可扩展、自动化、安全和开放式软件定义网络,为全数

字化转型提供支持高级IT验证分析师TonyPalmer和KerryDolan2017年10月本ESGLab报告由思科系统公司委托编著,并经ESG许可发布.
ESGLab验证思科以应用为中心的基础设施(ACI)EnterpriseStrategyGroup|接近更重要的事实.
2017EnterpriseStrategyGroup,Inc.
保留所有权利.
ESGLab验证EnterpriseStrategyGroup|接近更重要的事实.
实验室验证:思科以应用为中心的基础设施2目录引言.
3执行摘要.
3背景.
4思科ACI5应用策略基础设施控制器(APIC)6思科Nexus9000系列交换机.
6思科应用虚拟交换机(AVS)/应用虚拟边缘(AVE)6OpFlex和第三方虚拟交换.
6ESGLab验证.
7性能.
7ESGLab测试7网络可用性.
10网络自动化.
12安全性.
13ESGLab测试13客户访谈.
16更重要的事实.
17ESGLab报告ESGLab报告旨在面向IT专业人员提供适合各种类型和规模的公司的信息技术产品信息.
ESGLab报告并非要替代做出采购决定之前应执行的评估流程,而是提供对这些新兴技术的评估意见.
我们的目标是分析一些更有价值的产品特性/功能,展示如何利用它们来解决客户真正的问题,并确定需要改进的地方.
ESGLab专业的第三方观点基于我们自己的实践测试以及对在生产环境中使用这些产品的客户的采访结果.
2017EnterpriseStrategyGroup,Inc.
保留所有权利.
实验室验证:思科以应用为中心的基础设施3引言ESG对思科以应用为中心的基础设施架构(ACI)进行了全面的实践测试,重点测试了性能、可用性、安全性和操作简便性,并针对仅使用软件的软件定义网络(SDN)解决方案进行了相同的测试以供比较.
执行摘要如今的组织面临的挑战在于,要跟上不断变化的客户需求并解决不断出现的竞争威胁.
为了取得成功,组织需要更加灵活,并专注于提供卓越的客户体验.
这就需要进行精细的调整,并且在很多情况下还需要升级流程、文化和技术,这种情况通常被称为全数字化转型.
组织必须确保所有应用都能得到快速部署并实现最佳性能、保持高可用性和安全性.
为了实现这种转型,组织需要部署利用软件定义功能的技术,但同时还要确保易于操作和实现自动化.
思科设计出了ACI,这是全数字化转型的关键推动因素.
ESGLab验证在虚拟机到裸机服务器的测试中,ESGLab发现,思科ACI的延迟最多降低了80%,吞吐量最高提升了600%,虚拟机和裸机服务器之间传输大文件的速度最多提高了40%.
总体而言,ESGLab发现思科ACI的性能在所有测试中都保持了一致性和可预测性.
在现实中,整个环境中的流量都是动态的,而且往往不可预知,同时涉及虚拟化和非虚拟化的应用及系统;而ACI始终都能实现较低的延迟时间和更大的吞吐量,具有任务关键型应用所需的可预测性能.
思科ACI利用主用-主用架构在所有网络路径上提供高可用性,并在故障条件下实现亚秒级融合.
ESGLab指出,在竞争性解决方案中,主用-主用架构的可用性仅限于使用等价多路径路由(ECMP),这虽适用于路由,但不适用于安全性和网络地址转换(NAT)等其他关键网络服务.
主用-备用可用性方案对于现代任务关键型和业务关键型应用来说并不是最理想的选择.
ESGLab检查了两个测试解决方案的工作元素,发现与竞争性解决方案相比,ACI的故障向量要少50%.
ESGLab测试还确认了所有可用性测试中,ACI的故障影响为零或故障切换融合时间达到亚秒级.
根据ESGLab的意见,ACI对任务关键型和业务关键型应用来说是绝佳之选.
数据中心内部经常会发生数据中心违规情况.
凭借白名单安全模式,ACI可以提供一种无处不在的微分段解决方案.
IT专业人员必须确保数据中心网络内的所有网络元素向所有类型的网络流量应用一致的规则和策略,因此在网络级别应用安全规则和策略非常复杂.
ESGLab测试了思科ACI为数据中心内通过广域网连接的多个虚拟机监控程序、裸机终端和容器中的工作负载提供一致微分段支持的能力.
思科ACI使用来自VMwarevCenter的对象定义策略,跨两个数据中心实现了精细的终端安全.
