ACI cung cấp khả năng tự động hóa mạnh mẽ có thể được mở rộng để bao gồm cả điện toán đám mây. Nó cũng có thể cung cấp thực thi bảo mật.
Lưu ý: ACI có tên gọi riêng, có các đặc điểm riêng với các thiết bị chuyển mạch trung tâm. “Bridge domain” là tên miền hàng đầu. Do đó, có một số chỉ dẫn về các khái niệm để học đi kèm với việc học cách sử dụng GUI của ACI. Điều này cũng đúng khi sử dụng ACI để định cấu hình mạng trong đám mây.
Lựa chọn thay thế: DCNM (hiện đã được đổi tên thành Cisco Network Insight Fabric Manager) hoặc CLI / tự động hóa các thiết bị chuyển mạch Nexus.
Có hai cách để sử dụng ACI và kiến trúc mà nó tạo ra. Một là như một công cụ tự động hóa hỗ trợ các thiết bị chuyển mạch mà các máy chủ vật lý gắn vào. Cách khác là sử dụng ACI làm bộ điều khiển toàn bộ trung tâm dữ liệu. Với các thực thể như tường lửa (vật lý hoặc ảo) được kết hợp chặt chẽ với kết cấu, trái ngược với việc được kết nối thông qua kết nối bên ngoài L2 hoặc L3 “OUT”.
Với phương pháp kết hợp chặt chẽ, bạn có cơ hội sử dụng tính năng chèn dịch vụ (thực tế là định tuyến dựa trên chính sách) để buộc lưu lượng đã chọn thông qua tường lửa hoặc các thiết bị đính kèm khác. Điều này, trong một số trường hợp sử dụng, có nghĩa là ít lưu lượng truy cập qua tường lửa hơn để tiết kiệm chi phí. Nhưng nó cũng có nghĩa là có nhiều logic chuyển tiếp bảo mật chuyên biệt hơn trong ACI, cùng với sự phụ thuộc nhiều hơn vào ACI.
Các Switches L3 hoạt động như bộ định tuyến trung tâm dữ liệu và tường lửa, v.v., kết nối qua các Switches L3 không thuộc cấu trúc ACI. Nó phân tách các chức năng định tuyến và tường lửa khỏi ACI ở một mức độ. Nó làm giảm số lượng ra quyết định chuyển tiếp trong ACI. ACI trở thành máy chủ và kết cấu phần đính kèm thiết bị, một vai trò hạn chế hơn một chút. Tất nhiên, làm điều này có nghĩa là mua và triển khai thêm ít nhất một vài bộ chuyển mạch tốc độ cao. Thực tế là bên trong và bên ngoài, mặc dù hai vai trò có thể được kết hợp thành một cặp thiết bị chuyển mạch vật lý duy nhất, bằng cách sử dụng VRF bên trong / bên ngoài hoặc chỉ định tuyến.
Lưu ý rằng bộ định tuyến bên trong đóng vai trò như các trung tâm dữ liệu, kết nối phần còn lại của mạng (lõi DWDM), đầu nối SDA, thế giới máy chủ ACI và NSX, và phức hợp cạnh.
Theo như những đánh giá, ACI trong lịch sử đã kết hợp khá tốt với VMware ESX / ESXi. Một lượng tích hợp khiêm tốn cho phép thiết lập các chính sách VLAN , dãy IP trong ACI với cấu hình tự động của chúng trong ESXi. https://www.ciscopress.com/articles/article.asp?p=3100058&seqNum=2
Đã có một số chuyển động trên thị trường từ VMware ESXi sang NSX. ESXi cho phép bạn ảo hóa kết cấu của mình trong khi kết nối nó ở Lớp 2. Ví dụ: kết cấu ACI. Đây là cách phổ biến nhất để triển khai VMware. Một mô tả khá đơn giản là ESX / ESXi cho phép bạn chạy các VLAN ảo trong VMware hỗ trợ các máy ảo (VM) của bạn và mở rộng mạng ảo vào thế giới thực.
Cách tiếp cận này về cơ bản đã chuyển một số máy chủ vật lý thành máy ảo trên máy chủ VMware ESXi.
NSX bổ sung khả năng ảo hóa tăng lên. Với NSX, quản trị viên VMware có thể xây dựng mạng LAN ảo VXLAN của riêng họ, đường hầm độc lập qua cơ sở hạ tầng chuyển mạch vật lý để thực hiện lưu lượng giữa các máy chủ NSX vật lý. NSX có thể cung cấp khả năng thực thi ACL cũng như tường lửa ảo của bên thứ ba được tích hợp. Và có thể cung cấp bộ định tuyến ảo, tường lửa biên, cân bằng tải và các dịch vụ khác “ở biên hợp lý” để kết nối toàn bộ thế giới ảo NSX với thế giới thực.
Nói cách khác, NSX cho phép bạn xây dựng một “đám mây trong nhà” mang lưu lượng truy cập của riêng nó một cách an toàn qua các đường hầm trên đầu của bất kỳ cơ sở hạ tầng vật lý nào, với các cạnh rời rạc về mặt vật lý của mọi thứ.
