SDSM ir beidzies, bet nevaldāmā vēlme rakstīt paliek.

Daudzus gadus mūsu brālis cieta no ikdienišķa darba veikšanas, sakrustoja pirkstus pirms apņemšanās un miega trūkuma dēļ ikvakara atkāpšanās.
Bet tumšie laiki tuvojas beigām.

Ar šo rakstu es sākšu sēriju par to, kā mani parādās automatizācija.
Pa ceļam mēs sapratīsim automatizācijas posmus, mainīgo glabāšanu, dizaina formalizāciju, RestAPI, NETCONF, YANG, YDK, un mēs veiksim daudz programmēšanas.
Man nozīmē, ka a) tā nav objektīva patiesība, b) tā nav beznosacījumu labākā pieeja, c) mans viedoklis, pat virzoties no pirmā uz pēdējo rakstu, var mainīties - ja godīgi, no uzmetuma stadijas līdz publikāciju, es visu pilnībā pārrakstīju divas reizes.

saturs

1. Mērķi
   1. Tīkls ir kā viens organisms
   2. Konfigurācijas pārbaude
   3. Versionēšana
   4. Pakalpojumu uzraudzība un pašatveseļošanās

2. Fondi
   1. Inventāra sistēma
   2. IP telpas pārvaldības sistēma
   3. Tīkla pakalpojumu aprakstu sistēma
   4. Ierīces inicializācijas mehānisms
   5. Pārdevēja-agnostiskā konfigurācijas modelis
   6. Pārdevēja specifiska draivera saskarne
   7. Mehānisms konfigurācijas piegādei ierīcei
   8. CI / CD
   9. Mehānisms dublēšanai un noviržu meklēšanai
   10. Uzraudzības sistēma

3. Secinājums

Es mēģināšu veikt ADSM formātā, kas nedaudz atšķiras no SDSM. Turpinās parādīties lieli, detalizēti, numurēti raksti, un starp tiem publicēšu nelielas piezīmes no ikdienas pieredzes. Es centīšos šeit cīnīties ar perfekcionismu un nelaizīt katru no viņiem.

Cik jocīgi, ka otro reizi jāiet pa to pašu ceļu.

Sākumā man pašam bija jāraksta raksti par tīkliem, jo ​​tie nebija RuNet.

Tagad es nevarēju atrast visaptverošu dokumentu, kas sistematizētu automatizācijas pieejas un analizētu iepriekš minētās tehnoloģijas, izmantojot vienkāršus praktiskus piemērus.

Iespējams, es kļūdos, tāpēc, lūdzu, sniedziet saites uz noderīgiem resursiem. Tomēr tas nemainīs manu apņēmību rakstīt, jo galvenais mērķis ir pašam kaut ko iemācīties, un dzīves atvieglošana citiem ir patīkams bonuss, kas glāsta pieredzes dalīšanas gēnu.

Mēģināsim paņemt vidēja izmēra LAN DC datu centru un izstrādāt visu automatizācijas shēmu.
Dažas lietas es darīšu kopā ar jums gandrīz pirmo reizi.

Es nebūšu oriģināls šeit aprakstītajās idejās un instrumentos. Dmitrijam Figolam ir izcils kanāls ar straumēm par šo tēmu.
Raksti pārklāsies ar tiem daudzos aspektos.

LAN DC ir 4 DC, aptuveni 250 slēdži, pusducis maršrutētāju un pāris ugunsmūri.
Nevis Facebook, bet pietiekami, lai jūs dziļi padomātu par automatizāciju.
Tomēr pastāv viedoklis, ka, ja jums ir vairāk nekā 1 ierīce, automatizācija jau ir nepieciešama.
Patiesībā ir grūti iedomāties, ka ikviens tagad var dzīvot bez vismaz ceļgalu skriptu komplekta.
Lai gan dzirdēju, ka ir biroji, kur IP adreses tiek glabātas programmā Excel, un katra no tūkstošiem tīkla ierīču tiek konfigurēta manuāli un tai ir sava unikāla konfigurācija. To, protams, var nosaukt par moderno mākslu, taču inženiera jūtas noteikti tiks aizskartas.

