Pirmajos divos rakstos es izvirzīju jautājumu par automatizāciju un ieskicēju tās ietvaru, otrajā es pievērsos tīkla virtualizācijai, kas ir pirmā pieeja pakalpojumu konfigurācijas automatizēšanai.
Tagad ir pienācis laiks uzzīmēt fiziskā tīkla diagrammu.

Ja neesat pazīstams ar datu centru tīklu iestatīšanu, es ļoti iesaku sākt ar raksti par tiem.

Visas problēmas:

• 0. ADSM. Nulles daļa. Plānošana
• 1. ADSM. Pirmā daļa (kas ir pēc nulles). Tīkla virtualizācija
• 2. ADSM. Otrā daļa. Tīkla dizains

Šajā sērijā aprakstītajai praksei ir jāattiecas uz jebkura veida tīkliem, jebkura izmēra un dažādiem pārdevējiem (nevis). Tomēr nav iespējams aprakstīt universālu piemēru šo pieeju pielietošanai. Tāpēc es koncentrēšos uz līdzstrāvas tīkla moderno arhitektūru: Kloza rūpnīca.
Mēs veiksim DCI uz MPLS L3VPN.

Pārklājuma tīkls darbojas virs resursdatora fiziskā tīkla (tas varētu būt OpenStack VXLAN vai Tungsten Fabric vai jebkas cits, kam nepieciešams tikai pamata IP savienojums no tīkla).

Šajā gadījumā mēs iegūstam salīdzinoši vienkāršu automatizācijas scenāriju, jo mums ir daudz aprīkojuma, kas ir konfigurēts vienādi.

Mēs izvēlēsimies sfērisku līdzstrāvu vakuumā:

• Visur viena dizaina versija.
• Divi pārdevēji, kas veido divas tīkla plaknes.
• Viens DC ir kā otrs kā divi zirņi pākstī.

saturs

• Fiziskā topoloģija
• Maršrutēšana
• IP plāns
• Laba
• Secinājums
• Noderīgas saites

Ļaujiet mūsu pakalpojumu sniedzējam LAN_DC, piemēram, uzņemt mācību video par izdzīvošanu iestrēgušos liftos.

Megapilsētās tas ir ļoti populārs, tāpēc jums ir nepieciešams daudz fizisko iekārtu.

Vispirms es aprakstīšu tīklu aptuveni tādu, kādu es to vēlētos. Un tad es to vienkāršošu laboratorijai.

Fiziskā topoloģija

Atrašanās vietas

LAN_DC būs 6 DC:

• Krievija (RU):
  • Maskava (MSK)
  • Kazaņa (kzn)

• Spānija (SP):
  • Barselona (bcn)
  • Malaga (MLG)

• Ķīna (CN):
  • Šanhaja (sha)
  • Siaņa (abi)

Inside DC (Intra-DC)

Visiem DC ir identiski iekšējie savienojamības tīkli, kuru pamatā ir Clos topoloģija.
Kas tie ir par Clos tīkliem un kāpēc tie ir atsevišķi raksts.

Katrā DC ir 10 plaukti ar mašīnām, tie tiks numurēti kā A, B, C Un tā tālāk.

Katrā plauktā ir 30 mašīnas. Viņi mūs neinteresēs.

Arī katrā plauktā ir slēdzis, kuram ir pievienotas visas mašīnas - tas ir Slēdža augšdaļa — ToR vai kā citādi, runājot par Clos rūpnīcu, mēs to sauksim Lapa.

Rūpnīcas vispārējā shēma.

Mēs viņiem piezvanīsim XXX- lapaYKur XXX - trīs burtu saīsinājums DC un Y - sērijas numurs. Piemēram, kzn-lapa11.

