Диаграмманын орто бөлүгүндөгү байланыштарды баалаңыз. Төмөндө аларга кайрылабыз.
Кээ бир учурда, сиз чоң, татаал L2 негизиндеги тармактар айыккыс ооруга дуушар болушу мүмкүн. Биринчиден, BUM трафигин иштетүү жана STP протоколунун иштеши менен байланышкан көйгөйлөр. Экинчиден, архитектура жалпысынан эскирген. Бул токтоп калуу жана ыңгайсыз иштетүү түрүндөгү жагымсыз көйгөйлөрдү жаратат.
Бизде эки параллелдүү долбоор бар болчу, анда кардарлар варианттардын бардык жакшы жана жаман жактарына кылдаттык менен баа берип, эки башка каптоочу чечимди тандап алышты жана биз аларды ишке ашырдык.
Ишке ашырылышын салыштырууга мүмкүнчүлүк болду. Эксплуатация эмес, бул тууралуу эки-үч жылдан кийин айтышыбыз керек.
Ошентип, капталган тармактар жана SDN менен тармактык кездеме деген эмне?
Классикалык тармак архитектурасынын актуалдуу көйгөйлөрү менен эмне кылуу керек?
Жыл сайын жаңы технологиялар жана идеялар пайда болот. Иш жүзүндө тармактарды реконструкциялоонун шашылыш зарылдыгы көптөн бери пайда болгон жок, анткени бардыгын кол менен жасоого да болот. Демек, жыйырма биринчи кылым болсочу? Анткени, администратор өзүнүн кабинетинде отурбай, иштеши керек.
Андан кийин ири маалымат борборлорунун курулушунда бум башталды. Андан кийин классикалык архитектуранын өнүгүү чегине гана эмес, аткаруучулук, катачылыкка чыдамкайлык жана масштабдуулук жагынан жеткени белгилүү болду. Ал эми бул көйгөйлөрдү чечүүнүн варианттарынын бири трассанын үстүнөн кабатталган тармактарды куруу идеясы болгон.
Мындан тышкары, тармактардын масштабынын өсүшү менен, мындай заводдорду башкаруу маселеси курч болуп калды, анын натыйжасында программалык камсыздоо менен аныкталган тармактык чечимдер бир бүтүн катары бүт тармактык инфраструктураны башкаруу мүмкүнчүлүгү менен пайда боло баштады. Ал эми тармак бир чекиттен башкарылса, IT инфраструктурасынын башка компоненттеринин аны менен өз ара аракеттенүүсү жеңил болот жана мындай өз ара аракеттенүү процесстерин автоматташтыруу оңой болот.
Тармактык жабдыктарды гана эмес, виртуалдаштырууну да дээрлик ар бир негизги өндүрүүчүлөрдүн портфелинде мындай чечимдердин варианттары бар.
Болгону эмне муктаждыктарга эмне ылайыктуу экенин аныктоо болуп саналат. Мисалы, жакшы иштеп чыгуу жана иштетүү командасы бар өзгөчө ири компаниялар үчүн сатуучулардын пакеттелген чечимдери дайыма эле бардык муктаждыктарды канааттандыра бербейт жана алар өздөрүнүн SD (программалык камсыздоо аныкталган) чечимдерин иштеп чыгууга кайрылышат. Мисалы, бул булут провайдерлери, алар дайыма өз кардарларына көрсөтүлүүчү кызматтардын спектрин кеңейтип жатышат, жана пакеттелген чечимдер алардын муктаждыктарын канааттандыра албайт.
Орто компаниялар үчүн сатуучу тарабынан кутуланган чечим түрүндө сунушталган функция 99 пайыз учурларда жетиштүү.
Overlay тармактары деген эмне?
