Procijenite veze u srednjem dijelu dijagrama. Na njih ćemo se vratiti u nastavku.
U nekom trenutku možete otkriti da su velike kompleksne mreže zasnovane na L2 terminalno bolesne. Prije svega, problemi vezani za obradu BUM saobraćaja i rad STP protokola. U drugom - općenito, moralno zastarjela arhitektura. To uzrokuje neugodne probleme u vidu zastoja i neugodnosti rukovanja.
Imali smo dva paralelna projekta, gdje su kupci trezveno procijenili sve prednosti i nedostatke opcija i odabrali dva različita rješenja preklapanja, a mi smo ih implementirali.
Bilo je moguće uporediti implementaciju. Nije operacija, o tome vrijedi pričati za dvije-tri godine.
Dakle, šta je mrežna struktura sa preklapajućim mrežama i SDN-om?
Što učiniti s bolnim problemima klasične mrežne arhitekture?
Nove tehnologije i ideje pojavljuju se svake godine. U praksi, hitna potreba za ponovnom izgradnjom mreža nije se pojavila dugo, jer sve možete uraditi i ručno koristeći dobre stare djedove metode. Pa šta, šta je to dvadeset prvi vek u dvorištu? Na kraju, administrator treba da radi, a ne da sjedi u svojoj kancelariji.
Tada je počeo bum u izgradnji velikih data centara. Tada je postalo jasno da je dostignuta granica razvoja klasične arhitekture, ne samo u pogledu performansi, tolerancije grešaka, skalabilnosti. A jedna od opcija za rješavanje ovih problema bila je ideja izgradnje preklapajućih mreža na vrhu okosnice za usmjeravanje.
Uz to, povećanjem obima mreža, problem upravljanja takvim fabrikama je postao akutan, uslijed čega su se počela pojavljivati softverski definirana mrežna rješenja sa mogućnošću upravljanja cjelokupnom mrežnom infrastrukturom u cjelini. A kada se mrežom upravlja sa jedne tačke, drugim komponentama IT infrastrukture je lakše da komuniciraju sa njom, a takve procese interakcije je lakše automatizovati.
Gotovo svaki veliki proizvođač ne samo mrežne opreme, već i virtuelizacije, u svom portfelju ima opcije za takva rješenja.
Ostaje samo shvatiti šta je prikladno za ono što je potrebno. Na primjer, za posebno velike kompanije sa dobrim razvojnim i operativnim timom, gotova rješenja dobavljača ne zadovoljavaju uvijek sve potrebe i oni pribjegavaju razvoju vlastitih SD (softverski definisanih) rješenja. Na primjer, radi se o provajderima u oblaku koji stalno proširuju spektar usluga koje pružaju svojim korisnicima, a rješenja u kutiji jednostavno nisu u stanju da prate njihove potrebe.
Za srednja preduzeća, funkcionalnost koju nudi prodavac u vidu rešenja u kutiji je dovoljna u 99 odsto slučajeva.
Šta su preklapajuće mreže
Koja je ideja preklapajućih mreža. U osnovi, uzimate klasičnu rutiranu mrežu i gradite drugu mrežu na njoj da biste dobili više funkcija. Najčešće je riječ o efektivnoj raspodjeli opterećenja na opremi i komunikacijskim linijama, značajnom povećanju granice skalabilnosti, povećanju pouzdanosti i gomili sigurnosnih dodataka (zbog segmentacije). A SDN rješenja, pored ovoga, omogućavaju vrlo, vrlo, vrlo zgodnu fleksibilnu administraciju i čine mrežu transparentnijom za svoje potrošače.
Općenito, da su lokalne mreže izmišljene 2010-ih, izgledale bi daleko od onoga što smo naslijedili od vojske iz 1970-ih.
