Oceń połączenia w środkowej części diagramu. Wrócimy do nich poniżej
W pewnym momencie może się okazać, że duże, złożone sieci oparte na warstwie L2 są śmiertelnie chore. Przede wszystkim problemy związane z przetwarzaniem ruchu BUM i działaniem protokołu STP. Po drugie, architektura jest ogólnie przestarzała. Powoduje to nieprzyjemne problemy w postaci przestojów i niewygodnej obsługi.
Mieliśmy dwa równoległe projekty, gdzie klienci na trzeźwo ocenili wszystkie za i przeciw opcji i wybrali dwa różne rozwiązania nakładkowe, a my je wdrożyliśmy.
Była możliwość porównania realizacji. Nie wyzysku, powinniśmy o tym porozmawiać za dwa, trzy lata.
Czym zatem jest struktura sieciowa z sieciami nakładkowymi i SDN?
Co zrobić z palącymi problemami klasycznej architektury sieciowej?
Co roku pojawiają się nowe technologie i pomysły. W praktyce pilna potrzeba przebudowy sieci nie pojawiała się dość długo, bo możliwe jest też zrobienie wszystkiego ręcznie, starymi, dobrymi metodami. A co jeśli mamy XXI wiek? W końcu administrator powinien pracować, a nie siedzieć w swoim biurze.
Wtedy rozpoczął się boom w budowie wielkoskalowych centrów danych. Wtedy stało się jasne, że osiągnięto granicę rozwoju architektury klasycznej, nie tylko pod względem wydajności, odporności na błędy i skalowalności. Jedną z opcji rozwiązania tych problemów był pomysł budowy sieci nakładkowych na routowanym szkielecie.
Ponadto wraz ze wzrostem skali sieci problem zarządzania takimi fabrykami stał się dotkliwy, w wyniku czego zaczęły pojawiać się rozwiązania sieciowe definiowane programowo z możliwością zarządzania całą infrastrukturą sieciową jako jedną całością. A gdy sieć jest zarządzana z jednego miejsca, łatwiej jest współdziałać z nią innymi komponentami infrastruktury IT, a procesy interakcji łatwiej zautomatyzować.
Niemal każdy liczący się producent nie tylko sprzętu sieciowego, ale i wirtualizacji, ma w swoim portfolio opcje tego typu rozwiązań.
Pozostaje tylko dowiedzieć się, co jest odpowiednie dla jakich potrzeb. Na przykład w przypadku szczególnie dużych firm z dobrym zespołem programistów i operatorów pakietowe rozwiązania od dostawców nie zawsze zaspokajają wszystkie potrzeby i firmy uciekają się do opracowywania własnych rozwiązań SD (definiowanych programowo). Są to na przykład dostawcy usług chmurowych, którzy stale poszerzają zakres usług świadczonych swoim klientom, a rozwiązania pakietowe po prostu nie są w stanie nadążać za ich potrzebami.
Dla średnich firm funkcjonalność oferowana przez dostawcę w postaci rozwiązania pudełkowego jest wystarczająca w 99 procentach przypadków.
Co to są sieci nakładkowe?
Jaka jest idea sieci nakładkowych? Zasadniczo bierzesz klasyczną sieć routowaną i budujesz na niej kolejną sieć, aby uzyskać więcej funkcji. Najczęściej mówimy o efektywnym rozłożeniu obciążenia na sprzęt i linie komunikacyjne, znaczącym zwiększeniu limitu skalowalności, zwiększeniu niezawodności i całej gamie gadżetów bezpieczeństwa (dzięki segmentacji). Oprócz tego rozwiązania SDN zapewniają możliwość bardzo, bardzo, bardzo wygodnej, elastycznej administracji i sprawiają, że sieć jest bardziej przejrzysta dla jej konsumentów.
Ogólnie rzecz biorąc, gdyby sieci lokalne zostały wynalezione w 2010 roku, wyglądałyby znacznie inaczej niż to, co odziedziczyliśmy po wojsku w latach 1970-tych.
Jeśli chodzi o technologie budowania szkieletów z wykorzystaniem sieci nakładkowych, obecnie istnieje wielu wdrożeń dostawców i projektów internetowych RFC (EVPN+VXLAN, EVPN+MPLS, EVPN+MPLSoGRE, EVPN+Geneve i inne). Tak, istnieją standardy, ale wdrażanie tych standardów przez różnych producentów może się różnić, więc tworząc takie fabryki, nadal możliwe jest całkowite porzucenie blokady dostawcy tylko w teorii na papierze.
