思科應用為中心的基礎設施(ACI)

思科ACI是新的數據中心架構，旨在解決現在傳統網絡的需求，以及滿足新計算趨勢和業務因素給網絡帶來的新興需求。

▲思科ACI的概括圖

使用基于組策略的應用為中心的策略模型

正如上文所說，當前網絡技術的最大挑戰之一是網絡協議和功能、轉發和策略的緊密耦合。因為這種耦合，策略中的變更可能會給轉發帶來不利影響。此外，由于網絡協議和功能被設計用于其特定的用例，操作這些協議和功能需要非常了解網絡語義。

為了在數據中心基礎設施提供靈活性和簡單性，需要新的語言描述連接的抽象化意圖，以使最終用戶不需要豐富的網絡知識來描述連接的需求。此外，這個意圖應該從網絡轉發語義中解耦，以便最終用戶可以描述策略，讓策略中的變更不會影響轉發行為。

在思科ACI出現之前，并不存在這種抽象的解耦策略模型，思科創造了這樣的模型，被稱為基于組的策略(GBP)，這是OpenStack和OpenDaylight中的工作項目。

OpenDaylight稱基于組的策略是“應用為中心的策略模型，它分離了關于應用連接要求的信息與關于底層網絡基礎設施的詳細信息”。

這種方法提供了很多優勢，包括：

● 更簡單的以應用為中心的表達策略： 通過創建策略來映射應用程序語義，這個框架提供了更簡單的自我記錄機制來捕捉策略要求，而不需要非常了解網絡。

● 提高自動化： 分組結構允許更高級別的自動化工具簡單地同時操作網絡端點組。

● 一致性： 通過分組端點和應用策略到各組，該框架提供了一致的方法來處理策略變更。

● 可擴展策略模型： 由于這種策略模型是抽象的，沒有綁定到特定網絡部署，它可以簡單地捕捉連接、安全、QoS等。

思科ACI在其應用為中心的策略模型中廣泛利用了基于組的策略，其中通過整合端點(物理或虛擬)到端點組(EPG)來定義連接。當最終用戶在EPG之間確定合作關系時，就會定義連接。最終用戶不需要了解創建這種連接所使用的協議或功能。

▲應用程序為中心的策略模型#p#

思科應用策略基礎設施控制器(APIC)

一般情況下，人們希望整個網絡的策略保持一致。然而，在現有網絡中管理策略的主要挑戰之一是設備的數據以及確保一致性。APIC解決了這個問題。

思科APIc是一個分布式系統，它作為控制器集群來部署。它提供單一的控制點、中央API、全球數據的中央存儲庫，以及基于組策略數據的存儲庫。

思科APIC是通過基于組策略表示的基于策略配置的統一點。思科APIC的主要功能是為思科ACI架構及設備提供策略權威和策略解析機制。自動化是策略解析的直接結果，并呈現其影響在思科ACI架構中，讓最終用戶不再需要觸碰每個網絡元素以及手動確保所有政策得到適當配置。需要注意的是，思科APIC不參與轉發計算或路由配置，這提供了額外的可擴展性、穩定性和性能。

▲思科APIC在ACI架構中的作用

思科APIC與思科ACI架構通信來分配策略到連接點，并向該架構提供關鍵管理功能。思科APIC并不直接參與數據平面轉發，因此，集群中所有思科APIC元件的斷連并不會影響轉發功能，這提高了整個系統的可靠性。

通常情況下，策略根據需要或管理靜態捆綁來分配到節點，這可以在整個架構實現更大的可擴展性。

思科APIC還提供對多租戶的支持，讓多個興趣小組(企業內部或外部)可以安全地共享思科ACI架構，仍然可以根據需要訪問共享資源。思科APIC還支持基于角色的訪問控制(RBAC)，從而可以對整個架構的角色授予權限(讀取、寫入或兩者皆有)。

思科APIC還有完全開放的API，用戶可以使用基于具象狀態傳輸(REST)的調用(通過XML或JavaScript對象符號)來配置、管理、監控系統或排除故障。此外，思科APIC包含一個CLI和GUI作為對整個思科ACI架構的管理中心點。#p#

思科ACI架構

如前所述，隨著工作負載的不斷發展，流量正逐漸變成東西方向。網絡需要更快響應動態的虛擬化和云計算工作負載，并適應變得更大的數據集。

▲思科ACI架構

在下一代數據中心架構的設計中，可擴展性、簡便性、靈活性和效率是主要目標。在設計思科ACI架構時，思科需要考慮數據中心面臨的所有新挑戰，還需要了解和迎合現有的挑戰。思科ACI架構(圖4)被設計為同時解決現在和未來的要求，以下為主要目標：

● 可擴展架構： 思科ACI架構是基于一種最有效和可擴展的網絡設計模型：主干加分支式二分圖，其中每個分支連接到每個主干。為了減少架構中活動形成熱點的可能性，所有設備連接到架構的分支節點。這種方法允許架構提供簡單的方法來擴展連接設備的數量，通過添加更多分支節點。如果該架構截面帶寬的數量需要增加，管理員只需要增加主干節點即可。這種靈活性允許該架構作為小環境開始，根據需要，逐漸發展為更大的環境。該架構還是用基于標準的IP路由接口來構建，在更大的向外擴展部署中提供更大的靈活性。

● 可擴展性： 這種ACI架構具有高度可擴展性。架構管理員可以整合虛擬網絡(通過整合微軟System Center Virtual Machine Manager)以及4-7層網絡服務(防火墻、負載均衡器等)。這種整合允許最終用戶使用思科APIC中基于組的策略來明確連接要求，而虛擬網絡和4-7層網絡服務的配置將會自動被渲染在相應的終端系統，讓用戶不再需要協調這些設備的連接和策略。未來軟件版本還將包括WAN路由器集成。

● 簡便性: 雖然網絡域中存在眾多協議和功能，該架構的作用很簡單：隨時隨地提供連接。思科ACI架構不支持很多協議和功能，它在設計時考慮的事數據中心用例。其結果是，沒有不必要復雜性的簡化架構。單個內部網關協議(IGP)被選定作為底層架構節點發現協議：中間系統到中間系統的路由選擇協議(IS-IS)，這個協議可以非常有效地檢測鏈路故障，并從這些故障中恢復?；跇藴实目蓴U展局域網(VXLAN)為面向租戶的流量提供了簡單的覆蓋，支持2層網絡橋接和3層路由。

● 靈活性： 思科ACI架構支持本地功能，允許用戶在整個架構的任何地方連接到任何主機。通過使用集成VXLAN覆蓋，流量可以靈活地橋接和路由。此外，思科ACI架構可以規范化來自主機及其各自該虛擬機管理程序的不同封裝類型，包括VLAN、VXLAN和NVGRE。此功能允許物理、虛擬和基于容器的主機同時存在共享的基礎設施。另外，下一代數據中心架構需要向后兼容老舊的應用程序，這些程序可能不是基于IP或可能使用網絡泛濫語義用語發現和通信。思科ACI架構可以同時支持現代數據中心要求和傳統基于裸機及大型機應用程序的要求。

● 效率： 思科ACI架構的主干分支式二分圖架構的優勢是，在該架構中，每個主機與其他主機相距兩個物理跳數。對于需要機器間大量東西流量的大數據工作負載，思科ACI架構提供了可預測的低延遲線。這種方法還可以有效支持傳統數據中心應用程序。這種思科ACI架構在架構帶寬效率方面超越了其他傳統主干分支架構，因為它考慮了數據包達到時間、端至端架構擁塞，讓交換作出更智能的負載均衡決策。

● 投資保護： 客戶可能想要其現有IP網絡中的應用程序加入思科ACI架構策略。思科ACI架構可以確保投資保護，思科APIC管理現有網絡中虛擬或物理服務器的策略。對于虛擬服務器，它們連接到應用為中心的虛擬交換機(AVS)，并可用于思科ACI，在現有思科Nexus網絡中。AVS作為思科ACI主干分支架構的虛擬分支，由于邊緣交換機連接到思科ACI，它可以根據思科ACI策略規則轉發流量，并使用思科ACI管理的4-7層網絡服務。對于物理服務器，思科Nexus 9300平臺交換機作為現有覆蓋網絡的接入層交換機。與其他軟件定義網絡覆蓋解決方案相比，這個解決方案為物理和虛擬工作負載提供了公共基礎設施，并有更先進的應用為中心的策略模型。

開放API、合作伙伴生態系統和OpFlex

思科ACI支持可擴展的合作伙伴生態系統，其中包括4-7層網絡服務;虛擬機管理程序;以及管理、監測和云編排平臺。所有合作伙伴都使用思科ACI的開放API和開發工具包、設備封裝和插件，以及新的策略協議—OpFlex，它用于交換基于組的策略信息。

● 開放API： 思科ACI支持通過REST接口的API接入、GUI和CLI以及一些軟件開發工具包(包括Python和Ruby)。思科APIC支持跨HTTP/HTTPS的REST API，并綁定XML和JSON編碼。這個API同時提供類級別和樹級數據訪問。REST是分布式系統軟件架構，多年來，它一直是領先的Web服務設計模型，并已經逐漸取代簡單對象訪問(SOAP)和Web服務描述語言(WSDL)等其他設計模型。

●合作伙伴生態系統和OpFlex： 南向API—OpFlex是開放的可擴展策略協議，用于在策略控制器(例如思科APIC)和任何設備(包括管理程序交換機、物理交換機和4-7層網絡設備)之間的XML或JSON傳輸抽象策略。思科的合作伙伴包括英特爾、微軟、Red Hat、Citrix、F5、Embrane和Canonical，現在他們正與IETF和開源社區合作來規范OpFlex，并提供參考部署。

OpFlex是一種新機制，它用于從現代網絡控制器向一組能夠渲染策略的智能設備傳輸抽象策略。很多現有協議(例如Open vSwitch數據庫管理協議)專注于命令控制，而OpFlex則是作為聲明性控制系統(例如思科ACI)的一部分，其中抽象策略可以按需共享。這種模型的主要好處之一是能夠暴露底層設備完整的功能集，允許區分硬件和軟件對象。

除了在開源社區的部署，OpFlex是一種主要機制，它允許其他設備可以與思科APIC交換和執行策略。OpFlex定義了這種互動。因此，通過使用思科ACI整合思科及其合作伙伴的一些設備，企業可以獲得投資保護。