Mērķi

Tagad mēs noteiksim abstraktākos mērķus:

• Tīkls ir kā viens organisms
• Konfigurācijas pārbaude
• Tīkla stāvokļa versiju noteikšana
• Pakalpojumu uzraudzība un pašatveseļošanās

Vēlāk šajā rakstā apskatīsim, kādus līdzekļus izmantosim, un turpmāk detalizēti aplūkosim mērķus un līdzekļus.

Tīkls ir kā viens organisms

Sērijas noteicošā frāze, lai gan no pirmā acu uzmetiena tā var nešķist tik nozīmīga: mēs konfigurēsim tīklu, nevis atsevišķas ierīces.
Pēdējos gados mēs esam pieredzējuši, ka uzsvars ir mainījies uz tīklu kā vienotu vienību, tāpēc Programmatūras definēts tīkls, Ar nolūku vadīti tīkli и Autonomie tīkli.
Galu galā, kas lietojumprogrammām globāli vajadzīgs no tīkla: savienojamība starp punktiem A un B (labi, dažreiz + B-Z) un izolācija no citām lietojumprogrammām un lietotājiem.

Un tāds ir mūsu uzdevums šajā sērijā izveidot sistēmu, saglabājot pašreizējo konfigurāciju viss tīkls, kas jau ir sadalīta faktiskajā konfigurācijā katrā ierīcē atbilstoši tās lomai un atrašanās vietai.
Sistēma tīkla pārvaldība nozīmē, ka, lai veiktu izmaiņas, mēs ar to sazināmies, un tā, savukārt, aprēķina katrai ierīcei vēlamo stāvokli un konfigurē to.
Tādā veidā mēs samazinām manuālu piekļuvi CLI līdz gandrīz nullei — jebkuras izmaiņas ierīces iestatījumos vai tīkla dizainā ir jāformalizē un jādokumentē — un tikai pēc tam jāievieš nepieciešamie tīkla elementi.

Tas ir, piemēram, ja mēs nolemtu, ka no šī brīža statīva slēdžiem Kazaņā ir jāpaziņo par diviem, nevis vienam tīklam, mēs

1. Vispirms mēs dokumentējam izmaiņas sistēmās
2. Visu tīkla ierīču mērķa konfigurācijas ģenerēšana
3. Mēs palaižam tīkla konfigurācijas atjaunināšanas programmu, kas aprēķina, kas katrā mezglā ir jānoņem, kas jāpievieno, un novieto mezglus vēlamajā stāvoklī.

Tajā pašā laikā izmaiņas manuāli veicam tikai pirmajā darbībā.

Konfigurācijas pārbaude

Zināmska 80% problēmu rodas konfigurācijas maiņas laikā - netiešs pierādījums tam ir tas, ka Jaungada brīvdienās parasti viss ir mierīgi.
Esmu personīgi pieredzējis desmitiem globālas dīkstāves cilvēka kļūdu dēļ: nepareiza komanda, konfigurācija tika izpildīta nepareizajā filiālē, kopiena aizmirsa, MPLS tika globāli nojaukts maršrutētājā, tika konfigurētas piecas aparatūras daļas, bet kļūda nebija. pamanīts sestajā, tika veiktas vecas citas personas veiktas izmaiņas. Ir ļoti daudz scenāriju.

Automatizācija ļaus mums pieļaut mazāk kļūdu, bet plašākā mērogā. Tādā veidā jūs varat bloķēt ne tikai vienu ierīci, bet visu tīklu vienlaikus.

Kopš neatminamiem laikiem mūsu vectēvi ar vērīgu aci pārbaudīja veikto izmaiņu pareizību, tērauda lodītes un tīkla funkcionalitāti pēc to izvilkšanas.
Tie vectēvi, kuru darbs noveda pie dīkstāves un katastrofāliem zaudējumiem, atstāja mazāk pēcnācēju un ar laiku tiem vajadzētu izmirt, taču evolūcija ir lēns process, un tāpēc ne visi joprojām vispirms pārbauda izmaiņas laboratorijā.
Tomēr progresa priekšgalā ir tie, kas automatizējuši konfigurācijas testēšanas procesu un tās turpmāko pielietošanu tīklā. Citiem vārdiem sakot, es aizņēmos CI/CD procedūru (Nepārtraukta integrācija, nepārtraukta izvietošana) no izstrādātājiem.
Vienā no daļām apskatīsim, kā to īstenot, izmantojot versiju kontroles sistēmu, iespējams, Github.

