудование нового поколения программируемость и
производительность
1011
0010
Ведущие показатели цена/производительность:
Самая быстрая платформа 10G/40G /100G
Програмируемость/ APIs: Python, Power Shell,
Puppet, Chef, Linux контейнеры…
Идеальная платформа для DevOps!!
На 15% лучше энергоэффективность
~3X выше надёжнось
Инновации аппаратный дизайн без
мидплейна, объектная модель,
телеметрия...
Экономия от внедрения 40/100G на
существующей СКС с BiDi оптикой.
Плавный переход на 40G
Nexus 9000
1/10/40/100G
34. #4 - Открытость:
обеспечение выбора и защита инвестиций
Выбор модели
эксплуатации
1. Программирование/скрипты
RESTful APIs, Python etc.
2. ИТ автоматизация
3. Open Source
OpFlex
4. Интегированное решение
Экосистема
Hypervisors
L4-L7 Services
Management
Security
Storage
APPLICATION
NETWORK SECURITY
Automate
CLOUD
36. Анонс сессий – 19 ноября
Название Докладчик Время и дата Зал
Как развернуть и
Дмитрий
19 ноября
настроить ACI фабрику
Жечков
11:20 – 12:20
– основные шаги
Амур
Архитектура и
принципы
функционирования
сетевой фабрики Cisco
ACI
Александр
Скороходов
19 ноября
16:45 – 17:45
Конгресс-зал 2
Модель политик Cisco
ACI
Михаил
Дворкин
19 ноября
18:00 – 19:00
Конгресс-зал 2