EVPN VXLAN と Cisco ACI に基づくネットワーク ファブリックの実装経験と簡単な比較

図の中央部分の接続を評価します。 以下でそれらに戻ります。

ある時点で、大規模で複雑な L2 ベースのネットワークが末期の状態に陥っていることに気づくかもしれません。 まず第一に、BUM トラフィックの処理と STP プロトコルの動作に関連する問題です。 第二に、アーキテクチャは一般に時代遅れです。 これにより、ダウンタイムや不便な取り扱いという形で不快な問題が発生します。

私たちは XNUMX つのプロジェクトを並行して進めていました。お客様はオプションの長所と短所をすべて冷静に評価し、XNUMX つの異なるオーバーレイ ソリューションを選択し、私たちはそれらを実装しました。

実装を比較する機会がありました。 搾取ではありません。それについては XNUMX ～ XNUMX 年以内に話し合うべきです。

では、オーバーレイ ネットワークと SDN を備えたネットワーク ファブリックとは何でしょうか?

古典的なネットワーク アーキテクチャの差し迫った問題をどうするか?

毎年新しい技術やアイデアが登場します。 実際には、古き良き方法を使用してすべてを手動で行うことも可能であるため、ネットワークを再構築するという緊急の必要性はかなり長い間発生しませんでした。 では、XNUMX世紀だったらどうなるでしょうか？ 結局のところ、管理者はオフィスに座って仕事をするべきではありません。

その後、大規模データセンターの建設ブームが始まりました。 その後、パフォーマンス、耐障害性、スケーラビリティの点だけでなく、古典的なアーキテクチャの開発限界に達していることが明らかになりました。 そして、これらの問題を解決するための選択肢の XNUMX つは、ルーティングされたバックボーンの上にオーバーレイ ネットワークを構築するというアイデアでした。

また、ネットワークの大規模化に伴い工場管理の問題が深刻化し、ネットワークインフラ全体を一括管理できるソフトウェアデファインドネットワークソリューションが登場し始めています。 また、ネットワークが XNUMX つのポイントから管理されると、IT インフラストラクチャの他のコンポーネントがネットワークと対話することが容易になり、そのような対話プロセスの自動化も容易になります。

ネットワーク機器だけでなく仮想化の大手メーカーのほぼすべてが、自社のポートフォリオにそのようなソリューションのオプションを持っています。

残っているのは、何がニーズに適しているかを理解することだけです。 たとえば、優れた開発および運用チームを擁する特に大企業の場合、ベンダーのパッケージ ソリューションでは必ずしもすべてのニーズが満たされるとは限らず、独自の SD (ソフトウェア デファインド) ソリューションの開発に頼っています。 たとえば、これらのクラウド プロバイダーは、クライアントに提供するサービスの範囲を常に拡大していますが、パッケージ ソリューションではそのニーズにまったく対応できません。

中規模企業の場合、ベンダーがボックス ソリューションの形式で提供する機能で 99% のケースで十分です。

オーバーレイネットワークとは何ですか?

オーバーレイ ネットワークの背後にあるアイデアは何ですか? 基本的に、従来のルーティングされたネットワークを使用し、その上に別のネットワークを構築して、より多くの機能を利用します。 ほとんどの場合、機器や通信回線の負荷を効果的に分散し、スケーラビリティの限界を大幅に高め、信頼性を高め、（セグメント化による）多くのセキュリティ上の利点について話します。 さらに、SDN ソリューションは、非常に非常に便利な柔軟な管理の機会を提供し、消費者にとってネットワークの透明性を高めます。

一般に、ローカル ネットワークが 2010 年代に発明されていたら、1970 年代に軍から受け継いだものとは大きく異なったものになっていたでしょう。

オーバーレイ ネットワークを使用してファブリックを構築するテクノロジーに関しては、現在、多くのベンダー実装とインターネット RFC プロジェクト (EVPN+VXLAN、EVPN+MPLS、EVPN+MPLSoGRE、EVPN+Geneve など) が存在します。 はい、標準はありますが、メーカーごとにこれらの標準の実装が異なる場合があるため、そのような工場を作成する場合、机上の理論上のみでベンダー ロックを完全に放棄することは可能です。

