CiscoACI架構(gòu)概覽

1、Lippis Consulting Industry Paper思、 科ACI全面上市有哪些值得我們期待Nicholas Joh n Lippis III 著Lippis Con suit ing 總裁2014年8月思科ACI全面上市：有哪些值得我們期待今年八月最值得期待的網(wǎng)絡(luò)產(chǎn)業(yè)大事件之一即思科ACI （以應(yīng)用為中心的基礎(chǔ)架構(gòu)）全面上市。自去年9月份起，思科已經(jīng)開始通過單機(jī)模式”部署Nexus 9000 系列超高速數(shù)據(jù)中心以太網(wǎng)交 換機(jī)。Nexus 9000 的從第三季度的180個(gè)銷售訂單到第四個(gè)財(cái) 季末的580個(gè)訂單，足足增長了三倍。思科在發(fā)布Nexus 9000時(shí)曾承諾要實(shí)現(xiàn)通過“ AC

2、架構(gòu)模式”來部署此類交換機(jī)，因?yàn)锳CI這一模式能夠在降低運(yùn)營成本、提升網(wǎng)絡(luò)靈活性、增加網(wǎng)絡(luò) 基礎(chǔ)架構(gòu)應(yīng)用程序連接數(shù)量方面取得前所未有的效果。思科將 這一架構(gòu)模式以ACI的形式展現(xiàn)出來，而且目前正在致力于實(shí)現(xiàn) ACI的量產(chǎn)。在本篇 Lippis Report 研究紀(jì)要中，我們要來研究 一下ACI到底可以從哪些方面來改善當(dāng)今的數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)。ACI架構(gòu)有三個(gè)基本構(gòu)建單元：1 ）網(wǎng)絡(luò)策略模型，即將網(wǎng)絡(luò)裝置按容器式結(jié)構(gòu)劃分以及描述設(shè)備連接情況的組織原則，2）APIC （應(yīng)用基礎(chǔ)設(shè)施控制器 /即SDN中的控制器），提供所有 配置策略的單獨(dú)管理點(diǎn)和信息庫，以及3）ACI架構(gòu)，即組成ACI的所有物理和虛擬

3、網(wǎng)絡(luò)設(shè)備的抽象概念。我們通過下面的圖 示迅速重溫一下上述三個(gè)ACI組成部分。與外部網(wǎng)絡(luò)進(jìn)行連接?；?GBP概念，我們可以在 ACI中直接定 義該程序所需要的網(wǎng)絡(luò)連接配置策略，但是這要求該模型要具 備很強(qiáng)的通用性。比如當(dāng)某個(gè)外界（遠(yuǎn)程站點(diǎn)及網(wǎng)絡(luò)流量）群 組連接到DMZ群組，而DMZ又連接到網(wǎng)絡(luò)內(nèi)部群組時(shí)，該策略 可被用于確定面向安全性的網(wǎng)絡(luò)策略。或者，通過GBP概念，我們甚至能夠模擬大多數(shù)情況下，如M可通過映射到多個(gè)群組中 的虛擬局域網(wǎng)以及/或者子網(wǎng)進(jìn)行網(wǎng)絡(luò)配置。最后，思科希望指 出GBP概念下不同的利益相關(guān)方，這樣一來就無需勞煩CCIE（思科認(rèn)證網(wǎng)絡(luò)專家）或網(wǎng)絡(luò)方面的專家來做聯(lián)網(wǎng)工作。數(shù)據(jù)中

4、心管理員則可以將這一過程簡單描述為將一組東西”連接到另外一組東西”上。我們隨口一說的 一組組的東西”思科有專門 的術(shù)語來表達(dá)，即 EPG （端點(diǎn)群組），代表多個(gè)物理或虛擬端 點(diǎn)的集合。所以，EPG可以是實(shí)體服務(wù)、服務(wù)器裸機(jī)、或是橫 跨多個(gè)不同管理程序的虛擬機(jī)等等。其重點(diǎn)在于，思科能夠?qū)?這些東西”靈活地安置到群組中，而無需了解它們在整個(gè)ACI中的具體位置。ACI策略模型的另外一個(gè)核心概念即通過這一模型，我們能夠確1思科ACI全面上市：有哪些值得我們期待#思科ACI全面上市：有哪些值得我們期待BUILDING BLOCKS OF ACI#思科ACI全面上市：有哪些值得我們期待#思科ACI全面上市

5、：有哪些值得我們期待FillerCisco® ACI FabricScale-Out Penalty-Free OverlayCisco Application Policy InfrastructureController (APIC)ARC#思科ACI全面上市：有哪些值得我們期待#思科ACI全面上市：有哪些值得我們期待策略模型：ACI策略模型創(chuàng)建了一種新的基于“ GBP（基于組策略）”概念的網(wǎng)絡(luò)連接配置方法。思科的這種策略模型提供了一 種通用的網(wǎng)絡(luò)連接配置方法。舉例來說，想象我們要為數(shù)據(jù)中 心部署典型的三層網(wǎng)絡(luò)應(yīng)用程序，該程序可能包含前端網(wǎng)頁 層、中端應(yīng)用層、以及后端數(shù)據(jù)庫層；同

