NovÄrtÄjiet savienojumus diagrammas vidusdaļÄ. MÄs pie tiem atgriezÄ«simies tÄlÄk.
KÄdÄ brÄ«dÄ« jÅ«s varat atklÄt, ka lieli, sarežģīti L2 tÄ«kli ir neÄrstÄjami slimi. PirmkÄrt, problÄmas, kas saistÄ«tas ar BUM trafika apstrÄdi un STP protokola darbÄ«bu. OtrkÄrt, arhitektÅ«ra kopumÄ ir novecojusi. Tas rada nepatÄ«kamas problÄmas dÄ«kstÄves un neÄrtas lietoÅ”anas veidÄ.
Mums bija divi paralÄli projekti, kur pasÅ«tÄ«tÄji prÄtÄ«gi novÄrtÄja visus variantu plusus un mÄ«nusus un izvÄlÄjÄs divus dažÄdus pÄrklÄjuma risinÄjumus, un mÄs tos ieviesÄm.
Bija iespÄja salÄ«dzinÄt realizÄciju. Ne ekspluatÄcija; mums par to vajadzÄtu runÄt pÄc diviem vai trim gadiem.
TÄtad, kas ir tÄ«kla struktÅ«ra ar pÄrklÄjuma tÄ«kliem un SDN?
Ko darÄ«t ar klasiskÄs tÄ«kla arhitektÅ«ras aktuÄlajÄm problÄmÄm?
Katru gadu parÄdÄs jaunas tehnoloÄ£ijas un idejas. PraksÄ steidzama nepiecieÅ”amÄ«ba atjaunot tÄ«klus neradÄs diezgan ilgu laiku, jo ir iespÄjams arÄ« visu izdarÄ«t manuÄli, izmantojot vecÄs labÄs metodes. Ko darÄ«t, ja ir divdesmit pirmais gadsimts? Galu galÄ administratoram ir jÄstrÄdÄ, nevis jÄsÄž savÄ birojÄ.
Tad sÄkÄs liela mÄroga datu centru bÅ«vniecÄ«bas bums. Tad kļuva skaidrs, ka ir sasniegta klasiskÄs arhitektÅ«ras attÄ«stÄ«bas robeža ne tikai veiktspÄjas, kļūdu tolerances un mÄrogojamÄ«bas ziÅÄ. Un viena no Å”o problÄmu risinÄÅ”anas iespÄjÄm bija ideja izveidot pÄrklÄjuma tÄ«klus uz marÅ”rutÄta mugurkaula.
TurklÄt, palielinoties tÄ«klu mÄrogam, ir kļuvusi aktuÄla Å”Ädu rÅ«pnÄ«cu pÄrvaldÄ«bas problÄma, kÄ rezultÄtÄ sÄka parÄdÄ«ties programmatÅ«ras definÄti tÄ«kla risinÄjumi ar iespÄju pÄrvaldÄ«t visu tÄ«kla infrastruktÅ«ru kÄ vienotu veselumu. Un, kad tÄ«kls tiek pÄrvaldÄ«ts no viena punkta, citiem IT infrastruktÅ«ras komponentiem ir vieglÄk ar to mijiedarboties, un Å”Ädus mijiedarbÄ«bas procesus ir vieglÄk automatizÄt.
GandrÄ«z katrs lielÄkais ne tikai tÄ«kla iekÄrtu, bet arÄ« virtualizÄcijas ražotÄjs savÄ portfelÄ« piedÄvÄ Å”Ädu risinÄjumu iespÄjas.
Atliek tikai izdomÄt, kas ir piemÄrots kÄdÄm vajadzÄ«bÄm. PiemÄram, Ä«paÅ”i lieliem uzÅÄmumiem ar labu izstrÄdes un darbÄ«bas komandu piegÄdÄtÄju komplektÄtie risinÄjumi ne vienmÄr apmierina visas vajadzÄ«bas, un viÅi Ä·eras pie savu SD (programmatÅ«ras definÄto) risinÄjumu izstrÄdes. PiemÄram, tie ir mÄkoÅpakalpojumu sniedzÄji, kuri pastÄvÄ«gi paplaÅ”ina saviem klientiem sniegto pakalpojumu klÄstu, un kompleksie risinÄjumi vienkÄrÅ”i nespÄj sekot viÅu vajadzÄ«bÄm.
