Gwerthuswch y cysylltiadau yn rhan ganol y diagram. Byddwn yn dychwelyd atynt isod.
Ar ryw adeg, efallai y gwelwch fod rhwydweithiau cymhleth mawr yn seiliedig ar L2 yn derfynol wael. Yn gyntaf oll, problemau'n ymwneud â phrosesu traffig BUM a gweithrediad y protocol STP. Yn yr ail - yn gyffredinol, yn foesol darfod pensaernïaeth. Mae hyn yn achosi problemau annymunol ar ffurf amser segur ac anghyfleustra wrth drin.
Cawsom ddau brosiect cyfochrog, lle bu cwsmeriaid yn asesu holl fanteision ac anfanteision yr opsiynau yn sobr a dewis dau ddatrysiad troshaen gwahanol, a gwnaethom eu rhoi ar waith.
Roedd modd cymharu'r gweithrediad. Ddim yn gweithredu, mae'n werth siarad am y peth mewn dwy neu dair blynedd.
Felly beth yw ffabrig rhwydwaith gyda rhwydweithiau troshaenu a SDN?
Beth i'w wneud â phroblemau difrifol pensaernïaeth rhwydwaith clasurol?
Mae technolegau a syniadau newydd yn ymddangos bob blwyddyn. Yn ymarferol, ni chododd yr angen brys i ailadeiladu'r rhwydweithiau am amser hir, oherwydd gallwch chi hefyd wneud popeth â llaw gan ddefnyddio'r dulliau hen daid da. Felly beth, beth yw'r unfed ganrif ar hugain yn yr iard? Yn y diwedd, dylai'r gweinyddwr weithio, ac nid eistedd yn ei swyddfa.
Yna dechreuodd ffyniant yn y gwaith o adeiladu canolfannau data ar raddfa fawr. Yna daeth yn amlwg bod terfyn datblygiad pensaernïaeth glasurol wedi'i gyrraedd, nid yn unig o ran perfformiad, goddefgarwch bai, scalability. Ac un o'r opsiynau ar gyfer datrys y problemau hyn oedd y syniad o adeiladu rhwydweithiau troshaen ar ben asgwrn cefn y gellir ei ddefnyddio ar ei hyd.
Yn ogystal, gyda'r cynnydd ym maint y rhwydweithiau, daeth y broblem o reoli ffatrïoedd o'r fath yn ddifrifol, ac o ganlyniad dechreuodd atebion rhwydweithio a ddiffinnir gan feddalwedd ymddangos gyda'r gallu i reoli'r seilwaith rhwydwaith cyfan yn ei gyfanrwydd. A phan fydd y rhwydwaith yn cael ei reoli o un pwynt, mae'n haws i gydrannau eraill y seilwaith TG ryngweithio ag ef, ac mae'n haws awtomeiddio prosesau rhyngweithio o'r fath.
Mae gan bron pob gwneuthurwr mawr nid yn unig offer rhwydwaith, ond hefyd rhithwiroli, opsiynau ar gyfer atebion o'r fath yn ei bortffolio.
Mae'n parhau i fod yn unig i chyfrif i maes beth sy'n addas ar gyfer yr hyn sydd ei angen. Er enghraifft, ar gyfer cwmnïau arbennig o fawr sydd â thîm datblygu a gweithredu da, nid yw atebion y tu allan i'r bocs gwerthwyr bob amser yn bodloni'r holl anghenion, ac maent yn troi at ddatblygu eu datrysiadau DC (meddalwedd diffiniedig) eu hunain. Er enghraifft, mae'r rhain yn ddarparwyr cwmwl sy'n ehangu'r ystod o wasanaethau a ddarperir i'w cwsmeriaid yn gyson, ac yn syml, nid yw datrysiadau mewn bocs yn gallu cadw i fyny â'u hanghenion.
Ar gyfer cwmnïau canolig, mae'r ymarferoldeb a gynigir gan y gwerthwr ar ffurf datrysiad mewn bocs yn ddigon mewn 99 y cant o achosion.
