Evaluearje de ferbiningen yn it middelste diel fan it diagram. Wy sille hjirûnder weromgean nei harren
Op in stuit kinne jo fine dat grutte, komplekse L2-basearre netwurken terminaal siik binne. Alderearst problemen ferbûn mei it ferwurkjen fan BUM-ferkear en de wurking fan it STP-protokol. Twadder is de arsjitektuer oer it algemien ferâldere. Dit soarget foar onaangename problemen yn 'e foarm fan downtimes en ûngemaklike ôfhanneling.
Wy hiene twa parallelle projekten, wêrby't de klanten alle foar- en neidielen fan 'e opsjes sober beoardielje en twa ferskillende overlay-oplossingen keas, en wy hawwe se útfierd.
Der wie gelegenheid om de útfiering te fergelykjen. Net eksploitaasje; wy moatte der oer twa of trije jier oer prate.
Dat, wat is in netwurkstof mei overlay-netwurken en SDN?
Wat te dwaan mei de driuwende problemen fan klassike netwurkarsjitektuer?
Alle jierren ferskine nije technologyen en ideeën. Yn de praktyk is de driuwende needsaak om netwurken wer op te bouwen noch lang net ûntstien, want alles mei de hân dwaan mei de goede âlderwetske metoaden is ek mooglik. Dus wat as it de ienentweintichste ieu is? Ommers, in behearder moat wurkje, en net sitte yn syn kantoar.
Doe begûn in boom yn de bou fan grutskalige datasintra. Doe waard dúdlik dat de ûntwikkelingsgrins fan klassike arsjitektuer berikt wie, net allinnich yn termen fan prestaasjes, fouttolerânsje en skaalberens. En ien fan 'e opsjes foar it oplossen fan dizze problemen wie it idee fan it bouwen fan overlay-netwurken boppe op in routede rêchbonke.
Derneist, mei de tanimming fan 'e skaal fan netwurken, is it probleem fan it behearen fan sokke fabriken akuut wurden, wêrtroch't software-definieare netwurkoplossingen begon te ferskinen mei de mooglikheid om de heule netwurkynfrastruktuer as ien gehiel te behearjen. En as it netwurk wurdt beheard fan ien punt, is it makliker foar oare komponinten fan 'e IT-ynfrastruktuer om mei te ynteraksje, en sokke ynteraksjeprosessen binne makliker te automatisearjen.
Hast elke grutte fabrikant fan net allinich netwurkapparatuer, mar ek virtualisaasje, hat opsjes foar sokke oplossingen yn har portfolio.
Alles wat bliuwt is om út te finen wat geskikt is foar wat nedich is. Bygelyks, foar benammen grutte bedriuwen mei in goede ûntwikkeling en eksploitaasje team, ferpakt oplossings út vendors net altyd foldwaan oan alle behoeften, en se taflecht ta in ûntwikkeljen harren eigen SD (software definiearre) oplossings. Dit binne bygelyks wolkproviders dy't it oanbod fan tsjinsten oan har kliïnten konstant útwreidzje, en ferpakte oplossingen binne gewoan net yn steat om har behoeften by te hâlden.
Foar middelgrutte bedriuwen is de funksjonaliteit oanbean troch de ferkeaper yn 'e foarm fan in doaze oplossing yn 99 prosint fan' e gefallen genôch.
Wat binne overlay netwurken?
Wat is it idee efter overlay netwurken? Yn essinsje nimme jo in klassyk routed netwurk en bouwe der in oar netwurk boppe op om mear funksjes te krijen. Meastentiids hawwe wy it oer it effektyf fersprieden fan de lading op apparatuer en kommunikaasjelinen, signifikant fergrutsjen fan de skalberenslimyt, fergrutsjen fan betrouberens en in boskje feiligensguod (fanwege segmentaasje). En SDN-oplossingen, neist dit, jouwe de kâns foar heul, heul, heul handige fleksibele administraasje en meitsje it netwurk transparanter foar har konsuminten.
Yn 't algemien, as lokale netwurken yn' e 2010's útfûn wiene, soene se folle oars útsjen fan wat wy yn 'e 1970's fan it militêr erfden.
