Valutare i collegamenti nella parte centrale dello schema. Torneremo su di loro di seguito
Ad un certo punto, potresti scoprire che le reti grandi e complesse basate su L2 sono malate terminali. Innanzitutto i problemi legati all'elaborazione del traffico BUM e al funzionamento del protocollo STP. In secondo luogo, l’architettura è generalmente obsoleta. Ciò causa spiacevoli problemi sotto forma di tempi di inattività e manipolazione scomoda.
Abbiamo avuto due progetti paralleli, in cui i clienti hanno valutato attentamente tutti i pro e i contro delle opzioni e hanno scelto due diverse soluzioni di sovrapposizione, e noi le abbiamo implementate.
C'è stata l'opportunità di confrontare l'implementazione. Non sfruttamento, se ne dovrebbe parlare tra due o tre anni.
Allora, cos'è una struttura di rete con reti overlay e SDN?
Cosa fare con i problemi urgenti dell'architettura di rete classica?
Ogni anno compaiono nuove tecnologie e idee. In pratica, l'urgente necessità di ricostruire le reti non si è presentata da molto tempo, perché è anche possibile fare tutto a mano secondo i buoni metodi di una volta. E se fosse il ventunesimo secolo? Dopotutto, un amministratore dovrebbe lavorare e non sedersi nel suo ufficio.
Poi è iniziato un boom nella costruzione di data center su larga scala. Poi è diventato chiaro che il limite di sviluppo dell’architettura classica era stato raggiunto, non solo in termini di prestazioni, tolleranza agli errori e scalabilità. E una delle opzioni per risolvere questi problemi era l’idea di costruire reti sovrapposte su una dorsale instradata.
Inoltre, con l'aumento della scala delle reti, il problema della gestione di tali fabbriche è diventato acuto, a seguito del quale hanno cominciato ad apparire soluzioni di rete definite dal software con la capacità di gestire l'intera infrastruttura di rete come un unico insieme. E quando la rete viene gestita da un unico punto, è più facile per altri componenti dell’infrastruttura IT interagire con essa e tali processi di interazione sono più facili da automatizzare.
Quasi tutti i principali produttori non solo di apparecchiature di rete, ma anche di virtualizzazione, hanno nel loro portafoglio opzioni per tali soluzioni.
Non resta che capire cosa è adatto a quali esigenze. Ad esempio, per le aziende particolarmente grandi con un buon team di sviluppo e operativo, le soluzioni pacchettizzate dei fornitori non sempre soddisfano tutte le esigenze e ricorrono allo sviluppo di proprie soluzioni SD (software definite). Ad esempio, si tratta di fornitori di servizi cloud che ampliano costantemente la gamma di servizi forniti ai propri clienti e le soluzioni pacchettizzate semplicemente non sono in grado di tenere il passo con le loro esigenze.
Per le aziende di medie dimensioni la funzionalità offerta dal venditore sotto forma di soluzione box è sufficiente nel 99% dei casi.
Cosa sono le reti overlay?
Qual è l'idea alla base delle reti overlay? In sostanza, prendi una rete instradata classica e costruisci un'altra rete sopra per ottenere più funzionalità. Molto spesso si tratta di distribuire efficacemente il carico su apparecchiature e linee di comunicazione, aumentando significativamente il limite di scalabilità, aumentando l'affidabilità e una serie di gadget di sicurezza (grazie alla segmentazione). E le soluzioni SDN, oltre a ciò, offrono l'opportunità di un'amministrazione flessibile molto, molto, molto conveniente e rendono la rete più trasparente per i suoi consumatori.
In generale, se le reti locali fossero state inventate negli anni 2010, sarebbero state molto diverse da quelle che abbiamo ereditato dall’esercito negli anni ’1970.
In termini di tecnologie per la creazione di strutture utilizzando reti overlay, esistono attualmente molte implementazioni di fornitori e progetti Internet RFC (EVPN+VXLAN, EVPN+MPLS, EVPN+MPLSoGRE, EVPN+Geneve e altri). Sì, esistono degli standard, ma l'implementazione di questi standard da parte di diversi produttori può differire, quindi quando si creano tali fabbriche è ancora possibile abbandonare completamente il blocco del fornitore solo in teoria sulla carta.
