Գնահատեք դիագրամի միջին մասի միացումները: Նրանց կանդրադառնանք ստորև:
Ինչ-որ պահի դուք կարող եք պարզել, որ L2-ի վրա հիմնված խոշոր, բարդ ցանցերը մահացու հիվանդ են: Առաջին հերթին, BUM տրաֆիկի մշակման և STP արձանագրության շահագործման հետ կապված խնդիրներ: Երկրորդ՝ ճարտարապետությունն ընդհանրապես հնացած է։ Սա տհաճ խնդիրներ է առաջացնում՝ ընդհատումների և անհարմար բեռնաթափման տեսքով:
Ունեինք երկու զուգահեռ նախագիծ, որտեղ հաճախորդները սթափ գնահատեցին տարբերակների բոլոր դրական և բացասական կողմերը և ընտրեցին երկու տարբեր վերադրման լուծումներ, և մենք դրանք իրականացրեցինք։
Հնարավորություն եղավ համեմատելու իրականացումը։ Ոչ թե շահագործում, դրա մասին պետք է խոսել երկու-երեք տարի հետո։
Այսպիսով, ի՞նչ է ցանցային գործվածքը ծածկված ցանցերով և SDN-ով:
Ի՞նչ անել դասական ցանցային ճարտարապետության հրատապ խնդիրների հետ:
Ամեն տարի հայտնվում են նոր տեխնոլոգիաներ և գաղափարներ։ Գործնականում ցանցերի վերակառուցման հրատապ անհրաժեշտությունը բավականին երկար ժամանակ չէր առաջանում, քանի որ հնարավոր է նաև ամեն ինչ ձեռքով անել՝ օգտագործելով հնաոճ լավ մեթոդները։ Ուրեմն ինչ կլինի, եթե դա քսանմեկերորդ դարն է: Ի վերջո, ադմինը պետք է աշխատի, այլ ոչ թե նստի իր աշխատասենյակում։
Հետո սկսվեց մեծածավալ տվյալների կենտրոնների կառուցման բում: Այնուհետև պարզ դարձավ, որ դասական ճարտարապետության զարգացման սահմանը հասել է ոչ միայն կատարողականության, սխալների հանդուրժողականության և մասշտաբայնության առումով: Եվ այս խնդիրների լուծման տարբերակներից մեկը երթուղղված ողնաշարի վերևում ծածկող ցանցեր կառուցելու գաղափարն էր:
Բացի այդ, ցանցերի մասշտաբի աճով սրվել է նման գործարանների կառավարման խնդիրը, ինչի արդյունքում սկսեցին հայտնվել ծրագրային ապահովման կողմից սահմանված ցանցային լուծումներ՝ ամբողջ ցանցային ենթակառուցվածքը որպես մեկ ամբողջություն կառավարելու ունակությամբ: Եվ երբ ցանցը կառավարվում է մեկ կետից, ՏՏ ենթակառուցվածքի այլ բաղադրիչների համար ավելի հեշտ է փոխազդել դրա հետ, և նման փոխգործակցության գործընթացներն ավելի հեշտ են ավտոմատացնել:
Ոչ միայն ցանցային սարքավորումների, այլև վիրտուալացման գրեթե յուրաքանչյուր խոշոր արտադրող իր պորտֆելում ունի նման լուծումների տարբերակներ:
Մնում է միայն պարզել, թե ինչն է հարմար ինչ կարիքների համար: Օրինակ, հատկապես խոշոր ընկերությունների համար, որոնք ունեն լավ մշակման և շահագործման թիմ, վաճառողների փաթեթավորված լուծումները միշտ չէ, որ բավարարում են բոլոր կարիքները, և նրանք դիմում են իրենց սեփական SD (ծրագրային ապահովման) լուծումների մշակմանը: Օրինակ, սրանք ամպային պրովայդերներ են, որոնք մշտապես ընդլայնում են իրենց հաճախորդներին մատուցվող ծառայությունների շրջանակը, իսկ փաթեթավորված լուծումները պարզապես չեն կարողանում համապատասխանել նրանց կարիքներին:
