Diaqramın orta hissəsindəki əlaqələri qiymətləndirin. Aşağıda onlara qayıdacağıq
Bir nöqtədə, böyük, mürəkkəb L2 əsaslı şəbəkələrin ölümcül xəstə olduğunu görə bilərsiniz. İlk növbədə, BUM trafikinin emalı və STP protokolunun işləməsi ilə bağlı problemlər. İkincisi, memarlıq ümumiyyətlə köhnəlmişdir. Bu, fasilələr və əlverişsiz idarəetmə şəklində xoşagəlməz problemlərə səbəb olur.
Bizim iki paralel layihəmiz var idi, burada müştərilər seçimlərin bütün müsbət və mənfi tərəflərini ayıq şəkildə qiymətləndirdilər və iki fərqli üst-üstə düşmə həllini seçdilər və biz onları həyata keçirdik.
Tətbiqi müqayisə etmək imkanı var idi. İstismar yox, iki-üç ildən sonra bu haqda danışmalıyıq.
Beləliklə, üst-üstə düşən şəbəkələr və SDN ilə şəbəkə quruluşu nədir?
Klassik şəbəkə arxitekturasının aktual problemləri ilə nə etməli?
Hər il yeni texnologiyalar və ideyalar ortaya çıxır. Təcrübədə şəbəkələrin yenidən qurulmasına təcili ehtiyac kifayət qədər uzun müddət yaranmadı, çünki yaxşı köhnə üsullardan istifadə edərək hər şeyi əl ilə etmək də mümkündür. Bəs əgər iyirmi birinci əsrdirsə? Axı inzibatçı işləməlidir, kabinetində oturmamalıdır.
Sonra genişmiqyaslı məlumat mərkəzlərinin tikintisində bum başladı. Sonra məlum oldu ki, klassik arxitekturanın inkişaf həddi nəinki performans, nasazlıqlara dözümlülük və miqyaslılıq baxımından çatmışdır. Və bu problemlərin həlli variantlarından biri marşrutlaşdırılmış magistralın üstündə üst-üstə düşən şəbəkələrin qurulması ideyası idi.
Bundan əlavə, şəbəkələrin miqyasının artması ilə belə fabriklərin idarə edilməsi problemi kəskinləşdi, bunun nəticəsində bütün şəbəkə infrastrukturunu vahid bütövlükdə idarə etmək imkanı ilə proqram təminatı ilə müəyyən edilmiş şəbəkə həlləri meydana çıxmağa başladı. Şəbəkə bir nöqtədən idarə edildikdə isə İT infrastrukturunun digər komponentlərinin onunla qarşılıqlı əlaqəsi daha asan olur və belə qarşılıqlı əlaqə prosesləri daha asan avtomatlaşdırılır.
Demək olar ki, yalnız şəbəkə avadanlığının deyil, həm də virtualizasiyanın hər bir əsas istehsalçısı portfelində bu cür həllər üçün seçimlərə malikdir.
Qalan şey, nəyin ehtiyaclara uyğun olduğunu anlamaqdır. Məsələn, yaxşı inkişaf və əməliyyat komandası olan xüsusilə böyük şirkətlər üçün təchizatçıların paketli həlləri həmişə bütün ehtiyacları ödəmir və onlar öz SD (proqram təminatı ilə müəyyən edilmiş) həllərin hazırlanmasına müraciət edirlər. Məsələn, bunlar müştərilərinə təqdim olunan xidmətlərin çeşidini daim genişləndirən bulud provayderləridir və paketləşdirilmiş həllər sadəcə olaraq onların ehtiyaclarını ödəyə bilmir.
Orta ölçülü şirkətlər üçün satıcı tərəfindən qutulu həll şəklində təklif olunan funksionallıq 99 faiz hallarda kifayətdir.
Overlay şəbəkələri nədir?
