Vyhodnoťte odkazy ve střední části diagramu. Vrátíme se k nim níže.
V určitém okamžiku můžete zjistit, že velké komplexní sítě založené na L2 jsou nevyléčitelně nemocné. Především problémy související se zpracováním BUM provozu a provozem STP protokolu. Ve druhém - obecně morálně zastaralá architektura. To způsobuje nepříjemné problémy v podobě prostojů a nepohodlí při manipulaci.
Měli jsme dva paralelní projekty, kde zákazníci střízlivě zhodnotili všechna pro a proti variant a vybrali dvě různá překryvná řešení, a ty jsme realizovali.
Bylo možné porovnat realizaci. Ne provoz, o tom se vyplatí mluvit za dva tři roky.
Co je tedy síťová struktura s překryvnými sítěmi a SDN?
Co dělat s ožehavými problémy klasické síťové architektury?
Každý rok se objevují nové technologie a nápady. V praxi dlouho nevznikala naléhavá potřeba přestavby sítí, protože vše můžete dělat i ručně pomocí starých dobrých dědečkovských metod. Tak co, jaké je dvacáté první století na dvoře? Správce by měl nakonec pracovat a ne sedět ve své kanceláři.
Poté začal boom ve výstavbě rozsáhlých datových center. Pak se ukázalo, že byla dosažena hranice vývoje klasické architektury, a to nejen z hlediska výkonu, odolnosti proti chybám, škálovatelnosti. A jednou z možností, jak tyto problémy vyřešit, byla myšlenka vybudovat překryvné sítě nad směrovatelnou páteří.
S nárůstem rozsahu sítí se navíc stal akutní problém řízení takových továren, v důsledku čehož se začala objevovat softwarově definovaná síťová řešení se schopností řídit celou síťovou infrastrukturu jako celek. A když je síť spravována z jednoho bodu, je pro ostatní součásti IT infrastruktury snazší s ní interagovat a takové interakční procesy se snáze automatizují.
Možnosti takových řešení má ve svém portfoliu téměř každý významný výrobce nejen síťových zařízení, ale i virtualizace.
Zbývá pouze zjistit, co je vhodné pro jaké potřeby. Například pro zvláště velké společnosti s dobrým vývojovým a provozním týmem neuspokojí hotová řešení prodejců vždy všechny potřeby a uchylují se k vývoji vlastních SD (softwarově definovaných) řešení. Jedná se například o cloudové poskytovatele, kteří neustále rozšiřují nabídku služeb poskytovaných svým zákazníkům a krabicová řešení prostě nejsou schopna držet krok s jejich potřebami.
Středně velkým firmám v 99 procentech případů stačí funkcionalita nabízená dodavatelem v podobě krabicového řešení.
Co jsou překryvné sítě
Jaká je myšlenka překryvných sítí. V podstatě vezmete klasickou routovanou síť a nad ní postavíte další síť, abyste získali další funkce. Nejčastěji se bavíme o efektivním rozložení zátěže na zařízení a komunikační linky, výrazném zvýšení limitu škálovatelnosti, zvýšení spolehlivosti a hromadě bezpečnostních vychytávek (kvůli segmentaci). A řešení SDN navíc umožňují velmi, velmi, velmi pohodlnou flexibilní správu a činí síť pro své zákazníky transparentnější.
Obecně platí, že pokud by byly místní sítě vynalezeny v letech 2010, vypadaly by daleko od toho, co jsme zdědili od armády ze 1970. let.
Z hlediska technologií pro budování továren využívajících překryvné sítě v současnosti existuje mnoho implementací výrobců a internetových RFC projektů (EVPN+VXLAN, EVPN+MPLS, EVPN+MPLSoGRE, EVPN+Geneve a další). Ano, existují standardy, ale implementace těchto standardů různými výrobci se může lišit, takže při vytváření takových továren je stále možné zcela opustit vendor lock pouze teoreticky na papíře.
S řešením SD jsou věci ještě složitější, každý prodejce má svou vizi. Existují zcela otevřená řešení, která teoreticky můžete dokončit sami, existují zcela uzavřená.
Cisco nabízí vlastní verzi SDN pro datová centra – ACI. Přirozeně se jedná o 100% vendor-locked řešení z hlediska výběru síťového vybavení, ale zároveň je plně integrováno s virtualizací, kontejnerizací, bezpečností, orchestrací, load balancery atd. Ale ve skutečnosti se stále jedná o jakési black box, bez možnosti plného přístupu ke všem interním procesům. Ne všichni zákazníci s touto variantou souhlasí, protože jste zcela závislí na kvalitě napsaného kódu řešení a jeho implementaci, ale na druhou stranu má výrobce jednu z nejlepší technické podpory na světě a má specializovaný tým, který se zabývá pouze s tímto řešením. Jako řešení pro první projekt bylo vybráno Cisco ACI.
Pro druhý projekt bylo zvoleno řešení Juniper. Výrobce má i vlastní SDN pro datové centrum, ale zákazník se rozhodl SDN neimplementovat. Továrna EVPN VXLAN byla vybrána jako technologie pro budování sítě bez použití centralizovaných kontrolérů.