Միջին ընկերությունների համար 99 տոկոս դեպքերում վաճառողի առաջարկած ֆունկցիոնալությունը արկղային լուծույթի տեսքով բավարար է:
Որոնք են ծածկույթի ցանցերը:
Ո՞րն է ծածկույթի ցանցերի գաղափարը: Ըստ էության, դուք վերցնում եք դասական ուղղորդված ցանց և դրա վրա կառուցում եք մեկ այլ ցանց՝ ավելի շատ հնարավորություններ ստանալու համար: Ամենից հաճախ մենք խոսում ենք սարքավորումների և կապի գծերի վրա բեռը արդյունավետ բաշխելու, մասշտաբայնության սահմանաչափի էականորեն մեծացման, հուսալիության բարձրացման և անվտանգության մի շարք բարիքների մասին (սեգմենտավորման պատճառով): Իսկ SDN լուծումները, բացի սրանից, հնարավորություն են տալիս շատ, շատ, շատ հարմար ճկուն վարչարարության և ցանցն ավելի թափանցիկ դարձնում իր սպառողների համար։
Ընդհանուր առմամբ, եթե տեղական ցանցերը հայտնագործվեին 2010-ականներին, ապա դրանք շատ տարբեր տեսք կունենային այն բանից, ինչ մենք ժառանգել էինք 1970-ականներին զինվորականներից:
Ինչ վերաբերում է ծածկույթների ցանցերի օգտագործմամբ գործվածքների կառուցման տեխնոլոգիաներին, ներկայումս կան բազմաթիվ վաճառողներ և ինտերնետ RFC նախագծեր (EVPN+VXLAN, EVPN+MPLS, EVPN+MPLSoGRE, EVPN+Geneve և այլն): Այո, կան ստանդարտներ, բայց տարբեր արտադրողների կողմից այդ ստանդարտների իրականացումը կարող է տարբեր լինել, ուստի նման գործարաններ ստեղծելիս դեռևս հնարավոր է ամբողջությամբ հրաժարվել վաճառողի կողպեքից միայն տեսականորեն թղթի վրա:
SD լուծման դեպքում ամեն ինչ ավելի շփոթեցնող է, յուրաքանչյուր վաճառող ունի իր տեսլականը: Լիովին բաց լուծումներ կան, որոնք տեսականորեն կարող ես ինքդ լրացնել, իսկ կան ամբողջովին փակ։
Cisco-ն առաջարկում է SDN-ի իր տարբերակը տվյալների կենտրոնների համար՝ ACI: Բնականաբար, սա 100% վաճառողի կողմից կողպված լուծում է ցանցային սարքավորումների ընտրության առումով, բայց միևնույն ժամանակ այն լիովին ինտեգրված է վիրտուալացման համակարգերի, կոնտեյներացման, անվտանգության, նվագախմբի, բեռի հավասարակշռողների և այլնի հետ: Բայց, ըստ էության, այն դեռևս մի տեսակ սև արկղ՝ առանց բոլոր ներքին գործընթացների լիարժեք մուտքի հնարավորության։ Ոչ բոլոր հաճախորդներն են համաձայն այս տարբերակին, քանի որ դուք լիովին կախված եք լուծման գրված կոդի որակից և դրա իրականացումից, բայց մյուս կողմից, արտադրողն ունի լավագույն տեխնիկական աջակցությունն աշխարհում և ունի միայն նվիրված թիմ: այս լուծմանը: Cisco ACI-ն ընտրվել է որպես առաջին նախագծի լուծում:
Երկրորդ նախագծի համար ընտրվել է Juniper լուծում: Արտադրողն ունի նաև սեփական SDN տվյալների կենտրոնի համար, սակայն հաճախորդը որոշել է չներարկել SDN-ը: Որպես ցանցի կառուցման տեխնոլոգիա ընտրվել է EVPN VXLAN գործվածք առանց կենտրոնացված կարգավորիչների օգտագործման:
Ինչի համար է դա?