Wat technologyen oanbelanget foar it bouwen fan stoffen mei gebrûk fan overlay-netwurken, binne d'r op it stuit in protte ferkeaperimplementaasjes en ynternet RFC-projekten (EVPN + VXLAN, EVPN + MPLS, EVPN + MPLSoGRE, EVPN + Geneve en oaren). Ja, d'r binne noarmen, mar de ymplemintaasje fan dizze noarmen troch ferskate fabrikanten kin ferskille, dus by it meitsjen fan sokke fabriken is it noch altyd mooglik om de ferkeaperslot allinich yn teory op papier te ferlitten.
Mei in SD-oplossing binne dingen noch betiiziger; elke ferkeaper hat syn eigen fyzje. D'r binne folslein iepen oplossingen dy't jo yn teory sels kinne foltôgje, en d'r binne folslein sletten.
Cisco biedt syn ferzje fan SDN foar datasintra - ACI. Fansels is dit in 100% ferkeaper-beskoattele oplossing yn termen fan it kiezen fan netwurkapparatuer, mar tagelyk is it folslein yntegreare mei virtualisaasjesystemen, kontenerisaasje, feiligens, orkestraasje, loadbalancers, ensfh. Mar yn wêzen is it noch altyd in soarte fan swarte doaze, sûnder de mooglikheid fan folsleine tagong ta alle ynterne prosessen. Net alle klanten binne it iens mei dizze opsje, om't jo folslein ôfhinklik binne fan 'e kwaliteit fan' e skreaune oplossingskoade en de ymplemintaasje dêrfan, mar oan 'e oare kant hat de fabrikant ien fan' e bêste technyske stipe yn 'e wrâld en hat in tawijd team allinich wijd oan dizze oplossing. Cisco ACI waard keazen as de oplossing foar it earste projekt.
Foar it twadde projekt is keazen foar in Juniper-oplossing. De fabrikant hat ek in eigen SDN foar it datasintrum, mar de klant besleat SDN net te ymplementearjen. In EVPN VXLAN-stof sûnder it gebrûk fan sintralisearre controllers waard keazen as de netwurkboutechnology.
Wêr is it foar
It meitsjen fan in fabryk lit jo in maklik skalberber, fouttolerant, betrouber netwurk bouwe. De arsjitektuer (leaf-spine) hâldt rekken mei de skaaimerken fan datasintra (ferkearpaden, minimalisearjen fan fertragingen en knyppunten yn it netwurk). SD-oplossingen yn datasintra kinne jo sa'n fabryk heul handich, fluch en fleksibel beheare en it yntegrearje yn it datacenter-ekosysteem.
Beide klanten moasten oerstallige datasintra bouwe om fouttolerânsje te garandearjen, en boppedat moast ferkear tusken de datasintra fersifere wurde.
De earste klant beskôge al stofleaze oplossingen as in mooglike standert foar har netwurken, mar yn testen hiene se problemen mei STP-kompatibiliteit tusken ferskate hardwareferkeapers. D'r wiene downtimes dy't feroarsake tsjinsten crashen. En foar de klant wie dit kritysk.
Cisco wie al de bedriuwsstandert fan 'e klant, se seagen nei ACI en oare opsjes en besletten dat it de muoite wurdich wie om dizze oplossing te nimmen. Ik mocht graach de automatisearring fan kontrôle fan ien knop fia in inkele controller. Tsjinsten wurde rapper konfigureare en rapper beheard. Wy hawwe besletten om ferkearsfersifering te garandearjen troch MACSec út te fieren tusken de IPN- en SPINE-skeakels. Sa slaggen wy it knelpunt yn 'e foarm fan in Krypto-poarte te foarkommen, op har te bewarjen en de maksimale bânbreedte te brûken.
De twadde klant keas in controllerless oplossing út Juniper omdat harren besteande data sintrum hie al in lytse ynstallaasje ymplemintaasje fan in EVPN VXLAN stof. Mar dêr wie it net fout-tolerant (ien switch waard brûkt). Wy besletten om de ynfrastruktuer fan it haaddatasintrum út te wreidzjen en in fabryk te bouwen yn it backupdatasintrum. De besteande EVPN waard net folslein brûkt: VXLAN-ynkapseling waard eins net brûkt, om't alle hosts wiene ferbûn mei ien switch, en alle MAC-adressen en /32-hostadressen wiene lokaal, de poarte foar har wie deselde switch, d'r wiene gjin oare apparaten , wêr't it nedich wie om VXLAN-tunnels te bouwen. Se besleaten om ferkearsfersifering te garandearjen mei IPSEC-technology tusken firewalls (de prestaasjes fan 'e firewall wie genôch).
