Procijenite veze u srednjem dijelu dijagrama. Njima ćemo se vratiti u nastavku
U nekom trenutku možete otkriti da su velike, složene mreže temeljene na L2 neizlječivo bolesne. Prije svega problemi povezani s obradom BUM prometa i radom STP protokola. Drugo, arhitektura je općenito zastarjela. To uzrokuje neugodne probleme u obliku zastoja i neprikladnog rukovanja.
Imali smo dva paralelna projekta, gdje su kupci trezveno procijenili sve dobre i loše strane opcija i odabrali dva različita rješenja prekrivanja, a mi smo ih implementirali.
Bilo je prilike usporediti provedbu. Ne izrabljivanje, o tome bi trebalo govoriti za dvije-tri godine.
Dakle, što je mrežna struktura s mrežama preklapanja i SDN-om?
Što učiniti s gorućim problemima klasične mrežne arhitekture?
Svake godine pojavljuju se nove tehnologije i ideje. U praksi se hitna potreba za ponovnom izgradnjom mreža nije pojavila dugo vremena, jer je također moguće raditi sve ručno starim dobrim metodama. Pa što ako je dvadeset i prvo stoljeće? Uostalom, administrator treba raditi, a ne sjediti u svom uredu.
Tada je počeo procvat u izgradnji velikih podatkovnih centara. Tada je postalo jasno da je dosegnuta granica razvoja klasične arhitekture, ne samo u pogledu performansi, tolerancije na pogreške i skalabilnosti. A jedna od opcija za rješavanje ovih problema bila je ideja o izgradnji preklapajućih mreža na vrhu usmjerene okosnice.
Osim toga, s povećanjem opsega mreža, problem upravljanja takvim tvornicama postao je akutan, zbog čega su se počela pojavljivati softverski definirana mrežna rješenja s mogućnošću upravljanja cjelokupnom mrežnom infrastrukturom kao jednom cjelinom. A kada se mrežom upravlja s jedne točke, drugim je komponentama IT infrastrukture lakše komunicirati s njom, a takve interakcijske procese lakše je automatizirati.
Gotovo svaki veliki proizvođač ne samo mrežne opreme, već i virtualizacije, ima opcije za takva rješenja u svom portfelju.
Ostaje samo shvatiti što je prikladno za koje potrebe. Na primjer, za posebno velike tvrtke s dobrim razvojnim i operativnim timom, paketna rješenja dobavljača ne zadovoljavaju uvijek sve potrebe, pa se pribjegavaju razvoju vlastitih SD (softverski definiranih) rješenja. Na primjer, radi se o pružateljima usluga u oblaku koji konstantno proširuju spektar usluga koje pružaju svojim klijentima, a paketna rješenja jednostavno ne mogu pratiti njihove potrebe.
Za srednje velike tvrtke, funkcionalnost koju dobavljač nudi u obliku rješenja u kutiji dovoljna je u 99 posto slučajeva.
Što su preklapajuće mreže?
Koja je ideja iza preklapajućih mreža? U biti, uzmete klasičnu usmjerenu mrežu i izgradite drugu mrežu na njoj kako biste dobili više značajki. Najčešće govorimo o učinkovitoj raspodjeli opterećenja na opremi i komunikacijskim linijama, značajnom povećanju granice skalabilnosti, povećanju pouzdanosti i hrpi sigurnosnih dodataka (zbog segmentacije). A SDN rješenja, uz to, pružaju mogućnost za vrlo, vrlo, vrlo praktičnu fleksibilnu administraciju i čine mrežu transparentnijom za svoje korisnike.
Općenito, da su lokalne mreže izumljene 2010-ih, izgledale bi puno drugačije od onoga što smo naslijedili od vojske 1970-ih.
Što se tiče tehnologija za izgradnju tkanina korištenjem preklapajućih mreža, trenutno postoji mnogo implementacija dobavljača i internetskih RFC projekata (EVPN+VXLAN, EVPN+MPLS, EVPN+MPLSoGRE, EVPN+Geneve i drugi). Da, postoje standardi, ali implementacija tih standarda od strane različitih proizvođača može se razlikovati, tako da je pri stvaranju takvih tvornica još uvijek moguće potpuno napustiti zaključavanje dobavljača samo u teoriji na papiru.
