🥇Pieredze tīkla audumu ieviešanā uz EVPN VXLAN un Cisco ACI bāzes un neliels salīdzinājums

Novērtējiet savienojumus diagrammas vidusdaļā. Mēs pie tiem atgriezīsimies tālāk.

Kādā brīdī jūs varat atklāt, ka lieli, sarežģīti L2 tīkli ir neārstējami slimi. Pirmkārt, problēmas, kas saistītas ar BUM trafika apstrādi un STP protokola darbību. Otrkārt, arhitektūra kopumā ir novecojusi. Tas rada nepatīkamas problēmas dīkstāves un neērtas lietošanas veidā.

Mums bija divi paralēli projekti, kur pasūtītāji prātīgi novērtēja visus variantu plusus un mīnusus un izvēlējās divus dažādus pārklājuma risinājumus, un mēs tos ieviesām.

Bija iespēja salīdzināt realizāciju. Ne ekspluatācija; mums par to vajadzētu runāt pēc diviem vai trim gadiem.

Tātad, kas ir tīkla struktūra ar pārklājuma tīkliem un SDN?

Ko darīt ar klasiskās tīkla arhitektūras aktuālajām problēmām?

Katru gadu parādās jaunas tehnoloģijas un idejas. Praksē steidzama nepieciešamība atjaunot tīklus neradās diezgan ilgu laiku, jo ir iespējams arī visu izdarīt manuāli, izmantojot vecās labās metodes. Ko darīt, ja ir divdesmit pirmais gadsimts? Galu galā administratoram ir jāstrādā, nevis jāsēž savā birojā.

Tad sākās liela mēroga datu centru būvniecības bums. Tad kļuva skaidrs, ka ir sasniegta klasiskās arhitektūras attīstības robeža ne tikai veiktspējas, kļūdu tolerances un mērogojamības ziņā. Un viena no šo problēmu risināšanas iespējām bija ideja izveidot pārklājuma tīklus uz maršrutēta mugurkaula.

Turklāt, palielinoties tīklu mērogam, ir kļuvusi aktuāla šādu rūpnīcu pārvaldības problēma, kā rezultātā sāka parādīties programmatūras definēti tīkla risinājumi ar iespēju pārvaldīt visu tīkla infrastruktūru kā vienotu veselumu. Un, kad tīkls tiek pārvaldīts no viena punkta, citiem IT infrastruktūras komponentiem ir vieglāk ar to mijiedarboties, un šādus mijiedarbības procesus ir vieglāk automatizēt.

Gandrīz katrs lielākais ne tikai tīkla iekārtu, bet arī virtualizācijas ražotājs savā portfelī piedāvā šādu risinājumu iespējas.

Atliek tikai izdomāt, kas ir piemērots kādām vajadzībām. Piemēram, īpaši lieliem uzņēmumiem ar labu izstrādes un darbības komandu piegādātāju komplektētie risinājumi ne vienmēr apmierina visas vajadzības, un viņi ķeras pie savu SD (programmatūras definēto) risinājumu izstrādes. Piemēram, tie ir mākoņpakalpojumu sniedzēji, kuri pastāvīgi paplašina saviem klientiem sniegto pakalpojumu klāstu, un kompleksie risinājumi vienkārši nespēj sekot viņu vajadzībām.

Vidējiem uzņēmumiem ar pārdevēja piedāvāto funkcionalitāti kastes risinājuma veidā pietiek 99 procentos gadījumu.

Kas ir pārklājuma tīkli?

Kāda ir pārklājuma tīklu ideja? Būtībā jūs izmantojat klasisku maršrutētu tīklu un izveidojat tam citu tīklu, lai iegūtu vairāk funkciju. Visbiežāk mēs runājam par efektīvu aprīkojuma un sakaru līniju slodzes sadali, ievērojami palielinot mērogojamības ierobežojumu, palielinot uzticamību un virkni drošības labumu (segmentācijas dēļ). Un SDN risinājumi papildus tam sniedz iespēju ļoti, ļoti, ļoti ērtai elastīgai administrēšanai un padara tīklu pārskatāmāku tā patērētājiem.

Kopumā, ja vietējie tīkli būtu izgudroti 2010. gados, tie izskatītos daudz savādāki nekā tas, ko mēs mantojām no militārpersonām 1970. gados.

Attiecībā uz tehnoloģijām audumu veidošanai, izmantojot pārklājuma tīklus, pašlaik ir daudz pārdevēju ieviešanas un interneta RFC projektu (EVPN+VXLAN, EVPN+MPLS, EVPN+MPLSoGRE, EVPN+Geneve un citi). Jā, ir standarti, taču šo standartu ieviešana dažādiem ražotājiem var atšķirties, tāpēc, veidojot šādas rūpnīcas, pilnībā atteikties no pārdevēja slēdzenes joprojām ir iespējams tikai teorētiski uz papīra.

