Mwen sèten ke tout lektè Habr omwen yon fwa te kòmande machandiz nan magazen sou entènèt aletranje epi yo te ale nan resevwa pasèl nan biwo Lapòs Ris la. Èske ou ka imajine echèl travay sa a an tèm de òganize lojistik? Miltipliye kantite achtè pa kantite acha yo, imajine yon kat jeyografik nan peyi vas nou an, ak sou li - plis pase 40 mil biwo lapòs ... By wout la, nan 2018, Russian Post trete 345 milyon pasèl entènasyonal yo.
Nan atik sa a, nou pral di w ki pwoblèm Post la te fè fas ak ki jan ekip LANIT-Entegrasyon an te rezoud yo, kreye yon nouvo enfrastrikti IT pou sant done.
Youn nan sant yo lojistik modèn nan Post Ris
Anvan pwojè a
Akòz yon ogmantasyon byen file nan kantite pasèl ki soti nan magazen etranje nan Lachin, Ewòp oksidantal ak Amerik di Nò, chaj la sou enstalasyon lojistik yo nan Post Ris la te ogmante. Se poutèt sa, yo te bati yon nouvo jenerasyon sant lojistik, ki sèvi ak machin klasman gwo kapasite. Yo bezwen sipò nan men enfrastrikti enfòmatik la.
Enfrastrikti sant done yo te demode epi yo pa t bay pèfòmans ak fyab ki nesesè nan operasyon sistèm enfòmasyon antrepriz yo. Epitou, Russian Post te fè eksperyans yon mank de pouvwa informatique pou lanse nouvo sèvis.
Sant done kliyan ak pwoblèm yo
Sant done Ris Post sèvi plis pase 40 objè, 000 biwo teritoryal yo. Plizyè douzèn sèvis biznis yo opere nan sant done, ki gen ladan sèvis e-commerce.
Deja jodi a, antrepriz la sèvi ak sistèm pou estoke, analize ak trete gwo done. Pou sistèm sa yo, itilizasyon entèlijans atifisyèl ak algoritm aprantisaj machin jwe yon wòl enpòtan. Pou dat, youn nan ka ki pi enpòtan pou antrepriz la se optimize jesyon koule lojistik ak akselerasyon sèvis kliyan nan biwo lapòs.
Anvan yo te kòmanse pwojè ajou a, te gen apeprè 3000 machin vityèl nan sant done prensipal yo ak backup, kantite enfòmasyon ki estoke te depase 2 petabytes. Sant done yo te gen yon estrikti routage trafik konplèks ki asosye ak divizyon an segman diferan selon nivo sekirite yo.
Avèk devlopman aplikasyon yo ak entwodiksyon nouvo sèvis, Pleasant ki deja egziste nan ekipman rezo nan sant done yo te vin ensifizan. Yo te mande yon tranzisyon nan koòdone ak nouvo vitès: 10 Gb / s, olye pou yo 1 Gb / s pou aksè ak 40 Gb / s nan nivo debaz, ak redondance konplè nan ekipman ak chanèl kominikasyon.
Soti nan depatman sekirite enfòmasyon an, yo te resevwa yon kondisyon pou divize enfrastrikti a an segman ak yon wo nivo sekirite enfòmasyon trafik ak aplikasyon yo (PN - Private Network and DMZ - Demilitarized Zone). Firewall (ITU) te pase trafik ki pa t nesesè pou filtre. VRF sou switch yo pa te itilize pou trafik sa yo. Règ yo nan ITU a pa t 'optimal (dè dizèn de milye règ nan chak sant done).
Migrasyon san pwoblèm nan machin vityèl (VMs) ant sant done pandan w ap kenbe adrès IP la ak chemen an pi bon pou trafik ant segman, ki gen ladan rezo done antrepriz (CDTN), pa t posib.
MSTP te itilize pou redondance, kèk pò yo te bloke (cho sibstiti). Nwayo ak switch aksè yo pa t 'fayout gwoupe, epi pa gen okenn agrégation koòdone (LAG) te itilize.
Avèk avenman twazyèm sant done a, yo te oblije yon nouvo achitekti ak konfigirasyon ekipman pou opere bag ant sant done yo (EVPN te pwopoze).
Pa te gen okenn konsèp sèl pou devlopman nan sant done, dokimante nan fòm lan nan yon pwojè ak dakò ak tout depatman nan kliyan an. Dokimantasyon aktyèl operasyon rezo a te enkonplè ak demode.
