Ebaluatu diagramaren erdialdeko loturak. Horietara itzuliko gara jarraian
Uneren batean, L2n oinarritutako sare handi eta konplexuak gaixotasun terminalak direla aurki dezakezu. Lehenik eta behin, BUM trafikoa prozesatzearekin eta STP protokoloaren funtzionamenduarekin lotutako arazoak. Bigarrenik, arkitektura orokorrean zaharkituta dago. Horrek arazo desatseginak eragiten ditu geldialdietan eta manipulazio deserosoan.
Bi proiektu paralelo izan genituen, non bezeroek soiltasunez baloratu zituzten aukeren alde onak eta txarrak eta gainjarritako bi irtenbide ezberdin aukeratu zituzten, eta inplementatu genituen.
Inplementazioa alderatzeko aukera egon zen. Ez esplotazioa; bizpahiru urte barru hitz egin beharko genuke.
Beraz, zer da sare-ehun bat gainjarriz sareekin eta SDNrekin?
Zer egin sare-arkitektura klasikoaren arazo larriekin?
Urtero teknologia eta ideia berriak agertzen dira. Praktikan, sareak berreraikitzeko premiazko beharra ez zen denbora luzez sortu, dena eskuz egitea garai bateko metodo onak erabiliz ere posible baita. Orduan, XXI. mendea bada? Azken finean, administratzaileak lan egin beharko luke, eta ez bere bulegoan eseri.
Orduan, eskala handiko datu-zentroen eraikuntzaren gorakada hasi zen. Orduan argi geratu zen arkitektura klasikoaren garapen mugara iritsi zela, ez bakarrik errendimenduari, akatsen tolerantziari eta eskalagarritasunari dagokionez. Eta arazo hauek konpontzeko aukeretako bat bideratutako bizkarrezurra baten gainean gainjarritako sareak eraikitzea izan zen.
Horrez gain, sareen eskala areagotzearekin batera, halako lantegiak kudeatzeko arazoa larritu egin da, eta ondorioz, softwareak definitutako sareko irtenbideak agertzen hasi ziren sare azpiegitura osoa osotasun bakar batean kudeatzeko gaitasunarekin. Eta sarea puntu bakar batetik kudeatzen denean, errazagoa da informatika-azpiegiturako beste osagai batzuekin elkarreragintzea, eta interakzio-prozesu horiek errazagoak dira automatizatzen.
Sareko ekipoen fabrikatzaile nagusi ia guztiek, baita birtualizazioa ere, horrelako irtenbideetarako aukerak dituzte bere zorroan.
Zer beharretarako egokia dena jakitea besterik ez da geratzen. Adibidez, garapen eta eragiketa talde ona duten enpresa handientzat, saltzaileen pakete-soluzioek ez dituzte beti behar guztiak asetzen, eta beren SD (software definitutako) soluzio propioak garatzera jotzen dute. Esaterako, bezeroei eskaintzen zaizkien zerbitzuen eskaintza etengabe zabaltzen ari diren hodeiko hornitzaileak dira, eta paketaturiko soluzioak ezin dira beren beharretara jarraitzeko gai.
Enpresa ertainentzat, saltzaileak kutxako soluzio moduan eskaintzen duen funtzionaltasuna nahikoa da kasuen ehuneko 99an.
Zer dira gainjarritako sareak?
Zein da gainjartze sareen atzean dagoen ideia? Funtsean, bideratutako sare klasiko bat hartu eta haren gainean beste sare bat eraikitzen duzu funtzio gehiago lortzeko. Gehienetan, ekipoetan eta komunikazio-lerroetan karga modu eraginkorrean banatzeaz ari gara, eskalagarritasun-muga nabarmen handituz, fidagarritasuna areagotuz eta segurtasun-opakizun mordo bat (segmentazioa dela eta). Eta SDN soluzioek, honetaz gain, administrazio malgu oso-oso-oso erosoa egiteko aukera ematen dute eta sarea gardenagoa egiten dute kontsumitzaileentzat.
Oro har, 2010eko hamarkadan tokiko sareak asmatu izan balira, 1970eko hamarkadan militarrengandik oinordetzan jaso genuenaren itxura oso ezberdina izango litzateke.
Gainjartze sareak erabiliz ehunak eraikitzeko teknologiei dagokienez, gaur egun hornitzaileen inplementazio eta Interneteko RFC proiektu asko daude (EVPN+VXLAN, EVPN+MPLS, EVPN+MPLSoGRE, EVPN+Geneve eta beste batzuk). Bai, estandarrak daude, baina fabrikatzaile ezberdinek estandar horien ezarpena desberdina izan daiteke, beraz, fabrika horiek sortzean, oraindik posible da saltzaileen blokeoa guztiz alde batera uztea paperean soilik.