Գործարանի ստեղծումը թույլ է տալիս կառուցել հեշտությամբ մասշտաբային, սխալ հանդուրժող, հուսալի ցանց: Ճարտարապետությունը (տերև-ողնաշարը) հաշվի է առնում տվյալների կենտրոնների բնութագրերը (երթևեկության ուղիները, նվազագույնի հասցնելով ուշացումները և խցանումները ցանցում): Տվյալների կենտրոններում SD լուծումները թույլ են տալիս շատ հարմար, արագ և ճկուն կերպով կառավարել նման գործարանը և ինտեգրել այն տվյալների կենտրոնի էկոհամակարգին:
Երկու հաճախորդներն էլ պետք է կառուցեին ավելորդ տվյալների կենտրոններ՝ սխալների հանդուրժողականությունն ապահովելու համար, և բացի այդ, տվյալների կենտրոնների միջև երթևեկությունը պետք է գաղտնագրված լիներ:
Առաջին հաճախորդն արդեն դիտարկում էր առանց գործվածքի լուծումները՝ որպես իրենց ցանցերի հնարավոր ստանդարտ, բայց թեստերի ժամանակ նրանք խնդիրներ ունեին STP-ի համատեղելիության հետ կապված մի քանի ապարատային վաճառողների միջև: Կային խափանումներ, որոնց պատճառով ծառայությունները խափանվեցին: Իսկ հաճախորդի համար սա կրիտիկական էր:
Cisco-ն արդեն հաճախորդի կորպորատիվ ստանդարտն էր, նրանք նայեցին ACI-ին և այլ տարբերակներին և որոշեցին, որ արժե վերցնել այս լուծումը: Ինձ դուր եկավ կառավարման ավտոմատացումը մեկ կոճակից մեկ վերահսկիչի միջոցով: Ծառայությունները կազմաձևվում են ավելի արագ և ավելի արագ կառավարվում: Մենք որոշեցինք ապահովել երթևեկության կոդավորումը՝ գործարկելով MACSec IPN և SPINE անջատիչների միջև: Այսպիսով, մեզ հաջողվեց խուսափել կրիպտո դարպասի տեսքով խցանումից, խնայել դրանց վրա և օգտագործել առավելագույն թողունակությունը։
Երկրորդ հաճախորդն ընտրեց Juniper-ից առանց վերահսկիչի լուծում, քանի որ նրանց առկա տվյալների կենտրոնն արդեն ուներ փոքր տեղադրում, որն իրականացնում էր EVPN VXLAN գործվածք: Բայց այնտեղ այն սխալ հանդուրժող չէր (օգտագործվել է մեկ անջատիչ): Մենք որոշեցինք ընդլայնել հիմնական տվյալների կենտրոնի ենթակառուցվածքը և գործարան կառուցել պահեստային տվյալների կենտրոնում: Գոյություն ունեցող EVPN-ն ամբողջությամբ չի օգտագործվել. VXLAN ինկապսուլյացիան իրականում չի օգտագործվել, քանի որ բոլոր հոսթները միացված էին մեկ անջատիչի, և բոլոր MAC հասցեները և /32 հոսթ հասցեները տեղական էին, նրանց համար դարպասը նույն անջատիչն էր, այլ սարքեր չկային: , որտեղ անհրաժեշտ էր կառուցել VXLAN թունելներ։ Նրանք որոշեցին ապահովել երթևեկության կոդավորումը՝ օգտագործելով IPSEC տեխնոլոգիան firewall-երի միջև (հրդեհային պատի աշխատանքը բավարար էր):
Նրանք նաև փորձեցին ACI-ն, բայց որոշեցին, որ վաճառողի կողպեքի պատճառով նրանք պետք է չափազանց շատ սարքավորումներ գնեն, ներառյալ վերջերս գնված նոր սարքավորումները փոխարինելը, և դա պարզապես տնտեսական իմաստ չունի: Այո, Cisco-ի գործվածքը ինտեգրվում է ամեն ինչի հետ, բայց միայն դրա սարքերն են հնարավոր հենց գործվածքի ներսում:
Մյուս կողմից, ինչպես ավելի վաղ ասացինք, դուք չեք կարող պարզապես խառնել EVPN VXLAN գործվածքը որևէ հարևան վաճառողի հետ, քանի որ արձանագրության իրականացումները տարբեր են: Դա նման է Cisco-ի և Huawei-ի մեկ ցանցում հատելուն. թվում է, թե ստանդարտները սովորական են, բայց դուք պետք է պարեք դափի հետ: Քանի որ սա բանկ է, և համատեղելիության թեստերը շատ երկար կտևեն, մենք որոշեցինք, որ ավելի լավ է հիմա գնել նույն վաճառողից և շատ չտարվել հիմնականներից դուրս ֆունկցիոնալությամբ:
Միգրացիոն պլան
Երկու ACI-ի վրա հիմնված տվյալների կենտրոններ.
