Evaluéiert d'Verbindungen am mëttleren Deel vum Diagramm. Mir wäerten hinnen ënnen zréck
Irgendwann kënnt Dir feststellen datt grouss, komplex L2-baséiert Netzwierker terminesch krank sinn. Éischt vun all, Problemer verbonne mat Veraarbechtung BUM Verkéier an der Operatioun vun der STP Protokoll. Zweetens ass d'Architektur allgemeng verouderd. Dëst verursaacht onsympathesch Probleemer a Form vun Ënnerbriechungen an onbequemen Ëmgank.
Mir haten zwee parallel Projeten, wou d'Clienten nüchtern all d'Virdeeler an Nodeeler vun den Optiounen bewäert hunn an zwou verschidden Iwwerlagerungsléisungen gewielt hunn, a mir hunn se ëmgesat.
Et gouf eng Geleeënheet d'Ëmsetzung ze vergläichen. Net Ausbeutung; mir sollten doriwwer an zwee oder dräi Joer schwätzen.
Also, wat ass en Netzwierk Stoff mat Overlay Netzwierker an SDN?
Wat maache mat den dréngende Problemer vun der klassescher Netzwierkarchitektur?
All Joer erschéngen nei Technologien an Iddien. An der Praxis ass den dréngende Bedierfnes fir d'Netzwierker opzebauen fir eng laang Zäit net entstanen, well alles mat der Hand mat de gudden almoudeschen Methoden och méiglech ass. Also wat wann et den XNUMX. Joerhonnert ass? Ëmmerhin soll en Administrateur schaffen, an net a sengem Büro sëtzen.
Dunn huet e Boom am Bau vu grousser Datenzenter ugefaang. Duerno gouf et kloer datt d'Entwécklungslimit vun der klassescher Architektur erreecht gouf, net nëmmen wat d'Leeschtung, d'Feeltoleranz an d'Skalierbarkeet ugeet. An eng vun den Optiounen fir dës Probleemer ze léisen war d'Iddi fir Iwwerlagernetzwierker uewen op engem geréckelte Réckgrat ze bauen.
Zousätzlech, mat der Erhéijung vun der Skala vun Netzwierker, ass de Problem vun der Gestioun vun esou Fabriken akut ginn, als Resultat vun deem Software-definéiert Reseau Léisungen ugefaang mat der Fähegkeet ze erschéngen déi ganz Reseau Infrastruktur als eenzeg Ganzt ze verwalten. A wann d'Netzwierk vun engem eenzege Punkt geréiert gëtt, ass et méi einfach fir aner Komponenten vun der IT-Infrastruktur domat ze interagéieren, an esou Interaktiounsprozesser si méi einfach ze automatiséieren.
Bal all groussen Hiersteller vun net nëmmen Reseau Equipement, mä och Virtualiséierung, huet Optiounen fir esou Léisungen an hirem Portfolio.
Et bleift just fir erauszefannen, wat gëeegent ass fir wat Besoinen. Zum Beispill, fir besonnesch grouss Firmen mat engem gudden Entwécklungs- an Operatiounsteam, erfëllen verpackte Léisunge vu Verkeefer net ëmmer all Bedierfnesser, a si réckelen op hir eege SD (Software definéiert) Léisungen z'entwéckelen. Zum Beispill sinn dës Cloud-Provider, déi d'Gamme vu Servicer, déi hire Cliente geliwwert ginn, stänneg ausbauen, a verpackte Léisunge kënnen einfach net mat hire Bedierfnesser halen.
Fir mëttelgrousse Firmen ass d'Funktionalitéit, déi vum Verkeefer an der Form vun enger Këschtléisung ugebuede gëtt, an 99 Prozent vun de Fäll genuch.
Wat sinn Overlay Netzwierker?
