Comment l’infrastructure axée sur les applications Cisco peut aider vos plans infonuagiques hybrides

L’architecture « spine and leaf » (feuille et tronc) est généralement décrite comme une topologie à deux couches créée pour traiter les tendances de circulation lourde est-ouest à l’intérieur du centre de données moderne. Sur la base du réseau Clos, chaque nœud de feuille est connecté à chaque colonne vertébrale, par conséquent chaque nœud de feuille est à courte distance de tous les autres nœuds de feuille participant à la topologie. Cette approche crée plusieurs chemins égaux, ce qui augmente la résilience, réduit la latence et assure la prévisibilité. Inversement, des topologies classiques à trois couches ont été créées pour répondre aux anciens modèles de circulation nord-sud.

En raison de la nature saut par saut du routage, le plus grand avantage de l’architecture « Spine ans Leaf » est lorsqu’elle est utilisée comme sous-couche Couche 3 pour construire une matrice réseau par-dessus, plutôt que de répartir les domaines de diffusion par-dessus.

Une matrice de réseau est un ensemble de commutateurs interconnectés qui se comportent comme une seule unité. Dans la matrice réseau, les mêmes constructions classiques de réseau de Couche 2 et de Couche 3 peuvent être appliquées à n’importe quel port d’accès, ce qui signifie que deux ports d’accès physiquement dispersés peuvent appartenir au même VLAN, sous-réseau ou routage et réacheminement virtuels (VRF) tout en étant liés à la même politique d’accès. Les tunnels LAN virtuels extensibles (VXLAN) représentent l’encapsulation de plan de données la plus déployée pour réaliser le transfert de Couche 2 et de Couche 3 à l’intérieur de la matrice. Le plan de contrôle est généralement construit à l’aide du multiprotocole BGP avec RPV Ethernet (MP-BGP EVPN). La matrice fournit également une solution pour la passerelle distribuée de diffusion, de sorte que la passerelle par défaut réside toujours sur le nœud de la feuille directement connecté à l’hôte final, peu importe où l’hôte final se déplace dans le matrice réseau.

Lorsque qu’une architecture « spine and leaf » est déployée en combinaison avec le groupe d’agrégation de liaisons multichâssis (MLAG) et à l’aide des liaisons Couche 2 entre le tronc et les nœuds de feuilles, elles ne sont pas très différentes des topologies classiques de type « collapse-core ». Ces architectures créent un « pod » (cosse) unique qui partage le même réseau entre tous les dispositifs, créant un domaine de défaillance unique où la modification et/ou les problèmes affectent l’ensemble du réseau.

Si la même topologie est utilisée avec les liaisons montantes Couche 3 au lieu de Couche 2, mais sans superposition, l'architecture devient plus rigide et crée des cosses individuelles pour chaque paire de nœuds en haut de bâti (ToR), limitant le déploiement des différents composants des regroupements d'applications à l'intérieur d'un bâti, sans mobilité d'hôte final entre les cosses.

Application Centric Infrastructure (ACI) de Cisco est une solution clé en main basée sur des concepts de réseau définis par logiciel (SDN). La solution utilise le contrôleur APIC de Cisco pour gérer et orchestrer la matrice ACI. Les dispositifs réseau sont approvisionnés automatiquement et la matrice est construite sans que l’opérateur réseau ait besoin de configurer les tunnels VXLAN ou le plan de contrôle. À partir de l’APIC, les opérateurs de réseau peuvent gérer les réseaux physiques et virtuels à l’aide d’un seul panneau de verre. La configuration du réseau est basée sur des politiques et s’étend à tous les dispositifs et à chaque port dans la matrice. L’APIC s’intègre à un écosystème d’outils comme Nexus Dashboard Insights, spécialement construit par Cisco pour soutenir l’exploitation du jour 2 de l’ACI et pour fournir l’automatisation, la surveillance, la télémétrie et l’assurance.

ACI de Cisco peut également s’intégrer à des serveurs virtuels à l’aide de l’intégration API directe connue sous le nom d’intégration Machine virtuelle Manager (VMM). Elle s'intègre à VMware vSphere, Microsoft Hyper-V, RedHat virtualisation, Kubernetes, OpenStack, OpenShift et VMware NSX-T Data Centre (NSX).

