Gaur gure enpresarako barne sare berri bat sortzeko ideia nola sortu eta gauzatu den kontatuko dizuet. Zuzendaritzaren posizioa da zuretzako proiektu osoa egin behar duzula bezeroarentzat. Guk ondo egiten badugu, bezeroa gonbidatu eta eskaintzen diogunak zein ondo funtzionatzen duen eta funtzionatzen duen erakutsiko dugu. Hori dela eta, Moskuko bulegorako sare berri baten kontzeptuaren garapena oso sakon jorratu dugu, ekoizpen-ziklo osoa erabiliz: saileko beharren azterketa β konponbide teknikoa hautatzea β diseinua β ezarpena β probak. Beraz, has gaitezen.
Irtenbide Teknikoa Hautatzea: Mutant Sanctuary
Sistema automatizatu konplexu batean lan egiteko prozedura gaur egun GOST 34.601-90 "Sistema automatizatuak". Sorkuntzaren etapakβ, horren arabera lan egin genuen. Eta jada eskakizunak eratzeko eta kontzeptuen garapenaren faseetan, lehen zailtasunak topatu genituen. Hainbat profiletako erakundeek -bankuak, aseguru-etxeak, software garatzaileak...- beren zeregin eta estandarretarako, sare mota batzuk behar dituzte, zeinen berezitasunak argiak eta normalizatuak. Hala ere, honek ez du gurekin funtzionatuko.
Zergatik?
Jet Infosystems dibertsifikatutako IT enpresa handi bat da. Aldi berean, gure barne laguntza saila txikia da (baina harroa), oinarrizko zerbitzu eta sistemen funtzionaltasuna bermatzen du. Konpainiak hainbat dibisio ditu funtzio desberdinak betetzen dituztenak: hauek dira azpikontratazio-talde indartsuak, eta enpresa-sistemen eta informazio-segurtasunaren barne garatzaileak eta informatika-sistemen arkitektoak, oro har, edozein dela ere. Horren arabera, haien zereginak, sistemak eta segurtasun politikak ere desberdinak dira. Horrek, espero bezala, zailtasunak sortu zituen beharrak aztertzeko eta normalizatzeko prozesuan.
Hona hemen, adibidez, garapen saila: bertako langileek bezero askorentzat kodea idazten eta probatzen dute. Askotan proba-inguruneak azkar antolatzeko beharra dago, eta egia esanda, ez da beti posible proiektu bakoitzerako eskakizunak formulatzea, baliabideak eskatzea eta proba-ingurune bereizia eraikitzea barne araudi guztien arabera. Horrek egoera bitxiak sortzen ditu: egun batean zure zerbitzari xumeak garatzaileen gelara begiratu zuen eta mahaiaren azpian behar bezala funtzionatzen zuen 20 mahaigaineko Hadoop kluster bat aurkitu zuen, sare komun batera ezin hobeto konektatua. Ez dut uste merezi duenik argitzea enpresako informatika sailak ez zekiela bere existentziaz. Zirkunstantzia hori, beste asko bezala, proiektuaren garapenean zehar βerreserba mutanteβ terminoa jaio izanaren erantzule izan zen, aspalditik jasandako bulego azpiegituraren egoera deskribatuz.
Edo hona beste adibide bat. Aldian-aldian, proba-banku bat ezartzen da sail baten barruan. Hori gertatu zen Jira eta Confluencerekin, Software Garapen Zentroak neurri mugatu batean erabili zituen proiektu batzuetan. Denbora pixka bat igaro ondoren, beste sail batzuek baliabide erabilgarriak ezagutu, ebaluatu eta 2018 amaieran, Jira eta Confluence "tokiko programatzaileen jostailu" egoeratik "enpresako baliabideen" egoerara pasatu ziren. Orain jabe bat esleitu behar zaie sistema horiei, SLA, sarbide/informazioaren segurtasun politikak, babeskopia politikak, monitorizazioa, arazoak konpontzeko eskaerak bideratzeko arauak definitu behar dira - oro har, informazio-sistema oso baten atributu guztiak egon behar dira. .
