Experten-Interview: Cisco ACI

Jun 3, 2021 | Solutions

Netcloud gehört zu den erfahrensten Integratoren in der Schweiz, was Cisco Application Centric Infrastructure (ACI) betrifft. Bereits über 75 Projekte haben die Netcloud Engineers in die Tat umgesetzt. Von Anfang an dabei: Lukas Eisenberger, der die SDN-Lösung bis ins kleinste Detail kennt.

Lukas, du hast bei dutzenden ACI-Projekten mitgewirkt – von der Planung bis zum Betrieb. Was ist für dich das absolute Alleinstellungsmerkmal von ACI?

Cisco ACI steht bekanntlicherweise für Application Centric Infrastructure. Wie der Name schon sagt, steht die Applikation im Zentrum, welche betrieben wird. Die Stärken von Cisco ACI bestehen darin, dass Policy-basiert ein Regelwerk erstellt wird, welches definiert wie eine Applikation netzwerktechnisch abgebildet werden soll. Dies entspricht voll und ganz dem Software-Defined Network-Ansatz (Define once and use many). Des Weiteren verfügt Cisco ACI über ein zentrales Management und eine REST-API. Zudem basiert Cisco ACI auf einer VXLAN-Fabric und verfügt über ein standardisiertes Underlay, welches immer identisch konfiguriert ist. Dies bringt Vorteile im Troubleshooting-Fall, da es die Lösungsfindung vereinfacht.

Was bewegt Unternehmen dazu, Cisco ACI einzusetzen?

Heutige IT-Abteilungen kämpfen alle mit den gleichen Problemen: Knappe Zeit, knappe Human Ressources und höhere Sicherheitsstandards. Diese Probleme wiederspiegeln sich direkt im Bedürfnis, häufige und repetitive Arbeitsabläufe zu automatisieren. Neue Applikationen sollen nicht mehr innerhalb eines Monates, sondern in wenigen Stunden ausgerollt werden. Und dies immer mit derselben Qualität. Aufgrund des SDN-Ansatzes bietet Cisco ACI entscheidende Vorteile im Betrieb. Und dies auch dann, wenn noch kein Automatisierungsprojekt existiert. Dies, weil eine Cisco ACI-Fabric als ein Gesamtsystem betrachtet werden kann. Es besteht zwar aus vielen Switches (Leaves und Spines), wird aber von einer zentralen Stelle konfiguriert (APIC Controller).

Steigende Sicherheitsstandards setzen im Datacenter ein strengeres Applikations-Tiering voraus. Hier bietet Cisco ACI mit dessen Contract-Modell entscheidende Vorteile. Gängige Sicherheitskonzepte (Zonenmodelle) können ohne weiteres nachgebildet werden (Network-Mode). Und sogar noch mehr: Das Zero-Trust-Modells von Cisco ACI ermöglicht eine strenge Microsegmentierung. Dabei wird jede Applikation einzeln in einem Applikationsprofil modelliert und isoliert betrieben (Application-Mode). Falls das Security-Enforcement zwischen den App-Tiers immer noch auf einer Firewall erfolgen soll, da zum Beispiel Next-Generation Firewall Features zum Einsatz kommen, kann dies problemlos umgesetzt werden. Hier kommt ein weiterer Vorteil von Cisco ACI zum Tragen: Ein sogenannter Service-Graph mit PBR (Policy-Based-Redirect). Das PBR-Feature von Cisco ACI kann Datenflüsse zwischen den Applikationen zu einer Firewall umleiten. Dies geschieht auch dann, wenn die miteinander kommunizierenden Applikationen sich im gleichen Subnetz befinden. Dies ist einzigartig und ermöglicht Unternehmen, alte Multi-VRF-Zonenmodelle abzulösen und entscheidend zu vereinfachen. Als Folge können Applikationen schneller und sicherer ausgerollt werden.

Ist denn Cisco ACI immer noch state-of-the-art oder schon langsam ein alter Hut?

Cisco ACI ist ganz und gar kein alter Hut. Ich würde sogar behaupten, dass sich Cisco ACI seit der Einführung im Jahr 2013 zu einem Defacto-Standard entwickelt hat, der bei einem Lifecycle im Datacenter massgebend ist. Cisco ACI wurde und wird immer noch kontinuierlich weiterentwickelt. Es unterstützt etliche Fabric-Architekturen, welche sich nach dem Betrieb eines oder mehrerer Datacenter richten (Single-Pod, Stretched-Fabric, Multipod, Multisite). Auch steht Cisco ACI nicht für sich alleine, sondern für ein ganzes Ecosystem. Es gibt zum Beispiel Integrationen in VMware, Hyper-V, Openstack, und Kubernetes, welche das Deployment virtueller Workloads vereinfachen und mehr Visibilität ermöglichen. Und es gibt entsprechende Integrationen in Automatisierungsumgebungen wie Hitachi Terraform, Red Hat Ansible und VMware vRealize – um die gängigsten zu nennen.

Wie hat sich ACI in den letzten Jahren weiterentwickelt und was kommt noch auf uns zu?

Bis vor einem Jahr bestand eine Cisco ACI Fabric aus Cisco Hardware und Software, welche man On-Prem betrieb (Private Cloud). Seit einem Jahr kann eine Cisco ACI Fabric ebenfalls in der Public Cloud laufen (ACI Anywhere). Dies bringt einen entscheidenden Vorteil, falls Unternehmen planen, Workloads in der Cloud zu betreiben und diese mit demselben Policy-basiertem Regelwerk zu konfigurieren, welche in ihrer On-Prem ACI Fabric vorkommen. Oder anders gesagt: Der Betrieb wird vereinfacht, da die Netzwerkkonfiguration in der Cloud in ihrer Handhabung identisch ist wie in einer On-Prem Cisco ACI Fabric. Umgesetzt wird dies, indem in der Public Cloud ein Cloud APIC Controller ausgerollt wird, welcher die ACI-Konfiguration auf Cloud Native Calls übersetzt. So wird die jeweilige Public Cloud entsprechend konfiguriert. Somit ist Cisco ACI mit dem ACI Anywhere-Ansatz Cloud-agnostisch und ermöglicht, Workloads in unterschiedlichen Cloud-Umgebungen gleich zu betreiben (Multicloud: zurzeit AWS und Azure – GCP in Planung). Und dies unter der Berücksichtigung, dass die definierten Sicherheitskonzepte in der Public Cloud so umgesetzt werden können wie in der On-Prem ACI Fabric. Auch ist es denkbar, dass gar keine On-Prem ACI Fabric betrieben wird, sondern nur der Cloud APIC Controller und somit Workloads in AWS und Azure per Cloud APIC dasselbe Policy-basierte Regelwerk erhalten.

Hast du ein persönliches Highlight oder Erlebnis im Zusammenhang mit ACI?

Das SDN-Team in der Netcloud konnte sich über die Jahre eine grosse Kompetenz hinsichtlich Cisco ACI und dessen Ecosystem aufbauen. Aufgrund unserer Erfahrung werden Cisco ACI-Projekte für unsere Kunden standardisiert umgesetzt. Dies fängt bei einem Grob- und Detail- sowie Migrationskonzept an. Weiter geht es mit einer standardisierten Parametrisierung der Cisco ACI Fabric mittels Python-Script mit einem Parametrisierung-Sheet und endet dann mit mehreren definierten Migrationsschritten. Am Ende verfügt der Kunde über eine Cisco ACI Fabric mit vordefinierten Policy-Regelwerk. Aus diesem Grund ist es am Ende eines erfolgreich umgesetzten ACI-Projektes immer wieder schön zu sehen, dass Kunden mit dem Produkt Cisco ACI und dessen Umsetzung zufrieden sind.

Sie haben Fragen zu Cisco ACI? Dann stellen Sie diese direkt Lukas Eisenberger unter eisenberger@netcloud.ch.

Übrigens führen wir regelmässig fünftägige ACI-Kurse durch. Werden Sie selbst zum ACI-Experten und melden Sie sich gleich an >