6、時(shí)我們還要將該程序定EPG之間的相互關(guān)系。這種關(guān)系被稱之為合同”它描述了不同EPG間的數(shù)據(jù)流動(dòng)或聯(lián)網(wǎng)方式。每個(gè)合同都包含一個(gè)具體的 協(xié)議（或一組協(xié)議），我們可將該協(xié)議應(yīng)用于任意群組之間， 或者把它寫入4-7層網(wǎng)絡(luò)服務(wù)圖來實(shí)現(xiàn)網(wǎng)絡(luò)服務(wù)（如防火墻、負(fù) 載均衡等）在群組間聯(lián)網(wǎng)的應(yīng)用。就安全策略管理人員看來，ACI策略模型實(shí)質(zhì)是為保證網(wǎng)絡(luò)安全 而執(zhí)行的白名單模型，其執(zhí)行方式跟如今的ACL存在很大區(qū)別。在當(dāng)今的組網(wǎng)模式下，網(wǎng)絡(luò)管理人員假設(shè)除了那些無法鎖 定在ACL中的端點(diǎn)，網(wǎng)絡(luò)中其他任何端點(diǎn)之間都是互通的；這 即遵循了為確保網(wǎng)絡(luò)安全而創(chuàng)建的黑名單模型。其實(shí)，整個(gè)ACI架構(gòu)在運(yùn)行層面上可被視為一個(gè)基于內(nèi)容

7、的大型分散式防火 墻，而這面防火墻在全數(shù)據(jù)中心范圍內(nèi)執(zhí)行網(wǎng)絡(luò)思科把上文提 到的EPG、合同以及外部網(wǎng)絡(luò)統(tǒng)稱為 ANP （應(yīng)用網(wǎng)絡(luò)配置文ACrs APPLICATION NETWORK PROFILE（ANP）a><% rtnpAhiCAaOjL件）。這些ANP完全獨(dú)立于任何物理或虛擬的基礎(chǔ)網(wǎng)絡(luò)架構(gòu)， 因此它們可以被復(fù)制到一個(gè)不同的ACI網(wǎng)絡(luò)中并被再次實(shí)例化。這樣一來，我們就能很容易地確定橫跨全世界任何pods或站點(diǎn)的應(yīng)用網(wǎng)絡(luò)連接，而無需安排應(yīng)用程序管理員去了解某個(gè)特定 網(wǎng)絡(luò)的具體構(gòu)建方式。安全策略。APIC : ACI策略通過APIC （應(yīng)用基礎(chǔ)設(shè)施控制器）進(jìn)行配置。APIC在這里

8、專指UCS C系列x86 1RU機(jī)架服務(wù)器集群，它們 為所有配置策略以及任何有關(guān)網(wǎng)絡(luò)結(jié)構(gòu)連接、管理、監(jiān)控以及 故障排除的策略提供單個(gè)管理點(diǎn)和信息庫；正如思科的觀點(diǎn)， 任何東西都可被當(dāng)做一個(gè)策略！需要注意的是，APIC并非用于轉(zhuǎn)發(fā)或查詢。實(shí)際上，一旦在 APIC中配置了某些策略，那么 APIC就是可移動(dòng)的，而且這種可移動(dòng)性也不影響網(wǎng)絡(luò)的任何功 能。說這句話目的僅僅在于強(qiáng)調(diào)上面提到的，即轉(zhuǎn)發(fā)操作并不 需要APIC。其實(shí)，思科并不建議對(duì)AIPC集群進(jìn)行整體移動(dòng)，因?yàn)檫@樣一來，至少需要有一個(gè)APIC被重新添加到網(wǎng)絡(luò)之后管理員才可以 對(duì)網(wǎng)絡(luò)策略進(jìn)行修改。APIC集群同時(shí)需要負(fù)載平衡和擁有冗余特性，所以建

9、議用三臺(tái)設(shè)備來組成一個(gè)APIC集群，以達(dá)到并保持平衡穩(wěn)定的狀態(tài)。r&dsnfr4ealJ-3ivS-lnw-lsTHE ACI FABRICTOPOLOGY VIEWapiel整個(gè)ACI系統(tǒng)將網(wǎng)絡(luò)中要素建模成單個(gè)目標(biāo)對(duì)象，并將這些目標(biāo) 對(duì)象安置在思科的dMIT （分布式管理信息樹）中，從而使目標(biāo) 對(duì)象延續(xù)上層目標(biāo)的特性（例如安全權(quán)限、屬性等）。然后這 些目標(biāo)對(duì)象又會(huì)經(jīng)由APIC以多種方式與外界建立連接，包括REST （XML/JSON） APIs ，GUI （圖形用戶界面），或類似 Linux BASH環(huán)境的命令行shell。思科還會(huì)提供額外的 SDKs （軟件開 發(fā)工具包），以幫助某

10、些公司開發(fā)與ACI策略模型直接交互的應(yīng)用程序。就即將推岀的 ACI通用版本來說，此版本已支持并附帶 Python SDK，并且思科仍在研發(fā)對(duì) Ruby和C#的支持。ACI矩陣：ACI矩陣其實(shí)就是組成網(wǎng)絡(luò)架構(gòu)的物理和虛擬設(shè)備的 集合，它支持包括查詢、轉(zhuǎn)發(fā)、策略執(zhí)行等在內(nèi)的所有數(shù)據(jù)平面 功能的處理。這些網(wǎng)絡(luò)設(shè)備可提供轉(zhuǎn)發(fā)服務(wù)，例如交換機(jī)、路由 器、以及/或者4到7層網(wǎng)絡(luò)服務(wù)，例如防火墻、負(fù)載均衡器等。ACI網(wǎng)絡(luò)架構(gòu)的核心即思科最新推出的Nexus 9000系列旗艦版數(shù)據(jù)中心交換機(jī)。這些交換機(jī)根據(jù)分支-主干的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行配置，并具備可擴(kuò)展的網(wǎng)絡(luò)連接、性能、彈性以及靈活性。在推出通用版本時(shí)，思科也

