Nilaikan sambungan di bahagian tengah rajah. Kami akan kembali kepada mereka di bawah
Pada satu ketika, anda mungkin mendapati bahawa rangkaian berasaskan L2 yang besar dan kompleks sedang sakit tenat. Pertama sekali, masalah yang berkaitan dengan pemprosesan trafik BUM dan pengendalian protokol STP. Kedua, seni bina umumnya sudah usang. Ini menyebabkan masalah yang tidak menyenangkan dalam bentuk masa henti dan pengendalian yang menyusahkan.
Kami mempunyai dua projek selari, di mana pelanggan menilai dengan teliti semua kebaikan dan keburukan pilihan dan memilih dua penyelesaian tindanan yang berbeza, dan kami melaksanakannya.
Terdapat peluang untuk membandingkan pelaksanaan. Bukan eksploitasi; kita harus bercakap mengenainya dalam dua atau tiga tahun.
Jadi, apakah fabrik rangkaian dengan rangkaian tindanan dan SDN?
Apa yang perlu dilakukan dengan masalah mendesak seni bina rangkaian klasik?
Setiap tahun teknologi dan idea baharu muncul. Dalam amalan, keperluan mendesak untuk membina semula rangkaian tidak timbul untuk masa yang agak lama, kerana melakukan segala-galanya dengan tangan menggunakan kaedah lama yang baik juga mungkin. Jadi bagaimana jika ia adalah abad kedua puluh satu? Lagipun, seorang pentadbir harus bekerja, dan bukan duduk di pejabatnya.
Kemudian ledakan dalam pembinaan pusat data berskala besar bermula. Kemudian menjadi jelas bahawa had pembangunan seni bina klasik telah dicapai, bukan sahaja dari segi prestasi, toleransi kesalahan, dan skalabiliti. Dan salah satu pilihan untuk menyelesaikan masalah ini ialah idea untuk membina rangkaian tindanan di atas tulang belakang yang dihalakan.
Di samping itu, dengan peningkatan dalam skala rangkaian, masalah mengurus kilang sedemikian telah menjadi meruncing, akibatnya penyelesaian rangkaian yang ditentukan oleh perisian mula muncul dengan keupayaan untuk mengurus keseluruhan infrastruktur rangkaian secara keseluruhan. Dan apabila rangkaian diuruskan dari satu titik, lebih mudah bagi komponen lain infrastruktur IT untuk berinteraksi dengannya, dan proses interaksi sedemikian lebih mudah untuk diautomasikan.
Hampir setiap pengeluar utama bukan sahaja peralatan rangkaian, tetapi juga virtualisasi, mempunyai pilihan untuk penyelesaian sedemikian dalam portfolionya.
Yang tinggal hanyalah memikirkan apa yang sesuai untuk keperluan. Sebagai contoh, untuk syarikat besar terutamanya dengan pasukan pembangunan dan operasi yang baik, penyelesaian berpakej daripada vendor tidak selalu memenuhi semua keperluan, dan mereka menggunakan penyelesaian SD (perisian ditakrifkan) mereka sendiri. Sebagai contoh, ini adalah pembekal awan yang sentiasa mengembangkan rangkaian perkhidmatan yang disediakan kepada pelanggan mereka, dan penyelesaian yang dibungkus tidak dapat memenuhi keperluan mereka.
Bagi syarikat bersaiz sederhana, fungsi yang ditawarkan oleh vendor dalam bentuk penyelesaian kotak adalah mencukupi dalam 99 peratus kes.
Apakah rangkaian tindanan?
Apakah idea di sebalik rangkaian tindanan? Pada asasnya, anda menggunakan rangkaian laluan klasik dan membina rangkaian lain di atasnya untuk mendapatkan lebih banyak ciri. Selalunya, kita bercakap tentang mengagihkan beban pada peralatan dan talian komunikasi secara berkesan, meningkatkan had kebolehskalaan dengan ketara, meningkatkan kebolehpercayaan dan sekumpulan barang keselamatan (disebabkan oleh segmentasi). Dan penyelesaian SDN, sebagai tambahan kepada ini, menyediakan peluang untuk pentadbiran fleksibel yang sangat, sangat, sangat mudah dan menjadikan rangkaian lebih telus untuk penggunanya.
Secara umum, jika rangkaian tempatan telah dicipta pada tahun 2010-an, ia akan kelihatan jauh berbeza daripada apa yang kita warisi daripada tentera pada tahun 1970-an.