Kad esat pieradis pie tīkla CI/CD idejas, vienas nakts konfigurācijas pārbaudes metode, piemērojot to ražošanas tīklam, šķitīs agrīnu viduslaiku neziņa. Līdzīgi kā ar āmuru trāpīt pa kaujas galviņu.

Organisks ideju turpinājums par sistēma tīkla pārvaldība un CI/CD kļūst par pilnu konfigurācijas versiju.

Versionēšana

Mēs pieņemsim, ka ar jebkādām izmaiņām, pat visniecīgākajām, pat vienā nepamanāmā ierīcē viss tīkls pāriet no viena stāvokļa uz otru.
Un mēs vienmēr neizpildām komandu ierīcē, mēs mainām tīkla stāvokli.
Tātad sauksim šos štatus par versijām?

Pieņemsim, ka pašreizējā versija ir 1.0.0.
Vai ir mainījusies atgriezeniskās saites interfeisa IP adrese vienā no uzdevumiem? Šī ir neliela versija, un tai būs 1.0.1.
Mēs pārskatījām politiku maršrutu importēšanai BGP — nedaudz nopietnāk — jau 1.1.0
Mēs nolēmām atbrīvoties no IGP un pāriet tikai uz BGP - tā jau ir radikāla dizaina maiņa - 2.0.0.

Tajā pašā laikā dažādiem DC var būt dažādas versijas - tīkls attīstās, tiek uzstādīts jauns aprīkojums, kaut kur tiek pievienoti jauni muguriņu līmeņi, citos ne utt.

uz semantiskā versiju veidošana mēs runāsim atsevišķā rakstā.

Es atkārtoju - jebkuras izmaiņas (izņemot atkļūdošanas komandas) ir versijas atjauninājums. Administratoriem ir jābrīdina par jebkādām novirzēm no pašreizējās versijas.

Tas pats attiecas uz izmaiņu atcelšanu — tā nav pēdējo komandu atcelšana, tā nav atcelšana, izmantojot ierīces operētājsistēmu — tas nozīmē, ka viss tīkls tiek atjaunots jaunā (vecā) versijā.

Pakalpojumu uzraudzība un pašatveseļošanās

Šis pašsaprotamais uzdevums mūsdienu tīklos ir sasniedzis jaunu līmeni.
Bieži vien lielie pakalpojumu sniedzēji izmanto pieeju, ka nokritušais pakalpojums ir ļoti ātri jālabo un jāceļ jauns, nevis jāizdomā, kas noticis.
“Ļoti” nozīmē, ka jums no visām pusēm ir jābūt dāsni pārklātam ar uzraudzību, kas dažu sekunžu laikā atklās mazākās novirzes no normas.
Un šeit vairs nepietiek ar parastajiem rādītājiem, piemēram, saskarnes ielādi vai mezglu pieejamību. Nepietiek arī ar dežuranta veiktu to manuālu uzraudzību.
Daudzām lietām vajadzētu būt Pašdziedināšana — novērošanas gaismas iedegās sarkanas un mēs gājām un paši uzklājām ceļmallapu, kur sāpēja.

Un šeit mēs arī uzraugām ne tikai atsevišķas ierīces, bet arī visa tīkla veselību, gan whitebox, kas ir salīdzinoši saprotams, gan blackbox, kas ir sarežģītāks.

Kas mums būs nepieciešams, lai īstenotu tik vērienīgus plānus?

