面對ONF挑釁 思科用ACI回絕SDN挑戰
ONF成員曾經都說SDN能夠解決的網絡架構問題是思科的一道坎,甚至很多初創企業都渴望通過SDN變革嶄露頭角,面對挑釁思科很快推出了新的解決方案,看思科ACI如何解決當前網絡局限性。
思科ACI可以解決ONF白皮書中列出的所有傳統網絡局限性。思科ACI解決了這些局限性:
●復雜性: 思科ACI消除了網絡的復雜性。通過允許網絡路由和交換完全分布在整個架構,思科ACI可以從轉發解耦策略。思科ACI數據包轉發利用商品芯片和定制芯片組合來提供標準VXLAN橋接和路由,沒有性能損失,或對用戶及應用程序的負面影響。
此外,思科ACI可以應用策略,而不需要從網絡信息(例如IP地址)提取這個信息。它向每個VXLAN幀提供16位ID來識別數據包的源組,這種方法為最終用戶提供了靈活性,用戶無需豐富的網絡知識就可以修改網絡策略,并且不會影響網絡轉發。
思科ACI通過引入一個抽象模型(基于組的策略)進一步簡化了策略,讓用戶可以使用更高級別的抽象結構來定義連接,而不是具體的網絡語義。這種模型讓思科ACI的最終用戶可以定義策略規則,而不需要網絡知識,讓應用程序管理員和開發人員可以直接通過思科ACI策略表達他們的意圖,而不需要涉及IT網絡管理員。
●不一致的策略: 在大型網絡管理網絡策略的***挑戰之一是,保持大量設備策略配置的一致性。思科ACI通過APIC解決了這個問題,APIC作為思科ACI及相關物理和虛擬服務的管理中心店和中央策略權威。最終用戶只需要向APIC指定對基于組策略的期望意圖,APIC就會分配該策略到所有節點,如圖5所示。
▲使用思科APIC部署策略
思科APIC采用了一種允諾理論,完全分離抽象邏輯模型和實際模型,沒有對實際實體執行配置。這種允諾理論確保了策略一致性。
● 難以擴展: 思科ACI可以透明地擴展,支持連接、帶寬、租戶和策略變更。思科的主干分支拓撲結構支持向外擴展設計方法。如果需要傳統物理連接,可以添加分支節點,將它們連接到主干。同樣地,如果需要額外的帶寬或冗余性,則可以添加額外的主干節點。這種擴展部署模型還允許最終用戶從小處著手,隨后擴展到更大的環境,從而降低初始資本支出。然而,添加新的設備節點并不意味著增加管理點的數量。在通過APIC注冊新設備到ACI后,最終用戶可以從APIC管理整個架構,包括新設備。新設備的添加不需要管理員的干預。
租戶和策略也采用了向外擴展的做法。策略被集中存儲在架構中,并根據需要渲染到架構節點。思科APIC策略庫本身就是一個向外擴展的集群數據庫。它可以在單個集群中從3個節點增加到31個節點,這取決于租戶和策略的要求。即使是傳統集群節點,所有節點都被認為是活躍的,策略可以在任何集群成員中進行管理。
●供應商鎖定: 完成的思科ACI部署可能包括4-7層服務、虛擬網絡、計算和存儲資源、WAN路由器以及北向編排服務。思科ACI的主要優勢是它的開放性,及其發布的API、4-7層網絡設備封裝,以及使用開放OpFlex協議。通過這些開放的API、插件和協議,最終用戶可以逐漸增加功能到其解決方案,而不需要等待供應商來推出新功能。#p#
思科ACI滿足SDN的要求
如前所述,ONF已經指出需要新的網絡模型來解決計算領域的新興趨勢。其中的解決方案是SDN,SDN被定義為“一種計算網絡方法,允許網絡管理員通過抽象化較低級別功能來管理網絡服務”。
思科ACI解決方案滿足SDN的定義要求,但為了滿足SDN的要求,它還必須適應計算領域的新興需求,這包括:
● 不斷變化的流量模式: 如前所述,數據中心內東西流量在不斷增加,下一代數據中心需要對這種工作負載進行優化。思科ACI采用主干分支架構,非常適合東西工作負載,幫助確保一致的延遲性和性能。
現代數據中心的另一個要求是,隨時隨地可以訪問內容。思科ACI通過其無性能影響的網絡覆蓋來滿足這一要求,它允許應用程序和服務隨時隨地部署。它也非常適合于公共云、私有云或混合云部署。由于連接策略從網絡轉發抽象出來,更高層云編排平臺(例如OpenStack、CloudStack和微軟AzurePack)可以管理服務,而不是底層基礎設施。
● IT消費化: 思科還可以從很多方面幫助企業應對BYOD趨勢。首先,這個基于組的策略模型中內置了安全性和合規性;應用程序管理員必須明確授權給外部訪客才能使用應用或服務。其次,對安全策略的審計變成很簡單的工作,因為策略被定義在抽象的基于組策略中,而不是在具體的安全訪問列表或訪問權規則中。***,基于組的策略可以遷移到網絡其他領域,例如園區和分支辦事處。
● 云計算服務的興起: 通過從底層基礎設施抽象應用程序、安全策略和IT服務,思科ACI讓企業IT部門可以輕松部署私有云。通過基于組的策略,企業客戶可以花更多時間創建連接策略,而不需要管理單個網絡設備。此外,很多IT部門都會喜歡這種自助服務模型,并更可能部署它,因為他們可以保持對其敏感內容的控制權,而不是把控制權交給公共云。然而,如果企業稍后想要轉移某些工作負載到公共云,思科ACI基于組的策略可以讓企業輕松地移動網絡和安全策略;只要很小的修改,一致的基于組的策略配置文件定義也可以存在內部部署的私有云以及托管云中。
● 大數據需要更多帶寬: 思科ACI為托管大數據工作負載提供了***解決方案。除了提供可預測的低延遲,思科ACI還提供具有成本效益的向外擴展架構,允許最終用戶逐漸增加帶寬—通過添加額外的主干節點。另外,通過添加分支節點,還可以向大數據集群添加更多計算節點來提高性能。同時,思科ACI使用分布式擁塞感知負載均衡(CONGA),可以更有效地使用其架構帶寬。這個機制為網絡密集型應用程序減少了數據流完成時間。
思科ACI還提供了最終用戶試圖在SDN解決方案中尋求的其他功能,包括:
● 自動化配置和管理: 思科ACI提供對網絡基礎設施的自動化配置和管理。架構管理員可以透明地增加主干或分支節點到思科ACI架構,而不需要對設備本身的任何配置。思科APIC基于組的策略模型還可以實現對合作伙伴解決方案的自動配置,讓最終用戶不需要手動和單獨管理這些設備及系統。
● 能夠部署網絡端策略: 思科ACI將整個系統作為單一實體來管理,任何網絡端策略(無論是物理、虛擬還是4-7層網絡服務相關的策略)都可以通過APIC來定義、部署和管理。
● 提高安全性: Cisco ACI is multitenant aware. 安全性是應用為中心的模式的一部分。只有策略管理員通過基于組的策略定義哪些組可以通信,每個組可以使用哪個管道來通信,各組之間才可以連接。思科ACI可以支持多租戶,不同租戶的流量、連接和策略可以共享相同的基礎設施,而不會在租戶間泄露信息。思科ACI中所有可管理實體(被稱為對象)都有獨特的權限,管理員可以使用RBAC定義分配非常具體的安全控制。
● 對使用網絡的應用程序的更多可視性: 應用程序的定義直接以組策略配置文件(被稱為應用網絡配置文件)的形式提供給思科ACI。從這個配置文件中,思科ACI可以收集關于網絡依存關系的信息,并了解特定應用程序的執行情況,因為ACI正在監控底層對象。
● 提高可擴展性: 思科ACI架構的動態性質、使用向外擴展主干分支架構和集群數據庫等特點讓思科ACI成為當今市場上***可擴展性的SDN解決方案。此外,思科ACI可以使用終端位置信息來渲染硬件中的策略到執行點,即終端連接的點。此功能允許更大的可擴展性,而不需要過度配置策略資源。