SD ソリューションの場合は、各ベンダーが独自のビジョンを持っているため、状況はさらに複雑になります。 理論的には自分自身で完成できる完全にオープンなソリューションと、完全にクローズドなソリューションがあります。

シスコは、データセンター向けの SDN バージョンである ACI を提供しています。 当然のことながら、これはネットワーク機器の選択に関しては 100% ベンダーロックのソリューションですが、同時に仮想化システム、コンテナ化、セキュリティ、オーケストレーション、ロードバランサーなどと完全に統合されています。一種のブラックボックスであり、すべての内部プロセスに完全にアクセスできる可能性はありません。 書かれたソリューション コードとその実装の品質に完全に依存しているため、すべての顧客がこのオプションに同意するわけではありませんが、一方で、メーカーには世界最高の技術サポートがあり、専任の専門チームがいます。この解決策に。 最初のプロジェクトのソリューションとして Cisco ACI が選択されました。

XNUMX 番目のプロジェクトでは、ジュニパーのソリューションが選択されました。 メーカーもデータセンター用に独自の SDN を持っていますが、顧客は SDN を導入しないことを決定しました。 ネットワーク構築技術としては、集中コントローラを使用しない EVPN VXLAN ファブリックが選択されました。

それはなんのためですか

ファクトリを作成すると、拡張性が高く、耐障害性があり、信頼性の高いネットワークを構築できます。 アーキテクチャ (リーフスパイン) では、データセンターの特性 (トラフィック パス、ネットワークの遅延とボトルネックの最小化) が考慮されています。 データセンターの SD ソリューションを使用すると、そのような工場を非常に便利、迅速、柔軟に管理し、データセンターのエコシステムに統合できます。

どちらの顧客もフォールト トレランスを確保するために冗長データ センターを構築する必要があり、さらにデータ センター間のトラフィックを暗号化する必要がありました。

最初の顧客は、自社のネットワークの標準としてファブリックレス ソリューションをすでに検討していましたが、テストでは複数のハードウェア ベンダー間の STP 互換性に問題がありました。 サービスのクラッシュを引き起こすダウンタイムが発生しました。 そして顧客にとって、これは非常に重要でした。

Cisco はすでに顧客の企業標準となっており、ACI やその他のオプションを検討し、このソリューションを採用する価値があると判断しました。 XNUMX つのコントローラーによる XNUMX つのボタンからの制御の自動化が気に入りました。 サービスの構成と管理はより迅速に行われます。 IPN スイッチと SPINE スイッチの間で MACSec を実行することで、トラフィックの暗号化を確保することにしました。 したがって、暗号化ゲートウェイの形でボトルネックを回避し、それらを節約し、最大の帯域幅を使用することができました。

32 番目の顧客は、既存のデータ センターにすでに EVPN VXLAN ファブリックを実装した小規模な設備があったため、ジュニパーのコントローラーレス ソリューションを選択しました。 しかし、そこではフォールトトレラントではありませんでした（XNUMX つのスイッチが使用されていました）。 メインデータセンターのインフラを拡張し、バックアップデータセンターに工場を建設することを決定しました。 既存の EVPN は完全には使用されていませんでした。すべてのホストが XNUMX つのスイッチに接続され、すべての MAC アドレスと /XNUMX ホスト アドレスがローカルであり、それらのゲートウェイが同じスイッチであり、他のデバイスがなかったため、VXLAN カプセル化は実際には使用されませんでした。 、VXLANトンネルを構築する必要がありました。 彼らは、ファイアウォール間の IPSEC テクノロジーを使用してトラフィックの暗号化を保証することにしました (ファイアウォールのパフォーマンスは十分でした)。

