In i dui parti precedenti (, ) avemu vistu i principii nantu à quale hè custruitu a nova fabbrica customizata, è hà parlatu di a migrazione di tutti i travaglii. Avà hè u tempu di parlà di a fabbrica di u servitore.
Nanzu, ùn avemu micca avutu una infrastruttura di servitore separata: i switches di u servitore eranu cunnessi à u stessu core cum'è i switch di distribuzione di l'utilizatori. U cuntrollu di l'accessu hè statu realizatu cù e rete virtuale (VLAN), u routing VLAN hè statu realizatu in un puntu - nantu à u core (sicondu u principiu. ).
Vecchia infrastruttura di rete
Simultaneamente cù a nova reta di l'uffiziu, avemu decisu di custruisce una nova sala di servitori, è per questu una nova fabbrica separata. Risultava esse chjuca (trè cabinetti di servitore), ma in cunfurmità cù tutti i canoni: un core separatu nantu à i switches CE8850, una topologia full mesh (spine-leaf), top of the rack (ToR) switches CE6870, un separatu. coppia di switch per l'interfaccia cù u restu di a reta (foglie di frontiera). In corta, un disordine cumpletu.
Nova reta di fabbrica di servitori
Avemu decisu di abbandunà u servitore SCS in favore di cunnette i servitori direttamente à i switch ToR. Perchè? Avemu digià duie camere di servitore chì sò custruite cù un servitore SCS, è avemu capitu chì sò:
- inconveniente à aduprà (assai cambiendu, avete bisognu di aghjurnà currettamente a rivista di cable);
- caru in termini di spaziu occupatu da patch panels;
- hè un ostaculu s'ellu ci vole à aumentà a vitezza di i servitori di cunnessione (per esempiu, cambià da 1 Gb / s cunnessione nantu à u cobre à 10 Gb / s sopra l'ottica).
Quandu si move in una nova fabbrica di servitori, avemu pruvatu à alluntanassi da i servitori di cunnessione à una velocità di 1 Gb / s è ci limitemu à l'interfacce 10 Gb. Virtualizatu quasi tutti i vechji servitori chì ùn sanu micca cumu, è u restu attraversu transceivers gigabit cunnessi à porti 10-gigabit. Avemu calculatu è decisu chì seria più prezzu di stallà switch gigabit separati per elli.
Interruttori ToR
Avemu ancu installatu interruttori separati di gestione fora di banda (OOM) 24-port in a nostra nova sala di servitori, unu per rack. Questa idea hè stata assai bona, solu chì ùn ci era micca abbastanza porti, a prossima volta installemu switch OOM per i porti 48.
Cunnetteremu interfacce per a gestione remota di i servitori cum'è iLO, o iBMC in a terminologia Huawei, à a reta OOM. Se u servitore hà persu a so cunnessione principale à a reta, allora serà pussibule ghjunghje per questu interfaccia. Inoltre, l'interfaccia di cuntrollu di l'interruttori ToR, i sensori di temperatura, l'interfacce di cuntrollu UPS è altri dispositi simili sò cunnessi à l'interruttori OOM. A rete OOM hè accessibile attraversu una interfaccia firewall separata.
Cunnettendu a reta OOM
Interconnessione di rete di servitori è utilizatori
In a fabbrica di l'utilizatori, i VRF separati sò usati per diversi scopi - per cunnetta i posti di travagliu di l'utilizatori, sistemi di sorveglianza video, sistemi multimediali in sale di riunioni, per urganizà stands è zoni demo, etc.
Un altru settore di VRF hè creatu in a fabbrica di u servitore:
- Per cunnette i servitori regulari chì ospitanu servizii corporativi.
- Un VRF separatu in quale i servitori sò implementati cù accessu da Internet.
- VRF separatu per i servitori di basa di dati chì ponu accede solu da altri servitori (cum'è i servitori di l'applicazioni).
- VRF separatu per u nostru sistema di mail (MS Exchange + Skype for Business).
Cusì, avemu un set VRF da u latu di a fabbrica di l'utilizatori è un set VRF da u latu di a fabbrica di u servitore. I dui setti sò cunnessi à clusters di firewall corporativi (ME). I ME sò cunnessi à i switch di cunfini (foglie di frontiera) sia di a fabbrica di u servitore sia di a fabbrica di l'utilizatori.
Cunjugazione di fabbriche attraversu ME - fisica
Interfacing fabbriche attraversu ME - logica
Cumu hè stata a migrazione
Durante a migrazione, avemu cunnessu e fabbriche di servitori novi è vechji à u livellu di u ligame di dati, per mezu di tronchi temporali. Per migrà i servitori situati in una VLAN specifica, avemu creatu un duminiu di ponte separatu, chì includeva a VLAN di l'antica fabbrica di u servitore è u VXLAN di a nova fabbrica di u servitore.
A cunfigurazione s'assumiglia à questu, l'ultimi dui linii sò chjave:
bridge-domain 22
vxlan vni 600022
evpn
route-distinguisher 10.xxx.xxx.xxx:60022
vpn-target 6xxxx:60022 export-extcommunity
vpn-target 6xxxx:60022 import-extcommunity
interface Eth-Trunk1
mode lacp-static
dfs-group 1 m-lag 1
interface Eth-Trunk1.1022 mode l2
encapsulation dot1q vid 22
bridge-domain 22
Migrazione di e macchine virtuali
Dopu, utilizendu VMware vMotion, avemu migratu e macchine virtuali in questa VLAN da i vechji hypervisori (versione 5.5) à i novi (versione 6.5). In a strada, i servitori hardware virtualizzati.
Quandu pruvate di ripetiriStabilite u MTU in anticipu è verificate u passaghju di grandi pacchetti "end to end".
In l'antica reta di u servitore, avemu usatu u firewall virtuale VMware vShield. Siccomu VMware ùn sustene più sta strumentu, à u stessu tempu chì migrate à una nova splutazioni virtuale, avemu cambiatu da vShield à i firewall hardware.
Dopu chì ùn ci era micca un servitore unicu in una VLAN particulari in a reta vechja, avemu cambiatu routing. Nanzu, era realizatu nantu à u vechju core, custruitu cù a tecnulugia Collapsed Backbone, è in a nova fabbrica di servitori, avemu usatu a tecnulugia Anycast Gateway.
Cambia l'itinerariu
Dopu avè cambiatu u routing per un VLAN specificu, hè stata disconnected from the bridge domain è escluditu da u troncu trà e vechje è novi rete, vale à dì, hè stata completamente trasferita à a nova fabbrica di u servitore. Cusì, avemu migratu circa 20 VLAN.
Allora avemu creatu una nova reta, un novu servitore è una nova splutazioni di virtualizazione. In unu di l'articuli seguenti, parlemu di ciò chì avemu fattu cù Wi-Fi.
Maxim Klochkov
Consultant Senior, Audit di Rete è Gruppu di Prughjetti Cumplessi
Centru di soluzioni di rete
"Jet Infosystems"
Source: www.habr.com