مقدمه

یکی از چالش­ های موجود در مراکز داده بزرگ، ارتباط بین زیرساخت شبکه با زیرساخت مجازی سازی می­باشد. در بسیاری از سازمان­ها پس از اینکه واحد زیرساخت شبکه ارتباطات مورد نظر را بروی سوئیچ­ها پیکربندی کرد، لازم است تا واحد سرور و سرویس نیز همان تنظیمات ارتباطی را بروی زیرساخت مجازی سازی انجام دهد. این موضوع علاوه بر اینکه زمان پیکربندی را افزایش خواهد داد باعث به وجود آمدن تداخل در پیکربندی­های بین دو واحد شبکه و سرور می گردد.

تکنولوژی Cisco ACI با ارائه راهکار VMM Domains امکان یکپارچه شدن با زیرساخت­های مجازی سازی را فراهم نموده است تا مشکلات توضیح داده شده در بالا مرتفع شود.

پس از یکپارچه  شدن Cisco ACI با زیرساخت مجازی سازی، پیکربندی­های صورت گرفته در زیرساخت شبکه به صورت خودکار بروی زیرساخت مجازی سازی نیز صورت خواهد گرفت. تا زمان نگارش این مقاله تکنولوژی Cisco ACI قابلیت اتصال به زیرساخت­های مجازی سازی زیر را دارد:

• VMware
• Microsoft
• Kubernetes
• Openshift
• OpenStack
• Red Hat

با توجه یه محبوبت زیرساخت مجازی سازی VMware در ادامه این مقاله به روش­های یکپارچه سازی تکنولوژی Cisco ACI با vCenter پرداخته شده است.

معرفی ارتباطات شبکه در زیرساخت مجازی سازی VMware

همگان گونه که در شکل زیر نمایش داده شده است داخل این ساختار یک سوئیچ مجازی ایجاد می­شود که وظیفه تأمین ارتباطات برای ماشین­های مجازی را خواهد داشت. این سوئیچ مجازی با استفاده از لینک موجود بروی سرور فیزیکی به زیرساخت شبکه متصل خواهند شد لذا در شبکه های نسل قبلی لازم است تا تنظیمات مربوط به شبکه بروی سوئیچ مجازی نیز صورت گیرد.

یکپارچه سازی زیرساخت مجازی در VMware با تکنولوژی Cisco ACI به دو روش امکان پذیر می­باشد :

• استفاده از Distributed Switch موجود در vCenter
• استفاده از ماژول Cisco AVE

استفاده از DVS بروی vCenter

در این حالت کنترلر APIC مستقیم به سرور vCenter متصل خواهد شد و با استفاده از قابلیت VDS ارتباطات مورد نیاز را پیکربندی می نماید.  فرآیند یکپارچه سازی در این روش به صورت مرحله به مرحله تشریح شده است.

• مرحله اول: ابتدا توسط مدیر سیستم دامنه VMM به همراه اطلاعات vCenter ایجاد می­شود.
• مرحله دوم: پس از ایجاد VMM Domain کنترلر APIC شروع به تبادل اطلاعات با vCenter می نماید و  یک VDS هم نام با نام VMM Domain بروی vCenter ایجاد می نماید.
• مرحله سوم: در این مرحله با متصل کردن VMM Domain به هریک از EPG ها به صورت خودکار یک Port Group متناظر با آن EPG در VDS ایجاد خواهد شد.
• مرحله چهارم: در این مرحله با قرار دادن کارت شبکه ماشین مجازی در آن Port Group تمامی ارتباطات ماشین مجازی مورد نظر به صورت اتوماتیک در EPG متناظر قرار خواهد گرفت.

در دیاگرام زیر مراحل و فرآیند های مربوط به یکپارچه سازی APIC با vCenter با جزئیات بیشتری نمایش داده شده است.