Տվյալների կենտրոնների միջև փոխգործակցության կազմակերպում. Ընտրվել է Multi-Pod լուծումը` յուրաքանչյուր տվյալների կենտրոն մի պատիճ է: Հաշվի են առնվում անջատիչների քանակով և պատիճների միջև ուշացումների (RTT 50 մվ-ից պակաս) չափման պահանջները: Որոշվեց չստեղծել Multi-Site լուծում՝ կառավարման հեշտության համար (Multi-Pod լուծումը օգտագործում է մեկ կառավարման ինտերֆեյս, Multi-Site-ը կունենա երկու ինտերֆեյս կամ կպահանջի Multi-Site Orchestrator), և քանի որ ոչ մի աշխարհագրական անհրաժեշտ էր կայքերի ամրագրում:
Legacy ցանցից ծառայությունների միգրացիայի տեսանկյունից ընտրվել է ամենաթափանցիկ տարբերակը՝ աստիճանաբար փոխանցելով որոշակի ծառայություններին համապատասխան VLAN-ներ։
Միգրացիայի համար գործարանում յուրաքանչյուր VLAN-ի համար ստեղծվեց համապատասխան EPG (End-point-group): Նախ, ցանցը ձգվեց հին ցանցի և գործվածքի միջև L2-ի վրա, այնուհետև բոլոր հոսթինգները տեղափոխելուց հետո դարպասը տեղափոխվեց հյուսվածք, և EPG-ն փոխազդեց գոյություն ունեցող ցանցի հետ L3OUT-ի միջոցով, մինչդեռ փոխազդեցությունը L3OUT-ի և EPG-ի միջև: նկարագրվել է պայմանագրերի միջոցով: Մոտավոր դիագրամ.
ACI-ի գործարանային քաղաքականությունների մեծ մասի օրինակելի կառուցվածքը ներկայացված է ստորև նկարում: Ամբողջ կարգավորումը հիմնված է այլ քաղաքականության մեջ ներկառուցված քաղաքականության վրա և այլն: Սկզբում դա շատ դժվար է պարզել, բայց աստիճանաբար, ինչպես ցույց է տալիս պրակտիկան, ցանցի ադմինիստրատորները մոտ մեկ ամսից ընտելանում են այս կառուցվածքին, և հետո միայն սկսում են հասկանալ, թե որքան հարմար է այն:
Համեմատություն
Cisco ACI լուծույթում դուք պետք է ավելի շատ սարքավորումներ գնեք (առանձին անջատիչներ Inter-Pod փոխազդեցության և APIC կարգավորիչների համար), ինչը այն ավելի թանկ է դարձնում: Juniper-ի լուծումը չի պահանջում կարգավորիչներ կամ աքսեսուարներ գնել; Հնարավոր է եղել մասնակիորեն օգտագործել հաճախորդի առկա սարքավորումները։
Ահա EVPN VXLAN գործվածքների ճարտարապետությունը երկրորդ նախագծի երկու տվյալների կենտրոնների համար.
