大数据架构设计方案ppt课件VIP

ACI方案,现时较为热门的话题,互联网电商大数据,应用程序,应用服务器,文件,文件服务器,数据库,数据库服务器,小型电商网站架构,中型电商网站架构,大型电商网站架构,项目梳理流程,每一个步骤都是一个需求翻译的过程,应用系统与基础架构是两种不同类型的语言,应用系统语言,人工翻译由于相互之间的不熟悉，如何确保需求翻译的正确性？,高并发，大流量高可用：7*24海量数据用户分布广泛安全：网站受攻击，密码泄露需求快速变更，发布频繁,基础架构语言,端口数量核心层、接入层带宽速率VLAN划分IP地址规划防火墙QoS负载均衡CPU、内存、网卡、存储,姑且称之为应用与基础架构之间的语言障碍,应用系统和基础架构人员必须相互翻译自己的语言,如何跨越这个障碍？,架构师,懂业务,熟系统,熟悉网络、服务器、防火墙,在哪里？,有其他的办法吗？,SoniJiandani,ApplicationCentricInfrastucture以应用为中心的基础架构,应用需求,应用（web）,中间件,数据库,ACI理解并翻译APP的需要,Aci将应用的语言翻译成网络的语言,网络需求,开放标准，拥抱开源,ACI以应用为中心的基础架构并不是单一的产品,先来看一个传统的案例,WebServers,L3,FW,SLB,SSL,DBServers,www,www,www,AppServers,FW,SLB,app,app,FW,db,db,switch1(config)#switch1(config)#inteth1/1switch1(config)#switchmodeaccswitch1(config)#switchaccvlan666switch1(config)#noshut,router(config)#router(config)#inteth1router(config)#ipaddrouter(config)#notshutrouter(config)#inteth2router(config)#ipaddrrouter(config)#noshutrouter(config)#routereigrp100router(config)#networkmaskrouter(config)#networkmaskrouter(config)#iproute54,switch2(config)#switch2(config)#inteth1/2-3switch2(config)#switchmodeaccswitch2(config)#switchaccvlan111switch2(config)#noshut,fw1(config)#fw1(config)#inteth0/1fw1(config)#nameifoutside0fw1(config)#inteth0/2fw1(config)#nameifwebfront20fw1(config)#objectnetworkwebfront_vipfw1(config)#hostfw1(config)#static(webfront,outside)fw1(config)#access-listoutside_webpermittcpanyhosteq80fw1(config)#access-listoutside_webpermittcpanyhosteq443fw1(config)#access-groupoutside_webininterfaceoutside,switch3(config)#switch3(config)#inteth1/4-5switch3(config)#switchmodeaccswitch3(config)#switchaccvlan222switch3(config)#noshut,switch4(config)#switch4(config)#inteth1/6switch4(config)#switchmodeaccswitch4(config)#switchaccvlan333switch4(config)#noshutswitch4(config)#inteth1/7-9switch4(config)#switchmodeaccswitch4(config)#switchaccvlan333switch4(config)#noshut,IDS/IPS,IDS/IPS,switch5(config)#switch5(config)#inteth1/10-11switch5(config)#switchmodeaccswitch5(config)#switchaccvlan444switch5(config)#noshutswitch5(config)#inteth1/11-15switch5(config)#switchmodeaccswitch5(config)#switchaccvlan555switch5(config)#noshutswitch5(config)#monitorsession1sourcevlan555switch5(config)#monitorsession1desteth1/16,switch6(config)#switch6(config)#inteth1/16-19switch6(config)#switchmodeaccswitch6(config)#switchaccvlan777switch6(config)#noshutswitch6(config)#monitorsession1sourcevlan777switch6(config)#monitorsession1desteth1/20,slb1(CONFIG)probehttphttp-probeinterval30expectstatus200200rserverhostwebsrvr1descriptionfoowebserveripaddressinservicerserverhostwebsrvr2descriptionfoowebserveripaddressinservicerserverhostwebsrvr3descriptionfoowebserveripaddressinserviceserverfarmhostFOOWEBFARMprobehttp-proberserverwebsrvr180inservicerserverwebsrvr280inservicerserverwebsrvr380inservicecryptogeneratekey1024fooyou.keycryptocsr-paramstestparmscountryUSstateCalifornialocalitySanJoseorganization-namefooorganization-unityoucommon-serial-numbercrisco123cryptogeneratecsrtestparmsfooyou.keycryptoimportftp5anonymousfooyou.cerparameter-maptypesslSSL_PARAMETERScipherRSA_WITH_RC4_128_MD5versionTLS1ssl-proxyserviceFOOWEB_SSLkeyfooyou.keycertfooyou.cerclass-mapmatch-allFOOSSL_VIP_CLASS2matchvirtual-address2tcpeqhttpspolicy-maptypeloadbalancefirst-matchL7-SSL-MATCHclassL7_WEBsticky-serverfarmsn_cookiepolicy-mapmulti-matchFOOWEB-VIPclassFOOWEB_VIP_CLASSloadbalancevipinserviceloadbalancepolicyFOOWEB-MATCHloadbalancevipicmp-replyloadbalancevipadvertiseactiveclassFOOSSL_VIP_CLASSloadbalancevipinserviceloadbalancepolicyFOOSSL-MATCHloadbalancevipicmp-replyloadbalancevipadvertiseactivessl-proxyserverFOOWEB_SSLinterfacevlan222service-policyinputFOOWEB_SSL,fw2(config)#fw2(config)#inteth0/1fw2(config)#nameifwebfront20fw2(config)#inteth0/2fw2(config)#nameifappfront50fw2(config)#objectnetworkappfarm_vipfw2(config)#hostfw2(config)#nat(appfront,webfront)staticfw2(config)#access-listweb_to_apppermittcpanyhosteq8081,slb2(CONFIG)rserverhostappsrvr1descriptionfooappserveripaddressinservicerserverhostappsrvr2descriptionfooappserveripaddressinservicerserverhostappsrvr3descriptionfooappserveripaddressinserviceserverfarmhostFOOAPPFARMprobehttp-proberserverappsrvr18081inservicerserverappsrvr28081inservicerserverappsrvr38081inserviceclass-maptypehttploadbalancematch-anyFOO_APP2matchhttpvirtual-address4tcpeq8081class-mapmatch-allFOO_APP_VIP_CLASSpolicy-maptypeloadbalancefirst-matchFOO_APP-MATCHclassFOO_APPsticky-serverfarmsn_cookiepolicy-mapmulti-matchFOO_APP-VIPclassFOO_APP_VIP_CLASSloadbalancevipinserviceloadbalancepolicyFOO_APP-MATCHloadbalancevipicmp-replyloadbalancevipadvertiseactive,fw3(config)#fw3(config)#inteth0/1fw3(config)#nameifappfront70fw3(config)#inteth0/2fw3(config)#nameifdbfront90fw3(config)#objectnetworkdb_clusterfw3(config)#hostfw3(config)#nat(dbfront,appfront)static0fw3(config)#access-listweb_to_apppermittcpanyhost0eq1433,.,WebServers,L3,FW,SLB,SSL,DBServers,www,www,www,AppServers,FW,SLB,app,app,FW,db,db,switch1(config)#switch1(config)#inteth1/1switch1(config)#switchmodeaccswitch1(config)#switchaccvlan666switch1(config)#noshut,router(config)#router(config)#inteth1router(config)#ipaddrouter(config)#notshutrouter(config)#inteth2router(config)#ipaddrrouter(config)#noshutrouter(config)#routereigrp100router(config)#networkmaskrouter(config)#networkmaskrouter(config)#iproute54,switch2(config)#switch2(config)#inteth1/2-3switch2(config)#switchmodeaccswitch2(config)#switchaccvlan111switch2(config)#noshut,fw1(config)#fw1(config)#inteth0/1fw1(config)#nameifoutside0fw1(config)#inteth0/2fw1(config)#nameifwebfront20fw1(config)#objectnetworkwebfront_vipfw1(config)#hostfw1(config)#static(webfront,outside)fw1(config)#access-listoutside_webpermittcpanyhosteq80fw1(config)#access-listoutside_webpermittcpanyhosteq443fw1(config)#access-groupoutside_webininterfaceoutside,switch3(config)#switch3(config)#inteth1/4-5switch3(config)#switchmodeaccswitch3(config)#switchaccvlan222switch3(config)#noshut,switch4(config)#switch4(config)#inteth1/6switch4(config)#switchmodeaccswitch4(config)#switchaccvlan333switch4(config)#noshutswitch4(config)#inteth1/7-9switch4(config)#switchmodeaccswitch4(config)#switchaccvlan333switch4(config)#noshut,IDS/IPS,IDS/IPS,switch5(config)#switch5(config)#inteth1/10-11switch5(config)#switchmodeaccswitch5(config)#switchaccvlan444switch5(config)#noshutswitch5(config)#inteth1/11-15switch5(config)#switchmodeaccswitch5(config)#switchaccvlan555switch5(config)#noshutswitch5(config)#monitorsession1sourcevlan555switch5(config)#monitorsession1desteth1/16,switch6(config)#switch6(config)#inteth1/16-19switch6(config)#switchmodeaccswitch6(config)#switchaccvlan777switch6(config)#noshutswitch6(config)#monitorsession1sourcevlan777switch6(config)#monitorsession1desteth1/20,slb1(CONFIG)probehttphttp-probeinterval30expectstatus200200rserverhostwebsrvr1descriptionfoowebserveripaddressinservicerserverhostwebsrvr2descriptionfoowebserveripaddressinservicerserverhostwebsrvr3descriptionfoowebserveripaddressinserviceserverfarmhostFOOWEBFARMprobehttp-proberserverwebsrvr180inservicerserverwebsrvr280inservicerserverwebsrvr380inservicecryptogeneratekey1024fooyou.keycryptocsr-paramstestparmscountryUSstateCalifornialocalitySanJoseorganization-namefooorganization-unityoucommon-serial-numbercrisco123cryptogeneratecsrtestparmsfooyou.keycryptoimportftp5anonymousfooyou.cerparameter-maptypesslSSL_PARAMETERScipherRSA_WITH_RC4_128_MD5versionTLS1ssl-proxyserviceFOOWEB_SSLkeyfooyou.keycertfooyou.cerclass-mapmatch-allFOOSSL_VIP_CLASS2matchvirtual-address2tcpeqhttpspolicy-maptypeloadbalancefirst-matchL7-SSL-MATCHclassL7_WEBsticky-serverfarmsn_cookiepolicy-mapmulti-matchFOOWEB-VIPclassFOOWEB_VIP_CLASSloadbalancevipinserviceloadbalancepolicyFOOWEB-MATCHloadbalancevipicmp-replyloadbalancevipadvertiseactiveclassFOOSSL_VIP_CLASSloadbalancevipinserviceloadbalancepolicyFOOSSL-MATCHloadbalancevipicmp-replyloadbalancevipadvertiseactivessl-proxyserverFOOWEB_SSLinterfacevlan222service-policyinputFOOWEB_SSL,fw2(config)#fw2(config)#inteth0/1fw2(config)#nameifwebfront20fw2(config)#inteth0/2fw2(config)#nameifappfront50fw2(config)#objectnetworkappfarm_vipfw2(config)#hostfw2(config)#nat(appfront,webfront)staticfw2(config)#access-listweb_to_apppermittcpanyhosteq8081,slb2(CONFIG)rserverhostappsrvr1descriptionfooappserveripaddressinservicerserverhostappsrvr2descriptionfooappserveripaddressinservicerserverhostappsrvr3descriptionfooappserveripaddressinserviceserverfarmhostFOOAPPFARMprobehttp-proberserverappsrvr18081inservicerserverappsrvr28081inservicerserverappsrvr38081inserviceclass-maptypehttploadbalancematch-anyFOO_APP2matchhttpvirtual-address4tcpeq8081class-mapmatch-allFOO_APP_VIP_CLASSpolicy-maptypeloadbalancefirst-matchFOO_APP-MATCHclassFOO_APPsticky-serverfarmsn_cookiepolicy-mapmulti-matchFOO_APP-VIPclassFOO_APP_VIP_CLASSloadbalancevipinserviceloadbalancepolicyFOO_APP-MATCHloadbalancevipicmp-replyloadbalancevipadvertiseactive,fw3(config)#fw3(config)#inteth0/1fw3(config)#nameifappfront70fw3(config)#inteth0/2fw3(config)#nameifdbfront90fw3(config)#objectnetworkdb_clusterfw3(config)#hostfw3(config)#nat(dbfront,appfront)static0fw3(config)#access-listweb_to_apppermittcpanyhost0eq1433,www,www,需要增加更多的WEB服务器,switch4(config)#switch4(config)#inteth2/7-9switch4(config)#switchmodeaccswitch4(config)#switchaccvlan333switch4(config)#noshut,slb1(ADDEDCONFIG)rserverhostwebsrvr4descriptionfoowebserveripaddressinservicerserverhostwebsrvr5descriptionfoowebserveripaddressinserviceserverfarmhostFOOWEBFARMrserverwebsrvr480inservicerserverwebsrvr580inservice,.,在这个传统案例中每台相关的设备：路由器、交换机、防火墙、负载均衡都要去一一的进行配置网络是一种层级拓扑，各类设备需要放在相关的位置一旦发生变更，例如增加应用服务器，相关网络设备也要发生配置变更,传统的案例,如果是ACI，会怎么样.,ACI的方式,4-7层网络服务器,虚拟机或者物理服务器,ACI核心交换机,ACI接入交换机,APIC集群,1)应用服务器，无论是WEB、中间件、数据库（VM或者物理机）连接进了ACI网络,2)ACI接入交换机（或者是VMM，例如vCenter）检测到了有设备接入，于是将设备接入信息转发给APIC,3)APIC检测到接入的是一台WEB服务器，于是将WEB应用的策略和配置推送到Leaf交换机,定义策略.,DB_contractConsumer:AppEPGProvider:DBEPGFilter:TCPport1433Contract:usefirewall+NATcopytoIDS/IPS,定义网络服务,定义应用,WEB服务器,数据库服务器,中间件服务器,入侵检测,APP_contractConsumer:WebEPGProvider:AppEPGFilter:TCPport8081Contract:usefirewallNATuseSLBcopypkttoIDS/IPS,负载均衡,防火墙,WEB_contractConsumer:OutsideEPGProvider:WebEPGFilter:TCPports80and443Contract:usefirewallNAT+SLB+SSLoffload,ACI：抽象出一个逻辑模型来支持应用程序的部署,定义策略.,DB_contractConsumer:AppEPGProvider:DBEPGFilter:TCPport1433Contract:usefirewall+NATcopytoIDS/IPS,定义网络服务,定义应用,WEB服务器,数据库服务器,中间件服务器,IDS/IPS,OutsideEPG,APP_contractConsumer:WebEPGProvider:AppEPGFilter:TCPport8081Contract:usefirewallNATuseSLBcopypkttoIDS/IPS,SLB,FW,WEB_contractConsumer:OutsideEPGProvider:WebEPGFilter:TCPports80and443Contract:usefirewallNAT+SLB+SSLoffload,在APIC中定义所有策略,定义策略,定义网络服务,定义应用,WEB服务器,数据库服务器,中间件服务器,IDS/IPS,OutsideEPG,SLB,FW,由APIC统一下发给基础架构,ACI以应用为中心的基础架构无状态网络,ADC,app,db,f/wADC,WEB,互联策略,安全策略,QOS带宽设置,存储和计算单元,应用的4-7层服务,可扩展的脚本语言模型,ACI如何能够自动识别应用？,DNS*,DNS,DHCPPool,VMAttribute,Subnet,VLAN,VxLAN,NVGRE,PhysPort,VirtualPort,SystemsTelemetry,ACI:将应用快速部署到网络中，同时保证扩展性，安全性和应用可见性,让物理网络和虚拟化环境相结合,TenantHEALTHSCORE,LATENCY,VISIBILITY,VMs,Physical,ApplicationDeliveryController,Firewall,Microsecond(s),3,35,2,PacketDrops,0,SystemsTelemetry,ApplicationHEALTHSCORE,LATENCY,VISIBILITY,VMs,Physical,ApplicationDeliveryController,Firewall,Microsecond(s),5,16,8,PacketDrops,25,ACI提供强大的排错和监控,随时监控为应用提供服务的基础架构的健康状况,ACI知道应用的结构和组成部分,82%,10,25,研发部门,法律部门,销售部门,人事,财务,ACI更灵活完善的安全管控,PolicyEngine,动态的企业安全策略,市场部门,ACIL4-L7层服务策略,L4-L7层的服务根据策略自动生效匹配策略的报文自动被处理,ACI提供了新一代的应用分析引擎,PhysicalAndVirtualAsOne,VXLANPerhopVisibility,粒度可调整：按照应用、租户、数据中心健康打分时延原子级的计数器资源消耗比例,应用级别的可视化,TriggeredEventsorQueries,自动测量：原子级的计数器,Path1,Path2,Path3,Path4,ACI与VMWare集成,三种方式,