Nuwe IT-infrastruktuur vir Russian Post-datasentrum

Ek is seker dat alle Habr-lesers ten minste een keer goedere in aanlynwinkels in die buiteland bestel het en toe pakkies by die Russiese Poskantoor gaan ontvang het. Kan jy jou die omvang van hierdie taak voorstel in terme van die organisering van logistiek? Vermenigvuldig die aantal kopers met die aantal van hul aankope, stel jou 'n kaart van ons uitgestrekte land voor, en daarop - meer as 40 duisend poskantore ... Terloops, in 2018 het Russian Post 345 miljoen internasionale pakkies verwerk.

In hierdie artikel sal ons jou vertel watter kwessies die Pos in die gesig gestaar het en hoe die LANIT-integrasie-span dit opgelos het deur 'n nuwe IT-infrastruktuur vir datasentrums te skep.

Een van die moderne logistieke sentrums van Russian Post
 

Voor die projek

As gevolg van 'n skerp toename in die aantal pakkies van buitelandse winkels in China, Wes-Europa en Noord-Amerika, het die las op die logistieke fasiliteite van die Russiese Pos toegeneem. Daarom is 'n nuwe generasie logistieke sentrums gebou, wat gebruik maak van hoë-kapasiteit sorteermasjiene. Hulle benodig ondersteuning van die rekenaarinfrastruktuur.

Die datasentrum-infrastruktuur was verouderd en het nie die nodige werkverrigting en betroubaarheid in die werking van ondernemingsinligtingstelsels verskaf nie. Russian Post het ook 'n gebrek aan rekenaarkrag ervaar om nuwe dienste bekend te stel.
 

Kliëntedatasentrums en hul probleme

Russian Post-datasentrums bedien meer as 40 000 voorwerpe, 85 territoriale kantore. Tientalle XNUMX uur per dag besigheidsdienste werk in datasentrums, insluitend e-handeldienste.

Reeds vandag gebruik die onderneming stelsels vir die stoor, ontleding en verwerking van groot data. Vir sulke stelsels speel die gebruik van kunsmatige intelligensie en masjienleeralgoritmes 'n belangrike rol. Tot op datum is een van die belangrikste gevalle vir die onderneming die optimalisering van logistieke vloeibestuur en die versnelling van kliëntediens in poskantore.

Voor die aanvang van die opgraderingsprojek was daar ongeveer 3000 virtuele masjiene in die hoof- en rugsteundatasentrums, die hoeveelheid gestoorde inligting het 2 petagrepe oorskry. Datasentrums het 'n komplekse verkeersroetestruktuur gehad wat verband hou met die verdeling in verskillende segmente volgens sekuriteitsvlakke.

Met die ontwikkeling van toepassings en die bekendstelling van nuwe dienste het die bestaande bandwydte van netwerktoerusting in datasentrums onvoldoende geword. 'n Oorgang na koppelvlakke met nuwe snelhede was nodig: 10 Gb/s, in plaas van 1 Gb/s vir toegang en 40 Gb/s op die kernvlak, met volle oortolligheid van toerusting en kommunikasiekanale.

Van die inligtingsekuriteitsafdeling is 'n vereiste ontvang om die infrastruktuur in segmente te verdeel met 'n hoë vlak van inligtingsekuriteit van verkeer en toepassings (PN - Private Network en DMZ - Demilitarized Zone). Firewalls (ITU) het verkeer deurgegee wat nie nodig was om te filtreer nie. VRF is nie op die skakelaars vir sulke verkeer gebruik nie. Die reëls by die ITU was suboptimaal (tienduisende reëls in elke datasentrum).

Naatlose migrasie van virtuele masjiene (VM's) tussen datasentrums met behoud van die IP-adres en die optimale pad vir verkeer tussen segmente, insluitend die korporatiewe datanetwerk (CDTN), was nie moontlik nie.

MSTP is gebruik vir oortolligheid, sommige poorte is geblokkeer (warm bystand). Die kern- en toegangskakelaars is nie oorgeskakel nie, en geen koppelvlaksamevoeging (LAG) is gebruik nie.

Met die koms van die derde datasentrum was 'n nuwe argitektuur en toerustingkonfigurasie nodig om die ring tussen datasentrums te bedryf (EVPN is voorgestel).

Daar was geen enkele konsep vir die ontwikkeling van datasentrums nie, gedokumenteer in die vorm van 'n projek en ooreengekom met alle departemente van die kliënt. Die huidige netwerkbedryfsdokumentasie was onvolledig en verouderd.
 

