Nas dúas partes anteriores (
Anteriormente, non tiñamos ningunha infraestrutura de servidor separada: os interruptores de servidor estaban conectados ao mesmo núcleo que os interruptores de distribución de usuarios. O control de acceso levouse a cabo mediante redes virtuais (VLAN), o enrutamento VLAN realizouse nun punto: no núcleo (segundo o principio
Antiga infraestrutura de rede
Simultaneamente coa nova rede de oficinas, decidimos construír unha nova sala de servidores e unha nova fábrica separada para ela. Resultou ser pequeno (tres armarios de servidor), pero cumprindo con todos os canons: un núcleo separado nos interruptores CE8850, unha topoloxía totalmente enmallada (columna de folla), interruptores CE6870 da parte superior do bastidor (ToR), un par separado. de conmutadores para a interconexión co resto da rede (salas fronteiras). En resumo, carne picada completa.
Rede da nova fábrica de servidores
Decidimos abandonar o SCS do servidor en favor de conectar servidores directamente aos conmutadores ToR. Por que? Xa temos dúas salas de servidores construídas usando o servidor SCS, e decatámonos de que isto é:
- inconveniente de usar (moitas reconexións, cómpre actualizar coidadosamente o rexistro do cable);
- caro en canto ao espazo ocupado polos paneis de parcheo;
- é un obstáculo cando é necesario aumentar a velocidade de conexión dos servidores (por exemplo, cambiar de conexións de 1 Gbit/s por cobre a 10 Gbit/s por óptica).
Cando nos mudamos a unha nova fábrica de servidores, tentamos afastarnos de conectar servidores a unha velocidade de 1 Gbit/s e limitámonos a interfaces de 10 Gbit. Case todos os servidores antigos que non poden facelo foron virtualizados, e o resto conectáronse mediante transceptores gigabit a portos de 10 gigabit. Fixemos os cálculos e decidimos que sería máis barato que instalar conmutadores gigabit separados para eles.
Interruptores ToR
Tamén na nosa nova sala de servidores, instalamos conmutadores de xestión fóra de banda (OOM) separados con 24 portos, un por rack. Esta idea resultou moi boa, pero non había portos suficientes, a próxima vez instalaremos conmutadores OOM con 48 portos.
Conectamos interfaces para a xestión remota de servidores como iLO, ou iBMC en terminoloxía Huawei, á rede OOM. Se o servidor perdeu a súa conexión principal á rede, será posible acceder a el a través desta interface. Ademais, as interfaces de control dos interruptores ToR, os sensores de temperatura, as interfaces de control de UPS e outros dispositivos similares están conectados aos interruptores OOM. A rede OOM é accesible a través dunha interface de firewall separada.
Conexión de rede OOM
Emparejamento de redes de servidor e usuarios
Nunha fábrica personalizada, utilízanse VRF separados para diferentes fins: para conectar estacións de traballo de usuarios, sistemas de videovixilancia, sistemas multimedia en salas de reunións, para organizar stands e áreas de demostración, etc.
Outro conxunto de VRF creouse na fábrica de servidores:
- Para conectar servidores habituais nos que se implantan servizos corporativos.
- Un VRF separado, no que se despregan servidores con acceso desde Internet.
- Un VRF separado para servidores de bases de datos aos que só acceden outros servidores (por exemplo, servidores de aplicacións).
- VRF separado para o noso sistema de correo (MS Exchange + Skype for Business).
Polo tanto, temos un conxunto de VRF no lado da fábrica do usuario e un conxunto de VRF no lado da fábrica do servidor. Ambos conxuntos están instalados en clusters de firewall corporativo (FW). Os ME están conectados a conmutadores de borde (border leaves) tanto do tecido do servidor como do usuario.
Interfaz de fábricas a través de ME - física
Interfaz de fábricas mediante ME - lóxica
Como foi a migración?
Durante a migración, conectamos as fábricas de servidores novas e antigas a nivel de enlace de datos, a través de troncos temporais. Para migrar servidores situados nunha VLAN específica, creamos un dominio ponte separado, que incluía a VLAN da antiga fábrica de servidores e a VXLAN da nova fábrica de servidores.
A configuración parece algo así, sendo as dúas últimas liñas clave:
bridge-domain 22
vxlan vni 600022
evpn
route-distinguisher 10.xxx.xxx.xxx:60022
vpn-target 6xxxx:60022 export-extcommunity
vpn-target 6xxxx:60022 import-extcommunity
interface Eth-Trunk1
mode lacp-static
dfs-group 1 m-lag 1
interface Eth-Trunk1.1022 mode l2
encapsulation dot1q vid 22
bridge-domain 22
Migración de máquinas virtuais
Despois, usando VMware vMotion, as máquinas virtuais desta VLAN migráronse de hipervisores antigos (versión 5.5) a outros novos (versión 6.5). Ao mesmo tempo, virtualizáronse os servidores de hardware.
Cando intentas repetirConfigure o MTU con antelación e comprobe o paso de paquetes grandes "de extremo a extremo".
Na antiga rede de servidores, usamos o firewall virtual VMware vShield. Dado que VMware xa non admite esta ferramenta, cambiamos de vShield aos firewalls de hardware ao mesmo tempo que migramos á nova granxa virtual.
Despois de que non quedaban servidores nunha VLAN particular da rede antiga, cambiamos o enrutamento. Anteriormente, realizábase no núcleo antigo, construído mediante a tecnoloxía Collapsed Backbone, e na nova fábrica de servidores utilizamos a tecnoloxía Anycast Gateway.
Cambio de enrutamento
Despois de cambiar o enrutamento para unha VLAN específica, desconectouse do dominio ponte e excluíuse do tronco entre as redes antiga e nova, é dicir, trasladouse completamente á nova fábrica de servidores. Así, migramos unhas 20 VLAN.
Así que creamos unha nova rede, un novo servidor e unha nova granxa de virtualización. Nun dos seguintes artigos falaremos do que fixemos coa wifi.
Máximo Klochkov
Consultor senior do grupo de auditoría de redes e proxectos complexos
Centro de solucións de rede
"Jet Infosystems"
Fonte: www.habr.com