Con una soluzione SD le cose sono ancora più confuse: ogni fornitore ha la propria visione. Esistono soluzioni completamente aperte che, in teoria, puoi completare da solo, e ce ne sono di completamente chiuse.
Cisco offre la sua versione di SDN per data center - ACI. Naturalmente si tratta di una soluzione vincolata al 100% al fornitore in termini di scelta delle apparecchiature di rete, ma allo stesso tempo è completamente integrata con i sistemi di virtualizzazione, containerizzazione, sicurezza, orchestrazione, bilanciatori del carico, ecc. Ma in sostanza, è ancora una soluzione sorta di scatola nera, senza possibilità di pieno accesso a tutti i processi interni. Non tutti i clienti sono d'accordo con questa opzione, poiché sei completamente dipendente dalla qualità del codice della soluzione scritta e dalla sua implementazione, ma d'altra parte, il produttore ha uno dei migliori supporti tecnici al mondo e ha un team dedicato dedicato solo a questa soluzione. Cisco ACI è stata scelta come soluzione per il primo progetto.
Per il secondo progetto è stata scelta una soluzione Juniper. Anche il produttore dispone di un proprio SDN per il data center, ma il cliente ha deciso di non implementare SDN. Come tecnologia di costruzione della rete è stata scelta una struttura EVPN VXLAN senza l'utilizzo di controller centralizzati.
Cosa serve
La creazione di una fabbrica consente di costruire una rete facilmente scalabile, tollerante ai guasti e affidabile. L'architettura (leaf-spine) tiene conto delle caratteristiche dei data center (percorsi di traffico, minimizzando ritardi e colli di bottiglia nella rete). Le soluzioni SD nei data center consentono di gestire tale fabbrica in modo molto comodo, rapido e flessibile e di integrarla nell'ecosistema del data center.
Entrambi i clienti dovevano costruire data center ridondanti per garantire la tolleranza agli errori e, inoltre, il traffico tra i data center doveva essere crittografato.
Il primo cliente stava già valutando le soluzioni Fabricless come possibile standard per le proprie reti, ma durante i test hanno riscontrato problemi con la compatibilità STP tra diversi fornitori di hardware. Si sono verificati tempi di inattività che hanno causato l'arresto anomalo dei servizi. E per il cliente questo era fondamentale.
Cisco era già lo standard aziendale del cliente, hanno esaminato ACI e altre opzioni e hanno deciso che valeva la pena adottare questa soluzione. Mi è piaciuta l'automazione del controllo da un pulsante tramite un unico controller. I servizi vengono configurati e gestiti più velocemente. Abbiamo deciso di garantire la crittografia del traffico eseguendo MACSec tra gli switch IPN e SPINE. Pertanto, siamo riusciti a evitare il collo di bottiglia sotto forma di gateway crittografico, a risparmiarli e a utilizzare la larghezza di banda massima.
Il secondo cliente ha scelto una soluzione senza controller di Juniper perché il suo data center esistente disponeva già di una piccola installazione che implementava una struttura EVPN VXLAN. Ma lì non era tollerante ai guasti (è stato utilizzato un interruttore). Abbiamo deciso di espandere l'infrastruttura del data center principale e costruire una fabbrica nel data center di backup. L'EVPN esistente non è stato utilizzato completamente: l'incapsulamento VXLAN non è stato effettivamente utilizzato, poiché tutti gli host erano collegati a uno switch e tutti gli indirizzi MAC e gli indirizzi host /32 erano locali, il gateway per loro era lo stesso switch, non c'erano altri dispositivi , dove è stato necessario realizzare tunnel VXLAN. Hanno deciso di garantire la crittografia del traffico tra i firewall utilizzando la tecnologia IPSEC (le prestazioni del firewall erano sufficienti).
