Évaluez les connexions dans la partie centrale du diagramme. Nous y reviendrons ci-dessous.
À un moment donné, vous constaterez peut-être que les grands réseaux complexes basés sur L2 sont en phase terminale. Tout d'abord, les problèmes liés au traitement du trafic BUM et au fonctionnement du protocole STP. Deuxièmement, l'architecture est généralement obsolète. Cela entraîne des problèmes désagréables sous forme de temps d'arrêt et de manipulation peu pratique.
Nous avons eu deux projets parallèles, où les clients ont évalué sobrement tous les avantages et inconvénients des options et ont choisi deux solutions de superposition différentes, et nous les avons mises en œuvre.
Il y avait une opportunité de comparer la mise en œuvre. Pas d’exploitation, on devrait en parler dans deux ou trois ans.
Alors, qu’est-ce qu’une structure réseau avec des réseaux superposés et SDN ?
Que faire des problèmes urgents de l’architecture de réseau classique ?
Chaque année, de nouvelles technologies et idées apparaissent. Dans la pratique, le besoin urgent de reconstruire les réseaux ne s'est pas fait sentir avant longtemps, car il est également possible de tout faire à la main en utilisant les bonnes vieilles méthodes. Et si nous étions au XXIe siècle ? Après tout, un administrateur doit travailler et non rester assis dans son bureau.
Puis a commencé un boom dans la construction de centres de données à grande échelle. Il est alors devenu évident que la limite de développement de l’architecture classique avait été atteinte, et pas seulement en termes de performances, de tolérance aux pannes et d’évolutivité. Et l’une des options pour résoudre ces problèmes était l’idée deconstruire des réseaux superposés au-dessus d’un backbone routé.
De plus, avec l'augmentation de l'échelle des réseaux, le problème de la gestion de telles usines est devenu aigu, à la suite de quoi des solutions de réseau définies par logiciel ont commencé à apparaître avec la capacité de gérer l'ensemble de l'infrastructure réseau dans son ensemble. Et lorsque le réseau est géré à partir d'un point unique, il est plus facile pour les autres composants de l'infrastructure informatique d'interagir avec lui, et ces processus d'interaction sont plus faciles à automatiser.
Presque tous les grands fabricants non seulement d'équipements de réseau, mais également de virtualisation, proposent des options pour de telles solutions dans leur portefeuille.
Il ne reste plus qu'à déterminer ce qui convient à quels besoins. Par exemple, pour les entreprises particulièrement grandes disposant d'une bonne équipe de développement et d'exploitation, les solutions packagées des fournisseurs ne répondent pas toujours à tous les besoins et elles ont recours au développement de leurs propres solutions SD (définies par logiciel). Par exemple, il s'agit de fournisseurs de cloud qui élargissent constamment la gamme de services fournis à leurs clients, et les solutions packagées ne sont tout simplement pas en mesure de répondre à leurs besoins.
Pour les entreprises de taille moyenne, les fonctionnalités proposées par le fournisseur sous forme de solution en boîte sont suffisantes dans 99 % des cas.
Que sont les réseaux superposés ?
Quelle est l’idée derrière les réseaux superposés ? Essentiellement, vous prenez un réseau routé classique et construisez un autre réseau par-dessus pour obtenir plus de fonctionnalités. Le plus souvent, nous parlons de répartir efficacement la charge sur les équipements et les lignes de communication, d'augmenter considérablement la limite d'évolutivité, d'augmenter la fiabilité et de nombreux avantages en matière de sécurité (dus à la segmentation). Et les solutions SDN, en plus de cela, offrent la possibilité d'une administration flexible très, très, très pratique et rendent le réseau plus transparent pour ses consommateurs.
De manière générale, si les réseaux locaux avaient été inventés dans les années 2010, ils auraient été très différents de ceux que nous avons hérités des militaires dans les années 1970.
En termes de technologies permettant de créer des structures utilisant des réseaux superposés, il existe actuellement de nombreuses implémentations de fournisseurs et projets Internet RFC (EVPN+VXLAN, EVPN+MPLS, EVPN+MPLSoGRE, EVPN+Geneve et autres). Oui, il existe des normes, mais la mise en œuvre de ces normes par différents fabricants peut différer, donc lors de la création de telles usines, il est toujours possible d'abandonner complètement le verrouillage du fournisseur uniquement en théorie sur papier.
