Venemaa Posti andmekeskuse uus IT infrastruktuur

Olen kindel, et kõik Habri lugejad on vähemalt korra välismaalt veebipoodidest kaupa tellinud ja siis läinud Venemaa postkontorisse pakke vastu võtma. Kas kujutate ette selle ülesande ulatust logistika korraldamise seisukohalt? Korrutage ostjate arv nende ostude arvuga, kujutage ette meie tohutu riigi kaarti ja sellel on rohkem kui 40 tuhat postkontorit... Muide, 2018. aastal töötles Vene Post 345 miljonit rahvusvahelist paki.

Selles artiklis räägime teile, milliste probleemidega Pochta silmitsi seisis ja kuidas LANIT Integrationi meeskond need lahendas, luues andmekeskuste jaoks uue IT-infrastruktuuri.

Üks kaasaegsemaid Venemaa Posti logistikakeskusi
 

Enne projekti

Seoses Hiina, Lääne-Euroopa ja Põhja-Ameerika välispoodide pakkide arvu järsu kasvuga on suurenenud koormus Vene Posti logistikaobjektidele. Seetõttu ehitati uue põlvkonna logistikakeskused, mis kasutavad suure jõudlusega sorteerimismasinaid. Nad vajavad andmetöötluse infrastruktuuri tuge.

Andmekeskuse infrastruktuur oli vananenud ning ei taganud vajalikku jõudlust ja töökindlust ettevõtte infosüsteemide töös. Samuti koges Vene Post uute teenuste käivitamiseks arvutusvõimsuse puudumist.
 

Klientide andmekeskused ja nende probleemid

Venemaa Posti andmekeskused teenindavad enam kui 40 000 rajatist ja 85 territoriaalset osakonda. Andmekeskused pakuvad kümneid ööpäevaringseid äriteenuseid, sealhulgas e-kaubanduse teenuseid.

Tänapäeval kasutavad ettevõtted süsteeme suurandmete salvestamiseks, analüüsimiseks ja töötlemiseks. Selliste süsteemide puhul mängib olulist rolli tehisintellekti ja masinõppe algoritmide kasutamine. Tänapäeval on ettevõtte jaoks üheks olulisemaks juhtumiks logistikavoogude juhtimise optimeerimine ja klienditeeninduse kiirendamine postkontorites.

Enne moderniseerimisprojekti algust oli põhi- ja varuandmekeskustes ca 3000 virtuaalmasinat, salvestatava info maht ületas 2 petabaiti. Andmekeskustel oli keeruline liikluse marsruutimise struktuur, mis oli seotud turvatasemete järgi jaotamisega erinevatesse segmentidesse.

Rakenduste arendamise ja uute teenuste kasutuselevõtuga on andmekeskuste võrguseadmete olemasolev ribalaius muutunud ebapiisavaks. Vaja oli üleminekut uute kiirustega liidestele: 10 Gbit/s, juurdepääsul 1 Gbit/s asemel ja 40 Gbit/s tuumatasandil, seadmete ja sidekanalite täieliku liiasusega.

Infoturbe osakond sai nõude jagada infrastruktuur kõrge liikluse ja rakenduste infoturbe tasemega segmentideks (PN - Private Network ja DMZ - Demilitarized Zone). Liiklus läbis tulemüüri (FWU), mida ei olnud vaja filtreerida. Selle liikluse jaoks ei kasutatud lülitite VRF-i. Tulemüüri reeglid olid ebaoptimaalsed (igas andmekeskuses kümneid tuhandeid reegleid).

Virtuaalsete masinate (VM-ide) sujuv migreerimine andmekeskuste vahel, säilitades samal ajal IP-aadressi ja segmentidevahelise liikluse optimaalse tee, sealhulgas ettevõtte andmevõrgu (CDN), oli võimatu.

Varundamiseks kasutati MSTP-d; mõned pordid olid blokeeritud (kuum ooterežiim). Tuum- ja juurdepääsulüliteid ei kombineeritud tõrkesiirdeklastriks ning liidese koondamist (LAG) ei kasutatud.

Kolmanda andmekeskuse tulekuga oli andmekeskuste vahelise rõnga käitamiseks vaja uut arhitektuuri ja seadmete konfiguratsiooni (pakuti välja EVPN).

Puudus ühtne andmekeskuste arendamise kontseptsioon, mis oleks dokumenteeritud projekti vormis ja kokku lepitud kõigi kliendi osakondadega. Praegune võrgu toimimise dokumentatsioon oli puudulik ja aegunud.
 