Što se tiče tehnologija za izgradnju fabrika korišćenjem overlay mreža, trenutno postoje mnoge implementacije proizvođača i Internet RFC projekata (EVPN+VXLAN, EVPN+MPLS, EVPN+MPLSoGRE, EVPN+Geneve i drugi). Da, postoje standardi, ali implementacija ovih standarda od strane različitih proizvođača može se razlikovati, tako da je prilikom stvaranja takvih tvornica još uvijek moguće potpuno napustiti zaključavanje dobavljača samo u teoriji na papiru.
Sa SD rješenjem stvari su još složenije, svaki dobavljač ima svoju viziju. Postoje potpuno otvorena rješenja koja, teoretski, možete sami završiti, postoje potpuno zatvorena.
Cisco nudi sopstvenu verziju SDN-a za data centre - ACI. Naravno, ovo je 100% zaključano rješenje za dobavljača u smislu odabira mrežne opreme, ali je u isto vrijeme potpuno integrirano sa virtualizacijom, kontejnerizacijom, sigurnošću, orkestracijom, balansiranjem opterećenja, itd. crna kutija, bez mogućnosti punog pristupa svim internim procesima. Ne pristaju svi kupci na ovu opciju, budući da u potpunosti ovisite o kvaliteti napisanog koda rješenja i njegove implementacije, ali s druge strane, proizvođač ima jednu od najboljih tehničkih podrška na svijetu i ima posvećen tim koji se bavi samo sa ovim rešenjem. Cisco ACI je izabran kao rešenje za prvi projekat.
Za drugi projekat odabrano je rješenje Juniper. Proizvođač takođe ima svoj SDN za data centar, ali je kupac odlučio da ne implementira SDN. Fabrika EVPN VXLAN izabrana je kao tehnologija za izgradnju mreže bez upotrebe centralizovanih kontrolera.
čemu služi
Stvaranje fabrike omogućava vam da izgradite lako skalabilnu, pouzdanu mrežu otpornu na greške. Arhitektura (leaf-spine) uzima u obzir karakteristike data centara (prometne putanje, minimiziranje kašnjenja i uskih grla u mreži). SD rješenja u podatkovnim centrima čine ga vrlo praktičnim, brzim, fleksibilnim za upravljanje takvom tvornicom, integrišu je u ekosistem data centra.
Oba korisnika morala su izgraditi redundantne podatkovne centre kako bi osigurala toleranciju grešaka, osim toga, promet između podatkovnih centara morao je biti šifriran.
Prvi korisnik je već razmatrao rješenja bez tkanine kao mogući standard za svoje mreže, ali su u testovima imali problema sa STP kompatibilnošću između nekoliko proizvođača hardvera. Bilo je zastoja koji su uzrokovali pad usluge. A za kupca je to bilo kritično.
Cisco je već bio standard za preduzeća korisnika, oni su pogledali ACI i druge opcije i odlučili da se isplati uzeti ovo konkretno rešenje. Svidjela mi se automatizacija kontrole od jednog dugmeta preko jednog kontrolera. Usluge se brže postavljaju, brže se njima upravlja. Odlučili smo osigurati šifriranje prometa pokretanjem MACSec između IPN i SPINE prekidača. Tako je bilo moguće izbjeći usko grlo u obliku kripto-gatewaya, uštedjeti na njima i maksimalno iskoristiti propusni opseg.
Drugi kupac je izabrao Juniperovo rješenje bez kontrolera jer je njihov postojeći podatkovni centar već imao malu instalaciju s implementacijom EVPN VXLAN tkanine. Ali tamo nije bio otporan na greške (koristio se jedan prekidač). Odlučili smo da proširimo infrastrukturu glavnog data centra i izgradimo fabriku u backup data centru. Postojeći EVPN nije u potpunosti iskorišten: VXLAN enkapsulacija zapravo nije korištena, budući da su svi hostovi bili povezani na isti prekidač, a sve MAC adrese i /32 adrese hosta su bile lokalne, isti prekidač je bio pristupnik za njih, nije bilo drugih uređaja, gdje je bilo potrebno izgraditi VXLAN tunele. Odlučili su da obezbede šifrovanje saobraćaja koristeći IPSEC tehnologiju između zaštitnih zidova (ITU performanse su bile dovoljne).