SD irtenbide batekin, gauzak are nahasgarriagoak dira; saltzaile bakoitzak bere ikuspegia du. Konponbide guztiz irekiak daude, teorian, zuk zeuk osatu ditzakezunak, eta guztiz itxiak daude.
Cisco-k bere SDN bertsioa eskaintzen du datu-zentroetarako - ACI. Jakina, % 100 saltzaileak blokeatuta dagoen irtenbidea da sare-ekipoa aukeratzeko orduan, baina, aldi berean, birtualizazio sistemekin, edukiontziekin, segurtasunarekin, orkestrazioarekin, karga-orekatzaileekin eta abarrekin guztiz integratuta dago. Baina funtsean, oraindik ere bat da. kutxa beltz moduko bat, barne prozesu guztietara erabat sartzeko aukerarik gabe. Bezero guztiak ez daude aukera honekin ados, idatzizko konponbide-kodearen kalitatearen eta haren ezarpenaren guztiz menpe zaudelako, baina, bestalde, fabrikatzaileak munduko laguntza teknikorik onenetakoa du eta soilik dedikatu den talde dedikatu bat dauka. irtenbide honi. Cisco ACI aukeratu zuten lehen proiekturako irtenbide gisa.
Bigarren proiekturako Juniper irtenbide bat aukeratu zen. Fabrikatzaileak bere SDN propioa du datu-zentrorako, baina bezeroak SDN ez ezartzea erabaki zuen. Kontrolagailu zentralizatuak erabili gabe EVPN VXLAN ehun bat aukeratu zen sarearen eraikuntza teknologia gisa.
Zertarako da
Fabrika bat sortzeak erraz eskalagarria, akatsekiko tolerantzia eta fidagarria den sare bat eraiki dezakezu. Arkitekturak (hosto-bizkarrezurra) datu-zentroen ezaugarriak hartzen ditu kontuan (trafiko bideak, sarean atzerapenak eta botila-lepoak gutxitzea). Datu-zentroetako SD soluzioek horrelako fabrika bat oso eroso, azkar eta malgutasunez kudeatzeko eta datu-zentroko ekosisteman integratzeko aukera ematen dute.
Bi bezeroek datu-zentro erredundanteak eraiki behar zituzten akatsen tolerantzia bermatzeko, eta, horrez gain, datu-zentroen arteko trafikoa zifratu behar zen.
Lehen bezeroak ehunik gabeko soluzioak bere sareetarako estandar posibletzat hartzen zituen jada, baina probetan arazoak izan zituzten hardware-saltzaile batzuen artean STP bateragarritasunarekin. Zerbitzuak huts egitea eragin zuten geldialdiak egon ziren. Eta bezeroarentzat hori kritikoa zen.
Cisco jada bezeroaren estandar korporatiboa zen, ACI eta beste aukera batzuk aztertu zituzten eta irtenbide hau hartzea merezi zuela erabaki zuten. Botoi batetik kontrolagailu bakar baten bidez kontrolatzea gustatu zait. Zerbitzuak azkarrago konfiguratzen dira eta azkarrago kudeatzen dira. Trafiko enkriptatzea ziurtatzea erabaki genuen MACSec exekutatzen IPN eta SPINE etengailuen artean. Horrela, kriptografia atebide baten moduan botila-lepoa saihestea lortu dugu, haietan aurreztu eta banda zabalera maximoa erabiltzea.
Bigarren bezeroak Juniper-en kontrolagailurik gabeko soluzio bat aukeratu zuen, lehendik zegoen datu-zentroak EVPN VXLAN ehuna ezartzen zuen instalazio txiki bat zuelako. Baina han ez zen akatsekiko tolerantzia izan (etengailu bat erabiltzen zen). Datu-zentro nagusiaren azpiegitura zabaltzea eta segurtasun kopiako datu-zentroan fabrika bat eraikitzea erabaki genuen. Lehendik zegoen EVPN ez zen guztiz erabili: VXLAN enkapsulazioa ez zen benetan erabili, ostalari guztiak etengailu batera konektatuta zeudenez eta MAC helbide guztiak eta /32 ostalariaren helbide guztiak lokalak zirenez, haien atebidea etengailu bera zen, ez zegoen beste gailurik. , non VXLAN tunelak eraikitzea beharrezkoa zen. Suebakien artean trafikoaren enkriptatzea IPSEC teknologia erabiliz bermatzea erabaki zuten (suebakiaren errendimendua nahikoa zen).