Avec une solution SD, les choses sont encore plus confuses : chaque fournisseur a sa propre vision. Il existe des solutions complètement ouvertes que, en théorie, vous pouvez réaliser vous-même, et il y en a des solutions complètement fermées.
Cisco propose sa version de SDN pour les centres de données - ACI. Naturellement, il s'agit d'une solution 100 % verrouillée par le fournisseur en termes de choix d'équipement réseau, mais en même temps elle est entièrement intégrée aux systèmes de virtualisation, de conteneurisation, de sécurité, d'orchestration, d'équilibrage de charge, etc. sorte de boîte noire, sans possibilité d’accès complet à tous les processus internes. Tous les clients n'acceptent pas cette option, puisque vous êtes entièrement dépendant de la qualité du code de solution écrit et de sa mise en œuvre, mais d'un autre côté, le fabricant dispose de l'un des meilleurs supports techniques au monde et dispose d'une équipe dédiée dédiée uniquement à cette solution. Cisco ACI a été choisi comme solution pour le premier projet.
Pour le deuxième projet, une solution Juniper a été choisie. Le fabricant dispose également de son propre SDN pour le centre de données, mais le client a décidé de ne pas mettre en œuvre le SDN. Une structure EVPN VXLAN sans utilisation de contrôleurs centralisés a été choisie comme technologie de construction de réseau.
Pourquoi est-ce
La création d'une usine vous permet de créer un réseau fiable, facilement évolutif, tolérant aux pannes. L'architecture (leaf-spine) prend en compte les caractéristiques des datacenters (chemins de trafic, minimisation des délais et des goulots d'étranglement dans le réseau). Les solutions SD dans les centres de données vous permettent de gérer une telle usine de manière très pratique, rapide et flexible et de l'intégrer dans l'écosystème du centre de données.
Les deux clients devaient créer des centres de données redondants pour garantir la tolérance aux pannes, et en outre, le trafic entre les centres de données devait être chiffré.
Le premier client envisageait déjà des solutions sans structure comme standard possible pour ses réseaux, mais lors des tests, il a rencontré des problèmes de compatibilité STP entre plusieurs fournisseurs de matériel. Il y a eu des temps d’arrêt qui ont provoqué le crash des services. Et pour le client, c’était crucial.
Cisco était déjà la norme d'entreprise du client, ils ont examiné ACI et d'autres options et ont décidé que cela valait la peine d'opter pour cette solution. J'ai aimé l'automatisation du contrôle à partir d'un bouton via un seul contrôleur. Les services sont configurés et gérés plus rapidement. Nous avons décidé d'assurer le cryptage du trafic en exécutant MACSec entre les commutateurs IPN et SPINE. Ainsi, nous avons réussi à éviter le goulot d’étranglement sous la forme d’une passerelle cryptographique, à économiser dessus et à utiliser la bande passante maximale.
Le deuxième client a choisi une solution sans contrôleur de Juniper car son centre de données existant disposait déjà d'une petite installation implémentant une structure EVPN VXLAN. Mais là, il n'était pas insensible aux pannes (un seul interrupteur a été utilisé). Nous avons décidé d'étendre l'infrastructure du centre de données principal et de construire une usine dans le centre de données de sauvegarde. L'EVPN existant n'était pas entièrement utilisé : l'encapsulation VXLAN n'était pas réellement utilisée, car tous les hôtes étaient connectés à un seul commutateur, et toutes les adresses MAC et les adresses d'hôte /32 étaient locales, la passerelle pour eux était le même commutateur, il n'y avait pas d'autres appareils. , où il était nécessaire de construire des tunnels VXLAN. Ils ont décidé d'assurer le cryptage du trafic grâce à la technologie IPSEC entre les pare-feux (les performances du pare-feu étaient suffisantes).
