Datanet » NOUTĂȚI ȘI EVENIMENTE » Știri și noutăți » Seminar Cisco ACI, de la avantaje teoretice la beneficii concrete
SOITRON GROUP
Menu
Datanet » NOUTĂȚI ȘI EVENIMENTE » Știri și noutăți » Seminar Cisco ACI, de la avantaje teoretice la beneficii concrete
Seminar Cisco ACI, de la avantaje teoretice la beneficii concrete
ian. 2020

 

Tot mai multe Centre de Date (Data Centers) adoptă soluția Cisco ACI pentru capacitatea sa de a gestiona unitar și eficient centre de date distribuite geografic, site-uri de Disaster Recovery și infrastructuri Cloud. Pentru a veni în sprijinul companiilor care se confruntă cu aceste cerințe, Datanet Systems și Cisco România au susținut în data de 16 ianuarie 2020 workshop-ul cu titlul “Perspectivă practică asupra Cisco ACI – aplicații, beneficii, demonstrații”.

 

Cisco ACI, rezultatul evoluției tehnologice

Spanning Tree, vPC, Fabric Path, VXLAN sunt etape în evoluția tehnologică a soluției Cisco ACI.

„În prezent, principala problemă nu este că folosim Spanning Tree, vPC sau VXLAN, ci că facem multe modificări manuale. De asemenea, deși avem politici și reguli, nu reușim să le respectăm din cauza modificărilor care survin constant. Toate aceste probleme au un impact important asupra randamentului rețelei și securității ei, dar mai ales asupra eficienței operaționale. Când faci 50 de modificări manual și durează o săptămână, e dificil să ai viteză operațională. Și nici siguranță, în condițiile în care 22% din totalul incidentelor de rețea sunt cauzate de erorile umane“, a explicat în cadrul evenimentului George Boulescu, Consulting Systems Engineer Cisco România.

Simplificarea operațiunilor în datacenter 

Unul dintre punctele forte ale Cisco ACI este că elimină aceste provocări introducând un singur punct de management pentru întreaga rețea.

„Toate modificările rețelei se fac de pe APIC, Application Policy Infrastructure Controller. Astfel, nu mai este necesar să se acceseze fiecare switch în parte pentru a configura un link, de exemplu. Totul se face de pe controller, care este redundant, configurația cluster-ului fiind de minim trei echipamente. De asemenea, chiar dacă se defectează controller-ul, rețeaua nu se va opri pentru că APIC-ul nu este niciodată în trafic. În plus, tehnologia ACI este astfel construită încât să asigure securitate în mod implicit. Fabric-ul ACI, spre deosebire de o rețea tradițională, funcționează după un model de tip whitelist”. Asta înseamnă că trebuie permis accesul fiecărui flux de date prin rețea pentru ca el să functioneze“, a detaliat specialistul Cisco.

Tehnologia ACI asigură beneficii în plan operațional, prin automatizare, precum și cresterea scalabilitații și agilității la nivelul întregii rețele (Mai multe detalii despre beneficiile generice ale soluției Cisco ACI găsiți AICI.)

 

Avantajele tehnologiei Cisco ACI demonstrate practic

Câștigurile concrete pe care le asigură Cisco ACI au fost exemplificate printr-o serie de demonstrații practice realizate de Sergiu Daniluk, Data Center Consultant la Datanet Systems. În debutul acestei sesiuni, specialistul Datanet a exemplificat eficiența modului de lucru cu soluția ACI în operațiunile curente din datacenter. Unul dintre exemplele detaliate a fost modul de definire și utilizare a politicilor de rețea.

„Printr-o politică definim o funcție specifică de configurare, iar grupând acestea obținem un Policy Group. La rândul lor, aceste Policy Groups se pot aplica la un profil de interfață (Interface Profile), ce definește o singură interfață sau unui grup de interfețe. Aceeași procedură se aplică și în cazul switch-urilor – definire, grupare (Switch Policy Group) și aplicare pe profilurile switch-urilor. În acest caz, politicile includ protocoalele specifice, iar grupul definește tipurile de echipamente utilizate în rețea.

Avantajele modelului de configurare Cisco ACI sunt imediate. De exemplu, dacă dorim să configurăm un protocol NetFlow pe 100 de leaf-uri e de ajuns să definim o singură politică pe un singur leaf și să o aplicăm la profilul celorlalte 99. Similar acționăm și atunci când se dorește activarea unui anumit protocol pe un subset de interfețe.

Un alt avantaj constă în faptul că, dacă unul dintre switch-uri trebuie înlocuit, operațiunea se realizează simplu și rapid, pentru că există deja corelarea dintre leaf și profilul ce se dorește a fi aplicat. Administratorul nu mai trebuie să intervină când switch-ul apare în rețea, deoarece APIC știe deja ce configurație trebuie să aibă respectivul switch și o aplică automat“, a explicat Sergiu Daniluk.

