Sedam IT → Blog

Cisco SDN Vol. 1 – Napredno „Borg“ rješenje za podatkovne centre

Postoji set mrežnih uređaja koji rade usmjeravanje stvarnog prometa i pritom ove uređaje „programiraju” kontrolori koji „pretvaraju aplikacijske (glazbene) želje i zahtjeve” u konfiguraciju mrežnih elemenata (koji usmjeravaju promet). Pritom su i sami kontrolori programibilni i imaju API sučelje prema ostatku svijeta. Ponešto sliči na Borga iz „Zvjezdanih staza”...

Napravit ćemo (vrlo) kratak pregled Cisca i osnovne SDN tehnologije koju Cisco nudi, pa da krenemo od definicije. „Definicija je sud kojim se nedvosmisleno utvrđuje sadržaj, opseg i doseg nekog pojma.”… :) (mala šala).

Prema Wikipediji: … SDN - Software-Defined Networking architectures decouple network control and forwarding functions, enabling network control to become directly programmable and the underlying infrastructure to be abstracted from applications and network services…

Dakle, postoji set mrežnih uređaja koji rade usmjeravanje stvarnog prometa i pritom ove uređaje „programiraju” kontroleri (koji im, zapravo, kažu na koji način i kuda taj promet trebaju usmjeravati). Kontroleri „pretvaraju aplikacijske (glazbene) želje i zahtjeve” u konfiguraciju mrežnih elemenata (koji usmjeravaju promet). Pritom su i sami kontroleri programibilni i imaju API sučelje prema ostatku svijeta. Ponešto sliči na Borga iz „Zvjezdanih staza” (puno radilica i jedan kolektivni um).

Cilj SDN tehnologija je ubrzavanje implementacije i dostave aplikacija uz, naravno, redukciju troškova, a sredstva kojima to SDN postiže su centralizirane orkestracijske platforme koje mogu automatizirati konfiguraciju cjelokupne infrastrukture.

I dalje nije jasno? Skroz pojednostavljeno, zapravo se radi o mrežnoj infrastrukturi koja se konfigurira sa središnjega mjesta (tzv. controller). Dakle, doviđenja dragi CLI (Command Line Interface), šmrc… :(

Kod proizvođača mrežne opreme Cisco postoji više kategorija SDN proizvoda, no nabrojimo najvažnije (ovo nisu svi Ciscovi SDN proizvodi):  

  • Cisco Application Centric Infrastructure (ACI) za podatkovne centre,
  • SD-WAN (Software-Defined Wide Area Network), i
  • Cisco Software-Defined Access (SD-Access) za enterprise mreže (u načelu).

Rješenje Cisco Application Centric Infrastructure (ACI) namijenjeno je podatkovnim centrima (Data Center).

Zašto uopće razmatrati ACI:

  • centralizirano upravljanje mrežom,
  • IP bazirana jezgra mreže (nema STP-a), a cijela mreža ponaša se kao jedan distribuirani uređaj (distribuirani default gateway),
  • multi-tenant skalabilna mrežna tehnologija s optimalnom putanjom prometa između leaf-preklopnika i konzistentnom latencijom (zbog CLOS topologije),
  • integrirana mrežna politika sve do virtualnih servera,
  • model Zero-trust security – ACI okolina ne dopušta komunikaciju koja eksplicitno nije dopuštena (zbogom, dragi firewallu),
  • nadzor i otklanjanje problema – sve u realnom vremenu,
  • automatizacija i orkestracija temeljena na API-ju,
  • integracija s VMM kontrolorima,
  • mikrosegmentacija – smještanje krajnjih uređaja u zasebne grupe po posebnim atributima, osim L2 enkapsulacije (npr. IP adresa, ime VM, Guest OS i ostali metapodaci), i
  • mobilnost krajnjih uređaja.

Rješenje Cisco ACI sastoji se od sljedećih osnovnih elemenata:

  • Cisco Application Policy Infrastructure Controller (APIC),
  • Cisco Nexus® 9000 Series spine and leaf switches,
  • Cisco ACI Multi-site Orchestrator,
  • Cisco ACI Virtual Edge, i
  • Cisco ACI remote leaf.