Gure dibisio bakoitza bere produktuak hazten dituen inkubagailua ere bada. Batzuk garapen fasean hiltzen dira, batzuk proiektuetan lanean ari garenean erabiltzen ditugu, beste batzuk errotu eta errepikatu diren soluzio bilakatzen dira, guk geuk erabiltzen eta bezeroei saltzen hasten garen bitartean. Horrelako sistema bakoitzerako, komeni da sare-ingurune propioa izatea, non garatuko den beste sistema batzuekin oztopatu gabe, eta uneren batean enpresaren azpiegituran integra daiteke.
Garapenaz gain, oso handia dugu 500 langile baino gehiagorekin, bezero bakoitzarentzat taldetan osatuta. Sareak eta beste sistema batzuk mantentzen, urruneko monitorizazioan, erreklamazioak ebazten eta abarretan parte hartzen dute. Hau da, SCaren azpiegitura da, hain zuzen ere, gaur egun lan egiten duten bezeroaren azpiegitura. Sarearen zati honekin lan egitearen berezitasuna da gure enpresarako dituzten lan-estazioak neurri batean kanpokoak direla, eta neurri batean barnekoak. Hori dela eta, SC-rako honako ikuspegi hau ezarri dugu: enpresak dagokion sailari sare eta bestelako baliabideak eskaintzen dizkio, sail horien lantokiak kanpoko konexio gisa (sukurtsalekin eta urruneko erabiltzaileekin analogia eginez).
Autobideen diseinua: operadorea gara (sorpresa)
Zalantza guztiak baloratu ondoren, bulego bakarrean telekomunikazio-operadorearen sarea lortzen ari ginela konturatu ginen, eta horren arabera jokatzen hasi ginen.
Oinarrizko sare bat sortu dugu, zeinaren laguntzarekin edozein barne, eta etorkizunean kanpoko kontsumitzaileei behar den zerbitzua eskaintzen zaien: L2 VPN, L3 VPN edo L3 bideratze arrunta. Sail batzuek Interneterako sarbide segurua behar dute, eta beste batzuek, berriz, suebakirik gabeko sarbide garbia behar dute, baina, aldi berean, gure baliabide korporatiboak eta oinarrizko sarea haien trafikotik babestuz.
Dibisio bakoitzarekin informalki "SLA bat osatu genuen". Horren arabera, sortzen diren gorabehera guztiak aldez aurretik adostutako epe jakin batean ezabatu behar dira. Konpainiak bere sarerako eskakizunak zorrotzak izan ziren. Telefonoaren eta posta elektronikoaren hutsegiteen kasuan gorabehera baten aurrean erantzuteko gehieneko denbora 5 minutukoa izan zen. Ohiko hutsegiteetan sarearen funtzionaltasuna berrezartzeko denbora minutu bat baino gehiagokoa da.
Eramaile-mailako sarea dugunez, arauen arabera soilik konekta zaitezke bertara. Zerbitzu-unitateek politikak ezartzen dituzte eta zerbitzuak eskaintzen dituzte. Zerbitzari, makina birtualen eta lan-estazio jakin batzuen konexioei buruzko informaziorik ere ez dute behar. Baina, aldi berean, babes mekanismoak behar dira, konexio bakar batek ere ez duelako sarea desgaitu. Begizta bat ustekabean sortzen bada, beste erabiltzaileek ez lukete horretaz ohartu behar, hau da, sarearen erantzun egokia beharrezkoa da. Telekomunikazio-operadore orok etengabe konpontzen ditu antzeko arazo itxuraz konplexuak bere oinarrizko sarean. Behar eta trafiko desberdinak dituzten bezero askori zerbitzua eskaintzen die. Aldi berean, harpidedun ezberdinek ez lukete eragozpenik jasan behar besteen trafikoaren ondorioz.