ACI ere saiatu ziren, baina erabaki zuten saltzaileen blokeoa zela eta, hardware gehiegi erosi beharko zutela, erosi berri diren ekipamendu berriak ordezkatuz barne, eta ez zuen zentzu ekonomikorik. Bai, Cisco ehuna guztiarekin integratzen da, baina bere gailuak soilik dira posible ehunaren barruan.
Bestalde, lehen esan dugun bezala, ezin duzu EVPN VXLAN ehun bat aldameneko edozein saltzailerekin nahastu, protokoloaren inplementazioak desberdinak direlako. Cisco eta Huawei sare batean zeharkatzea bezalakoa da; badirudi estandarrak ohikoak direla, baina danbolinarekin dantzatu beharko duzu. Hau bankua denez, eta bateragarritasun-probak oso luzeak izango zirenez, erabaki genuen hobe zela orain saltzaile beretik erostea, eta oinarrizko funtzionalitateetatik ez ibiltzea.
Migrazio plana
ACIn oinarritutako bi datu-zentro:
Datu-zentroen arteko elkarrekintzaren antolaketa. Multi-Pod irtenbidea aukeratu zen: datu-zentro bakoitza pod bat da. Kontuan hartzen dira etengailu kopuruaren eta poden arteko atzerapenen arabera eskalatzeko baldintzak (RTT 50 ms baino gutxiago). Kudeaketa errazteko Multi-Pod irtenbide bat ez eraikitzea erabaki zen (Multi-Pod soluzio batek kudeaketa interfaze bakarra erabiltzen du, Multi-Site batek bi interfaze izango lituzke edo Multi-Site Orchestrator bat beharko luke), eta geografikorik ez dagoenez. guneak erreserbatu behar ziren.
Legacy saretik zerbitzuak migratzearen ikuspuntutik, aukerarik gardenena aukeratu zen, zerbitzu batzuei dagozkien VLANak pixkanaka transferituz.
Migrazioa egiteko, dagokion EPG (End-point-group) bat sortu zen fabrikan VLAN bakoitzeko. Lehenik eta behin, sarea sare zaharraren eta ehunaren artean hedatu zen L2 bidez, gero ostalari guztiak migratu ondoren, atea ehunera eraman zen eta EPGak lehendik zegoen sarearekin elkarreragin zuen L3OUT bidez, L3OUT eta EPGren arteko elkarrekintza bitartean. kontratuak erabiliz deskribatu zen. Gutxi gorabeherako diagrama:
Beheko irudian ACI fabrika-politika gehienen egitura lagin bat erakusten da. Konfigurazio osoa beste politika batzuetan habiaratzen diren politiketan eta abarretan oinarritzen da. Hasieran oso zaila da hura asmatzea, baina pixkanaka, praktikak erakusten duenez, sareko administratzaileak hilabete ingurura ohitzen dira egitura horretara, eta gero ulertzen hasten dira zein den erosoa den.
konparazio
Cisco ACI irtenbidean, ekipamendu gehiago erosi behar duzu (Inter-Pod interakziorako eta APIC kontrolagailuetarako etengailu bereiziak), eta horrek garestitzen du. Juniperren irtenbideak ez zuen kontrolagailurik edo osagarririk erostea eskatzen; Bezeroaren lehendik zegoen ekipamendua partzialki erabiltzea posible zen.
Hona hemen bigarren proiektuko bi datu-zentroentzako EVPN VXLAN ehunaren arkitektura:
ACI-rekin prestatutako irtenbidea lortzen duzu - ez da aldatu beharrik, ez da optimizatu beharrik. Bezeroak fabrikarekin hasierako ezagutzean, ez da garatzailerik behar, ez da laguntzarik behar kodea eta automatizaziorako. Erabilera nahiko erraza da; ezarpen asko morroiaren bidez egin daitezke, eta hori ez da beti abantaila bat, batez ere komando-lerrora ohituta dauden pertsonentzat. Nolanahi ere, denbora behar da garuna bide berrietan berreraikitzeko, ezarpenen berezitasunetara politiken bidez eta habiaratutako politika askorekin funtzionatzeko. Honetaz gain, oso desiragarria da politikak eta objektuak izendatzeko egitura argia izatea. Kontrolagailuaren logikan arazoren bat sortzen bada, laguntza teknikoaren bidez bakarrik konpondu daiteke.
EVPNn - kontsola. Sufritu edo poztu. Guardia zaharrarentzat interfaze ezaguna. Bai, konfigurazio estandarra eta gidak daude. Mana erre beharko duzu. Diseinu desberdinak, dena argia eta zehatza da.