VidÄjiem uzÅÄmumiem ar pÄrdevÄja piedÄvÄto funkcionalitÄti kastes risinÄjuma veidÄ pietiek 99 procentos gadÄ«jumu.
Kas ir pÄrklÄjuma tÄ«kli?
KÄda ir pÄrklÄjuma tÄ«klu ideja? BÅ«tÄ«bÄ jÅ«s izmantojat klasisku marÅ”rutÄtu tÄ«klu un izveidojat tam citu tÄ«klu, lai iegÅ«tu vairÄk funkciju. VisbiežÄk mÄs runÄjam par efektÄ«vu aprÄ«kojuma un sakaru lÄ«niju slodzes sadali, ievÄrojami palielinot mÄrogojamÄ«bas ierobežojumu, palielinot uzticamÄ«bu un virkni droŔības labumu (segmentÄcijas dÄļ). Un SDN risinÄjumi papildus tam sniedz iespÄju ļoti, ļoti, ļoti Ärtai elastÄ«gai administrÄÅ”anai un padara tÄ«klu pÄrskatÄmÄku tÄ patÄrÄtÄjiem.
KopumÄ, ja vietÄjie tÄ«kli bÅ«tu izgudroti 2010. gados, tie izskatÄ«tos daudz savÄdÄki nekÄ tas, ko mÄs mantojÄm no militÄrpersonÄm 1970. gados.
AttiecÄ«bÄ uz tehnoloÄ£ijÄm audumu veidoÅ”anai, izmantojot pÄrklÄjuma tÄ«klus, paÅ”laik ir daudz pÄrdevÄju ievieÅ”anas un interneta RFC projektu (EVPN+VXLAN, EVPN+MPLS, EVPN+MPLSoGRE, EVPN+Geneve un citi). JÄ, ir standarti, taÄu Å”o standartu ievieÅ”ana dažÄdiem ražotÄjiem var atŔķirties, tÄpÄc, veidojot Å”Ädas rÅ«pnÄ«cas, pilnÄ«bÄ atteikties no pÄrdevÄja slÄdzenes joprojÄm ir iespÄjams tikai teorÄtiski uz papÄ«ra.
Izmantojot SD risinÄjumu, lietas ir vÄl mulsinoÅ”Äkas; katram pÄrdevÄjam ir savs redzÄjums. Ir pilnÄ«gi atvÄrti risinÄjumi, kurus teorÄtiski var pabeigt pats, un ir pilnÄ«gi slÄgti.
Cisco piedÄvÄ savu SDN versiju datu centriem - ACI. Protams, tas ir 100% pÄrdevÄju bloÄ·Äts risinÄjums tÄ«kla aprÄ«kojuma izvÄles ziÅÄ, taÄu tajÄ paÅ”Ä laikÄ tas ir pilnÄ«bÄ integrÄts ar virtualizÄcijas sistÄmÄm, konteinerizÄciju, droŔību, orÄ·estrÄÅ”anu, slodzes balansÄtÄjiem utt. TaÄu bÅ«tÄ«bÄ tas joprojÄm ir veida melnÄ kaste, bez iespÄjas pilnÄ«bÄ piekļūt visiem iekÅ”Äjiem procesiem. Ne visi klienti piekrÄ«t Å”ai iespÄjai, jo jÅ«s esat pilnÄ«bÄ atkarÄ«gs no rakstÄ«tÄ risinÄjuma koda kvalitÄtes un tÄ ievieÅ”anas, bet, no otras puses, ražotÄjam ir viens no labÄkajiem tehniskajiem atbalsta veidiem pasaulÄ un tam ir tikai Ä«paÅ”a komanda. Å”im risinÄjumam. Cisco ACI tika izvÄlÄts kÄ risinÄjums pirmajam projektam.