我们对仅使用软件的SDN解决方案进行了相同的测试,发现当我们尝试将相同的防火墙策略应用于采用不同vCenter服务器的数据中心的相同工作负载时,这些策略未能得到实施.
尤其令ESG印象深刻的是,使用思科ACI提供的开箱即用Ansible手册部署多层应用非常轻松.
此外,集成的重叠网络虚拟化模型使得ACI相较于ESG所测试的仅使用软件的SDN解决方案而言,实现了更快的自动化,同时消耗的资源也更少.
ESGLab使用Ansible自动调配私有云环境时,使用ACI的调配速度要比仅使用软件的SDN快40倍.
ESGLab还确认,使用ACI可节省大量的计算和存储容量,因为ACI不需要额外的虚拟机来执行路由和网关服务.
2017EnterpriseStrategyGroup,Inc.
保留所有权利.
实验室验证:思科以应用为中心的基础设施4无论采用哪种虚拟化或应用封装技术,思科ACI技术都能无缝地工作.
客户环境通常混合使用多个虚拟机监控程序,ACI测试设置可以很轻松地将Hyper-V、KVM和Kubernetes容器包含其中,并能实现相同的操作和功能结果,即便在使用不同虚拟机监控程序的两台虚拟机之间亦是如此.
但是,为了确保与仅使用软件的SDN解决方案(不支持此类功能)进行公平的比较,这些测试被排除在外.
ESG发现,思科ACI提供简单、可扩展且具有高度可用性的网络,非常适合于任务关键型工作负载.
如果您的组织希望提高跨多个混合数据中心的自动化、灵活性、安全性和可用性,ESGLab建议您仔细研究一下思科ACI.
背景灵活且始终高性能的网络对于数据中心计算而言至关重要.
有些人会争辩说,如今,随着员工从多个位置、多台设备访问数据和应用,业务的方方面面以及生活中的几乎各个方面都会受到网络运行状况和功能的影响.
然而,随着网络发展到要处理当今的Web规模业务,网络变得越来越复杂且难以管理,导致出现性能和正常运行时间问题,并会使用户感到沮丧.
此外,网络入侵的持续威胁可能会导致无法挽回的损害,包括数据丢失、出现违规情况和声誉受损,让网络安全问题成为了IT专业人员最为关心的头等大事.
最近的ESG研究强调了这些现实问题.
当被问及所面临的最大网络挑战时,ESG研究受访者主要提到了网络安全实施、应用和移动虚拟机(VM)的网络服务调配,以及性能表现等,这些挑战仅次于预算限制(见图1)1.
图1.
前十大网络挑战在您看来,您的组织的网络团队面临的最大挑战是什么(受访者比例,N=300,可选五项)36%来源:EnterpriseStrategyGroup,2017年.
1来源:ESG调查,网络现代化趋势,2017年7月.
会议预算限制在网络中实施安全功能的挑战26%为新的应用、升级的应用和/或虚拟机移动性调配网络服务时遇到的困难和/或延迟25%提供网络性能24%在招聘具备合适技能的新员工时遇到的困难21%缺乏关于SDN、白盒交换和网络虚拟化等新技术的知识21%无法快速扩展网络20%在调配网络设备(例如无线接入点、交换机和安全工具)时遇到的困难和/或延迟新员工拥有的需要额外网络连接的移动设备激增由于IT基础设施团队之间协调不力而无法实施新技术19%18%18%2017EnterpriseStrategyGroup,Inc.
保留所有权利.
实验室验证:思科以应用为中心的基础设施5软件定义网络可以通过从底层硬件中将控制平面和数据平面抽象化,简化网络控制和操作.
通过创建基于高质量物理网络的动态可编程逻辑网络组件,SDN可以提供更可靠的网络服务,在设计、管理这些服务和排除故障时也更快速、更容易.
思科ACI思科ACI是软件定义网络解决方案,它将物理元素和虚拟元素结合在一起,旨在简化网络的运营和管理,同时提供以应用为中心的网络服务.
思科ACI最多可以扩展到400台交换机和18万个终端.
借助ACI的集成重叠模式,客户可以自动执行常见的网络任务以简化工作,同时使他们能够向基于应用的策略驱动型网络服务演进.
借助适用于物理环境、虚拟环境和云环境的通用平台,思科ACI提供集中的可视性与可控性,以便管理员可以在整个环境中管理网络服务并排除故障.
ACI可以为任何工作负载提供微分段.
在虚拟化环境中,ACI微分段根据虚拟机的属性在虚拟机监控程序和数据中心之间无缝扩展;此外,它还可以简化网络部署和扩展过程,并提高安全性.
