ProHoster > وبلاگ > اداره > تجربه در پیاده سازی فابریک های شبکه بر اساس EVPN VXLAN و Cisco ACI و مقایسه ای کوتاه

تجربه در پیاده سازی فابریک های شبکه بر اساس EVPN VXLAN و Cisco ACI و مقایسه ای کوتاه

تجربه در پیاده سازی فابریک های شبکه بر اساس EVPN VXLAN و Cisco ACI و مقایسه ای کوتاه
اتصالات قسمت میانی نمودار را ارزیابی کنید. در زیر به آنها باز خواهیم گشت.

در برخی مواقع، ممکن است متوجه شوید که شبکه های بزرگ و پیچیده مبتنی بر L2 به بیماری لاعلاجی مبتلا هستند. اول از همه، مشکلات مربوط به پردازش ترافیک BUM و عملکرد پروتکل STP. ثانیاً، معماری به طور کلی منسوخ شده است. این امر باعث ایجاد مشکلات ناخوشایند به شکل از کار افتادن و حمل و نقل نامناسب می شود.

ما دو پروژه موازی داشتیم که مشتریان با هوشیاری تمام جوانب مثبت و منفی گزینه‌ها را ارزیابی کردند و دو راه‌حل مختلف همپوشانی را انتخاب کردند و ما آنها را اجرا کردیم.

فرصتی برای مقایسه اجرا وجود داشت. نه استثمار؛ دو سه سال دیگر باید درباره آن صحبت کنیم.

بنابراین، فابریک شبکه با شبکه های همپوشانی و SDN چیست؟

با مشکلات مبرم معماری شبکه کلاسیک چه باید کرد؟

هر سال فناوری ها و ایده های جدیدی ظاهر می شوند. در عمل، نیاز فوری به بازسازی شبکه‌ها برای مدت زمان طولانی ایجاد نشد، زیرا انجام همه کارها با دست با استفاده از روش‌های خوب قدیمی نیز امکان‌پذیر است. پس اگر قرن بیست و یکم باشد چه؟ بالاخره یک مدیر باید کار کند، نه اینکه در دفترش بنشیند.

سپس رونق ساخت مراکز داده در مقیاس بزرگ آغاز شد. سپس مشخص شد که حد توسعه معماری کلاسیک، نه تنها از نظر عملکرد، تحمل خطا، و مقیاس پذیری، رسیده است. و یکی از گزینه‌ها برای حل این مشکلات، ایده ساخت شبکه‌های همپوشانی در بالای ستون فقرات مسیریابی بود.

علاوه بر این، با افزایش مقیاس شبکه ها، مشکل مدیریت چنین کارخانه هایی حاد شده است، در نتیجه راه حل های شبکه تعریف شده توسط نرم افزار با توانایی مدیریت کل زیرساخت شبکه به عنوان یک کل ظاهر شد. و هنگامی که شبکه از یک نقطه مدیریت می شود، تعامل سایر اجزای زیرساخت فناوری اطلاعات با آن آسان تر است و چنین فرآیندهای تعاملی آسان تر به صورت خودکار می شوند.

تقریباً هر سازنده بزرگ نه تنها تجهیزات شبکه، بلکه مجازی سازی نیز گزینه هایی برای چنین راه حل هایی در مجموعه خود دارد.

تنها چیزی که باقی می ماند این است که بفهمیم چه چیزی برای چه نیازهایی مناسب است. برای مثال، برای شرکت‌های به‌ویژه بزرگ با تیم توسعه و عملیات خوب، راه‌حل‌های بسته‌بندی شده از فروشندگان همیشه همه نیازها را برآورده نمی‌کنند و آنها به توسعه راه‌حل‌های SD (نرم‌افزاری تعریف‌شده) خود متوسل می‌شوند. به عنوان مثال، اینها ارائه دهندگان ابری هستند که دائماً در حال گسترش دامنه خدمات ارائه شده به مشتریان خود هستند و راه حل های بسته بندی شده به سادگی قادر به پاسخگویی به نیازهای آنها نیستند.

برای شرکت های متوسط، عملکرد ارائه شده توسط فروشنده در قالب یک راه حل جعبه ای در 99 درصد موارد کافی است.

شبکه های همپوشانی چیست؟

ایده پشت شبکه های همپوشانی چیست؟ در اصل، شما یک شبکه روت شده کلاسیک را انتخاب می کنید و شبکه دیگری را در بالای آن ایجاد می کنید تا ویژگی های بیشتری داشته باشید. بیشتر اوقات ، ما در مورد توزیع مؤثر بار در تجهیزات و خطوط ارتباطی ، افزایش قابل توجه محدودیت مقیاس پذیری ، افزایش قابلیت اطمینان و مجموعه ای از موارد امنیتی (به دلیل تقسیم بندی) صحبت می کنیم. و راه‌حل‌های SDN، علاوه بر این، فرصت مدیریت انعطاف‌پذیر بسیار، بسیار، بسیار راحت را فراهم می‌کند و شبکه را برای مصرف‌کنندگانش شفاف‌تر می‌کند.

به طور کلی، اگر شبکه های محلی در دهه 2010 اختراع می شدند، ظاهری بسیار متفاوت از آنچه که ما از ارتش در دهه 1970 به ارث برده بودیم، می شدند.

از نظر فناوری‌های ساخت پارچه با استفاده از شبکه‌های همپوشانی، در حال حاضر پیاده‌سازی‌های فروشنده و پروژه‌های RFC اینترنتی (EVPN+VXLAN، EVPN+MPLS، EVPN+MPLSoGRE، EVPN+Geneve و غیره) وجود دارد. بله، استانداردهایی وجود دارد، اما اجرای این استانداردها توسط تولیدکنندگان مختلف ممکن است متفاوت باشد، بنابراین هنگام ایجاد چنین کارخانه هایی، هنوز هم می توان به طور کامل قفل فروشنده را تنها در تئوری روی کاغذ رها کرد.

با راه حل SD، همه چیز حتی بیشتر گیج کننده است؛ هر فروشنده دیدگاه خاص خود را دارد. راه حل های کاملاً باز وجود دارد که در تئوری می توانید خودتان را کامل کنید و راه حل هایی کاملاً بسته وجود دارد.

سیسکو نسخه SDN خود را برای مراکز داده ارائه می دهد - ACI. به طور طبیعی، این یک راه حل 100% قفل شده توسط فروشنده از نظر انتخاب تجهیزات شبکه است، اما در عین حال به طور کامل با سیستم های مجازی سازی، کانتینری سازی، امنیت، ارکستراسیون، متعادل کننده بار و غیره یکپارچه شده است. اما در اصل، همچنان یک راه حل است. نوعی جعبه سیاه، بدون امکان دسترسی کامل به تمام فرآیندهای داخلی. همه مشتریان با این گزینه موافق نیستند، زیرا شما کاملاً به کیفیت کد راه حل نوشته شده و اجرای آن وابسته هستید، اما از طرف دیگر، سازنده یکی از بهترین پشتیبانی های فنی در جهان را دارد و فقط یک تیم اختصاصی دارد. به این راه حل Cisco ACI به عنوان راه حل برای اولین پروژه انتخاب شد.

برای پروژه دوم، یک راه حل Juniper انتخاب شد. سازنده همچنین SDN خود را برای مرکز داده دارد، اما مشتری تصمیم گرفت SDN را پیاده سازی نکند. یک پارچه EVPN VXLAN بدون استفاده از کنترل کننده های متمرکز به عنوان فناوری ساخت شبکه انتخاب شد.

این برای چیست

ایجاد یک کارخانه به شما این امکان را می دهد که یک شبکه قابل مقیاس پذیر، قابل تحمل و قابل اعتماد بسازید. معماری (برگ-پایه) ویژگی های مراکز داده (مسیرهای ترافیک، به حداقل رساندن تاخیرها و تنگناها در شبکه) را در نظر می گیرد. راه حل های SD در مراکز داده به شما این امکان را می دهد که به راحتی، سریع و انعطاف پذیر چنین کارخانه ای را مدیریت کرده و آن را در اکوسیستم مرکز داده ادغام کنید.

هر دو مشتری نیاز به ساخت مراکز داده اضافی برای اطمینان از تحمل خطا داشتند و علاوه بر این، ترافیک بین مراکز داده باید رمزگذاری می شد.

اولین مشتری از قبل راه‌حل‌های بدون فابریک را به عنوان یک استاندارد احتمالی برای شبکه‌های خود در نظر می‌گرفت، اما در آزمایش‌ها با سازگاری STP بین چندین فروشنده سخت‌افزار مشکل داشت. خرابی هایی وجود داشت که باعث از کار افتادن سرویس ها شد. و برای مشتری این مهم بود.