Probali su i ACI, ali su odlučili da će zbog zaključavanja dobavljača morati kupiti previše hardvera, uključujući zamjenu nedavno kupljene nove opreme, a to jednostavno nema ekonomskog smisla. Da, Cisco tkanina se integriše sa svime, ali samo su njeni uređaji mogući unutar same tkanine.
S druge strane, kao što je ranije spomenuto, ne možete samo miješati EVPN VXLAN tvornicu s bilo kojim susjednim dobavljačem jer su implementacije protokola različite. To je kao da ukrštate Cisco i Huawei u istoj mreži - čini se da su standardi uobičajeni, samo morate plesati uz tamburu. Pošto je ovo banka, a testovi kompatibilnosti bi bili veoma dugi, odlučili smo da je bolje sada kupiti od istog dobavljača, a ne da se zanosimo funkcionalnošću izvan osnovne.
Plan migracije
Dva data centra bazirana na ACI:
Organizacija interakcije između data centara. Odabrano je Multi-Pod rješenje - svaki podatkovni centar je pod. Uzimaju se u obzir zahtjevi za skaliranje po broju prekidača i kašnjenja između podova (RTT manje od 50 ms). Odlučeno je da se ne gradi Multi-Site rješenje radi lakšeg upravljanja (jedan interfejs za upravljanje se koristi za Multi-Pod rješenje, za Multi-Site bi postojala dva sučelja ili bi bio potreban Multi-Site Orchestrator), i budući da nije bila potrebna geografska rezervacija lokacija.
Sa stanovišta migracije servisa sa Legacy mreže, izabrana je najtransparentnija opcija, postepeno prenošenje VLAN-ova koji odgovaraju određenim uslugama.
Za migraciju, odgovarajući EPG (End-point-group) je kreiran za svaki VLAN u fabrici. Prvo je mreža razvučena između stare mreže i tvornice duž L2, zatim nakon migracije svih hostova, gateway je prebačen u tvornicu, a EPG je stupio u interakciju sa postojećom mrežom preko L3OUT, dok je interakcija između L3OUT i EPG je opisano korištenjem ugovora. Približna šema:
Približna struktura većine ACI fabričkih politika prikazana je na donjoj slici. Cijela postavka je zasnovana na politikama ugniježđenim u druge politike, itd. U početku je to vrlo teško shvatiti, ali postepeno, kako pokazuje praksa, mrežni administratori se naviknu na takvu strukturu za otprilike mjesec dana, a onda tek dolazi razumijevanje koliko je to zgodno.
Upoređivanje
U Cisco ACI rješenju morate kupiti više opreme (odvojeni prekidači za Inter-Pod interakciju i APIC kontroleri), zbog čega se pokazalo da je skuplji. Juniperovo rješenje nije zahtijevalo kupovinu kontrolera i dodatne opreme; pokazalo se da djelimično koristi već postojeću opremu kupca.
Evo arhitekture EVPN VXLAN tkanine za dva data centra drugog projekta:
U ACI-ju dobijate gotovo rješenje - nema potrebe za odabirom, nema potrebe za optimizacijom. Prilikom početnog upoznavanja kupca sa fabrikom, programeri nisu potrebni, ljudi za podršku nisu potrebni za kod i automatizaciju. Dovoljno je jednostavno rukovanje, mnoga podešavanja se generalno mogu obaviti putem čarobnjaka, što nije uvijek plus, pogotovo za ljude koji su navikli na komandnu liniju. U svakom slučaju, potrebno je vrijeme da se mozak ponovo izgradi na novim stazama, na posebnostima postavki kroz politike i djelovanje na mnoštvu ugniježđenih politika. Veoma je poželjno, pored ovoga, imati jasnu strukturu za imenovanje politika i objekata. Ako postoji bilo kakav problem u logici kontrolera, on se može riješiti samo kroz tehničku podršku.
U EVPN-u, konzola. Patite ili se radujte. Poznato sučelje za staru gardu. Da, postoji tipična konfiguracija i vodiči. Morate pušiti manu. Različiti dizajni, sve je jasno i detaljno.