Les deux méthodes les plus courantes pour les déploiements ACI sont « centrées sur le réseau » et « centrées sur l’application ». La plupart des clients de CDW entament le parcours ACI avec une approche centrée sur le réseau comme moyen le plus facile de faire migrer les applications existantes et les charges de travail dans la matrice ACI, car elle mappera les constructions ACI aux concepts de réseautage classiques. En mode centré sur le réseau, les domaines de pont (BD) et les groupes de points d’extrémité (EPG) sont mappés un à un avec une ID VLAN et le sous-réseau IP est attribué au BD. La passerelle par défaut peut résider à l’intérieur du BD ou dans un appareil externe connecté à la matrice (c.-à-d. un pare-feu). L’orientation réseau permet la migration des réseaux existants vers la matrice ACI tout en maintenant la même structure réseau avec laquelle l’équipe d’opérations du réseau est habituée de travailler.

Les domaines de pont et les VRF représentent les concepts classiques de connectivité réseau de Couche 2 et de Couche 3 tandis que le GPE représente les groupes d’applications dans le domaine de la politique de sécurité. Le domaine réseau garantit la communication entre points d’extrémité, tandis que les contrats sont requis dans le domaine politique pour permettre cette communication. Tout le trafic entre les GPE est refusé par défaut, à moins qu’une politique ne l’autorise explicitement. Ce modèle de politique de liste blanche applique une architecture à vérification systématique à la matrice ACI en fonction du comportement de l’application plutôt que des segments de réseau.

Le mode centré sur l’application offre plus de flexibilité pour la segmentation, permettant des topologies plus complexes grâce à la création de zones de sécurité. Dans ce mode, le BD peut être divisé en plusieurs EPG et plusieurs de ces EPG qui sont associés au même BD ou à un BD différent peuvent être regroupés dans un autre conteneur appelé groupe de sécurité de point d’extrémité ou ESG (Endpoint Security Group). Ensuite, les contrats peuvent être définis entre les ESG qui s’étendent sur différents BD au lieu des GPE, ou entre différents facteurs ESG qui appartiennent au même BD, offrant un modèle de segmentation beaucoup plus flexible pour correspondre aux flux d’applications réels.

Lorsqu’elle a été lancée pour la première fois en 2014, ACI de Cisco couvrait un seul réseau de centre de données, mais avec les limites des piles d’applications qui s’étendaient rapidement des emplacements géographiquement fixes aux environnements hybrides et multinuages distribués, la solution ACI de Cisco a évolué pour répondre aux demandes toujours croissantes des nouvelles piles d’applications.

Le déploiement le plus élémentaire d’ACI englobera une seule cosse/matrice gérée par une seule grappe APIC. Cette topologie peut s’étendre jusqu’à six troncs et 400 nœuds de feuille. La grappe APIC peut présenter un minimum de trois nœuds et un maximum de sept.

La solution ACI Multi-Pod de Cisco permet la création de plusieurs cosses réseau qui fonctionnent comme une seule grande matrice opérationnelle. Une cosse est similaire à une zone de disponibilité dans les concepts d’informatique virtuelle publique. Cette topologie est utilisée pour répondre aux exigences d’interconnexion des centres de données de façon active/active avec des groupes d’applications qui s’étendent sur plusieurs capsules.

Un seul groupe APIC peut prendre en charge jusqu’à douze capsules avec 24 troncs et 500 nœuds de feuille sous le même domaine de changement. La gestion et les opérations sont simplifiées en raison du fait qu'une définition de politique atteint chaque nœud dans toutes les capsules, mais les erreurs de configuration à l'intérieur d'un locataire peuvent également atteindre tous les nœuds dans la matrice. Néanmoins, la solution Multi-Pod présente des améliorations spécifiques pour isoler les domaines de défaillance entre les cosses ou « pods », comme l’exécution d’instances distinctes du plan de contrôle de la matrice à travers eux. Cette isolation est ce qui aboutit à une cosse et à une zone de disponibilité. D’autre part, les erreurs de configuration à l’intérieur d’un locataire ne sont pas propagées à d’autres locataires.

