对话思科架构师 ACI要打破什么?(1)

思科ACI架构从2013年底被提出到现在，走过了2个年头。选择它的客户已经近2000家，其中选择其Nexus 9000系列的客户有1700家，选择了ACI核心应用策略基础中心APIC的用户，根据思科最新透露的数据已经有近500家。而且ACI的每次技术演进总能牵动产业的神经，即便是这样，ACI的潜在价值还不为大多数用户所知晓，尤其是中国用户。思科ACI的系列文章《ACI是SDN技术吗?》，这篇文章解读了思科ACI对ONF白皮书《软件定义网络：网络新常态》中所提及的SDN诸多挑战的理解，以及详细剖析了思科各部分组件如ACI Fabric、APIC(应用策略控制器)，GBP(组策略模型)等组件的实现方法和功能。

但ACI真如文章所阐述的那样，完全可以满足SDN目前所有的需求?以及ACI如何做到后发先至?与其他SDN架构相比，ACI自身的优势如何体现?ACI构建之初的逻辑是怎样的?等等话题，IT168独家对话了思科大中华区首席解决方案架构师马元骐和思科大中华区数据中心交换机产品线产品总监李少杰。

打破网络架构底层的束缚

在网络基础协议，以及架构形成的过程中，有许多有趣的事情。比如早期的以太网等标准，在其诞生之初并没有被业界广泛认可，马元骐谈到，“当初最不被看好的，反而衍伸为最后被广泛使用的标准，从而造成了网络技术发展中产生了许多问题的来源。”这隐含的意思，就是在传统网络架构中，基于物理设备、固定IP、VLAN域等已经驾轻就熟的功能和手段，当面临云、虚拟化的时候，反而使得网络成为了制约其发展的因素。

在ONF的白皮书中也做了这样的阐述，如丰富的网络协议和功能显著提高了网络复杂性，VLAN的隔离策略，降低了业务变更的灵活性;而当虚拟机发生迁移的时候，在当前网络需要跨数百或数千网络设备手动配置安全和服务质量(QoS)策略，工程繁杂，而且手工配置容易出错;当新业务需求来时，要对网络架构进行扩展则意味着对端点、服务和带宽等等大量的规划和重新设计。

满足云环境的基础架构要更加灵活、弹性、规模扩展上更加简单。马元骐认为“SDN诞生之初，公认的是在广域网中去调配路由的分配，而经过这些年的发展，SDN依然没有形成在数据中心中比较理想的实现模型。”马元骐在判断目前SDN还不够完善的同时，也隐约解释了思科ACI后发的原因。因为要将已经广泛使用的以太网、TCP/IP等技术标准打破，需要更多的思考。

所以思科希望将基础架构，尤其是网络底层的限制打破，特别是还要保证以太网、TCP/IP等逻辑还在。只是当网络对业务商业化实现造成困扰时间，将它们打破。他举例道，“今天服务器、虚拟机到底配置了怎样的IP，应该处于哪个VLAN，这些对用户都不重要。重要的是知道服务器A到服务器B之间应不应该产生关联，下一跳是连到服务器C，或者其他。来完成用户的业务流程，中间是需要安全、策略来满足它的条件，才是业务实现最重要的。”

ACI在构建之初的逻辑就是，从应用部署的逻辑性、关联性来谈底层架构如何部署，ACI以这个为着眼点出来作为主要的设计理念。

打破策略变更的紧密耦合

传统的网络架构到底有什么束缚?答案是，网络协议和功能、转发和策略的紧密耦合。因为这种耦合，策略中的变更可能会给转发带来不利影响。在现网环境中，最大的冲突产生在了系统应用开发部门和IT运维部门之间，而且这种冲突越来越无法调和。

系统开发人员会考虑功能模式是怎样的?如何串接起来?有几个功能组件与下一级的功能组件沟通，在系统应用开发人员中就是这样，他们对底层实现的IP、位置、VLAN这些根本不关心。而当系统开发人员与IT运维团队谈的时候，往往遇到的反馈是VLAN只剩多少?IP网段只剩几个位置?你的这些需求在现网无法实现。

所以，为了在数据中心基础设施提供灵活性和简单性，需要新的语言描述连接的抽象化意图，以使最终用户不需要丰富的网络知识来描述连接的需求。此外，这个意图应该从网络转发语义中解耦，以便最终用户可以描述策略，让策略中的变更不会影响转发行为。