Cisco Application Policy Infrastructure Controller (APIC) jedinstvena je centralizirana točka upravljanja (configuration and management) za cijelu ACI okosnicu (fabric) sa sljedećim glavnim funkcijama:

  • definicije mrežnih politika Application-centric,
  • monitoring i troubleshooting,
  • integracija s trećim stranama (3rd party):
  • servisi sloja 4 do sloja 7 (L4-L7),
  • VMware vCenter i vRealize,  Microsoft Hyper-V, System Center Virtual Machine Manager (SCVMM) i AzurePack, Open Virtual Switch (OVS) i OpenStack, Kubernetes,
  • upravljanje softverom i nadogradnjama,
  • Cisco ACI-jevo upravljanje inventarom i konfiguracijom, i
  • Fault, event, and performance management.

Sam APIC kontroler u ovome je slučaju konfiguracijski/nadzorni element – dakle, bez APIC-a mreža i dalje radi (no ne možete je konfigurirati :) ) .

Na APIC-u se svaki zadatak može obaviti na više načina:

  • APIC GUI,
  • Command-Line Interface (CLI) (a ipak ga ima J), i
  • northbound open Representational State Transfer (REST) APIs.

Cisco Nexus 9000 Serija (Spine/Leaf preklopnici za Cisco ACI)

Preklopnici Cisco Nexus 9300 i 9500 podržavaju Cisco ACI. Pritom je važno naglasiti da je ACI topologija tzv. CLOS oblika, tj. sastoji se od tzv. spine i leaf-preklopnika.

Namjena leaf-preklopnika je prihvat krajnjih uređaja, dok spine služe za međusobno povezivanje leaf-preklopnika. Serija Nexus 9000 uključuje modularne i fiksne 1, 10, 25, 40, 50 i 100 Gigabit Ethernet konfiguracije koje mogu raditi u ACI ili nativnom NX-OS modu.

Leaf-preklopnici imaju namjenu registracije krajnjih uređaja (endpoint) u bazu endpointa koja se nalazi na spine-preklopniku; na njima je implementiran distribuirani default gateway, VXLAN enkapsulacija/dekapsulacija, primjena sigurnosne politike putem tzv. ugovora (contracta), itd.

Spine-preklopnici imaju namjenu povezivanja leaf-uređaja, drže bazu endpointa i služe za međupovezivanje dva ili više podatkovnih centara (u tzv. Multi-site ili Multi-Pod rješenjima), itd.

Cisco ACI Multi-Site Orchestrator

Cisco ACI multisite appliance je jedinstvena točka konfiguracije ako postoje dvije ili više ACI neovisnih okosnica (fabric) i postoji li potreba za jedinstvenim upravljačkim sustavom.

Treba napomenuti da je ovo opcionalna komponenta te da je i dalje potreban APIC kontrolor, neovisno imamo li ACI multisite appliance. Naime, ovaj appliance konfigurira APIC kontrolere, dakle, nalazi se razinu iznad APIC-a.

Cisco ACI Virtual Edge

Cisco ACI Virtual Edge je tzv. next generation Application Virtual Switch za Cisco ACI okoline. To je hipervizor, neovisan (dakle, nalazi se na samom serveru koji drži virtualne servere i neovisan je o tome je li to VMWare ili HyperV i slično) distribuirani servis koji funkcionira kao virtualni leaf i njime upravlja APIC. Integracija s Cisco ACI-jem omogućava da se ACI politika spušta na razinu unutar samog hipervizora čime se dobiva konzistentnost ACI politike sve do virtualnih servera.

Što se tiče tehnologije korištene u ACI-ju, možemo navesti:

  • LLDP – za autootkrivanje mrežnih spine leafa i APIC uređaja,
  • VXLAN enkapsulacija u okosnici mreže (preko IP-a, naravno, okosnica je čisti IP),
  • IS-IS kao IGP (Interior Gateway Protocol - underlay routing),
  • COOP (Council Of Oracle Protocol - čisti Matrix, kažem vam) – protokol za registraciju endpointa na spine preklopnike,
  • MP-BGP – unutar ACI okoline služi za redistribuciju vanjskih ruta (mreža izvan ACI okoline) između leaf preklopnika, i
  • EVPN-VXLAN (MP-BGP) – za povezivanje dva ili više DC-ova u Multi-Site ili Multi-Pod rješenje.

Uskoro ću napisati više o SD-WAN rješenjima koji se koriste za povezivanje enterprise mreža uključujući poslovnice/ogranke i podatkovne centre preko velikih geografskih udaljenosti te kako smo upravo ova rješenja uspješno implementirali našem korisniku. Čitamo se uskoro...