● 動態創建和移動虛擬機: 思科ACI架構允許虛擬機靈活部署,無限制的虛擬機移動。思科ACI還創新地實現虛擬機移動的透明度。
● 創建私有或混合云: 對于想要部署私有云、公共云和混合云的企業而言,思科ACI是非常好的解決方案。大多數思科ACI早期部署者都是公共云服務提供商。除了可擴展性、安全性和靈活性,思科ACI還通過組策略模式提供網絡連接的抽象化代表。該功能在云計算部署中非常具有吸引力,因為這種部署的主要要求是抽象化網絡基礎設施的復雜性,對云服務的客戶不可見。
● 從整體配置網絡: 思科ACI允許整個架構被看做單個2層網絡或3層網絡虛擬轉發器。可以創建額外的專用網絡,但它們通常被配置作為單個實體。這種方法讓最終用戶可以部署新服務(網絡服務或應用程序),而不需要了解底層網絡如何被配置和連接。
● 基于文本的配置以簡化版本控制: 所有配置設置都表示為思科APIC的管理對象。這些管理對象可以通過API訪問,而API可以通過結構化REST命令(XML或JSON格式)來管理。此外,由于這些對象具有定義的結構—從底層物理和虛擬網絡抽象出來,相同的配置文件定義可以用于在完全不同的思科ACI架構中部署相同的連接策略。
● 除SNMP和CLI外的先進網絡管理工具: 除了SNMP和CLI,思科ACI對象模型XML和JSON格式的REST接口、GUI和一些軟件開發工具包。除了一般的網絡設備管理,思科ACI還包括其他SDN解決方案中沒有的創新管理功能。例如,思科ACI提供健康評分,它會獲取底層、覆蓋、物理、虛擬和生態系統設備的依賴關系,并將這些信息轉換為特定對象的健康評分。這些分數可以轉換為終端組水平、應用網絡配置文件水平或租戶水平的更高水平的分數,以提供更直觀的視圖。最終用戶可以使用這個視圖來解決思科ACI架構中的異常情況。原子計數器是另一個思科ACI創新。
這個計數器可以計算進入和離開架構的數量,還可以范圍縮小到計算單個分支節點。通過創建流量地圖,原子計數器讓最終用戶可以看到架構中的高、中、低使用區域,并發現思科ACI架構中流量下降的位置。
Gartner副總裁兼著名分析師Joe Skorupa在2013年3月描述他對SDN的愿景時簡單定義了思科ACI的價值:“在數據中心方面,SDN是策略驅動型數據中心的組成部分。它為連接網絡到數據中心內的其他組件提供了可編程連接性,提供了一個綜合、功能型系統。例如,配置應用程序可以指定CRM應用程序的實例在特定序列必須提供某些服務,并應確保流量在正確序列通過適當的設備。”#p#
SDN面臨新的挑戰
雖然SDN、基于軟件的虛擬覆蓋和Openflow為傳統和新興計算工作負載提供了解決方案,但現在除了在學術和研究機構,很少數據中心部署了軟件覆蓋和Openflow。這種低部署率是因為一些新挑戰,包括以下:
● 基于軟件的虛擬覆蓋難以管理和故障排除: Joe Skorupa在2013年3月的問答環節中確定了這一挑戰:“這種基于軟件的虛擬覆蓋做法的***限制是,它不能解決管理底層基礎設施的問題,在覆蓋中調試問題很復雜,并且它不支持裸機主機。”
基于軟件的虛擬覆蓋的根本問題是,它們與底層物理基礎設施很少或沒有關系,底層網絡中的任何下降不能簡單地追溯到受影響的服務和應用程序。此外,基于軟件的虛擬覆蓋可能由不同的團隊管理,使用不同的技能,這個團隊可能無法解決終端到終端網絡連接問題,導致IT運營部門以及供應商的指責。在傳統網絡中,這種缺點可能更加嚴重,因為傳統網絡不靈活,但至少這種網絡有可預測性。
