思科應(yīng)用為中心的基礎(chǔ)設(shè)施(ACI)

思科ACI是新的數(shù)據(jù)中心架構(gòu)，旨在解決現(xiàn)在傳統(tǒng)網(wǎng)絡(luò)的需求，以及滿足新計算趨勢和業(yè)務(wù)因素給網(wǎng)絡(luò)帶來的新興需求。

▲思科ACI的概括圖

使用基于組策略的應(yīng)用為中心的策略模型

正如上文所說，當(dāng)前網(wǎng)絡(luò)技術(shù)的最大挑戰(zhàn)之一是網(wǎng)絡(luò)協(xié)議和功能、轉(zhuǎn)發(fā)和策略的緊密耦合。因為這種耦合，策略中的變更可能會給轉(zhuǎn)發(fā)帶來不利影響。此外，由于網(wǎng)絡(luò)協(xié)議和功能被設(shè)計用于其特定的用例，操作這些協(xié)議和功能需要非常了解網(wǎng)絡(luò)語義。

為了在數(shù)據(jù)中心基礎(chǔ)設(shè)施提供靈活性和簡單性，需要新的語言描述連接的抽象化意圖，以使最終用戶不需要豐富的網(wǎng)絡(luò)知識來描述連接的需求。此外，這個意圖應(yīng)該從網(wǎng)絡(luò)轉(zhuǎn)發(fā)語義中解耦，以便最終用戶可以描述策略，讓策略中的變更不會影響轉(zhuǎn)發(fā)行為。

在思科ACI出現(xiàn)之前，并不存在這種抽象的解耦策略模型，思科創(chuàng)造了這樣的模型，被稱為基于組的策略(GBP)，這是OpenStack和OpenDaylight中的工作項目。

OpenDaylight稱基于組的策略是“應(yīng)用為中心的策略模型，它分離了關(guān)于應(yīng)用連接要求的信息與關(guān)于底層網(wǎng)絡(luò)基礎(chǔ)設(shè)施的詳細信息”。

這種方法提供了很多優(yōu)勢，包括：

● 更簡單的以應(yīng)用為中心的表達策略： 通過創(chuàng)建策略來映射應(yīng)用程序語義，這個框架提供了更簡單的自我記錄機制來捕捉策略要求，而不需要非常了解網(wǎng)絡(luò)。

● 提高自動化： 分組結(jié)構(gòu)允許更高級別的自動化工具簡單地同時操作網(wǎng)絡(luò)端點組。

● 一致性： 通過分組端點和應(yīng)用策略到各組，該框架提供了一致的方法來處理策略變更。

● 可擴展策略模型： 由于這種策略模型是抽象的，沒有綁定到特定網(wǎng)絡(luò)部署，它可以簡單地捕捉連接、安全、QoS等。

思科ACI在其應(yīng)用為中心的策略模型中廣泛利用了基于組的策略，其中通過整合端點(物理或虛擬)到端點組(EPG)來定義連接。當(dāng)最終用戶在EPG之間確定合作關(guān)系時，就會定義連接。最終用戶不需要了解創(chuàng)建這種連接所使用的協(xié)議或功能。

▲應(yīng)用程序為中心的策略模型#p#

思科應(yīng)用策略基礎(chǔ)設(shè)施控制器(APIC)

一般情況下，人們希望整個網(wǎng)絡(luò)的策略保持一致。然而，在現(xiàn)有網(wǎng)絡(luò)中管理策略的主要挑戰(zhàn)之一是設(shè)備的數(shù)據(jù)以及確保一致性。APIC解決了這個問題。

思科APIc是一個分布式系統(tǒng)，它作為控制器集群來部署。它提供單一的控制點、中央API、全球數(shù)據(jù)的中央存儲庫，以及基于組策略數(shù)據(jù)的存儲庫。

思科APIC是通過基于組策略表示的基于策略配置的統(tǒng)一點。思科APIC的主要功能是為思科ACI架構(gòu)及設(shè)備提供策略權(quán)威和策略解析機制。自動化是策略解析的直接結(jié)果，并呈現(xiàn)其影響在思科ACI架構(gòu)中，讓最終用戶不再需要觸碰每個網(wǎng)絡(luò)元素以及手動確保所有政策得到適當(dāng)配置。需要注意的是，思科APIC不參與轉(zhuǎn)發(fā)計算或路由配置，這提供了額外的可擴展性、穩(wěn)定性和性能。

▲思科APIC在ACI架構(gòu)中的作用

思科APIC與思科ACI架構(gòu)通信來分配策略到連接點，并向該架構(gòu)提供關(guān)鍵管理功能。思科APIC并不直接參與數(shù)據(jù)平面轉(zhuǎn)發(fā)，因此，集群中所有思科APIC元件的斷連并不會影響轉(zhuǎn)發(fā)功能，這提高了整個系統(tǒng)的可靠性。