• Ir visu tīklā esošo ierīču saraksts, to atrašanās vieta, lomas, modeļi, programmatūras versijas.
  kazan-leaf-1.lmu.net, Kazaņa, lapa, Kadiķis QFX 5120, R18.3.
• Ir sistēma tīkla pakalpojumu aprakstīšanai.
  IGP, BGP, L2/3VPN, politika, ACL, NTP, SSH.
• Jāprot inicializēt ierīci.
  Resursdatora nosaukums, Mgmt IP, Mgmt maršruts, lietotāji, RSA atslēgas, LLDP, NETCONF
• Konfigurējiet ierīci un konfigurējiet vajadzīgo (ieskaitot veco) versiju.
• Testa konfigurācija
• Periodiski pārbaudiet visu ierīču statusu, vai nav novirzes no pašreizējā, un ziņojiet, kam tam vajadzētu būt.
  Pa nakti kāds klusi pievienoja noteikumu ACL.
• Uzraudzīt veiktspēju.

Fondi

Tas izklausās pietiekami sarežģīti, lai sāktu projektu sadalīt komponentos.

Un no tiem būs desmit:

1. Inventāra sistēma
2. IP telpas pārvaldības sistēma
3. Tīkla pakalpojumu aprakstu sistēma
4. Ierīces inicializācijas mehānisms
5. Pārdevēja-agnostiskā konfigurācijas modelis
6. Pārdevēja specifiska draivera saskarne
7. Mehānisms konfigurācijas piegādei ierīcei
8. CI / CD
9. Mehānisms dublēšanai un noviržu meklēšanai
10. Uzraudzības sistēma

Šis, starp citu, ir piemērs tam, kā mainījās skatījums uz cikla mērķiem - projektā bija 4 komponenti.

Ilustrācijā es attēloju visas sastāvdaļas un pašu ierīci.
Krustojošie komponenti mijiedarbojas viens ar otru.
Jo lielāks bloks, jo lielāka uzmanība jāpievērš šim komponentam.

1. komponents: uzskaites sistēma

Acīmredzot mēs gribam zināt, kāda tehnika kur atrodas, kam pieslēgta.
Inventāra sistēma ir jebkura uzņēmuma neatņemama sastāvdaļa.
Visbiežāk uzņēmumam ir atsevišķa tīkla ierīču uzskaites sistēma, kas atrisina specifiskākas problēmas.
Šīs rakstu sērijas ietvaros mēs to sauksim par DCIM — datu centra infrastruktūras pārvaldību. Lai gan pats termins DCIM, stingri ņemot, ietver daudz vairāk.

Mūsu vajadzībām mēs tajā glabāsim šādu informāciju par ierīci:

• Inventāra numurs
• Nosaukums/Apraksts
• Modelis (Huawei CE12800, Juniper QFX5120 utt.)
• Raksturīgie parametri (plates, saskarnes utt.)
• Loma (Lapa, mugurkauls, apmales maršrutētājs utt.)
• Atrašanās vieta (reģions, pilsēta, datu centrs, plaukts, vienība)
• Savienojumi starp ierīcēm
• Tīkla topoloģija

Ir pilnīgi skaidrs, ka mēs paši vēlamies to visu zināt.
Bet vai tas palīdzēs automatizācijas nolūkos?
Protams.
Piemēram, mēs zinām, ka konkrētā datu centrā Leaf slēdžos, ja tas ir Huawei, ACL, lai filtrētu noteiktu trafiku, ir jāpiemēro VLAN, un, ja tas ir Juniper, tad fiziskās saskarnes 0. vienībā.
Vai arī jums ir jāizlaiž jauns Syslog serveris visās reģiona robežās.

Tajā mēs glabāsim virtuālās tīkla ierīces, piemēram, virtuālos maršrutētājus vai saknes reflektorus. Mēs varam pievienot DNS serverus, NTP, Syslog un vispār visu, kas vienā vai otrā veidā attiecas uz tīklu.

2. komponents: IP telpas pārvaldības sistēma

Jā, un mūsdienās ir cilvēku komandas, kas izseko prefiksus un IP adreses Excel failā. Taču mūsdienu pieeja joprojām ir datu bāze ar nginx/apache priekšgalu, API un plašām funkcijām IP adrešu un tīklu ierakstīšanai, kas sadalīti VRF.
IPAM - IP adrešu pārvaldība.