Beth yw rhwydweithiau troshaen
Beth yw'r syniad o rwydweithiau troshaenu. Yn y bôn, rydych chi'n cymryd rhwydwaith llwybr clasurol ac yn adeiladu rhwydwaith arall ar ei ben i gael mwy o nodweddion. Yn fwyaf aml, rydym yn sôn am ddosbarthiad effeithiol y llwyth ar offer a llinellau cyfathrebu, cynnydd sylweddol yn y terfyn scalability, mwy o ddibynadwyedd a llawer o nwyddau diogelwch (oherwydd segmentu). Ac mae atebion SDN, yn ogystal â hyn, yn galluogi gweinyddiaeth hyblyg hynod gyfleus iawn, iawn ac yn gwneud y rhwydwaith yn fwy tryloyw i'w ddefnyddwyr.
Yn gyffredinol, pe bai rhwydweithiau lleol yn cael eu dyfeisio ym mlynyddoedd y 2010au, byddent yn edrych yn bell o'r hyn a etifeddwyd gennym gan y fyddin o'r 1970au.
O ran technolegau ar gyfer adeiladu ffatrïoedd gan ddefnyddio rhwydweithiau troshaenu, ar hyn o bryd mae llawer o weithrediadau gweithgynhyrchwyr a phrosiectau Rhyngrwyd RFC (EVPN + VXLAN, EVPN + MPLS, EVPN + MPLSoGRE, EVPN + Geneve ac eraill). Oes, mae yna safonau, ond gall gweithredu'r safonau hyn gan wneuthurwyr gwahanol fod yn wahanol, felly wrth greu ffatrïoedd o'r fath, dim ond mewn theori ar bapur y gellir rhoi'r gorau i glo'r gwerthwr yn llwyr.
Gyda'r datrysiad DC, mae pethau hyd yn oed yn fwy cymhleth, mae gan bob gwerthwr ei weledigaeth ei hun. Mae yna atebion cwbl agored y gallwch chi, mewn theori, orffen ar eich pen eich hun, mae yna rai cwbl gaeedig.
Mae Cisco yn cynnig ei fersiwn ei hun o SDN ar gyfer canolfannau data - ACI. Yn naturiol, mae hwn yn ateb 100% wedi'i gloi gan y gwerthwr o ran dewis offer rhwydwaith, ond ar yr un pryd mae wedi'i integreiddio'n llawn â rhithwiroli, cynhwysydd, diogelwch, cerddorfa, cydbwysedd llwyth, ac ati Ond mewn gwirionedd mae'n dal i fod yn fath o blwch du, heb y posibilrwydd o fynediad llawn i'r holl brosesau mewnol. Nid yw pob cwsmer yn cytuno i'r opsiwn hwn, gan eich bod yn gwbl ddibynnol ar ansawdd y cod datrysiad ysgrifenedig a'i weithrediad, ond ar y llaw arall, mae gan y gwneuthurwr un o'r cymorth technegol gorau yn y byd ac mae ganddo dîm ymroddedig sy'n delio dim ond gyda'r ateb hwn. Dewiswyd Cisco ACI fel yr ateb ar gyfer y prosiect cyntaf.
Ar gyfer yr ail brosiect, dewiswyd ateb Juniper. Mae gan y gwneuthurwr hefyd ei SDN ei hun ar gyfer y ganolfan ddata, ond penderfynodd y cwsmer beidio â gweithredu SDN. Dewiswyd ffatri EVPN VXLAN fel y dechnoleg ar gyfer adeiladu'r rhwydwaith heb ddefnyddio rheolwyr canolog.
Beth yw ei bwrpas
Mae creu ffatri yn eich galluogi i adeiladu rhwydwaith dibynadwy sy'n hawdd ei raddio, sy'n gallu goddef diffygion. Mae'r bensaernïaeth (asgwrn cefn dail) yn ystyried nodweddion canolfannau data (llwybrau traffig, gan leihau oedi a thagfeydd yn y rhwydwaith). Mae atebion DC mewn canolfannau data yn ei gwneud hi'n gyfleus iawn, yn gyflym, yn hyblyg i reoli ffatri o'r fath, ei integreiddio i ecosystem y ganolfan ddata.
Roedd angen i'r ddau gwsmer adeiladu canolfannau data diangen i sicrhau goddefgarwch namau, yn ogystal, roedd yn rhaid amgryptio traffig rhwng canolfannau data.
