Timbang-timbanga ang mga koneksyon sa tunga nga bahin sa diagram. Mobalik kami kanila sa ubos
Sa pila ka punto, mahimo nimong mahibal-an nga ang dagko, komplikado nga mga network nga nakabase sa L2 adunay sakit nga sakit. Una sa tanan, ang mga problema nga may kalabutan sa pagproseso sa trapiko sa BUM ug ang operasyon sa STP protocol. Ikaduha, ang arkitektura sa kasagaran karaan na. Kini ang hinungdan sa dili maayo nga mga problema sa porma sa mga downtime ug dili kombenyente nga pagdumala.
Kami adunay duha ka managsama nga mga proyekto, diin ang mga kustomer mabinantayon nga nagtimbang-timbang sa tanan nga mga bentaha ug disbentaha sa mga kapilian ug gipili ang duha nga lainlaing mga solusyon sa overlay, ug among gipatuman kini.
Adunay higayon nga itandi ang pagpatuman. Dili pagpahimulos; kinahanglan natong hisgutan kini sulod sa duha o tulo ka tuig.
Busa, unsa ang usa ka network nga panapton nga adunay mga overlay nga network ug SDN?
Unsa ang buhaton sa mga dinalian nga mga problema sa klasikal nga arkitektura sa network?
Kada tuig ang mga bag-ong teknolohiya ug ideya motungha. Sa praktis, ang dinalian nga panginahanglan sa pagtukod pag-usab sa mga network wala motungha sa dugay nga panahon, tungod kay ang pagbuhat sa tanan pinaagi sa kamot gamit ang maayo nga daan nga mga pamaagi posible usab. Unsa man kung kini ang ika-XNUMX nga siglo? Human sa tanan, ang usa ka administrador kinahanglan nga magtrabaho, ug dili molingkod sa iyang opisina.
Dayon nagsugod ang usa ka boom sa pagtukod sa dagkong mga sentro sa datos. Dayon nahimong tin-aw nga ang limitasyon sa pag-uswag sa klasikal nga arkitektura naabot, dili lamang sa mga termino sa performance, fault tolerance, ug scalability. Ug usa sa mga kapilian sa pagsulbad niini nga mga problema mao ang ideya sa pagtukod og mga overlay nga network sa ibabaw sa usa ka natultolan nga backbone.
Dugang pa, sa pag-uswag sa sukod sa mga network, ang problema sa pagdumala sa ingon nga mga pabrika nahimong mahait, ingon usa ka sangputanan diin ang mga solusyon sa network nga gitakda sa software nagsugod sa pagpakita nga adunay katakus sa pagdumala sa tibuuk nga imprastraktura sa network sa usa ka tibuuk. Ug kung ang network gidumala gikan sa usa ka punto, mas dali alang sa ubang mga sangkap sa imprastraktura sa IT nga makig-uban niini, ug ang ingon nga mga proseso sa interaksyon mas dali nga ma-automate.
Hapit tanan nga dagkong tiggama sa dili lamang mga kagamitan sa network, apan usab virtualization, adunay mga kapilian alang sa ingon nga mga solusyon sa portfolio niini.
Ang nahabilin mao ang pagpangita kung unsa ang angay alang sa kung unsa ang kinahanglan. Pananglitan, alang sa partikular nga mga dagkong kompanya nga adunay maayo nga development ug operation team, ang mga packaged nga solusyon gikan sa mga vendor dili kanunay makatagbaw sa tanang panginahanglan, ug sila modangop sa pagpalambo sa ilang kaugalingong SD (software define) nga mga solusyon. Pananglitan, kini ang mga cloud providers nga kanunay nga nagpalapad sa lainlaing mga serbisyo nga gihatag sa ilang mga kliyente, ug ang mga naka-pack nga solusyon dili gyud makapadayon sa ilang mga panginahanglanon.
Alang sa medium-sized nga mga kompanya, ang pag-andar nga gitanyag sa vendor sa porma sa usa ka kahon nga solusyon igo sa 99 porsyento sa mga kaso.
Unsa ang mga overlay network?