思科ACI架构呈现出的故障向量比仅使用软件的SDN解决方案更少,因此可以降低故障发生频率,并可从常见的网络故障(即链路或网络节点故障)中更快恢复.
此外,思科ACI提供对硬件的可视性,以便了解流量,从而使管理员能够更好地了解故障并采取补救措施.
如图2所示,思科应用策略基础设施控制器(APIC)与包括第三方选项和开源选项在内的物理层及虚拟交换层集成,为定制网络和安全服务的策略模型奠定了基础,并可确保与业务策略的一致性.

图2.
思科以应用为中心的基础设施来源:EnterpriseStrategyGroup,2017年.
2017EnterpriseStrategyGroup,Inc.
保留所有权利.
实验室验证:思科以应用为中心的基础设施6应用策略基础设施控制器(APIC)思科APIC2提供对所有交换矩阵信息和托管虚拟交换机的集中访问和控制,旨在优化应用生命周期以扩展规模并提高性能.
为此,APIC支持在物理资源和虚拟资源之间进行灵活的网络和策略调配.
它由最少包含三个节点的控制器集群组成,该集群用于管理并操作ACI交换矩阵以及所连接的虚拟交换机.
APIC集群可以在多个虚拟机管理(VMM)域和物理域之间无缝地同步并管理终端网络状态.
思科ACI交换矩阵软件提供基于对象的交换机操作系统(可通过开放式RESTAPI进行编程),该操作系统可使用OpFlex协议管理底层组件;这就创建了一个开放式框架,从而能够实现应用感知网络和策略的自动化.
思科Nexus9000系列交换机Nexus9000系列3旨在通过1/10/25/40/50/100G以太网配置,以各种外形规格实现高性能、高密度、低延迟和能效.
采用思科的云规模ASIC技术,交换机可在思科NX-OS软件或以应用为中心的基础设施(ACI)模式下运行.
这一系列交换机非常适合于部署传统或全自动的数据中心.
思科应用虚拟交换机(AVS)/应用虚拟边缘(AVE)思科AVS和AVE(即将推出的下一代AVS)是思科ACI框架的软件组件.
它们包含一款专用的分布式虚拟交换机,该交换机与ACI管理和协调平台集成,可实现虚拟网络调配的自动化.
AVS/AVE旨在提供不同的转发和封装选项、应用服务流量导向,并跨多个VMwarevCenter虚拟化主机和数据中心进行状态检查.
思科的AVS和AVE与思科ACI架构集成为一个虚拟枝叶架构,由思科APIC管理.
思科AVS实施OpFlex协议,以实现与APIC的控制平面通信.
思科最近宣布,思科ACI将可在公共云环境中使用.
新服务称为"思科ACI无处不在",将利用思科AVE(下一代思科AVS).
部署"思科ACI无处不在"的前提是让思科客户能够灵活地在其自己的私有云以及他们所选择的公共云上运行应用,同时在整个多云域中保持一致的网络策略.
OpFlex和第三方虚拟交换思科ACI使用基于智能对象可扩展控制的声明式控制模型.
声明式控制规定,要求每个对象达到所需状态并承诺达到此状态,且无需被精确告知该怎么做.
这与传统的命令模型不同,传统模型必须指定低级配置的每个元素才能达到所需状态.
思科ACI利用声明式控制,将应用、运行和基础设施要求分开,并允许单独指定各项要求.

OpFlex协议是思科ACI用来实施声明式控制的机制,以便将从网络策略控制器抽象出的策略转移到一组能够实施抽象策略的智能设备.
除了思科AVS和AVE之外,思科ACI还使用OpFlex协议与OpenvSwitch(OVS)和MicrosoftHyper-V虚拟交换机配合工作.
APIC还利用北向API与其他第三方vSwitch(例如VMwareVDS)进行交互.
OpFlex还用于与某些思科路由器和交换机(例如Nexus7000、ASR1000和ASR9000)进行交互.
2要了解有关APIC的更多信息,请访问:https://www.
cisco.
com/c/en/us/products/cloud-systems-management/application-policy-infrastructure-controller-apic/index.
html3要了解有关Nexus9000系列的更多信息,请访问:https://www.
cisco.
com/c/en/us/products/switches/nexus-9000-series-switches/index.
htmlstickynav=12017EnterpriseStrategyGroup,Inc.
保留所有权利.
实验室验证:思科以应用为中心的基础设施7ESGLab验证ESGLab对思科ACI进行了实践评估和测试,并将结果与仅使用软件的SDN解决方案进行了比较.