Etxean, arazo hau honela konpondu genuen: L3 bizkarrezurreko sare bat eraiki genuen erredundantzia osoarekin, IS-IS protokoloa erabiliz. Gainarrizko sare bat eraiki zen teknologian oinarritutako nukleoaren gainean /, bideratze-protokolo bat erabiliz . Bideratze-protokoloen konbergentzia bizkortzeko, BFD teknologia erabili zen.
Sarearen egitura
Probetan, eskema hau bikaina zela erakutsi zuen - edozein kanal edo etengailu deskonektatzen denean, konbergentzia-denbora ez da 0.1-0.2 s baino gehiagokoa, pakete gutxien galtzen dira (askotan bat ere ez), TCP saioak ez dira urratzen, telefono-elkarrizketak. ez dira eteten.
Azpiko geruza - Bideraketa
Gainjarri geruza - Bideraketa
VXLAN lizentziadun Huawei CE6870 etengailuak banaketa etengailu gisa erabili ziren. Gailu honek prezio/kalitate-erlazio optimoa du, harpidedunak 10 Gbit/s-ko abiaduran konektatzeko eta bizkarrezurra 40-100 Gbit/s-ko abiaduran konektatzeko aukera ematen du, erabilitako transzisoreen arabera.
Huawei CE6870 etengailuak
Huawei CE8850 etengailuak core etengailu gisa erabiltzen ziren. Helburua trafikoa azkar eta fidagarritasunez transmititzea da. Ez dago gailurik haietara konektaturik, banaketa etengailuak izan ezik, ez dakite ezer VXLANi buruz, beraz, 32/40 Gbps-ko 100 ataka dituen modelo bat aukeratu zen, L3 bideratzea eta IS-IS eta MP-BGPrako euskarria eskaintzen duen oinarrizko lizentzia duena. protokoloak.
Behekoa Huawei CE8850 core etengailua da
Diseinu-fasean, taldean eztabaida bat sortu zen sare nagusiko nodoekin hutsegite-tolerantea den konexioa ezartzeko erabil litezkeen teknologiei buruz. Gure Moskuko bulegoa hiru eraikinetan dago, 7 banaketa gela ditugu, eta horietako bakoitzean Huawei CE6870 banaketa etengailu bi instalatu ziren (sarbide etengailuak bakarrik instalatu ziren hainbat banaketa-gelatan). Sarearen kontzeptua garatzean, bi erredundantzia aukera hartu ziren kontuan:
- Banaketa-etengailuak akatsekiko tolerantzia-pila batean bateratzea zeharkako konexio gela bakoitzean. Alde onak: sinpletasuna eta konfiguratzeko erraztasuna. Desabantailak: sareko gailuen firmwarean akatsak gertatzen direnean pila osoaren porrot egiteko probabilitate handiagoa dago ("memoria ihesak" eta antzekoak).
- Aplikatu M-LAG eta Anycast gateway teknologiak gailuak banaketa etengailuetara konektatzeko.
Azkenean, bigarren aukerarekin finkatu ginen. Zertxobait zailagoa da konfiguratzea, baina praktikan erakutsi du bere errendimendua eta fidagarritasun handia.
Kontuan izan dezagun lehenik amaierako gailuak banaketa etengailuetara konektatzea:
Gurutzea
Bi banaketa etengailuetan sarbide-etengailu bat, zerbitzari bat edo hutsegitearekiko konexioa behar duen beste edozein gailu sartzen da. M-LAG teknologiak erredundantzia eskaintzen du datu-lotura mailan. Suposatzen da bi banaketa-etengailu agertzen direla konektatutako ekipoari gailu bakar gisa. Erredundantzia eta karga orekatzea LACP protokoloa erabiliz egiten dira.
Anycast gateway teknologiak sare mailan erredundantzia eskaintzen du. Banaketa-etengailu bakoitzean VRF kopuru handi samarra konfiguratuta dago (VRF bakoitza bere helburuetarako pentsatuta dago - erabiltzaile "ohikoentzat" bereizita, telefoniarako bereizita, proba- eta garapen-ingurune ezberdinetarako, etab.), eta bakoitzean. VRF-k hainbat VLAN ditu konfiguratuta. Gure sarean, banaketa-etengailuak haietara konektatutako gailu guztien pasabide lehenetsiak dira. VLAN interfazeei dagozkien IP helbideak berdinak dira banaketa etengailu bietarako. Trafikoa hurbilen dagoen aldagailutik bideratzen da.