Overlay тармактарынын артында кандай идея жатат? Негизи, сиз классикалык маршруттук тармакты алып, көбүрөөк мүмкүнчүлүктөрдү алуу үчүн анын үстүнө башка тармак курасыз. Көбүнчө, биз жабдууларга жана байланыш линияларына жүктөмдү натыйжалуу бөлүштүрүү, масштабдуулук чегин олуттуу жогорулатуу, ишенимдүүлүктү жогорулатуу жана коопсуздук жакшылыктарынын бир тобу (сегменттештирүүнүн эсебинен) жөнүндө сөз болуп жатат. Жана SDN чечимдери, буга кошумча, абдан, абдан, абдан ыңгайлуу ийкемдүү башкаруу мүмкүнчүлүгүн камсыз кылат жана анын керектөөчүлөрү үчүн тармакты ачык-айкын кылат.
Жалпысынан алганда, эгерде локалдык тармактар 2010-жылдары ойлоп табылган болсо, алар 1970-жылдары аскерден мураска калган нерселерден бир топ башкача көрүнмөк.
Кабаттуу тармактарды колдонуу менен кездемелерди куруу технологиялары боюнча, учурда көптөгөн сатуучулардын ишке ашыруулары жана Интернет RFC долбоорлору бар (EVPN+VXLAN, EVPN+MPLS, EVPN+MPLSoGRE, EVPN+Geneve жана башкалар). Ооба, стандарттар бар, бирок ар кандай өндүрүүчүлөр тарабынан бул стандарттарды ишке ашыруу ар кандай болушу мүмкүн, ошондуктан, мындай фабрикаларды түзүүдө, кагаз жүзүндө гана теориялык түрдө сатуучунун кулпусун толугу менен таштап коюуга болот.
SD чечими менен, нерселер ого бетер чаташкан; ар бир сатуучунун өзүнүн көз карашы бар. Теорияда сиз өзүңүздү бүтүрө турган толугу менен ачык чечимдер бар, ал эми толугу менен жабык чечимдер бар.
Cisco маалымат борборлору үчүн SDN версиясын сунуштайт - ACI. Албетте, бул тармактык жабдыктарды тандоо жагынан 100% сатуучу тарабынан кулпуланган чечим, бирок ошол эле учурда ал виртуалдаштыруу тутумдары, контейнерлештирүү, коопсуздук, оркестрлөө, жүк балансы ж.б. менен толук интеграцияланган. бардык ички процесстерге толук жетүү мүмкүнчүлүгү жок кара кутуча түрү. Бардык кардарлар бул вариантка макул эмес, анткени сиз жазылган чечим кодунун сапатына жана аны ишке ашырууга толугу менен көз карандысыз, бирок экинчи жагынан, өндүрүүчү дүйнөдөгү эң мыкты техникалык колдоонун бирине ээ жана ал үчүн атайын команда бар. бул чечимге. Cisco ACI биринчи долбоор үчүн чечим катары тандалган.
Экинчи долбоор үчүн арча чечими тандалган. Өндүрүүчүнүн да маалымат борбору үчүн өзүнүн SDNи бар, бирок кардар SDNди ишке ашыруудан баш тартты. Тармак куруу технологиясы катары борборлоштурулган контроллерлорду колдонбогон EVPN VXLAN кездеме тандалган.
Бул эмне үчүн
Заводду түзүү оңой масштабдуу, каталарга чыдамдуу, ишенимдүү тармакты курууга мүмкүндүк берет. Архитектура (жалбырак-омуртка) маалымат борборлорунун өзгөчөлүктөрүн эске алат (трафик жолдору, түйүндөрдөгү кечигүүлөрдү жана тоскоолдуктарды азайтуу). Маалымат борборлорундагы SD чечимдери мындай фабриканы абдан ыңгайлуу, тез жана ийкемдүү башкарууга жана аны маалымат борборунун экосистемасына интеграциялоого мүмкүндүк берет.
Эки кардар тең катачылыкка чыдамдуулукту камсыз кылуу үчүн ашыкча маалымат борборлорун куруш керек болчу жана андан тышкары, маалымат борборлорунун ортосундагы трафик шифрленген болушу керек.
Биринчи кардар өз тармактары үчүн мүмкүн болгон стандарт катары ткансыз чечимдерди карап жаткан, бирок сыноолордо алар бир нече аппараттык камсыздоочулардын ортосунда STP шайкештигине байланыштуу көйгөйлөргө туш болушкан. Кызматтардын иштебей калышына алып келген токтоп калуулар болгон. Ал эми кардар үчүн бул өтө маанилүү болгон.