Jakina, bi kasuetan, migratzerakoan, hobe da lehenik eta behin zerbitzu kritikoenak ez migratzea, adibidez, proba-inguruneak, eta orduan bakarrik, akats guztiak harrapatu ondoren, produkziora abiatzea. Eta ez sintonizatu ostiral gauean. Ez zenuke saltzaileaz fidatu behar dena ondo egongo dela, beti da seguru jokatzea.
Gehiago ordaintzen duzu ACIgatik, nahiz eta gaur egun Cisco irtenbide hau aktiboki sustatzen ari den eta askotan deskontu onak ematen dituen, baina mantentze-lanetan aurrezten duzu. Kontrolagailurik gabeko EVPN fabrika baten kudeaketak eta edozein automatizazioak inbertsioak eta kostu erregularrak eskatzen ditu: jarraipena, automatizazioa, zerbitzu berrien ezarpena. Aldi berean, ACIren hasierako abiarazteak ehuneko 30-40 gehiago behar du. Hori gertatzen da, gero erabiliko diren beharrezko profil eta politiken multzo osoa sortzeko denbora gehiago behar delako. Baina sarea hazi ahala, beharrezkoak diren konfigurazio kopurua gutxitzen da. Aurrez sortutako politikak, profilak, objektuak erabiltzen dituzu. Segmentazioa eta segurtasuna malgutasunez konfigura ditzakezu, EPGen arteko interakzio jakin batzuk ahalbidetzeaz arduratzen diren kontratuak modu zentralean kudeatu; lan kopurua nabarmen jaisten da.
EVPNn, fabrikako gailu bakoitza konfiguratu behar duzu, akatsak izateko probabilitatea handiagoa da.
ACI inplementatzen motelagoa zen arren, EVPN ia bi aldiz gehiago behar izan zuen arazketa egiteko. Ciscoren kasuan beti deitu dezakezu laguntza-ingeniari bati eta sare osoari buruz galdetu (konponbide gisa estalita dagoelako), orduan Juniper Networks-en hardwarea bakarrik erosten duzu, eta hori da estaltzen dena. Paketeek gailua utzi dute? Beno, ados, orduan zure arazoak. Baina irtenbidea edo sarearen diseinua aukeratzeari buruzko galdera bat ireki dezakezu eta, ondoren, zerbitzu profesional bat erosteko gomendatuko dizute, kuota gehigarri baten truke.
ACI-ren laguntza oso polita da, bereizita dagoelako: aparteko talde bat esertzen da horretarako. Errusieraz hitz egiten duten espezialistak ere badaude. Gida zehatza da, irtenbideak aurrez zehaztuta daude. Begiratu eta aholkatzen dute. Azkar balioztatzen dute diseinua, eta hori askotan garrantzitsua da. Juniper Networks-ek gauza bera egiten du, baina askoz motelagoa (hau genuen, orain hobe beharko luke zurrumurruen arabera), eta horrek konponbide ingeniari batek aholkatu dezakeen guztia egitera behartzen zaitu.
Cisco ACI-k birtualizazio eta edukiontzien sistemekin (VMware, Kubernetes, Hyper-V) eta kudeaketa zentralizatuarekin integratzea onartzen du. Sareko eta segurtasun zerbitzuekin eskuragarri - oreka, suebakiak, WAF, IPS, etab... Mikro-segmentazio ona kutxatik kanpo. Bigarren konponbidean, sareko zerbitzuekin integratzea oso erraza da, eta hobe da aldez aurretik foroak eztabaidatzea hori egin dutenekin.
Guztira
Kasu zehatz bakoitzerako, konponbide bat hautatzea beharrezkoa da, ekipamenduaren kostuaren arabera ez ezik, operazio-kostu gehiago eta bezeroak gaur egun dituen arazo nagusiak ere kontuan hartu behar dira, eta bertan zer asmo duen. IT azpiegitura garatzeko dira.
ACI, ekipamendu osagarriaren ondorioz, garestiagoa zen, baina irtenbidea prest dago akabera gehigarririk beharrik gabe; bigarren irtenbidea konplexuagoa eta garestiagoa da funtzionamendu aldetik, baina merkeagoa.
Saltzaile desberdinetan sare-ehun bat ezartzea zenbat kosta daitekeen eta zer arkitektura mota behar den eztabaidatu nahi baduzu, elkartu eta txateatu dezakezu. Doan aholkatuko dizugu arkitekturaren zirriborro bat lortu arte (aurrekontuak kalkulatu ahal izateko), lanketa zehatza, noski, dagoeneko ordainduta dago.
Vladimir Klepche, sare korporatiboak.
Iturria: www.habr.com