Avalie as conexões na parte central do diagrama. Voltaremos a eles abaixo
Em algum momento, você poderá descobrir que redes grandes e complexas baseadas em L2 estão com doenças terminais. Em primeiro lugar, problemas associados ao processamento do tráfego BUM e ao funcionamento do protocolo STP. Em segundo lugar, a arquitetura é geralmente obsoleta. Isto causa problemas desagradáveis na forma de tempos de inatividade e manuseio inconveniente.
Tivemos dois projetos paralelos, onde os clientes avaliaram com sobriedade todos os prós e contras das opções e escolheram duas soluções de sobreposição diferentes, e nós as implementamos.
Houve uma oportunidade de comparar a implementação. Exploração não; deveríamos falar sobre isso dentro de dois ou três anos.
Então, o que é uma malha de rede com redes de sobreposição e SDN?
O que fazer com os problemas urgentes da arquitetura de rede clássica?
Todos os anos surgem novas tecnologias e ideias. Na prática, a necessidade urgente de reconstruir redes não surgiu há muito tempo, porque também é possível fazer tudo manualmente, utilizando os bons e velhos métodos. E daí que estamos no século XXI? Afinal, um administrador deve trabalhar e não ficar sentado em seu escritório.
Então começou um boom na construção de data centers em grande escala. Então ficou claro que o limite de desenvolvimento da arquitetura clássica havia sido atingido, não apenas em termos de desempenho, tolerância a falhas e escalabilidade. E uma das opções para resolver esses problemas era a ideia de construir redes sobrepostas em cima de um backbone roteado.
Além disso, com o aumento da escala das redes, o problema de gestão dessas fábricas tornou-se agudo, a partir do qual começaram a surgir soluções de rede definidas por software com a capacidade de gerir toda a infraestrutura de rede como um todo. E quando a rede é gerenciada a partir de um único ponto, é mais fácil para outros componentes da infraestrutura de TI interagirem com ela, e esses processos de interação são mais fáceis de automatizar.
Quase todos os grandes fabricantes não apenas de equipamentos de rede, mas também de virtualização, possuem opções para tais soluções em seu portfólio.
Resta apenas descobrir o que é adequado para quais necessidades. Por exemplo, para empresas particularmente grandes com uma boa equipa de desenvolvimento e operação, os pacotes de soluções dos fornecedores nem sempre satisfazem todas as necessidades e recorrem ao desenvolvimento das suas próprias soluções SD (definidas por software). Por exemplo, estes são fornecedores de nuvem que estão constantemente a expandir a gama de serviços fornecidos aos seus clientes, e as soluções em pacote simplesmente não são capazes de acompanhar as suas necessidades.
Para empresas de médio porte, a funcionalidade oferecida pelo fornecedor na forma de uma solução in a box é suficiente em 99% dos casos.
O que são redes de sobreposição?
Qual é a ideia por trás das redes de sobreposição? Essencialmente, você pega uma rede roteada clássica e constrói outra rede sobre ela para obter mais recursos. Na maioria das vezes, estamos falando de distribuir efetivamente a carga em equipamentos e linhas de comunicação, aumentando significativamente o limite de escalabilidade, aumentando a confiabilidade e um monte de vantagens de segurança (devido à segmentação). E as soluções SDN, além disso, oferecem a oportunidade de uma administração flexível muito, muito, muito conveniente e tornam a rede mais transparente para seus consumidores.
Em geral, se as redes locais tivessem sido inventadas na década de 2010, teriam um aspecto muito diferente daquilo que herdamos dos militares na década de 1970.
Em termos de tecnologias para construção de malhas usando redes de sobreposição, existem atualmente muitas implementações de fornecedores e projetos de RFC de Internet (EVPN+VXLAN, EVPN+MPLS, EVPN+MPLSoGRE, EVPN+Geneve e outros). Sim, existem padrões, mas a implementação desses padrões por diferentes fabricantes pode ser diferente, portanto, ao criar tais fábricas, ainda é possível abandonar completamente o bloqueio do fornecedor apenas em teoria no papel.