Atant kliyan yo
Ekip pwojè a te gen travay sa yo:
- prepare achitekti ak devlopman konsèp pou bati rezo a ak enfrastrikti sèvè nan twazyèm sant done a;
- fè yon odit operasyonèl nan rezo kliyan an ki egziste deja;
- elaji kapasite debaz rezo a pa plis pase 1500 pò Ethernet 10/40 Gb/s nan chak sant done (4500 pò an total);
- asire operasyon an nan yon bag ant twa sant done ak posibilite pou ogmante vitès la jiska 80 Gb / s nan chak nan segman yo nan lòd yo konbine resous informatique kliyan an soti nan diferan sant done nan yon sèl sistèm IT;
- bay 100% doub rezèv nan tout eleman rezo yo reyalize sib la Uptime nan nivo 99,995%;
- minimize reta trafik ant machin vityèl pou akselere aplikasyon biznis yo;
- kolekte estatistik, analize ak plis optimize règ filtraj trafik nan sant done (okòmansman te gen apeprè 80 règ);
- devlope yon achitekti sib pou asire migrasyon san pwoblèm aplikasyon pou biznis kritik kliyan an nan nenpòt nan twa sant done yo.
Kidonk, nou te gen yon bagay pou nou travay.
Ekipman
Ann pran yon gade pi pre ki ekipman nou te itilize nan pwojè a.
Firewall (NGWF) USG9560:
- divizyon pa VSYS;
- jiska 720 Gbps;
- jiska 720 milyon sesyon similtane;
- 8 fant.
Routeur NE40E-X8:
- jiska 7,08 Tbit/s Chanje Kapasite;
- jiska 2,880 Mpps Transmisyon Pèfòmans;
- 8 fant pou kat liy (LPU);
- jiska 10M BGP IPv4 wout pou chak MPU;
- jiska 1500K OSPF IPv4 wout pou chak MPU;
- jiska 3000K - IPv4 FIB (depann sou LPU).
CE12800 Seri switch:
- Virtualization Aparèy: VS (1:16 Virtualization), Cluster Switch System (CSS), Super Virtual Fabric (SVF);
- Rezo Virtualization: M-LAG, TRILL, VXLAN ak VXLAN bridging, QinQ nan VXLAN, EVN (Ethernet Virtual Network);
- kòmanse ak VRP V2, sipò EVPN enkli;
- M-LAG - analòg nan vPC (vityèl Port Channel) pou Cisco Nexus;
- Virtual Spanning Tree Protocol (VSTP) - Konpatib ak Cisco PVST.
CE12804
CE12808
Программное обеспечение
Nan pwojè a nou te itilize:
- konvètè fichye konfigirasyon pou firewall lòt machann nan fòma kòmand pou nouvo ekipman;
- scripts nan pwòp konsepsyon nou an pou optimize ak transfòme konfigirasyon firewall yo.
Aparans konvètisè a pou konvèti fichye konfigirasyon
Konplo kominikasyon ant sant done (EVPN VXLAN)
Nuans yo nan mete kanpe ekipman yo
CE12808
- EVPN (estanda) olye de EVN (propriyetè Huawei) pou kominikasyon ant sant done yo:
○ L2 sou L3 lè l sèvi avèk iBGP nan plan kontwòl;
○ Fòmasyon MAC ak anons atravè fanmi iBGP EVPN (wout MAC, tip 2);
○ konstriksyon otomatik tinèl VXLAN pou trafik unicast difizyon / enkoni (Wout Multicast enklizif, tip 3). - De mòd divizyon sou VS:
○ baze sou pò (pò-mòd pò) oswa ki baze sou ASIC (pò-mòd gwoup, ekspozisyon aparèy pò-kat);
○ koòdone dimansyon pò fann 40GE SÈLMAN ap travay nan Admin VS (kèlkeswa pò-mòd).
USG9560
- posiblite pou divize pa VSYS,
- ant routage dinamik VSYS ak wout koule se enposib!