Kliëntverwagtinge

Die projekspan het die volgende take gehad:

• die argitektuur- en ontwikkelingskonsep voor te berei vir die bou van die netwerk- en bedienerinfrastruktuur van die derde datasentrum;
• 'n operasionele oudit van die kliënt se bestaande netwerk uit te voer;
• netwerkkernkapasiteit met meer as 1500 10 40/4500 Gb/s Ethernet-poorte in elke datasentrum uit te brei (XNUMX XNUMX poorte in totaal);
• verseker die werking van die ring tussen drie datasentrums met die moontlikheid om die spoed tot 80 Gb/s in elk van die segmente te verhoog om die kliënt se rekenaarhulpbronne van verskillende datasentrums in 'n enkele IT-stelsel te kombineer;
• voorsien 100% dubbele reserwe van alle netwerkelemente om die teiken Uptime op die vlak van 99,995% te bereik;
• minimaliseer verkeersvertragings tussen virtuele masjiene om besigheidstoepassings te bespoedig;
• statistieke in te samel, verkeersfiltreringsreëls in datasentrums te ontleed en verder te optimaliseer (aanvanklik was daar ongeveer 80 000 reëls);
• ontwikkel 'n teikenargitektuur om naatlose migrasie van die kliënt se kritieke besigheidstoepassings na enige van die drie datasentrums te verseker.

Ons het dus iets gehad om aan te werk.

Оборудование

Kom ons kyk van nader na watter toerusting ons in die projek gebruik het.

Firewall (NGWF) USG9560:

• verdeling deur VSYS;
• tot 720 Gbps;
• tot 720 miljoen gelyktydige sessies;
• 8 gleuwe.

 
Roeter NE40E-X8:

• tot 7,08 Tbit/s Skakelkapasiteit;
• tot 2,880 XNUMX Mpps-aanstuurprestasie;
• 8 gleuwe vir lynkaarte (LPU);
• tot 10M BGP IPv4-roetes per MPU;
• tot 1500K OSPF IPv4-roetes per MPU;
• tot 3000K - IPv4 FIB (hang af van LPU).

CE12800-reeks skakelaars:

• Toestelvirtualisering: VS (1:16-virtualisering), Cluster Switch System (CSS), Super Virtual Fabric (SVF);
• Netwerkvirtualisering: M-LAG, TRILL, VXLAN en VXLAN oorbrugging, QinQ in VXLAN, EVN (Ethernet Virtual Network);
• begin met VRP V2, is EVPN-ondersteuning ingesluit;
• M-LAG - analoog van vPC (virtuele poortkanaal) vir Cisco Nexus;
• Virtual Spanning Tree Protocol (VSTP) - Versoenbaar met Cisco PVST.

CE12804

CE12808

Sagteware

In die projek het ons gebruik gemaak van:

• omskakeling van konfigurasielêers vir brandmure van ander verskaffers in opdragformaat vir nuwe toerusting;
• skrifte van ons eie ontwerp om die konfigurasie van firewalls te optimaliseer en te transformeer.

Voorkoms van die omskakelaar vir die omskakeling van konfigurasielêers
 
Kommunikasieskema tussen datasentrums (EVPN VXLAN)
 

Die nuanses van die opstel van toerusting

CE12808
 

• EVPN (standaard) in plaas van EVN (Huawei eie) vir kommunikasie tussen datasentrums:

  ○ L2 oor L3 met iBGP in beheervlak;
  ○ MAC-opleiding en aankondiging via iBGP EVPN-familie (MAC-roetes, tipe 2);
  ○ outomatiese konstruksie van VXLAN-tonnels vir uitsending / onbekende unicast-verkeer (Inklusiewe Multicast-roetes, tipe 3).

• Twee verdelingsmodusse op VS:

  ○ gebaseer op poorte (poortmoduspoort) of gebaseer op ASIC (poortmodusgroep, vertoontoestelpoortkaart);
  ○ poortverdeeldimensie-koppelvlak 40GE werk SLEGS in Admin VS (ongeag die poortmodus).

USG 9560
 

• moontlikheid om deur VSYS te deel,
• tussen VSYS dinamiese roetering en roetelek is onmoontlik!