W przypadku rozwiązania SD sytuacja jest jeszcze bardziej zagmatwana; każdy dostawca ma własną wizję. Istnieją rozwiązania całkowicie otwarte, które teoretycznie możesz skompletować samodzielnie, i są rozwiązania całkowicie zamknięte.
Cisco oferuje swoją wersję SDN dla centrów danych – ACI. Oczywiście jest to rozwiązanie w 100% zależne od dostawcy pod względem wyboru sprzętu sieciowego, ale jednocześnie w pełni zintegrowane z systemami wirtualizacji, konteneryzacją, bezpieczeństwem, orkiestracją, modułami równoważenia obciążenia itp. Ale w istocie jest to nadal rozwiązanie rodzaj czarnej skrzynki, bez możliwości pełnego dostępu do wszystkich procesów wewnętrznych. Nie wszyscy klienci zgadzają się na tę opcję, ponieważ jesteś całkowicie zależny od jakości napisanego kodu rozwiązania i jego implementacji, ale z drugiej strony producent ma jedno z najlepszych wsparcia technicznego na świecie i posiada dedykowany zespół zajmujący się wyłącznie do tego rozwiązania. Na rozwiązanie pierwszego projektu wybrano Cisco ACI.
Do drugiego projektu wybrano rozwiązanie firmy Juniper. Producent ma również własną SDN dla centrum danych, jednak klient zdecydował się nie wdrażać SDN. Jako technologię budowy sieci wybrano tkaninę EVPN VXLAN bez użycia scentralizowanych sterowników.
Po co to jest
Utworzenie fabryki pozwala na zbudowanie łatwo skalowalnej, odpornej na awarie i niezawodnej sieci. Architektura (leaf-spine) uwzględnia charakterystykę centrów danych (ścieżki ruchu, minimalizacja opóźnień i wąskich gardeł w sieci). Rozwiązania SD w centrach danych pozwalają bardzo wygodnie, szybko i elastycznie zarządzać taką fabryką oraz integrować ją z ekosystemem data center.
Obaj klienci musieli zbudować redundantne centra danych, aby zapewnić odporność na awarie, a dodatkowo ruch między centrami danych musiał być szyfrowany.
Pierwszy klient rozważał już rozwiązania bez szkieletu jako możliwy standard dla swoich sieci, ale w testach miał problemy ze zgodnością protokołu STP u kilku dostawców sprzętu. Występowały przestoje, które powodowały awarie usług. A dla klienta było to krytyczne.
Cisco było już standardem korporacyjnym klienta, przyjrzał się ACI i innym opcjom i zdecydował, że warto skorzystać z tego rozwiązania. Spodobała mi się automatyzacja sterowania za pomocą jednego przycisku za pomocą jednego kontrolera. Usługi są konfigurowane szybciej i szybciej zarządzane. Postanowiliśmy zapewnić szyfrowanie ruchu poprzez uruchomienie MACSec pomiędzy przełącznikami IPN i SPINE. Tym samym udało nam się ominąć wąskie gardło w postaci bramy kryptograficznej, zaoszczędzić na nich i wykorzystać maksymalną przepustowość.
Drugi klient wybrał rozwiązanie firmy Juniper bez kontrolera, ponieważ w jego istniejącym centrum danych znajdowała się już mała instalacja wykorzystująca sieć szkieletową EVPN VXLAN. Ale tam nie był odporny na uszkodzenia (zastosowano jeden przełącznik). Zdecydowaliśmy się na rozbudowę infrastruktury głównego centrum danych i budowę fabryki w zapasowym centrum danych. Istniejąca sieć EVPN nie została w pełni wykorzystana: w rzeczywistości nie zastosowano enkapsulacji VXLAN, ponieważ wszystkie hosty były podłączone do jednego przełącznika, a wszystkie adresy MAC i adresy hostów /32 były lokalne, bramą dla nich był ten sam przełącznik, nie było innych urządzeń , gdzie konieczna była budowa tuneli VXLAN. Postanowili zapewnić szyfrowanie ruchu przy użyciu technologii IPSEC pomiędzy firewallami (wydajność firewalla była wystarczająca).
