Cisco ACI
Cisco ACI (Application Centric Infrastructure) — это комплексная архитектура программно-определяемой сети (SDN), разработанная компанией Cisco Systems, предназначенная для автоматизации, упрощения и ускорения развертывания и управления сетевыми ресурсами в центрах обработки данных (ЦОД). В основе ACI лежит принцип ориентации на приложения (application-centric), а не на традиционную сетевую топологию, что позволяет динамически адаптировать сетевую инфраструктуру под требования конкретных рабочих нагрузок.
История и развитие
Разработка Cisco ACI началась в начале 2010-х годов как ответ на растущую сложность управления современными ЦОД, вызванную виртуализацией, контейнеризацией и внедрением облачных технологий. Традиционные сети, основанные на ручной настройке коммутаторов и маршрутизаторов, не могли обеспечить необходимую гибкость и скорость реагирования на изменения. Первые продукты ACI были анонсированы в 2013 году, а коммерческая доступность началась в 2014 году.
Технология быстро стала одной из ключевых в портфеле Cisco, особенно в сегменте крупных корпоративных и облачных ЦОД. ACI конкурировала с решениями от VMware (NSX) и других вендоров, предлагая альтернативный подход к SDN, основанный на аппаратном ускорении и интеграции с существующей инфраструктурой Cisco. В последующие годы платформа развивалась, добавляя поддержку мультиоблачных сред, интеграцию с Kubernetes и расширенные возможности безопасности.
Архитектура и компоненты
Архитектура Cisco ACI состоит из трёх основных уровней: политик, контроллера и коммутации.
Политики (Policy Model)
Ключевое отличие ACI от традиционных сетей — это модель на основе политик. Администратор определяет не конкретные IP-адреса и VLAN, а политики (endpoint groups, EPG), которые описывают, какие приложения, серверы или виртуальные машины могут взаимодействовать друг с другом и с каким уровнем сервиса (QoS, безопасность). Политики хранятся в централизованной базе данных и применяются автоматически.
Контроллер (APIC)
Application Policy Infrastructure Controller (APIC) — это центральный элемент управления ACI. APIC представляет собой кластер из трёх физических или виртуальных серверов, который отвечает за:
- Хранение и управление политиками.
- Мониторинг состояния сети.
- Автоматическое конфигурирование коммутаторов.
- Предоставление API (REST, OpenStack, Python SDK) для интеграции с внешними системами оркестрации.
APIC не участвует в передаче данных (data plane), а только управляет ею, что обеспечивает отказоустойчивость.
Коммутация (Fabric)
Сетевая фабрика ACI состоит из коммутаторов Cisco Nexus серий 9000 (например, 93180YC-FX3, 9336C-FX2), которые работают в режиме ACI. Они делятся на два типа:
- Leaf (листовые) — коммутаторы, к которым подключаются серверы, хранилища и другие конечные устройства.
- Spine (спайновые) — коммутаторы, которые обеспечивают связь между листовыми коммутаторами. Они не имеют прямого подключения к конечным устройствам.
Топология «спайн-лиф» (spine-leaf) обеспечивает высокую пропускную способность и предсказуемую задержку, так как каждый лист соединён с каждым спайном.
Основные принципы работы
Ориентация на приложения
Вместо того чтобы настраивать VLAN и ACL для каждого сервера, администратор создаёт EPG (Endpoint Group) — логическую группу конечных точек (серверов, виртуальных машин, контейнеров), которые имеют одинаковые требования к сети. Например, EPG «Веб-серверы» и EPG «Базы данных». Затем определяется политика, разрешающая трафик от первого ко второму.
Автоматизация и оркестрация
ACI поддерживает интеграцию с популярными инструментами оркестрации, такими как Ansible, Terraform, Puppet, а также с облачными платформами (OpenStack, VMware vSphere, Kubernetes). Это позволяет автоматизировать развёртывание сетевых конфигураций при создании новых приложений или масштабировании существующих.
Безопасность
ACI включает встроенные механизмы безопасности, такие как:
- Микросегментация — возможность изолировать трафик между отдельными виртуальными машинами или контейнерами внутри одного EPG.
- Политики на основе контрактов — трафик между EPG разрешён только при наличии явного контракта, определяющего протоколы и порты.
- Интеграция с Cisco Tetration — платформой для анализа трафика и обнаружения угроз.
Применение
Cisco ACI используется в различных сценариях:
- Корпоративные ЦОД — для автоматизации управления сетью, ускорения развёртывания приложений и повышения безопасности.
- Облачные провайдеры — для построения мультитенантных инфраструктур, где каждому клиенту выделяется изолированная среда.
- Гиперконвергентные системы — для интеграции с решениями типа Cisco HyperFlex или VMware vSAN.
- Контейнерные среды — для управления сетевыми политиками в кластерах Kubernetes (через Cisco Container Platform или ACI CNI plugin).
Преимущества и недостатки
Преимущества
- Автоматизация — значительное сокращение времени на настройку сети (с часов до минут).
- Масштабируемость — поддержка тысяч EPG и десятков тысяч конечных точек.
- Безопасность — встроенная микросегментация и политики на основе контрактов.
- Единое управление — консолидация управления сетью, безопасностью и политиками в одном интерфейсе (APIC).
Недостатки
- Сложность внедрения — требует глубоких знаний как сетевых технологий, так и SDN.
- Зависимость от оборудования — ACI работает только на коммутаторах Cisco Nexus серии 9000.
- Высокая стоимость — лицензирование и оборудование могут быть дорогими для небольших организаций.
- Кривая обучения — администраторам, привыкшим к традиционным CLI-интерфейсам, может быть сложно адаптироваться к модели политик.
Конкуренты
Основными конкурентами Cisco ACI являются:
- VMware NSX — решение для виртуализации сети, которое работает на уровне гипервизора и не требует специального оборудования.
- Nuage Networks (Nokia) — SDN-решение для ЦОД и WAN.
- OpenDaylight — открытая платформа SDN, которая может использоваться с различным оборудованием.
- Huawei CloudFabric — аналогичное решение от Huawei, ориентированное на азиатский рынок.
Интересные факты
- Название «ACI» (Application Centric Infrastructure) подчёркивает сдвиг фокуса с управления сетевыми устройствами на управление приложениями.
- APIC изначально разрабатывался как полностью программный контроллер, но впоследствии был выпущен в виде физического устройства для обеспечения высокой доступности.
- В России технология Cisco ACI используется в ЦОД крупных банков, телекоммуникационных компаний и государственных учреждений, однако с 2022 года поставки оборудования Cisco в РФ были ограничены, что привело к росту интереса к альтернативным решениям.
Источники
- Cisco Systems. «Cisco Application Centric Infrastructure (ACI) Design Guide». Cisco Press, 2019.
- Документация Cisco ACI на официальном сайте Cisco (cisco.com).
- «SDN и NFV: архитектура, протоколы, применение» — учебное пособие для вузов, 2020.
- Статьи журнала «Сети и системы связи» (№ 4, 2018) — «Программно-определяемые сети: опыт внедрения ACI».
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →