Kahdessa edellisessä osassa (, ) tarkastelimme periaatteita, joille uusi räätälöity tehdas rakennettiin, ja puhuimme kaikkien työpaikkojen siirtymisestä. Nyt on aika puhua palvelintehtaasta.
Aikaisemmin meillä ei ollut erillistä palvelininfrastruktuuria: palvelinkytkimet oli kytketty samaan ytimeen kuin käyttäjien jakelukytkimet. Kulunvalvonta suoritettiin virtuaaliverkkojen (VLAN) avulla, VLAN-reititys tehtiin yhdessä pisteessä - ytimessä (periaatteen mukaan ).
Vanha verkkoinfrastruktuuri
Samalla uuden toimistoverkon kanssa päätimme rakentaa uuden palvelinhuoneen ja sille erillisen uuden tehtaan. Se osoittautui pieneksi (kolme palvelinkaappia), mutta kaikkien kanonien mukainen: erillinen ydin CE8850-kytkimissä, täysin verkkomainen (spine-leaf) topologia, telineen yläosan (ToR) CE6870-kytkimet, erillinen pari kytkimiä muuhun verkkoon liittämistä varten (reunalehdet). Lyhyesti sanottuna täydellinen jauheliha.
Uuden palvelintehtaan verkko
Päätimme luopua palvelimen SCS:stä ja yhdistää palvelimia suoraan ToR-kytkimiin. Miksi? Meillä on jo kaksi palvelinhuonetta, jotka on rakennettu palvelimen SCS:n avulla, ja tajusimme, että tämä on:
- hankala käyttää (useita uudelleenkytkentöjä, sinun on päivitettävä kaapeliloki huolellisesti);
- kallis paikkapaneelien viemän tilan suhteen;
- on este, kun on tarpeen nostaa palvelimien yhteysnopeutta (esim. vaihtaa 1 Gbit/s kupariyhteyksistä 10 Gbit/s optisiin yhteyksiin).
Uuteen palvelintehtaaseen siirryttäessä yritimme siirtyä pois palvelimien yhdistämisestä 1 Gbit/s nopeudella ja rajoittuimme 10 Gbitin rajapintoihin. Lähes kaikki vanhat palvelimet, jotka eivät pysty tähän, virtualisoitiin, ja loput liitettiin gigabitin lähetin-vastaanottimien kautta 10 gigabitin porttiin. Teimme laskelman ja päätimme, että se olisi halvempaa kuin erillisten gigabit-kytkimien asentaminen niille.
ToR-kytkimet
Myös uuteen palvelinhuoneeseemme asensimme erilliset out-of-band management (OOM) kytkimet, joissa on 24 porttia, yksi per teline. Tämä idea osoittautui erittäin hyväksi, mutta portteja ei ollut tarpeeksi, seuraavan kerran asennamme OOM-kytkimet 48 portilla.
Yhdistämme OOM-verkkoon liitännät palvelimien etähallintaa varten, kuten iLO tai Huawein terminologiassa iBMC. Jos palvelin on menettänyt pääyhteyden verkkoon, se on mahdollista saavuttaa tämän rajapinnan kautta. Myös ToR-kytkimien, lämpötila-anturien, UPS-ohjausliitäntöjen ja muiden vastaavien laitteiden ohjausliitännät on kytketty OOM-kytkimiin. OOM-verkkoon pääsee erillisen palomuurirajapinnan kautta.
OOM verkkoyhteys
Palvelimen ja käyttäjäverkkojen yhdistäminen
Räätälöidyssä tehtaassa erillisiä VRF:itä käytetään eri tarkoituksiin - käyttäjien työasemien yhdistämiseen, videovalvontajärjestelmiin, kokoushuoneiden multimediajärjestelmiin, osastojen ja demoalueiden järjestämiseen jne.
Toinen VRF-sarja on luotu palvelintehtaalla:
- Yhdistää tavallisiin palvelimiin, joilla yrityspalvelut ovat käytössä.
- Erillinen VRF, jonka sisällä otetaan käyttöön palvelimia, joilla on pääsy Internetistä.
- Erillinen VRF tietokantapalvelimille, joita vain muut palvelimet käyttävät (esimerkiksi sovelluspalvelimet).
- Erillinen VRF sähköpostijärjestelmällemme (MS Exchange + Skype for Business).
Joten meillä on joukko VRF:itä käyttäjän tehdaspuolella ja joukko VRF:itä palvelimen tehdaspuolella. Molemmat sarjat on asennettu yrityksen palomuuriklustereihin (FW). ME:t on kytketty sekä palvelinkankaan että käyttäjärakenteen rajakytkimiin (reunalehtiin).
Tehtaiden liittäminen ME - fysiikan kautta
Tehtaiden liittäminen ME -logiikan kautta
Miten muutto sujui?
Siirron aikana liitimme uudet ja vanhat palvelintehtaat datalinkkitasolla väliaikaisten runkojen kautta. Tietyssä VLANissa sijaitsevien palvelimien siirtämistä varten loimme erillisen siltaverkkotunnuksen, joka sisälsi vanhan palvelintehtaan VLAN:in ja uuden palvelintehtaan VXLANin.
Kokoonpano näyttää suunnilleen tältä, kaksi viimeistä riviä ovat tärkeitä:
bridge-domain 22
vxlan vni 600022
evpn
route-distinguisher 10.xxx.xxx.xxx:60022
vpn-target 6xxxx:60022 export-extcommunity
vpn-target 6xxxx:60022 import-extcommunity
interface Eth-Trunk1
mode lacp-static
dfs-group 1 m-lag 1
interface Eth-Trunk1.1022 mode l2
encapsulation dot1q vid 22
bridge-domain 22
Virtuaalikoneiden siirto
Sitten VMware vMotionin avulla tämän VLANin virtuaalikoneet siirrettiin vanhoista hypervisoreista (versio 5.5) uusiin (versio 6.5). Samaan aikaan laitteistopalvelimet virtualisoitiin.
Kun yrität uudelleenMääritä MTU etukäteen ja tarkista suurten pakettien kulku "päästä päähän".
Vanhassa palvelinverkossa käytimme VMware vShield -virtuaalipalomuuria. Koska VMware ei enää tue tätä työkalua, vaihdoimme vShieldistä laitteistopalomuuriin samalla, kun siirryimme uuteen virtuaalifarmiin.
Kun vanhan verkon tietyssä VLAN-verkossa ei ollut enää yhtään palvelijaa, vaihdoimme reititystä. Aikaisemmin se tehtiin vanhalle ytimelle, joka on rakennettu Collapsed Backbone -teknologialla ja uudessa palvelintehtaassa Anycast Gateway -tekniikkaa.
Reitityksen vaihto
Tietyn VLANin reitityksen vaihtamisen jälkeen se irrotettiin siltaverkkoalueesta ja suljettiin pois vanhan ja uuden verkon välisestä rungosta, eli se siirrettiin kokonaan uudelle palvelintehtaalle. Siten siirsimme noin 20 VLAN:ia.
Joten loimme uuden verkon, uuden palvelimen ja uuden virtualisointifarmin. Yhdessä seuraavista artikkeleista puhumme siitä, mitä teimme Wi-Fin kanssa.
Maxim Klochkov
Verkoston auditointi- ja monimutkaisten projektien ryhmän vanhempi konsultti
Verkkoratkaisukeskus
"Jet Infosystems"
Lähde: will.com