Les cosses ne nécessitent que l’accessibilité IP pour être interconnectées entre elles sur un réseau IP (IPN). Cela facilite le déploiement puisque les routeurs qui font partie du réseau IPN n’ont pas besoin de prendre en charge des fonctions comme VXLAN ou MP-BGP, car ils ne font pas partie du plan de contrôle. Les fonctionnalités spécifiques requises pour l’IPN sont les suivantes :

• Une latence maximale de temps aller-retour (RTT) de 50 secondes
• Une unité de transmission maximale (MTU) supérieure à 1550 octets
• La configuration de OSPFv2 sur un VLAN 4 comme sous-interface
• La prise en charge du relais DHCP
• La prise en charge de la multidiffusion PIM BiDir

L’architecture de ACI Multi-Site de Cisco a été introduite avec la version ACI 3,0(1) et, bien qu’elle soit généralement positionnée comme une amélioration de Multi-Pod, les deux topologies se complètent. ACI Multi-Site interconnecte différents domaines de grappe APIC, chacun associé à une ou plusieurs cosses. Un cas d’utilisation type de cette solution serait pour la reprise après sinistre d’un centre de données secondaires ou tertiaires si le centre de données principal est en panne.

Chaque domaine de gestion APIC est considéré comme une matrice qui représente une région dans les constructions d’informatique virtuelle publique. Les clients peuvent combiner les deux topologies pour atteindre les capacités d’évitement et de reprise après sinistre en déployant différentes instances d’applications dans les zones de disponibilité redondantes (cosses) et dans les régions indépendantes (matrices).

Les matrices ACI de Cisco séparées sont gérées à partir de Nexus Dashboard Orchestrator (NDO) qui fournit une définition et une gestion centralisées des politiques distribuées aux contrôleurs APIC sur chaque matrice.

La solution à sites multiples comprend une option appelée feuilles distantes où le modèle de politique ACI peut être étendu à une paire de commutateurs Nexus dans un endroit distant qui pourrait être utilisé comme nœuds de feuilles de matrice sans avoir besoin d’acheter et de déployer des nœuds de tronc et/ou une grappe APIC.

Cisco Cloud Controller peut être déployé dans Microsoft Azure, AWS et Google Cloud pour étendre les matrices ACI sur place à l’informatique virtuelle publique, permettant aux instances de la même application déployée sur place et sur l’informatique virtuelle publique de s’inscrire dans la même politique. Le contrôleur infonuagique Cisco traduit les constructions ACI en constructions natives du nuage. Ce niveau d’abstraction améliore les capacités des clients de Cisco à se connecter et à consommer de l’informatique virtuelle publique, car les équipes d’exploitation peuvent continuer à utiliser le même modèle de politique et le même langage utilisés sur place pour tout nuage, peu importe les constructions spécifiques utilisées par les différents fournisseurs de nuage. Le résultat est un modèle opérationnel homogène et cohérent dans l’ensemble de l’infrastructure multinuage hybride.

Pour étendre la matrice, VXLAN est étendu au-dessus de tunnels IPSec à des routeurs de périphérie du nuage déployés dans le nuage qui font partie de la matrice du réseau. Cloud Controllers de Cisco offre aux organisations des politiques universelles, un routage cohérent, une sécurité et un modèle opérationnel pour les environnements multinuages, ajoutant de la flexibilité et accélérant l’agilité et l’élasticité de l’entreprise.

CDW est impliquée avec ACI de Cisco depuis son introduction sur le marché et nous avons aidé de nombreux clients à faire migrer leur infrastructure réseau héritée vers ACI de Cisco. Nous pouvons aider les clients à effectuer des évaluations, des discussions initiales, à définir les exigences, à choisir les meilleures options de topologie et de matériel, ainsi qu’à offrir des services complets de conception et de mise en œuvre. Notre objectif principal est d’aider nos clients à atteindre leurs objectifs commerciaux grâce à la technologie. Nous disposons d’un groupe d’architectes de solutions de prévente qui peuvent vous aider à planifier et à concevoir votre prochaine infrastructure réseau ACI de Cisco.