Диаграммын дунд хэсэгт байгаа холболтыг үнэл. Доор бид тэдэн рүү буцах болно.
Хэзээ нэгэн цагт та L2-д суурилсан том, нарийн төвөгтэй сүлжээнүүд эдгэршгүй өвчтэй болохыг олж мэднэ. Юуны өмнө BUM урсгалыг боловсруулах, STP протоколыг ажиллуулахтай холбоотой асуудлууд. Хоёрдугаарт, архитектур ерөнхийдөө хуучирсан. Энэ нь сул зогсолт, тохиромжгүй харьцах хэлбэрээр таагүй асуудлуудыг үүсгэдэг.
Бидэнд хоёр зэрэгцээ төсөл байсан бөгөөд үйлчлүүлэгчид сонголтуудын давуу болон сул талуудыг сайтар үнэлж, хоёр өөр давхаргын шийдлийг сонгож, бид хэрэгжүүлсэн.
Хэрэгжилтийг харьцуулах боломж байсан. Мөлжих биш, хоёр гурван жилийн дараа ярих ёстой.
Тэгэхээр давхар сүлжээ болон SDN бүхий сүлжээний даавуу гэж юу вэ?
Сонгодог сүлжээний архитектурын тулгамдсан асуудлуудыг яах вэ?
Жил бүр шинэ технологи, санаанууд гарч ирдэг. Бодит байдал дээр сүлжээг дахин сэргээх яаралтай шаардлага тийм ч удаан хугацаанд гараагүй, учир нь бүх зүйлийг хуучин арга барилаар гараар хийх боломжтой юм. Тэгвэл хорин нэгдүгээр зуун бол яах вэ? Эцсийн эцэст, администратор нь ажлын өрөөндөө суух биш ажиллах ёстой.
Дараа нь томоохон хэмжээний дата төвүүдийн барилгын ажил эхэлсэн. Дараа нь зөвхөн гүйцэтгэл, алдааг тэсвэрлэх чадвар, өргөтгөх чадвараараа бус сонгодог архитектурын хөгжлийн хязгаарт хүрсэн нь тодорхой болов. Эдгээр асуудлыг шийдвэрлэх нэг хувилбар нь чиглүүлсэн тулгуур дээр давхар сүлжээг бий болгох санаа байв.
Нэмж дурдахад сүлжээний цар хүрээ нэмэгдэхийн хэрээр ийм үйлдвэрүүдийг удирдах асуудал хурцаар тавигдаж, үүний үр дүнд сүлжээний дэд бүтцийг бүхэлд нь удирдах чадвартай програм хангамжаар тодорхойлсон сүлжээний шийдлүүд гарч эхэлсэн. Сүлжээг нэг цэгээс удирддаг бол мэдээллийн технологийн дэд бүтцийн бусад бүрэлдэхүүн хэсгүүд түүнтэй харилцах нь илүү хялбар бөгөөд ийм харилцан үйлчлэлийн процессыг автоматжуулахад хялбар байдаг.
Сүлжээний тоног төхөөрөмж төдийгүй виртуалчлалын бараг бүх томоохон үйлдвэрлэгчид багцдаа ийм шийдлийн сонголтууд байдаг.
Үлдсэн зүйл бол юу хэрэгцээнд тохирохыг тодорхойлох явдал юм. Жишээлбэл, хөгжүүлэлт, үйл ажиллагааны сайн баг бүхий томоохон компаниудын хувьд борлуулагчдын багцалсан шийдлүүд нь бүх хэрэгцээг хангаж чаддаггүй бөгөөд тэд өөрсдийн SD (програм хангамжийн тодорхойлсон) шийдлүүдийг боловсруулахад чиглэдэг. Жишээлбэл, эдгээр нь үйлчлүүлэгчдэдээ үзүүлж буй үйлчилгээний хүрээг байнга өргөжүүлдэг үүлэн үйлчилгээ үзүүлэгчид бөгөөд багц шийдэл нь тэдний хэрэгцээг хангах боломжгүй байдаг.