Alte elemente care contribuie la eficientizarea activităților curente în datacenter introduse de Cisco ACI și prezentate în cadrul workshop-ului sunt:

  • grupurile de end-points (EPG);
  • conceptele de Bridge Domain (BD) și Contract;
  • grupurile de Tenants (care înglobează toate BD-uri și VRF-urile definite în rețea).

Proactivitate și automatizare 

O altă arie de funcționalități în care Cisco ACI determină eficientizarea operațiunilor este cea de monitorizare și troubleshooting în datacenter.

Soluția oferă vizibilitate de detaliu asupra modului său de funcționare și permite administratorilor să depisteze rapid apariția problemelor și a potențialelor riscuri din rețea. Pentru aceasta, Cisco ACI furnizează o serie extinsă de instrumente de monitorizare. De exemplu, System Health livrează informații despre performanța generală a rețelei și a stării echipamentelor și a grupurilor de Tenants. Fault-urile, la rândul lor, semnalează apariția problemelor de configurare, grupate pe domenii, tipuri de erori etc.

Cisco ACI furnizează și o serie de instrumente pentru identificarea proactivă a problemelor. Cum este, de exemplu, Atomic Counters, care contorizează pachetele de date transmise pentru detectarea zonelor în care se pierd, sau Capacity Dashboard ce oferă o viziune detaliată a rețelei din punct de vedere al consumului de resurse software și hardware.

În cadrul soluției ACI se pot instala și o serie de terțe aplicații integrate cu APIC, precum cele dezvoltate de Cisco – ELAM Assistant, Network Insights sau Network Assurance Engine. Mai multe astfel de aplicații sunt disponibile pe pagina Cisco DC App Center.

Pentru a facilita automatizarea, Cisco ACI suportă mai multe posibilități de programare – Python, Ansible, Puppet – și a fost concepută pe modelul „API first“. Acest lucru permite automatizarea unei game extinse de operațiuni, asigurând reducerea duratei operațiunilor și diminuarea erorilor umane. Mai multe resurse în acest domeniu puteți găsi pe pagina ACI Programmability.

 

Funcționalități native de securitate ale Cisco ACI

Un alt avantaj al Cisco ACI este faptul că permite realizarea de segmentări ale traseelor traficului de date, atât la nivelul întregii rețele, cât și la nivel de end-points.

„În mod implicit, dacă nu se configurează nici un contract între EPGs, acestea nu vor comunica între ele. Grupând echipamentele în EPGs diferite, chiar dacă sunt în același subnet, ele nu comunică între ele implicit. Printr-o politică suplimentară care reglementează comunicarea între end-points din același grup se poate face și micro-segmentare. Practic, avem un singur domeniu de broadcast, dar comunicarea se face doar între endpoint-urile selectate de administratorul de rețea”, a explicat Sergiu Daniluk.

Specialistul Datanet a exemplificat și modul în care pot fi create reguli dinamice de segmentare. În cazul apariției unei alerte de securitate pentru o anumită versiune de sistem de operare, prin atașarea automată a unui tag se poate realiza segmentarea mașinilor virtuale care rulează respectiva versiune. Astfel, pe baza tag-ului, VM-urile afectate sunt mutate automat într-un micro-EPG cu o politică de securitate specială. Similar, dacă un sistem de securitate semnalează un end-point compromis, prin alocarea și atribuirea unui tag specific se poate realiza automat mutarea acestuia într-un EPG cu acces restrâns.

 

Scenarii flexibile de implementare

Un alt aspect dezvoltat în cadrul workshop-ului a fost cel al utilizării Cisco ACI pentru managementul unitar al rețelelor din mai multe centre de date. Astfel, ACI Multi-Pod utilizează un singur cluster de APIC-uri pentru managementul a două sau mai multe Pod-uri (maximum 12).

ACI Multi-Site este un proces similar, unde două sau mai multe site-uri (fiecare având propriul cluster de APIC-uri) sunt interconectate, dar fără ca orice modificare efectuată într-un site să se propage automat și în cel de al doilea, folosind pentru management un echipament virtual dedicat – Multi-Site Orchestrator. ACI Multi-Site este un scenariu util în cazul gestionării unui Data Center și a site-ului aferent de Disaster Recovery, precum și în cazul în care rețeaua a ajuns la limita scalabilității (din punct de vedere al numărului de leaf-uri) sau când se dorește conectarea rețelei on-premises cu mediile Cloud publice. De asemenea, Cisco ACI permite utilizarea simultană a configurațiilor Multi-Site și Multi-Pod.

Demonstrațiile prezentate în cadrul workshop-ului au fost realizate remote în laboratorul ACI deținut de Datanet. Suntem prima companie din România care a investit în crearea și dezvoltarea unui laborator Cisco ACI, care permite companiilor interesate să simuleze și testeze arhitecturi de rețea în scenarii ce reproduc specificații și configurații reale.

Pentru a afla mai multe informaţii despre moduri concrete de utilizare, vă invităm să citiți studiul de caz Cisco ACI la Raiffeisen Bank România.

Pentru informații suplimentare privind soluția Cisco ACI sau pentru evaluări de produs, vă rugăm să ne contactați prin email, la adresa sales@datanets.ro.