Izmantojot SD risinājumu, lietas ir vēl mulsinošākas; katram pārdevējam ir savs redzējums. Ir pilnīgi atvērti risinājumi, kurus teorētiski var pabeigt pats, un ir pilnīgi slēgti.

Cisco piedāvā savu SDN versiju datu centriem - ACI. Protams, tas ir 100% pārdevēju bloķēts risinājums tīkla aprīkojuma izvēles ziņā, taču tajā pašā laikā tas ir pilnībā integrēts ar virtualizācijas sistēmām, konteinerizāciju, drošību, orķestrēšanu, slodzes balansētājiem utt. Taču būtībā tas joprojām ir veida melnā kaste, bez iespējas pilnībā piekļūt visiem iekšējiem procesiem. Ne visi klienti piekrīt šai iespējai, jo jūs esat pilnībā atkarīgs no rakstītā risinājuma koda kvalitātes un tā ieviešanas, bet, no otras puses, ražotājam ir viens no labākajiem tehniskajiem atbalsta veidiem pasaulē un tam ir tikai īpaša komanda. šim risinājumam. Cisco ACI tika izvēlēts kā risinājums pirmajam projektam.

Otrajam projektam tika izvēlēts Kadiķa risinājums. Ražotājam ir arī savs SDN datu centram, taču klients nolēma SDN neieviest. Kā tīkla izveides tehnoloģija tika izvēlēts EVPN VXLAN audums, neizmantojot centralizētus kontrolierus.

Kam tas paredzēts?

Rūpnīcas izveide ļauj izveidot viegli mērogojamu, defektu izturīgu un uzticamu tīklu. Arhitektūra (lapu mugurkauls) ņem vērā datu centru īpašības (satiksmes ceļi, līdz minimumam samazinot kavējumus un vājās vietas tīklā). SD risinājumi datu centros ļauj ļoti ērti, ātri un elastīgi vadīt šādu rūpnīcu un integrēt to datu centra ekosistēmā.

Abiem klientiem bija jāveido lieki datu centri, lai nodrošinātu kļūdu toleranci, turklāt bija jāšifrē trafika starp datu centriem.

Pirmais klients jau apsvēra risinājumus bez audumiem kā iespējamu standartu saviem tīkliem, taču testos viņiem bija problēmas ar STP saderību starp vairākiem aparatūras pārdevējiem. Bija dīkstāves, kas izraisīja pakalpojumu avārijas. Un klientam tas bija kritiski.

Cisco jau bija klienta korporatīvais standarts, viņi apskatīja ACI un citas iespējas un nolēma, ka ir vērts izmantot šo risinājumu. Man patika vadības automatizācija no vienas pogas caur vienu kontrolieri. Pakalpojumi tiek konfigurēti un pārvaldīti ātrāk. Mēs nolēmām nodrošināt trafika šifrēšanu, palaižot MACSec starp IPN un SPINE slēdžiem. Tādējādi mums izdevās izvairīties no vājās vietas kriptogrāfijas vārtejas veidā, ietaupīt uz tām un izmantot maksimālo joslas platumu.

Otrs klients izvēlējās Juniper bezvadības risinājumu, jo viņu esošajā datu centrā jau bija neliela instalācija, kurā tika ieviests EVPN VXLAN audums. Bet tur tas nebija izturīgs pret defektiem (tika izmantots viens slēdzis). Mēs nolēmām paplašināt galvenā datu centra infrastruktūru un būvēt rūpnīcu rezerves datu centrā. Esošais EVPN netika pilnībā izmantots: VXLAN iekapsulēšana faktiski netika izmantota, jo visi resursdatori bija savienoti ar vienu slēdzi, un visas MAC adreses un /32 resursdatora adreses bija lokālas, vārteja tām bija tas pats slēdzis, citu ierīču nebija. , kur bija nepieciešams izbūvēt VXLAN tuneļus. Viņi nolēma nodrošināt trafika šifrēšanu, izmantojot IPSEC tehnoloģiju starp ugunsmūriem (ugunsmūra veiktspēja bija pietiekama).

Viņi arī izmēģināja ACI, taču nolēma, ka pārdevēja bloķēšanas dēļ viņiem būs jāiegādājas pārāk daudz aparatūras, tostarp jānomaina nesen iegādāts jauns aprīkojums, un tam vienkārši nebija ekonomiskas jēgas. Jā, Cisco audums integrējas ar visu, bet tikai tā ierīces ir iespējamas pašā audumā.

