Evaluate i ligami in a parti media di u circuitu. Avemu da vultà à elli sottu.
À un certu puntu, pudete truvà chì e grande rete cumplessa basate nantu à L2 sò terminali malati. Prima di tuttu, i prublemi ligati à u processu di u trafficu BUM è l'operazione di u protocolu STP. In u sicondu - in generale, l'architettura morale obsoleta. Questu causa prublemi sgradevoli in forma di downtime è inconvenienza di a manipulazione.
Avemu avutu dui prughjetti paralleli, induve i clienti anu evaluatu sobriamente tutti i pro è i contra di l'opzioni è anu sceltu duie suluzioni di overlay differenti, è l'avemu implementatu.
Hè statu pussibule paragunà l'implementazione. Micca operazione, vale a pena parlà in dui o trè anni.
Allora chì hè una tela di rete cù rete di superposizione è SDN?
Chì fà cù i prublemi di l'architettura classica di a rete?
Novi tecnulugia è idee appariscenu ogni annu. In a pratica, a necessità urgente di ricustruisce e rete ùn hè micca sviluppatu per un bellu pezzu, perchè pudete ancu fà tuttu cù a manu cù i boni metudi di missiavu. Allora chì, chì hè u XXI seculu in u patiu ? À a fine, l'amministratore deve travaglià, è micca pusà in u so uffiziu.
Allora principia un boom in a custruzzione di centri di dati à grande scala. Allora hè diventatu chjaru chì u limitu di u sviluppu di l'architettura classica hè statu righjuntu, micca solu in termini di prestazione, tolleranza di difetti, scalabilità. È una di l'opzioni per risolve questi prublemi era l'idea di custruisce rete di superposizione sopra una spina dorsale routable.
Inoltre, cù l'aumentu di a scala di e rete, u prublema di gestisce tali fabbriche hè diventatu agutu, cum'è u risultatu di quale suluzioni di rete definite da u software cuminciaru à apparisce cù a capacità di gestisce tutta l'infrastruttura di rete in tuttu. È quandu a reta hè amministrata da un puntu unicu, hè più faciule per l'altri cumpunenti di l'infrastruttura IT per interagisce cun ella, è tali prucessi di interazzione sò più faciuli d'automatizà.
Quasi ogni grande fabricatore di micca solu l'equipaggiu di rete, ma ancu di virtualizazione, hà opzioni per tali suluzioni in a so cartera.
Resta solu per capisce ciò chì hè adattatu per ciò chì hà bisognu. Per esempiu, per l'imprese soprattuttu grandi cù una bona squadra di sviluppu è di funziunamentu, i suluzioni fora di scatula di i venditori ùn sò micca sempre suddisfà tutti i bisogni, è ricorrenu à sviluppà e so soluzioni SD (definite da u software). Per esempiu, questi sò i fornituri di nuvola chì anu espansione constantemente a gamma di servizii furniti à i so clienti, è e soluzioni in boxed ùn sò micca capaci di mantene a so bisogni.
Per l'imprese di medie dimensioni, a funziunalità offruta da u venditore in forma di una suluzione boxed hè abbastanza in u 99 per centu di i casi.
Chì sò e rete overlay
Chì ghjè l'idea di rete di overlay. Bastamente, pigliate una reta classica di routed è custruisce una altra rete in cima per ottene più funziunalità. A maiò spessu, parlemu di a distribuzione efficace di a carica nantu à l'equipaggiu è e linee di cumunicazione, un incrementu significativu di u limitu di scalabilità, una fiducia aumentata è una mansa di boni di sicurità (per via di a segmentazione). E suluzioni SDN, in più di questu, permettenu una amministrazione flessibile assai, assai, assai cunvene è rende a rete più trasparente per i so cunsumatori.
In generale, se e rete lucali sò stati inventati in l'anni di l'anni 2010, pareranu luntanu da ciò chì avemu ereditatu da l'armata da l'anni 1970.
In quantu à e tecnulugii per a custruzzione di fabbriche chì utilizanu rete di sovrapposizione, ci sò attualmente assai implementazioni di pruduttori è prughjetti Internet RFC (EVPN + VXLAN, EVPN + MPLS, EVPN + MPLSoGRE, EVPN + Geneve è altri). Iè, ci sò normi, ma l'implementazione di sti normi da parechji pruduttori pò esse diffirenti, cusì quandu creanu tali fabbriche, hè sempre pussibule di abbandunà cumplettamente a serratura di u venditore solu in teoria nantu à carta.
Cù a suluzione SD, e cose sò ancu più cumplicate, ogni venditore hà a so propria visione. Ci sò suluzioni cumplettamente aperti chì, in teoria, pudete finisce nantu à u vostru propiu, ci sò cumplettamente chjusi.
Cisco offre a so propria versione di SDN per i centri di dati - ACI. Naturalmente, questa hè una suluzione 100% vendeur-locked in quantu à a scelta di l'equipaggiu di rete, ma à u stessu tempu hè cumplettamente integrata cù virtualizazione, containerizazione, sicurezza, orchestration, load balancers, etc. Ma in fattu hè sempre una spezia di scatula nera, senza a pussibilità di accessu pienu à tutti i prucessi internu. Micca tutti i clienti accunsenu à sta opzione, postu chì site completamente dipendente da a qualità di u codice di suluzione scritta è a so implementazione, ma da l'altra banda, u fabricatore hà unu di i migliori supporti tecnichi in u mondu è hà una squadra dedicata chì tratta. solu cù sta suluzione. Cisco ACI hè statu sceltu cum'è a suluzione per u primu prughjettu.
Per u sicondu prughjettu, una suluzione Juniper hè stata scelta. U fabricatore hà ancu u so propiu SDN per u centru di dati, ma u cliente hà decisu di ùn implementà SDN. A fabbrica EVPN VXLAN hè stata scelta cum'è a tecnulugia per custruisce a rete senza l'usu di cuntrolli centralizzati.
Chì ghjè per
A creazione di una fabbrica permette di custruisce una reta facilmente scalabile, tolerante à i difetti, affidabile. L'architettura (leaf-spine) piglia in contu e caratteristiche di i centri di dati (via di u trafficu, minimizendu i ritardi è i buttiglii in a reta). Soluzioni SD in i centri di dati facenu assai còmuda, veloce, flessibile per gestisce una tale fabbrica, integrala in l'ecosistema di u centru di dati.
I dui clienti avianu bisognu di custruisce centri di dati redundante per assicurà a tolleranza di difetti, in più, u trafficu trà i centri di dati deve esse criptatu.
U primu cliente era digià cunsiderà suluzioni senza tela cum'è un standard pussibule per e so rete, ma in i testi avianu prublemi cù a cumpatibilità STP trà parechji venditori di hardware. Ci sò stati downtimes chì anu causatu cadute di serviziu. È per u cliente era criticu.
Cisco era digià u standard di l'impresa di u cliente, anu guardatu ACI è altre opzioni è decisu chì vale a pena piglià sta suluzione particulare. Mi piacia l'automatizazione di u cuntrollu da un buttone attraversu un unicu controller. I servizii sò stallati più veloce, gestiti più veloce. Avemu decisu di furnisce a criptografia di u trafficu eseguendu MACSec trà i switch IPN è SPINE. Cusì, era pussibule di evità un collu di buttiglia in a forma di una cripta-gateway, salvà nantu à elli è aduprà a larghezza di banda à u massimu.
U secondu cliente hà sceltu a suluzione senza controller di Juniper perchè u so centru di dati esistente avia digià una piccula installazione cù una implementazione di tissu EVPN VXLAN. Ma quì ùn era micca tollerante à i difetti (un switch hè stata utilizata). Avemu decisu di espansione l'infrastruttura di u centru di dati principale è di custruisce una fabbrica in u centru di dati di salvezza. L'EVPN esistente ùn era micca utilizatu cumplettamente: l'incapsulazione VXLAN ùn era micca veramente utilizata, postu chì tutti l'ospiti eranu cunnessi à u stessu switch, è tutti l'indirizzi MAC è l'indirizzi di l'ospiti / 32 eranu lucali, u stessu switch era u gateway per elli, ùn ci era micca altru. i dispusitivi, induve era necessariu di custruisce tunnelli VXLAN. Anu decisu di furnisce a criptografia di u trafficu cù a tecnulugia IPSEC trà i firewalls (u rendiment ITU era abbastanza).
Pruvanu ancu l'ACI, ma decisu chì per via di a serratura di u venditore, anu da cumprà troppu hardware, cumpresa a rimpiazzamentu di l'equipaggiu novu acquistatu recentemente, è simplicemente ùn hà micca sensu ecunomicu. Iè, u tissu Cisco s'integra cù tuttu, ma solu i so dispusitivi sò pussibuli in u tessulu stessu.
Per d 'altra banda, cum'è dettu prima, ùn pudete micca solu mischjà una fabbrica EVPN VXLAN cù qualsiasi venditore vicinu perchè l'implementazione di u protocolu sò diverse. Hè cum'è attraversà Cisco è Huawei in a listessa reta - pare chì i normi sò cumuni, solu avete da ballà cù un tamburinu. Siccomu questu hè un bancu, è e teste di cumpatibilità seranu assai longu, avemu decisu chì era megliu cumprà da u stessu venditore avà, è micca veramente traspurtatu cù funziunalità oltre a basa.
Pianu di migrazione
Dui centri di dati basati nantu à ACI:
L'urganizazione di l'interazzione trà i centri di dati. Una soluzione Multi-Pod hè stata scelta - ogni centru di dati hè un pod. I requisiti per a scala da u numeru di switches è ritardu trà pods (RTT menu di 50 ms) sò cunsiderate. Hè statu decisu di ùn custruisce micca una soluzione Multi-Site per facilità di gestione (una sola interfaccia di gestione hè aduprata per una soluzione Multi-Pod, per Multi-Site ci saria duie interfacce, o un Orchestrator Multi-Site serà necessariu), è postu chì ùn era micca bisognu di riservazione geografica di siti.
Da u puntu di vista di a migrazione di servizii da a reta di Legacy, l'opzione più trasparente hè stata scelta, trasferisce gradualmente VLAN currispondenti à certi servizii.
Per a migrazione, un EPG currispundente (End-point-group) hè statu creatu per ogni VLAN in a fabbrica. Prima, a reta hè stata stesa trà l'antica reta è a fabbrica longu L2, dopu dopu a migrazione di tutti l'ospiti, a porta hè stata trasferita à a fabbrica, è l'EPG hà interazzione cù a reta esistenti attraversu L3OUT, mentri l'interazzione trà L3OUT è EPG. hè stata descritta cù cuntratti. Schema apprussimativu:
A struttura apprussimata di a maiò parte di e pulitiche di fabbrica ACI hè mostrata in a figura sottu. L'intera paràmetru hè basatu annantu à e pulitiche annidate in altre pulitiche, è cusì. À u principiu, hè assai difficiule di calculà, ma gradualmente, cum'è a pratica mostra, l'amministratori di a rete s'abituanu à una tale struttura in circa un mesi, è dopu vene solu a cunniscenza di quantu hè convenientu.
Comparaison
In a suluzione Cisco ACI, avete bisognu di cumprà più equipaghji (switches separati per l'interazzione Inter-Pod è i cuntrolli APIC), per via di quale hè diventatu più caru. A suluzione di Juniper ùn hà micca bisognu di l'acquistu di cuntrolli è accessori; hè risultatu à aduprà parzialmente l'equipaggiu di u cliente digià esistenti.
Eccu l'architettura di tela EVPN VXLAN per i dui centri di dati di u secondu prughjettu:
In ACI, avete una soluzione pronta - ùn hè micca bisognu di sceglie, nè bisognu di ottimisazione. À a cunniscenza iniziale di u cliente cù a fabbrica, i sviluppatori ùn sò micca necessariu, i persone di sustegnu ùn sò micca necessarii per u codice è l'automatizazione. L'operazione simplice hè abbastanza, assai paràmetri ponu esse fatti in generale per mezu di un mago, chì ùn hè micca sempre un plus, in particulare per e persone chì sò abituati à a linea di cummanda. In ogni casu, ci vole u tempu per ricustruisce u cervellu nantu à novi piste, nantu à e peculiarità di i paràmetri attraversu e pulitiche è operanu nantu à una multitùdine di pulitiche nidificate. Hè assai desideratu, in più di questu, per avè una struttura chjara per chjamà e pulitiche è l'uggetti. Se ci hè qualchì prublema in a logica di u controller, pò esse risolta solu per un supportu tecnicu.
In EVPN, a cunsola. Soffre o rallegra. Interfaccia familiare per a vechja guardia. Iè, ci hè una cunfigurazione tipica è guide. Avete da fumà mana. Diversi disinni, tuttu hè chjaru è detallatu.
Naturalmente, in i dui casi, hè megliu migrate micca i servizii più critichi prima, per esempiu, l'ambienti di prova, è solu dopu, dopu à catturà tutti i bug, procede à a produzzione. È ùn sintonizza micca u venneri sera. Ùn avete micca fiducia in u venditore chì tuttu serà bè, hè sempre megliu ghjucà sicuru.
Pagherete più nantu à ACI, ancu s'è Cisco hè attualmente attivamente prumove sta suluzione è spessu dà boni sconti per questu, ma risparmiate in mantenimentu. A gestione è ogni tipu d'automatizazione di una fabbrica EVPN senza un controller richiede investimenti è costi regulari - monitoraghju, automatizazione, implementazione di novi servizii. À u listessu tempu, u lanciu iniziale di ACI dura 30-40 per centu più longu. Questu hè perchè ci hè più tempu per creà l'inseme tutale di profili è pulitiche necessarii, chì poi seranu utilizati. Ma cum'è a reta cresce, u numeru di cunfigurazioni necessarii diminuisce. Aduprate pulitiche, profili, ogetti già pre-creati. Pudete cunfigurà in modu flessibile a segmentazione è a sicurità, gestisce in modu cintrali i cuntratti chì sò rispunsevuli di risolve certe interazzione trà EPG - a quantità di travagliu cala drasticamente.
In EVPN, duvete cunfigurà ogni dispusitivu in a fabbrica, a probabilità di errore hè più grande.
Se l'ACI hè più lento à implementà, allora EVPN hà pigliatu quasi duie volte più tempu per debug. Se in u casu di Cisco, pudete sempre chjamà un ingegnere di supportu è dumandate nantu à a reta in tuttu (perchè hè cupartu cum'è una suluzione), pudete cumprà solu hardware da Juniper Networks, è questu hè ciò chì hè cupartu. Pacchetti lasciati u dispusitivu? Va bè, allora i vostri prublemi. Ma pudete apre una quistione nantu à a scelta di una suluzione o di u disignu di a rete - è allora vi cunsiglianu di cumprà un serviziu prufessiunale, per una tarifa addiziale.
U supportu ACI hè assai cool, perchè hè separatu: una squadra separata si trova solu per questu. Ci sò, cumpresi specialisti di lingua russa. A guida hè detallata, e decisioni sò predeterminate. Fighjate è cunsigliate. Validanu rapidamente u disignu, chì hè spessu impurtante. Juniper Networks facenu a listessa cosa, ma à volte più lentu (avemu usatu per fà, avà duverebbe esse megliu sicondu i rumuri), chì vi forza à fà tuttu ciò chì un ingegnere di suluzione puderia cunsiglià.
Cisco ACI supporta l'integrazione cù i sistemi di virtualizazione è containerizazione (VMware, Kubernetes, Hyper-V) è a gestione centralizzata. Ci sò servizii di rete è di sicurità - equilibriu, firewalls, WAF, IPS, etc. Bona micro-segmentazione fora di a scatula. In a seconda suluzione, l'integrazione cù i servizii di rete hè fatta cù un tamburinu, è hè megliu per fumà fori cù quelli chì anu fattu questu in anticipu.
U risultatu
Per ogni casu specificu, hè necessariu di selezziunà una suluzione, micca solu basatu nantu à u costu di l'equipaggiu, ma hè ancu necessariu di piglià in contu i costi di operazione supplementari è i prublemi principali chì u cliente hè affruntatu avà, è chì sò i piani. per u sviluppu di l'infrastruttura IT.
ACI per via di l'equipaggiu supplementu hè stata più caru, ma a suluzione hè pronta senza bisognu di serratura supplementaria, a seconda suluzione hè più cumplicata è custa in termini di operazione, ma più prezzu.
Se vulete discutiri quantu pò custà per implementà una fabbrica di rete in diversi venditori, è chì tipu d'architettura hè necessariu, pudete scuntrà è chat. Prima di u sketch grossu di l'architettura (cù pudete calculà i bilanci), vi daremu un suggerimentu gratuitu, un studiu detallatu, sicuru, hè digià pagatu.
Vladimir Klepche, rete corporativa.
Source: www.habr.com