Jiena ċert li l-qarrejja kollha tal-Habr tal-inqas darba ordnaw oġġetti fi ħwienet onlajn barra mill-pajjiż u mbagħad marru jirċievu pakketti fl-uffiċċju tal-Posta Russa. Tista 'timmaġina l-iskala ta' dan il-kompitu f'termini ta 'organizzazzjoni tal-loġistika? Immoltiplika n-numru ta 'xerrejja bin-numru tax-xiri tagħhom, immaġina mappa tal-pajjiż vast tagħna, u fuqha - aktar minn 40 elf uffiċċju postali ... Mill-mod, fl-2018, Russian Post ipproċessat 345 miljun pakkett internazzjonali.
F'dan l-artikolu, aħna se ngħidulek liema kwistjonijiet ffaċċjat il-Post u kif it-tim LANIT-Integration solvihom, u ħoloq infrastruttura ġdida tal-IT għaċ-ċentri tad-dejta.
Wieħed miċ-ċentri tal-loġistika moderni tal-Posta Russa
Qabel il-proġett
Minħabba żieda qawwija fin-numru ta 'pakketti minn ħwienet barranin fiċ-Ċina, l-Ewropa tal-Punent u l-Amerika ta' Fuq, it-tagħbija fuq il-faċilitajiet tal-loġistika tal-Posta Russa żdiedet. Għalhekk, inbniet ġenerazzjoni ġdida ta 'ċentri tal-loġistika, li jużaw magni tal-issortjar ta' kapaċità għolja. Huma jeħtieġu appoġġ mill-infrastruttura tal-kompjuters.
L-infrastruttura taċ-ċentru tad-dejta kienet skaduta u ma pprovdietx il-prestazzjoni u l-affidabbiltà meħtieġa fit-tħaddim tas-sistemi tal-informazzjoni tal-intrapriżi. Barra minn hekk, il-Posta Russa esperjenzat nuqqas ta 'setgħa ta' kompjuters biex tniedi servizzi ġodda.
Iċ-ċentri tad-dejta tal-klijenti u l-problemi tagħhom
Iċ-ċentri tad-dejta tal-Posta Russa jservu aktar minn 40 oġġett, 000 uffiċċju territorjali. Għexieren ta 'servizzi tan-negozju round-the-clock joperaw f'ċentri tad-dejta, inklużi servizzi tal-kummerċ elettroniku.
Diġà llum, l-intrapriża tuża sistemi għall-ħażna, l-analiżi u l-ipproċessar tad-data kbira. Għal sistemi bħal dawn, l-użu ta 'intelliġenza artifiċjali u algoritmi ta' tagħlim tal-magni għandu rwol importanti. Sal-lum, wieħed mill-aktar każijiet importanti għall-intrapriża huwa l-ottimizzazzjoni tal-ġestjoni tal-fluss tal-loġistika u l-aċċelerazzjoni tas-servizz tal-konsumatur fl-uffiċċji tal-posta.
Qabel il-bidu tal-proġett ta 'aġġornament, kien hemm madwar 3000 magna virtwali fiċ-ċentri tad-dejta prinċipali u ta' backup, l-ammont ta 'informazzjoni maħżuna qabeż 2 petabytes. Iċ-ċentri tad-dejta kellhom struttura kumplessa ta 'rotot tat-traffiku assoċjata mad-diviżjoni f'segmenti differenti skont il-livelli ta' sigurtà.
Bl-iżvilupp ta 'applikazzjonijiet u l-introduzzjoni ta' servizzi ġodda, il-bandwidth eżistenti tat-tagħmir tan-netwerk fiċ-ċentri tad-dejta saret insuffiċjenti. Kienet meħtieġa tranżizzjoni għal interfaces b'veloċitajiet ġodda: 10 Gb / s, minflok 1 Gb / s għall-aċċess u 40 Gb / s fil-livell ċentrali, b'redundancy sħiħa ta 'tagħmir u kanali ta' komunikazzjoni.
