Cisco ACI چیست؟ معماری آن چگونه است؟ چه کاربردی دارد؟ (قسمت دوم)

معماری Cisco Application Centric Infrastructure (ACI)

یک محیط سیسکو ACI از دو بخش اصلی ساخته شده است:

Cisco Application Policy Infrastructure Controller (APIC)

APIC کنترل‎‌کننده SDN برای Cisco ACI است. این بخش، خط‌مشی‎‌هایی را ایجاد خواهد کرد که زیرساخت شبکه دیتا‌سنتر یا همان مرکز داده را تعریف می‌کند.

سوییچ‌های Nexus 9000

سوییچ‌های Nexus 9000 از سیستم ACI Fabric برای برقراری ارتباط با APIC و ایجاد زیرساخت بر اساس سیاست‌های شبکه استفاده‌ می‌کنند.‌ این سوئیچ‌ها می‌توانند سوئیچ Spine (توزیع) یا Leaf (دسترسی) باشند.

تمام نقاط انتهایی‌، از جمله APIC‌ها‌، از طریق سوئیچ‌های Leaf به شبکه متصل‌ می‌شوند. این کلیدهای Leaf با استفاده از کلیدهای Spine در قسمت عقب به یکدیگر متصل‌ خواهند شد.

با استفاده از این مولفه‌ها‌، ACI‌ می‌تواند تحت انواع مدل‌های مختلف مستقر شود. این مدل‌ها شامل support for on-site، cloud-based (شامل فضاهای ابری عمومی‌، خصوصی و ترکیبی ) و SD-WAN است. این کار، سازمان‌ها را قادر‌ می‌سازد تا از مدیریت شبکه policy-based در سراسر شبکه‌های WAN سازمانی خود استفاده کنند.


مقاله پیشنهادی Cisco ACI چیست؟ | آشنایی با اجزای ACI و نحوه کارکرد آن (قسمت اول)


نحوه عملکرد معماری leaf-spine-leaf

در تصویر زیر شمایی از نحوه عملکرد معماری leaf-spine-leaf را در Cisco ACI مشاهده می کنید.

در این توپولوژی هیچ کدام از سوییچ‌های Leaf و هیچ کدام از سوییچ‌های Spine به هم متصل نیستند. بلکه مطابق تصویر فوق هر Leaf به هر Spine متصل می شود. این اتصالات IP FABRIC را به وجود می آورند. بنابراین هنگام پیکربندی، این توپولوژی به عنوان یک موجودیت در نظر گرفته می شود.

APICها نیز همانطور که قبلا گفتیم به صورت کلاستر‌های سه یا پنج تایی به این ساختار متصل می شوند. سرور‌ها نیز برای ایجاد redundancy به صورت دوتایی به سوییچ‌های Leaf متصل می شوند. این سرور‌ها می توانند سرور‌های مجازی یا فیزیکی باشند. در صورتی که سرور‌ها مجازی باشند، APIC اطلاعات پیکربندی را در سوییچ‌های مجازی موجود در هایپروایزر اعمال می کند.

در رابط کاربری APIC می توانید Endpoint Groupهایی ایجاد کنید و ماشین‌های مجازی یا سرورهای فیزیکی را به این Endpoint Group‌ها بسته به سیاست‌های موجود تخصیص دهید. در اینجا Endpoint Group ما به صورت یک اپلکیشن سه لایه ای است.

بنابراین در اینجا وب، اپلیکیشن و پایگاه داده وجود دارند که به صورت Endpoint Group‌های مختلف درون سرور‌های متفاوت کار می کنند. سپس این Endpoint Group‌ها به وسیله Application Network Profile (ANP) با همدیگر همکاری می کنند. ANP حاوی سیاست‌های لازم به منظور ارتباط این سه لایه (ماشین‌های مجازی، اپلیکیشن و پایگاه داده) است.

با استفاده از Micro Segmentation نیز هر کدام از این ماشین‌های مجازی می توانند از همدیگر جدا شوند. APIC تمام این ساختار را بر طبق ویژگی‌های فوق آپدیت می کند. بنابراین ماشین‌های مجازی هر زمان (برای مثال به دلیل High Availability ) بخواهند به سرور دیگر یا به رک دیگر منتقل شوند، ساختار ACI از این انتقال آگاهی دارد. و عملیات انتقال را بین سوییچ‌های مجازی و سوییچ‌های فیزیکی این ساختار به سادگی انجام می دهد.

بنابراین APIC نه تنها از اتصالات ساختار ACI آگاهی دارد بلکه هر کدام از ماشین‌های مجازی، پالیسی‌های امنیتی و نیاز‌های provisioning اپلیکیشن‌ها را نیز می شناسد.

مزایای معماری CLOS

از مزایای معماری CLOS می توان به سادگی و قابلیت توسعه پذیری آن اشاره کرد. یعنی می توان Spine و Leaf جدید به ساختار اضافه کرد. در نتیجه APIC این سوییچ‌ها را شناسایی می کند و در ساختار ACI قرار می دهد.