Sa SD rješenjem stvari su još zbunjujuće, svaki dobavljač ima svoju viziju. Postoje potpuno otvorena rješenja koja teoretski možete sami dovršiti, a postoje i potpuno zatvorena.
Cisco nudi svoju verziju SDN-a za podatkovne centre - ACI. Naravno, ovo je 100% rješenje zaključano prema dobavljaču u smislu odabira mrežne opreme, ali je u isto vrijeme potpuno integrirano sa sustavima virtualizacije, kontejnerizacije, sigurnosti, orkestracije, balansera opterećenja, itd. Ali u biti, to je još uvijek vrsta crne kutije, bez mogućnosti potpunog pristupa svim internim procesima. Ne pristaju svi kupci na ovu opciju, budući da u potpunosti ovisite o kvaliteti napisanog koda rješenja i njegovoj implementaciji, ali s druge strane, proizvođač ima jednu od najboljih tehničkih podrška na svijetu i ima posvećeni tim posvećen samo ovom rješenju. Kao rješenje za prvi projekt odabran je Cisco ACI.
Za drugi projekt odabrano je rješenje Juniper. Proizvođač također ima svoj SDN za podatkovni centar, ali kupac je odlučio ne implementirati SDN. Kao tehnologija izgradnje mreže odabrana je EVPN VXLAN tkanina bez upotrebe centraliziranih kontrolera.
Čemu služi?
Stvaranje tvornice omogućuje vam izgradnju lako skalabilne, pouzdane mreže otporne na greške. Arhitektura (leaf-spine) uzima u obzir karakteristike podatkovnih centara (prometne staze, minimiziranje kašnjenja i uskih grla u mreži). SD rješenja u podatkovnim centrima omogućuju vam da vrlo povoljno, brzo i fleksibilno upravljate takvom tvornicom i integrirate je u ekosustav podatkovnog centra.
Oba su korisnika trebala izgraditi redundantne podatkovne centre kako bi se osigurala tolerancija na greške, a uz to je promet između podatkovnih centara morao biti šifriran.
Prvi kupac već je razmatrao rješenja bez tkanine kao mogući standard za svoje mreže, ali u testovima su imali problema sa STP kompatibilnošću između nekoliko dobavljača hardvera. Bilo je zastoja koji su uzrokovali rušenje usluga. A za kupca je to bilo kritično.
Cisco je već bio korporativni standard korisnika, pogledali su ACI i druge opcije i odlučili da se isplati uzeti ovo rješenje. Svidjela mi se automatizacija upravljanja s jednog gumba preko jednog kontrolera. Usluge se brže konfiguriraju i njima se brže upravlja. Odlučili smo osigurati šifriranje prometa pokretanjem MACSec-a između IPN i SPINE preklopnika. Tako smo uspjeli izbjeći usko grlo u obliku kripto pristupnika, uštedjeti na njima i iskoristiti maksimalnu propusnost.
Drugi kupac odabrao je Juniperovo rješenje bez kontrolera jer je njihov postojeći podatkovni centar već imao malu instalaciju koja implementira EVPN VXLAN strukturu. Ali tamo nije bio tolerantan na greške (korišten je jedan prekidač). Odlučili smo proširiti infrastrukturu glavnog podatkovnog centra i izgraditi tvornicu u rezervnom podatkovnom centru. Postojeći EVPN nije bio u potpunosti iskorišten: VXLAN enkapsulacija zapravo nije korištena, jer su svi hostovi bili spojeni na jedan switch, a sve MAC adrese i /32 host adrese bile su lokalne, gateway za njih bio je isti switch, nije bilo drugih uređaja , gdje je bilo potrebno izgraditi VXLAN tunele. Odlučili su osigurati šifriranje prometa korištenjem IPSEC tehnologije između vatrozida (performanse vatrozida bile su dovoljne).