No otras puses, kā jau teicām iepriekš, jūs nevarat vienkārši sajaukt EVPN VXLAN audumu ar jebkuru blakus esošo pārdevēju, jo protokolu ieviešanas ir atšķirīgas. Tas ir kā šķērsot Cisco un Huawei vienā tīklā — šķiet, ka standarti ir izplatīti, taču jums būs jādejo ar tamburīnu. Tā kā šī ir banka un saderības testi būtu ļoti ilgi, mēs nolēmām, ka labāk ir tagad iegādāties no tā paša pārdevēja un pārāk neaizrauties ar funkcionalitāti, kas pārsniedz pamata funkcijas.

Migrācijas plāns

Divi uz ACI balstīti datu centri:

Mijiedarbības organizēšana starp datu centriem. Tika izvēlēts Multi-Pod risinājums – katrs datu centrs ir pods. Tiek ņemtas vērā prasības mērogošanai pēc slēdžu skaita un aizkaves starp podiem (RTT mazāks par 50 ms). Tika nolemts neveidot vairāku vietņu risinājumu, lai atvieglotu pārvaldību (Multi-Pod risinājumā tiek izmantots viens pārvaldības interfeiss, vairāku vietņu risinājumam būtu divas saskarnes vai būtu nepieciešams vairāku vietņu orķestrētājs), un tā kā nav ģeogrāfiska bija nepieciešama vietņu rezervēšana.

No pakalpojumu migrēšanas no Legacy tīkla viedokļa tika izvēlēts pārskatāmākais variants, pakāpeniski pārsūtot noteiktiem pakalpojumiem atbilstošos VLAN.
Migrācijai rūpnīcā katram VLAN tika izveidota atbilstoša EPG (End-point-group). Pirmkārt, tīkls tika izstiepts starp veco tīklu un audumu, izmantojot L2, pēc tam pēc visu saimniekdatoru migrēšanas vārteja tika pārvietota uz audumu, un EPG mijiedarbojās ar esošo tīklu, izmantojot L3OUT, savukārt mijiedarbība starp L3OUT un EPG. tika aprakstīts, izmantojot līgumus. Aptuvenā diagramma:

Vairuma ACI rūpnīcas politiku struktūras paraugs ir parādīts zemāk esošajā attēlā. Visa iestatīšana ir balstīta uz politikām, kas iekļautas citās politikās un tā tālāk. Sākumā to ir ļoti grūti izdomāt, taču pakāpeniski, kā liecina prakse, tīkla administratori pierod pie šīs struktūras apmēram mēneša laikā, un tikai tad viņi sāk saprast, cik tas ir ērti.

Salīdzinājums

Cisco ACI risinājumā jāiegādājas vairāk aprīkojuma (atsevišķi slēdži Inter-Pod mijiedarbībai un APIC kontrolleriem), kas to sadārdzina. Juniper risinājumam nebija jāiegādājas kontrolieri vai piederumi; Bija iespēja daļēji izmantot klienta esošo aprīkojumu.

Šeit ir EVPN VXLAN auduma arhitektūra diviem otrā projekta datu centriem:

Ar ACI jūs iegūstat gatavu risinājumu — nav jāmācās, nav jāoptimizē. Sākotnējās klienta iepazīšanas laikā ar rūpnīcu nav nepieciešami izstrādātāji, nav nepieciešami atbalsta cilvēki kodam un automatizācijai. Tas ir diezgan viegli lietojams; daudzus iestatījumus var veikt, izmantojot vedni, kas ne vienmēr ir pluss, jo īpaši cilvēkiem, kuri ir pieraduši pie komandrindas. Jebkurā gadījumā ir vajadzīgs laiks, lai atjaunotu smadzenes uz jaunām sliedēm, lai pielāgotos iestatījumu īpatnībām, izmantojot politikas un darbojoties ar daudzām ligzdotām politikām. Papildus tam ir ļoti vēlams, lai būtu skaidra politiku un objektu nosaukšanas struktūra. Ja kontroliera loģikā rodas kāda problēma, to var atrisināt tikai ar tehniskā atbalsta palīdzību.

EVPN - konsole. Ciest vai priecāties. Pazīstams interfeiss vecajam aizsargam. Jā, ir standarta konfigurācija un rokasgrāmatas. Būs jāpīpē mana. Dažādi dizaini, viss ir skaidrs un detalizēts.