Дунд хэмжээний компаниудын хувьд борлуулагчаас хайрцагласан шийдэл хэлбэрээр санал болгож буй функц нь тохиолдлын 99 хувьд хангалттай байдаг.
Давхардсан сүлжээ гэж юу вэ?
Давхардсан сүлжээний цаад санаа юу вэ? Үндсэндээ та сонгодог чиглүүлэгдсэн сүлжээг авч, дээр нь өөр сүлжээг байгуулж, илүү олон функцийг авах болно. Ихэнхдээ бид тоног төхөөрөмж, харилцаа холбооны шугамын ачааллыг үр дүнтэй хуваарилах, өргөтгөх боломжийн хязгаарыг мэдэгдэхүйц нэмэгдүүлэх, найдвартай байдал, аюулгүй байдлын олон давуу талыг нэмэгдүүлэх (сегментчиллийн улмаас) тухай ярьж байна. Үүнээс гадна SDN шийдлүүд нь маш, маш тохиромжтой, уян хатан удирдах боломжийг олгож, сүлжээг хэрэглэгчдэдээ илүү ил тод болгодог.
Ер нь дотоод сүлжээг 2010-аад онд зохион бүтээсэн бол 1970-аад оны армиас бидний өвлөн авсан сүлжээнээс тэс өөр харагдах байсан.
Давхардсан сүлжээг ашиглан даавуу бүтээх технологийн хувьд одоогоор олон үйлдвэрлэгчийн хэрэгжүүлэлт, Интернет RFC төслүүд (EVPN+VXLAN, EVPN+MPLS, EVPN+MPLSoGRE, EVPN+Geneve болон бусад) байдаг. Тийм ээ, стандартууд байдаг, гэхдээ өөр өөр үйлдвэрлэгчдийн эдгээр стандартыг хэрэгжүүлэх нь өөр өөр байж болох тул ийм үйлдвэрүүдийг бий болгохдоо худалдагчийн түгжээг зөвхөн цаасан дээр онолын хувьд бүрэн орхих боломжтой хэвээр байна.
SD шийдэлтэй бол бүх зүйл бүр ч будлиантай байдаг; борлуулагч бүр өөрийн гэсэн алсын хараатай байдаг. Онолын хувьд та өөрийгөө гүйцээж чадах бүрэн нээлттэй шийдлүүд байдаг бөгөөд бүрэн хаалттай шийдлүүд байдаг.
Cisco нь дата төвүүдэд зориулсан SDN хувилбарыг санал болгож байна - ACI. Мэдээжийн хэрэг, энэ нь сүлжээний тоног төхөөрөмжийг сонгох тал дээр 100% үйлдвэрлэгчийн түгжигдсэн шийдэл боловч үүнтэй зэрэгцэн виртуалчлалын систем, контейнержуулалт, аюулгүй байдал, зохион байгуулалт, ачаалал тэнцвэржүүлэгч гэх мэт зүйлстэй бүрэн нэгтгэгдсэн. Гэвч үндсэндээ энэ нь бүх дотоод процесст бүрэн нэвтрэх боломжгүй хар хайрцаг. Та бичсэн шийдлийн кодын чанар, түүний хэрэгжилтээс бүрэн хамааралтай тул бүх хэрэглэгчид энэ сонголтыг хүлээн зөвшөөрдөггүй, гэхдээ нөгөө талаас үйлдвэрлэгч нь дэлхийн хамгийн шилдэг техникийн дэмжлэгтэй бөгөөд зөвхөн тусгайлан зориулсан багтай байдаг. энэ шийдэлд. Эхний төслийн шийдэл болгон Cisco ACI сонгосон.
Хоёр дахь төслийн хувьд Арц шийдлийг сонгосон. Үйлдвэрлэгч нь мэдээллийн төвд зориулсан өөрийн гэсэн SDN-тэй боловч үйлчлүүлэгч SDN-ийг хэрэгжүүлэхгүй байхаар шийдсэн. Сүлжээ барих технологиор төвлөрсөн хянагч ашиглахгүй EVPN VXLAN даавууг сонгосон.
