Cisco ist „Leader Germany“ im Experton WAN Services & SDN Vendor Benchmark 2016 für Software-Defined Networking Produkte
“Cisco Systems hat ein starkes Offering mit dem Produkt ACI (Application Centric Infrastruktur) und dem APIC-DC Controller. Mit den Produkten können virtuelle und physische Infrastrukturen vereint werden. Dabei werden auch zahlreiche virtuelle Umgebungen wie die Switches in den Serverblades von Dell und HP, vSwitches von VMware, Xen von Citrix, KVM Hypervisors, Microsoft Hyper V und Linux Container unterstützt. Cisco hat die Produkte erst im August 2014 auf den Markt gebracht. Seitdem sind mehr als 1.000 Installationen weltweit realisiert worden, darunter auch in Deutschland. Spezielle Ausbildungs-Zertifizierungsprogramme mit den Channel-Partnern sorgen für eine hohe Qualität bei der Implementierung“ (aus: Experton WAN Services & SDN Vendor Benchmark 2016)
Unabhängige IT-Analysten wie Experton bestätigen: Die Cisco Application Centric Infrastructure bietet den idealen Ansatz für das Software-Defined Datacenter.
Cisco ACI ist ein RZ-Netzwerk auf Basis einer skalierbaren, hoch perfornten Spine-Leaf-Fabric (40G oder 100G), das von einem zentralen Controller, dem „Application Policy Infrastructure Controller“ (APIC), als Gesamt-System verwaltet wird. Switch-by-Switch-Management per CLI war gestern!
Die Infrastruktur ist vollständig „richtliniendefiniert“, d. h. Hardwarekomponenten werden nicht mehr einzeln konfiguriert oder programmiert. Dies erfolgt stattdessen über den APIC (Application Policy Insfrastucture Controller), der dazu benutzerseitig definierte Policies anwendet, in denen das Verhalten der Infrastruktur festgelegt ist – ein Ansatz, der maximale Flexibilität, Agilität und Automatisierbarkeit ermöglicht. Wichtig: die Control-Plane bleibt Teil der Infrastruktur und ist kein Software-Overlay. Dadurch werden hohe Performance (Wirespeed) und Skalierbarkeit gewährleistet.
Die Kommunikationsregeln der gesamten Anwendungslandschaft werden in „Anwendungsprofilen“ beschrieben. Diese setzen sich aus einer Reihe von Richtlinien und „Contracts“ zusammen, in denen die Kommunikationsberechtigungen zwischen mit dem Netzwerk verbundenen Servern, virtuellen Maschinen oder beliebigen anderen Endpunkten einschließlich Sicherheitsvorgaben (d. h. Port-Beschränkungen) und QoS-Richtlinien (d. h. Mindestanforderungen an die Bandbreite) festgelegt sind. “Kein Contract” bedeutet dabei „keine Kommunikation zwischen Niemandem“ – die ACI ist eine Zero-Trust-Architektur und zugleich vollständig Multi-Tenant-fähig. Kunden konnten damit die Anzahl ihrer Firewall-Regeln um das 16-fache reduzieren. Auf Grund diese „Whitelist“ Ansatzes wird eine dramatische Vereinfachung des Firewall-Managements erreicht und die Sicherheit wird sogar noch erhöht, da man sich nicht mehr um das Entfernen überflüssig gewordene Regeln aktiv kümmern muss.
Besonders wichtig dabei: Sowohl Sicherheits- als auch QoS-Richtlinien werden direkt im Netzwerk, also unabhängig von Art und Verhalten der damit verbundenen Endpunkte, durchgesetzt – für physische Server ebenso wie für virtuelle Systeme jedes beliebigen Hypervisor-Typs, für Linux-Container und Unix-Systeme, sowie für Netzwerk-Storage-Systeme oder Netzwerk-Service-Appliances können die jeweiligen Richtlinien festgelegt werden.
Besteht der Bedarf für zusätzliche Security-Mechanismen wie Deep Packet Inspection (DPI) oder Intrusion-Detection (IDS), können die entsprechenden Systeme (jedes beliebigen Anbieters) ebenfalls in die Netzwerkprofile eingebunden und damit automatisch in den Kommunikationspfad zwischen den zu isolierenden Netzwerken bzw. Endpunkten integriert werden. Darüber hinaus können Anbieter von Sicherheits- oder Netzwerk-Services ihre Lösungen auch über offene Schnittstellen (OpFlex-Protokoll) weitergehend integrieren – für diese kann ACI die komplette Konfiguration übernehmen.
Die ACI bietet ein vollständig offenes Framework, das die Programmierung aller Konfigurationselemente über eine dokumentierte RESTful-API ermöglicht. Auf diese Weise lassen sich Netzwerkbereitstellung und Change-Management umfassend automatisieren. Die ACI kann zudem mit beliebigen Systemmanagement-, Orchestrierungs- und Systemüberwachungstools integriert und darüber hinaus auch Skript-basiert gesteuert werden. Hierzu stehen vollständig dokumentierte SDKs zur Verfügung.
Aber auch der Netzwerker freut sich: durch das zentrale Management und die Integration mit der Hardware lassen sich selbst komplexe Netzwerk viel einfacher verwalten. Kapazitätsmanagement erfolgt per GUI. Und vorbei sind die Zeiten, dass man sich beim Trouble-Shooten von Switch zu Switch hangeln musste, um die Ursachen einzukreisen. Der Controller zeigt die den Health-Score des gesamten Netzwerks, einzelner Tenants oder auch einzelner Komponenten übersichtlich an.
Zur Ursachensuche klickt man sich einfach hinunter bis in die Hardware. Realtime-Sensoren und umfangreiche Logs unterstützen das schnelle Einkreisen von Fehlerquellen.
Sie möchten mehr erfahren?
Weitere Informationen zur Cisco ACI:
http://www.cisco.com/c/r/de/de/internet-of-everything-ioe/aci/vision/index.html
Weitere Informationen zur Experton SDN-Studie:
http://www.experton-group.de/research/studien/wan-services-sdn-vendor-benchmark-2016
Tags:
