Сызбаның ортаңғы бөлігіндегі байланыстарды бағалаңыз. Біз оларға төменде ораламыз
Бір сәтте L2 негізіндегі үлкен, күрделі желілердің айықпас дертке шалдыққанын байқауыңыз мүмкін. Ең алдымен, BUM трафигін өңдеумен және STP хаттамасының жұмысымен байланысты мәселелер. Екіншіден, архитектура негізінен ескірген. Бұл тоқтап қалу және ыңғайсыз өңдеу түріндегі жағымсыз мәселелерді тудырады.
Бізде екі параллель жоба болды, онда тұтынушылар опциялардың барлық жақсы және жаман жақтарын мұқият бағалап, екі түрлі қабаттастыру шешімін таңдады және біз оларды жүзеге асырдық.
Орындалуын салыстыруға мүмкіндік туды. Қанау емес, бұл туралы екі-үш жылдан кейін айту керек.
Сонымен, қабаттасқан желілер мен SDN бар желілік мата дегеніміз не?
Классикалық желі архитектурасының өзекті мәселелерімен не істеу керек?
Жыл сайын жаңа технологиялар мен идеялар пайда болады. Іс жүзінде желілерді қайта құрудың шұғыл қажеттілігі ұзақ уақыт бойы пайда болған жоқ, өйткені ескі әдістерді қолдана отырып, бәрін қолмен жасауға болады. Егер бұл жиырма бірінші ғасыр болса ше? Өйткені, әкімші өз кабинетінде отырмай, жұмыс істеуі керек.
Содан кейін ауқымды дата орталықтарының құрылысында бум басталды. Содан кейін классикалық архитектураның даму шегіне өнімділік, ақауларға төзімділік және масштабтау тұрғысынан ғана емес, жеткені белгілі болды. Бұл мәселелерді шешудің нұсқаларының бірі маршруттық магистральдың үстіне қабаттасатын желілерді құру идеясы болды.
Сонымен қатар, желілер масштабының ұлғаюымен мұндай зауыттарды басқару мәселесі өткір болды, нәтижесінде бағдарламалық қамтамасыз етумен анықталған желілік шешімдер бүкіл желілік инфрақұрылымды біртұтас басқару мүмкіндігімен пайда бола бастады. Ал желіні бір нүктеден басқарғанда, АТ-инфрақұрылымының басқа құрамдас бөліктерінің онымен өзара әрекеттесуі жеңілдейді және мұндай өзара әрекеттесу процестерін автоматтандыру оңайырақ.
Желілік жабдықтың ғана емес, сонымен қатар виртуализацияның әрбір ірі өндірушісінің дерлік портфолиосында осындай шешімдердің нұсқалары бар.
Қандай қажеттіліктерге сәйкес келетінін анықтау ғана қалады. Мысалы, жақсы әзірлеу және пайдалану командасы бар әсіресе ірі компаниялар үшін жеткізушілердің пакеттелген шешімдері әрқашан барлық қажеттіліктерді қанағаттандыра бермейді және олар өздерінің SD (бағдарламалық құрал анықталған) шешімдерін әзірлеуге жүгінеді. Мысалы, бұл өз клиенттеріне ұсынылатын қызметтер ауқымын үнемі кеңейтіп отыратын бұлттық провайдерлер, ал пакеттелген шешімдер олардың қажеттіліктерін қанағаттандыра алмайды.
Орташа компаниялар үшін сатушы ұсынатын қорапты шешім түріндегі функционалдылық 99 пайыз жағдайда жеткілікті.
Оверлайлы желілер дегеніміз не?
Қабаттасу желілерінің астарында қандай идея жатыр? Негізінде, сіз классикалық маршрутталған желіні алып, қосымша мүмкіндіктерді алу үшін оның үстіне басқа желіні құрасыз. Көбінесе біз жабдық пен байланыс желілеріне жүктемені тиімді бөлу, масштабтау шегін айтарлықтай арттыру, сенімділікті арттыру және қауіпсіздіктің көптеген артықшылықтары (сегменттеу есебінен) туралы айтып отырмыз. SDN шешімдері бұған қоса, өте, өте, өте ыңғайлы икемді басқаруға мүмкіндік береді және желіні тұтынушылар үшін ашық етеді.
Жалпы, егер жергілікті желілер 2010-шы жылдары ойлап табылса, олар 1970-ші жылдардағы әскерден мұраға қалғанымыздан әлдеқайда басқаша көрінетін еді.
Қабаттамалы желілерді пайдалана отырып, маталарды құру технологиялары тұрғысынан қазіргі уақытта көптеген жеткізушілер іске асырулары мен Интернет RFC жобалары бар (EVPN+VXLAN, EVPN+MPLS, EVPN+MPLSoGRE, EVPN+Geneve және т.б.). Иә, стандарттар бар, бірақ әртүрлі өндірушілердің осы стандарттарды енгізуі әртүрлі болуы мүмкін, сондықтан мұндай зауыттарды құру кезінде әлі де қағаз жүзінде тек теориялық түрде сатушы құлпын толығымен бас тартуға болады.
