II - Architecture Spine Leaf

1. Présentation du principe d’architecture

Durant de nombreuses années, l’architecture à 3 niveaux s’est imposée comme la seule architecture des DATACENTER. Cependant, avec l’avènement du Cloud Computing, de la virtualisation et de la conteneurisation, les besoins en scalabilité horizontale ont été accrus. L’architecture à 3 niveaux, bien que théoriquement scalable, est extrêmement complexe à faire évoluer en raison des nombreux protocoles utilisés pour sa mise en oeuvre. De plus, le flux horizontal est confronté à des latences importantes. Les experts réseaux ont travaillé pour mettre en place un nouveau principe d’architecture réseau, c’est comme cela que le principe d’architecture Spine Leaf est apparu début 2010. Ce nouveau modèle d’architecture a su séduire les grandes entreprises comme Google, CISCO et Amazon dès son apparition.


En vue de simplifier l’architecture et de réduire la latence, le nombre de couches a été réduit à deux. La réduction du nombre de protocoles a été imaginée via la suppression de quasiment tous les protocoles de niveau 2, afin de ne garder qu’un protocole de routage dynamique capable d’acheminer le trafic avec une résilience et un balancement de charge. Les rares protocoles de niveau 2 qui sont utilisés au sein de ce modèle d’architecture sont les protocoles de redondance de lien comme PAgP et LACP. Cela peut être utile pour s’assurer de la résilience des liaisons entre la couche Spine et Leaf .


Chaque Spine étant connecté à tous les Leaf afin de former une topologie quasiment fullmesh , cela requiert un grand nombre de ports. L’utilisation de PAgP et LACP est donc peu répandue du fait de la consommation significative de ports nécessaires pour leur mise en oeuvre.


Les protocoles de niveau 3 s’approchant au plus près de clients finaux, cette architecture est donc uniquement réservée aux DATACENTER, contrairement à l’architecture Core, Aggregartion, Acces qui peut aussi bien être utilisée pour des DATACENTER que pour des entreprises.


L’utilisation des protocoles de niveau 3, au plus près des serveurs, a grandement contribué à la démocratisation du SDN (Software Defined Networking). En effet, les hyperviseurs ont intégré des solutions SDN comme VmWare NSX où OpenStack Neutron afin d'interagir directement avec des protocoles de niveau 3, mais également de virtualiser complètement la couche 2. L’implémentation du SDN offre la possibilité d’automatiser les déploiements, avec l’utilisation de l’API de VmWare NSX. Prenons le cas plus concret d’un hébergement mutualisé en DATACENTER sur un hyperviseur VmWare. Ansible ou Terraform pourront être utilisés pour déployer une VM et son réseau virtuel en requêtant l’API de NSX.

Architecture Spine Leaf

Couche Spine : La couche Spine gère l’interconnexion de notre infrastructure avec les ressources WAN, mais également l’interconnexion des Leaf entre eux à l’aide d’un protocole de routage dynamique (EIGRP, IS-IS, OSFP). Cette couche ne gère aucun mécanisme de sécurité à proprement parler, en dehors d’une isolation logique comme avec l’utilisation de VRF (Virtual Routing and Forwarding). La sécurisation des flux WAN se fait généralement par l’ajout d’une couche de firewall en amont.


Couche Leaf :La couche Leaf gère l’accès des serveurs aux réseaux, mais également l’encapsulation et la désencapsulation des flux. En effet, l’utilisation exclusive de protocoles de niveau 3 nécessite la mise en oeuvre d’interconnexion via VXLAN et EVPN, etc... La sécurité gérée sur cette couche se limite à la sécurisation des accès aux réseaux, via l’utilisation d’ACL et de Port Sécurity .


Cette architecture est modifiée par les entreprises pour répondre à leurs besoins, la modification la plus connue et utilisée est l’ajout d’une couche Core , qui permet l’interconnexion de plusieurs domaines Spine Leaf . Cela est par exemple utilisé pour l’interconnexion de deux DATACENTER présents sur un même site.