Evaluasi sambungan ing bagean tengah diagram. Kita bakal bali menyang wong-wong mau ing ngisor iki
Ing sawetara titik, sampeyan bisa nemokake manawa jaringan basis L2 sing gedhe lan kompleks lara. Kaping pisanan, masalah sing ana gandhengane karo ngolah lalu lintas BUM lan operasi protokol STP. Kapindho, arsitektur umume wis lungse. Iki nyebabake masalah sing ora nyenengake ing wangun downtime lan penanganan sing ora trep.
Kita wis loro proyèk podo, ngendi pelanggan soberly kabiji kabeh Pros lan cons saka opsi lan milih loro solusi overlay beda, lan kita dipun ginakaken.
Ana kesempatan kanggo mbandhingake implementasine. Ora eksploitasi; kita kudu ngomong babagan iki ing rong utawa telung taun.
Dadi, apa kain jaringan kanthi jaringan overlay lan SDN?
Apa sing kudu ditindakake babagan masalah arsitektur jaringan klasik?
Saben taun teknologi lan gagasan anyar muncul. Ing laku, kabutuhan urgent kanggo mbangun maneh jaringan ora njedhul kanggo dangu, amarga nindakake kabeh kanthi tangan nggunakake cara lawas-gaya apik uga bisa. Dadi apa yen iku abad rong puluh siji? Sawise kabeh, administrator kudu kerja, lan ora lungguh ing kantor.
Banjur boom ing pambangunan pusat data skala gedhe diwiwiti. Banjur dadi cetha yen watesan pangembangan arsitektur klasik wis tekan, ora mung ing babagan kinerja, toleransi fault, lan skalabilitas. Lan salah sawijining pilihan kanggo ngrampungake masalah kasebut yaiku ide kanggo mbangun jaringan overlay ing ndhuwur balung mburi sing diarahake.
Kajaba iku, kanthi nambah ukuran jaringan, masalah ngatur pabrik kasebut dadi akut, minangka asil saka solusi jaringan sing ditetepake piranti lunak wiwit katon kanthi kemampuan kanggo ngatur kabeh infrastruktur jaringan minangka siji. Lan nalika jaringan diatur saka siji titik, iku luwih gampang kanggo komponen liyane saka infrastruktur IT sesambungan karo, lan proses interaksi kuwi luwih gampang kanggo otomatis.
Meh kabeh pabrikan utama ora mung peralatan jaringan, nanging uga virtualisasi, duwe pilihan kanggo solusi kasebut ing portofolio.
Kabeh sing isih ana yaiku kanggo nemtokake apa sing cocog kanggo kabutuhan. Contone, kanggo perusahaan utamané gedhe karo pembangunan apik lan tim operasi, solusi rangkep saka vendor ora tansah gawe marem kabeh kabutuhan, lan Resor kanggo ngembangaken SD dhewe (software ditetepake) solusi. Contone, iki minangka panyedhiya maya sing terus-terusan nggedhekake macem-macem layanan sing diwenehake marang klien, lan solusi sing dikemas mung ora bisa nyukupi kabutuhan.
Kanggo perusahaan ukuran medium, fungsi sing ditawakake vendor ing bentuk solusi kothak cukup ing 99 persen kasus.
Apa jaringan overlay?
Apa ide ing mburi jaringan overlay? Ateges, sampeyan njupuk jaringan rute klasik lan mbangun jaringan liyane ing ndhuwur kanggo entuk luwih akeh fitur. Paling asring, kita ngomong babagan nyebarake beban ing peralatan lan jalur komunikasi kanthi efektif, nambah watesan skalabilitas, nambah linuwih lan akeh barang keamanan (amarga segmentasi). Lan solusi SDN, saliyane iki, menehi kesempatan kanggo administrasi fleksibel banget, banget, trep lan nggawe jaringan luwih transparan kanggo para konsumen.
Umumé, yen jaringan lokal wis diciptakake ing taun 2010-an, mesthine katon beda banget karo apa sing diwarisake saka militer ing taun 1970-an.