Roedd y cwsmer cyntaf eisoes yn ystyried atebion heb ffabrig fel safon bosibl ar gyfer eu rhwydweithiau, ond mewn profion cawsant broblemau gyda chydnawsedd STP rhwng sawl gwerthwr caledwedd. Roedd amseroedd segur a achosodd ostyngiadau yn y gwasanaeth. Ac i'r cwsmer roedd yn hollbwysig.
Roedd Cisco eisoes yn safon menter y cwsmer, buont yn edrych ar ACI ac opsiynau eraill a phenderfynwyd ei bod yn werth cymryd yr ateb penodol hwn. Roeddwn i'n hoffi awtomeiddio rheolaeth o un botwm trwy un rheolydd. Mae gwasanaethau'n cael eu sefydlu'n gyflymach, yn cael eu rheoli'n gyflymach. Fe benderfynon ni ddarparu amgryptio traffig trwy redeg MACSec rhwng y switshis IPN a SPINE. Felly, roedd yn bosibl osgoi tagfa ar ffurf crypto-porth, arbed arnynt a defnyddio'r lled band i'r eithaf.
Dewisodd yr ail gwsmer ateb di-reolwr Juniper oherwydd bod gan eu canolfan ddata bresennol osodiad bach eisoes gyda gweithrediad ffabrig EVPN VXLAN. Ond nid oedd yn gallu goddef bai (defnyddiwyd un switsh). Fe benderfynon ni ehangu seilwaith y brif ganolfan ddata ac adeiladu ffatri yn y ganolfan ddata wrth gefn. Ni ddefnyddiwyd yr EVPN presennol yn llawn: ni ddefnyddiwyd amgáu VXLAN mewn gwirionedd, gan fod pob gwesteiwr wedi'i gysylltu â'r un switsh, ac roedd pob cyfeiriad MAC a /32 cyfeiriad gwesteiwr yn lleol, yr un switsh oedd y porth iddynt, nid oedd unrhyw un arall dyfeisiau, lle roedd angen adeiladu twneli VXLAN. Penderfynasant ddarparu amgryptio traffig gan ddefnyddio technoleg IPSEC rhwng waliau tân (roedd perfformiad ITU yn ddigonol).
Fe wnaethant roi cynnig ar ACI hefyd, ond penderfynwyd oherwydd clo'r gwerthwr y byddai'n rhaid iddynt brynu gormod o galedwedd, gan gynnwys ailosod offer newydd a brynwyd yn ddiweddar, ac yn syml, nid yw'n gwneud synnwyr economaidd. Ydy, mae ffabrig Cisco yn integreiddio â phopeth, ond dim ond ei ddyfeisiau sy'n bosibl y tu mewn i'r ffabrig ei hun.
Ar y llaw arall, fel y soniwyd yn gynharach, ni allwch gymysgu ffatri EVPN VXLAN ag unrhyw werthwr cyfagos oherwydd bod gweithrediadau'r protocol yn wahanol. Mae fel croesi Cisco a Huawei yn yr un rhwydwaith - mae'n ymddangos bod y safonau'n gyffredin, dim ond rhaid i chi ddawnsio gyda thambwrîn. Gan fod hwn yn fanc, a byddai profion cydnawsedd yn hir iawn, fe wnaethom benderfynu ei bod yn well prynu gan yr un gwerthwr nawr, a pheidio â chael eich cario i ffwrdd ag ymarferoldeb y tu hwnt i'r un sylfaenol.
Cynllun mudo
Dwy ganolfan ddata yn seiliedig ar ACI:
Trefniadaeth rhyngweithio rhwng canolfannau data. Mae datrysiad Aml-Pod wedi'i ddewis - mae pob canolfan ddata yn god. Mae'r gofynion ar gyfer graddio yn ôl nifer y switshis ac oedi rhwng codennau (RTT llai na 50 ms) yn cael eu hystyried. Penderfynwyd peidio ag adeiladu datrysiad Aml-Safle er hwylustod rheoli (defnyddir un rhyngwyneb rheoli ar gyfer datrysiad Aml-Pod, ar gyfer Aml-Safle byddai dau ryngwyneb, neu byddai angen Cerddorfa Aml-Safle), a chan nad oedd angen cadw safleoedd yn ddaearyddol.
O safbwynt mudo gwasanaethau o'r rhwydwaith Legacy, dewiswyd yr opsiwn mwyaf tryloyw, yn raddol trosglwyddo VLANs sy'n cyfateb i rai gwasanaethau.