测试旨在演示ACI在物理服务器和虚拟服务器遍布多个数据中心的现代分布式企业环境中所提供的性能、可用性、安全性和自动化.
该测试台模拟的客户环境具有多个数据中心以及为生产和开发环境提供支持的虚拟化和裸机服务器组合(请参见图3).
客户环境通常混合托管多个虚拟机监控程序,ACI测试设置可以很轻松地将VMware、Hyper-V、KVM和Kubernetes/容器包含其中,以演示相同的操作和功能结果,即便在使用不同虚拟机监控程序的两台虚拟机之间亦是如此.
但是,为了确保与不支持此类功能的其他SDN解决方案进行公平的比较,这些测试被排除在外.
图3.
ESGLab测试台来源:EnterpriseStrategyGroup,2017年.
性能ESGLab在多个场景下将思科ACI的性能与仅使用软件的解决方案进行了比较,旨在模拟组织在现实世界中部署的常见用例:在单个主机上的虚拟机监控程序中托管的两台虚拟机之间运行工作负载,以及在虚拟机和裸机服务器之间运行工作负载.
ESGLab测试性能测试在很大程度上依赖于应用,而许多因素都有助于理解测试结果.
网络基础设施、存储吞吐量和延迟、应用软件以及虚拟机监控程序调度程序都可能以某种方式影响性能.
ESGLab选择了三个简单的指标来衡量和比较思科ACI与仅使用软件的SDN平台的性能.
2017EnterpriseStrategyGroup,Inc.
保留所有权利.
实验室验证:思科以应用为中心的基础设施8使用Linuxnmap版本6.
40测量应用延迟.
使用最大分段大小(MSS)为250、500和1448字节的LinuxiPerf3测试网络吞吐量.
通过使用两种不同的协议下载7GB大小的文件来测试应用吞吐量:使用wget从CentOS上运行的Apache中传输HTTP文件.
所有测试都使用配备两个XeonE5-265010核CPU的思科C220-M4L服务器.
在主机级别和访客级别启用了大型接收卸载(LRO)和TCP分段负载分流(TSO),并且在配备了支持VXLAN功能的NIC的所有主机上启用了接收端扩展(RSS).
用于测试的所有虚拟机均使用具有完全相同vCPU、内存和网络配置的单个模板创建.
由于虚拟化x86平台上的测试结果在各次测试中可能略有不同,因此每个测试都执行了十次,并计算出结果的平均值,以使结果更加准确一致.
图4显示在同一个虚拟机监控程序中的延迟、不同的虚拟机监控程序中两台虚拟机之间的延迟,以及从虚拟机到裸机的延迟.
在所有情况下,思科ACI都表现出了优势,ACI提供的延迟比虚拟机中运行的仅使用软件的SDN解决方案低80%.
图4.
应用延迟0.
700.
600.
500.
400:300.
200.
100.
00应用延迟(越短越好)虚拟机到虚拟机-同一台主机虚拟机到虚拟机-不同主机虚拟机到裸机基于软件的SDN平台思科ACI接下来,使用iPerf3测试网络吞吐量.
在这些测试中,当两台虚拟机位于同一主机上时,仅使用软件的SDN平台的性能更为出色;但当流量必须传递到另一台主机或使用非虚拟化裸机服务器时,思科ACI表现出了优势.
图5显示将MSS设置为1448时的结果,其中对于虚拟机到裸机服务器的流量,ACI的性能超出竞争性解决方案61%.
在分段较小的测试中,差异更明显.
MSS为500字节时,在相同的虚拟机到裸机测试中,ACI的吞吐量是仅使用软件的SDN的3.
8倍.
MSS为250字节时,在虚拟机和裸机服务器之间,ACI的吞吐量是仅使用软件的解决方案的6倍.
0.
630.
25思科ACI0.
240.
37思科ACI0.
24思科ACI0.
13延迟(毫秒)2017EnterpriseStrategyGroup,Inc.
保留所有权利.
实验室验证:思科以应用为中心的基础设施9图5.
使用iPerf3测试网络吞吐量最大网络吞吐量iPerf-MSS144814121086420虚拟机到虚拟机-同一台主机虚拟机到虚拟机-不同主机虚拟机到裸机仅使用软件的SDN平台思科ACI需要注意的是,在同一主机的虚拟机到虚拟机测试中,10Gbps的网络上行链路是ACI的瓶颈,因为虚拟机之间的流量会流经枝叶交换机.