Ing babagan teknologi kanggo mbangun kain nggunakake jaringan overlay, saiki ana akeh implementasi vendor lan proyek Internet RFC (EVPN+VXLAN, EVPN+MPLS, EVPN+MPLSoGRE, EVPN+Geneve lan liya-liyane). Ya, ana standar, nanging implementasine standar kasebut dening manufaktur sing beda-beda bisa beda-beda, mula nalika nggawe pabrik kasebut, isih bisa ninggalake kunci vendor mung ing teori ing kertas.
Kanthi solusi SD, kahanan dadi luwih mbingungake; saben vendor duwe visi dhewe. Ana solusi sing mbukak, kanthi teori, sampeyan bisa ngrampungake dhewe, lan ana sing ditutup.
Cisco nawakake versi SDN kanggo pusat data - ACI. Alamiah, iki minangka solusi 100% vendor-dikunci ing babagan milih peralatan jaringan, nanging ing wektu sing padha wis terintegrasi kanthi sistem virtualisasi, containerization, keamanan, orkestrasi, load balancers, lan liya-liyane. jenis kothak ireng, tanpa kamungkinan akses lengkap kanggo kabeh pangolahan internal. Ora kabeh pelanggan setuju karo pilihan iki, amarga sampeyan gumantung banget karo kualitas kode solusi sing ditulis lan implementasine, nanging ing sisih liya, pabrikan duwe salah sawijining dhukungan teknis paling apik ing donya lan duwe tim khusus sing darmabakti. menyang solusi iki. Cisco ACI dipilih minangka solusi kanggo proyek pisanan.
Kanggo proyek kapindho, solusi Juniper dipilih. Pabrikan uga duwe SDN dhewe kanggo pusat data, nanging pelanggan mutusake ora ngetrapake SDN. Kain EVPN VXLAN tanpa nggunakake pengontrol terpusat dipilih minangka teknologi konstruksi jaringan.
Kanggo apa?
Nggawe pabrik ngidini sampeyan mbangun jaringan sing gampang diukur, tahan kesalahan, lan dipercaya. Arsitèktur (leaf-spine) nganggep karakteristik pusat data (jalur lalu lintas, nyilikake wektu tundha lan kemacetan ing jaringan). Solusi SD ing pusat data ngidini sampeyan ngatur pabrik kasebut kanthi gampang, cepet, lan fleksibel lan nggabungake menyang ekosistem pusat data.
Pelanggan loro kasebut kudu mbangun pusat data sing berlebihan kanggo njamin toleransi kesalahan, lan uga, lalu lintas ing antarane pusat data kudu dienkripsi.
Pelanggan pisanan wis nganggep solusi tanpa kain minangka standar kanggo jaringan, nanging ing tes, dheweke duwe masalah karo kompatibilitas STP ing antarane sawetara vendor hardware. Ana downtimes sing nyebabake layanan nabrak. Lan kanggo pelanggan iki kritis.
Cisco wis standar perusahaan customer, padha katon ing ACI lan opsi liyane lan mutusaké sing iku worth njupuk solusi iki. Aku disenengi automation kontrol saka siji tombol liwat controller siji. Layanan dikonfigurasi luwih cepet lan dikelola luwih cepet. Kita mutusake kanggo njamin enkripsi lalu lintas kanthi mbukak MACSec antarane switch IPN lan SPINE. Mangkono, kita bisa nyegah bottleneck ing wangun gateway crypto, nyimpen lan nggunakake bandwidth maksimum.
Pelanggan kapindho milih solusi tanpa pengontrol saka Juniper amarga pusat data sing ana wis duwe instalasi cilik sing ngetrapake kain EVPN VXLAN. Nanging ana ora fault-tolerant (siji ngalih digunakake). Kita mutusake kanggo nggedhekake infrastruktur pusat data utama lan mbangun pabrik ing pusat data serep. EVPN sing ana durung digunakake kanthi lengkap: Enkapsulasi VXLAN ora bener digunakake, amarga kabeh host disambungake menyang siji switch, lan kabeh alamat MAC lan / 32 alamat host lokal, gateway kanggo wong-wong mau yaiku switch sing padha, ora ana piranti liyane. , ngendi iku perlu kanggo mbangun VXLAN trowongan. Dheweke mutusake kanggo njamin enkripsi lalu lintas nggunakake teknologi IPSEC antarane firewall (kinerja firewall cukup).