Mid-dipartiment tas-sigurtà tal-informazzjoni, waslet rekwiżit biex l-infrastruttura tinqasam f'segmenti b'livell għoli ta 'sigurtà tal-informazzjoni tat-traffiku u l-applikazzjonijiet (PN - Netwerk Privat u DMZ - Żona Demilitarizzata). Il-firewalls (ITU) għaddew traffiku li ma kienx meħtieġ li jiġi ffiltrat. VRF fuq l-iswiċċijiet ma ntużax għal traffiku bħal dan. Ir-regoli fl-ITU kienu subottimali (għexieren ta' eluf ta' regoli f'kull ċentru tad-dejta).
Migrazzjoni bla xkiel ta 'magni virtwali (VMs) bejn ċentri tad-dejta filwaqt li jinżamm l-indirizz IP u l-passaġġ ottimali għat-traffiku bejn is-segmenti, inkluż in-netwerk tad-dejta korporattiva (CDTN), ma kinitx possibbli.
MSTP intuża għal redundancy, xi portijiet ġew imblukkati (hot standby). Il-qalba u l-iswiċċijiet tal-aċċess ma kinux raggruppati, u ma ntużat l-ebda aggregazzjoni tal-interface (LAG).
Bil-miġja tat-tielet ċentru tad-dejta, kienet meħtieġa arkitettura ġdida u konfigurazzjoni ta 'tagħmir biex topera ċ-ċirku bejn iċ-ċentri tad-dejta (Ġie propost EVPN).
Ma kien hemm l-ebda kunċett uniku għall-iżvilupp ta 'ċentri tad-dejta, iddokumentat fil-forma ta' proġett u miftiehem mad-dipartimenti kollha tal-klijent. Id-dokumentazzjoni attwali tal-operat tan-netwerk ma kinitx kompluta u skaduta.
Aspettattivi tal-klijenti
It-tim tal-proġett kellu l-kompiti li ġejjin:
- tipprepara l-arkitettura u l-kunċett ta 'żvilupp għall-bini tan-netwerk u l-infrastruttura tas-server tat-tielet ċentru tad-dejta;
- twettaq verifika operattiva tan-netwerk eżistenti tal-klijent;
- tespandi l-kapaċità ċentrali tan-netwerk b'aktar minn 1500 port Ethernet 10/40 Gb/s f'kull ċentru tad-dejta (4500 port b'kollox);
- tiżgura t-tħaddim taċ-ċirku bejn tliet ċentri tad-dejta bil-possibbiltà li tiżdied il-veloċità sa 80 Gb / s f'kull wieħed mis-segmenti sabiex tgħaqqad ir-riżorsi tal-kompjuters tal-klijent minn ċentri tad-dejta differenti f'sistema tal-IT waħda;
- ipprovdi 100% riżerva doppja tal-elementi kollha tan-netwerk biex tinkiseb il-mira Uptime fil-livell ta '99,995%;
- jimminimizzaw id-dewmien tat-traffiku bejn magni virtwali biex tħaffef l-applikazzjonijiet tan-negozju;
- jiġbru statistika, janalizzaw u jottimizzaw aktar ir-regoli tal-iffiltrar tat-traffiku fiċ-ċentri tad-dejta (fil-bidu kien hemm madwar 80 regola);
- tiżviluppa arkitettura fil-mira biex tiżgura migrazzjoni bla xkiel tal-applikazzjonijiet tan-negozju kritiċi tal-klijent għal kwalunkwe mit-tliet ċentri tad-dejta.
Għalhekk, kellna x’naħdmu.
Оборудование
Ejja nagħtu ħarsa aktar mill-qrib lejn liema tagħmir użajna fil-proġett.
Firewall (NGWF) USG9560:
- diviżjoni minn VSYS;
- sa 720 Gbps;
- sa 720 miljun sessjoni simultanja;
- 8 slots.
Router NE40E-X8:
- sa 7,08 Tbit/s Kapaċità tal-Qlib;
- Prestazzjoni tat-Trasmissjoni sa 2,880 Mpps;
- 8 slots għal line cards (LPU);
- sa 10M BGP IPv4 rotot għal kull MPU;
- sa 1500K OSPF IPv4 rotot għal kull MPU;
- sa 3000K - IPv4 FIB (jiddependi fuq LPU).