Unsa ang ideya sa luyo sa mga overlay nga network? Sa tinuud, nagkuha ka usa ka klasiko nga ruta nga network ug nagtukod usa ka lain nga network sa ibabaw niini aron makakuha daghang mga bahin. Kasagaran, naghisgot kami bahin sa epektibo nga pag-apod-apod sa load sa mga ekipo ug linya sa komunikasyon, hinungdanon nga pagdugang sa limitasyon sa scalability, pagdugang kasaligan ug daghang mga butang sa seguridad (tungod sa pagbahinbahin). Ug ang mga solusyon sa SDN, dugang pa niini, naghatag higayon alang sa labi ka kaayo, dali kaayo nga flexible nga pagdumala ug himuon nga labi ka transparent ang network alang sa mga konsumedor niini.
Sa kinatibuk-an, kung naimbento ang mga lokal nga network kaniadtong 2010s, lahi ra unta ang hitsura nila sa kung unsa ang among napanunod gikan sa militar kaniadtong 1970s.
Sa termino sa mga teknolohiya alang sa pagtukod sa mga panapton gamit ang mga overlay nga network, sa pagkakaron adunay daghang mga pagpatuman sa vendor ug mga proyekto sa Internet RFC (EVPN+VXLAN, EVPN+MPLS, EVPN+MPLSoGRE, EVPN+Geneve ug uban pa). Oo, adunay mga sumbanan, apan ang pagpatuman niini nga mga sumbanan sa lainlaing mga tiggama mahimoβg magkalainlain, mao nga sa paghimo sa ingon nga mga pabrika, posible pa nga hingpit nga biyaan ang lock sa vendor sa teorya sa papel.
Uban sa SD nga solusyon, ang mga butang mas makalibog; ang matag vendor adunay kaugalingong panan-awon. Adunay bug-os nga bukas nga mga solusyon nga, sa teorya, mahimo nimong makompleto ang imong kaugalingon, ug adunay hingpit nga sirado.
Gitanyag sa Cisco ang bersyon sa SDN alang sa mga sentro sa datos - ACI. Natural, kini usa ka 100% nga vendor-locked nga solusyon sa mga termino sa pagpili sa mga kagamitan sa network, apan sa samang higayon kini hingpit nga gisagol sa mga sistema sa virtualization, containerization, seguridad, orkestra, load balancers, ug uban pa. Apan sa esensya, kini usa gihapon ka matang sa itom nga kahon, nga walay posibilidad sa bug-os nga access sa tanan nga internal nga mga proseso. Dili tanan nga mga kustomer miuyon niini nga kapilian, tungod kay ikaw hingpit nga nagsalig sa kalidad sa sinulat nga solusyon code ug sa pagpatuman niini, apan sa laing bahin, ang tiggama adunay usa sa labing maayo nga teknikal nga suporta sa kalibutan ug adunay usa ka dedikado nga team nga gipahinungod lamang niini nga solusyon. Gipili ang Cisco ACI isip solusyon sa unang proyekto.
Alang sa ikaduha nga proyekto, usa ka solusyon sa Juniper ang gipili. Ang tiggama usab adunay kaugalingon nga SDN alang sa data center, apan ang kustomer nakahukom nga dili ipatuman ang SDN. Usa ka EVPN VXLAN nga panapton nga walay paggamit sa mga sentralisadong controller ang gipili isip teknolohiya sa pagtukod sa network.
Para sa unsa kini?
Ang paghimo sa usa ka pabrika nagtugot kanimo sa paghimo sa usa ka dali nga scalable, fault-tolerant, kasaligan nga network. Gikonsiderar sa arkitektura (leaf-spine) ang mga kinaiya sa mga sentro sa datos (mga agianan sa trapiko, pagminus sa mga paglangan ug mga bottleneck sa network). Ang mga solusyon sa SD sa mga sentro sa datos nagtugot kanimo nga dali kaayo, dali, ug dali nga makadumala sa ingon nga pabrika ug i-integrate kini sa ekosistema sa sentro sa datos.
Ang duha ka mga kostumer kinahanglan nga magtukod ug sobra nga mga sentro sa datos aron masiguro ang pagtugot sa sayup, ug dugang pa, ang trapiko tali sa mga sentro sa datos kinahanglan nga ma-encrypt.
