Aurreko bi zatietan (
Aurretik, ez genuen zerbitzari-azpiegitura bereizirik: zerbitzariaren etengailuak erabiltzaileen banaketaren etengailuen nukleo berdinera konektatzen ziren. Sarbide-kontrola sare birtualak (VLANak) erabiliz egin zen, VLAN bideratzea une batean egin zen - nukleoan (printzipioaren arabera
Sare azpiegitura zaharra
Bulego sare berriarekin batera, zerbitzari gela berri bat eta horretarako fabrika berri bat eraikitzea erabaki genuen. Txikia izan zen (hiru zerbitzari armairu), baina kanon guztiak betez: CE8850 etengailuetan nukleo bereizia, guztiz saretutako (bizkar-hostoa) topologia, bastidorearen goiko (ToR) CE6870 etengailuak, pare bereizia. Gainontzeko sarearekin konektatzeko etengailuen (mugako hostoak). Laburbilduz, haragi xehatua.
Zerbitzariaren fabrika berriaren sarea
SCS zerbitzaria bertan behera uztea erabaki genuen zerbitzariak ToR etengailuetara zuzenean konektatzearen alde. Zergatik? SCS zerbitzaria erabiliz eraikitako bi zerbitzari-gela ditugu dagoeneko, eta hauxe dela konturatu ginen:
- Erabiltzeko deserosoa (birkonexio asko, kableen erregistroa arretaz eguneratu behar duzu);
- garestia adabaki panelek hartzen duten espazioari dagokionez;
- oztopoa da zerbitzarien konexio-abiadura handitu behar denean (adibidez, 1 Gbit/s-ko konexioetatik kobre bidezko 10 Gbit/s-ko optikora pasatzea).
Zerbitzari-fabrika berri batera mugitzean, zerbitzariak 1 Gbit/s-ko abiaduran konektatzetik aldendu eta 10 Gbit interfazetara mugatu ginen. Hau egin ezin duten ia zerbitzari zahar guztiak birtualizatu egin ziren, eta gainerakoak gigabit-eko transzisoreen bidez konektatzen ziren 10 gigabit portuetara. Matematika egin genuen eta haientzako gigabit etengailu bereiziak instalatzea baino merkeagoa izango zela erabaki genuen.
ToR etengailuak
Gure zerbitzari gela berrian ere bandaz kanpoko kudeaketa (OOM) etengailu bereiziak instalatu genituen 24 atakekin, bat rack bakoitzeko. Ideia hau oso ona izan zen, baina ez zegoen portu nahikorik, hurrengoan 48 atakekin OOM switch-ak instalatuko ditugu.
ILO bezalako zerbitzarien urruneko kudeaketarako interfazeak, edo iBMC Huawei terminologian, OOM sarera konektatzen ditugu. Zerbitzariak sarerako konexio nagusia galdu badu, interfaze honen bidez bertara heltzeko aukera izango da. Gainera, ToR etengailuen, tenperatura sentsoreen, UPS kontrolerako interfazeen eta antzeko beste gailuen kontrol interfazeak OOM etengailuetara konektatuta daude. OOM sarea suebaki-interfaze bereizi baten bidez eskura daiteke.
OOM sareko konexioa
Zerbitzari eta erabiltzaileen sareak parekatzea
Fabrika pertsonalizatu batean, VRF bereiziak helburu ezberdinetarako erabiltzen dira: erabiltzaileen lan-estazioak konektatzeko, bideo-zaintza sistemak, bilera-aretoetako multimedia-sistemak, standak eta demo-eremuak antolatzeko, etab.
Zerbitzariaren fabrikan beste VRF multzo bat sortu da:
- Zerbitzu korporatiboetan inplementatzen diren ohiko zerbitzariak konektatzeko.
- VRF bereizi bat, zeinaren barruan Internetetik sarbidea duten zerbitzariak zabaltzen diren.
- Beste zerbitzari batzuek (adibidez, aplikazio zerbitzariak) soilik atzitzen dituzten datu-baseen zerbitzarientzako VRF bereizia.
- Gure posta sistemarako VRF bereizia (MS Exchange + Skype for Business).
Beraz, VRF multzo bat dugu erabiltzailearen fabrika aldean eta VRF multzo bat zerbitzariaren fabrika aldean. Bi multzoak suebaki korporatiboko (FW) klusterretan instalatuta daude. MEak zerbitzari-ehuneko zein erabiltzaile-ehuneko ertz-etengailuetara (ertz-orriak) konektatzen dira.
Fabrikak interfazea ME - fisikaren bidez
Fabrikak interfazea ME - logikaren bidez
Nola joan zen migrazioa?
Migrazioan zehar, zerbitzarien fabrika berriak eta zaharrak konektatu genituen datu-lotura mailan, aldi baterako enborren bidez. VLAN zehatz batean kokatutako zerbitzariak migratzeko, zubi-domeinu bereizia sortu dugu, zerbitzari-fabrika zaharreko VLAN eta zerbitzari-fabrika berriko VXLAN barne.
Konfigurazioak honelako itxura du, azken bi lerroak funtsezkoak dira:
bridge-domain 22
vxlan vni 600022
evpn
route-distinguisher 10.xxx.xxx.xxx:60022
vpn-target 6xxxx:60022 export-extcommunity
vpn-target 6xxxx:60022 import-extcommunity
interface Eth-Trunk1
mode lacp-static
dfs-group 1 m-lag 1
interface Eth-Trunk1.1022 mode l2
encapsulation dot1q vid 22
bridge-domain 22
Makina birtualen migrazioa
Ondoren, VMware vMotion erabiliz, VLAN honetako makina birtualak hipervisor zaharretatik (5.5 bertsioa) berrietara (6.5 bertsioa) migratu ziren. Aldi berean, hardware zerbitzariak birtualizatu egin ziren.
Berriro saiatzen zareneanKonfiguratu MTU aldez aurretik eta egiaztatu pakete handien igarotzea "bukaerako".
Zerbitzari sare zaharrean, VMware vShield suebaki birtuala erabili dugu. VMware-k tresna hau onartzen ez duenez, vShield-etik hardware-suebakietara aldatu ginen baserri birtual berrira migratzen genuen aldi berean.
Sare zaharreko VLAN jakin batean zerbitzaririk ez zegoenean, bideraketa aldatu genuen. Aurretik, nukleo zaharrean egiten zen, Collapsed Backbone teknologia erabiliz eraikia, eta zerbitzari-fabrika berrian Anycast Gateway teknologia erabili genuen.
Bideraketa aldatzea
VLAN jakin baterako bideraketa aldatu ondoren, zubi-domeinutik deskonektatu eta sare zahar eta berrien arteko enborretik kanpo geratu zen, hau da, zerbitzari-fabrika berrira erabat mugitu zen. Horrela, 20 VLAN inguru migratu genituen.
Beraz, sare berri bat, zerbitzari berri bat eta birtualizazio baserri berri bat sortu genuen. Hurrengo artikuluetako batean Wi-Fiarekin egin genuenari buruz hitz egingo dugu.
Maxim Klochkov
Sareko auditoria eta proiektu konplexuen taldeko senior aholkularia
Sareko Irtenbideen Zentroa
"Jet Infosystems"
Iturria: www.habr.com