Otrajam projektam tika izvÄlÄts KadiÄ·a risinÄjums. RažotÄjam ir arÄ« savs SDN datu centram, taÄu klients nolÄma SDN neieviest. KÄ tÄ«kla izveides tehnoloÄ£ija tika izvÄlÄts EVPN VXLAN audums, neizmantojot centralizÄtus kontrolierus.
Kam tas paredzÄts?
RÅ«pnÄ«cas izveide ļauj izveidot viegli mÄrogojamu, defektu izturÄ«gu un uzticamu tÄ«klu. ArhitektÅ«ra (lapu mugurkauls) Åem vÄrÄ datu centru Ä«paŔības (satiksmes ceļi, lÄ«dz minimumam samazinot kavÄjumus un vÄjÄs vietas tÄ«klÄ). SD risinÄjumi datu centros ļauj ļoti Ärti, Ätri un elastÄ«gi vadÄ«t Å”Ädu rÅ«pnÄ«cu un integrÄt to datu centra ekosistÄmÄ.
Abiem klientiem bija jÄveido lieki datu centri, lai nodroÅ”inÄtu kļūdu toleranci, turklÄt bija jÄÅ”ifrÄ trafika starp datu centriem.
Pirmais klients jau apsvÄra risinÄjumus bez audumiem kÄ iespÄjamu standartu saviem tÄ«kliem, taÄu testos viÅiem bija problÄmas ar STP saderÄ«bu starp vairÄkiem aparatÅ«ras pÄrdevÄjiem. Bija dÄ«kstÄves, kas izraisÄ«ja pakalpojumu avÄrijas. Un klientam tas bija kritiski.
Cisco jau bija klienta korporatÄ«vais standarts, viÅi apskatÄ«ja ACI un citas iespÄjas un nolÄma, ka ir vÄrts izmantot Å”o risinÄjumu. Man patika vadÄ«bas automatizÄcija no vienas pogas caur vienu kontrolieri. Pakalpojumi tiek konfigurÄti un pÄrvaldÄ«ti ÄtrÄk. MÄs nolÄmÄm nodroÅ”inÄt trafika Å”ifrÄÅ”anu, palaižot MACSec starp IPN un SPINE slÄdžiem. TÄdÄjÄdi mums izdevÄs izvairÄ«ties no vÄjÄs vietas kriptogrÄfijas vÄrtejas veidÄ, ietaupÄ«t uz tÄm un izmantot maksimÄlo joslas platumu.
Otrs klients izvÄlÄjÄs Juniper bezvadÄ«bas risinÄjumu, jo viÅu esoÅ”ajÄ datu centrÄ jau bija neliela instalÄcija, kurÄ tika ieviests EVPN VXLAN audums. Bet tur tas nebija izturÄ«gs pret defektiem (tika izmantots viens slÄdzis). MÄs nolÄmÄm paplaÅ”inÄt galvenÄ datu centra infrastruktÅ«ru un bÅ«vÄt rÅ«pnÄ«cu rezerves datu centrÄ. EsoÅ”ais EVPN netika pilnÄ«bÄ izmantots: VXLAN iekapsulÄÅ”ana faktiski netika izmantota, jo visi resursdatori bija savienoti ar vienu slÄdzi, un visas MAC adreses un /32 resursdatora adreses bija lokÄlas, vÄrteja tÄm bija tas pats slÄdzis, citu ierÄ«Äu nebija. , kur bija nepiecieÅ”ams izbÅ«vÄt VXLAN tuneļus. ViÅi nolÄma nodroÅ”inÄt trafika Å”ifrÄÅ”anu, izmantojot IPSEC tehnoloÄ£iju starp ugunsmÅ«riem (ugunsmÅ«ra veiktspÄja bija pietiekama).