Se hawwe ek besocht ACI, mar besletten dat fanwege de ferkeaper slot, se soene moatte keapje tefolle hardware, ynklusyf ferfangen koartlyn kocht nije apparatuer, en it gewoan makke gjin ekonomyske sin. Ja, de Cisco-stof yntegreart mei alles, mar allinich syn apparaten binne mooglik binnen de stof sels.
Oan 'e oare kant, lykas wy earder sein hawwe, kinne jo net gewoan in EVPN VXLAN-stof mingje mei elke oanbuorjende ferkeaper, om't de protokol-ymplementaasjes oars binne. It is as it oerstekken fan Cisco en Huawei yn ien netwurk - it liket derop dat de noarmen gewoan binne, mar jo moatte dûnsje mei in tamboeryn. Sûnt dit is in bank, en komptabiliteit tests soe wêze hiel lang, wy besletten dat it wie better om te keapjen fan deselde ferkeaper no, en net te fier fuort mei funksjonaliteit boppe de basis.
Migraasjeplan
Twa ACI-basearre datasintra:
Organisaasje fan ynteraksje tusken datasintra. De Multi-Pod-oplossing waard keazen - elk datasintrum is in pod. De easken foar skaalfergrutting troch it oantal skeakels en fertragingen tusken pods (RTT minder as 50 ms) wurde rekken holden. It waard besletten gjin Multi-Site-oplossing te bouwen foar maklik behear (in Multi-Pod-oplossing brûkt in inkele behearynterface, in Multi-Site soe twa ynterfaces hawwe, of soe in Multi-Site Orchestrator fereaskje), en sûnt gjin geografyske reservearring fan siden wie nedich.
Ut it eachpunt fan migrearjen fan tsjinsten út it Legacy-netwurk, waard de meast transparante opsje keazen, stadichoan oerdrage VLAN's dy't oerienkomme mei bepaalde tsjinsten.
Foar migraasje waard in korrespondearjende EPG (End-point-group) makke foar elke VLAN op it fabryk. Earst, it netwurk waard spand tusken it âlde netwurk en de stof oer L2, dan nei alle hosts waarden migrearre, de poarte waard ferpleatst nei de stof, en de EPG ynteraksje mei it besteande netwurk fia L3OUT, wylst de ynteraksje tusken L3OUT en EPG waard beskreaun mei help fan kontrakten. Approximate diagram:
In stekproef struktuer fan de measte ACI fabryk belied wurdt werjûn yn de figuer hjirûnder. De hiele opset is basearre op belied nestele binnen oare belied ensafuorthinne. Earst is it heul lestich om it út te finen, mar stadichoan, lykas de praktyk docht bliken, wurde netwurkbehearders wend oan dizze struktuer yn sawat in moanne, en dan begjinne se allinich te begripen hoe handich it is.
Fergeliking
Yn Cisco ACI oplossing moatte jo keapje mear apparatuer (aparte skakelaars foar Inter-Pod ynteraksje en APIC controllers), dat makket it djoerder. De oplossing fan Juniper fereasket de oankeap fan kontrôlers of accessoires net; It wie mooglik de besteande apparatuer fan de klant foar in part te brûken.
Hjir is de EVPN VXLAN-stofarsjitektuer foar twa datasintra fan it twadde projekt:
Mei ACI krije jo in klearmakke oplossing - gjin needsaak om te tinken, gjin needsaak om te optimalisearjen. Tidens de earste kunde fan 'e klant mei it fabryk binne gjin ûntwikkelders nedich, gjin stypjende minsken binne nedich foar koade en automatisearring. It is frij maklik te brûken; in protte ynstellingen kinne wurde dien fia de wizard, wat net altyd in plus is, foaral foar minsken dy't wend binne oan de kommandorigel. Yn alle gefallen duorret it tiid om it brein op nije spoaren op te bouwen, nei de spesifisiteit fan ynstellings fia belied en operearje mei in protte nested belied. Dêrnjonken is it tige winsklik om in dúdlike struktuer te hawwen foar it beneamen fan belied en objekten. As der in probleem ûntstiet yn 'e logika fan' e controller, kin it allinich oplost wurde troch technyske stipe.
Yn EVPN - konsole. Lije of bliid wêze. In bekende ynterface foar de âlde garde. Ja, d'r is in standert konfiguraasje en gidsen. Jo moatte mana smoke. Ferskillende ûntwerpen, alles is dúdlik en detaillearre.