思科认为,25Gbps的上行链路将使ACI达到旗鼓相当的吞吐量.
最后,我们研究了使用wget通过HTTP传输7GB大小的文件.
图6.
使用wget传输7GB大小的文件HTTP文件传输时间(越短越好)181614121086420虚拟机到虚拟机-同一台主机虚拟机到虚拟机-不同主机虚拟机到裸机基于软件的SDN平台思科ACI图6显示,虽然仅使用软件的解决方案在同一主机上的两台虚拟机之间传输文件的速度较快,但在两个虚拟机监控程序之间传输文件或传输文件至裸机服务器方面,ACI的表现更为出色.
12.
10思科ACI7.
11思科ACI8.
71思科ACI8.
905.
405.
90SDN16.
8思科ACISDN11.
4思科ACI9.
78SDN7.
7思科ACI6.
743.
94Gbps2017EnterpriseStrategyGroup,Inc.
保留所有权利.
实验室验证:思科以应用为中心的基础设施10为什么这一点很重要始终如一的高性能网络对于现代企业计算而言至关重要.
由于员工和客户从多个位置、在多个设备上访问数据和应用,因此业务的方方面面都会受到网络运行状况和功能的影响.
当被问及网络团队目前面临的最大挑战时,近四分之一的受访者都提到了网络性能.
23%的受访者认为,应用性能最大化是帮助组织发展业务的最大影响因素.
4通过实践测试,ESGLab发现,思科ACI提供的性能始终优于仅使用软件的SDN,后者在虚拟机中提供重叠网络路由和网关功能.
在不同的ESXi主机上的两台虚拟机之间进行的测试中,ACI的延迟降低了40-50%;在虚拟机和裸机服务器之间,ACI的延迟则降低了高达80%.
尽管仅使用软件的解决方案在同一主机上的两台虚拟机之间提供了更高的原始吞吐量,但需要注意的是,在实际应用中,大多数流量位于不同主机上的两台虚拟机之间或是从虚拟机传送到裸机服务器.
思科认为,使用25GbE的网络接口卡将消除ACI的瓶颈,并且使同一主机中的虚拟机到虚拟机的通信取得与竞争性解决方案相同的性能.
对于不同的ESXi主机上两台虚拟机之间的工作负载,ACI提供了与竞争性解决方案相当的吞吐量,并且在两台虚拟机之间以及裸机服务器之间,ACI的吞吐量提高了33%.
在文件传输方面,应用类型对同一个虚拟机监控程序中虚拟机间的测试结果有影响,但当流量必须流经虚拟机监控程序或到达裸机服务器时,ACI所需的传输时间始终短于竞争性解决方案.
在模拟的现实环境中,流量是动态的并且往往不可预测,它们在整个环境中流动,同时涉及虚拟化和非虚拟化的应用和系统,ACI始终能实现更低的延迟和更高的吞吐量,其可预测的性能适合于任务关键型应用.

网络可用性对于"永远在线"的现代业务而言,由于停机代价高昂,因此灾难恢复和业务连续性计划至关重要.
ESGLab比较了思科ACI架构的可用性与虚拟机中运行的仅使用软件的SDN的可用性.
ESG测试了ACI的主用-主用特性,并关注了用户可以预期的与不同架构和方法的各种故障向量相关的融合时间.

对ACI架构的检查只发现了六个基本的故障向量.
ESG对这些故障向量进行了测试,并在表1中记录了对故障和恢复的影响.
4来源:ESG调查,网络现代化趋势,2017年7月.
2017EnterpriseStrategyGroup,Inc.
保留所有权利.
实验室验证:思科以应用为中心的基础设施11表1.
ACI故障向量故障向量冗余模式对故障的影响对恢复的影响APIC节点故障扩展集群无无APIC集群故障热备用节点无法访问管理平面无,使用备份配置主干节点故障ECMP亚秒级无枝叶节点故障ECMP,vPC亚秒级无主干/枝叶链路故障ECMP,vPC亚秒级无服务器链路故障vPC亚秒级(取决于服务器堆叠)取决于服务器堆叠APIC节点甚至整个集群出现故障对性能、微分段或SDN路由都没有任何影响.
所有其他的故障则会产生亚秒级影响.
ESGLab还检查了仅使用软件的SDN平台的架构,并基于以虚拟机作为重叠路由器和网关的的配置,发现了更多的故障向量.
表2.
