Metið tengingarnar í miðhluta skýringarmyndarinnar. Við munum koma aftur að þeim hér að neðan
Á einhverjum tímapunkti gætirðu komist að því að stór, flókin L2-undirstaða net eru banvæn veik. Fyrst af öllu, vandamál í tengslum við vinnslu BUM umferð og rekstur STP siðareglur. Í öðru lagi er arkitektúrinn almennt úreltur. Þetta veldur óþægilegum vandamálum í formi stöðvunartíma og óþægilegrar meðhöndlunar.
Við vorum með tvö samhliða verkefni, þar sem viðskiptavinirnir mátu alla kosti og galla kostanna af alúð og völdu tvær mismunandi yfirborðslausnir og útfærðum þær.
Þar gafst tækifæri til að bera saman framkvæmdina. Ekki arðrán, við ættum að tala um það eftir tvö eða þrjú ár.
Svo, hvað er netkerfi með yfirborðsnetum og SDN?
Hvað á að gera við brýn vandamál klassísks netarkitektúrs?
Á hverju ári birtast ný tækni og hugmyndir. Í reynd kom ekki upp brýn þörf á að endurbyggja net í langan tíma, því að gera allt í höndunum með gömlu góðu aðferðunum er líka mögulegt. Svo hvað ef það er tuttugasta og fyrsta öldin? Eftir allt saman, stjórnandi ætti að vinna, en ekki sitja á skrifstofu sinni.
Þá hófst uppgangur í byggingu stórra gagnavera. Þá varð ljóst að þróunarmörkum klassísks byggingarlistar var náð, ekki aðeins hvað varðar frammistöðu, bilanaþol og sveigjanleika. Og einn af valmöguleikunum til að leysa þessi vandamál var hugmyndin um að byggja yfirlagsnet ofan á beina burðarás.
Þar að auki, með aukningu á umfangi neta, hefur vandamálið við að stjórna slíkum verksmiðjum orðið bráð, sem afleiðing af því að hugbúnaðarskilgreindar netlausnir fóru að birtast með getu til að stjórna öllu netinnviði sem eina heild. Og þegar netkerfinu er stjórnað frá einum stað er auðveldara fyrir aðra þætti upplýsingatækniinnviða að hafa samskipti við það og auðveldara er að gera slíka samskiptaferla sjálfvirkan.
Næstum sérhver stór framleiðandi, ekki aðeins netbúnaðar, heldur einnig sýndarvæðingar, hefur möguleika á slíkum lausnum í eigu sinni.
Það eina sem er eftir er að finna út hvað hentar hverju þarf. Til dæmis, fyrir sérstaklega stór fyrirtæki með gott þróunar- og rekstrarteymi, fullnægja pakkalausnum frá söluaðilum ekki alltaf öllum þörfum og þeir grípa til þess að þróa sínar eigin SD (software defined) lausnir. Þetta eru til dæmis skýjaveitur sem eru sífellt að auka þjónustuframboðið fyrir viðskiptavini sína og pakkalausnir geta einfaldlega ekki fylgst með þörfum þeirra.
Fyrir meðalstór fyrirtæki nægir virknin sem seljandinn býður upp á í formi kassalausnar í 99 prósent tilvika.
Hvað eru yfirborðsnet?
Hver er hugmyndin á bakvið yfirborðsnet? Í meginatriðum tekur þú klassískt beint net og byggir annað net ofan á það til að fá fleiri eiginleika. Oftast erum við að tala um að dreifa álaginu á búnað og samskiptalínur á áhrifaríkan hátt, auka verulega sveigjanleikamörkin, auka áreiðanleikann og fullt af öryggisvörum (vegna skiptingar). Og SDN lausnir, auk þessa, gefa tækifæri til mjög, mjög, mjög þægilegrar sveigjanlegrar umsýslu og gera netið gagnsærra fyrir neytendur þess.
Almennt séð, ef staðbundin net hefðu verið fundin upp á 2010, hefðu þau litið allt öðruvísi út en við erfðum frá hernum á 1970.
Hvað varðar tækni til að byggja dúkur með yfirborðsnetum, þá eru nú margar útfærslur söluaðila og Internet RFC verkefni (EVPN+VXLAN, EVPN+MPLS, EVPN+MPLSoGRE, EVPN+Geneve og fleiri). Já, það eru staðlar, en framkvæmd þessara staðla af mismunandi framleiðendum getur verið mismunandi, þannig að þegar slíkar verksmiðjur eru búnar til er samt aðeins hægt að yfirgefa seljandalásinn algjörlega í orði á pappír.
