Cisco Application-Centric Infrastructure (ACI)

Paradigmenwechsel bei Netzwerken im Datacenter

| Autor / Redakteur: Erwin Breneis* / Ulrike Ostler

Mit ACI hät eine neue Art des Networking durchgängig Einzug in die Cisco-Produkte; damit muss sich so manch ein Nezwerk-Admin erst anfreunden.
Mit ACI hät eine neue Art des Networking durchgängig Einzug in die Cisco-Produkte; damit muss sich so manch ein Nezwerk-Admin erst anfreunden. (Bild: ©ktsdesign/Fotolia.com)

Während der Server-Betrieb in den vergangenen Jahren weitgehend automatisiert und virtualisiert wurde, hat sich im Netzwerkbetrieb der Rechenzentren bisher wenig verändert. Dies führt jedoch zu zahlreichen Herausforderungen. Um diese zu lösen, bietet Cisco mit „ACI“ eine moderne, umfassende Netzwerkarchitektur.

Der Betrieb von IT-Infrastukturen hat sich im letzten Jahrzehnt sehr stark verändert. Zum einen liegt dies an neuen Anforderungen aus der Applikationswelt wie Big Data, Docker oder Cloud Native sowie zum anderen an neuen Technologien, zum Beispiel Virtualisierung, Cloud, In-Memory, Software defined oder IP Storage.

Erwin Breneis, Datacenter Produkt Specialistin der Region INSBU bei Cisco Systems, erläutert, was "ACI" ist und kann.
Erwin Breneis, Datacenter Produkt Specialistin der Region INSBU bei Cisco Systems, erläutert, was "ACI" ist und kann. (Bild: Cisco)

Zudem haben sich die Rahmenbedingungen in der Infrastruktur von Rechenzentren verändert, etwa das Verhalten der Netzwerkauslastungen. Früher bestand in der Regel ein Verhältnis von 80 zu 20 bei externem zu internem Netzwerkverkehr. Heute hat sich das Verhältnis bei 20 zu 80 umgekehrt.

Diese Veränderungen wurden unter anderem durch die Server-Virtualisierung ausgelöst, aber auch durch den Kommunikationsfluss der Applikationen. Im Unterschied zum Netzwerkbetrieb, der heute wie damals sehr Geräte- und Port-orientiert ist, hat sich der Server-Betrieb deutlich gewandelt. Heute legt kein Administrator mehr eine CD oder DVD zur Installation eines Server-Betriebssystems ein.

Virtualisierung im Server-Umfeld ist Gang und Gäbe

Durch vorhandene Technologien wird im Server-Betrieb schon lange die Abstraktion der Identität von dem Betriebsort umgesetzt. Beispiele hierfür sind die Virtualisierung durch einen Hypervisor oder im Bare-Metal-Bereich der Einsatz von konvergenten Systemen, etwa „Unified Computing System“ (UCS) von Cisco. In beiden Fällen sind zentrales Management und Automatisierung notwendiger Aufgaben und Prozesse selbstverständlich.

Natürlich gibt es auch im Netzwerkbetrieb Prozesse und Lösungen, um bestimmte Aufgaben zu automatisieren. Änderungen werden jedoch meist manuell umgesetzt. Daher müssen sie sehr gut durchdacht sein, um möglichst alle Auswirkungen im Netzwerkbetrieb einzukalkulieren, etwa für die bestehenden Sicherheitsrichtlinien. Denn im Netzwerk dient die IP-Adresse, die Zugehörigkeit in ein Subnetz beziehingsweise VLAN, als Information zur Identität eines Workloads.

Ergänzendes zum Thema
 
Das Fazit des Autors

Hinzu kommt, dass die Netzwerkverantwortlichen meist nur unzureichende Informationen über die Anforderungen der Applikationen ans Netzwerk besitzen. Außerdem hat die Server-Virtualisierung aus Sicht des Netzwerks zu einer Art Schwarzem Loch geführt. Der Netzwerkverantwortliche sieht nämlich nicht, was im Hypervisor geschieht. Dies führt bei einer Fehlersuche zu zusätzlicher Komplexität. Daher ist ein umfassender Lösungsansatz nötig, der alle Anforderungen erfüllt.

Zuverlässig, verfügbar, sicher im Netz

Wie kann eine solche Lösung für den modernen Netzwerkbetrieb aussehen? Das Netzwerk bildet das Rückgrat des Rechenzentrums. Daher muss immer der Grundsatz R-A-S berücksichtigt werden: Reliable, Available, Secure (zuverlässig, verfügbar, sicher). Der Umkehrschluss lautet somit, dass ein moderner Netzwerkbetrieb folgende drei Anforderungen unterstützen muss:

  • Automatisierung – mit dem Grundsatz, das gesamte RZ-Netzwerk als ein Netzwerk und nicht mehr als einzelne Systeme zu betrachten.
  • Vereinfachung im Betrieb – einfachere Verwaltung, Fehleranalyse, Visibilität in Bezug auf die Applikationen.
  • Sicherheit aus dem Netzwerk – verlässliche Segmentierung, optimale Whitelist-Architektur, Integration von Sicherheitsdiensten.

Diese Anforderungen sollten völlig unabhängig von der Art des Workloads erfüllt werden. Dazu gibt es nur eine mögliche Architektur – ein Controller-basiertes Netzwerk, meist auch als SDN (Software Defined Netzwork) bekannt.