彼らは ACI も試しましたが、ベンダー ロックのため、最近購入した新しい機器の交換を含め、あまりにも多くのハードウェアを購入する必要があり、経済的に意味がないと判断しました。 はい、Cisco ファブリックはあらゆるものと統合しますが、ファブリック自体内で使用できるのはそのデバイスのみです。

一方、前述したように、プロトコルの実装が異なるため、EVPN VXLAN ファブリックを近隣ベンダーと単純に混在させることはできません。 これは、Cisco と Huawei を XNUMX つのネットワーク内で横断するようなものです。標準は共通しているように見えますが、タンバリンを持って踊らなければなりません。 ここは銀行であり、互換性テストには非常に時間がかかるため、基本的な機能以外の機能にあまり夢中にならず、今は同じベンダーから購入する方が良いと判断しました。

移行計画

XNUMX つの ACI ベースのデータセンター:

データセンター間の対話の組織化。 マルチポッド ソリューションが選択されました。各データ センターはポッドです。 スイッチの数によるスケーリングの要件とポッド間の遅延 (RTT が 50 ミリ秒未満) が考慮されます。 管理を容易にするためにマルチサイト ソリューションを構築しないことが決定されました (マルチポッド ソリューションは単一の管理インターフェイスを使用します。マルチサイトには XNUMX つのインターフェイスがあるか、またはマルチサイト オーケストレーターが必要になります)。サイトの予約が必要でした。

レガシー ネットワークからサービスを移行するという観点からは、特定のサービスに対応する VLAN を徐々に転送する、最も透過的なオプションが選択されました。
移行のために、対応する EPG (エンドポイント グループ) が工場で各 VLAN に作成されました。 まず、ネットワークが古いネットワークとファブリックの間で L2 を介して拡張され、次にすべてのホストが移行された後、ゲートウェイがファブリックに移動され、EPG は L3OUT を介して既存のネットワークと対話しますが、L3OUT と EPG の間の対話は契約書を使って説明しました。 おおよその図:

ほとんどの ACI ファクトリ ポリシーのサンプル構造を次の図に示します。 セットアップ全体は、他のポリシー内にネストされたポリシーなどに基づいています。 最初はそれを理解するのが非常に困難ですが、実践が示すように、ネットワーク管理者は XNUMX か月ほどでこの構造に徐々に慣れ、その後、それがいかに便利であるかを理解し始めます。

比較

Cisco ACI ソリューションでは、さらに多くの機器（ポッド間インタラクションと APIC コントローラ用の個別のスイッチ）を購入する必要があるため、コストが高くなります。 ジュニパーのソリューションでは、コントローラーやアクセサリを購入する必要はありませんでした。 お客様の既存設備を部分的に流用することも可能でした。

XNUMX 番目のプロジェクトの XNUMX つのデータセンターの EVPN VXLAN ファブリック アーキテクチャは次のとおりです。

ACI を使用すると、既製のソリューションが得られます。手を加えたり、最適化したりする必要はありません。 顧客と工場の最初の面識がある間は、開発者も、コードや自動化のためのサポート担当者も必要ありません。 使い方は非常に簡単で、多くの設定はウィザードを通じて行うことができますが、これは、特にコマンド ラインに慣れている人にとっては、必ずしもプラスになるとは限りません。 いずれにせよ、ポリシーを介した設定の特殊性や、多くの入れ子になったポリシーを使用した運用など、新しいトラックで脳を再構築するには時間がかかります。 これに加えて、ポリシーとオブジェクトに名前を付けるための明確な構造を持つことが非常に望ましいです。 コントローラーのロジックに問題が発生した場合は、テクニカル サポートを通じてのみ解決できます。

EVPN - コンソール。 苦しんだり、喜んだり。 古い警備員にとってはおなじみのインターフェース。 はい、標準構成とガイドがあります。 マナを吸わなければなりません。 さまざまなデザイン、すべてが明確で詳細です。