Likumsakarīgi, ka abos gadījumos migrējot labāk vispirms migrēt ne pašus kritiskākos pakalpojumus, piemēram, testa vides, un tikai tad pēc visu kļūdu noķeršanas pāriet uz ražošanu. Un neskaņojiet piektdienas vakarā. Jums nevajadzētu uzticēties pārdevējam, ka viss būs kārtībā, vienmēr ir labāk rīkoties droši.

Jūs maksājat vairāk par ACI, lai gan Cisco šobrīd aktīvi reklamē šo risinājumu un bieži dod tam labas atlaides, taču jūs ietaupāt uz uzturēšanas rēķina. Pārvaldība un jebkura EVPN rūpnīcas automatizācija bez kontroliera prasa investīcijas un regulāras izmaksas - monitoringu, automatizāciju, jaunu pakalpojumu ieviešanu. Tajā pašā laikā sākotnējā palaišana ACI aizņem par 30–40 procentiem ilgāku laiku. Tas notiek tāpēc, ka ir nepieciešams ilgāks laiks, lai izveidotu visu nepieciešamo profilu un politiku kopu, kas pēc tam tiks izmantota. Bet, tīklam augot, nepieciešamo konfigurāciju skaits samazinās. Jūs izmantojat iepriekš izveidotas politikas, profilus, objektus. Varat elastīgi konfigurēt segmentāciju un drošību, centralizēti pārvaldīt līgumus, kas ir atbildīgi par noteiktas mijiedarbības atļaušanu starp EPG — darba apjoms strauji samazinās.

EVPN katra ierīce ir jākonfigurē rūpnīcā, kļūdu iespējamība ir lielāka.

Kamēr ACI ieviešana bija lēnāka, EVPN atkļūdošana prasīja gandrīz divreiz ilgāku laiku. Ja Cisco gadījumā vienmēr var piezvanīt atbalsta inženierim un pajautāt par tīklu kopumā (jo tas ir segts kā risinājums), tad no Juniper Networks pērk tikai aparatūru, un tas ir tas, kas tiek segts. Vai iepakojumi ir atstājuši ierīci? Nu labi, tad tavas problēmas. Bet jūs varat atvērt jautājumu par risinājuma vai tīkla dizaina izvēli - un tad viņi jums ieteiks iegādāties profesionālu pakalpojumu par papildu samaksu.

ACI atbalsts ir ļoti foršs, jo tas ir atsevišķs: tikai šim nolūkam sēž atsevišķa komanda. Ir arī krieviski runājoši speciālisti. Rokasgrāmata ir detalizēta, risinājumi ir iepriekš noteikti. Viņi skatās un konsultē. Viņi ātri apstiprina dizainu, kas bieži vien ir svarīgi. Juniper Networks dara to pašu, bet daudz lēnāk (mums tā bija, tagad pēc baumām vajadzētu būt labākam), kas liek pašam darīt visu, kur risinājumu inženieris varētu ieteikt.

Cisco ACI atbalsta integrāciju ar virtualizācijas un konteinerizācijas sistēmām (VMware, Kubernetes, Hyper-V) un centralizētu pārvaldību. Pieejams ar tīkla un drošības pakalpojumiem - balansēšana, ugunsmūri, WAF, IPS utt... Laba mikrosegmentācija no kastes. Otrajā risinājumā integrācija ar tīkla pakalpojumiem ir ērta, un labāk ir iepriekš apspriest forumus ar tiem, kas to ir darījuši.

Kopsavilkums

Katram konkrētajam gadījumam ir jāizvēlas risinājums, ne tikai vadoties pēc aprīkojuma izmaksām, bet arī jāņem vērā turpmākās ekspluatācijas izmaksas un galvenās problēmas, ar kurām klients šobrīd saskaras, un kādi plāni tur ir ir paredzēti IT infrastruktūras attīstībai.

ACI, pateicoties papildu aprīkojumam, bija dārgāks, bet risinājums ir gatavs bez papildu apdares, otrs risinājums ir sarežģītāks un ekspluatācijas ziņā dārgāks, bet lētāks.

Ja vēlaties apspriest, cik varētu izmaksāt tīkla auduma ieviešana dažādiem piegādātājiem un kāda veida arhitektūra ir nepieciešama, varat tikties un tērzēt. Konsultēsim bez maksas, līdz iegūsit aptuvenu arhitektūras skici (ar kuru varēsiet aprēķināt budžetus), detalizēta izstrāde, protams, jau ir apmaksāta.

Vladimirs Klepče, korporatīvie tīkli.

Avots: www.habr.com

Pieredze tīkla audumu ieviešanā uz EVPN VXLAN un Cisco ACI bāzes un īss salīdzinājums