Overlay şəbəkələrinin arxasında hansı fikir dayanır? Əslində, siz klassik marşrutlaşdırılmış şəbəkə götürürsünüz və daha çox funksiya əldə etmək üçün onun üzərində başqa bir şəbəkə qurursunuz. Çox vaxt, avadanlıq və kommunikasiya xətlərinə yükü effektiv şəkildə paylamaq, miqyaslanma həddini əhəmiyyətli dərəcədə artırmaq, etibarlılığı və bir çox təhlükəsizlik yaxşılıqlarını artırmaq (seqmentləşdirmə səbəbindən) haqqında danışırıq. Və SDN həlləri, buna əlavə olaraq, çox, çox, çox rahat çevik idarəetmə imkanı verir və şəbəkəni istehlakçılar üçün daha şəffaf edir.
Ümumiyyətlə, əgər yerli şəbəkələr 2010-cu illərdə icad edilsəydi, onlar 1970-ci illərdə ordudan miras aldığımız şəbəkələrdən çox fərqli görünəcəkdilər.
Overlay şəbəkələrindən istifadə edərək parçalar tikmək texnologiyaları baxımından hazırda bir çox təchizatçı tətbiqləri və İnternet RFC layihələri (EVPN+VXLAN, EVPN+MPLS, EVPN+MPLSoGRE, EVPN+Geneve və başqaları) mövcuddur. Bəli, standartlar var, lakin bu standartların müxtəlif istehsalçılar tərəfindən həyata keçirilməsi fərqli ola bilər, buna görə də belə fabriklər yaratarkən, hələ də satıcı kilidindən yalnız nəzəri olaraq kağız üzərində tamamilə imtina etmək mümkündür.
SD həlli ilə işlər daha da qarışıqdır; hər bir satıcının öz baxışı var. Tamamilə açıq həllər var ki, nəzəri olaraq özünüzü tamamlaya bilərsiniz və tamamilə qapalı olanlar var.
Cisco məlumat mərkəzləri üçün SDN versiyasını təklif edir - ACI. Təbii ki, bu, şəbəkə avadanlığının seçilməsi baxımından 100% satıcı tərəfindən kilidlənmiş həlldir, lakin eyni zamanda o, virtuallaşdırma sistemləri, konteynerləşdirmə, təhlükəsizlik, orkestrləşdirmə, yük balanslaşdırıcıları və s. ilə tam inteqrasiya olunub. bir növ qara qutu, bütün daxili proseslərə tam giriş imkanı olmadan. Bütün müştərilər bu seçimlə razılaşmır, çünki siz yazılı həll kodunun keyfiyyətindən və onun həyata keçirilməsindən tamamilə asılısınız, lakin digər tərəfdən, istehsalçı dünyada ən yaxşı texniki dəstəyə malikdir və yalnız ona həsr olunmuş xüsusi komandaya malikdir. bu həll üçün. İlk layihə üçün həll yolu kimi Cisco ACI seçilmişdir.
İkinci layihə üçün Juniper həlli seçildi. İstehsalçının məlumat mərkəzi üçün öz SDN-si də var, lakin müştəri SDN-ni tətbiq etməmək qərarına gəlib. Şəbəkənin qurulması texnologiyası olaraq mərkəzləşdirilmiş nəzarətçilərdən istifadə olunmayan EVPN VXLAN materialı seçilmişdir.
Bu nə üçündür
Fabrikin yaradılması asanlıqla genişlənən, nasazlığa davamlı, etibarlı şəbəkə qurmağa imkan verir. Arxitektura (yarpaq-onurğa) məlumat mərkəzlərinin xüsusiyyətlərini (trafik yolları, şəbəkədəki gecikmələri və darboğazları minimuma endirmək) nəzərə alır. Məlumat mərkəzlərindəki SD həlləri sizə belə bir fabriki çox rahat, tez və çevik şəkildə idarə etməyə və onu məlumat mərkəzi ekosisteminə inteqrasiya etməyə imkan verir.
Hər iki müştəri xətaya dözümlülüyünü təmin etmək üçün lazımsız məlumat mərkəzləri qurmalı idi və əlavə olaraq, məlumat mərkəzləri arasında trafik şifrələnməlidir.
İlk müştəri artıq öz şəbəkələri üçün mümkün standart kimi parçasız həlləri nəzərdən keçirirdi, lakin sınaqlarda bir neçə aparat təchizatçısı arasında STP uyğunluğu ilə bağlı problemlər yarandı. Xidmətlərin sıradan çıxmasına səbəb olan fasilələr olub. Və müştəri üçün bu kritik idi.