Cisco мурунтан эле кардардын корпоративдик стандарты болгон, алар ACI жана башка варианттарды карап чыгышты жана бул чечимди кабыл алууну туура деп чечишти. Мага бир баскычтан бир контроллер аркылуу башкарууну автоматташтыруу жакты. Кызматтар тезирээк конфигурацияланат жана тезирээк башкарылат. Биз IPN жана SPINE которгучтарынын ортосунда MACSec иштетүү менен трафиктин шифрланышын камсыз кылууну чечтик. Ошентип, биз крипто шлюз түрүндөгү тоскоолдуктарды болтурбай, аларды үнөмдөп жана максималдуу өткөрүү жөндөмдүүлүгүн колдоно алдык.
Экинчи кардар Juniperден контроллерсуз чечимди тандап алды, анткени алардын учурдагы маалымат борборунда EVPN VXLAN кездемесин ишке ашырган кичинекей орнотуу бар болчу. Бирок ал жерде катага чыдамдуу болгон эмес (бир өчүргүч колдонулган). Биз негизги маалымат борборунун инфраструктурасын кеңейтүүнү жана резервдик маалымат борборунда завод курууну чечтик. Учурдагы EVPN толук колдонулган эмес: VXLAN инкапсуляциясы иш жүзүндө колдонулган эмес, анткени бардык хосттор бир коммутаторго туташкан, жана бардык MAC даректери жана /32 хост даректери жергиликтүү болгон, алар үчүн шлюз ошол эле которгуч болгон, башка түзмөктөр жок болчу. , бул жерде VXLAN туннелдерин куруу зарыл болгон. Алар брандмауэрлердин ортосунда IPSEC технологиясын колдонуу менен трафиктин шифрланышын камсыз кылууну чечишти (брандмауэрдин иштеши жетиштүү болгон).
Алар ошондой эле ACI сынап көрүштү, бирок сатуучунун кулпусунан улам өтө көп жабдыктарды, анын ичинде жакында сатылып алынган жаңы жабдууларды алмаштырууну сатып алууга туура келет деп чечишти жана бул жөн гана экономикалык мааниге ээ эмес. Ооба, Cisco ткани баары менен биригет, бирок анын түзмөктөрү гана кездеменин ичинде мүмкүн.
Башка жагынан алганда, биз жогоруда айткандай, сиз жөн эле EVPN VXLAN кездемесин кошуна сатуучу менен аралаштыра албайсыз, анткени протоколду ишке ашыруу ар башка. Бул бир тармакта Cisco жана Huawei кесиптеши сыяктуу - бул стандарттар кадимкидей сезилет, бирок сиз дап менен бийлешиңиз керек болот. Бул банк болгондуктан жана шайкештикти текшерүү өтө узакка созулмак, биз азыр бир эле сатуучудан сатып алуу жана негизгилерден тышкары функцияларга өтө эле алданып калбоо туура деп чечтик.
Миграция планы
ACI негизиндеги эки маалымат борборлору:
Маалымат борборлорунун өз ара аракеттенүүсүн уюштуруу. Multi-Pod чечими тандалды - ар бир маалымат борбору поддон. Өткөргүчтөрдүн саны боюнча масштабдоо талаптары жана поддондордун ортосундагы кечигүү (RTT 50 мс кем) эске алынат. Башкаруу жеңилдиги үчүн Көп Сайттуу чечимди түзбөө чечими кабыл алынды (Multi-Pod чечими бир башкаруу интерфейсин колдонот, Көп Сайттын эки интерфейси болот же Көп Сайт Оркестри талап кылынат) жана эч кандай географиялык сайттарды ээлөө талап кылынган.
Legacy тармагынан миграциялык кызматтардын көз карашынан алганда, белгилүү кызматтарга ылайыктуу VLANларды акырындык менен өткөрүп берүү менен эң ачык вариант тандалды.
