I dag skal jeg fortelle deg om hvordan ideen om Ă„ skape et nytt internt nettverk for selskapet vĂ„rt oppstod og ble implementert. Ledelsens holdning er at du mĂ„ gjĂžre det samme fullverdige prosjektet for deg selv som for kunden. GjĂžr vi det bra for oss selv, kan vi invitere kunden og vise hvor godt det vi tilbyr ham fungerer og fungerer. Derfor nĂŠrmet vi oss utviklingen av konseptet med et nytt nettverk for Moskva-kontoret veldig grundig, ved Ă„ bruke hele produksjonssyklusen: analyse av avdelingsbehov â valg av en teknisk lĂžsning â design â implementering â testing. SĂ„ la oss begynne.
Velge en teknisk lĂžsning: Mutant Sanctuary
Prosedyren for Ä jobbe med et komplekst automatisert system er for tiden best beskrevet i GOST 34.601-90 "Automatiske systemer. Stages of Creation», sÄ vi jobbet etter det. Og allerede pÄ stadiene av kravdannelse og konseptutvikling mÞtte vi de fÞrste vanskelighetene. Organisasjoner med ulike profiler - banker, forsikringsselskaper, programvareutviklere, etc. - for sine oppgaver og standarder trenger de visse typer nettverk, hvis spesifikasjoner er klare og standardiserte. Dette vil imidlertid ikke fungere hos oss.
Hvorfor?
Jet Infosystems er et stort diversifisert IT-selskap. Samtidig er vĂ„r interne supportavdeling liten (men stolt), den sikrer funksjonaliteten til grunnleggende tjenester og systemer. Selskapet inneholder mange divisjoner som utfĂžrer ulike funksjoner: Dette er flere kraftige outsourcing-team, og interne utviklere av forretningssystemer, og informasjonssikkerhet, og arkitekter av datasystemer â generelt, hvem det enn er. FĂžlgelig er deres oppgaver, systemer og sikkerhetspolicyer ogsĂ„ forskjellige. Noe som som forventet skapte vanskeligheter i prosessen med behovsanalyse og standardisering.
Her er for eksempel utviklingsavdelingen: dens ansatte skriver og tester kode for et stort antall kunder. Ofte er det behov for Ä raskt organisere testmiljÞer, og Êrlig talt er det ikke alltid mulig Ä formulere krav til hvert prosjekt, etterspÞrre ressurser og bygge et eget testmiljÞ i henhold til alle interne forskrifter. Dette gir opphav til nysgjerrige situasjoner: En dag sÄ den ydmyke tjeneren din inn i utviklerens rom og fant under bordet en skikkelig fungerende Hadoop-klynge med 20 stasjonÊre datamaskiner, som pÄ uforklarlig vis var koblet til et felles nettverk. Jeg tror ikke det er verdt Ä presisere at selskapets IT-avdeling ikke visste om eksistensen. Denne omstendigheten, som mange andre, var ansvarlig for det faktum at under utviklingen av prosjektet ble begrepet "mutant reserve" fÞdt, som beskriver tilstanden til den langlidende kontorinfrastrukturen.
Eller her er et annet eksempel. Periodisk settes det opp en prÞvebenk innenfor en avdeling. Dette var tilfellet med Jira og Confluence, som ble brukt i begrenset grad av Software Development Center i enkelte prosjekter. Etter en tid lÊrte andre avdelinger om disse nyttige ressursene, evaluerte dem, og pÄ slutten av 2018 flyttet Jira og Confluence fra status som "lokale programmerers leketÞy" til status som "selskapsressurser." NÄ mÄ en eier tildeles disse systemene, SLAer, tilgangs-/informasjonssikkerhetspolicyer, sikkerhetskopieringspolicyer, overvÄking, regler for ruting av forespÞrsler for Ä fikse problemer mÄ defineres - generelt mÄ alle attributtene til et fullverdig informasjonssystem vÊre tilstede .
Hver av vÄre divisjoner er ogsÄ en inkubator som dyrker sine egne produkter. Noen av dem dÞr pÄ utviklingsstadiet, noen bruker vi mens vi jobber med prosjekter, mens andre slÄr rot og blir replikerte lÞsninger som vi begynner Ä bruke selv og selger til kunder. For hvert slikt system er det Þnskelig med et eget nettverksmiljÞ, hvor det vil utvikle seg uten Ä forstyrre andre systemer, og pÄ et tidspunkt kan integreres i bedriftens infrastruktur.
I tillegg til utvikling har vi et veldig stort med mer enn 500 ansatte, dannet i team for hver kunde. De er involvert i vedlikehold av nettverk og andre systemer, fjernovervÄking, lÞsning av krav og sÄ videre. Det vil si at infrastrukturen til SC faktisk er infrastrukturen til kunden som de jobber med for Þyeblikket. Det sÊregne ved Ä jobbe med denne delen av nettverket er at deres arbeidsstasjoner for vÄrt selskap er delvis eksterne, og delvis interne. Derfor implementerte vi fÞlgende tilnÊrming for SC - selskapet gir den tilsvarende avdelingen nettverk og andre ressurser, og vurderer arbeidsstasjonene til disse avdelingene som eksterne forbindelser (i analogi med filialer og eksterne brukere).
