Cisco Application Centric Infrastructure (Cisco ACI)
Инфраструктура ориентированная на приложение

Фабрика ACI состоит из коммутаторов Nexus 9000 и управляющих контроллеров Application Policy Infrastructure Controller (APIC). Имеется возможность подключения Cisco Nexus 2000 как расширителей портовой емкости FEX. В основе решения – гибкая архитектура Spine-Leaf (Clos Network), которая позволяет наращивать производительность сети горизонтально в зависимости от требований заказчика.

Решение имеет ряд принципиальных новшеств и отличий от аналогов. Отметим наиболее важные из них. Архитектура ACI дает возможность определить требования приложений к сети ЦОД в терминах простых абстрактных и переиспользуемых политик, которые никак не привязаны к конфигурации сетевых устройств. Это позволяет упростить и автоматизировать процесс управления, а также снизить временные затраты как при первоначальной настройке, так и в процессе эксплуатации.

ACI обладает потенциалом для масштабирования. Фабрика поддерживает тысячи логических организаций, десятки тысяч подключений и до миллиона IPv4 и IPv6 хостов. Это особенно важно, например, для владельцев облачных сервисов с большой клиентской сетью. Решение также автоматически оптимизирует распределение трафика внутри сети, что значительно ускоряет работу приложений и позволяет задействовать все каналы связи, тем самым повышая эффективность использования сети ЦОД.

Сетевую фабрику ACI выделяет из ряда схожих продуктов возможность определять требования приложений к сети ЦОД в терминах простых абстрактных и переиспользуемых политик, которые не привязаны к конфигурации конкретных сетевых устройств. В решении по умолчанию используется модель, позволяющая передавать данные только в том случае, если администратором заданы соответствующие правила и политики. ACI также допускает одновременное использование нескольких разных гипервизоров, позволяет гибко внедрять различные сервисы и организовывать сервисные цепочки обработки трафика, которые включают в себя как физические, так и виртуальные устройства.

История развития

2018: Cisco ACI 4.0

23 октября 2018 года компания Cisco Systems представила обновление решения Cisco ACI версии 4.0. Основная особенность решения: подход к конфигурации, основанный на намерениях пользователей и требованиях приложений, а также автоматизация всех рутинных операций. Все это позволяет компаниям сокращать затраты на эксплуатацию сети.

Среди возможностей системы, ставших доступными для российских заказчиков в версии 4.0: функционал виртуального ЦОД (vPOD) и появление частично виртуализированных контроллеров ACImini. Виртуальный ЦОД позволяет заказчикам подключить к сетевой фабрике часть существующего ЦОД, построенную на оборудовании, отличном от линейки коммутаторов Nexus 9K. В результате заказчики получают возможность расширить состав систем, работающих под управлением ACI, без необходимости обновления оборудования.Российский рынок ITSM: драйверы и тренды, крупнейшие игроки. Обзор TAdviser 8.1 т

Частично виртуализированная фабрика ACImini позволяет снизить для заказчиков порог вхождения путем замены части физических серверов контролера ACI на виртуальные машины. В конечном счете, этот инновационный подход позволяет заказчикам развивать свою ИТ-инфраструктуру и применять принципиально новые бизнес-модели.

2017: Cisco ACI 3.0

Компания Cisco 13 ноября 2017 года представила обновление решения Application Centric Infrastructure (Cisco ACI). С помощью ПО версии 3.0 заказчики смогут повысить маневренность бизнеса благодаря автоматизации сети, упрощению управления и оптимизации безопасности при любой комбинации задач, выполняемых в контейнерах, на виртуальных машинах и невиртуализированных серверах в частных облаках и локальных ЦОД.

Как пояснили в Cisco, функциональность ACI, позволяющиая управлять несколькими сайтами, автоматизирует с помощью централизованных политик основные ИТ-операции по множеству ЦОД и облегчает операторам централизованное перемещение и контроль нагрузок, что стало важным шагом на пути реализации Cisco стратегии ACI Anywhere.