Pokušali su i s ACI-jem, ali su zaključili da će zbog zaključavanja dobavljača morati kupiti previše hardvera, uključujući zamjenu nedavno kupljene nove opreme, a to jednostavno nije imalo ekonomskog smisla. Da, Cisco fabric se integrira sa svime, ali samo njegovi uređaji su mogući unutar same tkanine.
S druge strane, kao što smo ranije rekli, ne možete samo miješati EVPN VXLAN tkaninu s bilo kojim susjednim dobavljačem, jer su implementacije protokola različite. To je kao da spajate Cisco i Huawei u jednoj mreži - čini se da su standardi zajednički, ali morat ćete plesati uz tamburu. Budući da se radi o banci i da bi testovi kompatibilnosti bili jako dugi, odlučili smo da je sada bolje kupiti od istog dobavljača, a ne previše se zanositi funkcionalnostima izvan osnovnih.
Plan migracije
Dva podatkovna centra temeljena na ACI-ju:
Organizacija interakcije između podatkovnih centara. Izabrano je Multi-Pod rješenje - svaki podatkovni centar je pod. Uzimaju se u obzir zahtjevi za skaliranje prema broju prekidača i kašnjenja između blokova (RTT manje od 50 ms). Odlučeno je da se ne gradi Multi-Site rješenje radi lakšeg upravljanja (Multi-Pod rješenje koristi jedno sučelje za upravljanje, Multi-Site bi imalo dva sučelja ili bi zahtijevalo Multi-Site Orchestrator), a budući da nema geografskih bila je potrebna rezervacija mjesta.
Sa stajališta migracije usluga s Legacy mreže, odabrana je najtransparentnija opcija, postupno prebacujući VLAN-ove koji odgovaraju određenim uslugama.
Za migraciju, odgovarajući EPG (End-point-group) je stvoren za svaki VLAN u tvornici. Prvo, mreža je bila rastegnuta između stare mreže i tkanine preko L2, zatim nakon što su svi hostovi migrirani, pristupnik je premješten na tkaninu, a EPG je komunicirao s postojećom mrežom preko L3OUT, dok je interakcija između L3OUT i EPG je opisan korištenjem ugovora. Približan dijagram:
Uzorak strukture većine ACI tvorničkih pravila prikazan je na donjoj slici. Cjelokupna postavka temelji se na pravilima ugniježđenim unutar drugih pravila i tako dalje. U početku je to vrlo teško shvatiti, ali postupno, kao što praksa pokazuje, mrežni administratori se naviknu na ovu strukturu za otprilike mjesec dana, a onda tek počinju shvaćati koliko je to zgodno.
usporedba
U Cisco ACI rješenju potrebno je kupiti više opreme (posebni preklopnici za Inter-Pod interakciju i APIC kontrolere) što ga čini skupljim. Juniperovo rješenje nije zahtijevalo kupnju kontrolera ili dodatne opreme; Bilo je moguće djelomično koristiti postojeću opremu kupca.
Ovdje je EVPN VXLAN struktura strukture za dva podatkovna centra drugog projekta:
Uz ACI dobivate gotovo rješenje - nema potrebe za petljanjem, optimizacijom. Tijekom početnog upoznavanja kupca s tvornicom nisu potrebni programeri, nisu potrebni ljudi za podršku kodu i automatizaciji. Prilično je jednostavan za korištenje; mnoge se postavke mogu napraviti putem čarobnjaka, što nije uvijek plus, pogotovo za ljude koji su navikli na naredbeni redak. U svakom slučaju, potrebno je vrijeme da se mozak ponovno izgradi na novim stazama, na osobitosti postavki kroz politike i rad s mnogo ugniježđenih politika. Uz to, vrlo je poželjno imati jasnu strukturu za imenovanje politika i objekata. Ako se pojavi bilo kakav problem u logici kontrolera, on se može riješiti samo putem tehničke podrške.
U EVPN - konzola. Pati ili se raduj. Poznato sučelje za staru gardu. Da, postoji standardna konfiguracija i vodiči. Morat ćete popušiti manu. Različiti dizajni, sve je jasno i detaljno.