Motorveidesign: vi er operatĂžren (overraskelse)
Etter Ă„ ha vurdert alle fallgruvene, skjĂžnte vi at vi fikk en teleoperatĂžrs nettverk innenfor ett kontor, og vi begynte Ă„ handle deretter.
Vi opprettet et kjernenettverk ved hjelp av hvilket enhver intern, og i fremtiden ogsÄ ekstern, forbruker fÄr den nÞdvendige tjenesten: L2 VPN, L3 VPN eller vanlig L3-ruting. Noen avdelinger trenger sikker Internett-tilgang, mens andre trenger ren tilgang uten brannmurer, men samtidig beskytte bedriftens ressurser og kjernenettverk fra deres trafikk.
Vi inngikk uformelt en SLA med hver divisjon. I henhold til den skal alle hendelser som oppstÄr elimineres innen et visst forhÄndsavtalt tidsrom. Selskapets krav til nettverket viste seg Ä vÊre strenge. Maksimal responstid pÄ en hendelse ved telefon- og e-postfeil var 5 minutter. Tiden for Ä gjenopprette nettverksfunksjonalitet under typiske feil er ikke mer enn ett minutt.
Siden vi har et nettverk av operatĂžrgrad, kan du kun koble deg til det i strengt samsvar med reglene. Tjenesteenheter setter retningslinjer og tilbyr tjenester. De trenger ikke engang informasjon om tilkoblingene til spesifikke servere, virtuelle maskiner og arbeidsstasjoner. Men samtidig er det nĂždvendig med beskyttelsesmekanismer, fordi ikke en eneste tilkobling skal deaktivere nettverket. Hvis en slĂžyfe opprettes ved et uhell, bĂžr ikke andre brukere legge merke til dette, det vil si at en tilstrekkelig respons fra nettverket er nĂždvendig. Enhver teleoperatĂžr lĂžser konstant lignende tilsynelatende komplekse problemer innenfor sitt kjernenettverk. Det gir service til mange kunder med ulike behov og trafikk. Samtidig skal ikke ulike abonnenter oppleve ulemper fra andres trafikk.
Hjemme lÞste vi dette problemet pÄ fÞlgende mÄte: vi bygde et L3-ryggradsnettverk med full redundans ved bruk av IS-IS-protokollen. Et overleggsnettverk ble bygget pÄ toppen av kjernen basert pÄ teknologi /, ved Ä bruke en rutingprotokoll . For Ä fÄ fart pÄ konvergensen av rutingprotokoller ble BFD-teknologi brukt.
Nettverksstruktur
I tester viste dette opplegget seg Ä vÊre utmerket - nÄr en kanal eller svitsj er frakoblet, er konvergenstiden ikke mer enn 0.1-0.2 s, et minimum av pakker gÄr tapt (ofte ingen), TCP-Þkter blir ikke revet, telefonsamtaler blir ikke avbrutt.
Underlagslag - Ruting
Overleggslag - Ruting
Huawei CE6870-svitsjer med VXLAN-lisenser ble brukt som distribusjonssvitsjer. Denne enheten har et optimalt pris/kvalitetsforhold, slik at du kan koble til abonnenter med en hastighet pĂ„ 10 Gbit/s, og koble til ryggraden med hastigheter pĂ„ 40â100 Gbit/s, avhengig av transceivere som brukes.
Huawei CE6870 brytere
Huawei CE8850-svitsjer ble brukt som kjernebrytere. MÄlet er Ä overfÞre trafikk raskt og pÄlitelig. Ingen enheter er koblet til dem bortsett fra distribusjonssvitsjer, de kan ikke noe om VXLAN, sÄ en modell med 32 40/100 Gbps-porter ble valgt, med en grunnleggende lisens som gir L3-ruting og stÞtte for IS-IS og MP-BGP protokoller.
Den nederste er Huawei CE8850 kjernebryter
PÄ designstadiet brÞt det ut en diskusjon i teamet om teknologier som kunne brukes til Ä implementere en feiltolerant tilkobling til kjernenettverksnoder. Moskva-kontoret vÄrt ligger i tre bygninger, vi har 7 distribusjonsrom, i hver av disse ble det installert to Huawei CE6870 distribusjonsbrytere (kun tilgangsbrytere ble installert i flere distribusjonsrom). Ved utviklingen av nettverkskonseptet ble to redundansalternativer vurdert:
- Konsolidering av distribusjonsbrytere til en feiltolerant stabel i hvert tverrkoblingsrom. Fordeler: enkelhet og lett oppsett. Ulemper: det er stÞrre sannsynlighet for feil i hele stabelen nÄr det oppstÄr feil i fastvaren til nettverksenheter ("minnelekkasjer" og lignende).
- Bruk M-LAG og Anycast gateway-teknologier for Ă„ koble enheter til distribusjonssvitsjer.