ACI-ի միջոցով դուք ստանում եք պատրաստի լուծում՝ կարիք չկա շտկելու, կարիք չկա օպտիմալացնելու: Հաճախորդի գործարանի հետ նախնական ծանոթության ժամանակ մշակողների կարիք չկա, կոդի և ավտոմատացման համար աջակցող մարդիկ պետք չեն։ Դա բավականին հեշտ է օգտագործել, շատ կարգավորումներ կարող են կատարվել կախարդի միջոցով, ինչը միշտ չէ, որ առավելություն է, հատկապես հրամանի տողին սովոր մարդկանց համար: Ամեն դեպքում, ժամանակ է պահանջվում ուղեղը վերակառուցելու նոր ուղիների վրա, դեպի կարգավորումների առանձնահատկությունները քաղաքականության միջոցով և գործելու բազմաթիվ ներկառուցված քաղաքականություններով: Ի հավելումն սրան, շատ ցանկալի է ունենալ քաղաքականության և օբյեկտների անվանման հստակ կառուցվածք: Եթե վերահսկիչի տրամաբանության մեջ որեւէ խնդիր առաջանա, ապա այն կարող է լուծվել միայն տեխնիկական աջակցության միջոցով։
EVPN-ում՝ կոնսոլում: Տառապեք կամ ուրախացեք: Ծանոթ ինտերֆեյս հին պահակախմբի համար: Այո, կա ստանդարտ կոնֆիգուրացիա և ուղեցույցներ: Դուք ստիպված կլինեք ծխել մանա: Տարբեր դիզայն, ամեն ինչ պարզ է և մանրամասն:
Բնականաբար, երկու դեպքում էլ, գաղթելիս, ավելի լավ է նախ գաղթել ոչ ամենակարևոր ծառայությունները, օրինակ՝ թեստային միջավայրերը, և միայն դրանից հետո, բոլոր սխալները բռնելուց հետո, անցնել արտադրությանը։ Եվ մի լարվեք ուրբաթ երեկոյան: Դուք չպետք է վստահեք վաճառողին, որ ամեն ինչ լավ կլինի, միշտ ավելի լավ է ապահով խաղալ:
Դուք ավելի շատ եք վճարում ACI-ի համար, չնայած Cisco-ն ներկայումս ակտիվորեն առաջ է մղում այս լուծումը և հաճախ լավ զեղչեր է տալիս դրա վրա, բայց դուք խնայում եք սպասարկման վրա: Առանց վերահսկիչի EVPN գործարանի կառավարումը և ցանկացած ավտոմատացում պահանջում է ներդրումներ և կանոնավոր ծախսեր՝ մոնիտորինգ, ավտոմատացում, նոր ծառայությունների ներդրում։ Միևնույն ժամանակ, ACI-ի սկզբնական գործարկումը 30-40 տոկոսով ավելի երկար է տևում: Դա տեղի է ունենում, քանի որ ավելի երկար է տևում անհրաժեշտ պրոֆիլների և քաղաքականությունների ամբողջ փաթեթը ստեղծելու համար, որոնք այնուհետև կօգտագործվեն: Բայց քանի որ ցանցը մեծանում է, պահանջվող կոնֆիգուրացիաների թիվը նվազում է: Դուք օգտագործում եք նախապես ստեղծված քաղաքականություն, պրոֆիլներ, օբյեկտներ: Դուք կարող եք ճկուն կերպով կարգավորել սեգմենտավորումը և անվտանգությունը, կենտրոնական կերպով կառավարել պայմանագրերը, որոնք պատասխանատու են EPG-ների միջև որոշակի փոխազդեցությունների թույլատրման համար. աշխատանքի ծավալը կտրուկ նվազում է:
EVPN-ում դուք պետք է կարգավորեք յուրաքանչյուր սարքը գործարանում, սխալների հավանականությունն ավելի մեծ է:
Մինչ ACI-ն ավելի դանդաղ էր իրագործվում, EVPN-ի վրիպազերծման համար պահանջվեց գրեթե երկու անգամ ավելի ժամանակ: Եթե Cisco-ի դեպքում դուք միշտ կարող եք զանգահարել աջակցող ինժեներին և հարցնել ցանցի մասին որպես ամբողջություն (քանի որ այն ծածկված է որպես լուծում), ապա Juniper Networks-ից դուք միայն սարքավորում եք գնում, և դա այն է, ինչ ծածկված է: Արդյո՞ք փաթեթները հեռացել են սարքից: Դե, լավ, ապա ձեր խնդիրները: Բայց դուք կարող եք հարց բացել լուծման կամ ցանցի նախագծման ընտրության վերաբերյալ, այնուհետև նրանք ձեզ խորհուրդ կտան ձեռք բերել պրոֆեսիոնալ ծառայություն՝ հավելյալ վճարով:
ACI-ի աջակցությունը շատ լավ է, քանի որ այն առանձին է. առանձին թիմ է նստում հենց դրա համար: Կան նաև ռուսալեզու մասնագետներ։ Ուղեցույցը մանրամասն է, լուծումները՝ կանխորոշված։ Նայում են, խորհուրդ են տալիս. Նրանք արագորեն հաստատում են դիզայնը, ինչը հաճախ կարևոր է: Juniper Networks-ն անում է նույն բանը, բայց շատ ավելի դանդաղ (մենք ունեինք սա, հիմա, ըստ լուրերի, պետք է ավելի լավ լինի), ինչը ստիպում է ձեզ ամեն ինչ անել ինքներդ, որտեղ լուծումների ինժեները կարող է խորհուրդ տալ:
Cisco ACI-ն աջակցում է ինտեգրմանը վիրտուալացման և կոնտեյներացման համակարգերի հետ (VMware, Kubernetes, Hyper-V) և կենտրոնացված կառավարմանը: Հասանելի է ցանցի և անվտանգության ծառայությունների հետ՝ հավասարակշռում, firewalls, WAF, IPS և այլն... Լավ միկրոսեգմենտացիա առանց տուփի: Երկրորդ լուծման դեպքում ցանցային ծառայությունների հետ ինտեգրումը հեշտ է, և ավելի լավ է նախօրոք քննարկել ֆորումները նրանց հետ, ովքեր դա արել են:
Լրիվ
Յուրաքանչյուր կոնկրետ դեպքի համար անհրաժեշտ է լուծում ընտրել՝ ելնելով ոչ միայն սարքավորումների արժեքից, այլև անհրաժեշտ է հաշվի առնել հետագա գործառնական ծախսերը և հիմնական խնդիրները, որոնց բախվում է հաճախորդը, և ինչ ծրագրեր կան այնտեղ։ նախատեսված են ՏՏ ենթակառուցվածքի զարգացման համար։
ACI-ն, լրացուցիչ սարքավորումների շնորհիվ, ավելի թանկ էր, բայց լուծումը պատրաստ է առանց լրացուցիչ հարդարման անհրաժեշտության, երկրորդ լուծումը շահագործման առումով ավելի բարդ և ծախսատար է, բայց ավելի էժան:
Եթե ցանկանում եք քննարկել, թե որքան կարող է արժենալ ցանցային հյուսվածքի ներդրումը տարբեր վաճառողների վրա, և ինչպիսի ճարտարապետություն է անհրաժեշտ, կարող եք հանդիպել և զրուցել: Մենք ձեզ անվճար խորհուրդ կտանք, քանի դեռ չեք ստացել ճարտարապետության մոտավոր ուրվագիծ (որով կարող եք հաշվարկել բյուջեները), մանրամասն մշակումը, իհարկե, արդեն վճարված է։
Վլադիմիր Կլեպչե, կորպորատիվ ցանցեր.
Source: www.habr.com