Wat ass d'Iddi hannert Overlay Netzwierker? Am Wesentlechen huelt Dir e klassesche routert Netzwierk a baut en anert Netzwierk uewen drop fir méi Features ze kréien. Meeschtens schwätze mir iwwer d'Verdeelung vun der Belaaschtung op d'Ausrüstung an d'Kommunikatiounslinnen, d'Skalierbarkeetslimit wesentlech erhéijen, d'Zouverlässegkeet erhéijen an eng Rëtsch Sécherheetsstécker (wéinst Segmentéierung). An SDN-Léisungen, zousätzlech zu dësem, bidden d'Méiglechkeet fir ganz, ganz, ganz bequem flexibel Verwaltung a maachen d'Netzwierk méi transparent fir seng Konsumenten.
Am Allgemengen, wann lokal Netzwierker an den 2010er Joren erfonnt gi wieren, hätte se vill anescht ausgesinn wéi dat, wat mir an den 1970er vum Militär ierflecher hunn.
Wat d'Technologien ugeet fir Stoffer ze bauen mat Iwwerlagernetzwierker, ginn et momentan vill Verkeefer Implementatiounen an Internet RFC Projeten (EVPN + VXLAN, EVPN + MPLS, EVPN + MPLSoGRE, EVPN + Genève an anerer). Jo, et gi Standarden, awer d'Ëmsetzung vun dëse Standarde vu verschiddene Hiersteller kann ënnerschiddlech sinn, also wann Dir esou Fabriken erstellt, ass et nach ëmmer méiglech, de Verkeefer Spär komplett opzeginn nëmmen an der Theorie op Pabeier.
Mat enger SD Léisung sinn d'Saachen nach méi konfus; all Verkeefer huet seng eege Visioun. Et gi komplett oppe Léisungen, déi, an der Theorie, Dir kënnt selwer komplett maachen, an et gi komplett zou.
Cisco offréiert seng Versioun vun SDN fir Daten Zentren - ACI. Natierlech ass dëst eng 100% Verkeefer-gespaart Léisung wat d'Auswiel vun Netzwierkausrüstung ugeet, awer gläichzäiteg ass se komplett integréiert mat Virtualiséierungssystemer, Containeriséierung, Sécherheet, Orchestratioun, Lastbalancer, asw. Zort schwaarz Këscht, ouni d'Méiglechkeet vun voll Zougang zu all intern Prozesser. Net all Clienten averstanen dës Optioun, well Dir sidd komplett ofhängeg vun der Qualitéit vum schrëftleche Léisungscode a senger Ëmsetzung, awer op der anerer Säit huet den Hiersteller eng vun de beschten techneschen Ënnerstëtzung op der Welt an huet en engagéierten Team dat nëmmen engagéiert ass. zu dëser Léisung. Cisco ACI gouf als Léisung fir den éischte Projet gewielt.
Fir den zweete Projet gouf eng Juniper Léisung gewielt. Den Hiersteller huet och säin eegene SDN fir den Rechenzentrum, awer de Client huet decidéiert SDN net ëmzesetzen. En EVPN VXLAN Stoff ouni d'Benotzung vun zentraliséierte Controller gouf als Netzwierkbautechnologie gewielt.
Fir wat ass et
D'Schafe vun enger Fabréck erlaabt Iech e liicht skalierbare, Feeler-tolerant, zouverléissege Netzwierk ze bauen. D'Architektur (Blat-Wirbelsäule) berücksichtegt d'Charakteristiken vun Datenzenteren (Verkéiersweeër, Verspéidungen a Flaschenhalsen am Netz miniméieren). SD-Léisungen an Datenzenteren erlaaben Iech ganz bequem, séier a flexibel esou eng Fabréck ze verwalten an an d'Datenzentrum-Ökosystem z'integréieren.
Béid Clienten hu misse redundante Datenzentere bauen fir Feelertoleranz ze garantéieren, an zousätzlech huet de Traffic tëscht den Datenzenteren verschlësselt.