Энэ юунд зориулагдсан бэ
Үйлдвэрийг бий болгосноор хялбархан өргөтгөх боломжтой, гэмтэлд тэсвэртэй, найдвартай сүлжээг бий болгох боломжтой. Архитектур (навч нуруу) нь мэдээллийн төвүүдийн шинж чанарыг харгалзан үздэг (хөдөлгөөний зам, сүлжээн дэх саатал, саатлыг багасгах). Дата төвүүд дэх SD шийдлүүд нь ийм үйлдвэрийг маш тохиромжтой, хурдан, уян хатан байдлаар удирдаж, дата төвийн экосистемд нэгтгэх боломжийг олгодог.
Аль аль нь үйлчлүүлэгчид алдааг тэсвэрлэхийн тулд нэмэлт дата төвүүдийг барих шаардлагатай байсан бөгөөд үүнээс гадна дата төвүүдийн хоорондох урсгалыг шифрлэх шаардлагатай байв.
Эхний хэрэглэгч нь сүлжээндээ ямар ч стандарт байж болохуйц даавуугүй шийдлийг аль хэдийн авч үзсэн боловч туршилтын явцад хэд хэдэн тоног төхөөрөмжийн үйлдвэрлэгчдийн хооронд STP нийцтэй байдалд асуудал гарсан. Үйлчилгээ гацахад хүргэсэн зогсолтууд байсан. Мөн үйлчлүүлэгчийн хувьд энэ нь маш чухал байсан.
Cisco аль хэдийн хэрэглэгчийн корпорацийн стандарт байсан тул тэд ACI болон бусад хувилбаруудыг судалж үзээд энэ шийдлийг ашиглах нь зүйтэй гэж шийдсэн. Нэг товчлуураас нэг хянагчаар дамжуулан удирдлагын автоматжуулалт надад таалагдсан. Үйлчилгээг илүү хурдан тохируулж, илүү хурдан удирддаг. Бид IPN болон SPINE шилжүүлэгчийн хооронд MACSec-ийг ажиллуулж замын хөдөлгөөний шифрлэлтийг баталгаажуулахаар шийдсэн. Тиймээс бид крипто гарц хэлбэрээр бөглөрөхөөс зайлсхийж, хэмнэж, хамгийн их зурвасын өргөнийг ашиглаж чадсан.
Хоёр дахь хэрэглэгч нь Juniper-ээс хянагчгүй шийдлийг сонгосон нь тэдний одоо байгаа дата төв нь EVPN VXLAN даавууг хэрэгжүүлдэг жижиг суулгацтай байсан. Гэхдээ тэнд энэ нь гэмтэлд тэсвэртэй биш байсан (нэг унтраалга ашигласан). Бид үндсэн дата төвийн дэд бүтцийг өргөтгөж, нөөц дата төвд үйлдвэр байгуулахаар шийдсэн. Одоо байгаа EVPN-ийг бүрэн ашиглаагүй: VXLAN капсулыг үнэндээ ашиглаагүй, учир нь бүх хостууд нэг шилжүүлэгчтэй холбогдсон, бүх MAC хаягууд болон /32 хост хаягууд нь локал байсан, тэдгээрийн гарц нь ижил шилжүүлэгч байсан, өөр төхөөрөмж байхгүй байсан. , VXLAN хонгил барих шаардлагатай байсан газар. Тэд галт хана хооронд IPSEC технологийг ашиглан замын хөдөлгөөний шифрлэлтийг хангахаар шийдсэн (галт хананы гүйцэтгэл хангалттай байсан).