Klientide ootused

Projektimeeskond seisis silmitsi järgmiste ülesannetega:

• koostab kolmanda andmekeskuse võrgu- ja serveritaristu rajamise arhitektuuri ja arenduskontseptsiooni;
• viia läbi kliendi olemasoleva võrgu tegevusaudit;
• laiendada võrgu tuumavõimsust enam kui 1500 10/40 Gbit/s Etherneti pordi võrra igas andmekeskuses (kokku 4500 porti);
• tagama kolme andmekeskuse vahelise rõnga toimimise võimalusega suurendada kiirust kuni 80 Gbit/s igas segmendis, et ühendada kliendi arvutusressursid erinevatest andmekeskustest ühtseks IT-süsteemiks;
• tagama kõigi võrguelementide 100% topeltreservi, et saavutada eesmärk Uptime tasemel 99,995%;
• minimeerida virtuaalmasinate vahelised liiklusviivitused ärirakenduste kiirendamiseks;
• koguda statistikat, teha analüüse ja teostada andmekeskustes liikluse filtreerimise reeglite hilisemat optimeerimist (algselt oli neid umbes 80 000 reeglit);
• arendada välja sihtarhitektuur, et tagada kliendi kriitiliste ärirakenduste sujuv migreerimine ükskõik millisesse kolmest andmekeskusest.

Nii et meil oli, mille kallal töötada.

Оборудование

Vaatame lähemalt, milliseid seadmeid projektis kasutasime.

Tulemüür (NGWF) USG9560:

• jagamine VSYS-i poolt;
• kuni 720 Gbps;
• kuni 720 miljonit samaaegset seanssi;
• 8 pesa.

 
Ruuter NE40E-X8:

• Lülitusvõimsus kuni 7,08 Tbit/s;
• kuni 2,880 Mpps edastamise jõudlus;
• 8 pesa liinikaartidele (LPU);
• kuni 10 miljonit BGP IPv4 marsruuti MPU kohta;
• kuni 1500 4 OSPF IPvXNUMX marsruuti MPU kohta;
• kuni 3000K – IPv4 FIB (olenevalt LPU-st).

CE12800 seeria lülitid:

• Seadme virtualiseerimine: VS (1:16 virtualiseerimine), klastri lülitussüsteem (CSS), Super Virtual Fabric (SVF);
• Võrgu virtualiseerimine: M-LAG, TRILL, VXLAN ja VXLAN sildamine, QinQ VXLAN-is, EVN (Ethernet Virtual Network);
• alates VRP V2-st on kaasas EVPN-i tugi;
• M-LAG – vPC (virtuaalne pordikanal) analoog Cisco Nexuse jaoks;
• Virtual Spanning Tree Protocol (VSTP) – ühildub Cisco PVST-ga.

CE12804

CE12808

Программное обеспечение

Projektis kasutasime:

• Teiste tarnijate tulemüüri konfiguratsioonifailide teisendamine uute seadmete käsuvormingusse;
• patenteeritud skriptid tulemüüri konfiguratsioonide optimeerimiseks ja teisendamiseks.

Konverteri välimus konfiguratsioonifailide teisendamiseks
 
Andmekeskuste vahelise suhtluse korraldamise skeem (EVPN VXLAN)
 

Varustuse seadistamise nüansid

CE12808
 

• EVPN (standard) EVN-i (Huawei patenteeritud) asemel andmekeskuste vaheliseks suhtluseks:

  ○ L2 üle L3, kasutades juhttasandil iBGP-d;
  ○ MAC koolitus ja nende reklaam iBGP EVPN perekonna kaudu (MAC marsruudid, tüüp 2);
  ○ VXLAN-tunnelite automaatne ehitamine leviedastuse / tundmatu unicast-liikluse jaoks (kaasa arvatud multisaatemarsruudid, tüüp 3).

• VS-i kaks jagamisrežiimi:

  ○ portide (port-mode port) või ASIC (port-mode group, display device port-map) alusel;
  ○ pordi jagatud dimensiooniga liides 40GE töötab AINULT administraatori VS-s (olenemata pordirežiimist).

9560 USA dollarit
 

• võimalus jagada VSYS-iga,
• Dünaamiline marsruutimine ja marsruudi lekkimine ei ole VSYS-i vahel võimalikud!