Fansels, yn beide gefallen, by it migrearjen, is it better om earst net de meast krityske tsjinsten te migrearjen, bygelyks testomjouwings, en pas dan, nei it fangen fan alle bugs, trochgean nei produksje. En net ôfstimme op freedtejûn. Jo moatte net fertrouwe de ferkeaper dat alles sil wêze ok, it is altyd better om te spyljen it feilich.
Jo betelje mear foar ACI, hoewol't Cisco op it stuit aktyf befoarderet dizze oplossing en faak jout goede koartingen op it, mar jo besparje op ûnderhâld. Behear en elke automatisearring fan in EVPN-fabryk sûnder kontrôler fereasket ynvestearrings en reguliere kosten - tafersjoch, automatisearring, ymplemintaasje fan nije tsjinsten. Tagelyk nimt de earste lansearring by ACI 30–40 prosint langer. Dit bart om't it langer duorret om de folsleine set fan nedige profilen en belied te meitsjen dy't dan brûkt wurde. Mar as it netwurk groeit, nimt it oantal fereaske konfiguraasjes ôf. Jo brûke foarôf oanmakke belied, profilen, objekten. Jo kinne segmentaasje en feiligens fleksibel konfigurearje, kontrakten sintraal beheare dy't ferantwurdlik binne foar it tastean fan bepaalde ynteraksjes tusken EPG's - de hoemannichte wurk sakket skerp.
Yn EVPN moatte jo elk apparaat yn it fabryk konfigurearje, de kâns op flaters is grutter.
Wylst ACI trager wie om te ymplementearjen, naam EVPN hast twa kear sa lang om te debuggen. As jo yn it gefal fan Cisco altyd in stipe-yngenieur kinne skilje en freegje oer it netwurk as gehiel (om't it as in oplossing is bedekt), dan keapje jo fan Juniper Networks allinich hardware, en dat is wat dekt is. Hawwe de pakketten it apparaat ferlitten? No, ok, dan dyn problemen. Mar jo kinne in fraach iepenje oer de kar fan oplossing of netwurkûntwerp - en dan sille se jo advisearje om in profesjonele tsjinst te keapjen, foar in ekstra fergoeding.
ACI-stipe is heul cool, om't it apart is: in apart team sit allinich foar dit. Der binne ek Russysk-sprekkende spesjalisten. De gids is detaillearre, de oplossingen binne foarbepaald. Se sjogge en advisearje. Se validearje it ûntwerp fluch, wat faaks wichtich is. Juniper Networks docht itselde, mar folle stadiger (wy hienen dit, no soe it neffens geroften better moatte), wat jo twingt om alles sels te dwaan wêr't in oplossingsingenieur advisearje koe.
Cisco ACI stipet yntegraasje mei virtualisaasje- en containerization systemen (VMware, Kubernetes, Hyper-V) en sintralisearre behear. Beskikber mei netwurk en feiligens tsjinsten - balancing, firewalls, WAF, IPS, ensfh ... Goede mikro-segmentaasje út it fak. Yn 'e twadde oplossing is yntegraasje mei netwurktsjinsten in wyntsje, en it is better om foarums foarôf te besprekken mei dyjingen dy't dit dien hawwe.
It resultaat
Foar elk spesifyk gefal is it nedich om in oplossing te selektearjen, net allinich basearre op 'e kosten fan' e apparatuer, mar it is ek nedich om rekken te hâlden mei fierdere bedriuwskosten en de wichtichste problemen dy't de klant op it stuit hat, en hokker plannen dêr binne foar de ûntwikkeling fan de IT-ynfrastruktuer.
ACI, fanwege ekstra apparatuer, wie djoerder, mar de oplossing is klear makke sûnder de needsaak foar ekstra finishing; de twadde oplossing is komplekser en kostber yn termen fan operaasje, mar goedkeaper.
As jo wolle beprate hoefolle it kin kostje om in netwurkstof op ferskate leveransiers te ymplementearjen, en hokker soarte arsjitektuer nedich is, kinne jo moetsje en petearje. Wy advisearje jo fergees oant jo in rûge skets fan 'e arsjitektuer krije (wêrmei jo budzjetten kinne berekkenje), detaillearre útwurking is fansels al betelle.
Vladimir Klepche, bedriuwsnetwurken.
Boarne: www.habr.com