通常情況下，策略根據(jù)需要或管理靜態(tài)捆綁來分配到節(jié)點，這可以在整個架構(gòu)實現(xiàn)更大的可擴展性。

思科APIC還提供對多租戶的支持，讓多個興趣小組(企業(yè)內(nèi)部或外部)可以安全地共享思科ACI架構(gòu)，仍然可以根據(jù)需要訪問共享資源。思科APIC還支持基于角色的訪問控制(RBAC)，從而可以對整個架構(gòu)的角色授予權(quán)限(讀取、寫入或兩者皆有)。

思科APIC還有完全開放的API，用戶可以使用基于具象狀態(tài)傳輸(REST)的調(diào)用(通過XML或JavaScript對象符號)來配置、管理、監(jiān)控系統(tǒng)或排除故障。此外，思科APIC包含一個CLI和GUI作為對整個思科ACI架構(gòu)的管理中心點。#p#

思科ACI架構(gòu)

如前所述，隨著工作負載的不斷發(fā)展，流量正逐漸變成東西方向。網(wǎng)絡(luò)需要更快響應(yīng)動態(tài)的虛擬化和云計算工作負載，并適應(yīng)變得更大的數(shù)據(jù)集。

▲思科ACI架構(gòu)

在下一代數(shù)據(jù)中心架構(gòu)的設(shè)計中，可擴展性、簡便性、靈活性和效率是主要目標(biāo)。在設(shè)計思科ACI架構(gòu)時，思科需要考慮數(shù)據(jù)中心面臨的所有新挑戰(zhàn)，還需要了解和迎合現(xiàn)有的挑戰(zhàn)。思科ACI架構(gòu)(圖4)被設(shè)計為同時解決現(xiàn)在和未來的要求，以下為主要目標(biāo)：

● 可擴展架構(gòu)： 思科ACI架構(gòu)是基于一種最有效和可擴展的網(wǎng)絡(luò)設(shè)計模型：主干加分支式二分圖，其中每個分支連接到每個主干。為了減少架構(gòu)中活動形成熱點的可能性，所有設(shè)備連接到架構(gòu)的分支節(jié)點。這種方法允許架構(gòu)提供簡單的方法來擴展連接設(shè)備的數(shù)量，通過添加更多分支節(jié)點。如果該架構(gòu)截面帶寬的數(shù)量需要增加，管理員只需要增加主干節(jié)點即可。這種靈活性允許該架構(gòu)作為小環(huán)境開始，根據(jù)需要，逐漸發(fā)展為更大的環(huán)境。該架構(gòu)還是用基于標(biāo)準(zhǔn)的IP路由接口來構(gòu)建，在更大的向外擴展部署中提供更大的靈活性。

● 可擴展性： 這種ACI架構(gòu)具有高度可擴展性。架構(gòu)管理員可以整合虛擬網(wǎng)絡(luò)(通過整合微軟System Center Virtual Machine Manager)以及4-7層網(wǎng)絡(luò)服務(wù)(防火墻、負載均衡器等)。這種整合允許最終用戶使用思科APIC中基于組的策略來明確連接要求，而虛擬網(wǎng)絡(luò)和4-7層網(wǎng)絡(luò)服務(wù)的配置將會自動被渲染在相應(yīng)的終端系統(tǒng)，讓用戶不再需要協(xié)調(diào)這些設(shè)備的連接和策略。未來軟件版本還將包括WAN路由器集成。

● 簡便性: 雖然網(wǎng)絡(luò)域中存在眾多協(xié)議和功能，該架構(gòu)的作用很簡單：隨時隨地提供連接。思科ACI架構(gòu)不支持很多協(xié)議和功能，它在設(shè)計時考慮的事數(shù)據(jù)中心用例。其結(jié)果是，沒有不必要復(fù)雜性的簡化架構(gòu)。單個內(nèi)部網(wǎng)關(guān)協(xié)議(IGP)被選定作為底層架構(gòu)節(jié)點發(fā)現(xiàn)協(xié)議：中間系統(tǒng)到中間系統(tǒng)的路由選擇協(xié)議(IS-IS)，這個協(xié)議可以非常有效地檢測鏈路故障，并從這些故障中恢復(fù)。基于標(biāo)準(zhǔn)的可擴展局域網(wǎng)(VXLAN)為面向租戶的流量提供了簡單的覆蓋，支持2層網(wǎng)絡(luò)橋接和3層路由。

● 靈活性： 思科ACI架構(gòu)支持本地功能，允許用戶在整個架構(gòu)的任何地方連接到任何主機。通過使用集成VXLAN覆蓋，流量可以靈活地橋接和路由。此外，思科ACI架構(gòu)可以規(guī)范化來自主機及其各自該虛擬機管理程序的不同封裝類型，包括VLAN、VXLAN和NVGRE。此功能允許物理、虛擬和基于容器的主機同時存在共享的基礎(chǔ)設(shè)施。另外，下一代數(shù)據(jù)中心架構(gòu)需要向后兼容老舊的應(yīng)用程序，這些程序可能不是基于IP或可能使用網(wǎng)絡(luò)泛濫語義用語發(fā)現(xiàn)和通信。思科ACI架構(gòu)可以同時支持現(xiàn)代數(shù)據(jù)中心要求和傳統(tǒng)基于裸機及大型機應(yīng)用程序的要求。