● OpenFlow協議對于數據中心太原始和具體化: 網絡交換機中的OpenFlow對輸入數據包使用匹配函數(通常是基于現有網絡字段屬性,例如源MAC地址或目標IP地址),然后采取一些行動,這可能要取決于交換機部署,但通常涉及通過給定物理或邏輯端口轉發數據包。
對于大多數數據中心用例,不需要這種細致的控制,因為數據中心的帶寬通常很豐富。因此,可能不需要基于網絡表頭參數的詳細路徑決定,并可能給數據中心網絡管理員帶來不必要的開銷。
此外,OpenFlow協議假定特定硬件架構使用一系列通用表查詢來生成行動到數據包。這種對底層硬件架構的看法限制了可擴展性和可移植性。更高的抽象水平允許不同的特定硬件架構提供特定的優勢,同時滿足API的要求。
● 商品芯片沒有為OpenFlow優化: 大多數商品芯片都是為一般數據中心工作負載進行了優化。通常情況下,這種部署分配大量內存到轉發表來執行最長前綴匹配和鄰接,地址解析協議(ARP)和MAC及IP地址綁定查詢;部分內存到ACL,通常使用三態內容可尋址存儲器(TCAM)--優化用于掩蔽、數據包匹配和動作集。
OpenFlow表使用交換機內后一種形式的內存。然而,轉發存儲器在ACL內存內不容易更改,所以,現在的商品芯片中安裝流條目的內存總量很有限。如前所述,如果出現任何故障,數據包可能會被意外刪除或轉發到SDN控制器以作進一步處理。
思科ACI如何解決SDN新挑戰
下一代SDN架構必須解決所有這些挑戰,讓我們來看看思科ACI的做法:
● 基于軟件的虛擬覆蓋難以管理和故障排除: 思科ACI不僅僅依靠基于軟件的虛擬覆蓋來進行連接。雖然思科ACI確實部署了網絡覆蓋,但它在硬件中被實例化,并且,ACI的管理功能具有足夠的智能來提供全面的協調和情境化來展現底層或覆蓋網絡中哪些服務受到故障影響。
需要注意的是,思科ACI既支持終止在思科ACI架構的基于軟件的覆蓋,也支持在上面運行的覆蓋。這些是部署的可選模式,最終用戶可以決定如何部署工作負載。重點是,思科ACI不依賴于基于軟件的覆蓋來實現靈活性。
● OpenFlow協議對于數據中心太原始和具體化: 除了提供自動化和靈活性,思科ACI還通過基于組的策略來描述數據中心的連接。由于策略意圖被抽象化,最終用戶可以定義數據中心內某些事物如何連接到其他事物。這種抽象化的策略讓云編排工具、應用程序和安全管理員更容易使用。
● 商品芯片沒有為OpenFlow優化: 思科ACI使用商品芯片和思科開發的芯片來提供適當的功能,并且該解決方案的價格***吸引力。思科Nexus 9000系列交換機中的定制芯片包括內存表結構,使某些功能可以卸載到主板商品芯片,定制芯片專門用于策略執行、封裝規范化和VXLAN路由等功能。
結論
IT行業正在經歷重大的轉變,BYOD、大數據、云計算、IT即服務和安全都是熱門趨勢。與此同時,企業希望降低總體IT支出(通過降低資本開支和運營開支),以及提高整體IT靈活性來向業務部門和職能部門提供更好的服務。網絡行業很多人認為SDN是推動行業前進的模型,但該技術的部署面臨挑戰。
思科ACI并不是SDN的競爭對手,而是作為催化劑,以幫助推動SDN在整個IT行業的部署:在本質上,作為SDN愿景的推動者。雖然有些人稱思科ACI不是SDN,根據ONF白皮書對SDN的定義,思科ACI確實滿足SDN的要求。思科ACI也更進了一步,解決了OpenFlow尚未解決的領域。
最終,業界將會是思科ACI(和SDN)是否成功的裁判,但從目前的興趣和部署勢頭來看,思科ACI很可能成為數據中心網絡的新常態。