Mūsu vajadzībām mēs tajā glabāsim šādu informāciju:

• VLAN
• VRF
• Tīkli/apakštīkli
• IP adreses
• Adrešu saistīšana ar ierīcēm, tīklu ar atrašanās vietām un VLAN numuriem

Atkal ir skaidrs, ka mēs vēlamies pārliecināties, ka, piešķirot jaunu IP adresi ToR cilpai, mēs nepaklupsim par to, ka tā kādam jau ir piešķirta. Vai arī mēs divreiz izmantojām vienu un to pašu prefiksu dažādos tīkla galos.
Bet kā tas palīdz automatizācijai?
Tas ir vienkārši.
Sistēmā pieprasām prefiksu ar lomu Loopbacks, kas satur piešķiršanai pieejamās IP adreses - ja tiek atrasts, piešķiram adresi, ja nē, pieprasām izveidot jaunu prefiksu.
Vai arī veidojot ierīces konfigurāciju, no tās pašas sistēmas varam noskaidrot, kurā VRF interfeisam jāatrodas.
Un startējot jaunu serveri, skripts ielogojas sistēmā, noskaidro, kurā slēdzī atrodas serveris, kurā portā un kurš apakštīkls ir piešķirts interfeisam - un no tā piešķirs servera adresi.

Tas liecina par vēlmi apvienot DCIM un IPAM vienā sistēmā, lai nedublētos funkcijas un neapkalpotu divas līdzīgas vienības.
To mēs darīsim.

3. komponents. Tīkla pakalpojumu aprakstīšanas sistēma

Ja pirmajās divās sistēmās tiek glabāti mainīgie, kas vēl kaut kā jāizmanto, tad trešajā katrai ierīces lomai ir aprakstīts, kā tā jākonfigurē.
Ir vērts nošķirt divus dažādus tīkla pakalpojumu veidus:

• Infrastruktūra
• Klients.

Pirmie ir paredzēti, lai nodrošinātu pamata savienojumu un ierīces vadību. Tie ietver VTY, SNMP, NTP, Syslog, AAA, maršrutēšanas protokolus, CoPP utt.
Pēdējie organizē pakalpojumu klientam: MPLS L2/L3VPN, GRE, VXLAN, VLAN, L2TP utt.
Protams, ir arī robežgadījumi - kur iekļaut MPLS LDP, BGP? Jā, un maršrutēšanas protokolus var izmantot klientiem. Bet tas nav svarīgi.

Abu veidu pakalpojumi ir sadalīti konfigurācijas primitīvos:

• fiziskās un loģiskās saskarnes (tag/anteg, mtu)
• IP adreses un VRF (IP, IPv6, VRF)
• ACL un trafika apstrādes politikas
• Protokoli (IGP, BGP, MPLS)
• Maršrutēšanas politikas (prefiksu saraksti, kopienas, ASN filtri).
• Komunālie pakalpojumi (SSH, NTP, LLDP, Syslog...)
• utt.

Kā tieši mēs to darīsim, man vēl nav ne jausmas. Mēs to aplūkosim atsevišķā rakstā.

Ja mazliet tuvāk dzīvei, tad to varētu aprakstīt
Slēdžam Leaf ir jābūt BGP sesijām ar visiem pievienotajiem Spine slēdžiem, tajā ir jāimportē savienotie tīkli un jāpieņem tikai tīkli no noteikta prefiksa no Spine slēdžiem. Ierobežojiet CoPP IPv6 ND līdz 10 pps utt.
Savukārt muguriņas rīko seansus ar visiem savienotajiem novadiem, darbojoties kā sakņu atstarotāji, un pieņem no tiem tikai noteikta garuma maršrutus ar noteiktu kopienu.

4. komponents: ierīces inicializācijas mehānisms

Šajā virsrakstā es apvienoju daudzas darbības, kas jāveic, lai ierīce tiktu parādīta radarā un tai piekļūtu attālināti.