● 效率： 思科ACI架構(gòu)的主干分支式二分圖架構(gòu)的優(yōu)勢是，在該架構(gòu)中，每個主機與其他主機相距兩個物理跳數(shù)。對于需要機器間大量東西流量的大數(shù)據(jù)工作負載，思科ACI架構(gòu)提供了可預(yù)測的低延遲線。這種方法還可以有效支持傳統(tǒng)數(shù)據(jù)中心應(yīng)用程序。這種思科ACI架構(gòu)在架構(gòu)帶寬效率方面超越了其他傳統(tǒng)主干分支架構(gòu)，因為它考慮了數(shù)據(jù)包達到時間、端至端架構(gòu)擁塞，讓交換作出更智能的負載均衡決策。

● 投資保護： 客戶可能想要其現(xiàn)有IP網(wǎng)絡(luò)中的應(yīng)用程序加入思科ACI架構(gòu)策略。思科ACI架構(gòu)可以確保投資保護，思科APIC管理現(xiàn)有網(wǎng)絡(luò)中虛擬或物理服務(wù)器的策略。對于虛擬服務(wù)器，它們連接到應(yīng)用為中心的虛擬交換機(AVS)，并可用于思科ACI，在現(xiàn)有思科Nexus網(wǎng)絡(luò)中。AVS作為思科ACI主干分支架構(gòu)的虛擬分支，由于邊緣交換機連接到思科ACI，它可以根據(jù)思科ACI策略規(guī)則轉(zhuǎn)發(fā)流量，并使用思科ACI管理的4-7層網(wǎng)絡(luò)服務(wù)。對于物理服務(wù)器，思科Nexus 9300平臺交換機作為現(xiàn)有覆蓋網(wǎng)絡(luò)的接入層交換機。與其他軟件定義網(wǎng)絡(luò)覆蓋解決方案相比，這個解決方案為物理和虛擬工作負載提供了公共基礎(chǔ)設(shè)施，并有更先進的應(yīng)用為中心的策略模型。

開放API、合作伙伴生態(tài)系統(tǒng)和OpFlex

思科ACI支持可擴展的合作伙伴生態(tài)系統(tǒng)，其中包括4-7層網(wǎng)絡(luò)服務(wù);虛擬機管理程序;以及管理、監(jiān)測和云編排平臺。所有合作伙伴都使用思科ACI的開放API和開發(fā)工具包、設(shè)備封裝和插件，以及新的策略協(xié)議—OpFlex，它用于交換基于組的策略信息。

● 開放API： 思科ACI支持通過REST接口的API接入、GUI和CLI以及一些軟件開發(fā)工具包(包括Python和Ruby)。思科APIC支持跨HTTP/HTTPS的REST API，并綁定XML和JSON編碼。這個API同時提供類級別和樹級數(shù)據(jù)訪問。REST是分布式系統(tǒng)軟件架構(gòu)，多年來，它一直是領(lǐng)先的Web服務(wù)設(shè)計模型，并已經(jīng)逐漸取代簡單對象訪問(SOAP)和Web服務(wù)描述語言(WSDL)等其他設(shè)計模型。

●合作伙伴生態(tài)系統(tǒng)和OpFlex： 南向API—OpFlex是開放的可擴展策略協(xié)議，用于在策略控制器(例如思科APIC)和任何設(shè)備(包括管理程序交換機、物理交換機和4-7層網(wǎng)絡(luò)設(shè)備)之間的XML或JSON傳輸抽象策略。思科的合作伙伴包括英特爾、微軟、Red Hat、Citrix、F5、Embrane和Canonical，現(xiàn)在他們正與IETF和開源社區(qū)合作來規(guī)范OpFlex，并提供參考部署。

OpFlex是一種新機制，它用于從現(xiàn)代網(wǎng)絡(luò)控制器向一組能夠渲染策略的智能設(shè)備傳輸抽象策略。很多現(xiàn)有協(xié)議(例如Open vSwitch數(shù)據(jù)庫管理協(xié)議)專注于命令控制，而OpFlex則是作為聲明性控制系統(tǒng)(例如思科ACI)的一部分，其中抽象策略可以按需共享。這種模型的主要好處之一是能夠暴露底層設(shè)備完整的功能集，允許區(qū)分硬件和軟件對象。

除了在開源社區(qū)的部署，OpFlex是一種主要機制，它允許其他設(shè)備可以與思科APIC交換和執(zhí)行策略。OpFlex定義了這種互動。因此，通過使用思科ACI整合思科及其合作伙伴的一些設(shè)備，企業(yè)可以獲得投資保護。