Тэд мөн ACI-г туршиж үзсэн боловч худалдагчийн түгжээний улмаас хэт их тоног төхөөрөмж худалдан авах, тэр дундаа саяхан худалдаж авсан шинэ тоног төхөөрөмжийг солих шаардлагатай гэж шийдсэн бөгөөд энэ нь эдийн засгийн хувьд ямар ч утгагүй юм. Тийм ээ, Cisco даавуу нь бүх зүйлтэй нийцдэг, гэхдээ зөвхөн түүний төхөөрөмжүүд нь даавууны дотор боломжтой байдаг.
Нөгөөтэйгүүр, бид өмнө нь хэлсэнчлэн, та EVPN VXLAN даавууг хөрш зэргэлдээ үйлдвэрлэгчтэй хольж болохгүй, учир нь протоколын хэрэгжилт өөр байдаг. Энэ нь Cisco болон Huawei хоёрыг нэг сүлжээнд гатлахтай адил - стандартууд нь нийтлэг юм шиг санагддаг, гэхдээ та хэнгэрэг барин бүжиглэх хэрэгтэй болно. Энэ бол банк тул нийцтэй байдлын шалгалт нь маш урт байх тул бид яг одоо нэг борлуулагчаас худалдаж авах нь дээр гэж шийдсэн бөгөөд үндсэн зүйлээс илүү функциональ байдалд хэт автахгүй байхаар шийдсэн.
Шилжин суурьших төлөвлөгөө
ACI-д суурилсан хоёр мэдээллийн төв:
Мэдээллийн төвүүдийн харилцан үйлчлэлийн зохион байгуулалт. Multi-Pod шийдлийг сонгосон - өгөгдлийн төв бүр нь pod юм. Шилжүүлэгчийн тоо болон хонхорцог хоорондын саатал (RTT 50 мс-ээс бага) зэрэгт тавигдах шаардлагыг харгалзан үзнэ. Удирдлагыг хөнгөвчлөх үүднээс Олон Сайтын шийдлийг бий болгохгүй байхаар шийдсэн (Multi-Pod шийдэл нь нэг удирдлагын интерфэйсийг ашигладаг, Олон Сайт нь хоёр интерфейстэй байх эсвэл Олон Сайтын Оркестратор шаарддаг), газарзүйн байршил байхгүй тул сайтуудыг захиалах шаардлагатай байсан.
Legacy сүлжээнээс үйлчилгээг шилжүүлэх үүднээс хамгийн ил тод сонголтыг сонгосон бөгөөд тодорхой үйлчилгээнд тохирсон VLAN-г аажмаар шилжүүлэв.
Шилжилтийн хувьд үйлдвэрт VLAN бүрт тохирох EPG (Төгсгөлийн цэгийн бүлэг) үүсгэсэн. Эхлээд сүлжээг хуучин сүлжээ болон даавууны хооронд L2 дээр сунгаж, дараа нь бүх хостуудыг шилжүүлсний дараа гарцыг даавуу руу шилжүүлж, EPG нь L3OUT-ээр дамжуулан одоо байгаа сүлжээтэй харилцаж, L3OUT болон EPG хоорондын харилцан үйлчлэлд орсон. гэрээг ашиглан тайлбарлав. Ойролцоогоор диаграмм:
Ихэнх ACI үйлдвэрийн бодлогын жишээ бүтцийг доорх зурагт үзүүлэв. Бүхэл бүтэн тохиргоо нь бусад бодлогод суулгасан бодлогод суурилдаг. Эхлээд үүнийг ойлгоход маш хэцүү байдаг, гэхдээ аажмаар, практикээс харахад сүлжээний администраторууд энэ бүтцэд нэг сарын дотор дасаж, дараа нь энэ нь хэр тохиромжтой болохыг ойлгож эхэлдэг.
Харьцуулалт
Cisco ACI шийдэлд та илүү их тоног төхөөрөмж (Интер-Pod харилцан үйлчлэл болон APIC хянагчдад зориулсан тусдаа унтраалга) худалдаж авах хэрэгтэй бөгөөд энэ нь илүү үнэтэй болгодог. Juniper-ийн шийдэл нь хянагч эсвэл дагалдах хэрэгсэл худалдаж авах шаардлагагүй; Хэрэглэгчийн одоо байгаа тоног төхөөрөмжийг хэсэгчлэн ашиглах боломжтой байсан.