سیسکو قبلاً استاندارد شرکتی مشتری بود، آنها به ACI و گزینه های دیگر نگاه کردند و به این نتیجه رسیدند که ارزش این راه حل را دارد. من از اتوماسیون کنترل از طریق یک دکمه از طریق یک کنترلر خوشم آمد. سرویس‌ها سریع‌تر پیکربندی می‌شوند و سریع‌تر مدیریت می‌شوند. ما تصمیم گرفتیم با اجرای MACSec بین سوئیچ های IPN و SPINE از رمزگذاری ترافیک اطمینان حاصل کنیم. بنابراین، ما موفق شدیم از گلوگاه در قالب یک دروازه کریپتو جلوگیری کنیم، در آنها صرفه جویی کنیم و از حداکثر پهنای باند استفاده کنیم.

مشتری دوم یک راه حل بدون کنترل از Juniper را انتخاب کرد زیرا مرکز داده موجود آنها قبلاً یک نصب کوچک داشت که یک پارچه EVPN VXLAN را پیاده سازی می کرد. اما در آنجا قابل تحمل نبود (یک سوئیچ استفاده شد). تصمیم گرفتیم زیرساخت مرکز داده اصلی را گسترش دهیم و یک کارخانه در مرکز داده پشتیبان بسازیم. EVPN موجود به طور کامل مورد استفاده قرار نگرفت: کپسوله سازی VXLAN در واقع استفاده نمی شد، زیرا همه هاست ها به یک سوئیچ متصل بودند و همه آدرس های MAC و آدرس های میزبان /32 محلی بودند، دروازه برای آنها همان سوئیچ بود، هیچ دستگاه دیگری وجود نداشت. ، جایی که نیاز به ساخت تونل های VXLAN بود. آنها تصمیم گرفتند از رمزگذاری ترافیک با استفاده از فناوری IPSEC بین فایروال ها اطمینان حاصل کنند (عملکرد دیوار آتش کافی بود).

آنها همچنین ACI را امتحان کردند، اما به این نتیجه رسیدند که به دلیل قفل فروشنده، باید سخت‌افزار زیادی بخرند، از جمله جایگزینی تجهیزات جدیدی که اخیراً خریداری شده‌اند، و صرفاً منطقی نبود. بله، پارچه سیسکو با همه چیز ادغام می شود، اما فقط دستگاه های آن در خود پارچه امکان پذیر است.

از سوی دیگر، همانطور که قبلاً گفتیم، نمی‌توانید یک پارچه EVPN VXLAN را با هر فروشنده همسایه‌ای ترکیب کنید، زیرا اجرای پروتکل متفاوت است. این مانند عبور از سیسکو و هواوی در یک شبکه است - به نظر می رسد استانداردها رایج هستند، اما باید با یک تنبور برقصید. از آنجایی که این یک بانک است و آزمایش‌های سازگاری بسیار طولانی خواهد بود، تصمیم گرفتیم که بهتر است اکنون از همان فروشنده خرید کنید و بیش از حد از عملکردهای اولیه غافل نشوید.

طرح مهاجرت

دو مرکز داده مبتنی بر ACI:

تجربه در پیاده سازی فابریک های شبکه بر اساس EVPN VXLAN و Cisco ACI و مقایسه ای کوتاه

سازماندهی تعامل بین مراکز داده. راه حل Multi-Pod انتخاب شد - هر مرکز داده یک غلاف است. الزامات مقیاس بندی بر اساس تعداد سوئیچ ها و تأخیر بین پادها (RTT کمتر از 50 میلی ثانیه) در نظر گرفته شده است. تصمیم گرفته شد که یک راه حل چند سایتی برای سهولت مدیریت ساخته نشود (راه حل Multi-Pod از یک رابط مدیریتی استفاده می کند، یک Multi-Site دو رابط داشته باشد یا به یک ارکستراتور چند سایتی نیاز دارد) و از آنجایی که هیچ موقعیت جغرافیایی وجود ندارد. رزرو سایت ها الزامی بود

تجربه در پیاده سازی فابریک های شبکه بر اساس EVPN VXLAN و Cisco ACI و مقایسه ای کوتاه