Ar gyfer mudo, crëwyd EPG cyfatebol (Grŵp pwynt diwedd) ar gyfer pob VLAN yn y ffatri. Yn gyntaf, ymestynnwyd y rhwydwaith rhwng yr hen rwydwaith a'r ffatri ar hyd L2, yna ar ôl mudo'r holl westeion, trosglwyddwyd y porth i'r ffatri, ac roedd yr EPG yn rhyngweithio â'r rhwydwaith presennol trwy L3OUT, tra bod y rhyngweithio rhwng L3OUT ac EPG ei ddisgrifio gan ddefnyddio contractau. Cynllun bras:
Dangosir strwythur bras y rhan fwyaf o bolisïau ffatri ACI yn y ffigur isod. Mae'r lleoliad cyfan yn seiliedig ar bolisïau sydd wedi'u nythu mewn polisïau eraill, ac ati. Ar y dechrau mae'n anodd iawn ei ddarganfod, ond yn raddol, fel y dengys arfer, mae gweinyddwyr rhwydwaith yn dod i arfer â strwythur o'r fath mewn tua mis, ac yna dim ond y ddealltwriaeth o ba mor gyfleus ydyw.
Cymhariaeth
Yn y datrysiad Cisco ACI, mae angen i chi brynu mwy o offer (switsys ar wahân ar gyfer rhyngweithio Inter-Pod a rheolwyr APIC), a daeth yn ddrytach oherwydd hyn. Nid oedd angen prynu rheolyddion ac ategolion i ateb Juniper; trodd allan i ddefnyddio'n rhannol yr offer sydd eisoes yn bodoli gan y cwsmer.
Dyma bensaernïaeth ffabrig EVPN VXLAN ar gyfer dwy ganolfan ddata'r ail brosiect:
Yn ACI, rydych chi'n cael datrysiad parod - dim angen dewis, dim angen optimeiddio. Ar adnabyddiaeth gychwynnol y cwsmer â'r ffatri, nid oes angen datblygwyr, nid oes angen cefnogi pobl ar gyfer cod ac awtomeiddio. Mae gweithrediad syml yn ddigon, gellir gwneud llawer o leoliadau yn gyffredinol trwy ddewin, nad yw bob amser yn fantais, yn enwedig i bobl sydd wedi arfer â'r llinell orchymyn. Beth bynnag, mae'n cymryd amser i ailadeiladu'r ymennydd ar draciau newydd, ar hynodion lleoliadau trwy bolisïau a gweithredu ar lu o bolisïau nythu. Mae'n ddymunol iawn, yn ogystal â hyn, cael strwythur clir ar gyfer enwi polisïau a gwrthrychau. Os oes unrhyw broblem yn rhesymeg y rheolydd, dim ond trwy gefnogaeth dechnegol y gellir ei datrys.
Yn EVPN, y consol. Dioddef neu lawenhau. Rhyngwyneb cyfarwydd ar gyfer yr hen gard. Oes, mae yna gyfluniad a chanllawiau nodweddiadol. Mae'n rhaid i chi ysmygu mana. Dyluniadau gwahanol, mae popeth yn glir ac yn fanwl.
Yn naturiol, yn y ddau achos, mae'n well peidio â mudo'r gwasanaethau mwyaf hanfodol yn gyntaf, er enghraifft, amgylcheddau prawf, a dim ond wedyn, ar ôl dal yr holl fygiau, symud ymlaen i gynhyrchu. A pheidiwch â thiwnio i mewn nos Wener. Ni ddylech ymddiried yn y gwerthwr y bydd popeth yn iawn, mae bob amser yn well ei chwarae'n ddiogel.