仅使用软件的SDN解决方案的故障向量故障向量冗余模式对故障的影响对恢复的影响管理虚拟机无(依赖于虚拟机监控程序HA)管理平面、防火墙无,使用备份配置控制器虚拟机故障扩展集群无无控制器集群故障vSphereHA、SRM无法访问管理平面,丢失ARP抑制无,使用备份配置重叠路由器控制虚拟机单点故障HA(心跳)停机30-32秒无重叠路由器控制虚拟机双重故障无(vSphereHA)网络完全中断无网关主用/备用模式ESGHA(心跳)停机24秒无网关主用/主用模式ECMP停机24秒最长12秒底层主干节点故障ECMP亚秒级(取决于底层)无底层枝叶节点故障ECMP,vPC亚秒级(取决于底层)无底层主干/枝叶链路故障ECMP,vPC亚秒级(取决于底层)无服务器链路故障vPC亚秒级(取决于服务器堆叠)取决于服务器堆叠2017EnterpriseStrategyGroup,Inc.
保留所有权利.
实验室验证:思科以应用为中心的基础设施12在测试中,ESGLab发现网络中断时间不等,单个网关节点发生故障时为24秒,多个重叠路由器虚拟机发生故障时SDN重叠网络完全中断.
测试结果的详细信息如表2所示.
在ACI中没有近似等值的故障向量突出显示为红色.
值得注意的是,在计划维护中也会出现其中一些场景.
基于此分析,ESGLab得出的结论是,思科ACI所暴露出的故障向量比接受测试的仅使用软件的解决方案少,而且这些故障向量对网络环境的影响也更小.

网络自动化ESGLab还研究了ACI的自动化选项.
网络自动化是SDN技术价值的关键推动因素.
自动化可以加快基于网络的服务的交付,同时降低成本.
网络自动化从物理基础设施中抽象出网络服务的配置信息,使用户能够使用自动化软件协调工具来设置服务.
ACI支持各种自动化/协调工具,包括思科UCS-D、思科云中心、VMwarevRealizeAutomation/Orchestrator、MicrosoftWindowsAzurePack、OpenStackNeutron(多个发行版本)、Ansible、PythonSDK以及ACI工具包.
ESGLab使用Ansible5在ACI和仅使用软件的SDN环境中为任意数量的应用或租户自动创建具有互联网/局域网接入的三层拓扑,如图7所示.
在此配置中,每个客户都有自己的可路由子网,客户必须相互隔离,必须自动向局域网设备通告Web层子网,必须自动连接到裸机子网,并且网络控制和数据平面必须是冗余的.

图7.
创建具有互联网和局域网接入的三层拓扑来源:EnterpriseStrategyGroup,2017年.
通过仅使用软件的SDN实施这种方案时存在诸多挑战,其中包括一些无法自动执行的项目,并且需要DevOps工程师对路由有足够的了解才能创建从租户网关进入OSPF的静态路由,前景十分复杂.
为仅使用软件的SDN部署十个拓扑大约需要60分钟.
此外,基于虚拟机的路由器和网关需要40vCPU、30GB的RAM和60GB的存储空间.
部署ACI无需路由专业知识,它会自动执行每项活动,所需的代码行数少20%,并且在短短一分半钟内就能完成部署十个拓扑.
部署ACI无需任何新的资源.
5您可以在此处找到思科ACIAnsible模块:http://docs.
ansible.
com/ansible/devel/list_of_network_modules.
html#aci2017EnterpriseStrategyGroup,Inc.
保留所有权利.
实验室验证:思科以应用为中心的基础设施13为什么这一点很重要在资源和员工高度分散的现代网络环境中,网络可用性对于业务和任务都很关键.
如果网络出现故障,一切就功亏一篑.
随着网络发展到要处理当今的Web规模业务,网络变得越来越复杂并且难以部署和管理,导致出现性能和正常运行时间问题,并会让用户沮丧、让客户疏离.
软件定义网络可以通过从底层硬件中抽象出控制平面和数据平面,简化网络控制和运营.
通过创建基于高质量物理网络的动态可编程逻辑网络组件,SDN可以提供更可靠的网络服务,而且更易于设计和管理这些服务并排除故障.
不过,并不是所有SDN都是一样的.
在虚拟机中运行路由和网关功能的仅使用软件的SDN解决方案可能难以支持需要亚秒级融合(如语音、视频或金融服务)的任务关键型应用.
ESGLab验证了思科ACI可提供适用于任务关键型和业务关键型应用的高可用性、主用-主用SDN.
ACI的架构具有较少的故障向量,并且ESG测试的所有网络故障事件都显示出对流量没有影响或仅存在亚秒级影响.