Cisco artıq müştərinin korporativ standartı idi, onlar ACI və digər variantlara baxdılar və qərara gəldilər ki, bu həlli qəbul etməyə dəyər. Bir düymədən tək nəzarətçi vasitəsilə idarəetmənin avtomatlaşdırılması xoşuma gəldi. Xidmətlər daha sürətli konfiqurasiya edilir və daha sürətli idarə olunur. IPN və SPINE açarları arasında MACSec işlətməklə trafikin şifrələnməsini təmin etmək qərarına gəldik. Beləliklə, biz kriptovalyuta keçidi şəklində darboğazdan qaçmağa, onlara qənaət etməyə və maksimum ötürmə qabiliyyətindən istifadə etməyə müvəffəq olduq.
İkinci müştəri Juniper-dən nəzarətçisiz bir həll seçdi, çünki onların mövcud məlumat mərkəzində EVPN VXLAN parçasını tətbiq edən kiçik bir quraşdırma var idi. Amma orada nasazlığa dözümlü deyildi (bir açar istifadə olunub). Biz əsas məlumat mərkəzinin infrastrukturunu genişləndirmək və ehtiyat məlumat mərkəzində zavod tikmək qərarına gəldik. Mövcud EVPN tam istifadə edilmədi: VXLAN inkapsulyasiyası faktiki olaraq istifadə edilmədi, çünki bütün hostlar bir keçidə qoşulmuşdu və bütün MAC ünvanları və /32 host ünvanları yerli idi, onlar üçün şluz eyni keçid idi, başqa cihazlar yox idi. , burada VXLAN tunelləri qurmaq lazım idi. Onlar firewalllar arasında IPSEC texnologiyasından istifadə edərək trafikin şifrələnməsini təmin etmək qərarına gəliblər (firewallın performansı kifayət idi).
Onlar ACI-ni də sınadılar, lakin qərara gəldilər ki, satıcı kilidinə görə onlar çoxlu avadanlıq, o cümlədən bu yaxınlarda alınmış yeni avadanlığın dəyişdirilməsi almalı olacaqlar və bu, sadəcə olaraq iqtisadi məna kəsb etmir. Bəli, Cisco parça hər şeylə birləşir, lakin yalnız onun cihazları parçanın özündə mümkündür.
Digər tərəfdən, daha əvvəl dediyimiz kimi, EVPN VXLAN parçasını hər hansı bir qonşu satıcı ilə qarışdıra bilməzsiniz, çünki protokol tətbiqləri fərqlidir. Bu, Cisco və Huawei-ni bir şəbəkədə keçməyə bənzəyir - deyəsən, standartlar ümumidir, ancaq qavalla rəqs etməli olacaqsınız. Bu bir bank olduğundan və uyğunluq testləri çox uzun olacağından, biz qərara gəldik ki, indi eyni satıcıdan satın almaq daha yaxşıdır və əsaslardan kənar funksionallıqla çox məşğul olmamaq.
Miqrasiya planı
İki ACI əsaslı məlumat mərkəzi:
Məlumat mərkəzləri arasında qarşılıqlı əlaqənin təşkili. Multi-Pod həlli seçildi - hər bir məlumat mərkəzi bir poddur. Açarların sayı və podlar arasında gecikmələr (RTT 50 ms-dən az) ilə miqyaslama tələbləri nəzərə alınır. İdarəetmə asanlığı üçün Multi-Site həllini qurmamaq qərara alındı (Multi-Pod həlli tək idarəetmə interfeysindən istifadə edir, Multi-Site iki interfeysə malik olacaq və ya Multi-Site Orchestrator tələb edəcək) və heç bir coğrafi saytların rezervasiyası tələb olunurdu.
Legacy şəbəkəsindən xidmətlərin köçürülməsi nöqteyi-nəzərindən, müəyyən xidmətlərə uyğun gələn VLAN-ların tədricən köçürülməsi ilə ən şəffaf variant seçildi.