CE12804
 
Alle aktiewe GW (VRRP Master/Master/Master) met MAC VRRP-filtrering tussen datasentrums
 
acl number 4000
  rule 5 deny source-mac 0000-5e00-0100 ffff-ffff-ff00
  rule 10 deny destination-mac 0000-5e00-0100 ffff-ffff-ff00
  rule 15 permit
 
interface Eth-Trunk1
  traffic-filter acl 4000 outbound

Skema van interaksie van hulpbronne tussen datasentrums (VXLAN EVPN en All Active GW)
 

Projek kompleksiteit

Die grootste probleem was die behoefte om bestaande toepassings met behulp van rekenaarinfrastruktuur te rugsteun. Die kliënt het meer as 100 verskillende toepassings gehad, waarvan sommige amper 10 jaar gelede geskryf is. Byvoorbeeld, as dit vir Yandex moontlik is om 'n paar honderd virtuele masjiene maklik af te skakel sonder om eindgebruikers te benadeel, sal so 'n benadering in Russian Post die ontwikkeling van 'n aantal toepassings van nuuts af en veranderinge in die argitektuur van ondernemingsinligtingstelsels vereis. Ons het die probleme opgelos wat in die proses van migrasie en optimalisering ontstaan ​​het in die stadium van 'n gesamentlike oudit van die rekenaarinfrastruktuur. Alle netwerktegnologieë wat nuut is vir die onderneming (soos EVPN) is vooraf in die laboratorium getoets.
 

Projek resultate

Die projekspan het spesialiste ingesluit "LANIT-integrasie", die kliënt en sy vennote in die bedryf van die rekenaarinfrastruktuur. Toegewyde ondersteuningspanne van verskaffers (Check Point en Huawei) is ook gevorm. Die projek het twee jaar geduur. Hier is wat gedurende hierdie tyd gedoen is.

• 'n Strategie vir die ontwikkeling van 'n netwerk van datasentrums, 'n korporatiewe data-oordragnetwerk (CSTN) en 'n ring tussen datasentrums is ontwikkel en met alle departemente van die kliënt ooreengekom.
• Verhoogde diensbeskikbaarheid. Dit is opgemerk deur die kliënt se besigheid en het gelei tot 'n selfs groter toename in verkeer as gevolg van die bekendstelling van nuwe dienste.
• Meer as 40 000 reëls is gemigreer en geoptimaliseer vanaf FWSM/ASA na USG 9560. Verskillende ASA-kontekste op UGG 9560 is saamgevoeg in 'n enkele sekuriteitsbeleid.
• Die deurset van datasentrumpoorte is van 1G tot 10/40G verhoog deur die gebruik van CE12800/CE6850. Dit het dit moontlik gemaak om koppelvlakoorladings en verlies van pakkies uit te skakel.
• Draerklas-roeteerders NE40E-X8 het die behoeftes van die kliënt se datasentrum en KSPD volledig gedek, met inagneming van toekomstige sake-ontwikkeling.
• Agt nuwe kenmerkversoeke is aangevra vir USG 9560. Hiervan is sewe reeds geïmplementeer en is ingesluit in die huidige weergawe van VRP. 1 FR word geïmplementeer deur Huawei R&D. Dit is 'n groep vir agt onderstelle met die vermoë om die nodige funksionaliteit op te stel vir die sinchronisering van die konfigurasie sonder om sessies te sinchroniseer. Vereis as die verkeersvertraging na een van die datasentrums te hoog is (Adler - Moskou 1300 km langs die hoofroete en 2800 km langs die rugsteunroete).

Die projek het geen analoë in vergelyking met ander posmaatskappye in Rusland nie.

Die modernisering van die datasentrumnetwerkinfrastruktuur het nuwe geleenthede vir die onderneming geopen om digitale dienste te ontwikkel.

• Die verskaffing van 'n persoonlike rekening en 'n mobiele toepassing vir individue en regspersone.
• Integrasie met elektroniese winkels om goedere afleweringsdienste te verskaf.
• Vervulling is die berging van goedere, die vorming en aflewering van bestellings vanaf elektroniese winkels.
• Uitbreiding van punte van uitreiking van bestellings, insluitend met die gebruik van vennootnetwerke.
• Regsbeduidende dokumentvloei met kontrakteurs. Dit sal die stadige en duur aflewering van papierdokumente uitskakel.
• Aanvaarding van geregistreerde briewe in elektroniese vorm met aflewering in beide elektroniese en papiervorm (met die druk van items so na as moontlik aan die finale ontvanger). Diens van elektroniese geregistreerde briewe op die portaal van openbare dienste.
• Platform vir die verskaffing van telemedisyne dienste.
• Vereenvoudigde aanvaarding en vereenvoudigde aflewering van geregistreerde posstukke met 'n eenvoudige elektroniese handtekening.
• Digitalisering van die poskantoornetwerk.
• Verwerking van selfdiensdienste (terminale en pakkiemasjiene).
• Skep van 'n digitale platform vir die bestuur van die koerierdiens en 'n nuwe mobiele toepassing vir koerierdienskliënte.

Kom werk saam met ons!

• Ondernemingsinfrastruktuuringenieur
• Hoof Linux / DevOps Ingenieur

Bron: will.com