Swiċċijiet tas-Serje CE12800:
- Virtualization tal-Apparat: VS (virtwalizzazzjoni 1:16), Cluster Switch System (CSS), Super Virtual Fabric (SVF);
- Virtualization tan-Netwerk: M-LAG, TRILL, VXLAN u VXLAN bridging, QinQ f'VXLAN, EVN (Netwerk Virtwali Ethernet);
- li jibda b'VRP V2, l-appoġġ EVPN huwa inkluż;
- M-LAG - analogu ta 'vPC (virtwali Port Channel) għal Cisco Nexus;
- Virtual Spanning Tree Protocol (VSTP) - Kompatibbli ma' Cisco PVST.
CE12804
CE12808
Software
Fil-proġett użajna:
- konvertitur ta' fajls ta' konfigurazzjoni għal firewalls ta' bejjiegħa oħra f'format ta' kmand għal tagħmir ġdid;
- skripts tad-disinn tagħna stess biex ottimizzaw u tittrasformaw il-konfigurazzjoni tal-firewalls.
Dehra tal-konvertitur għall-konverżjoni tal-fajls tal-konfigurazzjoni
Skema ta' komunikazzjoni bejn iċ-ċentri tad-dejta (EVPN VXLAN)
L-sfumaturi tat-twaqqif tat-tagħmir
CE12808
- EVPN (standard) minflok EVN (proprjetarju ta' Huawei) għall-komunikazzjoni bejn iċ-ċentri tad-dejta:
○ L2 fuq L3 bl-użu ta' iBGP fil-pjan ta' Kontroll;
○ Taħriġ MAC u tħabbir permezz tal-familja iBGP EVPN (rotot MAC, tip 2);
○ kostruzzjoni awtomatika ta 'mini VXLAN għal traffiku unicast xandir / mhux magħruf (Rotot Multicast Inklużi, tip 3). - Żewġ modi ta 'diviżjoni fuq VS:
○ ibbażat fuq portijiet (port-modalità tal-port) jew ibbażat fuq ASIC (grupp tal-modalità tal-port, mappa tal-port tal-apparat tal-wiri);
○ interface ta 'dimensjoni maqsuma tal-port 40GE jaħdem BISS f'Admin VS (irrispettivament mill-mod tal-port).
USG9560
- possibbiltà ta' diviżjoni bi VSYS,
- bejn ir-rotot dinamiku VSYS u t-tnixxija tar-rotta hija impossibbli!
CE12804
Il-GW Attiv kollu (VRRP Master/Master/Master) b'MAC VRRP filtrazzjoni bejn iċ-ċentri tad-dejta
acl number 4000
rule 5 deny source-mac 0000-5e00-0100 ffff-ffff-ff00
rule 10 deny destination-mac 0000-5e00-0100 ffff-ffff-ff00
rule 15 permit
interface Eth-Trunk1
traffic-filter acl 4000 outbound
Skema ta' interazzjoni tar-riżorsi bejn iċ-ċentri tad-dejta (VXLAN EVPN u All Active GW)
Il-kumplessità tal-proġett
Id-diffikultà ewlenija kienet il-ħtieġa li jsir backup tal-applikazzjonijiet eżistenti bl-użu tal-infrastruttura tal-kompjuters. Il-klijent kellu aktar minn 100 applikazzjoni differenti, li wħud minnhom inkitbu kważi 10 snin ilu. Pereżempju, jekk għal Yandex huwa possibbli li faċilment jintfew bosta mijiet ta 'magni virtwali mingħajr ma ssir ħsara lill-utenti finali, allura fir-Russu Post tali approċċ ikun jeħtieġ l-iżvilupp ta' numru ta 'applikazzjonijiet mill-bidu u bidliet fl-arkitettura tas-sistemi ta' informazzjoni tal-intrapriżi. Solvejna l-problemi li jinqalgħu fil-proċess ta 'migrazzjoni u ottimizzazzjoni fl-istadju ta' verifika konġunta tal-infrastruttura tal-kompjuters. It-teknoloġiji kollha tan-netwerking ġodda għall-intrapriża (bħal EVPN) ġew ittestjati minn qabel fil-laboratorju.
Riżultati tal-proġett
It-tim tal-proġett kien jinkludi speċjalisti , il-klijent u l-imsieħba tiegħu fl-operat tal-infrastruttura tal-kompjuters. Ġew iffurmati wkoll timijiet ta 'appoġġ dedikati minn bejjiegħa (Check Point u Huawei). Il-proġett ħa sentejn. Hawn dak li sar matul dan iż-żmien.