Naravno, u oba slučaja, bolje je prvo migrirati ne najkritičnije servise, na primjer, testna okruženja, pa tek onda, nakon što otkrijete sve greške, nastaviti sa proizvodnjom. I nemojte se uključivati u petak uveče. Ne treba vjerovati prodavcu da će sve biti u redu, uvijek je bolje igrati na sigurno.
Na ACI-ju plaćate više, iako Cisco trenutno aktivno promoviše ovo rješenje i često daje dobre popuste za njega, ali štedite na održavanju. Upravljanje i svaka vrsta automatizacije EVPN fabrike bez kontrolera zahteva ulaganja i redovne troškove – praćenje, automatizaciju, implementaciju novih usluga. Istovremeno, početno pokretanje ACI-ja traje 30-40 posto duže. To je zato što je potrebno više vremena da se kreira cijeli skup potrebnih profila i politika, koji će se zatim koristiti. Ali kako mreža raste, broj potrebnih konfiguracija se smanjuje. Koristite već unaprijed kreirane politike, profile, objekte. Možete fleksibilno konfigurirati segmentaciju i sigurnost, centralno upravljati ugovorima koji su odgovorni za rješavanje određenih interakcija između EPG-a - količina posla naglo opada.
U EVPN-u morate konfigurirati svaki uređaj u fabrici, vjerovatnoća greške je veća.
Ako je ACI sporiji za implementaciju, tada je EVPN-u bilo potrebno skoro duplo duže za otklanjanje grešaka. Ako u slučaju Cisco-a uvijek možete pozvati inženjera za podršku i pitati za mrežu u cjelini (jer je pokrivena kao rješenje), onda kupujete samo hardver od Juniper Networksa, i to je ono što je pokriveno. Paketi su napustili uređaj? Ok, onda tvoji problemi. Ali možete otvoriti pitanje o odabiru rješenja ili dizajna mreže - i tada će vas savjetovati da kupite profesionalnu uslugu, uz dodatnu naknadu.
ACI podrška je vrlo kul, jer je odvojena: zaseban tim sjedi samo za ovo. Postoje, uključujući stručnjake koji govore ruski. Vodič je detaljan, odluke su unaprijed određene. Gledajte i savjetujte. Oni brzo potvrđuju dizajn, što je često važno. Juniper Networks radi istu stvar, ali mnogo puta sporije (mi smo to radili, sada bi trebalo biti bolje prema glasinama), što vas tjera da sami radite sve što vam može savjetovati inženjer rješenja.
Cisco ACI podržava integraciju sa sistemima virtuelizacije i kontejnerizacije (VMware, Kubernetes, Hyper-V) i centralizovano upravljanje. Postoje mrežne i sigurnosne usluge - balansiranje, firewall, WAF, IPS, itd. Dobra mikro-segmentacija iz kutije. U drugom rješenju, integracija sa mrežnim servisima se vrši pomoću tambure, a bolje je popušiti forume sa onima koji su to učinili unaprijed.
Rezultat
Za svaki konkretan slučaj potrebno je odabrati rješenje, ne samo na osnovu cijene opreme, već je potrebno uzeti u obzir i daljnje operativne troškove i glavne probleme sa kojima se korisnik trenutno suočava, te kakvi su planovi za razvoj IT infrastrukture.
ACI je zbog dodatne opreme ispao skuplji, ali je rješenje gotovo bez potrebe za dodatnim testerisanjem, drugo rješenje je komplikovanije i skuplje u smislu rada, ali jeftinije.
Ako želite da razgovarate o tome koliko može koštati implementacija mrežne fabrike kod različitih dobavljača i kakva je arhitektura potrebna, možete se sastati i razgovarati. Prije grube skice arhitekture (s kojom možete izračunati budžete), mi ćemo vam dati besplatan savjet, detaljna studija je, naravno, već plaćena.
Vladimir Klepče, korporativne mreže.
izvor: www.habr.com