思科ACI满足SDN的要求
如前所述,ONF已经指出需要新的网络模型来解决计算领域的新兴趋势。其中的解决方案是SDN,SDN被定义为“一种计算网络方法,允许网络管理员通过抽象化较低级别功能来管理网络服务”。
思科ACI解决方案满足SDN的定义要求,但为了满足SDN的要求,它还必须适应计算领域的新兴需求,这包括:
● 不断变化的流量模式: 如前所述,数据中心内东西流量在不断增加,下一代数据中心需要对这种工作负载进行优化。思科ACI采用主干分支架构,非常适合东西工作负载,帮助确保一致的延迟性和性能。
现代数据中心的另一个要求是,随时随地可以访问内容。思科ACI通过其无性能影响的网络覆盖来满足这一要求,它允许应用程序和服务随时随地部署。它也非常适合于公共云、私有云或混合云部署。由于连接策略从网络转发抽象出来,更高层云编排平台(例如OpenStack、CloudStack和微软AzurePack)可以管理服务,而不是底层基础设施。
● IT消费化: 思科还可以从很多方面帮助企业应对BYOD趋势。首先,这个基于组的策略模型中内置了安全性和合规性;应用程序管理员必须明确授权给外部访客才能使用应用或服务。其次,对安全策略的审计变成很简单的工作,因为策略被定义在抽象的基于组策略中,而不是在具体的安全访问列表或访问权规则中。最后,基于组的策略可以迁移到网络其他领域,例如园区和分支办事处。
● 云计算服务的兴起: 通过从底层基础设施抽象应用程序、安全策略和IT服务,思科ACI让企业IT部门可以轻松部署私有云。通过基于组的策略,企业客户可以花更多时间创建连接策略,而不需要管理单个网络设备。此外,很多IT部门都会喜欢这种自助服务模型,并更可能部署它,因为他们可以保持对其敏感内容的控制权,而不是把控制权交给公共云。然而,如果企业稍后想要转移某些工作负载到公共云,思科ACI基于组的策略可以让企业轻松地移动网络和安全策略;只要很小的修改,一致的基于组的策略配置文件定义也可以存在内部部署的私有云以及托管云中。
● 大数据需要更多带宽: 思科ACI为托管大数据工作负载提供了非常好的解决方案。除了提供可预测的低延迟,思科ACI还提供具有成本效益的向外扩展架构,允许最终用户逐渐增加带宽—通过添加额外的主干节点。另外,通过添加分支节点,还可以向大数据集群添加更多计算节点来提高性能。同时,思科ACI使用分布式拥塞感知负载均衡(CONGA),可以更有效地使用其架构带宽。这个机制为网络密集型应用程序减少了数据流完成时间。
思科ACI还提供了最终用户试图在SDN解决方案中寻求的其他功能,包括:
● 自动化配置和管理: 思科ACI提供对网络基础设施的自动化配置和管理。架构管理员可以透明地增加主干或分支节点到思科ACI架构,而不需要对设备本身的任何配置。思科APIC基于组的策略模型还可以实现对合作伙伴解决方案的自动配置,让最终用户不需要手动和单独管理这些设备及系统。
● 能够部署网络端策略: 思科ACI将整个系统作为单一实体来管理,任何网络端策略(无论是物理、虚拟还是4-7层网络服务相关的策略)都可以通过APIC来定义、部署和管理。
● 提高安全性: Cisco ACI is multitenant aware. 安全性是应用为中心的模式的一部分。只有策略管理员通过基于组的策略定义哪些组可以通信,每个组可以使用哪个管道来通信,各组之间才可以连接。思科ACI可以支持多租户,不同租户的流量、连接和策略可以共享相同的基础设施,而不会在租户间泄露信息。思科ACI中所有可管理实体(被称为对象)都有独特的权限,管理员可以使用RBAC定义分配非常具体的安全控制。
● 对使用网络的应用程序的更多可视性: 应用程序的定义直接以组策略配置文件(被称为应用网络配置文件)的形式提供给思科ACI。从这个配置文件中,思科ACI可以收集关于网络依存关系的信息,并了解特定应用程序的执行情况,因为ACI正在监控底层对象。
● 提高可扩展性: 思科ACI架构的动态性质、使用向外扩展主干分支架构和集群数据库等特点让思科ACI成为当今市场上最具可扩展性的SDN解决方案。此外,思科ACI可以使用终端位置信息来渲染硬件中的策略到执行点,即终端连接的点。此功能允许更大的可扩展性,而不需要过度配置策略资源。
● 动态创建和移动虚拟机: 思科ACI架构允许虚拟机灵活部署,无限制的虚拟机移动。思科ACI还创新地实现虚拟机移动的透明度。
● 创建私有或混合云: 对于想要部署私有云、公共云和混合云的企业而言,思科ACI是非常好的解决方案。大多数思科ACI早期部署者都是公共云服务提供商。除了可扩展性、安全性和灵活性,思科ACI还通过组策略模式提供网络连接的抽象化代表。该功能在云计算部署中非常具有吸引力,因为这种部署的主要要求是抽象化网络基础设施的复杂性,对云服务的客户不可见。
● 从整体配置网络: 思科ACI允许整个架构被看做单个2层网络或3层网络虚拟转发器。可以创建额外的专用网络,但它们通常被配置作为单个实体。这种方法让最终用户可以部署新服务(网络服务或应用程序),而不需要了解底层网络如何被配置和连接。
● 基于文本的配置以简化版本控制: 所有配置设置都表示为思科APIC的管理对象。这些管理对象可以通过API访问,而API可以通过结构化REST命令(XML或JSON格式)来管理。此外,由于这些对象具有定义的结构—从底层物理和虚拟网络抽象出来,相同的配置文件定义可以用于在完全不同的思科ACI架构中部署相同的连接策略。
● 除SNMP和CLI外的先进网络管理工具: 除了SNMP和CLI,思科ACI对象模型XML和JSON格式的REST接口、GUI和一些软件开发工具包。除了一般的网络设备管理,思科ACI还包括其他SDN解决方案中没有的创新管理功能。例如,思科ACI提供健康评分,它会获取底层、覆盖、物理、虚拟和生态系统设备的依赖关系,并将这些信息转换为特定对象的健康评分。这些分数可以转换为终端组水平、应用网络配置文件水平或租户水平的更高水平的分数,以提供更直观的视图。最终用户可以使用这个视图来解决思科ACI架构中的异常情况。原子计数器是另一个思科ACI创新。
这个计数器可以计算进入和离开架构的数量,还可以范围缩小到计算单个分支节点。通过创建流量地图,原子计数器让最终用户可以看到架构中的高、中、低使用区域,并发现思科ACI架构中流量下降的位置。
Gartner副总裁兼著名分析师Joe Skorupa在2013年3月描述他对SDN的愿景时简单定义了思科ACI的价值:“在数据中心方面,SDN是策略驱动型数据中心的组成部分。它为连接网络到数据中心内的其他组件提供了可编程连接性,提供了一个综合、功能型系统。例如,配置应用程序可以指定CRM应用程序的实例在特定序列必须提供某些服务,并应确保流量在正确序列通过适当的设备。”