Padha uga nyoba ACI, nanging mutusaké sing amarga saka kunci vendor, padha kudu tuku kakehan hardware, kalebu ngganti peralatan anyar mentas dituku, lan iku mung ora nggawe pangertèn ekonomi. Ya, kain Cisco nggabungake kabeh, nanging mung piranti sing bisa ditindakake ing kain kasebut.
Ing sisih liya, kaya sing wis dakkandhakake sadurunge, sampeyan ora bisa nyampur kain EVPN VXLAN karo vendor tetanggan, amarga implementasine protokol beda-beda. Kayane nyabrang Cisco lan Huawei ing siji jaringan - kayane standar kasebut umum, nanging sampeyan kudu nari nganggo rebana. Wiwit iki bank, lan tes kompatibilitas bakal dawa banget, kita mutusaké sing iku luwih apik kanggo tuku saka vendor padha saiki, lan ora njaluk banget digawa adoh karo fungsi ngluwihi dhasar.
Rencana migrasi
Loro pusat data basis ACI:
Organisasi interaksi antarane pusat data. Solusi Multi-Pod dipilih - saben pusat data minangka pod. Keperluan kanggo skala kanthi jumlah switch lan wektu tundha ing antarane pods (RTT kurang saka 50 ms) dianggep. Diputusake ora nggawe solusi Multi-Site kanggo gampang manajemen (solusi Multi-Pod nggunakake antarmuka manajemen siji, Multi-Site bakal duwe rong antarmuka, utawa mbutuhake Orchestrator Multi-Site), lan amarga ora ana geografis. leladen situs dibutuhake.
Saka sudut pandang layanan migrasi saka jaringan Warisan, pilihan sing paling transparan dipilih, kanthi bertahap mindhah VLAN sing cocog karo layanan tartamtu.
Kanggo migrasi, EPG cocog (End-point-group) digawe kanggo saben VLAN ing pabrik. First, jaringan digawe dowo antarane jaringan lawas lan kain liwat L2, banjur sawise kabeh sarwa dumadi wis migrasi, gateway dipindhah menyang kain, lan EPG sesambungan karo jaringan ana liwat L3OUT, nalika interaksi antarane L3OUT lan EPG. diterangake nggunakake kontrak. Diagram kira-kira:
A struktur sampel paling kawicaksanan pabrik ACI kapacak ing tokoh ngisor. Kabeh persiyapan adhedhasar kabijakan sing ana ing kabijakan liyane lan liya-liyane. Kaping pisanan, angel banget kanggo ngerteni, nanging mboko sithik, minangka praktik nuduhake, pangurus jaringan bakal digunakake ing struktur iki sajrone setaun, banjur mung ngerti kepiye trep.
Perbandingan
Ing solusi Cisco ACI, sampeyan kudu tuku peralatan liyane (ngalih kapisah kanggo interaksi Inter-Pod lan pengontrol APIC), kang ndadekake iku luwih larang. Solusi Juniper ora mbutuhake tuku pengontrol utawa aksesoris; Iku bisa kanggo sebagian nggunakake peralatan ana customer.
Mangkene arsitektur kain EVPN VXLAN kanggo rong pusat data proyek kapindho:
Kanthi ACI sampeyan entuk solusi sing wis siyap - ora perlu tinker, ora perlu ngoptimalake. Sajrone kenalan awal pelanggan karo pabrik, ora perlu pangembang, ora ana wong sing ndhukung kode lan otomatisasi. Iku cukup gampang kanggo nggunakake; akeh setelan bisa rampung liwat tuntunan, kang ora tansah plus, utamané kanggo wong rakulino kanggo baris printah. Ing kasus apa wae, butuh wektu kanggo mbangun maneh otak ing trek anyar, menyang peculiarities setelan liwat kawicaksanan lan operasi karo akeh kawicaksanan nested. Kajaba iku, luwih dikarepake duwe struktur sing jelas kanggo menehi kabijakan lan obyek. Yen ana masalah ing logika controller, iku mung bisa ditanggulangi liwat technical support.
Ing EVPN - console. Nandhang sangsara utawa bungah. A antarmuka menowo kanggo njaga lawas. Ya, ana konfigurasi lan pandhuan standar. Sampeyan kudu ngrokok mana. Desain sing beda-beda, kabeh jelas lan rinci.
