為了因應雲端時代的虛擬化、二層多路徑與彈性化要求,又要降低設備和營運支出,減少雜亂和複雜度,更需有效地使用共用的網路資源,同時確保服務的連續性,是資料中心基礎網路架構目前最立即需要面對的難題。
以應用為中心的架構
現今的資料中心所面臨的挑戰和以往有很大的不同,在客戶需求快速變化下,面臨到的主要挑戰是,如何在快速變化的客戶需求與資料中心的容量間取得平衡。建設新的資料中心與優化,均是需要長時間規劃與大量金錢投資的工程。以建設一個資料中心為例,此過程中會先進行規劃範圍、與廠商討論新技術的導入然後進行採購,經歷這些過程到開始營運需要至少一年到一年半的時間,另外,客戶的需求變化比以前加快許多,如果無法即時提供,則可能流失掉新的客戶甚至於既有的客戶。但營運者卻很難準確預估一年後的市場需求,而這些挑戰無疑地增加了資料中心營運的風險及成本。
 |
| ▲ ACI架構模式著眼於降低運營成本、提升彈性調度靈活性、增加網路基礎架構應用服務連接及可量測管理等要求,可支援新出現的應用服務,同時為現有的架構提供維護遷移路徑。 |
有鑒於此,思科從客戶端看到資訊長及營運長的需求,例如降低運營成本、提升彈性調度靈活性、增加網路基礎架構應用服務連接及可量測管理等,因而開發出一個新的架構Application Centric Infrastructure(ACI),從根本上簡化、優化並加快整體應用服務部署的生命週期。
思科ACI架構模式是基於交換矩陣的概念,緊密結合軟體和硬體。此概念設計可用於支持新出現的應用服務要求,同時為現有的架構提供維護遷移路徑。其核心價值是「資料中心在提供各種應用服務前,可與業務單位共同研討,讓業務與服務提供之間採用相互關聯的動態和靈活方式」。在網路基礎設備上,可根據業務服務需求來確定如何運行網路策略和邏輯拓樸。
 |
| ▲ ACI策略模型先透過映射的方式將各個服務屬性歸類群組,然後再與虛擬網路或實體網路進行關聯配置,管理者將不再需要考慮網路層級的聯通問題。 |
簡而言之,ACI的組成架構共有三個基本單元。1. 網路策略模型,亦即將網路裝置按容器式的結構劃分以及描述設備連接情況的組織原則。2. APIC(應用基礎設備控制器),即SDN中的控制器,提供所有配置策略的管理和資訊匯集處理。3. ACI應用基礎設備架構,即是組成ACI的所有實體和虛擬網路設備的抽象概念。
網路策略模型
ACI策略模型採用一種基於GBP-Group Based Policy概念的網路連接配置方法。舉例來說,假設要為資料中心部署典型的三層網路應用服務,該服務可能包含前端網頁層、中端應用層以及後端資料庫層;同時還要將該服務與外部網路進行連接。透過此概念,我們可以直接定義該服務所需要的網路連接配置策略。
在多數的應用服務需求下,可以先透過映射的方式將各個服務屬性歸類,然後再與虛擬網路或實體網路進行關聯配置。透過這簡易的連網服務過程中,應用服務的管理者,將可以採用自助方式快速提供客戶所需的應用服務,而不再需要考慮網路層級的聯通問題。
APIC應用基礎設備控制器
ACI的策略是經由APIC進行配置。它們為所有的服務提供配置策略以及任何有關於網路架構連接、管理、監控以及故障排除的策略,正如軟體定義網路的觀點「集中管理與單一平台的策略實行」。但需要注意的是,APIC並非只用於轉發或查詢之用。實際上,一旦在APIC中配置某種服務,此服務是可以移動的,而這個移動性也不會影響任何功能。
ACI應用基礎設備架構
ACI採用矩陣方式構連,也是網路架構的實體與虛擬設備的集合,它支援包括查詢、轉發與策略實行等在內的所有數據平面(Data Plane)功能的處理。
而用於構建出符合資料中心所需各類型服務的網路架構核心,即是思科最新推出的Nexus 9000系列旗艦版的資料中心交換器。這些交換器根據用途可分成Spine與Leaf兩種角色,並具備可橫向擴展的網路連接、高性能轉發與多樣化的彈性部署。
 |
| ▲正如同軟體定義網路主張的「集中管理與單一平台的策略實行」,APIC為所有的服務提供配置政策以及任何有關於網路架構連接、管理、監控以及故障排除的政策。 |
從ACI的網路部署設計角度來看,所有的設備都是連接至Leaf交換器,而能夠連接至Spine交換器的設備只有Leaf交換器。ACI平台的網路架構是基於採用IPv4路由選擇作為其「底層」的網路協議,並加上新一代虛擬網路的架構平台技術VxLAN,作為服務之間的封裝隧道,從而能夠在整個ACI架構中達到L2與L3網路之間點對點的橋接或路由選擇。
與虛擬平台相整合
在資料中心的業務服務需求下,除了實體網路與服務的構連外,還有虛擬網路(vSwitch)與網路功能虛擬化(NFV)的互聯需求。在思科創造新的資料中心網路構連概念「ACI」的基礎架構下,已經將這些需求與未來的趨勢考量其中。因此ACI可以整合不同管理平台中的vSwitch,無論是透過vCenter運行的VMware,或是透過SCVMM的Windows Server 2012 R2,或者是透過OpenStack管理的OVS,只要在APCI中安裝各該原廠的擴充套件,即可統一控制網路服務。
 |
| ▲ 從ACI的網路部署設計角度來看,所有的設備都是連接至Leaf交換器,而能夠連接至Spine交換器的設備只有Leaf交換器。 |
除了實體與虛擬網路的整合,APCI還可以與L4-7的網路服務提供商的設備間進行相互協調、自動化控制以及網路鏈路的連接;而設備互聯間的網路策略也隨之向下延伸至這些網路服務,這樣一來,網路服務管理員無需對每台設備進行單獨管理。因此可以說ACI超越了思科Nexus 9000平台,更超越了現今OpenFlow架構下的SDN網路,並且涵括了與目前市場上佔有率較高的虛擬化平台與L4-7的網路服務商的整合。
新世代的資料中心在ACI網路架構下,除了快速轉送各種業務服務的封包之外,還提供以端對端服務的健康評分。在導入ACI後的業務服務部署,服務管理員若需要對其監督的業務,獲知運行的具體狀況以及實現用戶預期使用此服務的程度,可透過專屬的網頁解析「Health Scores」,就能深入、細緻地衡量服務的健康度。這個分數是由多種因素所演算出來的,諸如端口錯誤或VM佔用ESX主機過多的CPU資源等等。
 |
| ▲透過專屬的網頁解析Health Scores,就能深入、細緻地衡量服務的健康度。 |
就整體資料中心導入ACI的綜效來看,短期投資的成本會高於既有的架構,但以長期來看,ACI作為新一代資料中心的基礎網路架構,在營運成本與服務提供成本等多方面來看,將會大幅度低於現有的部署架構,並能成為推動資料中心多樣化服務繼續向前發展的基石。
(本文作者現任凌群電腦電信網路與雲端基礎建設技術顧問)