Savos rakstos es atļaušos lietot terminus Leaf un ToR diezgan vieglprātīgi kā sinonīmus. Tomēr mums jāatceras, ka tas tā nav.
ToR ir plauktā uzstādīts slēdzis, kuram ir pievienotas mašīnas.
Leaf ir ierīces loma fiziskajā tīklā vai pirmā līmeņa slēdzis Cloes topoloģijas ziņā.
Tas ir, Lapa != ToR.
Tātad Leaf var būt, piemēram, EndofRaw slēdzis.
Tomēr šī raksta ietvaros mēs tos joprojām traktēsim kā sinonīmus.

Katrs ToR slēdzis savukārt ir savienots ar četriem augstāka līmeņa apkopošanas slēdžiem - Mugurkauls. Viens statīvs DC ir atvēlēts Spines. Mēs to nosauksim līdzīgi: XXX- mugurkaulsY.

Tajā pašā plauktā būs tīkla aprīkojums savienojumam starp DC-2 maršrutētājiem ar MPLS. Bet kopumā tie ir tie paši ToR. Tas ir, no Spine slēdžu viedokļa parastajam ToR ar pievienotajām mašīnām vai maršrutētāju DCI nav nozīmes - tikai pārsūtīšana.

Tādus īpašos ToR sauc Mala-lapa. Mēs viņiem piezvanīsim XXX-maluY.

Tas izskatīsies šādi.

Iepriekš redzamajā diagrammā es faktiski novietoju malu un lapu vienā līmenī. Klasiskie trīsslāņu tīkli Viņi mācīja uzskatīt augšupsaiti (tātad šis termins) kā augšupsaites. Un šeit izrādās, ka DCI “augšupsaite” atkal nolaižas, kas dažiem nedaudz pārkāpj ierasto loģiku. Lielu tīklu gadījumā, kad datu centri tiek sadalīti vēl mazākās vienībās - POD's (Piegādes punkts), iezīmējiet atsevišķu Edge-POD's DCI un piekļuvei ārējiem tīkliem.

Lai atvieglotu uztveri nākotnē, es joprojām zīmēšu Edge over Spine, vienlaikus paturot prātā, ka uz Spine nav inteliģences un nav atšķirību, strādājot ar parasto Leaf un Edge-leaf (lai gan šeit var būt nianses , bet kopumā Tā ir taisnība).

Rūpnīcas shēma ar malām.

Lapu, mugurkaula un malas trīsvienība veido apakšklājuma tīklu vai rūpnīcu.

Tīkla rūpnīcas uzdevums (lasiet Underlay), kā mēs jau esam definējuši pēdējais numurs, ļoti, ļoti vienkārši - nodrošināt IP savienojumu starp mašīnām gan vienā līdzstrāvas ietvaros, gan starp tām.
Tāpēc tīkls tiek saukts par rūpnīcu, tāpat kā, piemēram, komutācijas rūpnīca modulāro tīkla kastēs, par ko vairāk varat lasīt SDSM14.

Kopumā šādu topoloģiju sauc par rūpnīcu, jo audums tulkojumā nozīmē audums. Un ir grūti nepiekrist:

Rūpnīca ir pilnībā L3. Nav VLAN, nav apraides — mums LAN_DC ir tik brīnišķīgi programmētāji, viņi zina, kā rakstīt lietojumprogrammas, kas dzīvo L3 paradigmā, un virtuālajām mašīnām nav nepieciešama tiešraides migrācija ar IP adreses saglabāšanu.

Un vēlreiz: atbilde uz jautājumu, kāpēc rūpnīca un kāpēc L3 ir atsevišķā raksts.

DCI — datu centra starpsavienojums (Inter-DC)

DCI tiks organizēta, izmantojot Edge-Leaf, tas ir, tie ir mūsu izejas punkts uz šoseju.
Vienkāršības labad mēs pieņemam, ka DC ir savienoti viens ar otru ar tiešām saitēm.
Izslēgsim ārējo savienojumu no apsvērumiem.