Dari segi teknologi untuk membina fabrik menggunakan rangkaian tindanan, pada masa ini terdapat banyak pelaksanaan vendor dan projek RFC Internet (EVPN+VXLAN, EVPN+MPLS, EVPN+MPLSoGRE, EVPN+Geneve dan lain-lain). Ya, terdapat piawaian, tetapi pelaksanaan piawaian ini oleh pengeluar yang berbeza mungkin berbeza, jadi apabila mencipta kilang sedemikian, masih mungkin untuk meninggalkan kunci vendor sepenuhnya hanya secara teori di atas kertas.
Dengan penyelesaian SD, perkara menjadi lebih mengelirukan; setiap vendor mempunyai visinya sendiri. Terdapat penyelesaian terbuka sepenuhnya yang, secara teori, anda boleh menyelesaikan sendiri, dan terdapat penyelesaian tertutup sepenuhnya.
Cisco menawarkan versi SDN untuk pusat data - ACI. Sememangnya, ini adalah penyelesaian 100% dikunci vendor dari segi memilih peralatan rangkaian, tetapi pada masa yang sama ia disepadukan sepenuhnya dengan sistem virtualisasi, kontena, keselamatan, orkestrasi, pengimbang beban, dll. Tetapi pada dasarnya, ia masih merupakan jenis kotak hitam, tanpa kemungkinan akses penuh kepada semua proses dalaman. Tidak semua pelanggan bersetuju dengan pilihan ini, kerana anda bergantung sepenuhnya pada kualiti kod penyelesaian bertulis dan pelaksanaannya, tetapi sebaliknya, pengilang mempunyai salah satu sokongan teknikal terbaik di dunia dan mempunyai pasukan khusus yang berdedikasi sahaja kepada penyelesaian ini. Cisco ACI dipilih sebagai penyelesaian untuk projek pertama.
Untuk projek kedua, penyelesaian Juniper telah dipilih. Pengilang juga mempunyai SDN sendiri untuk pusat data, tetapi pelanggan memutuskan untuk tidak melaksanakan SDN. Fabrik EVPN VXLAN tanpa menggunakan pengawal berpusat telah dipilih sebagai teknologi pembinaan rangkaian.
Untuk apa itu
Mewujudkan kilang membolehkan anda membina rangkaian yang mudah berskala, bertolak ansur dengan kesalahan dan boleh dipercayai. Seni bina (tulang belakang daun) mengambil kira ciri-ciri pusat data (laluan trafik, meminimumkan kelewatan dan kesesakan dalam rangkaian). Penyelesaian SD dalam pusat data membolehkan anda mengurus kilang sedemikian dengan sangat mudah, cepat dan fleksibel dan menyepadukannya ke dalam ekosistem pusat data.
Kedua-dua pelanggan perlu membina pusat data berlebihan untuk memastikan toleransi kesalahan, dan sebagai tambahan, trafik antara pusat data perlu disulitkan.
Pelanggan pertama sudah mempertimbangkan penyelesaian tanpa fabrik sebagai standard yang mungkin untuk rangkaian mereka, tetapi dalam ujian mereka menghadapi masalah dengan keserasian STP antara beberapa vendor perkakasan. Terdapat masa henti yang menyebabkan perkhidmatan ranap. Dan bagi pelanggan ini adalah kritikal.
Cisco sudah pun menjadi standard korporat pelanggan, mereka melihat ACI dan pilihan lain dan memutuskan bahawa ia berbaloi untuk mengambil penyelesaian ini. Saya menyukai automasi kawalan daripada satu butang melalui satu pengawal. Perkhidmatan dikonfigurasikan dengan lebih pantas dan diuruskan dengan lebih pantas. Kami memutuskan untuk memastikan penyulitan trafik dengan menjalankan MACSec antara suis IPN dan SPINE. Oleh itu, kami berjaya mengelakkan kesesakan dalam bentuk gerbang crypto, menjimatkannya dan menggunakan lebar jalur maksimum.
Pelanggan kedua memilih penyelesaian tanpa pengawal daripada Juniper kerana pusat data sedia ada mereka sudah mempunyai pemasangan kecil yang melaksanakan fabrik EVPN VXLAN. Tetapi di sana ia tidak tahan terhadap kesalahan (satu suis telah digunakan). Kami memutuskan untuk mengembangkan infrastruktur pusat data utama dan membina kilang di pusat data sandaran. EVPN sedia ada tidak digunakan sepenuhnya: Enkapsulasi VXLAN sebenarnya tidak digunakan, kerana semua hos disambungkan kepada satu suis, dan semua alamat MAC dan /32 alamat hos adalah setempat, pintu masuk untuk mereka adalah suis yang sama, tiada peranti lain , di mana perlu untuk membina terowong VXLAN. Mereka memutuskan untuk memastikan penyulitan trafik menggunakan teknologi IPSEC antara firewall (prestasi firewall adalah mencukupi).