Ils ont également essayé ACI, mais ont décidé qu'en raison du blocage des fournisseurs, ils devraient acheter trop de matériel, notamment en remplaçant de nouveaux équipements récemment achetés, et que cela n'avait tout simplement pas de sens sur le plan économique. Oui, la structure Cisco s'intègre à tout, mais seuls ses périphériques sont possibles au sein de la structure elle-même.
D’un autre côté, comme nous l’avons dit plus tôt, vous ne pouvez pas simplement mélanger une structure EVPN VXLAN avec n’importe quel fournisseur voisin, car les implémentations de protocole sont différentes. C'est comme croiser Cisco et Huawei dans un seul réseau - il semble que les normes soient communes, mais vous devrez danser avec un tambourin. Puisqu'il s'agit d'une banque et que les tests de compatibilité seraient très longs, nous avons décidé qu'il valait mieux acheter auprès du même fournisseur maintenant et ne pas trop se laisser emporter par des fonctionnalités autres que celles de base.
Projet de migration
Deux centres de données basés sur ACI :
Organisation de l'interaction entre les centres de données. La solution Multi-Pod a été choisie : chaque data center est un pod. Les exigences de mise à l'échelle en fonction du nombre de commutateurs et des délais entre les pods (RTT inférieur à 50 ms) sont prises en compte. Il a été décidé de ne pas construire de solution Multi-Site pour des raisons de facilité de gestion (une solution Multi-Pod utilise une seule interface de gestion, un Multi-Site aurait deux interfaces, ou nécessiterait un Orchestrateur Multi-Site), et comme aucune solution géographique la réservation des emplacements était obligatoire.
Du point de vue de la migration des services depuis le réseau Legacy, l'option la plus transparente a été choisie, transférant progressivement les VLAN correspondant à certains services.
Pour la migration, un EPG (End-point-group) correspondant a été créé pour chaque VLAN en usine. Tout d'abord, le réseau a été étendu entre l'ancien réseau et la structure sur L2, puis après la migration de tous les hôtes, la passerelle a été déplacée vers la structure et l'EPG a interagi avec le réseau existant via L3OUT, tandis que l'interaction entre L3OUT et EPG a été décrit à l’aide de contrats. Schéma approximatif :
Un exemple de structure de la plupart des politiques d'usine ACI est présenté dans la figure ci-dessous. L'ensemble de la configuration est basé sur des stratégies imbriquées dans d'autres stratégies, etc. Au début, il est très difficile de le comprendre, mais progressivement, comme le montre la pratique, les administrateurs réseau s'habituent à cette structure en un mois environ, puis commencent seulement à comprendre à quel point c'est pratique.
Comparaison
Dans la solution Cisco ACI, vous devez acheter plus d'équipements (commutateurs séparés pour l'interaction Inter-Pod et contrôleurs APIC), ce qui la rend plus chère. La solution de Juniper ne nécessitait pas l'achat de contrôleurs ou d'accessoires ; Il a été possible d’utiliser partiellement l’équipement existant du client.
Voici l'architecture de fabric EVPN VXLAN pour deux centres de données du deuxième projet :
Avec ACI, vous obtenez une solution prête à l'emploi : pas besoin de bricoler, pas besoin d'optimiser. Lors de la première connaissance du client avec l'usine, aucun développeur n'est nécessaire, aucune personne d'assistance n'est nécessaire pour le code et l'automatisation. Son utilisation est assez simple, de nombreux paramétrages peuvent être effectués via l'assistant, ce qui n'est pas toujours un plus, surtout pour les personnes habituées à la ligne de commande. Dans tous les cas, il faut du temps pour reconstruire le cerveau sur de nouvelles voies, aux particularités des contextes traversés par les politiques et fonctionnant avec de nombreuses politiques imbriquées. En outre, il est hautement souhaitable de disposer d’une structure claire pour nommer les politiques et les objets. Si un problème survient dans la logique du contrôleur, il ne peut être résolu que par l'assistance technique.
Dans EVPN - console. Souffrez ou réjouissez-vous. Une interface familière pour la vieille garde. Oui, il existe une configuration standard et des guides. Vous devrez fumer du mana. Différents designs, tout est clair et détaillé.