Rydych chi'n talu mwy ar ACI, er bod Cisco ar hyn o bryd yn hyrwyddo'r ateb hwn yn weithredol ac yn aml yn rhoi gostyngiadau da ar ei gyfer, ond rydych chi'n arbed ar waith cynnal a chadw. Mae rheolaeth ac unrhyw fath o awtomeiddio ffatri EVPN heb reolwr yn gofyn am fuddsoddiadau a chostau rheolaidd - monitro, awtomeiddio, gweithredu gwasanaethau newydd. Ar yr un pryd, mae lansiad cychwynnol ACI yn cymryd 30-40 y cant yn hirach. Mae hyn oherwydd ei bod yn cymryd mwy o amser i greu'r set gyfan o broffiliau a pholisïau angenrheidiol, a fydd wedyn yn cael eu defnyddio. Ond wrth i'r rhwydwaith dyfu, mae nifer y cyfluniadau sydd eu hangen yn lleihau. Rydych chi'n defnyddio polisïau, proffiliau, gwrthrychau a grëwyd eisoes. Gallwch chi ffurfweddu segmentu a diogelwch yn hyblyg, rheoli contractau sy'n gyfrifol am ddatrys rhai rhyngweithiadau rhwng EPG yn ganolog - mae maint y gwaith yn gostwng yn sydyn.
Yn EVPN, rhaid i chi ffurfweddu pob dyfais yn y ffatri, mae'r tebygolrwydd o gamgymeriad yn fwy.
Os yw ACI yn arafach i'w weithredu, yna cymerodd EVPN bron ddwywaith yn fwy o amser i ddadfygio. Os yn achos Cisco gallwch chi bob amser ffonio peiriannydd cymorth a gofyn am y rhwydwaith yn ei gyfanrwydd (oherwydd ei fod wedi'i orchuddio fel datrysiad), yna dim ond caledwedd rydych chi'n ei brynu gan Juniper Networks, a dyna sy'n cael ei gwmpasu. Pacedi wedi gadael y ddyfais? Iawn, yna eich problemau. Ond gallwch chi agor cwestiwn am ddewis datrysiad neu ddyluniad rhwydwaith - ac yna byddant yn eich cynghori i brynu gwasanaeth proffesiynol, am ffi ychwanegol.
Mae cefnogaeth ACI yn cŵl iawn, oherwydd ei fod ar wahân: mae tîm ar wahân yn eistedd ar gyfer hyn yn unig. Mae yna, gan gynnwys arbenigwyr sy'n siarad Rwsieg. Mae'r canllaw yn fanwl, mae'r penderfyniadau wedi'u pennu ymlaen llaw. Gwyliwch a chynghori. Maent yn dilysu'r dyluniad yn gyflym, sy'n aml yn bwysig. Mae Juniper Networks yn gwneud yr un peth, ond lawer gwaith yn arafach (roeddem yn arfer ei wneud, nawr dylai fod yn well yn ôl sibrydion), sy'n eich gorfodi i wneud popeth eich hun lle gallai peiriannydd ateb gynghori.
Mae Cisco ACI yn cefnogi integreiddio â systemau rhithwiroli a chynhwysiant (VMware, Kubernetes, Hyper-V) a rheolaeth ganolog. Mae yna wasanaethau rhwydwaith a diogelwch - cydbwyso, waliau tân, WAF, IPS, ac ati. Micro-segmentu da allan o'r bocs. Yn yr ail ateb, mae integreiddio â gwasanaethau rhwydwaith yn cael ei wneud gyda thambwrîn, ac mae'n well ysmygu fforymau gyda'r rhai a wnaeth hyn ymlaen llaw.
Cyfanswm
Ar gyfer pob achos penodol, mae angen dewis ateb, nid yn unig yn seiliedig ar gost offer, ond mae hefyd yn angenrheidiol i ystyried costau gweithredu pellach a'r prif broblemau y mae'r cwsmer yn eu hwynebu nawr, a beth yw'r cynlluniau ar gyfer datblygu seilwaith TG.
Daeth ACI oherwydd offer ychwanegol allan yn ddrutach, ond mae'r ateb yn barod heb fod angen llifio ychwanegol, mae'r ail ateb yn fwy cymhleth a chostus o ran gweithredu, ond yn rhatach.
Os ydych chi am drafod faint y gall ei gostio i weithredu ffatri rhwydwaith ar wahanol werthwyr, a pha fath o bensaernïaeth sydd ei angen, gallwch chi gwrdd a sgwrsio. Cyn braslun bras o'r bensaernïaeth (y gallwch chi gyfrifo'r cyllidebau â hi), byddwn yn rhoi awgrym am ddim i chi, mae astudiaeth fanwl, wrth gwrs, eisoes wedi'i thalu.
Vladimir Klepche, rhwydweithiau corfforaethol.
Ffynhonnell: hab.com