CE12804
Tout GW aktif (VRRP Mèt/Mèt/Mèt) ak MAC VRRP filtraj ant sant done yo
acl number 4000
rule 5 deny source-mac 0000-5e00-0100 ffff-ffff-ff00
rule 10 deny destination-mac 0000-5e00-0100 ffff-ffff-ff00
rule 15 permit
interface Eth-Trunk1
traffic-filter acl 4000 outbound
Plan entèraksyon resous ant sant done (VXLAN EVPN ak All Active GW)
Konpleksite pwojè
Difikilte prensipal la se te bezwen pou fè bak aplikasyon ki deja egziste lè l sèvi avèk enfrastrikti informatique. Kliyan an te gen plis pase 100 aplikasyon diferan, kèk nan yo te ekri prèske 10 ane de sa. Pou egzanp, si pou Yandex li posib fasil fèmen plizyè santèn machin vityèl san yo pa mal itilizatè fen yo, Lè sa a, nan Ris Post, yon apwòch sa ta mande devlopman nan yon kantite aplikasyon nan grate ak chanjman nan achitekti nan sistèm enfòmasyon antrepriz. Nou rezoud pwoblèm yo ki te parèt nan pwosesis migrasyon ak optimize nan etap nan yon odit ansanm nan enfrastrikti enfòmatik la. Tout teknoloji rezo nouvo nan antrepriz la (tankou EVPN) te pre-teste nan laboratwa a.
Rezilta pwojè yo
Ekip pwojè a te gen ladann espesyalis , kliyan an ak patnè li yo nan operasyon an nan enfrastrikti nan informatique. Ekip sipò devwe soti nan machann yo (Check Point ak Huawei) yo te fòme tou. Pwojè a te pran dezan. Men sa ki te fèt pandan tan sa a.
- Yon estrateji pou devlopman yon rezo sant done, yon rezo transmisyon done antrepriz (CSTN) ak yon bag ant sant done yo te devlope ak dakò ak tout depatman kliyan an.
- Ogmantasyon disponiblite sèvis. Sa a te note pa biznis kliyan an ak mennen nan yon ogmantasyon menm pi gwo nan trafik akòz entwodiksyon an nan nouvo sèvis.
- Plis pase 40 règ yo te imigre ak optimize soti nan FWSM/ASA nan USG 000. Diferan kontèks ASA sou UGG 9560 yo te fizyone nan yon sèl politik sekirite.
- Debi nan pò sant done yo te ogmante soti nan 1G a 10/40G atravè itilizasyon CE12800/CE6850. Sa te fè li posib pou elimine surcharges koòdone ak pèt pakè yo.
- Transporteur-klas routeurs NE40E-X8 konplètman kouvri bezwen yo nan sant done kliyan an ak KSPD, pran an kont devlopman biznis nan lavni.
- Yo te mande uit nouvo Demann Karakteristik pou USG 9560. Nan sa yo, sèt yo te deja aplike epi yo enkli nan vèsyon aktyèl la nan VRP. 1 FR ap aplike pa Huawei R&D. Sa a se yon gwoup pou uit chasi ak kapasite nan konfigirasyon fonksyonalite ki nesesè pou senkronize konfigirasyon an san yo pa senkronize sesyon yo. Obligatwa si reta trafik la nan youn nan sant done yo twò wo (Adler - Moskou 1300 km sou wout prensipal la ak 2800 km sou wout la backup).
Pwojè a pa gen okenn analogue an konparezon ak lòt konpayi lapòs nan Larisi.
Modènizasyon nan enfrastrikti rezo sant done yo te louvri nouvo opòtinite pou antrepriz la devlope sèvis dijital.
- Bay yon kont pèsonèl ak yon aplikasyon mobil pou moun ak antite legal.
- Entegrasyon ak magazen elektwonik pou bay sèvis livrezon machandiz yo.
- Akonplisman se depo machandiz, fòmasyon ak livrezon lòd ki soti nan magazen elektwonik.
- Ekspansyon nan pwen nan pwoblèm nan lòd, ki gen ladan ak itilizasyon rezo patnè.
- Flux dokiman legalman enpòtan ak kontraktè yo. Sa a pral elimine livrezon an dousman ak koute chè nan dokiman papye.
- Akseptasyon lèt anrejistre nan fòm elektwonik ak livrezon tou de sou fòm elektwonik ak fòm papye (ak enprime atik yo pi pre ke posib nan benefisyè final la). Sèvis lèt elektwonik anrejistre sou pòtal sèvis piblik yo.
- Platfòm pou bay sèvis telemedsin.
- Senplifye akseptasyon ak livrezon senplifye nan atik lapòs anrejistre lè l sèvi avèk yon siyati elektwonik senp.
- Dijitalizasyon rezo biwo lapòs la.
- Pwosesis sèvis oto-sèvis (tèminal ak machin pasèl).
- Kreyasyon yon platfòm dijital pou jere sèvis courrier ak yon nouvo aplikasyon mobil pou kliyan sèvis courrier.
Vin travay avèk nou!
Sous: www.habr.com