- Strateġija għall-iżvilupp ta 'netwerk ta' ċentri tad-dejta, netwerk ta 'trażmissjoni tad-dejta korporattiva (CSTN) u ċirku bejn ċentri tad-dejta ġiet żviluppata u miftiehma mad-dipartimenti kollha tal-klijent.
- Żieda fid-disponibbiltà tas-servizz. Dan kien innutat min-negozju tal-klijent u wassal għal żieda saħansitra akbar fit-traffiku minħabba l-introduzzjoni ta’ servizzi ġodda.
- Aktar minn 40 regola ġew migrati u ottimizzati minn FWSM/ASA għal USG 000. Kuntesti ASA differenti fuq UGG 9560 ġew magħquda f'politika ta' sigurtà waħda.
- Il-fluss tal-portijiet taċ-ċentru tad-dejta żdied minn 1G għal 10/40G permezz tal-użu ta 'CE12800/CE6850. Dan għamilha possibbli li jiġu eliminati t-tagħbijiet żejda tal-interface u t-telf tal-pakketti.
- Routers ta 'klassi Carrier NE40E-X8 koprew bis-sħiħ il-ħtiġijiet taċ-ċentru tad-dejta tal-klijent u KSPD, b'kont meħud tal-iżvilupp tan-negozju futur.
- Intalbu tmien Talbiet għal Karatteristiċi ġodda għall-USG 9560. Minn dawn, sebgħa diġà ġew implimentati u huma inklużi fil-verżjoni attwali tal-VRP. 1 FR qed tiġi implimentata minn Huawei R&D. Dan huwa cluster għal tmien chassis bil-kapaċità li jiġi kkonfigurat il-funzjonalità meħtieġa għas-sinkronizzazzjoni tal-konfigurazzjoni mingħajr is-sinkronizzazzjoni tas-sessjonijiet. Meħtieġa jekk id-dewmien tat-traffiku għal wieħed miċ-ċentri tad-dejta huwa għoli wisq (Adler - Moska 1300 km tul ir-rotta ewlenija u 2800 km tul ir-rotta backup).
Il-proġett m'għandux analogi meta mqabbel ma 'kumpaniji postali oħra fir-Russja.
Il-modernizzazzjoni tal-infrastruttura tan-netwerk taċ-ċentru tad-dejta fetħet opportunitajiet ġodda għall-intrapriża biex tiżviluppa servizzi diġitali.
- Jipprovdu kont personali u applikazzjoni mobbli għal individwi u entitajiet legali.
- Integrazzjoni ma 'ħwienet elettroniċi biex jipprovdu servizzi ta' kunsinna ta 'oġġetti.
- It-twettiq huwa l-ħażna ta 'merkanzija, il-formazzjoni u l-kunsinna ta' ordnijiet minn ħwienet elettroniċi.
- Espansjoni ta' punti ta' ħruġ ta' ordnijiet, inkluż bl-użu ta' netwerks msieħba.
- Fluss ta' dokumenti legalment sinifikanti mal-kuntratturi. Dan se jelimina l-kunsinna bil-mod u għalja tad-dokumenti tal-karta.
- Aċċettazzjoni ta' ittri reġistrati f'forma elettronika bil-kunsinna kemm f'forma elettronika kif ukoll karta (bl-istampar ta 'oġġetti kemm jista' jkun qrib ir-riċevitur finali). Servizz ta' ittri reġistrati elettroniċi fuq il-portal tas-servizzi pubbliċi.
- Pjattaforma għall-provvista ta' servizzi ta' telemediċina.
- Aċċettazzjoni simplifikata u kunsinna simplifikata ta' oġġetti postali reġistrati bl-użu ta' firma elettronika sempliċi.
- Diġitizzazzjoni tan-netwerk tal-uffiċċju postali.
- Ipproċessar ta' servizzi self-service (terminals u magni tal-pakketti).
- Ħolqien ta’ pjattaforma diġitali għall-ġestjoni tas-servizz tal-kurrier u applikazzjoni ġdida tal-mowbajl għall-klijenti tas-servizz tal-kurrier.
Ejja taħdem magħna!
Sors: www.habr.com