Хоёрдахь төслийн хоёр дата төвийн EVPN VXLAN даавууны архитектурыг энд харуулав.
ACI-ийн тусламжтайгаар та бэлэн шийдлийг олж авах болно - ямар ч нарийн ширийн зүйл хийх шаардлагагүй, оновчтой болгох шаардлагагүй. Үйлчлүүлэгчийг үйлдвэртэй анх танилцах үед хөгжүүлэгчид шаардлагагүй, код, автоматжуулалтад туслах хүмүүс хэрэггүй. Үүнийг ашиглахад маш хялбар, олон тохиргоог шидтэнгээр дамжуулан хийх боломжтой бөгөөд энэ нь ялангуяа командын мөрөнд дассан хүмүүст үргэлж сайн зүйл биш юм. Ямар ч байсан, олон үүрлэсэн бодлогоор бодлогоор дамжуулан тохиргооны онцлогт тохируулан тархиа шинэ зам дээр босгоход цаг хугацаа хэрэгтэй. Үүн дээр нэмээд бодлого, объектыг нэрлэх тодорхой бүтэцтэй болмоор байна. Хэрэв хянагчийн логикт ямар нэгэн асуудал гарвал үүнийг зөвхөн техникийн дэмжлэгээр шийдэж болно.
EVPN-д - консол. Зовох эсвэл баярлах. Хуучин хамгаалагчдад зориулсан танил интерфейс. Тийм ээ, стандарт тохиргоо, гарын авлага байдаг. Та мана татах хэрэгтэй болно. Өөр өөр загвар, бүх зүйл тодорхой, нарийвчилсан байдаг.
Мэдээжийн хэрэг, хоёуланд нь шилжихдээ эхлээд хамгийн чухал үйлчилгээ биш, жишээлбэл, туршилтын орчинг шилжүүлэх нь дээр бөгөөд зөвхөн дараа нь бүх алдааг олж илрүүлсний дараа үйлдвэрлэлээ үргэлжлүүлнэ. Мөн Баасан гарагийн орой бүү тааруул. Бүх зүйл сайхан болно гэж худалдагчдаа итгэх ёсгүй, үүнийг аюулгүйгээр тоглох нь үргэлж дээр юм.
Та ACI-д илүү их мөнгө төлдөг ч Cisco одоогоор энэ шийдлийг идэвхтэй сурталчилж байгаа бөгөөд ихэвчлэн сайн хөнгөлөлт үзүүлдэг ч засвар үйлчилгээнд хэмнэлт гаргадаг. Хянагчгүй EVPN үйлдвэрийн удирдлага, аливаа автоматжуулалт нь хөрөнгө оруулалт, байнгын зардал шаарддаг - хяналт, автоматжуулалт, шинэ үйлчилгээг нэвтрүүлэх. Үүний зэрэгцээ, ACI-ийн анхны хөөргөлт нь 30-40 хувиар илүү хугацаа шаарддаг. Дараа нь хэрэглэгдэх шаардлагатай профайл, бодлогыг бүхэлд нь үүсгэхэд илүү их хугацаа шаардагдах тул энэ нь тохиолддог. Гэхдээ сүлжээ томрох тусам шаардлагатай тохиргооны тоо буурдаг. Та урьдчилан үүсгэсэн бодлого, профайл, объектуудыг ашигладаг. Та сегментчилэл, аюулгүй байдлыг уян хатан тохируулж, EPG хоорондын тодорхой харилцан үйлчлэлийг хангах үүрэгтэй гэрээнүүдийг төвлөрсөн байдлаар удирдах боломжтой - ажлын хэмжээ огцом буурдаг.
EVPN-д та төхөөрөмж бүрийг үйлдвэрт тохируулах хэрэгтэй, алдаа гарах магадлал өндөр байдаг.