Naravno, u oba slučaja, prilikom migracije, bolje je prvo migrirati ne najkritičnije usluge, na primjer, testna okruženja, a tek onda, nakon otkrivanja svih grešaka, nastaviti s proizvodnjom. I nemojte se uključiti u petak navečer. Ne treba vjerovati prodavaču da će sve biti u redu, uvijek je bolje igrati na sigurno.
Plaćate više za ACI, iako Cisco trenutno aktivno promovira ovo rješenje i često daje dobre popuste na njega, ali štedite na održavanju. Upravljanje i svaka automatizacija EVPN tvornice bez kontrolera zahtijeva ulaganja i redovite troškove - nadzor, automatizacija, implementacija novih usluga. U isto vrijeme, početno lansiranje u ACI-ju traje 30-40 posto dulje. To se događa jer je potrebno više vremena za stvaranje cijelog skupa potrebnih profila i pravila koja će se zatim koristiti. Ali kako mreža raste, broj potrebnih konfiguracija se smanjuje. Koristite unaprijed stvorene politike, profile, objekte. Možete fleksibilno konfigurirati segmentaciju i sigurnost, centralno upravljati ugovorima koji su odgovorni za dopuštanje određenih interakcija između EPG-ova - količina posla naglo pada.
U EVPN-u morate konfigurirati svaki uređaj u tvornici, vjerojatnost pogreške je veća.
Dok je ACI bio sporiji za implementaciju, EVPN-u je trebalo gotovo dvostruko više vremena za otklanjanje pogrešaka. Ako u slučaju Cisca uvijek možete nazvati inženjera za podršku i pitati za mrežu u cjelini (jer je pokrivena kao rješenje), onda od Juniper Networksa kupujete samo hardver, i to ono što je pokriveno. Jesu li paketi napustili uređaj? Pa dobro, onda tvoji problemi. Ali možete otvoriti pitanje u vezi s izborom rješenja ili dizajna mreže - i tada će vam savjetovati kupnju profesionalne usluge, uz dodatnu naknadu.
ACI podrška je jako cool, jer je odvojena: poseban tim sjedi samo za ovo. Tu su i stručnjaci koji govore ruski. Vodič je detaljan, rješenja unaprijed određena. Gledaju i savjetuju. Brzo potvrđuju dizajn, što je često važno. Juniper Networks radi istu stvar, ali puno sporije (ovo smo imali, sada bi trebalo biti bolje prema glasinama), što vas tjera da sve radite sami tamo gdje bi inženjer rješenja mogao savjetovati.
Cisco ACI podržava integraciju sa sustavima za virtualizaciju i kontejnerizaciju (VMware, Kubernetes, Hyper-V) i centralizirano upravljanje. Dostupan s mrežnim i sigurnosnim uslugama - balansiranje, vatrozidi, WAF, IPS, itd... Dobra mikrosegmentacija odmah nakon postavljanja. U drugom rješenju integracija s mrežnim uslugama je lagana i bolje je unaprijed razgovarati o forumima s onima koji su to učinili.
Ukupan
Za svaki konkretan slučaj potrebno je odabrati rješenje, ne samo na temelju cijene opreme, već je potrebno uzeti u obzir i daljnje operativne troškove te glavne probleme s kojima se kupac trenutno susreće i kakvi su planovi su za razvoj IT infrastrukture.
ACI je zbog dodatne opreme bio skuplji, ali je rješenje već gotovo bez potrebe za dodatnom doradom, drugo rješenje je složenije i operativnije skuplje, ali jeftinije.
Ako želite razgovarati o tome koliko bi moglo koštati implementacija mrežne strukture na različitim dobavljačima i kakva je arhitektura potrebna, možete se sastati i razgovarati. Savjetovat ćemo vas besplatno dok ne dobijete okvirnu skicu arhitekture (s kojom možete izračunati budžete), detaljna razrada se, naravno, već plaća.
Vladimir Klepche, korporativne mreže.
Izvor: www.habr.com