استفاده از ماژول Cisco AVE

یکی دیگر از روش های یکپارچه سازی تکنولوژی Cisco ACI با زیرساخت مجازی سازی VMwareT، استفاده از ماژول Cisco AVE می ­باشد.

تفاوت این روش با روش قبلی عدم ایجاد یک VDS مجزا توسط کنترلر APIC در ساختار vCenter می ­باشد. مطابق شکل زیر ماژول Cisco AVE به صورت یک ماشین مجازی در vCenter نصب و پیاده سازی می­ شود. پس از آن Cisco AVE مانند یک سوئیچ مجازی عمل کرده و تمامی ترافیک­های مربوط به سایر ماشین­های مجازی به سمت آن هدایت می­ شوند.

همان گونه که در شکل بالا نمایش داده شده است ماژول Cisco AVE مانند یک سوئیچ مجازی Leaf ایفای نقش می­نماید و پس از دریافت ترافیک از ماشین­های مجازی رفتار ترافیکی مشابه با سوئیچ­های Leaf بروز میدهد. (توصیه می کنیم مقاله مرتبط «بررسی جریان­های ترافیکی در تکنولوژی Cisco ACI» را نیز مطالعه کنید.)

مقایسه و انتخاب راهکار

پس از معرفی هر دو روش یک سوال اساسی مطرح خواهد شد. در نهایت کدام روش می­بایست برای یکپارچه سازی بین تکنولوژی Cisco ACI و زیرساخت مجازی سازی انتخاب شود؟

پاسخ به این سوال نیازمند شناخت دقیق نیازمندی­های سازمان در رابطه با مدیریت جریان ترافیکی و قابلیت­های مورد استفاده در زیرساخت ACI می­باشد. اما پاسخ به آن به صورت خلاصه به شرح زیر می­باشد.

یکپارچه سازی به روش VDS بسیار ساده بوده و کارشناسان را درگیر پیچیدگی های پیکربندی نمی نماید. اما موجب می­شود تا امکان استفاده از بسیاری از قابلیت­های موجود در VMM Domain نظیر قابلیت Micro Segmentation فراهم نشود.

معرفی قابلیت Micro Segmentation

همان گونه که در مقاله «معرفی ساختار Cisco ACI» توضیح داده شده، ارتباطات در یک EPG مشترک به صورت آزادانه می ­باشد و در صورت نیاز به ارتباط با یک EPG دیگر نیاز به تعریف Contract خواهد بود. در بسیاری از موارد خصوصا موارد امنیتی نیاز به ایزوله کردن بخشی از هاست­های موجود در یک EPG ایجاد می­شود. به طور مثال یک بد افزار در سرور­هایی با سیستم عامل ویندوز سرور 2008 توسط پلتفرم­های امنیتی شناسایی شده است و لازم است تمامی این سرورها با وجود با وجود اینکه در یک EPG قراردارند در حالت ایزوله قرار گرفته و اجازه دسترسی آزادانه حتی در سطح EPG را نداشته تا این آسیب پذیری رفع گردد. قایلیت Micro Segmentation در تکنولوژی Cisco ACI این ویژگی را فراهم نموده تا در موارد مورد نیاز بر اساس پارامتر­های گوناگون امکان ایزوله نمودن End Point ها در سطح یک EPG مشترک فراهم شود. از جمله پارامتر­های که امکان استفاده در این ویژگی جهت انجام Micro segmentation را دارند، می ­توان به موارد زیر اشاره نمود:

• نسخه و ورژن سیستم عامل ماشین مجازی
• ساختار نام ماشین مجازی ( مثلا ماشین­های مجازی که دارای نام DB هستند)
• نسخه ماشین مجازی مورد استفاده
• رنج آدرس IP
• و .....

در نهایت پیشنهاد می­شود سازمان­هایی که به تازگی زیرساخت شبکه مرکز داده خود را به سمت تکنولوژی Cisco ACI مهاجرت داده اند ابتدا از روش DVS برای یکپارچه سازی با زیرساخت مجازی استفاده نمایند و پس