11、會(huì)推出Leaf交換機(jī)的兩個(gè)變體：? Nexus 9396PX-個(gè)31/10G SFP+ 端口 + 12 個(gè) 40G QSFP上行鏈接端口? Nexus 93128TX-個(gè)61/10G Base-T 端口 + 8個(gè)40G QSFP上行鏈接端口 思科還推出了 Spine服務(wù)器的兩個(gè)變體：? Nexus 9336PQ 有36個(gè)40G QSFP 端口鏈接到分支交換機(jī)? Nexus 9508 多達(dá)288個(gè)40G QSFP 端口鏈接到分支交換機(jī)思科還致力于研發(fā)多種容量的 Spine和Leaf交換機(jī)，包括1RU分 支交換機(jī)，以及在不久的將來即將推出的更小容量（4槽Nexus9504 ）和更大容量（16槽Ne

12、xus 9516 ）的Spine交換機(jī)。從網(wǎng)絡(luò)設(shè)計(jì)角度看，所有的設(shè)備都是連接到分支交換機(jī)的。而 能夠連接到主干交換機(jī)的設(shè)備只有其他的分支交換機(jī)?；谶@ 一觀點(diǎn)，思科在整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)中將IPv4路由選擇作為其 底層的”網(wǎng)絡(luò)協(xié)議，并利用VXLAN （虛擬擴(kuò)展局域網(wǎng)）這個(gè)硬件作為底層”網(wǎng)絡(luò)封裝，從而能夠在整個(gè) ACI 2 層/3層網(wǎng)絡(luò)任意點(diǎn)到點(diǎn)之 間進(jìn)行橋接和路由選擇。要重點(diǎn)說明的是，ACI網(wǎng)絡(luò)架構(gòu)可以控制與之集成的不同管理程 序中的vSwitches （虛擬交換機(jī)），無論是通過 vCenter運(yùn)行的 VMware，或是通過SCVMM （系統(tǒng)中心虛擬機(jī)管理器）運(yùn)行的Windows Server 201

13、2 R2 ，更或是通過 OpenStack （支持 Ubuntu和 RedHat變體）運(yùn)行的OVS。而且ACI還能夠通過思 科的 設(shè)'備包”插件來控制網(wǎng)絡(luò)服務(wù)，支持 APIC促進(jìn)L4-7網(wǎng)絡(luò)服 務(wù)間的相互協(xié)調(diào)、自動(dòng)控制以及網(wǎng)絡(luò)鏈接；網(wǎng)絡(luò)策略也隨之向 下延伸至這些網(wǎng)絡(luò)服務(wù)，這樣一來，網(wǎng)絡(luò)管理員無需對(duì)每臺(tái)設(shè) 備進(jìn)行單獨(dú)管理。因此，可以說ACI超越了思科Nexus 9000 平臺(tái)，并且囊括了與之所集成的其他服務(wù)。ACI的實(shí)施：健康度評(píng)分思科構(gòu)建ACI網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)在于，在推出正式版本時(shí)，思科還 會(huì)推出配套的工具來協(xié)助數(shù)據(jù)中心管理員部署思科ACI。其中一個(gè)工具就是健康度評(píng)分。除了提供簡單流暢的

14、ACI構(gòu)建方法，思科還想將更大的價(jià)值賦予每天兩次的操作；即日常管理和運(yùn)行。在配置和構(gòu)建好ACI之后，管理員需要對(duì)其進(jìn)行監(jiān)督并了解 這一網(wǎng)絡(luò)架構(gòu)實(shí)現(xiàn)用戶預(yù)期的程度以及運(yùn)行的具體情況。通過 輸入“ health scores ，管理員就能深入、細(xì)致地衡量網(wǎng)絡(luò)故障 點(diǎn)的健康度。如前所述，ACI中的所有設(shè)備本質(zhì)上都是目標(biāo)對(duì)象，而正因?yàn)檫@些目標(biāo)對(duì)象分布在目標(biāo)樹上，所以ACI就可以對(duì)大部分目標(biāo)對(duì)象的健康度以打分的形式評(píng)估。健康度評(píng)分也可 以向上匯總至目標(biāo)樹，所以我們可以記錄和收集單租戶的總分 或整個(gè)網(wǎng)絡(luò)架構(gòu)的分?jǐn)?shù)。通過這樣一個(gè)分型模型，我們可以得 到精準(zhǔn)的反映網(wǎng)絡(luò)健康程度的分?jǐn)?shù)，借助這些分?jǐn)?shù)，管理員就 能

15、夠深入到設(shè)備、部件、或設(shè)備功能的層面，例如一個(gè)端口乃 至協(xié)議層面。比如整個(gè)ACI架構(gòu)的健康度為99%，這個(gè)分?jǐn)?shù)相當(dāng)不錯(cuò)，但是 后來由于網(wǎng)絡(luò)中某些要素性能下降，這一分?jǐn)?shù)也隨之發(fā)生變 化。弓I起分?jǐn)?shù)變化的原因有很多，例如端口錯(cuò)誤、失靈、或VM占用ESX主機(jī)過多的CPU資源。故障出現(xiàn)后會(huì)觸發(fā)一系列事 件，而這些事件會(huì)降低單個(gè)目標(biāo)對(duì)象的健康度，并成為網(wǎng)絡(luò)管 理員發(fā)現(xiàn)問題的可視線索。這些基層目標(biāo)對(duì)象的健康度分?jǐn)?shù)隨 目標(biāo)樹向上匯聚，最終會(huì)拉低整個(gè)網(wǎng)絡(luò)架構(gòu)的健康度評(píng)分。在 數(shù)據(jù)中心負(fù)責(zé)網(wǎng)絡(luò)支持和運(yùn)行的人員都知道，如果沒有良好的 網(wǎng)絡(luò)環(huán)境，想要深入到問題的源頭是非常困難的。健康度評(píng)分 工具即提供了這樣一種理想