Миграция үчүн заводдо ар бир VLAN үчүн тиешелүү EPG (Axr-пункт-топ) түзүлгөн. Биринчиден, тармак L2 аркылуу эски тармак менен кездеменин ортосунда созулган, андан кийин бардык хосттор көчүрүлгөндөн кийин, шлюз кездемеге көчүрүлгөн жана EPG L3OUT аркылуу учурдагы тармак менен өз ара аракеттенген, ал эми L3OUT менен EPG ортосундагы өз ара аракеттенүү. келишимдерди колдонуу менен сүрөттөлгөн. Болжолдуу диаграмма:
Көпчүлүк ACI заводдук саясаттарынын үлгү түзүмү төмөндөгү сүрөттө көрсөтүлгөн. Бүтүндөй орнотуу башка саясаттардын ичине киргизилген саясаттарга негизделген жана башкалар. Адегенде муну түшүнүү абдан кыйын, бирок бара-бара, практика көрсөткөндөй, тармактык администраторлор бул түзүлүшкө болжол менен бир айдын ичинде көнүп калышат, анан гана анын канчалык ыңгайлуу экенин түшүнө башташат.
окшоштук
Cisco ACI чечиминде сиз көбүрөөк жабдууларды сатып алышыңыз керек (Inter-Pod өз ара аракеттешүүсү жана APIC контроллерлору үчүн өзүнчө өчүргүчтөр), бул аны кымбатыраак кылат. Арчанын чечими контроллерлорду же аксессуарларды сатып алууну талап кылган эмес; Бул жарым-жартылай кардардын болгон жабдууларды пайдаланууга мүмкүн болгон.
Бул жерде экинчи долбоордун эки маалымат борборлору үчүн EVPN VXLAN кездеме архитектурасы болуп саналат:
ACI менен сиз даяр чечимге ээ болосуз - оптималдаштыруунун кереги жок. Завод менен кардардын алгачкы таанышуусу учурунда эч кандай иштеп чыгуучулар, код жана автоматташтыруу үчүн жардамчы адамдар керек эмес. Аны колдонуу абдан оңой, көптөгөн орнотууларды уста аркылуу жасоого болот, бул ар дайым эле плюс эмес, айрыкча буйрук сабына көнүп калган адамдар үчүн. Кандай болгон күндө да, мээни жаңы жолдорго, саясаттар аркылуу жөндөөлөрдүн өзгөчөлүктөрүнө чейин кайра куруу жана көптөгөн уяча саясаттар менен иштөө үчүн убакыт талап кылынат. Мындан тышкары, саясаттарды жана объектилерди атоо үчүн так структурага ээ болуу абдан зарыл. Эгерде контроллердин логикасында кандайдыр бир көйгөй пайда болсо, аны техникалык колдоо аркылуу гана чечүүгө болот.
EVPN-де - консол. Кыйнагыла же кубангыла. Эски күзөтчү үчүн тааныш интерфейс. Ооба, стандарттуу конфигурация жана жол көрсөткүчтөр бар. Сиз мана чегишиңиз керек. Ар кандай дизайн, баары ачык-айкын жана деталдуу.
Албетте, эки учурда тең, көчүп жатканда, адегенде эң маанилүү кызматтарды эмес, мисалы, сыноо чөйрөлөрүн көчүрүү жакшы, андан кийин гана бардык мүчүлүштүктөрдү кармагандан кийин, өндүрүшкө өтүңүз. Ал эми жума күнү кечинде күйгүзбөңүз. Сиз сатуучуга баары жакшы болот деп ишенбешиңиз керек, аны коопсуз ойногонуңуз жакшы.