SD шешімімен нәрселер одан да шатастырады; әр сатушының өз көзқарасы бар. Теориялық тұрғыдан сіз өзіңізді аяқтай алатын толығымен ашық шешімдер бар, ал толығымен жабық шешімдер бар.
Cisco деректер орталықтарына арналған SDN нұсқасын ұсынады - ACI. Әрине, бұл желілік жабдықты таңдау тұрғысынан 100% жеткізуші құлыптаулы шешім, бірақ сонымен бірге ол виртуализация жүйелерімен, контейнерлеумен, қауіпсіздікпен, оркестрмен, жүктемені теңестірушілермен және т.б. толық біріктірілген. Бірақ мәні бойынша бұл әлі де барлық ішкі процестерге толық қол жеткізу мүмкіндігінсіз қара жәшік түрі. Барлық тұтынушылар бұл опциямен келіспейді, өйткені сіз жазбаша шешім кодының сапасына және оның орындалуына толығымен тәуелдісіз, бірақ екінші жағынан, өндіруші әлемдегі ең жақсы техникалық қолдаудың біріне ие және тек осы мақсатқа арналған арнайы командаға ие. осы шешімге. Бірінші жобаның шешімі ретінде Cisco ACI таңдалды.
Екінші жоба үшін Juniper шешімі таңдалды. Өндірушінің деректер орталығына арналған өз SDN-і де бар, бірақ тұтынушы SDN-ді енгізбеу туралы шешім қабылдады. Желіні құру технологиясы ретінде орталықтандырылған контроллерлерді қолданбайтын EVPN VXLAN матасы таңдалды.
Ол не үшін
Зауыт құру оңай масштабталатын, ақауларға төзімді, сенімді желіні құруға мүмкіндік береді. Архитектура (жапырақ-омыртқа) деректер орталықтарының сипаттамаларын ескереді (трафик жолдары, желідегі кідірістерді және кедергілерді азайту). Деректер орталықтарындағы SD шешімдері мұндай зауытты өте ыңғайлы, жылдам және икемді басқаруға және оны деректер орталығының экожүйесіне біріктіруге мүмкіндік береді.
Екі тұтынушы да ақауларға төзімділікті қамтамасыз ету үшін артық деректер орталықтарын құруы керек болды, сонымен қатар деректер орталықтары арасындағы трафик шифрлануы керек болды.
Бірінші тұтынушы өз желілері үшін ықтимал стандарт ретінде тоқымасыз шешімдерді қарастырды, бірақ сынақтарда олар бірнеше аппараттық жеткізушілер арасында STP үйлесімділігіне қатысты мәселелерге тап болды. Қызметтердің істен шығуына әкелетін тоқтаулар болды. Ал тұтынушы үшін бұл өте маңызды болды.
Cisco қазірдің өзінде тұтынушының корпоративтік стандарты болды, олар ACI және басқа опцияларды қарап, бұл шешімді қабылдауға тұрарлық деп шешті. Маған бір түймеден бір контроллер арқылы басқаруды автоматтандыру ұнады. Қызметтер жылдам конфигурацияланады және жылдамырақ басқарылады. Біз IPN және SPINE қосқыштары арасында MACSec іске қосу арқылы трафикті шифрлауды қамтамасыз етуді шештік. Осылайша, біз криптографиялық шлюз түріндегі тығырықтан аулақ болып, оларды үнемдей алдық және өткізу қабілеттілігін барынша пайдалана алдық.
Екінші тұтынушы Juniper компаниясының контроллері жоқ шешімді таңдады, себебі олардың бар деректер орталығында EVPN VXLAN матасын жүзеге асыратын шағын қондырғы бар. Бірақ ол жерде ақауларға төзімді емес (бір қосқыш қолданылған). Біз негізгі деректер орталығының инфрақұрылымын кеңейтіп, резервтік деректер орталығында зауыт салуды шештік. Қолданыстағы EVPN толық пайдаланылмады: VXLAN инкапсуляциясы іс жүзінде пайдаланылмады, өйткені барлық хосттар бір коммутаторға қосылған және барлық MAC мекенжайлары және /32 хост мекенжайлары жергілікті болды, олар үшін шлюз бірдей қосқыш болды, басқа құрылғылар жоқ. , онда VXLAN туннельдерін салу қажет болды. Олар желіаралық қалқандар арасында IPSEC технологиясын пайдаланып трафикті шифрлауды қамтамасыз етуді шешті (брандмауэрдің өнімділігі жеткілікті болды).
Олар сондай-ақ ACI-ді қолданып көрді, бірақ сатушы құлпы себебінен олар тым көп жабдықты, соның ішінде жақында сатып алынған жаңа жабдықты ауыстыруды сатып алу керек деп шешті және бұл жай ғана экономикалық мағынасы жоқ. Иә, Cisco матасы барлығымен біріктіріледі, бірақ тек оның құрылғылары матаның өзінде мүмкін.
Екінші жағынан, жоғарыда айтқанымыздай, сіз EVPN VXLAN матасын кез келген көрші жеткізушімен араластыра алмайсыз, өйткені протоколды іске асыру әртүрлі. Бұл Cisco мен Huawei-ді бір желіде кесіп өту сияқты - бұл стандарттар ортақ сияқты, бірақ сіз бубенмен билеуіңіз керек. Бұл банк болғандықтан және үйлесімділік сынақтары өте ұзақ болатындықтан, біз негізгіден басқа функционалдылыққа тым көп араласпау үшін дәл сол жеткізушіден сатып алған дұрыс деп шештік.
Көші-қон жоспары
ACI негізіндегі екі деректер орталығы:
Мәліметтер орталықтары арасындағы өзара әрекетті ұйымдастыру. Multi-Pod шешімі таңдалды - әрбір деректер орталығы подкаст болып табылады. Ажыратқыштардың саны бойынша масштабтау талаптары және подкасттар арасындағы кешігулер (RTT 50 мс-ден аз) ескеріледі. Басқарудың қарапайымдылығы үшін Multi-Site шешімін жасамау туралы шешім қабылданды (Multi-Pod шешімі бір басқару интерфейсін пайдаланады, Multi-Site екі интерфейске ие болады немесе Multi-Site Оркестрін қажет етеді) және географиялық сайттарды брондау қажет болды.
Legacy желісінен қызметтерді көшіру тұрғысынан белгілі бір қызметтерге сәйкес VLAN желілерін біртіндеп тасымалдайтын ең ашық опция таңдалды.
Тасымалдау үшін зауытта әрбір VLAN үшін сәйкес EPG (Соңғы нүкте тобы) жасалды. Алдымен желі ескі желі мен мата арасында L2 арқылы созылды, содан кейін барлық хосттар тасымалданғаннан кейін шлюз матаға ауыстырылды және EPG L3OUT арқылы бар желімен әрекеттесті, ал L3OUT және EPG арасындағы өзара әрекеттесу. келісім-шарттар арқылы сипатталды. Шамамен диаграмма:
Көптеген ACI зауыттық саясаттарының үлгі құрылымы төмендегі суретте көрсетілген. Бүкіл орнату басқа саясаттардың ішінде кірістірілген саясаттарға және т.б. негізделген. Басында оны анықтау өте қиын, бірақ тәжірибе көрсеткендей, бірте-бірте желі әкімшілері бұл құрылымға шамамен бір айда үйреніп кетеді, содан кейін олар қаншалықты ыңғайлы екенін түсіне бастайды.
Салыстыру
Cisco ACI шешімінде сізге көбірек жабдықты сатып алу қажет (Inter-Pod өзара әрекеттесуі және APIC контроллерлері үшін бөлек қосқыштар), бұл оны қымбатырақ етеді. Juniper шешімі контроллерлерді немесе аксессуарларды сатып алуды қажет етпеді; Тұтынушының бар жабдығын ішінара пайдалануға болады.
Міне, екінші жобаның екі деректер орталығына арналған EVPN VXLAN мата архитектурасы:
ACI көмегімен сіз дайын шешімді аласыз - өңдеудің қажеті жоқ, оңтайландырудың қажеті жоқ. Тұтынушының зауытпен алғашқы танысуы кезінде әзірлеушілер қажет емес, код пен автоматтандыру үшін көмекші адамдар қажет емес. Оны пайдалану өте оңай, көптеген параметрлерді шебер арқылы жасауға болады, бұл әрқашан плюс емес, әсіресе пәрмен жолына үйренген адамдар үшін. Қалай болғанда да, миды жаңа жолдарда, саясаттар арқылы параметрлердің ерекшеліктеріне дейін қайта құру және көптеген кірістірілген саясаттармен жұмыс істеу үшін уақыт қажет. Бұған қоса, саясаттар мен нысандарды атау үшін нақты құрылымның болуы өте қажет. Контроллердің логикасында қандай да бір мәселе туындаса, оны тек техникалық қолдау арқылы шешуге болады.
EVPN-де - консоль. Қиналыңыз немесе қуаныңыз. Ескі күзетшіге таныс интерфейс. Иә, стандартты конфигурация мен нұсқаулықтар бар. Мана шегуге тура келеді. Әртүрлі дизайн, бәрі анық және егжей-тегжейлі.