16、的環(huán)境以及以100為最高分?jǐn)?shù)的評(píng)分系統(tǒng)。4思科ACI全面上市：有哪些值得我們期待#思科ACI全面上市：有哪些值得我們期待ACI SYSTEM DASHBOARD WITH HEALTH SCORES IN VIEW#思科ACI全面上市：有哪些值得我們期待#思科ACI全面上市：有哪些值得我們期待chsccSV5TE 詛TENANTSFABIEICLM.7 SERVICESADMIMfWM6WMI. AN *i r; | 丹hkmuw 1 nwSystem Healthid如g科3Jl1J12J3Q15:WCI6.G004T*Pf21.W注上叩TlintFault Counts By Domain

17、Nodes With Health <=99WE97|1971HEALTH SXIflEFault Counts By Type5思科ACI全面上市：有哪些值得我們期待6思科ACI全面上市：有哪些值得我們期待DERIVING HEALTH SCORES AND DEPENDENCIES注iin'MMlhMSr.-HWa- ta-n.* li snr- s E3s&gE3注1Tpi 旦 聆：EB hTpi 旦 聆：EB h為顯示原子計(jì)數(shù)器所收集的數(shù)據(jù)，思科創(chuàng)建了一個(gè)簡潔的圖 表，該圖表以熱圖或流量圖的形式展示不同路徑和行跡之間數(shù) 據(jù)流的整體利用比例。該圖以顏色編碼來表示不同

18、的利用比 例，從而展示數(shù)據(jù)流的利用水平。這一信息對(duì)我們了解網(wǎng)絡(luò)中 是否存在丟包很有幫助。同時(shí)作為一個(gè)規(guī)劃工具，原子計(jì)數(shù)器 還能幫助我們了解網(wǎng)絡(luò)中可承擔(dān)額外工作負(fù)載的節(jié)點(diǎn)。網(wǎng)絡(luò)運(yùn)營人員在關(guān)聯(lián)多個(gè)設(shè)備和管理系統(tǒng)的信息時(shí)，他們會(huì)遇 到網(wǎng)絡(luò)診斷過程中最嚴(yán)峻的挑戰(zhàn)之一。對(duì)網(wǎng)絡(luò)運(yùn)營人員來說， 跟不同的網(wǎng)絡(luò)設(shè)備打交道是再普通不過的事情。他們要運(yùn)行一#思科ACI全面上市：有哪些值得我們期待Triffit MapPath Leaf to LeaF) g*mu, wnnlungM wiv 聲CwiMwn Be罪;p# pmh Mi Amm 詢gn.一些網(wǎng)絡(luò)運(yùn)營方面的專家認(rèn)為他們可以創(chuàng)建一種跟健康度評(píng)分 類似的系統(tǒng)

19、，該系統(tǒng)通過執(zhí)行腳本文件來自動(dòng)收集和處理普通 網(wǎng)絡(luò)數(shù)據(jù)。然而這幾乎是難以實(shí)現(xiàn)的。雖然我們完全可以通過 編寫腳本來降低現(xiàn)有組網(wǎng)設(shè)計(jì)的復(fù)雜度，但想象一下，我們要 在網(wǎng)絡(luò)中每個(gè)獨(dú)立運(yùn)行的層面編寫腳本，這不僅對(duì)開發(fā)運(yùn)營人 員的技術(shù)能力要求甚高；而且在大網(wǎng)絡(luò)環(huán)境，這一方法不具備 可擴(kuò)展性。思科在創(chuàng)建系統(tǒng)軟件和硬件之前就已經(jīng)采取了一些 措施來支持這些功能，即開發(fā)面向目標(biāo)對(duì)象的數(shù)據(jù)模型。這一 模型不僅能在管理員創(chuàng)建和移除目標(biāo)對(duì)象時(shí)自動(dòng)增補(bǔ)和刪除， 它還能傳遞單個(gè)目標(biāo)對(duì)象的實(shí)時(shí)屬性，以幫助管理員監(jiān)控目標(biāo) 對(duì)象的狀態(tài)。這一模型不僅具備了更強(qiáng)的可擴(kuò)展性，還能在削 減運(yùn)營成本和提升問題處理效率等方面產(chǎn)生更大作用?？?/p>

20、見性和故障排除：原子計(jì)數(shù)器ACI另外一個(gè)重要的運(yùn)行特征即原子計(jì)數(shù)器”，一種故障排除和分析工具。原子計(jì)數(shù)器可以多種方式來展現(xiàn)，但思科實(shí)際上把 它作為避免性能懲罰的特殊硬件功能。思科曾提到要將原子計(jì) 數(shù)器擴(kuò)展到其軟件交換機(jī)一AVS （應(yīng)用虛擬交換機(jī)），這樣一來，原子計(jì)數(shù)器也就有可能存在于其他開放性的軟件交換機(jī) 中。那么原子計(jì)數(shù)器到底有什么用呢？其實(shí)他們的功能非常簡 單，但這種簡單的功能卻極富價(jià)值。它們會(huì)記錄下進(jìn)岀網(wǎng)絡(luò)的 每一個(gè)數(shù)據(jù)包，同時(shí)賦予數(shù)據(jù)包計(jì)數(shù)以情景化特征。我們通常很難獲見網(wǎng)絡(luò)中數(shù)據(jù)流的移動(dòng)情況。ACI架構(gòu)試圖利用原子計(jì)數(shù)器追蹤進(jìn)岀上述策略群組內(nèi)部網(wǎng)絡(luò)和周邊網(wǎng)絡(luò)的數(shù)據(jù) 流動(dòng)情況。在進(jìn)入 A