ESG发现仅使用软件的SDN更加复杂,故障向量也更多,并且由于该架构的主动-被动特性,单个故障事件造成的停机时间最长达到32秒.
ESGLab利用Ansible自动调配私有云环境时,使用ACI的调配速度比仅使用软件的SDN快40倍.
ESGLab还确认,使用ACI可节省大量的计算和存储容量,因为ACI不需要额外的虚拟机来执行路由和网关服务.
安全性思科ACI可以为多个虚拟机监控程序、裸机终端和容器提供一致的微分段支持,从而实现精细的终端安全.
微分段使安全策略能够在工作负载级应用,而不依赖于其他网络元素(例如防火墙)来单独提供网络流量级别的端到端网络安全性.
为了实施安全政策,思科ACI将构建每种类型工作负载量特定的合同.
合同规定工作负载可以访问的数据和终端,而不管它位于数据中心的哪个位置.
如果工作负载是在数据中心内部或数据中心之间移动,则思科ACI将坚持使用该合同.
ACI合同将定义最高到第4层的安全规则.
ACI中的合同还可以定义诸如QoS等其他参数.
ESGLab测试ESGLab首先研究了思科ACI如何在位于两个数据中心和不同vCenter的工作负载之间一致地应用安全规则.
数据中心通过IP路由广域网彼此连接.
图8显示的是测试拓扑.
我们在一个数据中心的独立WordPress生产站点和开发站点中建立了两个客户端.
然后,我们使用思科ACI,使微分段能够跨越两个数据中心并应用以下防火墙规则:允许广域网中的生产客户端与两个数据中心内的生产WordPress站点通信,同时阻止与开发站点的通信.
允许广域网中的开发客户端与两个数据中心内的开发站点进行通信,同时阻止与生产站点的通信.

2017EnterpriseStrategyGroup,Inc.
保留所有权利.
实验室验证:思科以应用为中心的基础设施14图8.
实验室拓扑:跨数据中心的微分段来源:EnterpriseStrategyGroup,2017年.
至关重要的是,使用vCenter对象(特别是vSphere标记的组合)将虚拟机划分为正确的安全策略.
接下来,我们确认网络遵守了防火墙规则,因为每个客户端都与其单独合同中定义的站点进行了通信.
更重要的是,我们发现思科ACI向两个数据中心内的生产和开发站点应用了相同的防火墙规则,即便虚拟机使用vMotion在不同的vCenter中移动也是如此.
ESGLab还检查了两个数据中心内微分段的各虚拟机详细信息.
工作负载详细信息包括IP地址、MAC地址和服务器主机.
图9显示两个数据中心内开发虚拟机的详细信息.
除了虚拟机的详细信息外,还可以查看合同详细信息,以确保思科ACI执行正确的策略.
图9.
ACIGUI中的工作负载详细信息来源:EnterpriseStrategyGroup,2017年.
ACI思科应用策略基础设施控制器(APIC)开发生产虚拟机裸机虚拟机裸机虚拟机裸机数据中心1数据中心2广域网虚拟机裸机2017EnterpriseStrategyGroup,Inc.
保留所有权利.
实验室验证:思科以应用为中心的基础设施15ESG还使用类似的拓扑对仅使用软件的SDN解决方案进行了相同的测试.
我们观察到,与思科ACI不同,当虚拟机在不同的vCenter之间迁移时,该软件解决方案无法在两个数据中心维持使用防火墙策略.
我们发现,当试图在数据中心内一致地应用规则时,这些策略出现了故障.
6来源:ESG调查,网络现代化趋势,2017年7月.
为什么这一点很重要在最近的一次ESG调查中,当被问及对帮助组织发展业务影响最大的网络功能时,46%的受访者提到了要确保网络安全,这使得网络安全成为被提及最多的回答.
6随着企业不断将应用虚拟化,实施数据中心网络安全变得越来越复杂,特别是当虚拟机可以移动到数据中心内部和数据中心之间的不同主机时.
IT专业人员必须确保数据中心网络内的所有网络元素向所有类型的网络流量应用一致的规则和策略,因此在网络级别应用安全规则和策略非常复杂.
策略实施不一致可能会导致数据丢失、网络漏洞和计划外停机,所有这些都可能损害名牌声誉并造成收入损失.

ESGLab测试了思科ACI为数据中心内通过广域网连接的多个虚拟机监控程序、裸机终端和容器中的工作负载提供一致微分段支持的能力.