Сиз ACI үчүн көбүрөөк төлөйсүз, бирок Cisco учурда бул чечимди жигердүү илгерилетүүдө жана ага көп учурда жакшы арзандатууларды берип жатат, бирок сиз тейлөөгө үнөмдөйсүз. Башкаруу жана контролеру жок EVPN фабрикасын автоматташтыруу инвестицияларды жана үзгүлтүксүз чыгымдарды талап кылат - мониторинг, автоматташтыруу, жаңы кызматтарды ишке ашыруу. Ошол эле учурда, ACI боюнча алгачкы ишке киргизүү 30-40 пайызга көбүрөөк убакытты талап кылат. Бул андан кийин колдонула турган керектүү профилдердин жана саясаттардын бардык топтомун түзүү үчүн көбүрөөк убакыт талап кылынгандыктан болот. Бирок тармак өскөн сайын талап кылынган конфигурациялардын саны азаят. Сиз алдын ала түзүлгөн саясаттарды, профилдерди, объекттерди колдоносуз. Сиз ийкемдүү түрдө сегментациялоону жана коопсуздукту конфигурациялай аласыз, EPGлердин ортосундагы белгилүү өз ара аракеттенүүгө мүмкүндүк берүүчү контракттарды борбордон башкара аласыз - иштин көлөмү кескин төмөндөйт.
EVPNде ар бир аппаратты заводдо конфигурациялашыңыз керек, каталардын ыктымалдыгы жогору.
ACI ишке ашыруу жайыраак болсо да, EVPN мүчүлүштүктөрдү оңдоого дээрлик эки эсе көп убакытты талап кылды. Эгерде Cisco шартында сиз ар дайым колдоо инженерине чалып, жалпы тармак жөнүндө сурасаңыз (анткени ал чечим катары камтылган), анда Juniper Networksтен аппараттык каражаттарды гана сатып аласыз, жана бул камтылган. Пакеттер аппараттан чыгып кеттиби? Макул, анда сенин көйгөйлөрүң. Бирок сиз чечимди же тармак дизайнын тандоо боюнча суроону ачсаңыз болот - андан кийин алар кошумча акы үчүн кесипкөй кызматты сатып алууну сунушташат.
ACI колдоосу абдан сонун, анткени ал өзүнчө: бул үчүн өзүнчө команда отурат. Орус тилдүү адистер да бар. Гид деталдуу, чечимдер алдын ала аныкталган. Алар карап, кеңеш беришет. Алар дизайнды бат эле ырасташат, бул көбүнчө маанилүү. Juniper Networks ошол эле нерсени жасайт, бирок бир топ жайыраак (бизде ушундай болгон, азыр имиштерге караганда жакшыраак болушу керек), бул сизди инженер-чечим кеңеш бере турган жерде бардыгын жасоого мажбурлайт.
Cisco ACI виртуалдаштыруу жана контейнерлештирүү системалары (VMware, Kubernetes, Hyper-V) жана борборлоштурулган башкаруу менен интеграцияны колдойт. Тармактык жана коопсуздук кызматтары менен жеткиликтүү - балансташтыруу, брандмауэрлер, WAF, IPS, ж.б.... Жакшы микро сегментациялоо. Экинчи чечимде, тармактык кызматтар менен интеграция - бул жел, жана муну жасагандар менен форумдарды алдын ала талкуулоо жакшы.
жыйынтык
Ар бир конкреттүү учур үчүн жабдуулардын баасына жараша чечимди тандоо керек, бирок андан аркы эксплуатациялык чыгымдарды жана кардар учурда туш болгон негизги көйгөйлөрдү жана ал жерде кандай пландарды эске алуу керек. IT инфраструктурасын өнүктүрүүгө багытталган.
Кошумча жабдуулардын эсебинен ACI кымбатыраак болгон, бирок чечим кошумча жасалгалоону талап кылбастан даяр, экинчи чечим эксплуатация жагынан татаал жана кымбат, бирок арзаныраак.
Эгер сиз ар кандай сатуучуларга тармактык кездемени ишке ашыруу үчүн канча чыгым болушу мүмкүн экенин жана кандай архитектура керек экендигин талкуулагыңыз келсе, сиз жолугуп, баарлаша аласыз. Архитектуранын болжолдуу эскизине ээ болмоюнча, биз сизге бекер кеңеш беребиз (анын жардамы менен бюджеттерди эсептей аласыз), деталдуу иштеп чыгуу, албетте, төлөнөт.
Владимир Клепче, корпоративдик тармактар.
Source: www.habr.com