21、CI時(shí)，數(shù)據(jù)包在網(wǎng)絡(luò)第一個(gè)進(jìn)入點(diǎn)處被標(biāo) 記，這些標(biāo)記在數(shù)據(jù)包出網(wǎng)時(shí)則被消除。被標(biāo)記的數(shù)據(jù)包即原 子計(jì)數(shù)器所跟蹤和計(jì)數(shù)的數(shù)據(jù)流的源頭。利用原子計(jì)數(shù)器，管 理員能夠很快了解到網(wǎng)絡(luò)的某個(gè)入口/出口分支交換機(jī)對(duì)處（思科稱之為 路徑”），或甚至在特定入口 /岀口上行鏈接端口對(duì)處（思科稱之為 行跡”）是否存在丟包。掌握了這一信息，管理員 就能對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包或數(shù)據(jù)流信息進(jìn)行端對(duì)端的跟蹤，并限 定源頭和終點(diǎn)間數(shù)據(jù)流的范圍。ATOMIC COUNTERS AND TRAFFIC MAP系列CLI命令，例如“ show ip arp （顯示IP地址解析協(xié)議）”，“ show mac-address （顯示mac

22、地址）"等，然后嘗試通過網(wǎng) 絡(luò)路徑圖對(duì)所有信息進(jìn)行跟蹤。借助原子計(jì)數(shù)器，網(wǎng)絡(luò)運(yùn)營 人員可以繞過這個(gè)冗長且費(fèi)時(shí)的流程而直接滲入到問題源 頭。在這些情境中，原子計(jì)數(shù)器能夠?yàn)槎藢?duì)端系統(tǒng)的故障排 除助一臂之力，所以管理員們不僅可以過濾他們感興趣的特 定租戶、EPG、端點(diǎn)等，還能統(tǒng)計(jì)岀那些符合特定標(biāo)準(zhǔn)的數(shù) 據(jù)包的數(shù)量。添加應(yīng)用程序到網(wǎng)絡(luò)服務(wù)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)管理員非常想要知道如何將ANP （應(yīng)用網(wǎng)絡(luò)配置文件）添加到網(wǎng)絡(luò)服務(wù)中，而這種4-7層網(wǎng)絡(luò)服務(wù)可以被實(shí)例化成一臺(tái)物理設(shè)備、虛擬容量、或兩者的結(jié)合。ACI提供多種解決這一設(shè)計(jì)問題的辦法，同時(shí)將管理端的數(shù)量減少到只有1個(gè)。要把4-7層網(wǎng)絡(luò)服務(wù)添加到AN

23、P，管理員無需在不同的裝置界面或 管理系統(tǒng)上進(jìn)行操作。由于這類服務(wù)被建模成ACI架構(gòu)的一部分，所以思科主要在上述基于組的策略模型中構(gòu)建這些服務(wù)項(xiàng) 目。對(duì)ACI架構(gòu)模型來說，向 ANP添加4-7層網(wǎng)絡(luò)服務(wù)還有另外 一個(gè)好處，那就是這類服務(wù)的位置是獨(dú)立的；也就是說，它們 可以被添加在網(wǎng)絡(luò)架構(gòu)的任何位置。所以當(dāng)管理員將服務(wù)功能 添加到ANP時(shí)，網(wǎng)絡(luò)會(huì)自動(dòng)判斷服務(wù)的位置，并向服務(wù)節(jié)點(diǎn)提 供相應(yīng)的封裝協(xié)議使數(shù)據(jù)能夠自動(dòng)按路徑轉(zhuǎn)發(fā)。思科將可能包含一個(gè)或多個(gè)服務(wù)功能（防火墻、負(fù)載均衡等） 的4-7層服務(wù)建模到一張服務(wù)圖上。這張服務(wù)圖可用于界定 ANP，從而反映出用戶所期望的 ANP特性。CREATING A

24、N L4-7 SERVICE GRAPH例如，如果把4-7層服務(wù)圖關(guān)聯(lián)至ANP，網(wǎng)絡(luò)管理員或安全審計(jì) 員就能充分理解在 ACI中，為什么所有指向 Web EPG的HTTP/S 相匹配的數(shù)據(jù)流量都要首先經(jīng)過一個(gè)特殊的防火墻服務(wù)圖。或 者，在數(shù)據(jù)流進(jìn)入末端數(shù)據(jù)庫EPG之前，它為什么需要經(jīng)過一個(gè)負(fù)載平衡服務(wù)圖。思科通過構(gòu)建ACI解決ANP和網(wǎng)絡(luò)服務(wù)依附關(guān)系的方法，削減了IT服務(wù)交付鏈上最大的時(shí)槽之一，因?yàn)閱?dòng)一個(gè)VM只需要幾分鐘的時(shí)間，但配置網(wǎng)絡(luò)和4-7層服務(wù)則要耗費(fèi)幾周甚至幾個(gè)月的時(shí)間。在編寫應(yīng)用程序時(shí)，思科ACI集成了跟思科ASA和ASAv防火墻以及Citrix和F5負(fù)載均衡器。用 戶可以在相應(yīng)

25、供應(yīng)商的站點(diǎn)獲得為各個(gè)服務(wù)節(jié)點(diǎn)設(shè)計(jì)的設(shè)備程 序包。思科承諾跟十幾家4-7層網(wǎng)絡(luò)服務(wù)供應(yīng)商協(xié)力開發(fā)更多的設(shè)備程 序包。要獲得ACI體系合作供應(yīng)商的最新清單，請(qǐng)查看思科有關(guān)ACI 的網(wǎng)頁介紹 服務(wù)鏈接和復(fù)制4-7層網(wǎng)絡(luò)服務(wù)有兩種基本的集成方式：基于物理網(wǎng)絡(luò)服務(wù)，并 將其根據(jù)邏輯分割成多個(gè)網(wǎng)絡(luò)環(huán)境分配給各個(gè)網(wǎng)絡(luò)租戶，或者 為每個(gè)租戶提供專屬的虛擬服務(wù)。ACI能夠支持上述兩種集成方式，因?yàn)榇蠖鄶?shù)IT公司和云服務(wù)供應(yīng)商對(duì)這兩種方式都有需求。例如在大多數(shù)企業(yè)中，數(shù)據(jù)在進(jìn) 入企業(yè)應(yīng)用定義域之前必須經(jīng)過一道邊界防火墻。這道防火墻 跟航天器或潛艇的氣隙極其相似，其功能通常受到嚴(yán)密控制以 保證極高的安全性。但近幾