Den éischte Client huet scho Stofflos Léisungen als méigleche Standard fir hir Netzwierker berücksichtegt, awer an Tester hu se Probleemer mat der STP-Kompatibilitéit tëscht verschiddenen Hardware Ubidder. Et waren Ënnerbriechungen déi d'Servicer erofgefall hunn. A fir de Client war dëst kritesch.
Cisco war scho de Client säi Firmenstandard, si hunn ACI an aner Optiounen gekuckt an hunn decidéiert datt et derwäert wier dës Léisung ze huelen. Ech hu gär d'Automatiséierung vun der Kontroll vun engem Knäppchen duerch en eenzege Controller. Servicer gi méi séier konfiguréiert a méi séier geréiert. Mir hunn decidéiert d'Verschlësselung vum Traffic ze garantéieren andeems Dir MACSec tëscht den IPN- a SPINE-Schalter leeft. Also hu mir et fäerdeg bruecht de Flaschenhals an der Form vun engem Krypto-Paart ze vermeiden, op hinnen ze spueren an déi maximal Bandbreedung ze benotzen.
Den zweete Client huet eng Controllerlos Léisung vum Juniper gewielt well hiren existente Datenzenter schonn eng kleng Installatioun hat, déi en EVPN VXLAN Stoff implementéiert. Awer do war et net Feeler-tolerant (ee Schalter gouf benotzt). Mir hu beschloss, d'Infrastruktur vum Haaptrechenzenter auszebauen an eng Fabréck am Backup-Datenzentrum ze bauen. Déi existent EVPN gouf net voll benotzt: VXLAN Encapsulation war net tatsächlech benotzt, well all Hosten un engem Schalter verbonne waren, an all MAC Adressen an /32 Host Adresse waren lokal, de Paart fir si war deeselwechte Schalter, et goufe keng aner Apparater , wou et néideg war VXLAN Tunnel ze bauen. Si hunn decidéiert d'Verschlësselung vum Traffic mat IPSEC Technologie tëscht Firewalls ze garantéieren (d'Performance vun der Firewall war genuch).
Si probéiert och ACI, awer decidéiert, datt wéinst dem Verkeefer Spär, si mussen zevill Hardware kafen, dorënner ersat kuerzem kaaft nei Equipement, an et huet einfach net wirtschaftlech Sënn. Jo, de Cisco Stoff integréiert mat alles, awer nëmmen seng Apparater si méiglech am Stoff selwer.
Op der anerer Säit, wéi mir virdru gesot hunn, kënnt Dir net nëmmen en EVPN VXLAN Stoff mat all Nopeschliwwerer vermëschen, well d'Protokollimplementatiounen anescht sinn. Et ass wéi Cisco an Huawei an engem Netz ze Kräiz - et schéngt wéi d'Standarden allgemeng sinn, awer Dir musst mat enger Tambourin danzen. Well dëst eng Bank ass, an d'Kompatibilitéitstester ganz laang wären, hu mir décidéiert datt et besser wier elo vum selwechte Verkeefer ze kafen, an net ze vill mat der Funktionalitéit iwwer d'Basis ze féieren.
Migratioun plangen
Zwee ACI-baséiert Datenzentren:
Organisatioun vun Interaktioun tëscht Daten Zentren. D'Multi-Pod Léisung gouf gewielt - all Datenzenter ass e Pod. D'Ufuerderunge fir d'Skaléierung duerch d'Zuel vu Schalter a Verzögerungen tëscht Pods (RTT manner wéi 50 ms) gi berücksichtegt. Et gouf decidéiert keng Multi-Site-Léisung ze bauen fir d'Gestioun einfach ze maachen (eng Multi-Pod-Léisung benotzt eng eenzeg Management-Interface, e Multi-Site hätt zwee Interfaces, oder géif e Multi-Site Orchestrator erfuerderen), a well keng geographesch Reservatioun vun Siten war néideg.
Aus der Siicht vun de Migratiounsservicer aus dem Legacy-Netzwierk gouf déi transparentst Optioun gewielt, graduell VLANs entspriechend bestëmmte Servicer transferéiert.
Fir Migratioun, eng entspriechend EPG (Enn-Punkt-Grupp) gouf fir all VLAN op der Fabréck geschaf. Als éischt gouf de Reseau tëscht dem alen Netzwierk an dem Stoff iwwer L2 gestreckt, duerno nodeems all d'Host migréiert goufen, gouf de Paart op de Stoff geplënnert, an den EPG interagéiert mam existente Netzwierk duerch L3OUT, wärend d'Interaktioun tëscht L3OUT an EPG gouf beschriwwe mat Kontrakter. Approximativ Diagramm:
Eng Prouf Struktur vun stäerkste ACI Fabréck Politiken ass an der Figur ënnendrënner gewisen. De ganze Setup baséiert op Politiken, déi an anere Politiken nestelt sinn an sou weider. Am Ufank ass et ganz schwéier et erauszefannen, awer no an no, wéi d'Praxis weist, ginn d'Netzwierkadministrateuren an ongeféier engem Mount un dës Struktur gewinnt, an dann fänken se nëmmen un ze verstoen wéi praktesch et ass.
Verglach
An der Cisco ACI Léisung musst Dir méi Ausrüstung kafen (separat Schalter fir Inter-Pod Interaktioun an APIC Controller), wat et méi deier mécht. D'Léisung vum Juniper huet net de Kaf vu Controller oder Accessoiren erfuerdert; Et war méiglech deelweis déi existent Ausrüstung vum Client ze benotzen.
Hei ass d'EVPN VXLAN Stoffarchitektur fir zwee Rechenzentren vum zweete Projet:
Mat ACI kritt Dir eng fäerdeg Léisung - kee Besoin fir ze schmaachen, kee Besoin ze optimiséieren. Wärend der initialer Bekanntschaft vum Client mat der Fabréck sinn keng Entwéckler gebraucht, keng Ënnerstëtzung vu Leit fir Code an Automatisatioun. Et ass zimmlech einfach ze benotzen; vill Astellunge kënnen duerch den Wizard gemaach ginn, wat net ëmmer e Plus ass, besonnesch fir Leit déi un der Kommandozeil gewinnt sinn. Op jidde Fall brauch et Zäit fir d'Gehir op nei Bunnen opzebauen, op d'Besonderheet vun den Astellungen duerch Politiken a mat villen nestéierte Politiken operéieren. Zousätzlech zu dësem ass et héich wënschenswäert eng kloer Struktur ze hunn fir Politiken an Objeten ze nennen. Wann e Problem an der Logik vum Controller entsteet, kann et nëmmen duerch technesch Ënnerstëtzung geléist ginn.
An EVPN - Konsol. Leiden oder freeën. Eng kennt Interface fir déi al Gard. Jo, et gëtt eng Standardkonfiguratioun a Guiden. Dir musst Mana fëmmen. Verschidden Designen, alles ass kloer an detailléiert.
Natierlech, a béide Fäll, wann Dir migréiert, ass et besser fir d'éischt net déi kritesch Servicer ze migréieren, zum Beispill Testëmfeld, an nëmmen dann, nodeems Dir all d'Bugs gefaangen hutt, an d'Produktioun weidergoen. An net e Freideg den Owend ofstëmmen. Dir sollt de Verkeefer net vertrauen datt alles ok ass, et ass ëmmer besser et sécher ze spillen.
