معماری Cisco Application Centric Infrastructure (ACI)
یک محیط سیسکو ACI از دو بخش اصلی ساخته شده است:
Cisco Application Policy Infrastructure Controller (APIC)
APIC کنترلکننده SDN برای Cisco ACI است. این بخش، خطمشیهایی را ایجاد خواهد کرد که زیرساخت شبکه دیتاسنتر یا همان مرکز داده را تعریف میکند.
سوییچهای Nexus 9000
سوییچهای Nexus 9000 از سیستم ACI Fabric برای برقراری ارتباط با APIC و ایجاد زیرساخت بر اساس سیاستهای شبکه استفاده میکنند. این سوئیچها میتوانند سوئیچ Spine (توزیع) یا Leaf (دسترسی) باشند.
تمام نقاط انتهایی، از جمله APICها، از طریق سوئیچهای Leaf به شبکه متصل میشوند. این کلیدهای Leaf با استفاده از کلیدهای Spine در قسمت عقب به یکدیگر متصل خواهند شد.
با استفاده از این مولفهها، ACI میتواند تحت انواع مدلهای مختلف مستقر شود. این مدلها شامل support for on-site، cloud-based (شامل فضاهای ابری عمومی، خصوصی و ترکیبی ) و SD-WAN است. این کار، سازمانها را قادر میسازد تا از مدیریت شبکه policy-based در سراسر شبکههای WAN سازمانی خود استفاده کنند.
مقاله پیشنهادی ” Cisco ACI چیست؟ | آشنایی با اجزای ACI و نحوه کارکرد آن (قسمت اول)“
نحوه عملکرد معماری leaf-spine-leaf
در تصویر زیر شمایی از نحوه عملکرد معماری leaf-spine-leaf را در Cisco ACI مشاهده می کنید.
در این توپولوژی هیچ کدام از سوییچهای Leaf و هیچ کدام از سوییچهای Spine به هم متصل نیستند. بلکه مطابق تصویر فوق هر Leaf به هر Spine متصل می شود. این اتصالات IP FABRIC را به وجود می آورند. بنابراین هنگام پیکربندی، این توپولوژی به عنوان یک موجودیت در نظر گرفته می شود.
APICها نیز همانطور که قبلا گفتیم به صورت کلاسترهای سه یا پنج تایی به این ساختار متصل می شوند. سرورها نیز برای ایجاد redundancy به صورت دوتایی به سوییچهای Leaf متصل می شوند. این سرورها می توانند سرورهای مجازی یا فیزیکی باشند. در صورتی که سرورها مجازی باشند، APIC اطلاعات پیکربندی را در سوییچهای مجازی موجود در هایپروایزر اعمال می کند.
در رابط کاربری APIC می توانید Endpoint Groupهایی ایجاد کنید و ماشینهای مجازی یا سرورهای فیزیکی را به این Endpoint Groupها بسته به سیاستهای موجود تخصیص دهید. در اینجا Endpoint Group ما به صورت یک اپلکیشن سه لایه ای است.
بنابراین در اینجا وب، اپلیکیشن و پایگاه داده وجود دارند که به صورت Endpoint Groupهای مختلف درون سرورهای متفاوت کار می کنند. سپس این Endpoint Groupها به وسیله Application Network Profile (ANP) با همدیگر همکاری می کنند. ANP حاوی سیاستهای لازم به منظور ارتباط این سه لایه (ماشینهای مجازی، اپلیکیشن و پایگاه داده) است.
با استفاده از Micro Segmentation نیز هر کدام از این ماشینهای مجازی می توانند از همدیگر جدا شوند. APIC تمام این ساختار را بر طبق ویژگیهای فوق آپدیت می کند. بنابراین ماشینهای مجازی هر زمان (برای مثال به دلیل High Availability ) بخواهند به سرور دیگر یا به رک دیگر منتقل شوند، ساختار ACI از این انتقال آگاهی دارد. و عملیات انتقال را بین سوییچهای مجازی و سوییچهای فیزیکی این ساختار به سادگی انجام می دهد.
بنابراین APIC نه تنها از اتصالات ساختار ACI آگاهی دارد بلکه هر کدام از ماشینهای مجازی، پالیسیهای امنیتی و نیازهای provisioning اپلیکیشنها را نیز می شناسد.
مزایای معماری CLOS
از مزایای معماری CLOS می توان به سادگی و قابلیت توسعه پذیری آن اشاره کرد. یعنی می توان Spine و Leaf جدید به ساختار اضافه کرد. در نتیجه APIC این سوییچها را شناسایی می کند و در ساختار ACI قرار می دهد.