ViÅi arÄ« izmÄÄ£inÄja ACI, taÄu nolÄma, ka pÄrdevÄja bloÄ·ÄÅ”anas dÄļ viÅiem bÅ«s jÄiegÄdÄjas pÄrÄk daudz aparatÅ«ras, tostarp jÄnomaina nesen iegÄdÄts jauns aprÄ«kojums, un tam vienkÄrÅ”i nebija ekonomiskas jÄgas. JÄ, Cisco audums integrÄjas ar visu, bet tikai tÄ ierÄ«ces ir iespÄjamas paÅ”Ä audumÄ.
No otras puses, kÄ jau teicÄm iepriekÅ”, jÅ«s nevarat vienkÄrÅ”i sajaukt EVPN VXLAN audumu ar jebkuru blakus esoÅ”o pÄrdevÄju, jo protokolu ievieÅ”anas ir atŔķirÄ«gas. Tas ir kÄ Å”Ä·Ärsot Cisco un Huawei vienÄ tÄ«klÄ ā Ŕķiet, ka standarti ir izplatÄ«ti, taÄu jums bÅ«s jÄdejo ar tamburÄ«nu. TÄ kÄ Å”Ä« ir banka un saderÄ«bas testi bÅ«tu ļoti ilgi, mÄs nolÄmÄm, ka labÄk ir tagad iegÄdÄties no tÄ paÅ”a pÄrdevÄja un pÄrÄk neaizrauties ar funkcionalitÄti, kas pÄrsniedz pamata funkcijas.
MigrÄcijas plÄns
Divi uz ACI balstīti datu centri:
MijiedarbÄ«bas organizÄÅ”ana starp datu centriem. Tika izvÄlÄts Multi-Pod risinÄjums ā katrs datu centrs ir pods. Tiek Åemtas vÄrÄ prasÄ«bas mÄrogoÅ”anai pÄc slÄdžu skaita un aizkaves starp podiem (RTT mazÄks par 50 ms). Tika nolemts neveidot vairÄku vietÅu risinÄjumu, lai atvieglotu pÄrvaldÄ«bu (Multi-Pod risinÄjumÄ tiek izmantots viens pÄrvaldÄ«bas interfeiss, vairÄku vietÅu risinÄjumam bÅ«tu divas saskarnes vai bÅ«tu nepiecieÅ”ams vairÄku vietÅu orÄ·estrÄtÄjs), un tÄ kÄ nav Ä£eogrÄfiska bija nepiecieÅ”ama vietÅu rezervÄÅ”ana.
No pakalpojumu migrÄÅ”anas no Legacy tÄ«kla viedokļa tika izvÄlÄts pÄrskatÄmÄkais variants, pakÄpeniski pÄrsÅ«tot noteiktiem pakalpojumiem atbilstoÅ”os VLAN.
MigrÄcijai rÅ«pnÄ«cÄ katram VLAN tika izveidota atbilstoÅ”a EPG (End-point-group). PirmkÄrt, tÄ«kls tika izstiepts starp veco tÄ«klu un audumu, izmantojot L2, pÄc tam pÄc visu saimniekdatoru migrÄÅ”anas vÄrteja tika pÄrvietota uz audumu, un EPG mijiedarbojÄs ar esoÅ”o tÄ«klu, izmantojot L3OUT, savukÄrt mijiedarbÄ«ba starp L3OUT un EPG. tika aprakstÄ«ts, izmantojot lÄ«gumus. AptuvenÄ diagramma:
Vairuma ACI rÅ«pnÄ«cas politiku struktÅ«ras paraugs ir parÄdÄ«ts zemÄk esoÅ”ajÄ attÄlÄ. Visa iestatÄ«Å”ana ir balstÄ«ta uz politikÄm, kas iekļautas citÄs politikÄs un tÄ tÄlÄk. SÄkumÄ to ir ļoti grÅ«ti izdomÄt, taÄu pakÄpeniski, kÄ liecina prakse, tÄ«kla administratori pierod pie Ŕīs struktÅ«ras apmÄram mÄneÅ”a laikÄ, un tikai tad viÅi sÄk saprast, cik tas ir Ärti.
