今年八月最值得期待的网络产业大事件之一即思科ACI(以应用为中心的基础架构)全面上市。自去年9月份起,思科已经开始通过“单机模式”部署 Nexus9000系列超高速数据中心以太网交换机。Nexus 9000的从第三季度的180个销售订单到第四个财季末的580个订单,足足增长了三倍。思科在发布Nexus9000时曾承诺要实现通过“ACI架构模 式”来部署此类交换机,因为ACI这一模式能够在降低运营成本、提升网络灵活性、增加网络基础架构应用程序连接数量方面取得前所未有的效果。思科将这一架 构模式以ACI的形式展现出来,而且目前正在致力于实现ACI的量产。在本篇LippisReport研究纪要中,我们要来研究一下ACI到底可以从哪些 方面来改善当今的数据中心网络结构。
ACI架构有三个基本构建单元:
1)网络策略模型,即将网络装置按容器式结构划分以及描述设备连接情况的组织原则;
2)APIC(应用基础设施控制器/即SDN中的控制器),提供所有配置策略的单独管理点和信息库;
3)ACI架构,即组成ACI的所有物理和虚拟网络设备的抽象概念。
我们通过下面的图示迅速重温一下上述三个ACI组成部分。
策略模型:
ACI 策略模型创建了一种新的基于“GBP(基于组策略)”概念的网络连接配置方法。思科的这种策略模型提供了一种通用的网络连接配置方法。举例来说,想象我们 要为数据中心部署典型的三层网络应用程序,该程序可能包含前端网页层、中端应用层、以及后端数据库层;同时我们还要将该程序与外部网络进行连接。基于 GBP概念,我们可以在ACI中直接定义该程序所需要的网络连接配置策略,但是这要求该模型要具备很强的通用性。比如当某个外界(远程站点及网络流量)群 组连接到DMZ群组,而DMZ又连接到网络内部群组时,该策略可被用于确定面向安全性的网络策略。或者,通过GBP概念,我们甚至能够模拟大多数情况下, 如何通过映射到多个群组中的虚拟局域网以及/或者子网进行网络配置。最后,思科希望指出GBP概念下不同的利益相关方,这样一来就无需劳烦CCIE(思科 认证网络专家)或网络方面的专家来做联网工作。数据中心管理员则可以将这一过程简单描述为将“一组东西”连接到另外“一组东西”上。我们随口一说的“一组 组的东西”,思科有专门的术语来表达,即EPG(端点群组),代表多个物理或虚拟端点的集合。所以,EPG可以是实体服务、服务器裸机、或是横跨多个不同 管理程序的虚拟机等等。其重点在于,思科能够将这些“东西”灵活地安置到群组中,而无需了解它们在整个ACI中的具体位置。
ACI 策略模型的另外一个核心概念即通过这一模型,我们能够确定EPG之间的相互关系。这种关系被称之为“合同”,它描述了不同EPG间的数据流动或联网方式。 每个合同都包含一个具体的协议(或一组协议),我们可将该协议应用于任意群组之间,或者把它写入4-7层网络服务图来实现网络服务(如防火墙、负载均衡 等)在群组间联网的应用。
就安全策略管理人员看来,ACI策略模型实质是为保证网络安全而执行的白名单模型,其执行方式跟如今的ACL存在很大区别。在当今的组网模式下,网络管理人 员假设除了那些无法锁定在ACL中的端点,网络中其他任何端点之间都是互通的;这即遵循了为确保网络安全而创建的黑名单模型。其实,整个ACI架构在运行 层面上可被视为一个基于内容的大型分散式防火墙,而这面防火墙在全数据中心范围内执行网络安全策略。
思科把上文提到的EPG、合同以及外部网络统称为ANP(应用网络配置文件)。这些ANP完全独立于任何物理或虚拟的基础网络架构,因此它们可以被复制到一 个不同的ACI网络中并被再次实例化。这样一来,我们就能很容易地确定横跨全世界任何pods或站点的应用网络连接,而无需安排应用程序管理员去了解某个 特定网络的具体构建方式。
(待续...)