Die entsprechende Technik von Cisco wird mit ACI bezeichnet: Applikation-Centric Infrastructure. Sie bietet den Kunden erstmals ein komplettes Netzwerk, bestehend aus „Nexus 9000“ Switches und allen notwendigen Verwaltungsanwendungen.

Architektur der Cisco ACI
Architektur der Cisco ACI (Bild: Cisco)

Diese Infrastruktur wird durch ein richtlinienbasiertes Modell abgebildet, welches Netzwerk, Server, Storage, Security und weitere Services umfasst. Durch den Einsatz von ACI wird erstmals die Identität des Workloads von der Lokation unabhängig.

Die drei Komponenten der ACI

Eine ACI Fabric besteht aus folgenden drei Komponenten:

1. Nexus 9000er Switches in einer Spine-Leaf-Architektur. Diese bietet die optimale Skalierbarkeit sowohl hinsichtlich Bandbreite als auch des Netzwerk-Port. Zudem unterstützen die Switches diese Variabilität – im Leaf (für Server Access) mit 100 Megabyte, 1, 10 oder 25 Gigabyte sowie im Spine mit 10, 25, 40, 50 oder 100 Gigabyte. Nähere Informationen zur Hardware gibt es hier.

Switches der Nexus 9000er Serie bieten in einer Spine-Leaf-Architektur Skalierbarkeit hinsichtlich Bandbreite und Netzwerk-Ports.
Switches der Nexus 9000er Serie bieten in einer Spine-Leaf-Architektur Skalierbarkeit hinsichtlich Bandbreite und Netzwerk-Ports. (Bild: Cisco)

2. “Controller Cluster APIC”: Application Policy Infrastructure Controller. Er besteht aus drei redundanten Appliances und dient als Single Point of Management, inklusive Konfiguration und Verwaltung von ACI Fabric und Netzwerk. Die Fabric ist auf Automatisierung ausgelegt.

Hierzu dient das offene API zur Programmierung beziehungsweise Integration in weitere Management-Software wie „Cisco UCS Director“ oder „Cisco Cloud Center“ für ein dynamisches Rechenzentrum. APIC bietet drei Zugriffsarten für die Administration: eine GUI (Benutzeroberfläche), die API (für die Programmierung) und eine CLI (für Netzwerkadministratoren).

3. „Application Network Profiles“ (ANP). Diese Profile beschreiben, wer mit wem über welche Netwerkverbindungen kommunizieren darf. Ein ANP besteht aus so genannten EPGs (End Point Groups), Contracts und Service Chains. Die Contracts lassen sich als Filter verstehen, welche auf Basis einer Whitelist-Policy-Architektur angewandt werden. Damit findet nur erlaubte Kommunikation statt. Zudem ermöglicht ACI die Segmentierung (Microsegmentation, siehe auch unten) auf mehreren Ebenen.

Was ändert sich mit dem Einsatz von ACI?

Mit ACI verändert sich zunächst die Art und Weise, wie ein RZ-Netzwerk konfiguriert und betrieben wird. Für die Konfiguration oder im Fehlerfall werden nicht mehr einzelne Netzwerkkomponenten direkt aufgerufen, sondern nur noch APIC. Der Controller kennt alle eingebundenen Switches und sämtliche an der Fabric angeschlossenen Systeme.

Über den Controller werden zudem alle notwendigen Netzwerkaufgaben erledigt. Zum Beispiel sorgt er dafür, dass alle Switches auf dem gleichen Software-Versionsstand sind. Er bietet auch Zugang zu allen Informationen über Performance, Security, Komponenten, System-Architektur und Kapazitäten innerhalb der Fabric.

Ergänzendes zum Thema
 
*Über Erwin Breneis

Alle diese Informationen sind immer im Kontext der Applikationen abgebildet, so dass schnell ein Zusammenhang von Abhängigkeiten und Auswirkungen dargestellt wird. Somit erhält das Netzwerk wieder die Visibilität bis in die Applikationen, die in den letzten Jahren zunehmend verloren ging. Zudem lassen sich Netzwerkeinstellungen automatisch dokumentieren, ob für die Fabric oder einzelne Applikationen.

Der Betriebsmodus ist wählbar

ACI kann in zwei Varianten betrieben werden:

  • Im Netzwerk Mode wird die aktuelle Netzwerkarchitektur in ACI nachgebildet. Diese Variante wird oft bei einem „Brownfield“-Ansatz verwendet. Er bietet einen einfachen Einstieg und hilft den Netzwerkverantwortlichen, ACI kennenzulernen.
  • Der Application Centric Mode wird meist in einem „Greenfield“-Einsatz umgesetzt. Hierbei werden alle ACI Funktionen eingesetzt. Neben des Applikations-zentrischen Ansatzes, der die Verschiebung von Workloads im Netzwerk unabhängig von deren IP-Adresse erlaubt, lassen sich zudem Netzwerk-Richtlinien vor dem Ausrollen testen. Änderungen werden einfacher und sicherer umsetzbar, da die Auswirkungen im Vorfeld sichtbar sind.

In beiden Fällen heißt es für die Netzwerkverantwortlichen, mit der GUI zu arbeiten und die Konfiguration über diese vorzunehmen. Dies bedeutet sicher einen Paradigmen Wechsel im Netzwerkbetrieb, aber in einigen Jahren werden die Netzwerke ausschließlich auf Basis eines zentralierten Managements verwaltet und betrieben.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44423363 / Virtualisierung)