Dir bezuelt méi fir ACI, obwuel Cisco am Moment aktiv dës Léisung fördert a gëtt dacks gutt Remise op, awer Dir spuert op Ënnerhalt. Gestioun an all Automatisatioun vun enger EVPN Fabréck ouni Controller erfuerdert Investitiounen a regelméisseg Käschten - Iwwerwaachung, Automatisatioun, Ëmsetzung vun neie Servicer. Zur selwechter Zäit dauert den initialen Start bei ACI 30-40 Prozent méi laang. Dëst geschitt well et méi laang dauert fir de ganze Set vun noutwendege Profiler a Politiken ze kreéieren déi dann benotzt ginn. Awer wéi d'Netzwierk wiisst, geet d'Zuel vun den erfuerderleche Konfiguratiounen erof. Dir benotzt Pre-geschaf Politiken, Profiler, Objete. Dir kënnt flexibel Segmentatioun a Sécherheet konfiguréieren, zentral Verträg verwalten, déi verantwortlech sinn fir gewësse Interaktiounen tëscht EPGs z'erméiglechen - d'Quantitéit vun der Aarbecht fällt staark.
Am EVPN musst Dir all Apparat an der Fabréck konfiguréieren, d'Wahrscheinlechkeet vu Feeler ass méi grouss.
Wärend ACI méi lues war fir ëmzesetzen, huet EVPN bal duebel sou laang gedauert fir ze Debuggen. Wann Dir am Fall vu Cisco ëmmer e Supportingenieur ruffe kënnt an iwwer de Reseau als Ganzt froen (well et als Léisung ofgedeckt ass), da kaaft Dir vu Juniper Networks nëmmen Hardware, an dat ass wat ofgedeckt ass. Hutt d'Packagen den Apparat verlooss? Gutt, ok, dann Är Problemer. Awer Dir kënnt eng Fro iwwer d'Wiel vun der Léisung oder dem Netzdesign opmaachen - an da beroden se Iech e professionnelle Service ze kafen, fir eng zousätzlech Tax.
ACI Ënnerstëtzung ass ganz cool, well et separat ass: eng separat Equipe sëtzt just fir dëst. Et ginn och russesch-allgemengen Spezialisten. De Guide ass detailléiert, d'Léisunge si virbestëmmt. Si kucken a beroden. Si validéieren séier den Design, wat dacks wichteg ass. Juniper Networks mécht datselwecht, awer vill méi lues (mir haten dat, elo sollt et laut Rumeuren besser sinn), wat Iech zwéngt alles selwer ze maachen, wou e Léisungsingenieur berode kéint.
Cisco ACI ënnerstëtzt Integratioun mat Virtualiséierung a Containeriséierungssystemer (VMware, Kubernetes, Hyper-V) an zentraliséierter Gestioun. Verfügbar mat Netzwierk- a Sécherheetsservicer - Balance, Firewalls, WAF, IPS, etc ... Gutt Mikro-Segmentatioun aus der Këscht. An der zweeter Léisung ass d'Integratioun mat Netzwierkservicer e Wand, an et ass besser Forumen am Viraus mat deenen ze diskutéieren déi dëst gemaach hunn.
D 'Resultat
Fir all spezifesche Fall ass et néideg eng Léisung ze wielen, net nëmmen op Basis vun de Käschte vun der Ausrüstung, awer et ass och noutwendeg fir weider Operatiounskäschten an d'Haaptproblemer ze berücksichtegen, déi de Client am Moment konfrontéiert ass, a wéi eng Pläng do sinn. si fir d'Entwécklung vun der IT-Infrastruktur.
ACI, duerch zousätzlech Ausrüstung, war méi deier, awer d'Léisung ass fäerdeg gemaach ouni de Besoin fir zousätzlech Veraarbechtung; déi zweet Léisung ass méi komplex an deier a punkto Operatioun, awer méi bëlleg.
Wann Dir wëllt diskutéieren wéi vill et kascht fir en Netzwierk Stoff op verschiddene Verkeefer ëmzesetzen, a wéi eng Architektur néideg ass, kënnt Dir treffen a chatten. Mir beroden Iech gratis bis Dir eng grafesch Skizz vun der Architektur kritt (mat där Dir Budgeten ausrechne kënnt), detailléiert Ausschaffe gëtt natierlech scho bezuelt.
Vladimir Klepche, Firmennetzwierker.
Source: will.com