از نقطه نظر انتقال سرویس ها از شبکه Legacy، شفاف ترین گزینه انتخاب شد که به تدریج VLAN های مربوط به سرویس های خاص را منتقل می کند.
برای مهاجرت، یک EPG مربوطه (End-point-group) برای هر VLAN در کارخانه ایجاد شد. ابتدا شبکه بین شبکه قدیمی و فابریک روی L2 کشیده شد، سپس پس از مهاجرت همه میزبان ها، دروازه به فابریک منتقل شد و EPG از طریق L3OUT با شبکه موجود تعامل داشت، در حالی که تعامل بین L3OUT و EPG وجود داشت. با استفاده از قراردادها شرح داده شد. نمودار تقریبی:

تجربه در پیاده سازی فابریک های شبکه بر اساس EVPN VXLAN و Cisco ACI و مقایسه ای کوتاه

یک ساختار نمونه از اکثر سیاست های کارخانه ACI در شکل زیر نشان داده شده است. کل راه‌اندازی بر اساس سیاست‌های تودرتو در سیاست‌های دیگر و غیره است. در ابتدا تشخیص آن بسیار دشوار است، اما به تدریج، همانطور که تمرین نشان می دهد، مدیران شبکه در حدود یک ماه به این ساختار عادت می کنند و سپس تازه شروع به درک اینکه چقدر راحت است.

تجربه در پیاده سازی فابریک های شبکه بر اساس EVPN VXLAN و Cisco ACI و مقایسه ای کوتاه

مقایسه

در راه حل Cisco ACI، شما نیاز به خرید تجهیزات بیشتری دارید (سوئیچ های جداگانه برای تعامل Inter-Pod و کنترلرهای APIC)، که باعث گران شدن آن می شود. راه حل Juniper نیازی به خرید کنترلر یا لوازم جانبی نداشت. امکان استفاده جزئی از تجهیزات موجود مشتری وجود داشت.

در اینجا معماری پارچه EVPN VXLAN برای دو مرکز داده پروژه دوم آمده است:

تجربه در پیاده سازی فابریک های شبکه بر اساس EVPN VXLAN و Cisco ACI و مقایسه ای کوتاه
تجربه در پیاده سازی فابریک های شبکه بر اساس EVPN VXLAN و Cisco ACI و مقایسه ای کوتاه

با ACI یک راه حل آماده دریافت می کنید - بدون نیاز به سرهم بندی، بدون نیاز به بهینه سازی. در طی آشنایی اولیه مشتری با کارخانه، نیازی به توسعه دهنده نیست، برای کد و اتوماسیون به افراد پشتیبان نیاز نیست. استفاده از آن بسیار آسان است؛ بسیاری از تنظیمات را می توان از طریق جادوگر انجام داد، که همیشه یک مزیت نیست، به خصوص برای افرادی که به خط فرمان عادت دارند. در هر صورت، بازسازی مغز در مسیرهای جدید، به ویژگی های تنظیمات از طریق سیاست ها و عملکرد با بسیاری از سیاست های تودرتو زمان می برد. علاوه بر این، داشتن یک ساختار واضح برای نامگذاری سیاست ها و اشیاء بسیار مطلوب است. اگر مشکلی در منطق کنترلر ایجاد شود، تنها از طریق پشتیبانی فنی قابل حل است.

در EVPN - کنسول. رنج بکشید یا شاد باشید. یک رابط آشنا برای گارد قدیمی. بله، یک پیکربندی و راهنماهای استاندارد وجود دارد. باید مانا بکشی طرح های مختلف، همه چیز واضح و دقیق است.

طبیعتاً در هر دو حالت هنگام مهاجرت بهتر است ابتدا بحرانی ترین سرویس ها مانند محیط های آزمایشی را منتقل نکنید و تنها پس از آن که همه باگ ها را پیدا کردید به تولید اقدام کنید. و شب جمعه را تنظیم نکنید. شما نباید به فروشنده اعتماد کنید که همه چیز خوب خواهد بود، همیشه بهتر است آن را ایمن بازی کنید.