مزیت دیگر این معماری می توان به انتقال داده اشاره کرد. در این معماری برای انتقال داده به صورت ماکزیموم تنها سه مرحله برای رسیدن به مقصد طی می شود. برای مثال داده ابتدا از VM به Leaf سپس از Leaf به Spine و بعد از آن از Spine به Leaf و در نهایت از Leaf به سرور نهایی می رسد. در نتیجه ماکزیموم سه هاپ Leaf-Spine-Leaf را طی می کند.

البته اگر دو سرور به یک Leaf متصل باشند، تنها یک گام برای ارسال داده به سرور دیگر طی می شود.

Cisco ACI چیست؟

مقایسه ACI با SDN

یکی از سوالاتی که برخی کاربران از ما می پرسند این است که آیا ACI همان SDN است؟

به گفته کمپانی سیسکو، ACI کاملا متفاوت از SDN است. سیسکو در جایی اشاره کرده است که: “ما نسل اول SDN را پشت سر گذاشتیم”. به این ترتیب معتقد هستند که پیشرفت چشمگیری در SDN ایجاد کرده اند.

پس اگر SDN نیست، دقیقا چیه؟

با وجود این که ACI بخشی از کنترلر شبکه SDN (همان APIC) را دارد، اما مدل برنامه نویسی آن کاملا متفاوت است. به این دلیل که برنامه‌نویسی آن بیشتر روی Provision کردن اپلیکیشن، شامل همه زیرساخت‌های سرویس‌های شبکه، امنیت و اپلیکیشن تمرکز دارد.

تفاوت کلیدی دیگر این است که ACI شبکه را برای محیط های فیزیکی و مجازی بهینه می کند.

علاوه بر آن ACI مدل پالیسی اپلیکیشن را از شبکه و سرویس به سرور و فضای ذخیره سازی می برد. تا بتواند کل دیتاسنتر و ساختار Cloud را شامل شود.

کاملا واضح است که این ویژگی‌ها بیشتر از Software-defined Networking (SDN) است.

مقایسه Cisco ACI با VMware NSX

همانطور که می دانید VMware NSX نیز یک راه کار مدیریت دیتاسنتر های بزرگ است. در ادامه به برخی از تفاوت‌ها و شباهت‌های این دو تکنولوژی اشاره می کنیم.

VMware NSX با استفاده از ساختار موجود شبکه و فارغ از نوع سوییچ‌ها کار می کند.

از طرف دیگر Cisco ACI به سوییچ‌های سری ۹۰۰۰ نکسوس نیاز دارد.

Cisco ACI همینطور به سخت افزار مجزای دیگری یعنی APIC نیاز دارد.

مهم ترین شباهت این دو اپلیکیشن، استفاده از VXLAN‌ها برای جدا سازی ماشین‌های مجازی استفاده می شود.

مقایسه شبکه های قدیم با Cisco ACI

پیکربندی

برای این که در یک شبکه قدیمی اقدام به نصب و پیکربندی یک سوییچ کنید. مجبور بودید مراحل زیر انجام دهید:

  • ابتدا دستگاه را به پورت کنسول وصل می کردید
  • آدرس و نام به دستگاه تخصیص می دادید
  • پورت ها و پروتکل Spanning-tree را پیکربندی می کردید
  • ویژگی های لایه سه، HSRP و ACL را روی هر کدام از سوییچ‌ها و پورت‌ها پیکربندی می کردید

اما در شبکه‌هایی که از Cisco ACI پشتیبانی می‌کنند فقط کافیست سوییچ‌ها را وصل کنید. این سوییچ ها به وسیله APIC شناسایی می‌شوند. اکنون می توانید آن‌ها را به ACI اضافه نمایید.

امنیت

برای امن کردن دستگاه نیز مجبور بودید:

  • روی هر پورت ACL بنویسید
  • مطمئن شوید که بقیه ماشین‌های مجازی با این ACL همگام هستند یا خیر
  • در صورتی که ماشین مجازی‌ای به سرور دیگر انتقال یافت، ACL‌های سوییچ نیز باید تغییر می کردند

همانطور که بالاتر گفتیم APIC کل ساختار ACI را می شناسد. در نتیجه در ACI ابتدا پالیسی امنیتی را مشخص می کنید (برای مثال یک رول فایروال) و به راحتی روی اجزای مورد نظر اعمال می کنید.

نتیجه‌گیری

در این آموزش به بررسی تخصصی معماری APIC پرداختیم. ویژگی‌ها و مزایای این معماری را بیان کردیم. در نهایت معماری ACI را با NSX و همینطور با شبکه‌های قدیمی مقایسه کردیم.

فیسبوک توییتر گوگل + لینکداین تلگرام واتس اپ کلوب

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *