PSEFABRIC-ネットワーク管理および自動化への新しいアプローチ。 理想へのステップ

始める前に

• ここで説明することはすべて、データセンターとオフィスネットワークにより関連しています
• プロジェクトについてのhttps://github.com/nihole/PSEFABRIC
• PSEFABRICの基本原則を概説する記事も参照してください。

理想的なネットワーク管理システム

制御と自動化の観点から、 PSEFABRICは他のソリューションよりも「理想的なネットワークマネージャー」と呼ばれるものに近づいています。



良い車があれば、優れた制御システムとは何かを知っています。 あなたは、ユーザーとして、移動の速度と方向を変更する方法のみを知る必要があり、これだけで、概して、これはインターフェイスを提供します。 同時に、車はメーカーによって異なる場合があり、技術的な解決策も異なる場合があります。インターフェースは、ブレーキ、ガス、ステアリングホイール（オートマチックトランスミッションを使用している場合）と同じです。



このアプローチをネットワークに引き継ぐことはできますか？もしそうなら、どの制御システムがネットワークに最適でしょうか？



これらの質問に答えるために、最初に質問に答えましょう。そして、ドライバーは誰ですか？



「真空の球体」ではないネットワークは、それ自体のために存在するのではなく、データ送信という単一の目的のために存在します。 そして、このサービスのユーザーはアプリケーションです。 アプリケーションに必要なのは、グリッドとそれらの間の接続だけです。 構成ポイントは、理想的にはネットワーク全体で（100の異なるネットワークデバイスではなく）同じであり、インターフェイスはシンプルで統一されている必要があります。



そして...もちろん、これは不可能なタスクです。なぜなら、ネットワークの観点から見ると、すべてが複雑だからです：数百のプロトコル、機器の種類、ベンダー、設計-これはあらゆる種類のオプションの海です。 この多様性をすべて考慮したシンプルな統合インターフェースを備えた製品を作成する方法は？ この形式の問題を解決できないことは明らかです。



それでも、今では解決策があると言うことができ、PSEFABRICはこれを示しています。 もちろん、タスクは少し変更する必要がありますが、幸いなことに、この変更は重要ではありません。

問題の声明

良いニュースが2つあります。



1つ目は、ネットワークの構築を完了して運用を開始すると、この瞬間からネットワーク上で行うタスクの範囲が大幅に狭まることです。

通常、運用タスクは次のとおりです。

• デバイス（ネットワーク、Wilan、サブインターフェースなど）を接続するためのL2 / L3プロトコルの設定に関連する構成の作成/削除。
  
  ネットワークの作成/削除と呼びます。
• オープン/クローズアクセス
• トラフィックのバランスをとるための仮想サーバーの作成/削除

これにより、初期要件を変更する機会が与えられます。 ネットワーク上のすべての操作を管理するつもりはありません。 相互に関連するいくつかの操作、すなわち

• アクセス作成
• ネットワーキング（上記の意味で）
• バランシング用の仮想サーバーの作成
• ...

2番目の良いニュースはインターフェイスです。



Cisco ConfD製品は、必要なものをすべて提供します。 YANG言語を使用して、インターフェイスに必要なほぼすべてのロジックを記述（および作成）できます。 また、私たちが愛するすべてのものを手に入れるでしょう。 これらのいくつかを次に示します。

• 設定保存
• 候補および実行中の構成バージョン（コミット機能）
• 変更の構文とロジックを確認する
• ロールバック
• AAA
• cli、http、rest、netconf、snmpによる設定可能性

PSEFABRIC v.010

新しいバージョンv.010 PSEFABRIC

• 異なるプロジェクトコンテキストを簡単に切り替えることができます
• さまざまな設計、機器、要件に簡単にカスタマイズできます。 これは、次のPSEFABRICプロパティによって保証されます。
  • プロジェクトp000 。これは他のプロジェクトのテンプレートです。 新しいプロジェクトを作成するときに推奨されるアプローチは、このプロジェクトのファイルをコピーして、その後の変更を加えることです。
  • PSEFABRICを構成するためのツールのセット。 コードの変更は不要
  • このソリューションを実装するプロセスで実行される一連のステップを記述する方法論

この記事が1年前に書かれたとき、概して 、それは「これは原則として可能ですか？」という質問に対する答えでした。



一連の機器（Ciscoルーター、L3スイッチ、スイッチ、Cisco ASA、Juniper SRX）の観点から興味深い例（現在はプロジェクトp001と呼ばれています）は、やや人工的なものです。



このプロジェクト（p001）の大きな利点は、PSEFABRICおよび上記のすべての機器の設定を「いじって」、操作の原理、構成の主なポイントを理解し、診断ツールに精通できるラボ（UNL）の存在です...



PSEFABRICの現在のバージョン（v.010）は、すでに本格的な製品です。 ネットワークまたはクライアントのネットワークで取得して適用できます。 このソリューションの柔軟性と強度を実証するために、別のプロジェクトが作成されました（ p002 ）。



これはすでに「戦闘」設計であり、自分の場所またはクライアントで適用できます。 これは、長年のアイデアに基づいてデータセンターを構築するための一般的かつ最新のアプローチです。

• ネストされた論理セグメンテーション
  
  
  • 論理デバイス（ACIテナント、Palo-Alto VSYS、N7k VDC、...）
  • ルーティングセグメンテーション（VRF）
• ファイアウォール上の論理セグメント間のトラフィック制御
• データセンターを接続するためのMPLSクラウド

機器：パロアルト、Cisco ACI。



この30分のビデオでは、 例0を詳細に解析します。 この例では、PSEFABRICを使用して、プロジェクトp002の異なるネットワークセグメント間のアクセスを構成し、それぞれACIおよびPA機器を構成します。

奇跡について

PSEFABRICがネットワーク管理の概念をどのように変えているかを理解するために、いくつかの例を示します。



概念的なことから始めましょう。

• 柔軟性 アンケートのすべての質問に答えた後、新しいプロジェクト用にPSEFABRICを設定するには、数日から数週間かかります。 多くは、必要なテンプレートをすべてすばやく作成できるかどうかに依存します。 しかし、いずれにしても、このシステムの実装（テストを含む）には3か月が非常に現実的です。 たとえば、プロジェクトp002のPSEFABRICの設定には1週間かかりました。 ACIのアクセス制御システムを作成した経験があるため、複雑なプロジェクトでこの期間を6か月に増やしても、非常に優れた指標であることに変わりはありません。
• 災害復旧。 実際には、単一のファイルに「ネットワーク全体」の「運用」構成があります。 新しい機器に簡単に適用できます。 しかし、興味深いことに、機器の種類（たとえば、ジュニパーSRXでしたが、Palo-Alto FWになった）を交換し、PSEFABRIC設定を変更（または新しい設定で新しいプロジェクトを作成）して、同じ構成を新しい種類の機器に適用することもできます。 そして、それは本当に奇跡のように見えますよね？
• ロギングにアクセスします。 通常の問題。 ログを記録しないと、どこで何がどのアクセスがまだ必要で、どれが古くなっているかがすぐにわからなくなり、一般的にネットワークの制御を失います。 ログに記録すると、時間がかかり、ログに記録されるアクセスが実際の構成に実際に対応しているかどうかがわからなくなり、最終的には停止します。 ここでは、1つのボトルに設定とロギングの両方があります。
• DevOps。 ネットワークの設定は、シンプルで読みやすいテキストファイルになりました。 したがって、ベストプラクティス開発をネットワークの変更に適用できます。
• NaaS。 「Network as a Service」ソリューションの実装方法について考えたことはありますか？ これで、cli、netconf、REST、HTTP、SNMPインターフェイスを備えたこのソリューションが完成しました。

そして、いくつかの技術的な例：

• 「どこから/どこから/へのアクセスなどのネットワークへ」などの質問に答えようとしましたか？ 複数のデータセンターがあり、多数の異なるデバイスでアクセスが制御されている場合、この質問への答えは非常に困難です。 PSEFABRICの場合、これは基本です。
• 一部のベンダーは、Palo-AltoのタグやCiscoのTrustSecなどの便利なアクセス管理ソリューションを提供しています。 一番下の行は、アクセスタグを使用して、ネットワークへのアクセスを自動的に提供することです。 PSEFABRICでは、ベンダーに関係なく、ネットワーク全体にこれを実装できます。 奇跡のように聞こえますか？ 私の意見では、はい。
• 管理リソース（監視システム、バックアップシステムなど）が配置されている複数のネットワークから、すべてのネットワークデバイスとLinuxサーバーへのアクセスを開きたい。 通常、これは多くのデバイスで多くのアクセスを開かなければならないという事実につながります。 実行可能ですが、あまり快適な手順ではありません。もちろん、このような例は数多くあります。 PSEFABRICの場合、これは1つのポリシーであり、PSEFABRICはどこにどの構成コマンドを適用するかを決定します。

よくある質問

しかし、これは、たとえばCisco UCSDを使用するなど、通常のオーケストレーションとどのように異なりますか？

このアプローチの新機能は何ですか？



新しいことは、通常、オーケストレーションがネットワーク構成を認識していないことです。情報が必要な場合、オーケストレーションは実際の機器を要求する必要があります。

たとえば、ACIの契約を削除した場合、オーケストレーションシステムはACIのすべてのEPGを調べて、この契約のすべてのプロバイダーとコンシューマーを見つける必要があります。 そして、それは何万ものEPGになる可能性があります。 そして、それはパフォーマンスだけではありませんが（それもそうですが）、ロジックを非常に複雑にします。



さて、前の章を見て質問に答えてください。オーケストレーションの場合、これらすべての利点がありますか？

面白い？

PSEFABRICは、オープンソースライセンスのApacheライセンス、バージョン2.0です。



https://github.com/nihole/PSEFABRIC

https://github.com/nihole/PSEFABRIC/wiki

https://github.com/nihole/PSEFABRIC/wiki/Installation