26、年的事實(shí)證明用戶并不需要實(shí)際存 在的氣隙，而大部分安全管理人員希望部署一臺(tái)實(shí)體裝置來作 為策略控制點(diǎn)。在這種情境下，ACI能夠與思科以及其他網(wǎng)絡(luò)服務(wù)供應(yīng)商的防火墻平臺(tái)進(jìn)行集成，而這些防火墻平臺(tái)應(yīng)當(dāng)能夠被添加到ACI網(wǎng)絡(luò)架構(gòu)中。具備嚴(yán)格安?？刂拼胧┑钠髽I(yè)青睞這 一體系結(jié)構(gòu)模型，因?yàn)樗麄冋J(rèn)為虛擬防火墻無法完全保障DMZ區(qū)域的安全。對(duì)這些企業(yè)來說，最好的方法就是利用他們現(xiàn)有 的防火墻平臺(tái)，無論是思科的ASA、Check Point 的防火墻、Juniper 的 SRX 或 Palo Alto Networks 的防火墻。有了 APIC 的 幫助，IT公司能將現(xiàn)有的防火墻投資直接變成ACI構(gòu)架的一部分

27、，從而通過APIC合并其功能和組網(wǎng)策略。業(yè)界對(duì)鎖定或細(xì)分不同應(yīng)用程序邏輯層之間的通信內(nèi)容越來越 感興趣；這就從網(wǎng)絡(luò)擴(kuò)展和網(wǎng)絡(luò)性能的角度闡明了ACI策略模型的作用。因?yàn)榫W(wǎng)絡(luò)策略的定義是由ANP定義的，所以這些策略能夠在整個(gè)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中被廣泛應(yīng)用，并在ACI的第一個(gè)入口點(diǎn)被執(zhí)行，從而將防火墻功能散布至所有ANP。ACI支持面向單個(gè)網(wǎng)絡(luò)租戶提供專屬虛擬服務(wù)，類似于向具有具 體規(guī)格的物理設(shè)備提供服務(wù)。云服務(wù)供應(yīng)商非常想要為每個(gè)網(wǎng) 絡(luò)租戶都建立并定制一個(gè)虛擬防火墻或負(fù)載均衡的應(yīng)用實(shí)例， 從而使得每個(gè)租戶都能自行對(duì)防火墻或負(fù)載進(jìn)行控制和管理工 作。比如許多IT公司都將網(wǎng)絡(luò)租戶的概念應(yīng)用到單個(gè)業(yè)務(wù)單元 中

28、。然而，即便添加了虛擬網(wǎng)絡(luò)服務(wù)，要部署虛擬防火墻或負(fù) 載均衡還需要經(jīng)過另外一個(gè)步驟，那就是進(jìn)行恰當(dāng)?shù)陌姹究刂?并安裝正確的許可證。這就是眾所周知的虛擬服務(wù)生命周期管 理。思科跟Embrane合作，以期將這一功能嵌入到思科的ACI服務(wù)中。對(duì)IT系統(tǒng)審計(jì)師來說，這是一個(gè)巨大的進(jìn)步對(duì)EPG和合同"進(jìn)行顯性定義的最大好處在于，網(wǎng)絡(luò)管理員和IT審計(jì)師能夠比較容易地觀察到被實(shí)例化的策略，以及用戶的最 初意圖。我們都知道大多數(shù)IT公司幾乎不保存任何系統(tǒng)策略文件。如果有的話，那么保證數(shù)據(jù)準(zhǔn)確性和進(jìn)行文件升級(jí)將需要 一筆巨大的IT管理費(fèi)用。另外，最初的應(yīng)用程序或平臺(tái)所有者 可能已經(jīng)變換了角色，或直接離

29、開了最初的東家，從而留下了 巨大的知識(shí)缺口。相關(guān)人員不得不重新檢索和審查交換機(jī)/路由器/防火墻/負(fù)載均衡的配置以推導(dǎo)原所有者的意圖，這是一個(gè)昂 貴、艱巨、且耗時(shí)的過程。8思科ACI全面上市：有哪些值得我們期待ACI在這個(gè)巨大領(lǐng)域中起著重要作用。因?yàn)锳CI策略是通過高級(jí)抽象術(shù)語進(jìn)行描述的，所以IT審計(jì)師僅瞄一眼ANP就能了解程序所有者的意圖。他不需要通過追溯或關(guān)聯(lián)具體的網(wǎng)絡(luò)和服務(wù) 配置文件來了解貫穿整個(gè)網(wǎng)絡(luò)架構(gòu)的策略。此外，思科還針對(duì) 被修改過的目標(biāo)對(duì)象建立了非常詳細(xì)的審計(jì)日志，內(nèi)容包括修 改的時(shí)間戳、用戶、目標(biāo)對(duì)象以及配置方式，從而實(shí)現(xiàn)了完整 的可追溯性。BUILTIN AUDIT LOGS多

30、虛擬機(jī)管理器的隧道效應(yīng)和互操作性從根本上說，ACI雖然具備聯(lián)網(wǎng)能力，但由于應(yīng)用程序橫跨物理 和虛擬兩個(gè)網(wǎng)絡(luò)環(huán)境，所以設(shè)備連接方法又是不斷變化的。雖 然越來越多的物理工作量已經(jīng)被轉(zhuǎn)化成虛擬的量，但不可避免 的是，虛擬的工作量仍需與裸機(jī)主機(jī)的工作量進(jìn)行通信。此外 在去年，業(yè)界人士對(duì)基于容器的工作量研究產(chǎn)生了極大的興 趣，以期進(jìn)一步優(yōu)化網(wǎng)絡(luò)性能，降低數(shù)據(jù)處理的成本。網(wǎng)絡(luò)本 身即是IT資產(chǎn)和計(jì)算模型最根本的歸一化點(diǎn)，因?yàn)樗泄ぷ髁?都依賴網(wǎng)絡(luò)連接以進(jìn)行通信。思科力圖讓ACI成為存在于連接和策略中不同工作負(fù)載標(biāo)準(zhǔn)化的基礎(chǔ)。如今最需要?dú)w一化的區(qū)域存在于虛擬網(wǎng)絡(luò)中，其中不同的虛擬 機(jī)管理器在多個(gè)數(shù)據(jù)平面封裝

31、協(xié)議（VLAN，VXLAN，NVGRE等）的支撐下能夠提供不同的虛擬網(wǎng)管理方法。目前，越來越 多的網(wǎng)絡(luò)環(huán)境需要部署多虛擬機(jī)管理程序。順應(yīng)這一趨勢，企 業(yè)則需要找到最全面的方法來管理這些迥然不同的網(wǎng)絡(luò)環(huán)境及 相應(yīng)的底層封裝協(xié)議。思科 ACI 能夠與 VMware 的 vCenter 以及 OpenStack Icehouse 發(fā)行版直接集成，支持通過通用軟件來運(yùn)行Ubuntu KVM。思科還承諾在不久的將來，ACI將能夠支持微軟的SCVMM和Azure-Pack 以及配置OpenStack的Red Hat KVM 。通過多虛擬機(jī)管理 器與ACI的集成，APIC則變成物理和虛擬網(wǎng)絡(luò)策略共同的管理

32、核心。同時(shí)，ACI架構(gòu)成為多個(gè)封裝協(xié)議類型（VLAN ，VXLAN ，NVGRE）的分散式封裝協(xié)議歸一化點(diǎn)，這樣一來，網(wǎng)絡(luò)管理員就 能靈活地終止、解析以及重新編譯各類型間不同的封裝協(xié)議。 這些封裝協(xié)議在APIC的作用下相互協(xié)調(diào)，所以網(wǎng)絡(luò)或虛擬機(jī)管 理員就無需再去調(diào)整標(biāo)記的綁定。當(dāng)數(shù)據(jù)包進(jìn)入ACI時(shí)，這些獨(dú)特的封裝協(xié)議標(biāo)記就會(huì)消失，在岀口處重新生成，或被轉(zhuǎn)化成 與多虛擬機(jī)管理器相連接的終點(diǎn)管理程序封裝方案。基于ACI與VMM （虛擬機(jī)管理器）的集成，管理員能夠利用ACI策略模型以幾乎相同的方法處理物理和虛擬工作量。當(dāng)管理員 創(chuàng)建應(yīng)用程序?qū)?、安全區(qū)域、或任何與EPG相綁定的東西，這些群組就會(huì)被推送

33、到位于網(wǎng)絡(luò)底層的物理和虛擬裝置。在VMWare 的 vCenter 中，APIC 將 EPG 作為 VMWare 端口群組推 送。在微軟的SCVMM中，APIC則把EPG作為VM Networks 推 送，而且一旦配置了 OpenStack ，EPG就被當(dāng)做簡單的網(wǎng)絡(luò)來 推送。舉例來看，假設(shè)在一臺(tái) VMWare ESX Hypervisor 上部署VXLAN ; 它對(duì)經(jīng)過VXLAN的所有數(shù)據(jù)包進(jìn)行標(biāo)記，但還需要跟另外兩個(gè) 基于VLAN封裝協(xié)議的ESX Hypervisor 進(jìn)行通信。ACI網(wǎng)絡(luò)架構(gòu) 支持VLAN轉(zhuǎn)換，或VXLAN到VLAN的橋接和路由選擇，所以這 些數(shù)據(jù)包能夠通過子網(wǎng)絡(luò)傳輸。簡

34、言之，ACI在硬件性能方面能夠提供完整的VLAN、VXLAN終止、歸一以及路由選擇功能。實(shí)現(xiàn)虛擬隧道模式規(guī)范化的主機(jī)或網(wǎng)絡(luò)建模方法與只依靠虛擬機(jī)管理器的組網(wǎng)方法相比，ACI提供的是一種不同的網(wǎng)絡(luò)構(gòu)建方法。在前一種方式下，虛擬機(jī)管理器負(fù)責(zé)執(zhí)行網(wǎng) 絡(luò)的功能。ACI以虛擬機(jī)管理器中的標(biāo)記和策略執(zhí)行機(jī)制為基 礎(chǔ)，并提供監(jiān)控程序級(jí)別上虛擬網(wǎng)絡(luò)的端到端信息。在這種模 式下，每臺(tái)借助隧道技術(shù)連接的主機(jī)，也就是隧道端點(diǎn)，需要 進(jìn)行相同的垂直疊加，例如正在使用中的VMWare、微軟、或任何公司的虛擬網(wǎng)絡(luò)隧道架構(gòu)。虛擬網(wǎng)絡(luò)隧道架構(gòu)需要對(duì)網(wǎng)絡(luò) 中的每隔一臺(tái)監(jiān)控主機(jī)進(jìn)行配套。這就意味著需要把基本的工 作量虛擬化并將其