Naturellement, dans les deux cas, lors de la migration, il est préférable de ne pas migrer d'abord les services les plus critiques, par exemple les environnements de test, et ensuite seulement, après avoir détecté tous les bugs, de passer à la production. Et ne vous connectez pas vendredi soir. Vous ne devriez pas faire confiance au vendeur que tout ira bien, il est toujours préférable de jouer la sécurité.
Vous payez plus pour ACI, bien que Cisco fasse actuellement la promotion active de cette solution et accorde souvent de bonnes réductions, mais vous économisez sur la maintenance. La gestion et toute automatisation d'une usine EVPN sans contrôleur nécessitent des investissements et des coûts réguliers - suivi, automatisation, mise en place de nouveaux services. Dans le même temps, le lancement initial chez ACI prend 30 à 40 % de plus. Cela se produit parce qu'il faut plus de temps pour créer l'ensemble des profils et des politiques nécessaires qui seront ensuite utilisés. Mais à mesure que le réseau se développe, le nombre de configurations requises diminue. Vous utilisez des politiques, des profils et des objets pré-créés. Vous pouvez configurer de manière flexible la segmentation et la sécurité, gérer de manière centralisée les contrats chargés d'autoriser certaines interactions entre les EPG - la quantité de travail diminue fortement.
Dans EVPN, vous devez configurer chaque appareil en usine, le risque d'erreurs est plus grand.
Alors que l'ACI était plus lente à mettre en œuvre, le débogage d'EVPN prenait presque deux fois plus de temps. Si dans le cas de Cisco, vous pouvez toujours appeler un ingénieur d'assistance et poser des questions sur le réseau dans son ensemble (car il est couvert en tant que solution), alors chez Juniper Networks, vous achetez uniquement du matériel, et c'est ce qui est couvert. Les colis ont-ils quitté l'appareil ? Bon, ok, alors tes problèmes. Mais vous pouvez poser une question concernant le choix d'une solution ou la conception du réseau - et ils vous conseilleront ensuite d'acheter un service professionnel, moyennant des frais supplémentaires.
Le support ACI est très cool, car il est séparé : une équipe distincte siège juste pour cela. Il existe également des spécialistes russophones. Le guide est détaillé, les solutions sont prédéterminées. Ils regardent et conseillent. Ils valident rapidement le design, ce qui est souvent important. Juniper Networks fait la même chose, mais beaucoup plus lentement (nous avions ça, maintenant ça devrait aller mieux selon les rumeurs), ce qui vous oblige à tout faire vous-même là où un ingénieur solution pourrait vous conseiller.
Cisco ACI prend en charge l'intégration avec les systèmes de virtualisation et de conteneurisation (VMware, Kubernetes, Hyper-V) et la gestion centralisée. Disponible avec des services réseau et de sécurité - équilibrage, pare-feu, WAF, IPS, etc... Bonne micro-segmentation prête à l'emploi. Dans la deuxième solution, l'intégration avec les services réseau est un jeu d'enfant, et il est préférable de discuter des forums à l'avance avec ceux qui l'ont fait.
Total
Pour chaque cas spécifique, il est nécessaire de sélectionner une solution, non seulement en fonction du coût de l'équipement, mais également en tenant compte des coûts d'exploitation supplémentaires et des principaux problèmes auxquels le client est actuellement confronté, ainsi que de ses projets. sont destinés au développement de l’infrastructure informatique.
ACI, en raison d'équipements supplémentaires, était plus cher, mais la solution est prête à l'emploi sans nécessiter de finitions supplémentaires ; la deuxième solution est plus complexe et plus coûteuse en termes de fonctionnement, mais moins chère.
Si vous souhaitez discuter du coût de mise en œuvre d'une structure réseau chez différents fournisseurs et du type d'architecture nécessaire, vous pouvez vous rencontrer et discuter. Nous vous conseillerons gratuitement jusqu'à ce que vous obteniez une esquisse de l'architecture (avec laquelle vous pourrez calculer les budgets), l'élaboration détaillée étant bien entendu déjà payante.
Vladimir Klepche, réseaux d'entreprise.
Source: habr.com