Próbowali także ACI, ale zdecydowali, że ze względu na blokadę dostawcy będą musieli kupić za dużo sprzętu, łącznie z wymianą niedawno zakupionego nowego sprzętu, co po prostu nie ma ekonomicznego sensu. Tak, tkanina Cisco integruje się ze wszystkim, ale w samej tkaninie możliwe są tylko jej urządzenia.
Z drugiej strony, jak powiedzieliśmy wcześniej, nie można po prostu mieszać sieci EVPN VXLAN z dowolnym sąsiadującym dostawcą, ponieważ implementacje protokołów są różne. To jak skrzyżowanie Cisco i Huawei w jednej sieci – wygląda na to, że standardy są wspólne, ale z tamburynem trzeba będzie tańczyć. Ponieważ jest to bank i testy kompatybilności trwałyby bardzo długo, uznaliśmy, że lepiej już teraz kupić od tego samego dostawcy i nie dać się ponieść funkcjonalnościom wykraczającym poza podstawowe.
Plan migracji
Dwa centra danych oparte na ACI:
Organizacja interakcji pomiędzy centrami danych. Wybrano rozwiązanie Multi-Pod – każde centrum danych to kapsuła. Uwzględniane są wymagania dotyczące skalowania według liczby przełączeń i opóźnień między zasobnikami (RTT poniżej 50 ms). Zdecydowano o nie budowaniu rozwiązania Multi-Site ze względu na łatwość zarządzania (rozwiązanie Multi-Pod wykorzystuje pojedynczy interfejs zarządzania, rozwiązanie Multi-Site miałoby dwa interfejsy lub wymagałoby Multi-Site Orchestrator), a ponieważ nie było żadnego geograficznego wymagana była rezerwacja miejsc.
Z punktu widzenia migracji usług z sieci Legacy wybrano opcję najbardziej przejrzystą, polegającą na stopniowym przenoszeniu sieci VLAN odpowiadających określonym usługom.
Na potrzeby migracji dla każdej sieci VLAN utworzono fabrycznie odpowiednią EPG (grupę punktów końcowych). Najpierw rozciągnięto sieć pomiędzy starą siecią a strukturą poprzez L2, następnie po migracji wszystkich hostów, bramę przeniesiono do sieci szkieletowej, a EPG współpracował z istniejącą siecią poprzez L3OUT, natomiast interakcja pomiędzy L3OUT i EPG został opisany za pomocą kontraktów. Przybliżony schemat:
Przykładową strukturę większości polityk fabrycznych ACI pokazano na poniższym rysunku. Cała konfiguracja opiera się na zasadach zagnieżdżonych w innych politykach i tak dalej. Na początku bardzo trudno to rozgryźć, ale stopniowo, jak pokazuje praktyka, administratorzy sieci przyzwyczajają się do tej struktury w ciągu około miesiąca, a potem dopiero zaczynają rozumieć, jakie to wygodne.
Porównanie
W rozwiązaniu Cisco ACI trzeba dokupić większą ilość sprzętu (osobne przełączniki do interakcji Inter-Pod i kontrolery APIC), co powoduje, że jest droższe. Rozwiązanie firmy Juniper nie wymagało zakupu sterowników ani akcesoriów; Możliwe było częściowe wykorzystanie istniejącego sprzętu klienta.
Oto architektura szkieletowa EVPN VXLAN dla dwóch centrów danych drugiego projektu:
Dzięki ACI otrzymujesz gotowe rozwiązanie - nie musisz majstrować, nie musisz optymalizować. Podczas wstępnej znajomości klienta z fabryką nie są potrzebni programiści, nie są potrzebne osoby wspierające do kodowania i automatyzacji. Jest dość łatwy w użyciu, wiele ustawień można dokonać za pomocą kreatora, co nie zawsze jest zaletą, zwłaszcza dla osób przyzwyczajonych do wiersza poleceń. W każdym razie przebudowa mózgu na nowe tory, uwzględniająca specyfikę ustawień poprzez zasady i działanie z wieloma zagnieżdżonymi politykami, wymaga czasu. Oprócz tego wysoce pożądane jest posiadanie przejrzystej struktury nazewnictwa polityk i obiektów. Jeśli pojawi się jakikolwiek problem w logice sterownika, można go rozwiązać jedynie poprzez wsparcie techniczne.
W EVPN - konsola. Cierpiej lub ciesz się. Znajomy interfejs dla starej gwardii. Tak, istnieje standardowa konfiguracja i przewodniki. Będziesz musiał palić manę. Różne projekty, wszystko jest jasne i szczegółowe.