1. Ievadiet ierīci uzskaites sistēmā.
2. Izvēlieties pārvaldības IP adresi.
3. Iestatiet pamata piekļuvi tai:
   Resursdatora nosaukums, pārvaldības IP adrese, maršruts uz pārvaldības tīklu, lietotāji, SSH atslēgas, protokoli - telnet/SSH/NETCONF

Ir trīs pieejas:

• Viss ir pilnībā manuāli. Ierīce tiek nogādāta stendā, kur parasts organiskais cilvēks to ievadīs sistēmās, pieslēgsies pie pults un konfigurēs. Var strādāt nelielos statiskos tīklos.
• ZTP — Zero Touch Provisioning. Aparatūra ieradās, piecēlās, saņēma adresi caur DHCP, devās uz īpašu serveri un konfigurēja sevi.
• Konsoļu serveru infrastruktūra, kur sākotnējā konfigurācija notiek caur konsoles portu automātiskajā režīmā.

Par visiem trim mēs runāsim atsevišķā rakstā.

5. komponents: pārdevēja-agnostiskā konfigurācijas modelis

Līdz šim visas sistēmas ir bijušas atšķirīgi ielāpi, kas nodrošina mainīgos lielumus un deklaratīvu aprakstu par to, ko mēs vēlētos redzēt tīklā. Bet agrāk vai vēlāk jums būs jātiek galā ar specifiku.
Šajā posmā katrai konkrētai ierīcei primitīvi, pakalpojumi un mainīgie tiek apvienoti konfigurācijas modelī, kas faktiski apraksta visas konkrētas ierīces konfigurāciju, tikai pārdevēja ziņā neitrāli.
Ko dara šis solis? Kāpēc gan nekavējoties neizveidot ierīces konfigurāciju, kuru varat vienkārši augšupielādēt?
Faktiski tas atrisina trīs problēmas:

1. Nepielāgojieties noteiktai saskarnei, lai mijiedarbotos ar ierīci. Vai tas būtu CLI, NETCONF, RESTCONF, SNMP - modelis būs tas pats.
2. Neglabājiet veidņu/skriptu skaitu atbilstoši pārdevēju skaitam tīklā, un, ja dizains mainās, mainiet to pašu vairākās vietās.
3. Ielādējiet konfigurāciju no ierīces (rezerves), ievietojiet to tieši tajā pašā modelī un tieši salīdziniet mērķa konfigurāciju ar esošo, lai aprēķinātu delta un sagatavotu konfigurācijas ielāpu, kas mainīs tikai tās daļas, kas ir nepieciešamas, vai lai noteiktu novirzes.

Šī posma rezultātā mēs iegūstam no pārdevēja neatkarīgu konfigurāciju.

6. komponents. Pārdevējam raksturīga draivera saskarne

Nevajag sevi glaimot ar cerībām, ka kādu dienu cisku varēs konfigurēt tieši tāpat kā kadiķi, vienkārši nosūtot viņiem tieši tādus pašus zvanus. Neskatoties uz balto kastīšu pieaugošo popularitāti un NETCONF, RESTCONF, OpenConfig atbalsta parādīšanos, šo protokolu nodrošinātais specifiskais saturs dažādiem pārdevējiem atšķiras, un šī ir viena no to konkurences atšķirībām, no kuras viņi tik viegli nepadosies.
Tas ir aptuveni tāds pats kā OpenContrail un OpenStack, kuru NorthBound interfeiss ir RestAPI, sagaida pilnīgi atšķirīgus zvanus.

Tātad, piektajā darbībā, no pārdevēja neatkarīgajam modelim ir jāiegūst tāda forma, kādā tas tiks nodots aparatūrai.
Un šeit visi līdzekļi ir labi (nav): CLI, NETCONF, RESTCONF, SNMP vienkārši.

Tāpēc mums būs nepieciešams draiveris, kas pārsūtīs iepriekšējās darbības rezultātu konkrēta pārdevēja vajadzīgajā formātā: CLI komandu kopa, XML struktūra.

Komponents 7. Mehānisms konfigurācijas piegādei ierīcei

Mēs esam ģenerējuši konfigurāciju, taču tā joprojām ir jānogādā ierīcēs - un, protams, ne ar rokām.
Pirmkārt, mēs saskaramies ar jautājumu, kādu transportu izmantosim? Un šodien izvēle vairs nav maza:

• CLI (telnet, ssh)
• SNMP
• NETCONF
• RESTCONF
• REST API
• OpenFlow (lai gan tas ir izņēmums, jo tas ir veids, kā nodrošināt FIB, nevis iestatījumus)

Iezīmēsim šeit ar t. CLI ir mantojums. SNMP... klepus klepus.
RESTCONF joprojām ir nezināms dzīvnieks; REST API neatbalsta gandrīz neviens. Tāpēc sērijā koncentrēsimies uz NETCONF.