Mereka juga mencuba ACI, tetapi memutuskan bahawa kerana kunci vendor, mereka perlu membeli terlalu banyak perkakasan, termasuk menggantikan peralatan baharu yang dibeli baru-baru ini, dan ia tidak masuk akal ekonomi. Ya, fabrik Cisco berintegrasi dengan segala-galanya, tetapi hanya perantinya yang mungkin dalam fabrik itu sendiri.
Sebaliknya, seperti yang kami katakan sebelum ini, anda tidak boleh mencampurkan fabrik EVPN VXLAN dengan mana-mana vendor jiran, kerana pelaksanaan protokol adalah berbeza. Ia seperti melintasi Cisco dan Huawei dalam satu rangkaian - nampaknya piawaian adalah biasa, tetapi anda perlu menari dengan rebana. Memandangkan ini adalah sebuah bank, dan ujian keserasian akan menjadi sangat panjang, kami memutuskan bahawa adalah lebih baik untuk membeli daripada vendor yang sama sekarang, dan tidak terlalu terbawa-bawa dengan kefungsian melebihi yang asas.
Rancangan migrasi
Dua pusat data berasaskan ACI:
Organisasi interaksi antara pusat data. Penyelesaian Multi-Pod telah dipilih - setiap pusat data ialah pod. Keperluan untuk penskalaan mengikut bilangan suis dan kelewatan antara pod (RTT kurang daripada 50 ms) diambil kira. Telah diputuskan untuk tidak membina penyelesaian Multi-Site untuk memudahkan pengurusan (penyelesaian Multi-Pod menggunakan antara muka pengurusan tunggal, Multi-Site akan mempunyai dua antara muka, atau akan memerlukan Multi-Site Orchestrator), dan kerana tiada geografi tempahan tapak diperlukan.
Dari sudut pandangan pemindahan perkhidmatan daripada rangkaian Legacy, pilihan yang paling telus telah dipilih, secara beransur-ansur memindahkan VLAN yang sepadan dengan perkhidmatan tertentu.
Untuk penghijrahan, EPG (Kumpulan titik akhir) yang sepadan telah dibuat untuk setiap VLAN di kilang. Mula-mula, rangkaian itu diregangkan antara rangkaian lama dan fabrik di atas L2, kemudian selepas semua hos dipindahkan, pintu masuk dipindahkan ke fabrik, dan EPG berinteraksi dengan rangkaian sedia ada melalui L3OUT, manakala interaksi antara L3OUT dan EPG telah diterangkan menggunakan kontrak. Gambar rajah anggaran:
Struktur sampel kebanyakan polisi kilang ACI ditunjukkan dalam rajah di bawah. Keseluruhan persediaan adalah berdasarkan dasar yang bersarang dalam dasar lain dan sebagainya. Pada mulanya sangat sukar untuk memikirkannya, tetapi secara beransur-ansur, seperti yang ditunjukkan oleh amalan, pentadbir rangkaian membiasakan diri dengan struktur ini dalam masa kira-kira sebulan, dan kemudian mereka hanya mula memahami betapa mudahnya ia.
Perbandingan
Dalam penyelesaian Cisco ACI, anda perlu membeli lebih banyak peralatan (suis berasingan untuk interaksi Inter-Pod dan pengawal APIC), yang menjadikannya lebih mahal. Penyelesaian Juniper tidak memerlukan pembelian pengawal atau aksesori; Adalah mungkin untuk menggunakan sebahagian peralatan sedia ada pelanggan.
Berikut ialah seni bina fabrik EVPN VXLAN untuk dua pusat data projek kedua:
Dengan ACI anda mendapat penyelesaian sedia - tidak perlu bermain-main, tidak perlu mengoptimumkan. Semasa perkenalan awal pelanggan dengan kilang, tiada pembangun diperlukan, tiada orang sokongan diperlukan untuk kod dan automasi. Ia agak mudah untuk digunakan; banyak tetapan boleh dilakukan melalui wizard, yang tidak selalu menjadi kelebihan, terutamanya untuk orang yang terbiasa dengan baris arahan. Walau apa pun, ia mengambil masa untuk membina semula otak pada landasan baharu, kepada keanehan tetapan melalui dasar dan beroperasi dengan banyak dasar bersarang. Di samping itu, adalah sangat diingini untuk mempunyai struktur yang jelas untuk menamakan dasar dan objek. Jika sebarang masalah timbul dalam logik pengawal, ia hanya boleh diselesaikan melalui sokongan teknikal.
Dalam EVPN - konsol. Menderita atau bergembira. Antara muka biasa untuk pengawal lama. Ya, terdapat konfigurasi dan panduan standard. Anda perlu merokok mana. Reka bentuk yang berbeza, semuanya jelas dan terperinci.