所以思科提出了GBP的逻辑模型，全称是(Group-Based Policy)，基于组的策略。它分离了关于应用连接要求的信息与关于底层网络基础设施的详细信息。需要特别指出的是，思科创造了GBP的模型，还把它推送到了OpenStack和OpenDaylight中的工作项目中，OpenDaylight称基于组的策略是“应用为中心的策略模型”。而在思科ACI的逻辑实现上被称为ANP(Application Network Policy)。

马元骐提到，“ANP是思科在ACI中的策略实现，GBP是思科将模型推送到开源社区的说法。也是希望开源社区能够基于APIC获得价值。”

GBP或ANP的优势在于：

1.更简单的以应用为中心的表达策略：通过创建策略来映射应用程序语义，这个框架提供了更简单的自我记录机制来捕捉策略要求，而不需要非常了解网络。

2.提高自动化：分组结构允许更高级别的自动化工具简单地同时操作网络端点组。

3.一致性：通过分组端点和应用策略到各组，该框架提供了一致的方法来处理策略变更。

4.可扩展策略模型：由于这种策略模型是抽象的，没有绑定到特定网络部署，它可以简单地捕捉连接、安全、QoS等。

▲图：可更加直观的理解GBP模型的实现。

理解了GBP，但它毕竟是一个逻辑，是一个模型。落实到实体上就是ACI的控制器APIC。APIC是通过基于组策略表示的基于策略配置的控制节点，就是ACI架构中的控制器。它的主要功能是为思科ACI架构及设备提供策略控制和策略解析机制。有了APIC，用户不再需要触碰每个网络元素以及手动确保所有策略而得到适当的配置。

马元骐特别提到了APIC的几个关键点。“其一APIC并不直接参与数据平面转发，因此集群中所有思科APIC元件的断连并不会影响转发功能，这提高了整个系统的可靠性。即便是APIC遭到安全威胁，那么除了新的策略和分发失效之外，其他数据转发不受影响。其二APIC的可视化，透过APIC对底层的了解，让用户很直观的了解的设备的等级、网络的等级，应用端到端等级，如掉包率增加了与否，延时增加与否等等。其三，APIC可满足用户当前的应用开发逻辑需求，随后当用户梳理清楚自身的应用模型后，用户可以用自己定义的应用模型转述底层的基础架构该怎么支撑。其四，APIC在策略的下发方面可以通过图形化的方式，也可以将APIC的逻辑释放给用户，由用户通过开发脚本来进行策略的下发。其五，关于OpFlex，它是思科专为交换基于组的策略信息而开发的新策略协议，它是南向API。Opflex是从逻辑到物理呈现的协议，是属于APIC与物理设备沟通的对话机制，功能是将APIC的策略逻辑呈现在物理的Config上，物理设备也会反馈给APIC，逻辑功能是否能够实现。OpFlex也可用于其他的控制器。”

此外APIC还支持多租户和基于角色的访问控制，具体可参考《ACI是SDN技术吗?》一文。

对于ACI的基础Fabric，马元骐也表达了对数据中心扁平化的见解。目前思科ACI有成功的在网案例，Spine-Leaf结构中Leaf节点140台的规模。

他谈到，“在物理结构上，目前Spine-Leaf的结构跟传统的三层结构差异性并不大，其实只是视觉逻辑上的感受不一样，为什么OSI二层结构中需要那么多标准和协议?为什么谈到高可用性就必须要主备，都以二为单位呢?其实组网协议和标准完全可以将这些抛开。那么二层的问题就会迎刃而解。Spine-Leaf是有固定的布线模型的要求，Spine与Spine之间不能有横向连接，Leaf与Leaf之间中间不能有横向连接，每个Leaf要能够连接到每个Spine，这是数据中心网络扁平化的绝对要求。这个是解决东西向流量增长的方法。这个模型是有数学模型可以验证每个硬件盒子上联和下联端口各有多少，可以算出拓扑大概是怎样的。”

通过以上的介绍，用户就完全可以从网络功能的虚拟资源实现层面、控制器层面和基础架构连接层面完全理解思科在GBP、APIC和Fabric方面构建ACI的想法了。