35、與完全相同的監(jiān)控程序配對(duì)。對(duì)于支持封裝 協(xié)議和策略混搭、配套的虛擬機(jī)管理器系統(tǒng)來說，其相互間幾 乎不存在任何互通性。而且，比如要連接到裸機(jī)（非虛擬）服 務(wù)器，我們要將相同的虛擬網(wǎng)絡(luò)隧道結(jié)構(gòu)構(gòu)建在網(wǎng)絡(luò)中的物理 交換機(jī)上，并將其與虛擬機(jī)管理器系統(tǒng)進(jìn)行深度集成，以實(shí)現(xiàn) 封裝協(xié)議和策略的配套或協(xié)調(diào)。產(chǎn)品部署還遇到一個(gè)更大挑戰(zhàn)，因?yàn)楝F(xiàn)在數(shù)據(jù)中心管理員不但 需要測試和驗(yàn)證物理底層網(wǎng)絡(luò)架構(gòu)（即網(wǎng)絡(luò)底層”），還要使用其他成套工具來對(duì)虛擬網(wǎng)絡(luò)（即網(wǎng)絡(luò)覆蓋層”進(jìn)行驗(yàn)證。這其實(shí)比完備部署整個(gè)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)要多花費(fèi)一倍時(shí)間。ACI利用網(wǎng)絡(luò)來調(diào)整虛擬網(wǎng)絡(luò)隧道架構(gòu)，而并非在主機(jī)級(jí)別進(jìn)行 配套，這樣就能保證每個(gè)分支節(jié)點(diǎn)的歸一

36、性。由于在 ACI中，網(wǎng) 絡(luò)節(jié)點(diǎn)即歸一化點(diǎn)，所以它可為全部設(shè)備，無論是物理設(shè)備、 虛擬設(shè)備、還是插入到網(wǎng)絡(luò)中的其它設(shè)備，提供完整的連接和 策略。要真正實(shí)現(xiàn)ACI網(wǎng)絡(luò)架構(gòu)的廣泛部署，數(shù)據(jù)中心管理員必 須對(duì)ACI進(jìn)行測試和驗(yàn)證。這是因?yàn)?ACI在同一平面上將底層網(wǎng) 絡(luò)和覆蓋層網(wǎng)絡(luò)結(jié)合在一起，從而大大削減了選擇端到端解決 方案耗費(fèi)的時(shí)間。因此，大多數(shù)網(wǎng)絡(luò)架構(gòu)師需要在以下三種方法中做出選擇：1）利用網(wǎng)絡(luò)作為連接性和策略的歸一化點(diǎn)，并一同對(duì)物理和虛擬 網(wǎng)絡(luò)進(jìn)行限定，2 ）將網(wǎng)絡(luò)中的一切虛擬化，要求每臺(tái)主機(jī)都在 整個(gè)數(shù)據(jù)中心里必須運(yùn)行完全一樣的監(jiān)控程序，并增加一倍的 時(shí)間用于網(wǎng)絡(luò)限定，以及/或者3 ）運(yùn)行

37、監(jiān)控程序和/或裸機(jī)服務(wù) 器相互間不互通的多個(gè)覆蓋層網(wǎng)絡(luò)，以增加一定的限定周期。在ACI模式下，應(yīng)用程序可以橫跨 Microsoft Hyper-V、VMWare ESX、Ubuntu/RedHat K VM以及裸機(jī)服務(wù)器多個(gè)平臺(tái)運(yùn)行。在此模式下部分網(wǎng)頁應(yīng)用程序托管在ESX上來運(yùn)行VXLAN，將該應(yīng)用托管在Hyper-V，其數(shù)據(jù)庫托管在KVM和聯(lián)網(wǎng)的裸機(jī)上， 而相應(yīng)的網(wǎng)絡(luò)策略則通過單個(gè)管理點(diǎn)配置到整個(gè)網(wǎng)絡(luò)。如果你 期待做出最明智的選擇，期待擁有高度靈活的數(shù)據(jù)中心網(wǎng)絡(luò)基 礎(chǔ)架構(gòu)，那么ACI將是一個(gè)很好的選擇。結(jié)論思科研究了 IT執(zhí)行人員在管理現(xiàn)代數(shù)據(jù)中心網(wǎng)絡(luò)基礎(chǔ)架構(gòu)時(shí)遇 到的一些問題，并開發(fā)了一種

38、全新的方法，以求盡可能降低運(yùn) 營成本、提升IT服務(wù)交付速度、橫跨物理和虛擬IT資產(chǎn)、支持多 虛擬機(jī)管理器和實(shí)現(xiàn)互通性。在組網(wǎng)設(shè)計(jì)方面，思科一直信奉 一個(gè)原則，那就是其構(gòu)建的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)能夠支持所有應(yīng)用和 工作負(fù)載，而且能夠根據(jù)網(wǎng)絡(luò)連接情況基于策略、自動(dòng)化和可 編程性實(shí)現(xiàn)網(wǎng)絡(luò)連接情況方面的定制，從而成為通用性的網(wǎng)絡(luò) 架構(gòu)。這個(gè)全新的方法即以應(yīng)用為中心的基礎(chǔ)架構(gòu)，這就是25年來網(wǎng)絡(luò)產(chǎn)業(yè)內(nèi)思科所提岀的最為深入的新思想之一。盡管要 整個(gè)行業(yè)完全認(rèn)可ACI仍需一定的時(shí)間，但是大部分業(yè)內(nèi)人士會(huì) 發(fā)現(xiàn)，思科推出的這個(gè)新型組網(wǎng)模式為網(wǎng)絡(luò)產(chǎn)業(yè)帶來了寶貴的 技術(shù)創(chuàng)新，因?yàn)檫@一網(wǎng)絡(luò)架構(gòu)比現(xiàn)在面向設(shè)備的網(wǎng)絡(luò)更容易控 制和管理。就其效果方面，短期來看運(yùn)營成本將大幅度降低， 長期來看，作為新一代數(shù)據(jù)中心的基礎(chǔ)網(wǎng)絡(luò)架構(gòu)，這一結(jié)構(gòu)將 在今后的25年內(nèi)從根本上推動(dòng)世界經(jīng)濟(jì)