一种新的思科虚拟交换机,称为应用虚拟交换机(AVS),支持多个管理程序,并将ACI的编程网络控制扩展到虚拟化层。虽然Nexus 9000产品是物理交换机ACI将编程,AVS是虚拟交换机。但是,Cisco的Nexus 1000V虚拟交换机的客户应该知道,AVS是一个不同的软件,对于希望大规模使用ACI的环境来说,迁移是必要的。
与NSX一样,覆盖是解决方案的关键元素,在本例中是VXLAN。然而,NSX使用覆盖来连接虚拟机监控程序,而不管它们在网络的哪个位置,ACI使用VXLAN的方式是大多数客户永远不会看到的。在ACI中,VXLAN是在Nexus 9000的叶子和spine交换机之间传输流量的一种传输方式。Cisco稍微调整了VXLAN,使用了一个专有扩展来标记VXLAN头,这种方式对Nexus 9000硬件很有用,但对网络运营商来说是透明的。
与NSX一样,支持多管理程序,包括来自Microsoft、VMware、Red Hat和Citrix的管理程序。有了多虚拟机监控程序的支持,VMware和Cisco已经认识到,客户不希望被锁定在特定的虚拟化平台上,但仍然希望能够自动化他们的网络虚拟化。
ACI和NSX的一个主要区别在于,思科除了重视软件,还重视硬件。在思科看来,软件本身并不能解决这个问题。Insieme(现在是思科)的高级主管Frank D 'Agostino说:“我们将提供一个与应用程序相关的平台,无论是物理的、虚拟的、Linux容器还是传统的,我们需要适应所有这些。”
达戈斯蒂诺说:“这场战斗不是关于vSwitch或物理开关。这场战斗是关于你如何在这些东西之上实现服务,以及在第一天之后支持这些东西和审核它们是否容易。”
尽管一些专家嘲笑ACI为“硬件定义的网络”,但这种批评可能没有抓住要点。即使对那些希望通过商品化来减少对硬件的重视的人来说,事实仍然是网络硬件必须提供、监测、优化和更新,以应付不断变化的网络需求。
再多的脱钩也改变不了这一事实。思科秉承其商业模式,始终重视硬件的重要性,将硬件置于ACI价值主张的中间位置。达戈斯蒂诺说:“我们在结构上知道,在逐跳和逐包的基础上,如此详细的细节,我们可以开始以不同的方式进行交通工程。”
NSX不能这么做。
随着APIC控制的硬件和软件的集成,思科计划为ACI提供一个由政策驱动的网络基础设施。策略部分是通过使用端点组(EPG)创建的。其想法是创建epg,它是描述应用程序的服务器、服务、虚拟化或网络属性的有用集合——而不仅仅是网络工程师习惯的IP地址和端口号。
一旦定义了EPG, ACI就会应用策略来管理EPG之间的流量。Insieme(现为Cisco)的技术营销工程师Joe Onisick表示:“我们将端点分组在一起以执行策略,并使用EPG作为策略实例化点……我们根据应用程序网络概要文件中绘制的连通性图在组之间实例化策略。”
关于政策和epg的这一点可能看起来有点详细,但它提出了一个更大的观点,这是理解思科围绕ACI的哲学的关键。应用程序不仅仅是插入IP数据包并通过网络转发的无定形数据负载块。相反,应用程序可以用一种更微妙的方式来描述。
Cisco使用这些细微差别的epg不仅作为一种方法来丰富地识别应用程序,而且还将组定义抽象为一个可以应用策略的对象。这一概念具有真正的力量,因为它允许网络运营商或应用程序开发人员对流量的处理进行微调,使其达到如果需要手工操作的话实际上是不可能实现的程度。
ACI模型中的流量处理还包括安全分离。D’agostino认为,“每个容器都是完全隔离的,基于策略和它们的段ID。不管它是面向VXLAN的,还是面向VLAN的,还是面向NVGRE的,对我们来说,边缘都不重要。我们带来了它,我们根据逻辑架构或系统和策略定义隔离它。我们可以保持完全和严格的隔离,完全了解为任何租户或正在运行的应用程序定义的任何资源的工作负载和资源消耗。”
因此,使用ACI,控制应用程序通信的策略通过APIC向下推入网络基础设施。APIC的接口是开放的,随着时间的推移,任何第三方都可以与它进行交互。
和VMware一样,思科也不遗余力地建立了一个合作伙伴生态系统,尽管思科强调APIC是一个开放平台,这意味着合作伙伴关系不是排他的关系。BMC、Citrix、membrane、F5、Microsoft、NetApp、PuppetLabs、Red Hat、Splunk和其他一些公司已经被列为与思科在各种应用程序的ACI集成上进行合作。
思科有时会因其解决方案的高成本而受到批评,并一直强调保持低ACI收购成本。据报道,Nexus 9000交换机的资本支出相当合理。在思科内部,9000被视为从过时的Catalyst 6500平台上可行的迁移路径。
与提供高密度40G以太网的Nexus 9000交换产品一起,思科推出了40GbE“BiDi”lc端光,允许40GbE在单对多模OM3级光纤上运行。由于大多数40GbE光纤需要12股光纤,BiDi策略为客户提供了从10GbE到40GbE的迁移路径,不需要对他们的光纤电缆工厂进行彻底检修。思科客户投资Nexus 9000交换机来建立他们的ACI基础,同时可以成本效益地转移到40GbE。
投资Nexus 7000产品线的客户会很高兴知道ACI支持在2014年下半年的路线图。
ACI的明显缺点是它需要兼容的网络硬件来完成它的工作。虽然ACI似乎是迄今为止最完整的软件定义网络架构方法之一,但即使ACI赢得了巨大的市场份额,实现也会很慢,因为ACI依赖于正确的硬件来运行。
大多数网络设备的使用寿命是5到7年,所以即使有合理的购买成本,许多组织仍然会贬值最近的硬件采购,ACI很难销售。如果思科能够成功实现与ACI的集成,那么承诺的Nexus 7000与ACI的集成将大大加快ACI的采用。
结论
从哲学上讲,NSX和ACI是相当不同的。一方面,NSX吹捧丰富的虚拟交换机功能,使用控制器和覆盖抽象网络。另一方面,ACI将硬件和软件融合到围绕特定应用程序需求构建的策略驱动的网络基础设施中。
这两种方法都将影响IT操作。这些解决方案和SDN总体上值得探索吗?是的。NSX和ACI证明了软件定义的网络是真实的,为组织提供了快速、可靠的应用程序交付技术基础。
当然,这将改变工程师运用网络艺术的方式。但是有时候改变是好的。