مزیت دیگر این معماری می توان به انتقال داده اشاره کرد. در این معماری برای انتقال داده به صورت ماکزیموم تنها سه مرحله برای رسیدن به مقصد طی می شود. برای مثال داده ابتدا از VM به Leaf سپس از Leaf به Spine و بعد از آن از Spine به Leaf و در نهایت از Leaf به سرور نهایی می رسد. در نتیجه ماکزیموم سه هاپ Leaf-Spine-Leaf را طی می کند.
البته اگر دو سرور به یک Leaf متصل باشند، تنها یک گام برای ارسال داده به سرور دیگر طی می شود.
مقایسه ACI با SDN
یکی از سوالاتی که برخی کاربران از ما می پرسند این است که آیا ACI همان SDN است؟
به گفته کمپانی سیسکو، ACI کاملا متفاوت از SDN است. سیسکو در جایی اشاره کرده است که: “ما نسل اول SDN را پشت سر گذاشتیم”. به این ترتیب معتقد هستند که پیشرفت چشمگیری در SDN ایجاد کرده اند.
پس اگر SDN نیست، دقیقا چیه؟
با وجود این که ACI بخشی از کنترلر شبکه SDN (همان APIC) را دارد، اما مدل برنامه نویسی آن کاملا متفاوت است. به این دلیل که برنامهنویسی آن بیشتر روی Provision کردن اپلیکیشن، شامل همه زیرساختهای سرویسهای شبکه، امنیت و اپلیکیشن تمرکز دارد.
تفاوت کلیدی دیگر این است که ACI شبکه را برای محیط های فیزیکی و مجازی بهینه می کند.
علاوه بر آن ACI مدل پالیسی اپلیکیشن را از شبکه و سرویس به سرور و فضای ذخیره سازی می برد. تا بتواند کل دیتاسنتر و ساختار Cloud را شامل شود.
کاملا واضح است که این ویژگیها بیشتر از Software-defined Networking (SDN) است.
مقایسه Cisco ACI با VMware NSX
همانطور که می دانید VMware NSX نیز یک راه کار مدیریت دیتاسنتر های بزرگ است. در ادامه به برخی از تفاوتها و شباهتهای این دو تکنولوژی اشاره می کنیم.
VMware NSX با استفاده از ساختار موجود شبکه و فارغ از نوع سوییچها کار می کند.
از طرف دیگر Cisco ACI به سوییچهای سری ۹۰۰۰ نکسوس نیاز دارد.
Cisco ACI همینطور به سخت افزار مجزای دیگری یعنی APIC نیاز دارد.
مهم ترین شباهت این دو اپلیکیشن، استفاده از VXLANها برای جدا سازی ماشینهای مجازی استفاده می شود.
مقایسه شبکه های قدیم با Cisco ACI
پیکربندی
برای این که در یک شبکه قدیمی اقدام به نصب و پیکربندی یک سوییچ کنید. مجبور بودید مراحل زیر انجام دهید:
- ابتدا دستگاه را به پورت کنسول وصل می کردید
- آدرس و نام به دستگاه تخصیص می دادید
- پورت ها و پروتکل Spanning-tree را پیکربندی می کردید
- ویژگی های لایه سه، HSRP و ACL را روی هر کدام از سوییچها و پورتها پیکربندی می کردید
اما در شبکههایی که از Cisco ACI پشتیبانی میکنند فقط کافیست سوییچها را وصل کنید. این سوییچ ها به وسیله APIC شناسایی میشوند. اکنون می توانید آنها را به ACI اضافه نمایید.
امنیت
برای امن کردن دستگاه نیز مجبور بودید:
- روی هر پورت ACL بنویسید
- مطمئن شوید که بقیه ماشینهای مجازی با این ACL همگام هستند یا خیر
- در صورتی که ماشین مجازیای به سرور دیگر انتقال یافت، ACLهای سوییچ نیز باید تغییر می کردند
همانطور که بالاتر گفتیم APIC کل ساختار ACI را می شناسد. در نتیجه در ACI ابتدا پالیسی امنیتی را مشخص می کنید (برای مثال یک رول فایروال) و به راحتی روی اجزای مورد نظر اعمال می کنید.
نتیجهگیری
در این آموزش به بررسی تخصصی معماری APIC پرداختیم. ویژگیها و مزایای این معماری را بیان کردیم. در نهایت معماری ACI را با NSX و همینطور با شبکههای قدیمی مقایسه کردیم.