K čemu to je
Vytvoření továrny vám umožní vybudovat snadno škálovatelnou, odolnou a spolehlivou síť. Architektura (leaf-spine) zohledňuje vlastnosti datových center (dopravní trasy, minimalizace zpoždění a úzkých míst v síti). SD řešení v datových centrech umožňují velmi pohodlné, rychlé a flexibilní řízení takové továrny, její integraci do ekosystému datového centra.
Oba zákazníci potřebovali vybudovat redundantní datová centra, aby byla zajištěna odolnost proti chybám, navíc musel být provoz mezi datovými centry šifrován.
První zákazník již zvažoval beztextilní řešení jako možný standard pro své sítě, ale v testech měl problémy s kompatibilitou STP mezi několika dodavateli hardwaru. Docházelo k výpadkům, které způsobily pokles služeb. A pro zákazníka to bylo kritické.
Cisco již bylo podnikovým standardem zákazníka, podívali se na ACI a další možnosti a rozhodli se, že stojí za to vzít toto konkrétní řešení. Líbila se mi automatizace ovládání z jednoho tlačítka přes jediný ovladač. Služby jsou rychleji nastaveny, spravovány rychleji. Rozhodli jsme se poskytnout šifrování provozu spuštěním MACSec mezi přepínači IPN a SPINE. Bylo tak možné vyhnout se úzkému hrdlu v podobě kryptobrány, ušetřit na nich a využít šířku pásma na maximum.
Druhý zákazník si vybral bezřadičové řešení Juniper, protože jeho stávající datové centrum již mělo malou instalaci s implementací EVPN VXLAN fabric. Ale tam to nebylo odolné proti poruchám (byl použit jeden přepínač). Rozhodli jsme se rozšířit infrastrukturu hlavního datového centra a vybudovat továrnu v záložním datovém centru. Stávající EVPN nebylo plně využito: zapouzdření VXLAN nebylo ve skutečnosti použito, protože všichni hostitelé byli připojeni ke stejnému přepínači a všechny MAC adresy a /32 hostitelské adresy byly lokální, stejný přepínač byl pro ně bránou, neexistovaly žádné jiné zařízení, kde bylo nutné vybudovat VXLAN tunely. Rozhodli se zajistit šifrování provozu pomocí technologie IPSEC mezi firewally (výkon ITU byl dostatečný).
Zkoušeli také ACI, ale rozhodli se, že kvůli uzamčení dodavatele budou muset nakupovat příliš mnoho hardwaru, včetně výměny nedávno zakoupeného nového zařízení, a to prostě nedává ekonomický smysl. Ano, tkanina Cisco se integruje se vším, ale uvnitř samotné tkaniny jsou možná pouze její zařízení.
Na druhou stranu, jak již bylo zmíněno dříve, nemůžete jen smíchat továrnu EVPN VXLAN s jakýmkoli sousedním dodavatelem, protože implementace protokolů jsou odlišné. Je to jako křížení Cisco a Huawei ve stejné síti – zdá se, že standardy jsou společné, jen musíte tančit s tamburínou. Vzhledem k tomu, že se jedná o banku a testy kompatibility by byly velmi dlouhé, rozhodli jsme se, že bude lepší nakupovat od stejného dodavatele hned a nenechat se unést funkčností nad rámec té základní.
Migrační plán
Dvě datová centra založená na ACI:
Organizace interakce mezi datovými centry. Bylo zvoleno řešení Multi-Pod – každé datové centrum je pod. Jsou zohledněny požadavky na škálování podle počtu spínačů a zpoždění mezi moduly (RTT menší než 50 ms). Bylo rozhodnuto nevytvářet řešení Multi-Site pro snadnou správu (pro řešení Multi-Pod se používá jediné rozhraní pro správu, pro Multi-Site by byla dvě rozhraní nebo by byl vyžadován Multi-Site Orchestrator), a protože nebyla vyžadována žádná geografická rezervace lokalit.
Z pohledu migrace služeb ze sítě Legacy byla zvolena nejtransparentnější možnost, postupně převádět VLANy odpovídající určitým službám.
Pro migraci byl pro každou VLAN v továrně vytvořen odpovídající EPG (End-point-group). Nejprve byla síť natažena mezi starou sítí a továrnou podél L2, poté po migraci všech hostitelů byla brána přenesena do továrny a EPG interagovalo se stávající sítí přes L3OUT, zatímco interakce mezi L3OUT a EPG byl popsán pomocí smluv. Přibližné schéma:
Přibližná struktura většiny továrních zásad ACI je znázorněna na obrázku níže. Celé nastavení je založeno na zásadách vnořených do jiných zásad a tak dále. Zpočátku je velmi obtížné na to přijít, ale postupně, jak ukazuje praxe, si správci sítě na takovou strukturu zvyknou asi za měsíc a teprve pak přijde pochopení, jak je to pohodlné.