Es apzinos, ka katru reizi, kad es noņemu komponentu, es ievērojami vienkāršoju tīklu. Un kad mēs automatizēsim savu abstrakto tīklu, viss būs kārtībā, bet uz īstā būs kruķi.
Tā ir patiesība. Tomēr šīs sērijas jēga ir domāt un strādāt pie pieejām, nevis varonīgi risināt iedomātas problēmas.

Edge-Leafs apakšklājs tiek ievietots VPN un tiek pārraidīts caur MPLS mugurkaulu (tā pati tiešā saite).

Šī ir augstākā līmeņa diagramma, ko mēs iegūstam.

Maršrutēšana

Maršrutēšanai līdzstrāvas ietvaros mēs izmantosim BGP.
Uz MPLS maģistrāles OSPF+LDP.
DCI, tas ir, savienojamības organizēšana pazemē - BGP L3VPN, izmantojot MPLS.

Vispārējā maršrutēšanas shēma

Rūpnīcā nav OSPF vai ISIS (Krievijas Federācijā aizliegts maršrutēšanas protokols).

Tas nozīmē, ka nebūs automātiskas atklāšanas vai īsāko ceļu aprēķinu — tikai manuāli (faktiski automātiski — mēs šeit runājam par automatizāciju), iestatot protokolu, apkārtni un politikas.

BGP maršrutēšanas shēma līdzstrāvas ietvaros

Kāpēc BGP?

Par šo tēmu ir viss RFC nosaukts Facebook un Arista vārdā, kas stāsta, kā būvēt ļoti liels datu centru tīkli, izmantojot BGP. Tas skan gandrīz kā daiļliteratūra, es ļoti iesaku to nogurdinošam vakaram.

Un manā rakstā ir arī vesela sadaļa tam veltīta. Kur es tevi vedu un Es sūtu.

Bet tomēr, īsi sakot, neviens IGP nav piemērots lielu datu centru tīkliem, kur tīkla ierīču skaits sniedzas tūkstošos.

Turklāt BGP izmantošana visur ļaus jums netērēt laiku vairāku dažādu protokolu atbalstam un sinhronizācijai starp tiem.

Roku uz sirds, mūsu rūpnīcā, kas ar lielu varbūtības pakāpi strauji neaugs, acīm pietiktu ar OSPF. Tās patiesībā ir megaskaleru un mākoņu titānu problēmas. Bet iedomāsimies, ka mums tas ir vajadzīgs tikai dažiem laidieniem, un mēs izmantosim BGP, kā to novēlēja Pjotrs Lapuhovs.

Maršrutēšanas politikas

Leaf slēdžos mēs importējam prefiksus no Underlay tīkla saskarnēm BGP.
Starp mums būs BGP sesija katrs lapu un mugurkaula pāris, kurā šie apakšklājuma prefiksi tiks paziņoti tīklā šur tur.

Viena datu centra ietvaros mēs izplatīsim specifikācijas, kuras importējām ToRe. Edge-Leafs mēs tos apkoposim un paziņosim attālajiem DC un nosūtīsim uz TOR. Tas nozīmē, ka katrs ToR precīzi zinās, kā nokļūt citā ToR tajā pašā DC un kur ir ieejas punkts, lai nokļūtu citā DC.

DCI maršruti tiks pārsūtīti kā VPNv4. Lai to izdarītu, Edge-Leaf saskarne ar rūpnīcu tiks ievietota VRF, sauksim to UNDERLAY, un apkārtne ar Spine on Edge-Leaf palielināsies VRF un starp Edge-Leaf VPNv4-. ģimene.

Tāpat aizliegsim atkārtoti izziņot maršrutus, kas saņemti no muguriņiem atpakaļ uz tiem.

Lapā un Spine mēs neimportēsim cilpas. Mums tie ir nepieciešami tikai maršrutētāja ID noteikšanai.