Sememangnya, dalam kedua-dua kes, apabila berhijrah, adalah lebih baik untuk terlebih dahulu memindahkan bukan perkhidmatan yang paling kritikal, contohnya, persekitaran ujian, dan hanya kemudian, selepas menangkap semua pepijat, teruskan ke pengeluaran. Dan jangan menonton pada malam Jumaat. Anda tidak sepatutnya mempercayai vendor bahawa semuanya akan baik-baik saja, selalu lebih baik untuk bermain dengan selamat.
Anda membayar lebih untuk ACI, walaupun Cisco sedang aktif mempromosikan penyelesaian ini dan sering memberikan diskaun yang baik untuknya, tetapi anda menjimatkan penyelenggaraan. Pengurusan dan sebarang automasi kilang EVPN tanpa pengawal memerlukan pelaburan dan kos tetap - pemantauan, automasi, pelaksanaan perkhidmatan baharu. Pada masa yang sama, pelancaran awal di ACI mengambil masa 30β40 peratus lebih lama. Ini berlaku kerana ia mengambil masa yang lebih lama untuk membuat keseluruhan set profil dan dasar yang diperlukan yang kemudiannya akan digunakan. Tetapi apabila rangkaian berkembang, bilangan konfigurasi yang diperlukan berkurangan. Anda menggunakan dasar, profil, objek yang telah dibuat sebelumnya. Anda boleh mengkonfigurasi pembahagian dan keselamatan secara fleksibel, mengurus kontrak secara berpusat yang bertanggungjawab untuk membenarkan interaksi tertentu antara EPG - jumlah kerja menurun dengan mendadak.
Dalam EVPN, anda perlu mengkonfigurasi setiap peranti di kilang, kemungkinan ralat adalah lebih besar.
Walaupun ACI lebih perlahan untuk dilaksanakan, EVPN mengambil masa hampir dua kali lebih lama untuk nyahpepijat. Jika dalam kes Cisco anda sentiasa boleh menghubungi jurutera sokongan dan bertanya tentang rangkaian secara keseluruhan (kerana ia dilindungi sebagai penyelesaian), maka dari Rangkaian Juniper anda hanya membeli perkakasan, dan itulah yang dilindungi. Adakah bungkusan telah meninggalkan peranti? Baik, ok, kemudian masalah anda. Tetapi anda boleh membuka soalan mengenai pilihan penyelesaian atau reka bentuk rangkaian - dan kemudian mereka akan menasihati anda untuk membeli perkhidmatan profesional, dengan bayaran tambahan.
Sokongan ACI sangat keren, kerana ia adalah berasingan: pasukan berasingan duduk hanya untuk ini. Terdapat juga pakar berbahasa Rusia. Panduan ini terperinci, penyelesaiannya telah ditetapkan. Mereka melihat dan menasihati. Mereka dengan cepat mengesahkan reka bentuk, yang selalunya penting. Juniper Networks melakukan perkara yang sama, tetapi jauh lebih perlahan (kami mempunyai ini, sekarang ia sepatutnya lebih baik mengikut khabar angin), yang memaksa anda melakukan segala-galanya sendiri di mana jurutera penyelesaian boleh menasihati.
Cisco ACI menyokong integrasi dengan sistem virtualisasi dan kontena (VMware, Kubernetes, Hyper-V) dan pengurusan berpusat. Tersedia dengan perkhidmatan rangkaian dan keselamatan - pengimbangan, tembok api, WAF, IPS, dll... Pembahagian mikro yang baik di luar kotak. Dalam penyelesaian kedua, penyepaduan dengan perkhidmatan rangkaian adalah mudah, dan lebih baik untuk membincangkan forum terlebih dahulu dengan mereka yang telah melakukan ini.
Jumlah
Untuk setiap kes tertentu, adalah perlu untuk memilih penyelesaian, bukan sahaja berdasarkan kos peralatan, tetapi juga perlu mengambil kira kos operasi selanjutnya dan masalah utama yang sedang dihadapi oleh pelanggan, dan rancangan apa yang ada. adalah untuk pembangunan infrastruktur IT.
ACI, disebabkan peralatan tambahan, lebih mahal, tetapi penyelesaiannya sudah siap tanpa memerlukan kemasan tambahan; penyelesaian kedua lebih kompleks dan mahal dari segi operasi, tetapi lebih murah.
Jika anda ingin membincangkan kos untuk melaksanakan fabrik rangkaian pada vendor yang berbeza, dan jenis seni bina yang diperlukan, anda boleh berjumpa dan bersembang. Kami akan menasihati anda secara percuma sehingga anda mendapat lakaran kasar seni bina (yang mana anda boleh mengira belanjawan), perincian terperinci, sudah tentu, sudah dibayar.
Vladimir Klepche, rangkaian korporat.
Sumber: www.habr.com