Naturalnie w obu przypadkach przy migracji lepiej najpierw przeprowadzić migrację nie najbardziej krytycznych usług, np. środowisk testowych, a dopiero potem po wyłapaniu wszystkich błędów przystąpić do produkcji. I nie dostrajaj się w piątkowy wieczór. Nie powinieneś ufać sprzedawcy, że wszystko będzie dobrze, zawsze lepiej jest grać bezpiecznie.
Za ACI płacisz więcej, choć Cisco obecnie aktywnie promuje to rozwiązanie i często daje na nie dobre rabaty, ale oszczędzasz na utrzymaniu. Zarządzanie i jakakolwiek automatyzacja fabryki EVPN bez sterownika wymaga inwestycji i regularnych kosztów - monitoring, automatyzacja, wdrażanie nowych usług. Jednocześnie początkowe uruchomienie w ACI trwa o 30–40 procent dłużej. Dzieje się tak, ponieważ utworzenie całego zestawu niezbędnych profili i polityk, które zostaną następnie wykorzystane, zajmuje więcej czasu. Jednak wraz z rozwojem sieci liczba wymaganych konfiguracji maleje. Korzystasz z gotowych profili, profili, obiektów. Możesz elastycznie konfigurować segmentację i bezpieczeństwo, centralnie zarządzać umowami odpowiedzialnymi za umożliwienie określonych interakcji pomiędzy EPG - ilość pracy gwałtownie spada.
W EVPN musisz skonfigurować każde urządzenie fabrycznie, prawdopodobieństwo błędów jest większe.
Podczas gdy wdrożenie ACI było wolniejsze, debugowanie EVPN trwało prawie dwa razy dłużej. Jeśli w przypadku Cisco zawsze możesz zadzwonić do inżyniera wsparcia i zapytać o sieć jako całość (bo jest ona uwzględniona jako rozwiązanie), to od Juniper Networks kupujesz tylko sprzęt i to jest objęte gwarancją. Czy paczki opuściły urządzenie? No cóż, w takim razie twoje problemy. Możesz jednak zadać pytanie dotyczące wyboru rozwiązania lub projektu sieci - wtedy doradzą Ci zakup profesjonalnej usługi za dodatkową opłatą.
Wsparcie ACI jest bardzo fajne, bo jest osobne: od tego jest osobny zespół. Są też specjaliści rosyjskojęzyczni. Poradnik jest szczegółowy, rozwiązania są z góry ustalone. Patrzą i doradzają. Szybko weryfikują projekt, co często jest istotne. Juniper Networks robi to samo, ale znacznie wolniej (my to mieliśmy, teraz według plotek powinno być lepiej), co zmusza do zrobienia wszystkiego samodzielnie, tam gdzie doradziłby inżynier rozwiązania.
Cisco ACI wspiera integrację z systemami wirtualizacji i konteneryzacji (VMware, Kubernetes, Hyper-V) oraz scentralizowane zarządzanie. Dostępne z usługami sieciowymi i bezpieczeństwa - równoważeniem, zaporami ogniowymi, WAF, IPS itp. Dobra mikrosegmentacja od razu po wyjęciu z pudełka. W drugim rozwiązaniu integracja z usługami sieciowymi jest dziecinnie prosta i lepiej wcześniej porozmawiać na forach z osobami, które to zrobiły.
Łączny
Dla każdego konkretnego przypadku należy wybrać rozwiązanie, nie tylko kierując się kosztem sprzętu, ale także biorąc pod uwagę dalsze koszty eksploatacji oraz główne problemy, z jakimi boryka się obecnie klient i jakie ma plany służą rozwojowi infrastruktury IT.
ACI ze względu na dodatkowe wyposażenie było droższe, ale rozwiązanie jest gotowe i nie wymaga dodatkowych wykończeń; drugie rozwiązanie jest bardziej złożone i kosztowne w eksploatacji, ale tańsze.
Jeśli chcesz omówić, ile może kosztować wdrożenie struktury sieciowej u różnych dostawców i jaki rodzaj architektury jest potrzebny, możesz się spotkać i porozmawiać. Doradzimy bezpłatnie do momentu otrzymania wstępnego szkicu architektury (na podstawie którego można obliczyć budżety), szczegółowe opracowanie jest oczywiście już opłacone.
Władimir Klepche, sieci korporacyjne.
Źródło: www.habr.com