Әрине, екі жағдайда да көшіру кезінде ең маңызды қызметтерді емес, мысалы, сынақ орталарын көшірген дұрыс, содан кейін ғана барлық қателерді анықтағаннан кейін өндіріске көшіңіз. Ал жұма күні кешке баптамаңыз. Сатушыға бәрі жақсы болады деп сенбеу керек, оны қауіпсіз ойнаған дұрыс.
Сіз ACI үшін көбірек төлейсіз, дегенмен Cisco қазіргі уақытта бұл шешімді белсенді түрде алға жылжытуда және оған жиі жақсы жеңілдіктер береді, бірақ сіз техникалық қызмет көрсетуді үнемдейсіз. Контроллерсіз EVPN зауытын басқару және кез келген автоматтандыру инвестициялар мен тұрақты шығындарды талап етеді - мониторинг, автоматтандыру, жаңа қызметтерді енгізу. Сонымен қатар, ACI-де бастапқы ұшыру 30-40 пайызға ұзағырақ уақыт алады. Бұл кейіннен пайдаланылатын қажетті профильдер мен саясаттардың бүкіл жинағын жасау ұзағырақ уақыт алатындықтан орын алады. Бірақ желі өскен сайын қажетті конфигурациялар саны азаяды. Сіз алдын ала жасалған саясаттарды, профильдерді, нысандарды пайдаланасыз. Сіз сегменттеуді және қауіпсіздікті икемді түрде конфигурациялай аласыз, EPG арасындағы белгілі өзара әрекеттесуге мүмкіндік беретін келісім-шарттарды орталықтан басқара аласыз - жұмыс көлемі күрт төмендейді.
EVPN жүйесінде әрбір құрылғыны зауытта конфигурациялау қажет, қателердің ықтималдығы жоғары.
ACI іске асыру баяу болғанымен, EVPN жөндеуге екі есе дерлік уақыт кетті. Егер Cisco жағдайында сіз әрқашан қолдау инженеріне қоңырау шалып, тұтастай алғанда желі туралы сұрай алсаңыз (өйткені ол шешім ретінде қарастырылған), онда Juniper Networks-тен сіз тек аппараттық құралдарды сатып аласыз және бұл қамтылған. Пакеттер құрылғыдан шықты ма? Жарайды, онда сіздің проблемаларыңыз. Бірақ сіз шешімді немесе желілік дизайнды таңдауға қатысты сұрақты аша аласыз - содан кейін олар сізге қосымша ақыға кәсіби қызметті сатып алуға кеңес береді.
ACI қолдауы өте керемет, өйткені ол бөлек: бұл үшін бөлек команда отырады. Орыс тілді мамандар да бар. Нұсқаулық егжей-тегжейлі, шешімдер алдын ала анықталған. Олар қарап, кеңес береді. Олар дизайнды тез растайды, бұл жиі маңызды. Juniper Networks бірдей нәрсені жасайды, бірақ әлдеқайда баяу (бізде бұл болды, қазір қауесеттерге сәйкес жақсырақ болуы керек), бұл сізді шешім инженері кеңес бере алатын барлық нәрсені өзіңіз жасауға мәжбүр етеді.
Cisco ACI виртуализация және контейнерлеу жүйелерімен (VMware, Kubernetes, Hyper-V) және орталықтандырылған басқарумен интеграцияны қолдайды. Желілік және қауіпсіздік қызметтерімен қол жетімді - теңгерімдеу, брандмауэрлер, WAF, IPS және т.б... Қораптан тыс жақсы микро сегменттеу. Екінші шешімде желілік қызметтермен біріктіру оңай және мұны жасағандармен форумдарды алдын ала талқылаған дұрыс.
Нәтиже
Әрбір нақты жағдай үшін жабдықтың құнына негізделіп қана қоймай, шешімді таңдау керек, сонымен қатар одан әрі операциялық шығындарды және тұтынушы тап болатын негізгі проблемаларды және онда қандай жоспарлар бар екенін ескеру қажет. IT-инфрақұрылымын дамытуға арналған.
ACI, қосымша жабдықтың арқасында қымбатырақ болды, бірақ шешім қосымша әрлеуді қажет етпей дайын, екінші шешім пайдалану тұрғысынан күрделірек және қымбат, бірақ арзанырақ.
Әртүрлі жеткізушілерде желілік матаны енгізу қанша тұратынын және қандай архитектура қажет екенін талқылағыңыз келсе, кездесіп, сөйлесе аласыз. Архитектураның дөрекі эскизін алғанша (оның көмегімен бюджеттерді есептей аласыз) біз сізге тегін кеңес береміз, егжей-тегжейлі өңдеу, әрине, төленген.
Владимир Клепче, корпоративтік желілер.
Ақпарат көзі: www.habr.com