当然のことながら、どちらの場合も、移行するときは、テスト環境などの最も重要なサービスではないものを最初に移行し、すべてのバグを見つけてから運用に進むことをお勧めします。 そして金曜日の夜には視聴しないでください。 ベンダーがすべて大丈夫だということを信頼すべきではありません。常に安全策を講じることをお勧めします。

Cisco は現在このソリューションを積極的に推進しており、多くの場合、このソリューションに対して大幅な割引を提供していますが、ACI の料金は高くなりますが、メンテナンスの費用は節約できます。 コントローラーを使用しない EVPN 工場の管理と自動化には、監視、自動化、新しいサービスの実装などの投資と定期的なコストが必要です。 同時に、ACI での最初の起動には 30 ～ 40% 長く時間がかかります。 これは、後で使用される必要なプロファイルとポリシーのセット全体を作成するのに時間がかかるために発生します。 ただし、ネットワークが成長するにつれて、必要な構成の数は減少します。 事前に作成されたポリシー、プロファイル、オブジェクトを使用します。 セグメンテーションとセキュリティを柔軟に構成し、EPG 間の特定のインタラクションを許可する責任を負う契約を一元管理できるため、作業量が大幅に減少します。

EVPN では、工場で各デバイスを構成する必要があるため、エラーが発生する可能性が高くなります。

ACI は実装に時間がかかりましたが、EVPN はデバッグにほぼ XNUMX 倍の時間がかかりました。 シスコの場合、いつでもサポート エンジニアに電話してネットワーク全体について質問できる場合（ソリューションとしてカバーされているため）、ジュニパーネットワークスからはハードウェアを購入するだけで、それがカバーされます。 荷物はデバイスから出てしまいましたか? そうですね、それでは問題があります。 ただし、ソリューションやネットワーク設計の選択に関して質問することはできます。そうすれば、追加料金を払って専門的なサービスを購入するようアドバイスされます。

ACI サポートは非​​常に優れています。なぜなら、ACI サポートは独立しているためです。これ専用の別のチームが存在します。 ロシア語を話す専門家もいます。 ガイドは詳細に説明されており、解決策はあらかじめ決められています。 彼らは見てアドバイスします。 彼らは設計を迅速に検証しますが、これは多くの場合重要です。 Juniper Networks も同様のことを行っていますが、はるかに時間がかかり (以前はこれがありましたが、噂によれば今は改善されているはずです)、ソリューション エンジニアがアドバイスできるところはすべて自分で行う必要があります。

Cisco ACI は、仮想化およびコンテナ化システム（VMware、Kubernetes、Hyper-V）との統合と集中管理をサポートしています。 ネットワークおよびセキュリティ サービス (バランシング、ファイアウォール、WAF、IPS など) を利用できます。すぐに使える優れたマイクロセグメンテーション。 XNUMX 番目のソリューションでは、ネットワーク サービスとの統合は簡単ですが、これを行った人たちと事前にフォーラムについて話し合うことをお勧めします。

合計

特定のケースごとに、機器のコストだけでなく、さらなる運用コストや顧客が現在直面している主な問題とその計画も考慮してソリューションを選択する必要があります。 ITインフラの発展のためのものです。

ACI は追加の機器があるため高価でしたが、このソリューションは追加の仕上げを必要とせずに既製のものであり、XNUMX 番目のソリューションは操作の点でより複雑でコストがかかりますが、安価です。

さまざまなベンダーでネットワーク ファブリックを実装するのにどれくらいの費用がかかるか、またどのようなアーキテクチャが必要かについて話し合いたい場合は、会ってチャットすることができます。 建築の大まかなスケッチ（予算を計算することができます）が得られるまでは無料でアドバイスさせていただきますが、詳細な詳細については、もちろん支払い済みです。

ウラジミール・クレプチェ、企業ネットワーク。

出所： habr.com