Gikonsiderar na sa unang kustomer ang mga fabricless nga solusyon isip posible nga sumbanan alang sa ilang mga network, apan sa mga pagsulay sila adunay mga problema sa STP compatibility tali sa pipila ka hardware vendors. Adunay mga downtime nga hinungdan sa pagkahagsa sa mga serbisyo. Ug alang sa kustomer kini kritikal.
Ang Cisco mao na ang sukdanan sa korporasyon sa kustomer, ilang gitan-aw ang ACI ug uban pang mga kapilian ug nakahukom nga angayan nga kuhaon kini nga solusyon. Ganahan ko sa automation sa kontrol gikan sa usa ka buton pinaagi sa usa ka controller. Ang mga serbisyo mas paspas nga gi-configure ug mas paspas ang pagdumala. Nakahukom kami nga masiguro ang pag-encrypt sa trapiko pinaagi sa pagpadagan sa MACSec taliwala sa mga switch sa IPN ug SPINE. Busa, nakahimo kami sa paglikay sa bottleneck sa porma sa usa ka crypto gateway, pagluwas kanila ug paggamit sa maximum bandwidth.
Ang ikaduha nga kustomer mipili sa usa ka controllerless nga solusyon gikan sa Juniper tungod kay ang ilang kasamtangan nga data center aduna nay gamay nga instalasyon nga nagpatuman sa usa ka EVPN VXLAN nga panapton. Apan didto kini dili fault-tolerant (usa ka switch ang gigamit). Nakahukom kami nga palapdan ang imprastraktura sa panguna nga sentro sa datos ug magtukod usa ka pabrika sa backup nga sentro sa datos. Ang kasamtangan nga EVPN wala pa hingpit nga gigamit: Ang VXLAN encapsulation wala gayud gigamit, tungod kay ang tanan nga mga host konektado sa usa ka switch, ug ang tanan nga MAC address ug / 32 host nga adres lokal, ang ganghaan alang kanila mao ang sama nga switch, walay laing mga himan. , diin gikinahanglan ang paghimog VXLAN tunnels. Nakahukom sila nga maseguro ang pag-encrypt sa trapiko gamit ang teknolohiya sa IPSEC tali sa mga firewall (igo na ang performance sa firewall).
Gisulayan usab nila ang ACI, apan nakahukom nga tungod sa kandado sa vendor, kinahanglan silang mopalit og daghang hardware, lakip ang pag-ilis sa bag-ong gipalit nga bag-ong kagamitan, ug wala kini hinungdan sa ekonomiya. Oo, ang Cisco nga panapton nag-uban sa tanan, apan ang mga himan lamang niini ang posible sulod sa panapton mismo.
Sa laing bahin, sama sa among giingon sa sayo pa, dili nimo mahimo nga isagol lang ang usa ka EVPN VXLAN nga panapton sa bisan unsang silingan nga vendor, tungod kay lahi ang mga pagpatuman sa protocol. Kini sama sa pagtabok sa Cisco ug Huawei sa usa ka network - ingon og ang mga sumbanan kasagaran, apan kinahanglan ka nga mosayaw gamit ang tamburin. Tungod kay kini usa ka bangko, ug ang mga pagsulay sa pagkaangay mahimong taas kaayo, nakahukom kami nga mas maayo nga mopalit gikan sa parehas nga tigbaligya karon, ug dili madala sa pagpaandar nga labaw sa mga sukaranan.
Plano sa paglalin
Duha ka ACI-based data centers:
Organisasyon sa interaksyon tali sa mga sentro sa datos. Ang Multi-Pod nga solusyon gipili - ang matag data center usa ka pod. Ang mga kinahanglanon alang sa pag-scale pinaagi sa gidaghanon sa mga switch ug mga paglangan tali sa mga pod (RTT nga ubos sa 50 ms) gikonsiderar. Nakahukom nga dili magtukod ug Multi-Site nga solusyon para sa kasayon ββsa pagdumala (usa ka Multi-Pod nga solusyon naggamit ug usa ka management interface, ang Multi-Site adunay duha ka interface, o magkinahanglan ug Multi-Site Orchestrator), ug tungod kay walay geographical reserbasyon sa mga site gikinahanglan.
Gikan sa punto sa panglantaw sa paglalin nga mga serbisyo gikan sa Legacy network, ang labing transparent nga kapilian gipili, anam-anam nga pagbalhin sa mga VLAN nga katumbas sa pipila nga mga serbisyo.