Með SD lausn eru hlutirnir enn ruglingslegri; hver söluaðili hefur sína eigin sýn. Það eru alveg opnar lausnir sem þú getur fræðilega séð klárað sjálfur og það eru alveg lokaðar.
Cisco býður upp á sína útgáfu af SDN fyrir gagnaver - ACI. Auðvitað er þetta 100% sölulæst lausn hvað varðar val á netbúnaði, en á sama tíma er hún að fullu samþætt við sýndarvæðingarkerfi, gámavæðingu, öryggi, hljómsveitarsetningu, álagsjafnara o.s.frv. En í meginatriðum er þetta samt eins konar svartur kassi, án möguleika á fullum aðgangi að öllum innri ferlum. Ekki eru allir viðskiptavinir sammála þessum valmöguleika, þar sem þú ert algjörlega háður gæðum ritaða lausnarkóðans og útfærslu hans, en á hinn bóginn hefur framleiðandinn eina bestu tækniaðstoð í heimi og hefur sérstakt teymi sem sérhæfir sig eingöngu. við þessa lausn. Cisco ACI var valið sem lausn fyrir fyrsta verkefnið.
Fyrir annað verkefnið var valin Juniper lausn. Framleiðandinn hefur einnig sitt eigið SDN fyrir gagnaverið, en viðskiptavinurinn ákvað að innleiða ekki SDN. EVPN VXLAN efni án notkunar miðstýrðra stýringa var valið sem netbyggingartækni.
Til hvers er það?
Að búa til verksmiðju gerir þér kleift að byggja upp auðveldlega skalanlegt, bilanaþolið, áreiðanlegt net. Arkitektúrinn (lauf-hryggur) tekur mið af eiginleikum gagnavera (umferðarstígum, lágmarkar tafir og flöskuhálsa á netinu). SD lausnir í gagnaverum gera þér kleift að stjórna slíkri verksmiðju á mjög þægilegan, fljótlegan og sveigjanlegan hátt og samþætta hana inn í vistkerfi gagnaveranna.
Báðir viðskiptavinir þurftu að byggja óþarfa gagnaver til að tryggja bilanaþol og auk þess þurfti að dulkóða umferð milli gagnaveranna.
Fyrsti viðskiptavinurinn var þegar að íhuga efnislausar lausnir sem mögulegan staðal fyrir netkerfi sín, en í prófunum áttu þeir í vandræðum með STP samhæfni milli nokkurra vélbúnaðarframleiðenda. Það voru niðritímar sem olli því að þjónusta hrundi. Og fyrir viðskiptavininn var þetta mikilvægt.
Cisco var þegar fyrirtækjastaðall viðskiptavinarins, þeir skoðuðu ACI og aðra valkosti og ákváðu að það væri þess virði að taka þessa lausn. Mér líkaði við sjálfvirkni stjórnunar frá einum hnappi í gegnum einn stjórnandi. Þjónusta er stillt hraðar og stjórnað hraðar. Við ákváðum að tryggja dulkóðun umferðar með því að keyra MACSec á milli IPN og SPINE rofans. Þannig tókst okkur að forðast flöskuhálsinn í formi dulritunargáttar, spara á þeim og nota hámarks bandbreidd.
Annar viðskiptavinurinn valdi stýrilausa lausn frá Juniper vegna þess að núverandi gagnaver þeirra var þegar með litla uppsetningu sem útfærði EVPN VXLAN efni. En þar var hann ekki bilunarþolinn (einn rofi var notaður). Við ákváðum að stækka innviði aðalgagnaversins og byggja verksmiðju í varagagnaverinu. Núverandi EVPN var ekki að fullu notað: VXLAN hjúpun var í raun ekki notuð, þar sem allir vélar voru tengdir við einn rofa og öll MAC vistföng og /32 hýsilföng voru staðbundin, gáttin fyrir þau var sami rofi, það voru engin önnur tæki , þar sem nauðsynlegt var að byggja VXLAN göng. Þeir ákváðu að tryggja dulkóðun umferðar með IPSEC tækni á milli eldveggja (afköst eldveggsins voru nægjanleg).
