武汉信维世纪科技有限公司

公司新闻

思科ACI全面上市有哪些值得我们期待(四)

分享到:
发布时间:2014-11-27 13:47:53  作者:admin
思科ACI全面上市有哪些值得我们期待(四)(图1)

服务链接和复制


4-7层网络服务有两种基本的集成方式:基于物理网络服务,并将其根据逻辑分割成多个网络环境分配给各个网络租户,或者为每个租户提供专属的虚拟服务。


ACI 能够支持上述两种集成方式,因为大多数IT公司和云服务供应商对这两种方式都有需求。例如在大多数企业中,数据在进入企业应用定义域之前必须经过一道边界 防火墙。这道防火墙跟航天器或潜艇的气隙极其相似,其功能通常受到严密控制以保证极高的安全性。但近几年的事实证明用户并不需要实际存在的气隙,而大部分 安全管理人员希望部署一台实体装置来作为策略控制点。在这种情境下,ACI能够与思科以及其他网络服务供应商的防火墙平台进行集成,而这些防火墙平台应当 能够被添加到ACI网络架构中。具备严格安保控制措施的企业青睐这一体系结构模型,因为他们认为虚拟防火墙无法完全保障DMZ区域的安全。对这些企业来 说,最好的方法就是利用他们现有的防火墙平台,无论是思科的ASA、CheckPoint的防火墙、Juniper的SRX或Palo Alto Networks的防火墙。有了APIC的帮助,IT公司能将现有的防火墙投资直接变成ACI构架的一部分,从而通过APIC合并其功能和组网策略。


业界对锁定或细分不同应用程序逻辑层之间的通信内容越来越感兴趣;这就从网络扩展和网络性能的角度阐明了ACI策略模型的作用。因为网络策略的定义是由 ANP定义的,所以这些策略能够在整个网络基础架构中被广泛应用,并在ACI的第一个入口点被执行,从而将防火墙功能散布至所有ANP。


ACI 支持面向单个网络租户提供专属虚拟服务,类似于向具有具体规格的物理设备提供服务。云服务供应商非常想要为每个网络租户都建立并定制一个虚拟防火墙或负载 均衡的应用实例,从而使得每个租户都能自行对防火墙或负载进行控制和管理工作。比如许多IT公司都将网络租户的概念应用到单个业务单元中。然而,即便添加 了虚拟网络服务,要部署虚拟防火墙或负载均衡还需要经过另外一个步骤,那就是进行恰当的版本控制并安装正确的许可证。这就是众所周知的虚拟服务生命周期管 理。思科跟Embrane合作,以期将这一功能嵌入到思科的ACI服务中。


对IT系统审计师来说,这是一个巨大的进步


对 EPG和“合同”进行显性定义的最大好处在于,网络管理员和IT审计师能够比较容易地观察到被实例化的策略,以及用户的最初意图。我们都知道大多数IT公 司几乎不保存任何系统策略文件。如果有的话,那么保证数据准确性和进行文件升级将需要一笔巨大的IT管理费用。另外,最初的应用程序或平台所有者可能已经 变换了角色,或直接离开了最初的东家,从而留下了巨大的知识缺口。相关人员不得不重新检索和审查交换机/路由器/防火墙/负载均衡的配置以推导原所有者的 意图,这是一个昂贵、艰巨、且耗时的过程。


ACI 在这个巨大领域中起着重要作用。因为ACI策略是通过高级抽象术语进行描述的,所以IT审计师仅瞄一眼ANP就能了解程序所有者的意图。他不需要通过追溯 或关联具体的网络和服务配置文件来了解贯穿整个网络架构的策略。此外,思科还针对被修改过的目标对象建立了非常详细的审计日志,内容包括修改的时间戳、用 户、目标对象以及配置方式,从而实现了完整的可追溯性。


思科ACI全面上市有哪些值得我们期待(四)(图2)


多虚拟机管理器的隧道效应和互操作性


从根本上说,ACI虽然具备联网能力,但由于应用程序横跨物理和虚拟两个网络环境,所以设备连接方法又是不断变化的。虽然越来越多的物理工作量已经被转化成 虚拟的量,但不可避免的是,虚拟的工作量仍需与裸机主机的工作量进行通信。此外在去年,业界人士对基于容器的工作量研究产生了极大的兴趣,以期进一步优化 网络性能,降低数据处理的成本。网络本身即是IT资产和计算模型最根本的归一化点,因为所有工作量都依赖网络连接以进行通信。思科力图让ACI成为存在于 连接和策略中不同工作负载标准化的基础。


如今最需要归一化的区域存在于虚拟网络中,其中不同的虚拟机管理器在多个数据平面封装协议(VLAN, VXLAN, NVGRE等)的支撑下能够提供不同的虚拟网管理方法。目前,越来越多的网络环境需要部署多虚拟机管理程序。顺应这一趋势,企业则需要找到最全面的方法来 管理这些迥然不同的网络环境及相应的底层封装协议。


思科ACI能够与VMware的vCenter以及OpenStack Icehouse发行版直接集成,支持通过通用软件来运行UbuntuKVM。思科还承诺在不久的将来,ACI将能够支持微软的SCVMM和 AzurePack以及配置OpenStack的Red Hat KVM。通过多虚拟机管理器与ACI的集成,APIC则变成物理和虚拟网络策略共同的管理核心。同时,ACI架构成为多个封装协议类型(VLAN, VXLAN, NVGRE)的分散式封装协议归一化点,这样一来,网络管理员就能灵活地终止、解析以及重新编译各类型间不同的封装协议。这些封装协议在APIC的作用下 相互协调,所以网络或虚拟机管理员就无需再去调整标记的绑定。当数据包进入ACI时,这些独特的封装协议标记就会消失,在出口处重新生成,或被转化成与多 虚拟机管理器相连接的终点管理程序封装方案。


基于ACI与VMM(虚拟机管理器)的集成,管理员能够利用ACI策略模型以几乎相同的方法处理物理和虚拟工作量。当管理员创建应用程序层、安全区域、或任 何与EPG相绑定的东西,这些群组就会被推送到位于网络底层的物理和虚拟装置。在VMWare的vCenter中,APIC将EPG作为VMWare端口 群组推送。在微软的SCVMM中,APIC则把EPG作为VM Networks推送,而且一旦配置了OpenStack,EPG就被当做简单的网络来推送。


举例来看,假设在一台VMWare ESX Hypervisor上部署VXLAN;它对经过VXLAN的所有数据包进行标记,但还需要跟另外两个基于VLAN封装协议的ESX Hypervisor进行通信。ACI网络架构支持VLAN转换,或VXLAN到VLAN的桥接和路由选择,所以这些数据包能够通过子网络传输。简言 之,ACI在硬件性能方面能够提供完整的VLAN、VXLAN终止、归一以及路由选择功能。


(待续...)
上一篇:思科ACI全面上市有哪些值得我们期待(三)
下一篇:长江航运总医院磁盘数据阵列采购项目中标
QQ在线咨询
QQ在线咨询
QQ在线咨询
售前咨询
027-87876220
售后服务
027-87876220