Hanno anche provato ACI, ma hanno deciso che, a causa del blocco del fornitore, avrebbero dovuto acquistare troppo hardware, inclusa la sostituzione delle nuove apparecchiature acquistate di recente, e semplicemente non aveva senso dal punto di vista economico. Sì, il tessuto Cisco si integra con tutto, ma all'interno del tessuto stesso sono possibili solo i suoi dispositivi.
D’altra parte, come abbiamo detto prima, non è possibile semplicemente mischiare una struttura EVPN VXLAN con qualsiasi fornitore vicino, perché le implementazioni del protocollo sono diverse. È come incrociare Cisco e Huawei in un'unica rete: sembra che gli standard siano comuni, ma dovrai ballare con un tamburello. Dato che si tratta di una banca e i test di compatibilità sarebbero stati molto lunghi, abbiamo deciso che era meglio acquistare adesso dallo stesso fornitore e non lasciarci trasportare troppo dalle funzionalità oltre a quelle di base.
Piano di migrazione
Due data center basati su ACI:
Organizzazione dell'interazione tra data center. È stata scelta la soluzione Multi-Pod: ogni data center è un pod. Vengono presi in considerazione i requisiti per la scalabilità in base al numero di commutazioni e ritardi tra i pod (RTT inferiore a 50 ms). Si è deciso di non realizzare una soluzione Multi-sito per facilità di gestione (una soluzione Multi-Pod utilizza un'unica interfaccia di gestione, una Multi-sito avrebbe due interfacce o richiederebbe un Orchestrator Multi-sito) e poiché non esistono aree geografiche era richiesta la prenotazione dei siti.
Dal punto di vista della migrazione dei servizi dalla rete Legacy è stata scelta l'opzione più trasparente, trasferendo gradualmente le VLAN corrispondenti ad alcuni servizi.
Per la migrazione è stato creato in fabbrica per ogni VLAN un corrispondente EPG (gruppo end-point). Innanzitutto, la rete è stata estesa tra la vecchia rete e la struttura su L2, quindi, dopo che tutti gli host sono stati migrati, il gateway è stato spostato sulla struttura e l'EPG ha interagito con la rete esistente tramite L3OUT, mentre l'interazione tra L3OUT ed EPG è stato descritto utilizzando i contratti. Diagramma approssimativo:
Nella figura seguente è mostrata una struttura di esempio della maggior parte delle polizze di fabbrica ACI. L'intera configurazione si basa su policy annidate all'interno di altre policy e così via. All'inizio è molto difficile capirlo, ma gradualmente, come dimostra la pratica, gli amministratori di rete si abituano a questa struttura in circa un mese, e poi iniziano solo a capire quanto sia conveniente.
Confronto
Nella soluzione Cisco ACI è necessario acquistare più apparecchiature (switch separati per l'interazione Inter-Pod e controller APIC), il che la rende più costosa. La soluzione di Juniper non richiedeva l'acquisto di controller o accessori; È stato possibile utilizzare parzialmente le attrezzature esistenti del cliente.
Ecco l'architettura fabric EVPN VXLAN per due data center del secondo progetto:
Con ACI ottieni una soluzione già pronta: non c'è bisogno di armeggiare, né di ottimizzare. Durante la prima conoscenza del cliente con la fabbrica, non sono necessari sviluppatori, né persone di supporto per il codice e l'automazione. È abbastanza facile da usare; molte impostazioni possono essere eseguite tramite la procedura guidata, il che non è sempre un vantaggio, soprattutto per le persone abituate alla riga di comando. In ogni caso, ci vuole tempo per ricostruire il cervello su nuovi binari, sulle peculiarità dei contesti attraverso politiche e operando con molte politiche annidate. Oltre a ciò, è altamente auspicabile avere una struttura chiara per la denominazione delle politiche e degli oggetti. Se si verifica un problema nella logica del controller, può essere risolto solo tramite il supporto tecnico.
Nell'EVPN - console. Soffrire o gioire. Un'interfaccia familiare per la vecchia guardia. Sì, esiste una configurazione e guide standard. Dovrai fumare mana. Disegni diversi, tutto è chiaro e dettagliato.