شما برای ACI هزینه بیشتری می پردازید، اگرچه سیسکو در حال حاضر فعالانه این راه حل را تبلیغ می کند و اغلب تخفیف های خوبی برای آن قائل می شود، اما در تعمیر و نگهداری صرفه جویی می کنید. مدیریت و هرگونه اتوماسیون یک کارخانه EVPN بدون کنترلر مستلزم سرمایه گذاری و هزینه های منظم - نظارت، اتوماسیون، اجرای خدمات جدید است. در عین حال، پرتاب اولیه در ACI 30 تا 40 درصد بیشتر طول می کشد. این به این دلیل اتفاق می‌افتد که ایجاد کل مجموعه نمایه‌ها و خط‌مشی‌های لازم که پس از آن مورد استفاده قرار می‌گیرند، بیشتر طول می‌کشد. اما با رشد شبکه، تعداد تنظیمات مورد نیاز کاهش می یابد. شما از خط مشی ها، نمایه ها، اشیاء از پیش ساخته شده استفاده می کنید. شما می توانید به طور انعطاف پذیر بخش بندی و امنیت را پیکربندی کنید، قراردادهایی را که مسئول اجازه دادن به تعاملات خاص بین EPG هستند به صورت متمرکز مدیریت کنید - میزان کار به شدت کاهش می یابد.

در EVPN باید هر دستگاه را در کارخانه پیکربندی کنید، احتمال خطا بیشتر است.

در حالی که اجرای ACI کندتر بود، اشکال زدایی EVPN تقریباً دو برابر بیشتر طول کشید. اگر در مورد سیسکو همیشه می توانید با یک مهندس پشتیبانی تماس بگیرید و در مورد کل شبکه سوال کنید (چون به عنوان یک راه حل پوشش داده شده است) ، پس از Juniper Networks فقط سخت افزار خریداری می کنید و این همان چیزی است که تحت پوشش قرار می گیرد. آیا بسته ها از دستگاه خارج شده اند؟ خوب، پس مشکلات شما. اما شما می توانید یک سوال در مورد انتخاب راه حل یا طراحی شبکه باز کنید - و سپس آنها به شما توصیه می کنند که یک سرویس حرفه ای را با هزینه اضافی خریداری کنید.

پشتیبانی ACI بسیار جالب است، زیرا جداگانه است: یک تیم جداگانه فقط برای این کار می نشیند. متخصصان روسی زبان نیز وجود دارند. راهنما مفصل است، راه حل ها از پیش تعیین شده است. نگاه می کنند و نصیحت می کنند. آنها به سرعت طرح را تأیید می کنند، که اغلب مهم است. Juniper Networks همین کار را انجام می دهد، اما بسیار کندتر (ما این را داشتیم، حالا طبق شایعات باید بهتر باشد)، که شما را مجبور می کند هر کاری را خودتان انجام دهید، جایی که یک مهندس راه حل می تواند توصیه کند.

Cisco ACI از یکپارچه سازی با مجازی سازی و سیستم های کانتینری سازی (VMware، Kubernetes، Hyper-V) و مدیریت متمرکز پشتیبانی می کند. در دسترس با شبکه و خدمات امنیتی - تعادل، فایروال، WAF، IPS، و غیره... تقسیم بندی خوب از جعبه. در راه حل دوم، ادغام با خدمات شبکه بسیار آسان است، و بهتر است از قبل با کسانی که این کار را انجام داده اند، در انجمن ها بحث کنید.

مجموع

برای هر مورد خاص، لازم است راه حلی انتخاب شود، نه تنها بر اساس هزینه تجهیزات، بلکه باید هزینه های عملیاتی بیشتر و مشکلات اصلی که در حال حاضر مشتری با آن مواجه است و برنامه های موجود در آن در نظر گرفته شود. برای توسعه زیرساخت فناوری اطلاعات هستند.

ACI، به دلیل تجهیزات اضافی، گرانتر بود، اما راه حل بدون نیاز به تکمیل اضافی آماده است؛ راه حل دوم از نظر عملکرد پیچیده تر و پرهزینه تر است، اما ارزان تر است.

اگر می‌خواهید در مورد هزینه اجرای یک پارچه شبکه بر روی فروشندگان مختلف و نوع معماری مورد نیاز بحث کنید، می‌توانید ملاقات کنید و چت کنید. تا زمانی که یک طرح کلی از معماری (که با آن می توانید بودجه را محاسبه کنید) به دست آورید، ما به شما رایگان مشاوره خواهیم داد، البته جزئیات دقیق، البته از قبل پرداخت شده است.

ولادیمیر کلپچه، شبکه های شرکتی.

منبع: www.habr.com

اضافه کردن نظر