SalÄ«dzinÄjums
Cisco ACI risinÄjumÄ jÄiegÄdÄjas vairÄk aprÄ«kojuma (atseviŔķi slÄdži Inter-Pod mijiedarbÄ«bai un APIC kontrolleriem), kas to sadÄrdzina. Juniper risinÄjumam nebija jÄiegÄdÄjas kontrolieri vai piederumi; Bija iespÄja daļÄji izmantot klienta esoÅ”o aprÄ«kojumu.
Å eit ir EVPN VXLAN auduma arhitektÅ«ra diviem otrÄ projekta datu centriem:
Ar ACI jÅ«s iegÅ«stat gatavu risinÄjumu ā nav jÄmÄcÄs, nav jÄoptimizÄ. SÄkotnÄjÄs klienta iepazÄ«Å”anas laikÄ ar rÅ«pnÄ«cu nav nepiecieÅ”ami izstrÄdÄtÄji, nav nepiecieÅ”ami atbalsta cilvÄki kodam un automatizÄcijai. Tas ir diezgan viegli lietojams; daudzus iestatÄ«jumus var veikt, izmantojot vedni, kas ne vienmÄr ir pluss, jo Ä«paÅ”i cilvÄkiem, kuri ir pieraduÅ”i pie komandrindas. JebkurÄ gadÄ«jumÄ ir vajadzÄ«gs laiks, lai atjaunotu smadzenes uz jaunÄm sliedÄm, lai pielÄgotos iestatÄ«jumu Ä«patnÄ«bÄm, izmantojot politikas un darbojoties ar daudzÄm ligzdotÄm politikÄm. Papildus tam ir ļoti vÄlams, lai bÅ«tu skaidra politiku un objektu nosaukÅ”anas struktÅ«ra. Ja kontroliera loÄ£ikÄ rodas kÄda problÄma, to var atrisinÄt tikai ar tehniskÄ atbalsta palÄ«dzÄ«bu.
EVPN - konsole. Ciest vai priecÄties. PazÄ«stams interfeiss vecajam aizsargam. JÄ, ir standarta konfigurÄcija un rokasgrÄmatas. BÅ«s jÄpÄ«pÄ mana. DažÄdi dizaini, viss ir skaidrs un detalizÄts.
LikumsakarÄ«gi, ka abos gadÄ«jumos migrÄjot labÄk vispirms migrÄt ne paÅ”us kritiskÄkos pakalpojumus, piemÄram, testa vides, un tikai tad pÄc visu kļūdu noÄ·erÅ”anas pÄriet uz ražoÅ”anu. Un neskaÅojiet piektdienas vakarÄ. Jums nevajadzÄtu uzticÄties pÄrdevÄjam, ka viss bÅ«s kÄrtÄ«bÄ, vienmÄr ir labÄk rÄ«koties droÅ”i.
JÅ«s maksÄjat vairÄk par ACI, lai gan Cisco Å”obrÄ«d aktÄ«vi reklamÄ Å”o risinÄjumu un bieži dod tam labas atlaides, taÄu jÅ«s ietaupÄt uz uzturÄÅ”anas rÄÄ·ina. PÄrvaldÄ«ba un jebkura EVPN rÅ«pnÄ«cas automatizÄcija bez kontroliera prasa investÄ«cijas un regulÄras izmaksas - monitoringu, automatizÄciju, jaunu pakalpojumu ievieÅ”anu. TajÄ paÅ”Ä laikÄ sÄkotnÄjÄ palaiÅ”ana ACI aizÅem par 30ā40 procentiem ilgÄku laiku. Tas notiek tÄpÄc, ka ir nepiecieÅ”ams ilgÄks laiks, lai izveidotu visu nepiecieÅ”amo profilu un politiku kopu, kas pÄc tam tiks izmantota. Bet, tÄ«klam augot, nepiecieÅ”amo konfigurÄciju skaits samazinÄs. JÅ«s izmantojat iepriekÅ” izveidotas politikas, profilus, objektus. Varat elastÄ«gi konfigurÄt segmentÄciju un droŔību, centralizÄti pÄrvaldÄ«t lÄ«gumus, kas ir atbildÄ«gi par noteiktas mijiedarbÄ«bas atļauÅ”anu starp EPG ā darba apjoms strauji samazinÄs.
