[Chú ý: Đây là thứ ba một loạt bốn phần trên giao thức OpFlex trong Cisco ACI, làm thế nào nó cho phép một mô hình chính sách ứng dụng trung tâm, và tại sao các giao thức SDN khác thì không. Phần 1 | Phần 2| Phần 4 ]
Các Cisco ACI vải được thiết kế như một mạng thông minh ứng dụng trung tâm. Các Cisco APIC mô hình chính sách được xác định từ trên xuống dưới như một công cụ thực thi chính sách tập trung vào bản thân ứng dụng và trừu tượng hóa các chức năng mạng bên dưới. Các mô hình chính sách kết hợp với khả năng phần cứng tiên tiến của vải Cisco ACI cơ bản hệ thống kiểm soát kinh doanh ứng dụng tập trung.
Các chính sách mô hình hướng đối tượng Cisco APIC được xây dựng trên khái niệm thực thi chính sách phân phối cho các thiết bị thông minh được kích hoạt bởi OpFlex và đặc trưng bởi sự phát triển hiện đại và hoạt động ( DevOps ) các ứng dụng như múa rối và đầu bếp .
- Giải pháp an ninh hệ thống và bảo mật thông tin
- Giải pháp sao lưu dự phòng và khôi phục dữ liệu
- Giải pháp quản trị hệ thống tập trung
- Giải pháp phòng chống thảm họa
Ở cấp độ đầu, mô hình chính sách Cisco APIC được xây dựng trên một loạt các một hoặc nhiều người thuê nhà, cho phép chính quyền cơ sở hạ tầng mạng và luồng dữ liệu được tách biệt. Người thuê nhà có thể là khách hàng, đơn vị kinh doanh, hoặc các nhóm, tùy thuộc vào nhu cầu của tổ chức. Dưới đây người thuê nhà, các mô hình cung cấp một loạt các đối tượng để xác định các ứng dụng riêng của mình. Các đối tượng này là thiết bị đầu cuối và các nhóm thiết bị đầu cuối (EPGs) và các chính sách để xác định các mối quan hệ của họ (xem hình bên dưới). Mối quan hệ giữa hai điểm đầu cuối, mà có thể là hai máy chủ ảo kết nối trong một ứng dụng web ba lớp, có thể được thực hiện bằng cách định tuyến lưu lượng giữa các thiết bị đầu cuối để tường lửa và ADCs rằng thực thi an ninh và chất lượng dịch vụ (QoS) thích hợp cho việc áp dụng chính sách và những thiết bị đầu cuối.
Đối với một mô tả kỹ hơn về các mô hình chính sách ứng dụng Cisco ACI, vui lòng tham khảo sách trắng này , hoặc một này cụ thể hơn về Endpoint Groups.
Đối với các cuộc thảo luận này, các tính năng quan trọng cần lưu ý là cách mà các chính sách Cisco ACI được áp dụng cho thiết bị đầu cuối ứng dụng (khối lượng công việc vật lý và ảo) và EPGs. Cấu hình các thiết bị mạng cá nhân là phụ trợ cho các yêu cầu của ứng dụng và khối lượng công việc. Thiết bị cá nhân không yêu cầu kiểm soát chương trình như trong mô hình SDN trước, nhưng được phối theo chính sách quy định trực thuộc Trung ương và được quản lý theo các chính sách ứng dụng.
Mô hình này được tổ chức đánh bắt trong ngành công nghiệp và trong cộng đồng mã nguồn mở. Các tổ chức OpenStack đã bắt đầu làm việc trên bao gồm các chính sách nhóm dựa trên mở rộng API OpenStack Neutron cho mạng dàn nhạc với một mô hình dựa trên chính sách khai chặt chẽ dựa trên các chính sách EPG từ Cisco ACI. (Lưu ý: “khai báo” đề cập đến mô hình dàn nhạc, trong đó kiểm soát được phân phối đến các thiết bị thông minh dựa trên các chính sách tập trung, trái ngược với giữ lại mỗi dòng điều khiển quản lý trong điều khiển chính nó.)
Hình dưới đây (từ OpenStack website) cho thấy mô hình chính sách nhóm mở rộng các khái niệm mạng OpenStack hiện có của mạng và các cảng bằng cách áp dụng các đối tượng mạng để một phân loại mới, được gọi là thiết bị đầu cuối, có kết cục sau đó tiếp tục phân loại thành các nhóm. Chính sách được áp dụng cho các nhóm thiết bị đầu cuối, với các chính sách bao gồm phân loại, quy tắc, và hành động.