Þeir reyndu líka ACI, en ákváðu að vegna sölulássins yrðu þeir að kaupa of mikinn vélbúnað, þar á meðal að skipta um nýlega keyptan nýjan búnað, og það var einfaldlega ekki efnahagslegt skynsamlegt. Já, Cisco dúkurinn fellur inn í allt, en aðeins tæki þess eru möguleg innan efnisins sjálfs.
Á hinn bóginn, eins og við sögðum áðan, geturðu ekki bara blandað EVPN VXLAN efni við hvaða nærliggjandi söluaðila sem er, vegna þess að samskiptareglur eru mismunandi. Það er eins og að fara yfir Cisco og Huawei í einu neti - það virðist sem staðlarnir séu algengir, en þú verður að dansa við bumbuna. Þar sem þetta er banki og eindrægniprófin yrðu mjög löng, ákváðum við að betra væri að kaupa frá sama seljanda núna, og ekki fara of mikið í taugarnar á virkni umfram grunn.
Flutningaáætlun
Tvær ACI-undirstaða gagnaver:
Skipulag samskipta milli gagnavera. Multi-Pod lausnin varð fyrir valinu - hvert gagnaver er pod. Tekið er tillit til krafna um mælikvarða eftir fjölda rofa og tafir á milli belg (RTT minna en 50 ms). Ákveðið var að byggja ekki Multi-Site lausn til að auðvelda stjórnun (Multi-Pod lausn notar eitt stjórnunarviðmót, Multi-Site hefði tvö viðmót, eða þyrfti Multi-Site Orchestrator), og þar sem engin landfræðileg þarf að panta staði.
Frá sjónarhóli flutningsþjónustu frá Legacy netinu var gegnsærsti kosturinn valinn, smám saman að flytja VLAN sem samsvara tiltekinni þjónustu.
Fyrir flutning var samsvarandi EPG (End-point-group) búinn til fyrir hvert VLAN í verksmiðjunni. Fyrst var netið teygt á milli gamla netsins og efnisins yfir L2, síðan eftir að allir vélar voru fluttir, var gáttin færð yfir í vefinn og EPG hafði samskipti við núverandi netkerfi í gegnum L3OUT, en samspilið milli L3OUT og EPG var lýst með samningum. Áætlað skýringarmynd:
Sýnishorn af flestum ACI verksmiðjureglum er sýnt á myndinni hér að neðan. Öll uppsetningin er byggð á reglum sem eru hreiður innan annarra reglna og svo framvegis. Í fyrstu er mjög erfitt að átta sig á því, en smám saman, eins og æfingin sýnir, venjast netstjórar við þessa uppbyggingu eftir um það bil mánuð, og þá byrja þeir aðeins að skilja hversu þægilegt það er.
Samanburður
Í Cisco ACI lausninni þarftu að kaupa meiri búnað (aðskilda rofa fyrir Inter-Pod interaction og APIC stýringar), sem gerir hann dýrari. Lausn Juniper krafðist þess ekki að kaupa stýringar eða fylgihluti; Það var hægt að nota að hluta til núverandi búnað viðskiptavinarins.
Hér er EVPN VXLAN efnisarkitektúrinn fyrir tvær gagnaver í öðru verkefninu:
Með ACI færðu tilbúna lausn - engin þörf á að fikta, engin þörf á að hagræða. Við fyrstu kynni viðskiptavinarins af verksmiðjunni þarf enga þróunaraðila, ekki þarf stuðningsfólk fyrir kóða og sjálfvirkni. Það er frekar auðvelt í notkun; margar stillingar er hægt að gera í gegnum töframanninn, sem er ekki alltaf plús, sérstaklega fyrir fólk sem er vant skipanalínunni. Hvað sem því líður tekur það tíma að endurreisa heilann á nýjum brautum, að sérkenni stillinga í gegnum stefnur og starfa með mörgum hreiðruðum stefnum. Þessu til viðbótar er mjög æskilegt að hafa skýra uppbyggingu til að heita stefnur og hluti. Ef einhver vandamál koma upp í rökfræði stjórnandans er aðeins hægt að leysa það með tæknilegri aðstoð.
Í EVPN - vélinni. Þjást eða gleðjast. Kunnuglegt viðmót fyrir gamla vörðinn. Já, það er staðlað uppsetning og leiðbeiningar. Þú verður að reykja mana. Mismunandi hönnun, allt er skýrt og ítarlegt.