Ряд функций ACI 3.0:

• Управление распределенными (multi-site) ЦОДами.
  • С помощью единого портала управления пользователи могут бесшовно соединять различные географически распределенные фабрики ACI и управлять ими, обеспечивая повышение доступности благодаря изоляции доменов отказа, и глобальное видение сетевых политик через единый портал управления. При этом упрощаются задачи катастрофоустойчивости и горизонтального масштабирования приложений.

• Интеграция с Kubernetes.
  • Заказчики получили возможность разворачивать свои задачи в качестве микросервисов в контейнерах, определять для них сетевые политики ACI с помощью Kubernetes и создавать унифицированные сетевые структуры для контейнеров, виртуальных машин и аппаратных серверов. Таким образом, теперь в ACI достигается столь же высокий уровень интеграции контейнеров, как и для различных гипервизоров.

• Повышение операционной гибкости и улучшение визуализации.
  • Интерфейс ACI следующего поколения стал удобнее. Пользователям предлагаются упорядоченные компоновочные схемы и упрощенные представления топологии, а также мастера поиска неисправностей. Кроме того, ACI теперь поддерживает технологию безопасного добавления и удаления, различные операционные системы и управление квотами, а также измерение задержки между оконечными точками фабрики в целях поиска неисправностей.

• Безопасность.
  • Для отражения таких атак, как подмена IP-/MAC-адресов, в ACI 3.0 предусмотрены функции обеспечения сетевой безопасности с использованием технологии First Hop Security, автоматической аутентификации сетевых подключений серверов и помещения их в доверенные группы безопасности, а также с поддержкой детальной реализации политик для оконечных точек в рамках одной группы безопасности.

2016: Cisco ACI поддержала интеграцию PT Application Firewall

13 июля 2016 года компании Positive Technologies и Cisco сообщили о создании поддержки межсетевого экрана прикладного уровня PT Application Firewall в системе управления программно-определяемой сетью для центров обработки данных (ЦОД) Cisco Application Centric Infrastructure (ACI).

Интеграция двух продуктов позволяет автоматизировать разворачивание защищенных приложений в инфраструктуре ЦОД. Совместимость с Cisco ACI упрощает установку и настройку PT Application Firewall, снижает трудозатраты на обслуживание дата-центров и обеспечивает защиту новых приложений от хакерских атак «из коробки».

Обеспечение безопасности как только что установленных, так и постоянно дорабатываемых приложений является серьезнейшей проблемой для центров обработки данных. Между конфигурированием, настройкой приложения и внедрением системы защиты проходит, как правило, длительное время. А сервисы, разрабатываемые по методологии Agile, набирающей популярность в последние годы, вообще очень сложно адекватно защитить, так как функционал системы может меняться каждый день. Злоумышленники знают об этой особенности обслуживания инфраструктур ЦОД и пристально следят за новыми сервисами и приложениями. Дмитрий Хороших, ведущий менеджер Cisco по развитию бизнеса в области ЦОД

Решение Cisco ACI предназначено для автоматизации ИТ-задач и ускоренного развертывания приложений. Это достигается с помощью технологии программно-определяемых сетей (SDN), обеспечивающей автоматизированную доставку приложений по запросу, объединение управления и масштабируемость.

Для оптимизации создания защищённых приложений, компании Positive Technologies и Cisco заключили технологическое партнерство и организовали поддержку PT Application Firewall в системе управления ЦОД Cisco ACI. Если сетевая инфраструктура ЦОД компании организована с помощью Cisco ACI, то инсталляция защищённых приложений и настройка сети, включая конфигурирование PT Application Firewall, выполняется автоматически.

Взаимодействие двух разнородных платформ выполнено посредством протокола REST API (Representational State Transfer application programming interface) − наиболее распространенного вида коммуникаций типа «машина-машина». Машинопонятный интерфейс PT Application Firewall помог автоматизировать управление конфигурацией межсетевого экрана с посредством таких решений, как Cisco ACI.