Faktiski, kā lasītājs jau saprata, šajā brīdī mēs jau esam izlēmuši par saskarni - iepriekšējās darbības rezultāts jau ir parādīts izvēlētā interfeisa formātā.

Otrkārt, un ar kādiem rīkiem mēs to darīsim?
Šeit ir arī liela izvēle:

• Pašu rakstīts skripts vai platforma. Apbruņosimies ar ncclient un asyncIO un darīsim visu paši. Cik mums izmaksā izvietošanas sistēmas izveide no nulles?
• Ansible ar bagātīgo tīkla moduļu bibliotēku.
• Sāls ar savu niecīgo darbu ar tīklu un savienojumu ar Napalmu.
• Patiesībā Napalm, kas pazīst pāris pārdevējus, un viss, ardievu.
• Nornir ir vēl viens dzīvnieks, kuru mēs turpmāk izpētīsim.

Šeit favorīts vēl nav izvēlēts - meklēsim.

Kas vēl šeit ir svarīgs? Konfigurācijas piemērošanas sekas.
Veiksmīgi vai nē. Vai joprojām ir piekļuve aparatūrai vai nav?
Šķiet, ka commit šeit palīdzēs ar apstiprinājumu un apstiprinājumu par to, kas tika lejupielādēts ierīcē.
Tas apvienojumā ar pareizu NETCONF ieviešanu ievērojami sašaurina piemēroto ierīču klāstu - ne daudzi ražotāji atbalsta parastās saistības. Bet tas ir tikai viens no priekšnoteikumiem RFP. Galu galā neviens neuztraucas, ka neviens Krievijas pārdevējs neatbildīs 32 * 100GE interfeisa nosacījumam. Vai arī viņš ir noraizējies?

Komponents 8. CI/CD

Šobrīd mums jau ir gatava konfigurācija visām tīkla ierīcēm.
Es rakstu “par visu”, jo mēs runājam par tīkla stāvokļa versiju noteikšanu. Un pat tad, ja ir jāmaina tikai viena slēdža iestatījumi, izmaiņas tiek aprēķinātas visam tīklam. Acīmredzot lielākajai daļai mezglu tie var būt nulle.

Bet, kā jau tika teikts iepriekš, mēs neesam nekādi barbari, kas vēlas visu virzīt uz ražošanu.
Ģenerētajai konfigurācijai vispirms ir jāiziet caur Pipeline CI/CD.

CI/CD nozīmē Continuous Integration, Continuous Deployment. Šī ir pieeja, kurā komanda ne tikai ik pēc sešiem mēnešiem izdod jaunu lielu laidienu, pilnībā aizstājot veco, bet arī regulāri pakāpeniski ievieš (izvieto) jaunu funkcionalitāti nelielās porcijās, no kurām katra tiek visaptveroši pārbaudīta saderības, drošības un veiktspēja (Integrācija).

Lai to izdarītu, mums ir versiju kontroles sistēma, kas uzrauga konfigurācijas izmaiņas, laboratorija, kas pārbauda, ​​vai klientu apkalpošana nav bojāta, uzraudzības sistēma, kas pārbauda šo faktu, un pēdējais solis ir izmaiņu ieviešana ražošanas tīklā.

Izņemot atkļūdošanas komandas, absolūti visām izmaiņām tīklā ir jānotiek caur CI/CD cauruļvadu — tā ir mūsu klusas dzīves un ilgas, laimīgas karjeras garantija.

Komponents 9. Rezerves un anomāliju noteikšanas sistēma

Nu, nav vajadzības vēlreiz runāt par dublēšanu.
Mēs tos vienkārši ievietosim git atbilstoši kronim vai konfigurācijas maiņas faktam.