Alang sa paglalin, usa ka katugbang nga EPG (End-point-group) ang gihimo alang sa matag VLAN sa pabrika. Una, ang network gituy-od tali sa daan nga network ug sa panapton sa ibabaw sa L2, unya human ang tanan nga mga panon sa migrate, ang ganghaan gibalhin ngadto sa panapton, ug ang EPG nakig-uban sa kasamtangan nga network pinaagi sa L3OUT, samtang ang interaksyon tali sa L3OUT ug EPG gihulagway gamit ang mga kontrata. Gibanabana nga diagram:
Usa ka sample nga istruktura sa kadaghanan nga mga palisiya sa pabrika sa ACI gipakita sa numero sa ubos. Ang tibuok nga setup gibase sa mga polisiya nga nabutang sulod sa ubang mga polisiya ug uban pa. Sa sinugdan lisud kaayo nga mahibal-an kini, apan sa hinay-hinay, ingon sa gipakita sa praktis, ang mga administrador sa network naanad niini nga istruktura sa mga usa ka bulan, ug unya nagsugod sila sa pagsabut kung unsa kini kadali.
Pagtandi
Sa solusyon sa Cisco ACI, kinahanglan ka nga mopalit og dugang nga kagamitan (lain nga mga switch alang sa Inter-Pod interaction ug APIC controllers), nga naghimo niini nga mas mahal. Ang solusyon sa Juniper wala magkinahanglan sa pagpalit sa mga controller o mga accessories; Posible nga gamiton ang partially nga kagamitan sa kostumer.
Ania ang EVPN VXLAN nga tela nga arkitektura alang sa duha ka sentro sa datos sa ikaduhang proyekto:
Sa ACI nakakuha ka usa ka andam nga solusyon - dili kinahanglan nga mag-tinker, dili kinahanglan nga mag-optimize. Atol sa una nga kaila sa kustomer sa pabrika, walaβy kinahanglan nga mga developer, walaβy kinahanglan nga pagsuporta sa mga tawo alang sa code ug automation. Sayon ra kini gamiton; daghang mga setting ang mahimo pinaagi sa wizard, nga dili kanunay usa ka dugang, labi na sa mga tawo nga naanad sa linya sa mando. Sa bisan unsa nga kaso, nagkinahanglag panahon aron matukod pag-usab ang utok sa bag-ong mga track, sa mga peculiarities sa mga setting pinaagi sa mga palisiya ug pag-operate sa daghang mga nested nga mga palisiya. Dugang pa niini, gitinguha kaayo nga adunay usa ka tin-aw nga istruktura alang sa pagngalan sa mga palisiya ug mga butang. Kung adunay bisan unsang problema nga motumaw sa lohika sa controller, kini masulbad lamang pinaagi sa teknikal nga suporta.
Sa EVPN - console. Pag-antos o pagmaya. Usa ka pamilyar nga interface alang sa tigulang nga guwardiya. Oo, adunay usa ka sumbanan nga pagsumpo ug mga giya. Manigarilyo ka mana. Lahi nga mga disenyo, ang tanan klaro ug detalyado.
Natural, sa duha ka mga kaso, sa diha nga molalin, kini mao ang mas maayo nga una molalin dili sa labing kritikal nga mga serbisyo, alang sa panig-ingnan, pagsulay palibot, ug lamang unya, human sa pagdakop sa tanan nga mga bugs, mopadayon sa produksyon. Ug ayaw pagpaminaw sa Biyernes sa gabii. Dili ka kinahanglan nga mosalig sa vendor nga ang tanan mahimong ok, kini kanunay nga mas maayo nga magdula niini nga luwas.
Nagbayad ka og dugang alang sa ACI, bisan kung ang Cisco sa pagkakaron aktibo nga nagpasiugda niini nga solusyon ug sa kasagaran naghatag og maayong mga diskwento niini, apan ikaw makadaginot sa pagmentinar. Ang pagdumala ug bisan unsang automation sa usa ka pabrika sa EVPN nga walay controller nanginahanglan mga pamuhunan ug regular nga gasto - pag-monitor, automation, pagpatuman sa mga bag-ong serbisyo. Sa samang higayon, ang inisyal nga paglansad sa ACI nagkinahanglan og 30-40 porsyento nga mas taas. Nahitabo kini tungod kay mas dugay ang paghimo sa tibuok hugpong sa gikinahanglan nga mga profile ug mga palisiya nga gamiton unya. Apan samtang nagkadako ang network, ang gidaghanon sa gikinahanglan nga mga pag-configure mikunhod. Gigamit nimo ang nabuhat nga mga palisiya, profile, butang. Mahimo nimo nga dali nga i-configure ang pagbahinbahin ug seguridad, pagdumala sa sentral nga mga kontrata nga responsable sa pagtugot sa pipila nga mga interaksyon tali sa mga EPG - ang kantidad sa trabaho mikunhod pag-ayo.
Sa EVPN, kinahanglan nimo nga i-configure ang matag aparato sa pabrika, mas dako ang posibilidad sa mga sayup.
Samtang ang ACI mas hinay nga ipatuman, ang EVPN mikuha ug hapit doble ang gidugayon sa pag-debug. Kung sa kaso sa Cisco mahimo nimong tawagan kanunay ang usa ka inhenyero sa suporta ug pangutan-a ang bahin sa tibuuk nga network (tungod kay gitabonan kini ingon usa ka solusyon), nan gikan sa Juniper Networks nagpalit ka lang og hardware, ug kana ang nasakup. Gibiyaan ba sa mga pakete ang aparato? Aw, ok, unya ang imong mga problema. Apan mahimo nimong ablihan ang usa ka pangutana bahin sa pagpili sa solusyon o disenyo sa network - ug dayon itambag ka nila nga mopalit usa ka propesyonal nga serbisyo, alang sa dugang nga bayad.
Ang suporta sa ACI cool kaayo, tungod kay lahi kini: usa ka separado nga team ang naglingkod para lang niini. Adunay usab mga espesyalista nga nagsultig Ruso. Ang giya detalyado, ang mga solusyon gitino nang daan. Nangita sila ug nagtambag. Dali nilang gi-validate ang disenyo, nga kasagaran importante. Ang Juniper Networks nagbuhat sa parehas nga butang, apan labi ka hinay (naa namo kini, karon kinahanglan nga mas maayo sumala sa mga hungihong), nga nagpugos kanimo sa pagbuhat sa tanan sa imong kaugalingon kung diin ang usa ka engineer sa solusyon makatambag.
Gisuportahan sa Cisco ACI ang panagsama sa virtualization ug containerization system (VMware, Kubernetes, Hyper-V) ug sentralisadong pagdumala. Anaa sa mga serbisyo sa network ug seguridad - pagbalanse, mga firewall, WAF, IPS, ug uban pa ... Maayo nga micro-segmentation gikan sa kahon. Sa ikaduha nga solusyon, ang panagsama sa mga serbisyo sa network dali ra, ug mas maayo nga hisgutan ang mga forum nga daan sa mga nakahimo niini.
Ang resulta
Alang sa matag piho nga kaso, kinahanglan nga magpili usa ka solusyon, dili lamang base sa gasto sa mga ekipo, apan kinahanglan usab nga tagdon ang dugang nga gasto sa pag-operate ug ang mga nag-unang problema nga giatubang karon sa kustomer, ug kung unsang mga plano didto. para sa pagpalambo sa IT infrastructure.
Ang ACI, tungod sa dugang nga ekipo, mas mahal, apan ang solusyon andam na nga wala magkinahanglan og dugang nga pagtapos; ang ikaduha nga solusyon mas komplikado ug mahal sa mga termino sa operasyon, apan mas barato.
Kung gusto nimong hisgutan kung pila ang gasto sa pagpatuman sa usa ka network nga panapton sa lainlaing mga tigbaligya, ug kung unsang klase nga arkitektura ang gikinahanglan, mahimo kang magkita ug mag-chat. Gitambagan ka namon nga walaβy bayad hangtod makuha nimo ang usa ka bagis nga sketch sa arkitektura (nga mahimo nimo makalkula ang mga badyet), ang detalyado nga pagpatin-aw, siyempre, nabayran na.
Vladimir Klepche, mga network sa korporasyon.
Source: www.habr.com