Như đã nêu trong đề xuất chính sách nhóm ban đầu :
Ưu điểm chính của các phần mở rộng được mô tả trong bản thiết kế này là họ cho phép một giao diện để Neutron mà là nhiều ứng dụng trung tâm hơn so với hiện tại API Neutron . Ví dụ, Neutron API hiện nay là tập trung vào rất mạng lưới trung tâm cấu trúc: cổng, mạng lưới, mạng con, các bộ định tuyến, và các nhóm bảo mật. Trong bối cảnh mạng, những ý nghĩa hoàn chỉnh. Nhưng trong bối cảnh củađám mây ứng dụng, đây là cồng kềnh hơn mức cần thiết. Phát triển ứng dụng nghĩ rằng trong điều kiện khác nhau, các khái niệm trừu tượng chính sách và nhóm được thiết kế để cho phép sự linh hoạt mà một nhà phát triển ứng dụng có thể muốn khi lập trình một cái gì đó giống như Neutron.
Mục tiêu của các phần mở rộng API là họ trở thành giao diện chính để Neutron cho những triển khai ứng dụng bằng cách cung cấp một giao diện đơn giản, trong đó để tiêu thụ tài nguyên Neutron.
Tương tự, OpenDaylight mã nguồn mở nhóm điều khiển được làm việc trên quy định cụ thể một plug-in chính sách nhóm cho bộ điều khiển OpenDaylight. Trong trường hợp này, ngoài việc áp dụng các mô hình cùng một chính sách tập trung vào các nhóm thiết bị đầu cuối, các nhóm làm việc điều khiển được xác định API hướng bắc từ bộ điều khiển để chấp nhận chính sách trừu tượng dựa trên các yêu cầu ứng dụng từ các công cụ dàn nhạc và các hệ thống như OpenStack, và cung cấp nhiều giao diện hướng Nam để cho phép các phần tử mạng được lập trình và quản lý dựa trên các chính sách ứng dụng.
Dự án OpenDaylight trang web liệt kê những ưu điểm của phương pháp tiếp cận chính sách nhóm choSDN điều khiển:
- Dễ dàng hơn, cách ứng dụng tập trung để thể hiện chính sách: Bằng cách tạo ra các chính sách phản ánh ngữ nghĩa ứng dụng, khuôn khổ này cung cấp một cơ chế tự tài liệu đơn giản để chụp hình yêu cầu chính sách mà không đòi hỏi kiến thức chi tiết của mạng.
- Cải thiện tự động hóa: Nhóm các cấu trúc cho phép các công cụ cấp cao hơn tự động hóa để dễ dàng thao tác các nhóm thiết bị đầu cuối mạng cùng một lúc.
- Tính nhất quán: Bằng cách nhóm các thiết bị đầu cuối và áp dụng chính sách cho các nhóm, khuôn khổ cung cấp một cách nhất quán và chính xác để xử lý các thay đổi chính sách.
- Mô hình chính sách mở rộng: Bởi vì mô hình chính sách là trừu tượng và không gắn với việc triển khai mạng cụ thể, nó có thể dễ dàng nắm bắt kết nối, an ninh, lớp 4 đến 7, QoS, vv
Như chúng ta có thể thấy, nguồn SDN mở của cộng đồng đang hướng tới mô hình chính sách nhóm dựa trên vốn có trong Cisco ACI, được kích hoạt bởi các OpFlex giao thức, cũng như ngôn ngữ chính sách riêng của mình. Những nỗ lực này được hỗ trợ bởi một cộng đồng đa dạng của các nhà cung cấp và các nhà cung cấp giải pháp, bao gồm cả IBM, Red Hat, Plexxi, Midokura, và Big Switch cũng như những người tham gia OpenDaylight. Điều gì đang đến với nhau không chỉ là một tập hợp các giao thức SDN hoặc các trường hợp sử dụng, nhưng toàn bộ kiến trúc cho các chính sách chia sẻ dữ liệu và hành động.
Các phần cuối cùng của loạt bài blog này sẽ xem xét các ứng dụng của mô hình ACI Group Policy để DevOps.
Tags: Chef , Cisco ACI , Cisco APIC , devops , Group Policy , mở ánh sáng ban ngày , OpenStack , Múa rối, SDN