2015: Вышел релиз ACI

7 декабря 2015 года Cisco сообщила о выпуске релиза версии программного обеспечения для ориентированной на приложения инфраструктуры Application Centric Infrastructure (ACI).

Модернизированный программный функционал добавил к ACI микросегментацию для физических (аппаратных) и мультивендорных виртуализованных приложений (VMware VDS, Microsoft Hyper-V), расширяет возможности ACI в распределенных конфигурациях, реализуя автоматизацию на основе политик во множестве центров обработки данных.

Представление Cisco Application Centric Infrastructure (ACI) (2015)

Добавлена интеграция Docker-контейнеров с использованием открытого ПО и контроллера Cisco Application Policy Infrastructure Controller (APIC), этим предлагается согласованная модель политик и большая гибкость внедрения.

В ACI включена поддержка автоматизированного ввода сервисов (service insertion) для любых сторонних сервисов уровней 4-7. Добавлена поддержка средств облачной автоматизации: VMware vRealize Automation и OpenStack, включая поддержку Opflex для Open vSwitch (OVS) на основе открытых стандартов.

Элементы инфраструктуры ACI (2015)

В состав экосистемы ACI подключились дополнительные участники, это позволило автоматизировать весь комплекс приложений, включая PaaS (Platform as a Service) и SaaS (Software as a Service), что поможет организациям внедрять средства автоматизации в группах разработки приложений и поддержки инфраструктуры.

Поддержка Docker-контейнеров

Поддерживая, как физические, так и виртуальные оконечные точки, теперь благодаря интеграции с контроллером APIC и проектом Contiv, Cisco организовала поддержку оконечных точек на платформе Docker-контейнеров . Открытый проект Contiv определяет операционные политики инфраструктуры для разворачивания контейнерных приложений.

В унифицированной модели политик ACI реализация политик обеспечивается с помощью групп оконечных точек (endpoint groups, EPG), т.е. набора сетевых оконечных точек, включающего широкий спектр таких объектов, как аппаратные серверы, виртуальные машины и контейнеры. Docker предлагает платформу с открытым кодом для выполнения распределенных приложений в Linux-контейнерах.

Повышение уровня информационной безопасности

Модернизированная Cisco ACI обеспечивает поддержку микросегментации для VMware VDS, виртуального коммутатора Microsoft Hyper-V, а также для аппаратных приложений. Это позволяет реализовать тонкую настройку политик безопасности оконечных точек. Заказчики могут динамически реализовать политики форвардинга и безопасности, помещая скомпрометированные или вредоносные оконечные точки в карантин на основании атрибутов виртуальных машин (таких, как имя, гостевая ОС, идентификатор ВМ) или сетевых атрибутов (таких, как IP-адрес).

Организации могут также изолировать задачи в пределах одной группы политик. Например, можно автоматически, используя политики, запретить связь между всеми оконечными точками в пределах одного веб-уровня (web tier) для предотвращения горизонтального распространения угроз в границах ЦОД.

Поддержка множества ЦОД

Посредством распределенного приложения в комплекте инструментальных средств Cisco ACI поддерживает автоматизацию на основе политик во множестве центров обработки данных, обеспечивая мобильность приложений и аварийное восстановление.

Поддерживается ввод и конкатенацию сервисов для любого сервисного устройства без необходимости наличия на устройстве средств координации политик с Cisco APIC. Теперь заказчики, автоматизируя связи между сетевыми сервисами, могут создать бесшовную конфигурацию имеющихся сетевых сервисов и управлять ими.

Операционная гибкость

Дополнительные возможности ПО: поддержка командного интерфейса для APIC, аналогичного NX-OS, базовый и расширенный режимы графического пользовательского интерфейса, поддержка протокола SNMP для APIC, а также функции мастера поиска неисправностей - тепловая карта.

Общая доступность — 4-й квартал 2015 года.

2014: Выпуск ACI

Технология ACI была выпущена компанией Cisco в 2014 году.