NSX cho phép bạn hoạt động giống ESXi hơn, với các VLAN bên vật lý và VXLAN kết nối các máy chủ NSX khác nhau. Nhưng điều này có nghĩa là cả hai đội đều phải tham gia xử lý sự cố khi có vấn đề phát sinh. Tôi xem đây là một bước tiến hóa giữa ESXi và NSX “đầy đủ”. Nó cho phép tường lửa phân tán của NSX được tận dụng. Và việc loại bỏ càng nhiều công nghệ L2 VLAN càng tốt có khả năng làm tăng độ mạnh mẽ. Nó cũng đặt nhiều chức năng hơn vào tay quản trị viên VMware - không cần phải điều phối trên các VLAN vật lý sau khi hoàn tất thiết lập ban đầu.
Việc chia tỷ lệ tường lửa phân tán dường như hoạt động khá tốt. Phiên bản tường lửa trên mỗi máy chủ VMware trong các trường
hợp tôi đã thấy.
NSX edge đòi hỏi phải có các bộ định tuyến mã hóa phần mềm cơ bản, tường lửa, v.v., thường chạy trên phần cứng máy chủ chuyên dụng. Nếu bạn có nhiều VRF / người thuê, có thể khuyến nghị thêm dung lượng để mở rộng quy mô tốt. Nó có thể yêu cầu triển khai nhiều phần cứng máy chủ để có được dung lượng mà một bộ chuyển mạch lớp thứ 3 khá rẻ có thể đã cung cấp. Đó có phải là một sự đánh đổi tốt?
Đối với các trung tâm dữ liệu quy mô vừa và nhỏ, nó có thể không phải là vấn đề nhiều. Đối với các liên kết lớn hơn, như trong nhiều liên kết x 10 Gbps, chứ đừng nói đến các liên kết 40 hoặc 100 Gbps, đó có thể là một vấn đề nghiêm trọng. 400 Gb / giây ???
Nhìn theo cách khác, đối với các công ty nơi máy chủ tổng hợp phần còn lại của lưu lượng mạng dưới 10 Gbps hoặc bội số nhỏ của nó, NSX edge có thể không phải là vấn đề, mặc dù bạn vẫn cần chú ý đến các chi tiết. Đối với các công ty lớn hơn, tốt nhất bạn nên hoàn thành công việc của mình để tránh tắc nghẽn. (Sự phân chia ở tốc độ 10 Gbps có thể đã tăng lên một số do các máy chủ đã được cải thiện, nhưng bạn có ý kiến về điều này.)
Hầu hết các trang Web hiện có 70% - 90% hoặc nhiều hơn các nền tảng máy chủ của họ được ảo hóa. NSX có rất nhiều điểm tích cực theo quan điểm quản trị của VMware. Từ quan điểm mạng, một điều đáng sợ về NSX là kết nối biên chạy BGP và thực hiện tường lửa và cân bằng tải - các kỹ năng và khả năng khắc phục sự cố là mối quan tâm hàng đầu.
Ngoài ra, như đã lưu ý trước đây, để có được dung lượng cao, phức hợp cạnh đó ăn các máy chủ. Rẻ hơn bộ định tuyến độc lập hoặc bộ chuyển mạch L3.
Tất cả ACI có thể thực thi là bất kỳ lưu lượng nào mà một hoặc cả hai điểm cuối là thiết bị vật lý được kết nối bên ngoài NSX.
Khi quy mô của cấu trúc trung tâm dữ liệu tăng lên, ACI hoặc một công cụ tự động hóa cấu trúc khác ngày càng trở nên hữu ích. Mức độ hữu ích và tốn kém như thế nào, so với các công cụ quản lý và tự động hóa kết cấu trung tâm dữ liệu khác, là điều bạn sẽ phải quyết định. Ngoài ra, mất bao nhiêu thời gian để thành thạo ACI? Điều đó ảnh hưởng như thế nào đến việc tìm kiếm nhân viên?
Cả ACI và NSX đều cho phép bạn sử dụng các công cụ (hoặc các công cụ tương tự) để quản lý sự hiện diện và mạng trên đám mây.
ACI nói khá rõ ràng rằng nó chỉ thực hiện từ lớp thứ 3 đến AWS hoặc Azure. Trong khi bạn có EPG bị “kéo dài”, các đầu cuối cần sử dụng các mạng con IP khác nhau.
Một số nghiên cứu chỉ ra rằng NSX có thể thực hiện L2 với đám mây AWS VMware hoặc tới Azure, mặc dù đó là một hành động không được tự nhiên.
Tài liệu của Cisco nói rõ rằng VPC và VNets thường không được mở rộng ở lớp thứ 2.
https://aws.amazon.com/blogs/apn/options-for-extending-layer-2-on-premises-networks- to-vmware-cloud-on-aws/
https://docs.microsoft.com/en-us/azure/vmware-cloudsimple/migration-layer-2-vpn
https://docs.microsoft.com/en-us/azure/vmware-cloudsimple/migration-layer-2-vpn
Từng nhóm mạng, máy chủ và ứng dụng đều muốn nâng cấp lên phiên bản mới nhất và tốt nhất. Điều nên tập trung hơn vào là “giá trị của việc cung cấp cho doanh nghiệp và khả năng quản lý của nhóm”.
Với thực tế đó, bạn nên cân nhắc những gì mà bạn sẽ cần cho trung tâm dữ liệu của bạn, những ưu tiên của bạn là gì. Bạn không nên dựa vào mọi tính năng mà sản phẩm cung cấp. Nếu chúng ta dùng rất nhiều tường lửa trong NSX thì mô hình xử lý phân phối đó cũng rất hấp dẫn. Nó có thể không hiệu quả về mặt kinh tế, nhưng với việc đặt các tường lửa gần các máy chủ, điều đó rất hấp dẫn.