Miqrasiya üçün zavodda hər bir VLAN üçün müvafiq EPG (Son nöqtə qrupu) yaradılmışdır. Əvvəlcə şəbəkə köhnə şəbəkə ilə parça arasında L2 üzərində uzandı, sonra bütün hostlar köçürüldükdən sonra şlüz parçaya köçürüldü və EPG L3OUT vasitəsilə mövcud şəbəkə ilə qarşılıqlı əlaqədə oldu, L3OUT və EPG arasında qarşılıqlı əlaqə müqavilələrdən istifadə etməklə təsvir edilmişdir. Təxmini diaqram:
Əksər ACI zavod siyasətlərinin nümunə strukturu aşağıdakı şəkildə göstərilmişdir. Bütün quraşdırma digər siyasətlər daxilində yerləşdirilmiş siyasətlərə və s. əsaslanır. Əvvəlcə bunu başa düşmək çox çətindir, amma tədricən, təcrübədən göründüyü kimi, şəbəkə administratorları təxminən bir ay ərzində bu quruluşa öyrəşirlər və sonra bunun nə qədər rahat olduğunu başa düşməyə başlayırlar.
Müqayisə
Cisco ACI həllində siz daha çox avadanlıq (İnter-Pod qarşılıqlı əlaqəsi və APIC nəzarətçiləri üçün ayrıca açarlar) almalısınız ki, bu da onu daha bahalı edir. Juniperin həlli nəzarətçilərin və ya aksesuarların alınmasını tələb etmirdi; Müştərinin mövcud avadanlıqlarından qismən istifadə etmək mümkün idi.
İkinci layihənin iki məlumat mərkəzi üçün EVPN VXLAN parça arxitekturası budur:
ACI ilə siz hazır həll yolu əldə edirsiniz - tənbəlliyə ehtiyac yoxdur, optimallaşdırmağa ehtiyac yoxdur. Müştərinin fabriklə ilkin tanışlığı zamanı heç bir tərtibatçıya ehtiyac qalmır, kod və avtomatlaşdırma üçün heç bir köməkçi insanlara ehtiyac yoxdur. İstifadəsi olduqca asandır, bir çox parametrlər sehrbaz vasitəsilə edilə bilər, bu, xüsusilə komanda xəttinə öyrəşmiş insanlar üçün həmişə bir artı deyil. İstənilən halda, beyni yeni yollarda, siyasətlər vasitəsilə parametrlərin özəlliklərinə qədər yenidən qurmaq və bir çox iç-içə siyasətlə işləmək üçün vaxt lazımdır. Bundan əlavə, siyasətlərin və obyektlərin adlandırılması üçün aydın bir strukturun olması çox arzu edilir. Nəzarətçinin məntiqində hər hansı problem yaranarsa, onu yalnız texniki dəstək vasitəsilə həll etmək olar.
EVPN-də - konsol. Əzab çək və ya sevin. Köhnə mühafizəçi üçün tanış interfeys. Bəli, standart konfiqurasiya və təlimatlar var. Siz mana çəkməli olacaqsınız. Fərqli dizaynlar, hər şey aydın və ətraflıdır.
Təbii ki, hər iki halda, köçürmə zamanı əvvəlcə ən vacib xidmətləri, məsələn, sınaq mühitlərini köçürmək daha yaxşıdır və yalnız bundan sonra bütün səhvləri tutduqdan sonra istehsala davam edin. Cümə gecəsi isə efirə getməyin. Satıcıya hər şeyin yaxşı olacağına inanmamalısınız, həmişə təhlükəsiz oynamaq daha yaxşıdır.