Porovnání
V řešení Cisco ACI je potřeba dokoupit vybavení (samostatné přepínače pro interakci Inter-Pod a APIC řadiče), kvůli čemuž se ukázalo, že je dražší. Řešení Juniper nevyžadovalo nákup ovladačů a příslušenství; ukázalo se částečně využít již existující zařízení zákazníka.
Zde je architektura struktury EVPN VXLAN pro dvě datová centra druhého projektu:
V ACI získáte hotové řešení – není třeba vybírat, není třeba optimalizovat. Při prvotním seznámení zákazníka s továrnou nejsou potřeba vývojáři, nejsou potřeba podpůrní lidé pro kód a automatizaci. Jednoduché ovládání stačí, mnoho nastavení lze obecně provést přes průvodce, což není vždy plus, zvláště pro lidi, kteří jsou zvyklí na příkazový řádek. V každém případě trvá přebudování mozku na nové koleje, na zvláštnosti nastavení prostřednictvím politik a provozování mnoha vnořených politik. Kromě toho je velmi žádoucí mít jasnou strukturu pro pojmenování politik a objektů. Pokud je nějaký problém v logice regulátoru, lze jej vyřešit pouze prostřednictvím technické podpory.
V EVPN, konzole. Trpět nebo se radovat. Známé rozhraní pro starou gardu. Ano, existuje typická konfigurace a průvodce. Musíte kouřit manu. Různé designy, vše je jasné a detailní.
V obou případech je samozřejmě lepší nejprve migrovat ne nejkritičtější služby, například testovací prostředí, a teprve poté, po zachycení všech chyb, přejít k produkci. A nelaďte se v pátek večer. Neměli byste věřit prodejci, že vše bude v pořádku, vždy je lepší hrát na jistotu.
Za ACI zaplatíte více, Cisco sice v současnosti toto řešení aktivně propaguje a často na něj dává dobré slevy, ale ušetříte na údržbě. Řízení a jakákoliv automatizace továrny EVPN bez kontroléru vyžaduje investice a pravidelné náklady - monitorování, automatizace, implementace nových služeb. Počáteční spuštění ACI přitom trvá o 30–40 procent déle. Vytvoření celé sady potřebných profilů a politik, které se následně použijí, totiž trvá déle. Ale jak se síť rozrůstá, počet potřebných konfigurací klesá. Používáte již předem vytvořené zásady, profily, objekty. Můžete flexibilně konfigurovat segmentaci a zabezpečení, centrálně spravovat smlouvy, které mají na starosti řešení určitých interakcí mezi EPG – množství práce prudce klesá.
V EVPN musíte každé zařízení nakonfigurovat ve výrobě, pravděpodobnost chyby je větší.
Pokud je implementace ACI pomalejší, pak EVPN trvalo ladění téměř dvakrát déle. Pokud v případě Cisco můžete vždy zavolat technikovi podpory a zeptat se na síť jako celek (protože je pokryta jako řešení), kupujete pouze hardware od Juniper Networks, a to je pokryto. Pakety opustily zařízení? Dobře, pak vaše problémy. Můžete si ale otevřít dotaz na výběr řešení nebo návrhu sítě – a pak vám poradí, abyste si za příplatek pořídili profesionální službu.
Podpora ACI je velmi cool, protože je oddělená: na to sedí samostatný tým. Existují, včetně rusky mluvících specialistů. Návod je podrobný, rozhodnutí jsou předem daná. Sledujte a poraďte. Rychle ověří design, což je často důležité. Juniper Networks dělá to samé, ale občas pomaleji (dříve jsme to dělali, teď by to podle pověstí mělo být lepší), což vás nutí dělat všechno sami, kde by mohl poradit inženýr řešení.
Cisco ACI podporuje integraci s virtualizačními a kontejnerizačními systémy (VMware, Kubernetes, Hyper-V) a centralizovanou správu. Existují síťové služby a bezpečnostní služby - balancování, firewally, WAF, IPS a další... Dobrá mikrosegmentace ihned po vybalení. Ve druhém řešení se integrace se síťovými službami provádí pomocí tamburíny a je lepší kouřit fóra s těmi, kteří to udělali předem.
Celkový
Pro každý konkrétní případ je nutné vybrat řešení, a to nejen na základě nákladů na zařízení, ale je třeba vzít v úvahu i další provozní náklady a hlavní problémy, se kterými se zákazník nyní potýká a jaké jsou plány pro rozvoj IT infrastruktury.
ACI kvůli dodatečné výbavě vyšlo dráž, ale řešení je hotové bez nutnosti dalšího pilování, druhé řešení je složitější a nákladnější na provoz, ale levnější.
Pokud chcete diskutovat o tom, kolik může stát implementace síťové továrny u různých dodavatelů a jaký druh architektury je potřeba, můžete se sejít a popovídat si. Před hrubým náčrtem architektury (se kterým můžete spočítat rozpočty) vám zdarma napovíme, podrobná studie se samozřejmě již platí.
Vladimír Klepche, podnikové sítě.
Zdroj: www.habr.com