我们将合同应用于生产工作负载和开发工作负载,从而在两个数据中心实现了精细的终端安全.
我们看到,这两个工作负载只能与合同中定义的站点通信.
我们对仅使用软件的SDN解决方案进行了相同的测试,发现在尝试将相同防火墙策略应用到不同数据中心的相同工作负载时,这些策略都出现了故障.
2017EnterpriseStrategyGroup,Inc.
保留所有权利.
实验室验证:思科以应用为中心的基础设施16客户访谈ESGLab与NTTAmerica产品工程和运营主管IndranilSengupta讨论了在NTTAmerica的云数据中心中使用思科ACI的情况.
NTTAmerica是全球财富500强公司NTTCommunications的子公司,为北美、南美和中美地区提供服务.
NTTAmerica的这个部门为有复杂需求的全球企业客户提供托管基础设施服务.
NTTAmerica提供基础设施平台和持续管理,以满足测试/开发和生产需求.
为了在这个竞争激烈的行业中取得成功,他们必须提供一致、安全、可扩展的服务,同时不断注重于提高效率.
思科ACI的软件定义网络可自动部署网络服务并对其进行持续管理,使NTTAmerica能够减少管理工作,降低管理成本,并能随着客户需求的变化和增长迅速而轻松地调整服务.
多租户对于保持托管服务平台的成本效益至关重要,但由于NTTAmerica客户需求的复杂性,每个租户基础设施都不同.
典型的超大规模Web服务使用切割Cookie的方法来支持多租户环境,所有服务基本相同,这远远不能满足NTTAmerica客户的复杂需求.
思科ACI可以利用多租户环境的效率,同时为每位客户提供量身定制的网络.
如果没有思科ACI,NTTAmerica工程师将不得不单独创建各个租户环境,这会给客户造成混乱,而且会给NTTAmerica产生高昂的成本.
借助思科ACI,NTTAmerica可以更轻松地扩展服务交付,降低成本.
思科ACI还使该公司缩短了服务时间.
"我们为某金融客户部署了一个解决方案,这个解决方案非常复杂,具有严格的合规性和安全性参数.
"Sengupta表示,"思科ACI使我们能够以一半的预期时间完成部署,客户对此也感到兴奋不已.
"NTTAmerica计划继续向更多客户扩展其思科ACI部署,并利用该产品提供的更高效率和灵活性.
Sengupta说,"这是一个竞争十分激烈的行业,因此每个季度我们都需要不断改进,减少工作量和成本.
使用思科ACI,我们可以在维持原价的基础上为客户提供更多更优质的服务.
"2017EnterpriseStrategyGroup,Inc.
保留所有权利.
实验室验证:思科以应用为中心的基础设施17更重要的事实为了跟上如今的业务节奏和规模,对IT的要求越来越严苛.
管理员已经疲于应对,经常需要处理数百个具有不同要求的应用,以及位于多个位置、使用多个终端的大量用户.
另外,IT的消费化使用户不仅有更高的期望,而且还有更高的地位.
在这种情况下,复杂的SDN解决方案不但不能"锦上添花",而且还会有损业务的成功和盈利.
如果不支持始终如一的高性能,操作简单性和自动化功能都是徒劳.
为提供卓越无缝的客户体验,需要高度可用的"永远在线"生态系统,以用于支持吞吐量和延迟要求都很苛刻的任务关键型应用(例如视频、语音和金融服务).
为了提供一个可行的安全模型,SDN解决方案必须跨多个数据中心横向和纵向地约束和保护应用.
随着越来越多的组织希望采用混合云并扩展本地和多云领域的应用执行,他们必须从基于基础设施的管理转向以应用为中心的管理,以利用现代IT系统(包括公共云服务以及容器和微服务等技术).
这并不意味着基础设施管理不再重要,但它确实表明混合云的重点是抽象出底层基础设施以支持应用.
随着公司纷纷不断利用新技术来支持IT转型,混合云将成为一项推动技术,而支持这些动态应用的可靠SDN战略是成功实现混合云战略的必要条件.
思科ACI解决方案可以创建一个生态系统,提供以应用为中心的网络服务,以提高效率、实现简化、安全性、高性能和高可用性.
它包括物理元素、虚拟元素和云元素,并且可以随着组织环境的不断发展轻松扩展.
思科ACI利用来自控制器集群和Nexus9000系列交换机的软件定义网络,在多个虚拟机监控程序和数据中心内发现和管理网络交换矩阵,而且其开放式框架可使其轻松地与网络管理和协调供应商的解决方案集成.