Siz ACI üçün daha çox ödəyirsiniz, baxmayaraq ki, Cisco hazırda bu həlli fəal şəkildə təbliğ edir və tez-tez ona yaxşı endirimlər edir, lakin texniki xidmətə qənaət edirsiniz. Nəzarətçi olmadan bir EVPN fabrikinin idarə edilməsi və istənilən avtomatlaşdırılması investisiyalar və müntəzəm xərclər tələb edir - monitorinq, avtomatlaşdırma, yeni xidmətlərin həyata keçirilməsi. Eyni zamanda, ACI-də ilkin buraxılış 30-40 faiz daha uzun çəkir. Bu, daha sonra istifadə olunacaq bütün lazımi profillər və siyasətlər dəstini yaratmaq daha uzun sürdüyü üçün baş verir. Lakin şəbəkə böyüdükcə tələb olunan konfiqurasiyaların sayı azalır. Siz əvvəlcədən yaradılmış siyasətlərdən, profillərdən, obyektlərdən istifadə edirsiniz. Siz çevik seqmentasiya və təhlükəsizliyi konfiqurasiya edə, EPG-lər arasında müəyyən qarşılıqlı əlaqəyə icazə vermək üçün cavabdeh olan müqavilələri mərkəzləşdirilmiş şəkildə idarə edə bilərsiniz - işin həcmi kəskin şəkildə azalır.
EVPN-də hər bir cihazı zavodda konfiqurasiya etməlisiniz, səhv ehtimalı daha böyükdür.
ACI tətbiq etmək daha yavaş olsa da, EVPN-in sazlanması demək olar ki, iki dəfə çox vaxt apardı. Əgər Cisco vəziyyətində siz həmişə dəstək mühəndisinə zəng edib bütövlükdə şəbəkə haqqında soruşa bilirsinizsə (çünki bu, həll yolu kimi əhatə olunub), o zaman Juniper Networks-dən yalnız avadanlıq alırsınız və bu da əhatə olunur. Paketlər cihazı tərk edibmi? Yaxşı, o zaman problemləriniz. Ancaq həll və ya şəbəkə dizaynı seçimi ilə bağlı bir sual aça bilərsiniz - və sonra onlar sizə əlavə ödəniş üçün peşəkar xidmət almağı məsləhət görəcəklər.
ACI dəstəyi çox gözəldir, çünki ayrıdır: bunun üçün ayrıca bir komanda oturur. Rusdilli mütəxəssislər də var. Bələdçi təfərrüatlıdır, həllər əvvəlcədən müəyyən edilmişdir. Baxıb məsləhət verirlər. Dizaynı tez bir zamanda təsdiqləyirlər, bu da çox vaxt vacibdir. Juniper Networks eyni şeyi edir, lakin daha yavaş (bizdə belə idi, indi şayiələrə görə daha yaxşı olmalıdır), bu da bir həll mühəndisinin məsləhət verə biləcəyi hər şeyi özünüz etməyə məcbur edir.
Cisco ACI virtuallaşdırma və konteynerləşdirmə sistemləri (VMware, Kubernetes, Hyper-V) və mərkəzləşdirilmiş idarəetmə ilə inteqrasiyanı dəstəkləyir. Şəbəkə və təhlükəsizlik xidmətləri ilə mövcuddur - balanslaşdırma, firewalllar, WAF, IPS və s... Qutudan yaxşı mikro-seqmentasiya. İkinci həll yolu, şəbəkə xidmətləri ilə inteqrasiya bir mehdir və bunu edənlərlə forumları əvvəlcədən müzakirə etmək daha yaxşıdır.
Ümumi
Hər bir konkret hal üçün yalnız avadanlığın dəyərinə əsaslanaraq deyil, həm də gələcək əməliyyat xərclərini və müştərinin hazırda qarşılaşdığı əsas problemləri və orada hansı planları nəzərə almaq lazımdır. İT infrastrukturunun inkişafı üçündür.
ACI, əlavə avadanlıq sayəsində daha bahalı idi, lakin həll əlavə bitirməyə ehtiyac olmadan hazırdır; ikinci həll əməliyyat baxımından daha mürəkkəb və bahalıdır, lakin daha ucuzdur.
Fərqli satıcılarda şəbəkə quruluşunun tətbiqinin nə qədər başa gələ biləcəyini və hansı memarlığa ehtiyac olduğunu müzakirə etmək istəyirsinizsə, görüşə və söhbət edə bilərsiniz. Arxitekturanın təxmini eskizini (büdcələri hesablaya biləcəyiniz) əldə edənə qədər sizə pulsuz məsləhət verəcəyik, ətraflı iş, əlbəttə ki, artıq ödənilir.
Vladimir Klepche, korporativ şəbəkələr.
Mənbə: www.habr.com