ACI-ийг хэрэгжүүлэхэд удаан байсан бол EVPN дибаг хийхэд бараг хоёр дахин их хугацаа зарцуулсан. Хэрэв Cisco-ийн хувьд та үргэлж туслах инженер рүү залгаж сүлжээний талаар бүхэлд нь асууж болно (учир нь энэ нь шийдэл юм), Juniper Networks-ээс та зөвхөн техник хангамж худалдаж авдаг бөгөөд үүнд хамрагдсан болно. Багцууд төхөөрөмжөөс гарсан уу? За, тэгвэл таны асуудал. Гэхдээ та шийдэл эсвэл сүлжээний дизайны сонголттой холбоотой асуултыг нээж болно - дараа нь тэд танд мэргэжлийн үйлчилгээг нэмэлт төлбөрөөр худалдаж авахыг зөвлөж байна.
ACI дэмжлэг нь маш гайхалтай, учир нь энэ нь тусдаа: тусдаа баг зөвхөн үүний төлөө суудаг. Мөн орос хэлтэй мэргэжилтнүүд байдаг. Гарын авлага нь нарийвчилсан, шийдлүүдийг урьдчилан тодорхойлсон. Тэд харж, зөвлөгөө өгдөг. Тэд дизайныг хурдан баталгаажуулдаг бөгөөд энэ нь ихэвчлэн чухал байдаг. Juniper Networks нь ижил зүйлийг хийдэг, гэхдээ хамаагүй удаан (бидэнд ийм байсан, одоо цуу ярианы дагуу энэ нь илүү дээр байх ёстой) бөгөөд энэ нь шийдлийн инженерээс зөвлөгөө өгөх боломжтой бүх зүйлийг өөрөө хийхийг шаарддаг.
Cisco ACI нь виртуалчлал, контейнержуулалтын системүүд (VMware, Kubernetes, Hyper-V) болон төвлөрсөн удирдлагатай нэгтгэхийг дэмждэг. Сүлжээ, аюулгүй байдлын үйлчилгээтэй - тэнцвэржүүлэх, галт хана, WAF, IPS гэх мэт ... Хайрцагнаас гарсан сайн бичил сегментчилэл. Хоёрдахь шийдэлд сүлжээний үйлчилгээтэй нэгдэх нь маш энгийн бөгөөд үүнийг хийсэн хүмүүстэй форумыг урьдчилан ярилцах нь дээр.
Үр дүн
Тодорхой тохиолдол бүрийн хувьд зөвхөн тоног төхөөрөмжийн өртөгт тулгуурлан шийдлийг сонгох шаардлагатай бөгөөд цаашдын үйл ажиллагааны зардал, үйлчлүүлэгчид тулгарч буй гол асуудлууд, тэнд юу төлөвлөж байгааг харгалзан үзэх шаардлагатай. Мэдээллийн технологийн дэд бүтцийг хөгжүүлэхэд зориулагдсан.
Нэмэлт тоног төхөөрөмжийн ачаар ACI нь илүү үнэтэй байсан боловч нэмэлт өнгөлгөө хийх шаардлагагүй шийдэл нь бэлэн болсон, хоёр дахь шийдэл нь ашиглалтын хувьд илүү төвөгтэй, өртөг өндөртэй боловч хямд байдаг.
Хэрэв та өөр өөр үйлдвэрлэгчид сүлжээний даавууг хэрэгжүүлэхэд хэр их зардал гарах, ямар архитектур хэрэгтэй талаар ярилцахыг хүсвэл уулзаж, чатлах боломжтой. Архитектурын бүдүүвч зургийг авах хүртэл бид танд үнэ төлбөргүй зөвлөгөө өгөх болно (түүний тусламжтайгаар та төсвөө тооцоолж болно), нарийвчилсан боловсруулалт нь мэдээжийн хэрэг аль хэдийн төлсөн болно.
Владимир Клепче, корпорацийн сүлжээ.
Эх сурвалж: www.habr.com