Alamiah, ing loro kasus, nalika migrasi, iku luwih apik kanggo pisanan migrasi ora layanan paling kritis, contone, lingkungan test, lan mung banjur, sawise nyekel kabeh kewan omo, nerusake kanggo produksi. Lan aja nyetel ing dina Jumuah wengi. Sampeyan kudu ora dipercaya vendor sing kabeh bakal ok, iku tansah luwih apik kanggo muter aman.
Sampeyan mbayar luwih kanggo ACI, sanajan Cisco saiki aktif promosi solusi iki lan asring menehi diskon apik, nanging sampeyan nyimpen ing pangopènan. Manajemen lan otomatisasi pabrik EVPN tanpa pengontrol mbutuhake investasi lan biaya reguler - ngawasi, otomatisasi, implementasi layanan anyar. Ing wektu sing padha, peluncuran awal ing ACI butuh 30-40 persen luwih suwe. Iki kedadeyan amarga butuh wektu luwih suwe kanggo nggawe kabeh profil lan kabijakan sing dibutuhake sing banjur bakal digunakake. Nanging nalika jaringan mundhak, jumlah konfigurasi sing dibutuhake suda. Sampeyan nggunakake kabijakan, profil, obyek sing wis digawe. Sampeyan bisa kanthi fleksibel ngatur segmentasi lan keamanan, ngatur kontrak kanthi pusat sing tanggung jawab kanggo ngidini interaksi tartamtu ing antarane EPG - jumlah karya mudhun banget.
Ing EVPN, sampeyan kudu ngatur saben piranti ing pabrik, kemungkinan kesalahan luwih gedhe.
Nalika ACI luwih alon kanggo dileksanakake, EVPN njupuk meh kaping pindho kanggo debug. Yen ing cilik saka Cisco sampeyan bisa tansah nelpon engineer support lan takon bab jaringan minangka kabèh (amarga dijamin minangka solusi), banjur saka Juniper Networks sampeyan mung tuku hardware, lan sing dijamin. Wis paket ninggalake piranti? Nah, ok, banjur masalah sampeyan. Nanging sampeyan bisa mbukak pitakonan babagan pilihan solusi utawa desain jaringan - banjur bakal menehi saran kanggo tuku layanan profesional, kanthi biaya tambahan.
Dhukungan ACI keren banget, amarga kapisah: tim sing kapisah lungguh mung kanggo iki. Ana uga spesialis sing nganggo basa Rusia. Pandhuan rinci, solusi wis ditemtokake. Padha katon lan menehi saran. Dheweke cepet ngesyahke desain, sing asring penting. Juniper Networks nindakake perkara sing padha, nanging luwih alon (kita duwe iki, saiki kudu luwih apik miturut gosip), sing meksa sampeyan nindakake kabeh dhewe ing ngendi insinyur solusi bisa menehi saran.
Cisco ACI ndhukung integrasi karo sistem virtualisasi lan containerization (VMware, Kubernetes, Hyper-V) lan manajemen terpusat. Kasedhiya karo jaringan lan layanan keamanan - wawas, firewall, WAF, IPS, etc ... Good micro-segmentation metu saka kothak. Ing solusi kapindho, integrasi karo layanan jaringan gampang banget, lan luwih becik ngrembug forum sadurunge karo sing wis nindakake iki.
Asile
Kanggo saben kasus tartamtu, perlu kanggo milih solusi, ora mung adhedhasar biaya peralatan, nanging uga perlu kanggo njupuk menyang akun biaya operasi luwih lan masalah utama sing customer saiki ngadhepi, lan apa plans ana. yaiku kanggo pangembangan infrastruktur IT.
ACI, amarga peralatan tambahan, luwih larang, nanging solusi wis siyap tanpa perlu kanggo finishing tambahan, solusi kaloro luwih rumit lan larang regane ing syarat-syarat operasi, nanging luwih murah.
Yen sampeyan pengin ngrembug pinten bisa biaya kanggo ngleksanakake kain jaringan ing vendor beda, lan apa jenis arsitektur dibutuhake, sampeyan bisa ketemu lan ngobrol. Kita bakal menehi saran gratis nganti sampeyan entuk sketsa arsitektur kasar (sing bisa ngetung anggaran), elaborasi rinci, mesthi, wis dibayar.
Vladimir Klepche, jaringan perusahaan.
Source: www.habr.com