Naturalmente, in entrambi i casi, durante la migrazione, è meglio migrare prima i servizi non più critici, ad esempio gli ambienti di test, e solo successivamente, dopo aver individuato tutti i bug, procedere alla produzione. E non sintonizzarti venerdì sera. Non dovresti fidarti del venditore che andrà tutto bene, è sempre meglio andare sul sicuro.
Paghi di più per ACI, anche se Cisco sta attualmente promuovendo attivamente questa soluzione e spesso offre buoni sconti su di essa, ma risparmi sulla manutenzione. La gestione e qualsiasi automazione di una fabbrica EVPN senza controller richiede investimenti e costi regolari: monitoraggio, automazione, implementazione di nuovi servizi. Allo stesso tempo, il lancio iniziale presso ACI richiede il 30-40% in più. Ciò accade perché occorre più tempo per creare l’intero set di profili e policy necessari che verranno poi utilizzati. Ma man mano che la rete cresce, il numero di configurazioni richieste diminuisce. Utilizzi policy, profili e oggetti precreati. Puoi configurare in modo flessibile la segmentazione e la sicurezza, gestire centralmente i contratti responsabili di consentire determinate interazioni tra gli EPG: la quantità di lavoro diminuisce drasticamente.
In EVPN, è necessario configurare ciascun dispositivo in fabbrica, la probabilità di errori è maggiore.
Mentre l’implementazione dell’ACI è stata più lenta, l’EVPN ha impiegato quasi il doppio del tempo per il debug. Se nel caso di Cisco puoi sempre chiamare un tecnico dell'assistenza e chiedere informazioni sulla rete nel suo complesso (perché è coperta come soluzione), allora da Juniper Networks acquisti solo hardware, e questo è ciò che è coperto. I pacchi hanno lasciato il dispositivo? Bene, ok, allora i tuoi problemi. Ma puoi aprire una domanda riguardante la scelta della soluzione o la progettazione della rete - e poi ti consiglieranno di acquistare un servizio professionale, a un costo aggiuntivo.
Il supporto dell'ACI è molto interessante, perché è separato: un team separato si trova proprio per questo. Ci sono anche specialisti di lingua russa. La guida è dettagliata, le soluzioni sono predeterminate. Guardano e consigliano. Convalidano rapidamente il progetto, il che è spesso importante. Juniper Networks fa la stessa cosa, ma molto più lentamente (avevamo questo, ora dovrebbe essere migliore secondo le voci), il che ti costringe a fare tutto da solo laddove un solution engineer potrebbe consigliarti.
Cisco ACI supporta l'integrazione con sistemi di virtualizzazione e containerizzazione (VMware, Kubernetes, Hyper-V) e la gestione centralizzata. Disponibile con servizi di rete e sicurezza: bilanciamento, firewall, WAF, IPS, ecc... Buona microsegmentazione pronta all'uso. Nella seconda soluzione l’integrazione con i servizi di rete è un gioco da ragazzi, ed è meglio discutere preventivamente nei forum con chi lo ha fatto.
risultato
Per ogni caso specifico, è necessario selezionare una soluzione, non solo in base al costo dell'attrezzatura, ma anche tenendo conto degli ulteriori costi operativi e dei principali problemi che il cliente sta affrontando attualmente, e di ciò che prevede di farlo sono per lo sviluppo dell’infrastruttura informatica.
ACI, a causa delle apparecchiature aggiuntive, era più costosa, ma la soluzione è già pronta senza necessità di finiture aggiuntive; la seconda soluzione è più complessa e costosa in termini di funzionamento, ma più economica.
Se vuoi discutere di quanto potrebbe costare implementare una struttura di rete su diversi fornitori e che tipo di architettura è necessaria, puoi incontrarti e chattare. Vi consiglieremo gratuitamente fino ad ottenere uno schizzo approssimativo dell'architettura (con il quale potrete calcolare i budget), l'elaborazione dettagliata, ovviamente, è già pagata.
Vladimir Klepche, Reti aziendali.
Fonte: habr.com