Bet Edge-Leafs mēs to importējam globālajā BGP. Starp Loopback adresēm Edge-Leafs savā starpā izveido BGP sesiju IPv4 VPN saimē.

Mums būs OSPF+LDP mugurkauls starp EDGE ierīcēm. Viss ir vienā zonā. Ārkārtīgi vienkārša konfigurācija.

Šis ir attēls ar maršrutēšanu.

BGP ASN

Edge-Leaf ASN

Edge-Leafs visos DC būs viens ASN. Ir svarīgi, lai starp Edge-Leafs būtu iBGP, un mēs neaizķeramies eBGP niansēs. Lai tas būtu 65535. Reāli tas varētu būt publiskas AS numurs.

Mugurkaula ASN

Uz Spine mums būs viens ASN katram DC. Sāksim šeit ar pašu pirmo numuru no privātā AS diapazona - 64512, 64513 Un tā tālāk.

Kāpēc ASN uz DC?

Sadalīsim šo jautājumu divās daļās:

• Kāpēc ASN ir vienādi uz visiem viena līdzstrāvas muguriņiem?
• Kāpēc tie atšķiras dažādos DC?

Kāpēc uz visiem viena līdzstrāvas muguriņiem ir vienādi ASN?

Šādi izskatīsies apakšklājuma maršruta AS-ceļš uz Edge-Leaf:
[leafX_ASN, spine_ASN, edge_ASN]
Mēģinot to reklamēt atpakaļ pakalpojumā Spine, tas tiks atmests, jo tā AS (Spine_AS) jau ir sarakstā.

Tomēr DC ietvaros mēs esam pilnībā apmierināti, ka Underlay maršruti, kas paceļas uz Edge, nevarēs nolaisties. Visai saziņai starp saimniekiem līdzstrāvas ietvaros jānotiek mugurkaula līmenī.

Šajā gadījumā citu DC apkopotie maršruti jebkurā gadījumā viegli sasniegs ToR - viņu AS-Path būs tikai ASN 65535 - AS Edge-Leafs skaits, jo tieši tur tie tika izveidoti.

Kāpēc tie atšķiras dažādos DC?

Teorētiski mums, iespējams, vajadzēs vilkt Loopback un dažas pakalpojumu virtuālās mašīnas starp DC.

Piemēram, resursdatorā mēs darbosim Route Reflector vai tas pats VNGW (Virtual Network Gateway), kas tiks bloķēta ar TopR, izmantojot BGP, un paziņos par savu atgriezenisko cilpu, kurai vajadzētu būt pieejamai no visiem DC.

Tātad tā izskatīsies tā AS-Path:
[VNF_ASN, leafX_DC1_ASN, spine_DC1_ASN, edge_ASN, spine_DC2_ASN, leafY_DC2_ASN]

Un nekur nevajadzētu būt ASN dublikātiem.

Tas ir, Spine_DC1 un Spine_DC2 ir jābūt atšķirīgiem, tāpat kā leafX_DC1 un leafY_DC2, kas ir tieši tas, ko mēs tuvojam.

Kā jūs droši vien zināt, pastāv uzlauzumi, kas ļauj pieņemt maršrutus ar dublētiem ASN, neskatoties uz cilpas novēršanas mehānismu (atļauja Cisco). Un tam pat ir likumīgs lietojums. Taču tā ir potenciāla plaisa tīkla stabilitātē. Un es personīgi tajā iekritu pāris reizes.

Un, ja mums būs iespēja neizmantot bīstamas lietas, mēs to izmantosim.

Lapa ASN

Mums būs atsevišķs ASN uz katra Leaf slēdža visā tīklā.
Mēs to darām iepriekš minēto iemeslu dēļ: AS-Path bez cilpām, BGP konfigurācija bez grāmatzīmēm.

Lai maršruti starp Leafs noritētu vienmērīgi, AS-Path vajadzētu izskatīties šādi:
[leafX_ASN, spine_ASN, leafY_ASN]
kur leafX_ASN un leafY_ASN būtu jauki atšķirties.