Orain ikus dezagun banaketa-etengailuak nukleora konektatzen:
Akatsen tolerantzia sare mailan eskaintzen da IS-IS protokoloa erabiliz. Kontuan izan etengailuen artean L3 komunikazio-lerro bereizi bat eskaintzen dela, 100G-ko abiaduran. Fisikoki, komunikazio-lerro hau Sarbide Zuzeneko kable bat da; eskuinaldean ikus daiteke Huawei CE6870 etengailuen argazkian.
Alternatiba bat izar bikoitzeko topologia "zintzo" bat antolatzea litzateke, baina, arestian esan bezala, hiru eraikinetan zehar-konektatutako 7 gela ditugu. Horren arabera, "izar bikoitzeko" topologia aukeratu izan bagenu, 40G "irte luzeko" transceptor bikoitza beharko genituzke. Hemen aurrezpena oso garrantzitsua da.
Hitz batzuk esan behar dira VXLAN eta Anycast gateway teknologiek elkarrekin lan egiten dutenari buruz. VXLAN, xehetasunetan sartu gabe, UDP paketeen barruan Ethernet markoak garraiatzeko tunela da. Banaketa etengailuen loopback interfazeak VXLAN tunelaren helmuga IP helbide gisa erabiltzen dira. Gurutzatze bakoitzak loopback interfazearen helbide berdinak dituzten bi switch ditu, beraz pakete bat irits daiteke horietako edozeinetara, eta Ethernet marko bat atera daiteke bertatik.
Etengailuak berreskuratutako fotogramaren helmugako MAC helbidea ezagutzen badu, fotograma behar bezala entregatuko da bere helmugara. Zehar-konexio berean instalatutako bi banaketa-konmutagailuek sarbide-etengailuetatik "iritsi" diren MAC helbide guztiei buruzko informazio eguneratua dutela ziurtatzeko, M-LAG mekanismoa MAC helbide-taulak (baita ARP ere) sinkronizatzeaz arduratzen da. taulak) bi etengailuetan M-LAG bikoteetan.
Trafikoaren orekatzea lortzen da azpiko sarean banaketa-etengailuen loopback interfazeetarako hainbat bide egoteagatik.
Horren ordez Ondorio baten
Goian esan bezala, probak eta funtzionamenduan zehar sareak fidagarritasun handia erakutsi zuen (hutsegiteko ohiko berreskurapen-denbora ez da ehunka milisegundo baino gehiagokoa) eta errendimendu ona - gurutze-konexio bakoitza 40 Gbit/s-ko bi kanalen bidez konektatzen da. Gure sareko sarbide etengailuak pilatuta daude eta banaketa etengailuetara konektatuta daude LACP/M-LAG bidez 10 Gbit/s-ko bi kanalekin. Pila batek normalean 5 ataka dituzten 48 etengailu ditu, eta 10 sarbide-pila konektatzen dira gurutze-konexio bakoitzean banaketara. Horrela, bizkarrezurrak 30 Mbit/s inguru ematen ditu erabiltzaile bakoitzeko karga teoriko maximoan ere, eta hori idazteko unean nahikoa da gure aplikazio praktiko guztietarako.
Sareak L2 eta L3 bidez konektatutako edozein gailu arbitrarioen parekatzea ezin hobeto antolatzeko aukera ematen du, trafikoaren (informazioaren segurtasun-zerbitzuari gustatzen zaiona) eta akatsen domeinuak (eragiketa-taldeari gustatzen zaizkionak) erabat isolatuta emanez.
Hurrengo zatian sare berrira nola migratu dugun kontatuko dizuegu. Egon adi!
Maxim Klochkov
Sareko auditoria eta proiektu konplexuen taldeko senior aholkularia
Sareko Irtenbideen Zentroa
"Jet Infosystems"
Iturria: www.habr.com