Bet otrā daļa ir interesantāka - kādam vajadzētu pieskatīt šos dublējumus. Un dažos gadījumos šim cilvēkam ir jāiet un jāpagriež viss tā, kā tas bija, bet citos – kādam jāņaud, ka kaut kas nav kārtībā.
Piemēram, ja ir parādījies jauns lietotājs, kurš nav reģistrēts mainīgajos lielumos, jums tas ir jānoņem no uzlaušanas. Un, ja labāk neaiztikt jaunu ugunsmūra kārtulu, varbūt kāds tikko ieslēdza atkļūdošanu, vai arī jaunais pakalpojums, bungler, nav reģistrēts atbilstoši noteikumiem, bet cilvēki tam jau ir pievienojušies.

Mēs joprojām neizbēgsim no nelielas delta visa tīkla mērogā, neskatoties uz visām automatizācijas sistēmām un stingro vadības roku. Lai atkļūdotu problēmas, neviens sistēmām nepievienos konfigurāciju. Turklāt tie var pat nebūt iekļauti konfigurācijas modelī.

Piemēram, ugunsmūra noteikums pakešu skaita skaitīšanai uz noteiktu IP, lai lokalizētu problēmu, ir pilnīgi parasta pagaidu konfigurācija.

Komponents 10. Uzraudzības sistēma

Sākumā es negrasījos aplūkot monitoringa tēmu – tā joprojām ir apjomīga, strīdīga un sarežģīta tēma. Taču, lietas virzoties uz priekšu, izrādījās, ka tā ir neatņemama automatizācijas sastāvdaļa. Un to nav iespējams apiet pat bez prakses.

Evolving Thought ir CI/CD procesa organiska daļa. Pēc konfigurācijas ieviešanas tīklā mums ir jāspēj noteikt, vai tagad ar to viss ir kārtībā.
Un mēs runājam ne tikai un ne tik daudz par saskarnes lietošanas grafikiem vai mezglu pieejamību, bet par smalkākām lietām - nepieciešamo maršrutu esamību, atribūtiem uz tiem, BGP sesiju skaitu, OSPF kaimiņiem, veiktspēju no gala līdz galam. virspakalpojumiem.
Vai ārējā servera syslogs pārtrauca pievienoties, vai SFlow aģents sabojājās, vai rindu skaits sāka pieaugt, vai arī savienojamība starp dažiem prefiksu pāriem sabojājās?

Par to mēs runāsim atsevišķā rakstā.

Secinājums

Par pamatu izvēlējos vienu no mūsdienu datu centru tīkla projektiem - L3 Clos Fabric ar BGP kā maršrutēšanas protokolu.
Šoreiz tīklu veidosim uz Juniper, jo tagad JunOs interfeiss ir vanlove.

Padarīsim savu dzīvi grūtāku, izmantojot tikai atvērtā pirmkoda rīkus un vairāku piegādātāju tīklu, tāpēc papildus Juniper es izvēlēšos vēl vienu laimīgo.

Gaidāmo publikāciju plāns ir apmēram šāds:
Vispirms es runāšu par virtuālajiem tīkliem. Pirmkārt, tāpēc, ka es gribu, un, otrkārt, tāpēc, ka bez šī infrastruktūras tīkla projektēšana nebūs īsti skaidra.
Tad par pašu tīkla dizainu: topoloģija, maršrutēšana, politikas.
Saliksim laboratorijas stendu.
Padomāsim par to un varbūt praktizēsim ierīces inicializēšanu tīklā.
Un tad par katru komponentu intīmā detaļā.

Un jā, es nesolu graciozi noslēgt šo ciklu ar gatavu risinājumu. 🙂

Noderīgas saites

• Pirms iedziļināties sērijā, ir vērts izlasīt Natašas Samoiļenko grāmatu Python tīkla inženieriem. Un varbūt pāries kurss.
• Noderēs arī palasīt RFC par datu centru rūpnīcu dizainu no Facebook, ko veidojis Pēteris Lapuhovs.
• Arhitektūras dokumentācija sniegs priekšstatu par pārklājuma SDN darbību. Volframa audums (agrāk Open Contrail).

Paldies

Romiešu aiza. Komentāriem un labojumiem.
Artjoms Černobajs. Par KDPV.

Avots: www.habr.com