Tas ir nepieciešams arī situācijā, kad tiek paziņots par VNF atgriezenisko saiti starp DC:
[VNF_ASN, leafX_DC1_ASN, spine_DC1_ASN, edge_ASN, spine_DC2_ASN, leafY_DC2_ASN]

Mēs izmantosim 4 baitu ASN un ģenerēsim to, pamatojoties uz Spine's ASN un Leaf slēdža numuru, proti, šādi: Mugurkauls_ASN.0000X.

Šis ir attēls ar ASN.

IP plāns

Būtībā mums ir jāpiešķir adreses šādiem savienojumiem:

1. Novietojiet tīkla adreses starp ToR un iekārtu. Tiem jābūt unikāliem visā tīklā, lai jebkura iekārta varētu sazināties ar jebkuru citu. Lieliski piemērots 10/8. Katram plauktam ir /26 ar rezervi. Mēs piešķirsim /19 uz DC un /17 katram reģionam.
2. Saistiet adreses starp Leaf/Tor un Spine.

   Es vēlētos tos piešķirt algoritmiski, tas ir, aprēķināt tos no to ierīču nosaukumiem, kuras ir jāpievieno.

   Lai ir... 169.254.0.0/16.
   Proti 169.254.00X.Y/31Kur X - mugurkaula numurs, Y — P2P tīkls /31.
   Tas ļaus jums palaist līdz 128 statīviem un līdz 10 muguriņiem līdzstrāvas sistēmā. Saites adreses var (un tiks) atkārtotas no līdzstrāvas uz līdzstrāvu.

3. Mēs organizējam krustojumu Spine-Edge-Leaf apakštīklos 169.254.10X.Y/31, kur tieši tas pats X - mugurkaula numurs, Y — P2P tīkls /31.
4. Saistiet adreses no Edge-Leaf uz MPLS mugurkaulu. Šeit situācija ir nedaudz atšķirīga - vieta, kur visi gabali ir savienoti vienā pīrāgā, tāpēc to pašu adrešu atkārtota izmantošana nedarbosies - jums ir jāizvēlas nākamais bezmaksas apakštīkls. Tāpēc ņemsim par pamatu 192.168.0.0/16 un mēs no tā izgrābsim brīvos.
5. Cilpas adreses. Mēs viņiem piedāvāsim visu klāstu 172.16.0.0/12.
   • Lapa - /25 uz DC - tie paši 128 statīvi. Katram reģionam piešķirsim /23.
   • Mugurkauls - /28 uz DC - līdz 16 Mugurkauls. Novadam izdalīsim /26.
   • Edge-Leaf - /29 uz DC - līdz 8 kastēm. Novadam izdalīsim /27.

Ja mums nav pietiekami daudz piešķirto diapazonu DC (un tādu nebūs — mēs apgalvojam, ka esam hiperskalori), mēs vienkārši atlasām nākamo bloku.

Šis ir attēls ar IP adresēšanu.

Atpakaļcilpas:

Prefikss
Ierīces loma
Apgabals
DC

172.16.0.0/23
mala
 
 

172.16.0.0/27
ru
 

172.16.0.0/29
MSK

172.16.0.8/29
kzn

172.16.0.32/27
sp
 

172.16.0.32/29
bcn

172.16.0.40/29
MLG

172.16.0.64/27
cn
 

172.16.0.64/29
sha

172.16.0.72/29
abi

172.16.2.0/23
mugurkauls
 
 

172.16.2.0/26
ru
 

172.16.2.0/28
MSK

172.16.2.16/28
kzn

172.16.2.64/26
sp
 

172.16.2.64/28
bcn

172.16.2.80/28
MLG

172.16.2.128/26
cn
 

172.16.2.128/28
sha

172.16.2.144/28
abi

172.16.8.0/21
lapa
 
 