EVPN katra ierÄ«ce ir jÄkonfigurÄ rÅ«pnÄ«cÄ, kļūdu iespÄjamÄ«ba ir lielÄka.
KamÄr ACI ievieÅ”ana bija lÄnÄka, EVPN atkļūdoÅ”ana prasÄ«ja gandrÄ«z divreiz ilgÄku laiku. Ja Cisco gadÄ«jumÄ vienmÄr var piezvanÄ«t atbalsta inženierim un pajautÄt par tÄ«klu kopumÄ (jo tas ir segts kÄ risinÄjums), tad no Juniper Networks pÄrk tikai aparatÅ«ru, un tas ir tas, kas tiek segts. Vai iepakojumi ir atstÄjuÅ”i ierÄ«ci? Nu labi, tad tavas problÄmas. Bet jÅ«s varat atvÄrt jautÄjumu par risinÄjuma vai tÄ«kla dizaina izvÄli - un tad viÅi jums ieteiks iegÄdÄties profesionÄlu pakalpojumu par papildu samaksu.
ACI atbalsts ir ļoti forÅ”s, jo tas ir atseviŔķs: tikai Å”im nolÅ«kam sÄž atseviŔķa komanda. Ir arÄ« krieviski runÄjoÅ”i speciÄlisti. RokasgrÄmata ir detalizÄta, risinÄjumi ir iepriekÅ” noteikti. ViÅi skatÄs un konsultÄ. ViÅi Ätri apstiprina dizainu, kas bieži vien ir svarÄ«gi. Juniper Networks dara to paÅ”u, bet daudz lÄnÄk (mums tÄ bija, tagad pÄc baumÄm vajadzÄtu bÅ«t labÄkam), kas liek paÅ”am darÄ«t visu, kur risinÄjumu inženieris varÄtu ieteikt.
Cisco ACI atbalsta integrÄciju ar virtualizÄcijas un konteinerizÄcijas sistÄmÄm (VMware, Kubernetes, Hyper-V) un centralizÄtu pÄrvaldÄ«bu. Pieejams ar tÄ«kla un droŔības pakalpojumiem - balansÄÅ”ana, ugunsmÅ«ri, WAF, IPS utt... Laba mikrosegmentÄcija no kastes. OtrajÄ risinÄjumÄ integrÄcija ar tÄ«kla pakalpojumiem ir Ärta, un labÄk ir iepriekÅ” apspriest forumus ar tiem, kas to ir darÄ«juÅ”i.
Kopsavilkums
Katram konkrÄtajam gadÄ«jumam ir jÄizvÄlas risinÄjums, ne tikai vadoties pÄc aprÄ«kojuma izmaksÄm, bet arÄ« jÄÅem vÄrÄ turpmÄkÄs ekspluatÄcijas izmaksas un galvenÄs problÄmas, ar kurÄm klients Å”obrÄ«d saskaras, un kÄdi plÄni tur ir ir paredzÄti IT infrastruktÅ«ras attÄ«stÄ«bai.
ACI, pateicoties papildu aprÄ«kojumam, bija dÄrgÄks, bet risinÄjums ir gatavs bez papildu apdares, otrs risinÄjums ir sarežģītÄks un ekspluatÄcijas ziÅÄ dÄrgÄks, bet lÄtÄks.
Ja vÄlaties apspriest, cik varÄtu izmaksÄt tÄ«kla auduma ievieÅ”ana dažÄdiem piegÄdÄtÄjiem un kÄda veida arhitektÅ«ra ir nepiecieÅ”ama, varat tikties un tÄrzÄt. KonsultÄsim bez maksas, lÄ«dz iegÅ«sit aptuvenu arhitektÅ«ras skici (ar kuru varÄsiet aprÄÄ·inÄt budžetus), detalizÄta izstrÄde, protams, jau ir apmaksÄta.
Vladimirs KlepÄe, korporatÄ«vie tÄ«kli.
Avots: www.habr.com