Til slutt bestemte vi oss for det andre alternativet. Den er noe vanskeligere Ä konfigurere, men har i praksis vist sin ytelse og hÞye pÄlitelighet.
La oss fĂžrst vurdere Ă„ koble sluttenheter til distribusjonsbrytere:
Kryss
En tilgangssvitsj, server eller annen enhet som krever en feiltolerant tilkobling er inkludert i to distribusjonssvitsjer. M-LAG-teknologi gir redundans pÄ datalinknivÄ. Det forutsettes at to distribusjonsbrytere vises til det tilkoblede utstyret som én enhet. Redundans og lastbalansering utfÞres ved hjelp av LACP-protokollen.
Anycast gateway-teknologi gir redundans pÄ nettverksnivÄ. Et ganske stort antall VRF-er er konfigurert pÄ hver av distribusjonssvitsjene (hver VRF er ment for sine egne formÄl - separat for "vanlige" brukere, separat for telefoni, separat for forskjellige test- og utviklingsmiljÞer, etc.), og i hvert VRF har flere VLAN-er konfigurert. I vÄrt nettverk er distribusjonssvitsjer standard gatewayer for alle enheter som er koblet til dem. IP-adressene som tilsvarer VLAN-grensesnittene er de samme for begge distribusjonssvitsjene. Trafikken ledes gjennom nÊrmeste sporveksler.
La oss nÄ se pÄ Ä koble distribusjonssvitsjer til kjernen:
Feiltoleranse er gitt pÄ nettverksnivÄ ved bruk av IS-IS-protokollen. VÊr oppmerksom pÄ at det er en egen L3-kommunikasjonslinje mellom bryterne, med en hastighet pÄ 100G. Fysisk er denne kommunikasjonslinjen en direkte tilgangskabel; den kan sees til hÞyre pÄ bildet av Huawei CE6870-svitsjer.
Et alternativ ville vÊre Ä organisere en "Êrlig" fullt koblet dobbelstjernetopologi, men som nevnt ovenfor har vi 7 tverrforbindelsesrom fordelt pÄ tre bygninger. FÞlgelig, hvis vi hadde valgt "dobbeltstjerne" -topologien, ville vi ha trengt nÞyaktig dobbelt sÄ mange "langdistanse" 40G-sendere. Besparelsene her er svÊrt betydelige.
Noen fÄ ord mÄ sies om hvordan VXLAN og Anycast gateway-teknologier fungerer sammen. VXLAN, uten Ä gÄ i detaljer, er en tunnel for transport av Ethernet-rammer inne i UDP-pakker. Loopback-grensesnittene til distribusjonssvitsjer brukes som destinasjons-IP-adressen til VXLAN-tunnelen. Hver crossover har to svitsjer med samme loopback-grensesnittadresser, slik at en pakke kan ankomme hvilken som helst av dem, og en Ethernet-ramme kan trekkes ut fra den.
Hvis bryteren vet om destinasjons-MAC-adressen til den hentede rammen, vil rammen bli korrekt levert til destinasjonen. For Ä sikre at begge distribusjonssvitsjene installert i samme krysskobling har oppdatert informasjon om alle MAC-adresser som "kommer" fra tilgangssvitsjene, er M-LAG-mekanismen ansvarlig for Ä synkronisere MAC-adressetabellene (sÄ vel som ARP). tabeller) pÄ begge bryterne M-LAG-par.
Trafikkbalansering oppnÄs pÄ grunn av tilstedevÊrelsen i underlagsnettverket av flere ruter til loopback-grensesnittene til distribusjonssvitsjer.
I stedet for en konklusjon
Som nevnt ovenfor, under testing og drift viste nettverket hÞy pÄlitelighet (gjenopprettingstid for typiske feil er ikke mer enn hundrevis av millisekunder) og god ytelse - hver krysskobling er koblet til kjernen med to 40 Gbit/s-kanaler. Tilgangssvitsjer i vÄrt nettverk er stablet og koblet til distribusjonssvitsjer via LACP/M-LAG med to 10 Gbit/s kanaler. En stack inneholder vanligvis 5 brytere med 48 porter hver, og opptil 10 aksessstabler er koblet til distribusjonen i hver krysskobling. Dermed gir ryggraden ca 30 Mbit/s per bruker selv ved maksimal teoretisk belastning, som i skrivende stund er tilstrekkelig for alle vÄre praktiske applikasjoner.
Nettverket lar deg sÞmlÞst organisere sammenkoblingen av alle vilkÄrlig tilkoblede enheter via bÄde L2 og L3, og gir fullstendig isolasjon av trafikk (som informasjonssikkerhetstjenesten liker) og feildomener (som driftsteamet liker).
I neste del vil vi fortelle deg hvordan vi migrerte til det nye nettverket. FĂžlg med!
Maxim Klochkov
Seniorkonsulent i nettverksrevisjons- og komplekse prosjektgruppen
NettverkslĂžsningssenter
"Jet infosystemer"
Kilde: www.habr.com