172.16.8.0/23
ru
 

172.16.8.0/25
MSK

172.16.8.128/25
kzn

172.16.10.0/23
sp
 

172.16.10.0/25
bcn

172.16.10.128/25
MLG

172.16.12.0/23
cn
 

172.16.12.0/25
sha

172.16.12.128/25
abi

Apakšklājs:

Prefikss
Apgabals
DC

10.0.0.0/17
ru
 

10.0.0.0/19
MSK

10.0.32.0/19
kzn

10.0.128.0/17
sp
 

10.0.128.0/19
bcn

10.0.160.0/19
MLG

10.1.0.0/17
cn
 

10.1.0.0/19
sha

10.1.32.0/19
abi

Laba

Divi pārdevēji. Viens tīkls. ADSM.

Kadiķis + Arista. Ubuntu. Vecā labā Ieva.

Resursu apjoms mūsu virtuālajā serverī Miranā joprojām ir ierobežots, tāpēc praksei izmantosim līdz ierobežojumam vienkāršotu tīklu.

Divi datu centri: Kazaņa un Barselona.

• Divi muguriņas katrs: Kadiķis un Arista.
• Viens torus (lapa) katrā - Juniper un Arista, ar vienu savienotu saimniekdatoru (paņemsim vieglo Cisco IOL).
• Katrs Edge-Leaf mezgls (pagaidām tikai Juniper).
• Viens Cisco slēdzis, lai pārvaldītu tos visus.
• Papildus tīkla kastēm darbojas virtuālā vadības iekārta. Darbojas Ubuntu.
  Tam ir piekļuve visām ierīcēm, tas darbinās IPAM/DCIM sistēmas, daudz Python skriptu, Ansible un jebko citu, kas mums varētu būt nepieciešams.

Pilna konfigurācija no visām tīkla ierīcēm, kuras mēģināsim reproducēt, izmantojot automatizāciju.

Secinājums

Vai tas arī ir pieņemts? Vai man zem katra raksta jāraksta īss secinājums?

Tāpēc mēs izvēlējāmies trīs līmeņu Kloz tīkls līdzstrāvas iekšienē, jo mēs sagaidām lielu austrumu-rietumu trafiku un vēlamies ECMP.

Tīkls tika sadalīts fiziskajā (apakšā) un virtuālajā (pārklājums). Tajā pašā laikā pārklājums sākas no saimniekdatora, tādējādi vienkāršojot prasības apakšklājam.

Mēs izvēlējāmies BGP kā tīkla tīklu maršrutēšanas protokolu tā mērogojamības un politikas elastības dēļ.

Mums būs atsevišķi mezgli DCI organizēšanai - Edge-leaf.
Mugurkaulā būs OSPF+LDP.
DCI tiks ieviests, pamatojoties uz MPLS L3VPN.
P2P saitēm mēs aprēķināsim IP adreses algoritmiski, pamatojoties uz ierīču nosaukumiem.
Mēs piešķirsim cilpas pēc ierīču lomas un to atrašanās vietas secīgi.
Apakšklājuma prefiksi — tikai uz Leaf slēdžiem secīgi, pamatojoties uz to atrašanās vietu.

Pieņemsim, ka šobrīd mums vēl nav uzstādīts aprīkojums.
Tāpēc mūsu nākamie soļi būs to pievienošana sistēmām (IPAM, inventārs), piekļuves organizēšana, konfigurācijas ģenerēšana un izvietošana.

Nākamajā rakstā mēs aplūkosim Netbox - IP vietas uzskaites un pārvaldības sistēmu līdzstrāvas tīklā.

Paldies

• Andrejs Glazkovs aka @glazgoo par korektūru un labojumiem
• Aleksandrs Kļimenko aka @v00lk par korektūru un labojumiem
• Artjoms Černobajs KDPV

Avots: www.habr.com