Auðvitað, í báðum tilfellum, þegar flutt er, er betra að flytja ekki mikilvægustu þjónustuna, til dæmis, prófunarumhverfi, og aðeins síðan, eftir að hafa náð öllum villunum, halda áfram í framleiðslu. Og ekki stilla á föstudagskvöldið. Þú ættir ekki að treysta söluaðilanum að allt verði í lagi, það er alltaf betra að spila það á öruggan hátt.
Þú borgar meira fyrir ACI, þó Cisco sé um þessar mundir virkur að kynna þessa lausn og gefur oft góðan afslátt af henni, en þú sparar viðhald. Stjórnun og hvers kyns sjálfvirkni EVPN verksmiðju án stjórnanda krefst fjárfestinga og reglulegs kostnaðar - eftirlit, sjálfvirkni, innleiðing nýrrar þjónustu. Á sama tíma tekur upphafleg sjósetning hjá ACI 30–40 prósent lengri tíma. Þetta gerist vegna þess að það tekur lengri tíma að búa til allt sett af nauðsynlegum sniðum og stefnum sem verða síðan notuð. En eftir því sem netið stækkar fækkar nauðsynlegum stillingum. Þú notar fyrirfram búnar stefnur, prófíla, hluti. Þú getur stillt skiptingu og öryggi á sveigjanlegan hátt, miðlægt stjórnað samningum sem eru ábyrgir fyrir því að leyfa ákveðin samskipti milli EPGs - vinnumagnið minnkar verulega.
Í EVPN þarftu að stilla hvert tæki í verksmiðjunni, líkurnar á villum eru meiri.
Þó að ACI væri hægara í framkvæmd tók EVPN næstum tvöfalt lengri tíma að kemba. Ef þegar um Cisco er að ræða geturðu alltaf hringt í þjónustuverkfræðing og spurt um netið í heild sinni (vegna þess að það er fjallað um það sem lausn), þá kaupirðu bara vélbúnað frá Juniper Networks og það er það sem er tryggt. Hafa pakkarnir farið úr tækinu? Jæja, allt í lagi, þá vandamál þín. En þú getur opnað spurningu varðandi val á lausn eða nethönnun - og þá munu þeir ráðleggja þér að kaupa faglega þjónustu, gegn aukagjaldi.
ACI stuðningur er mjög flottur, vegna þess að hann er aðskilinn: sérstakt teymi situr bara fyrir þetta. Það eru líka rússneskumælandi sérfræðingar. Leiðbeiningin er ítarleg, lausnirnar eru fyrirfram ákveðnar. Þeir skoða og ráðleggja. Þeir staðfesta hönnunina fljótt, sem er oft mikilvægt. Juniper Networks gerir það sama, en mun hægar (við vorum með þetta, nú ætti það að vera betra samkvæmt sögusögnum), sem neyðir þig til að gera allt sjálfur þar sem lausnaverkfræðingur gæti ráðlagt.
Cisco ACI styður samþættingu við sýndarvæðingar- og gámakerfi (VMware, Kubernetes, Hyper-V) og miðlæga stjórnun. Fáanlegt með net- og öryggisþjónustu - jafnvægi, eldveggi, WAF, IPS, o.s.frv... Góð örskipting úr kassanum. Í annarri lausninni er samþætting við sérþjónustu létt og betra að ræða málþing fyrirfram við þá sem hafa gert þetta.
Samtals
Fyrir hvert tiltekið tilvik er nauðsynlegt að velja lausn, ekki aðeins út frá kostnaði við búnaðinn, heldur þarf einnig að taka tillit til frekari rekstrarkostnaðar og helstu vandamála sem viðskiptavinurinn stendur frammi fyrir núna og hvaða áætlanir þar eru. eru fyrir þróun upplýsingatækniinnviða.
ACI, vegna viðbótarbúnaðar, var dýrari en lausnin er tilbúin án þess að þörf sé á aukafrágangi, önnur lausnin er flóknari og kostnaðarsamari í rekstri en ódýrari.
Ef þú vilt ræða hvað það gæti kostað að innleiða netkerfi á mismunandi söluaðilum og hvers konar arkitektúr er þörf, geturðu hitt og spjallað. Við ráðleggjum þér að kostnaðarlausu þar til þú færð grófa skissu af arkitektúrnum (sem þú getur reiknað út fjárhagsáætlanir með), nákvæmar útfærslur eru að sjálfsögðu þegar greiddar.
Vladimir Klepche, fyrirtækjanet.
Heimild: www.habr.com