CE12804
 
Kõik aktiivsed GW (VRRP Master/Master/Master) koos MAC VRRP filtreerimisega andmekeskuste vahel
 
acl number 4000
  rule 5 deny source-mac 0000-5e00-0100 ffff-ffff-ff00
  rule 10 deny destination-mac 0000-5e00-0100 ffff-ffff-ff00
  rule 15 permit
 
interface Eth-Trunk1
  traffic-filter acl 4000 outbound

Andmekeskuste vahelise ressursside interaktsiooni skeem (VXLAN EVPN ja All Active GW)
 

Projekti raskused

Peamine raskus oli vajadus olemasolevatest rakendustest varundada andmetöötluse infrastruktuuri kasutades. Kliendil oli üle 100 erineva rakenduse, millest osa on kirjutatud ligi 10 aastat tagasi. Näiteks kui Yandexi jaoks saate hõlpsalt välja lülitada mitusada virtuaalset masinat, ilma et see lõppkasutajaid kahjustaks, siis Vene Posti puhul eeldaks selline lähenemine mitmete rakenduste nullist väljatöötamist ja ettevõtte infosüsteemide arhitektuuri muutmist. Migratsiooni- ja optimeerimisprotsessi käigus tekkinud probleemid lahendasime arvutustaristu ühise auditi etapis. Kõik ettevõtte jaoks uued võrgutehnoloogiad (nt EVPN) on läbinud laboris eelkatsetuse.
 

Projekti tulemused

Projekti meeskonda kuulusid spetsialistid "LANIT-integratsioon", klient ja tema partnerid andmetöötluse infrastruktuuri käitamisel. Samuti moodustati tarnijate (Check Point ja Huawei) spetsiaalsed tugimeeskonnad. Projekt kestis kaks aastat. Seda selle aja jooksul tehtigi.

• Välja on töötatud andmekeskuste võrgu, CDTN (Corporate Data Network) ja andmekeskuste vahelise rõnga arendamise strateegia, mis on kokku lepitud kliendi kõigi osakondadega.
• Teenuste kättesaadavus on suurenenud. Seda märkas ka kliendi äri ning see tõi uute teenuste kasutuselevõtu tõttu kaasa veelgi suurema liikluse kasvu.
• Rohkem kui 40 000 reeglit on migreeritud ja optimeeritud FWSM/ASA-lt USG 9560-le. UGG 9560 erinevad ASA kontekstid on ühendatud üheks turbepoliitikaks.
• Andmekeskuse portide läbilaskevõimet on CE1/CE10 abil suurendatud 40G-lt 12800/6850G-le. See võimaldas välistada liidese ülekoormuse ja pakettide kadumise.
• Vedaja-klassi ruuterid NE40E-X8 katsid täielikult kliendi andmekeskuse ja andmeedastuskeskuse vajadused, võttes arvesse tulevast äriarengut.
• USG 9560 jaoks on taotletud kaheksa uut funktsioonitaotlust. Neist seitse on juba rakendatud ja sisalduvad VRP praeguses versioonis. 1 FR – rakendamiseks Huawei teadus- ja arendustegevuses. See on kaheksast šassiist koosnev klaster, millel on võimalus konfigureerida konfiguratsiooni sünkroonimiseks vajalikke funktsioone ilma seansi sünkroonimiseta. See on nõutav, kui liiklusviivitus ühte andmekeskusesse on liiga suur (Adler - Moskva 1300 km mööda põhimarsruuti ja 2800 km mööda varumarsruuti).

Võrreldes teiste Venemaa postiettevõtetega pole projektil analooge.

Andmekeskuste võrgutaristu kaasajastamine on avanud ettevõttele uusi võimalusi digiteenuste arendamiseks.

• Isikliku konto ja mobiilirakenduse pakkumine era- ja juriidilistele isikutele.
• Kauba kohaletoimetamise teenuste pakkumiseks integreerimine elektroonikapoodidega.
• Täitmine - kaupade ladustamine, tellimuste vormistamine ja tarnimine elektroonikapoodidest.
• Tellimuste vastuvõtmispunktide laiendamine, sealhulgas sidusettevõtete võrkude kasutamine.
• Juriidiliselt oluline dokumendivoog vastaspooltega. See välistab paberdokumentide aeglase ja kuluka saatmise.
• Tähtkirjade vastuvõtmine elektroonilisel kujul koos kohaletoimetamisega nii elektrooniliselt kui ka paberkandjal (saadetiste trükkimisega lõppsaajale võimalikult lähedal). Elektrooniliste tähtkirjade teenindamine avalike teenuste portaalis.
• Telemeditsiiniteenuste pakkumise platvorm.
• Tähtkirja lihtsustatud vastuvõtt ja kättetoimetamine lihtsa elektroonilise allkirja abil.
• Postkontori võrgu digitaliseerimine.
• Iseteenindusteenuste (terminalid ja pakiautomaadid) ümberkujundamine.
• Kullerteenuse haldamiseks digitaalse platvormi ja uue mobiilirakenduse loomine kullerteenuse klientidele.

Tule meiega tööle!

• Ettevõtte infrastruktuuri insener
• Juhtiv Linuxi/DevOpsi insener

Allikas: www.habr.com