Com uma solução SD, as coisas ficam ainda mais confusas: cada fornecedor tem sua própria visão. Existem soluções completamente abertas que, em teoria, você mesmo pode completar, e existem soluções completamente fechadas.
A Cisco oferece sua versão de SDN para data centers – ACI. Naturalmente, esta é uma solução 100% bloqueada pelo fornecedor em termos de escolha de equipamentos de rede, mas ao mesmo tempo está totalmente integrada com sistemas de virtualização, conteinerização, segurança, orquestração, balanceadores de carga, etc. espécie de caixa preta, sem possibilidade de acesso total a todos os processos internos. Nem todos os clientes concordam com esta opção, pois você é totalmente dependente da qualidade do código escrito da solução e de sua implementação, mas por outro lado, o fabricante possui um dos melhores suportes técnicos do mundo e conta com uma equipe dedicada apenas para esta solução. Cisco ACI foi escolhida como solução para o primeiro projeto.
Para o segundo projeto foi escolhida uma solução Juniper. O fabricante também possui SDN próprio para o data center, mas o cliente decidiu não implementar SDN. Uma malha EVPN VXLAN sem o uso de controladores centralizados foi escolhida como tecnologia de construção de rede.
Para que serve
A criação de uma fábrica permite que você construa uma rede confiável, facilmente escalonável e tolerante a falhas. A arquitetura (leaf-spine) leva em consideração as características dos data centers (trajetos de tráfego, minimizando atrasos e gargalos na rede). As soluções SD em data centers permitem que você gerencie essa fábrica de maneira muito conveniente, rápida e flexível e integre-a ao ecossistema do data center.
Ambos os clientes precisavam construir data centers redundantes para garantir tolerância a falhas e, além disso, o tráfego entre os data centers precisava ser criptografado.
O primeiro cliente já estava considerando soluções sem malha como um possível padrão para suas redes, mas em testes teve problemas com a compatibilidade de STP entre vários fornecedores de hardware. Houve tempos de inatividade que causaram falhas nos serviços. E para o cliente isso era fundamental.
A Cisco já era o padrão corporativo do cliente, eles analisaram a ACI e outras opções e decidiram que valia a pena adotar essa solução. Gostei da automação do controle de um botão por meio de um único controlador. Os serviços são configurados e gerenciados mais rapidamente. Decidimos garantir a criptografia do tráfego executando o MACSec entre os switches IPN e SPINE. Assim, conseguimos evitar o gargalo na forma de crypto gateway, economizar neles e aproveitar ao máximo a largura de banda.
O segundo cliente escolheu uma solução sem controlador da Juniper porque seu data center existente já tinha uma pequena instalação implementando uma malha EVPN VXLAN. Mas lá não era tolerante a falhas (um switch foi usado). Decidimos expandir a infraestrutura do data center principal e construir uma fábrica no data center de backup. A EVPN existente não foi totalmente usada: o encapsulamento VXLAN não foi realmente usado, pois todos os hosts estavam conectados a um switch e todos os endereços MAC e endereços de host /32 eram locais, o gateway para eles era o mesmo switch, não havia outros dispositivos , onde foi necessário construir túneis VXLAN. Eles decidiram garantir a criptografia do tráfego utilizando a tecnologia IPSEC entre firewalls (o desempenho do firewall era suficiente).
Eles também tentaram a ACI, mas decidiram que, devido ao bloqueio do fornecedor, teriam que comprar muito hardware, incluindo a substituição de novos equipamentos adquiridos recentemente, e isso simplesmente não fazia sentido do ponto de vista econômico. Sim, a malha Cisco se integra a tudo, mas apenas seus dispositivos são possíveis dentro da própria malha.
Por outro lado, como dissemos anteriormente, você não pode simplesmente misturar uma estrutura EVPN VXLAN com qualquer fornecedor vizinho, porque as implementações de protocolo são diferentes. É como cruzar Cisco e Huawei em uma rede - parece que os padrões são comuns, mas você terá que dançar com um pandeiro. Como se trata de um banco e os testes de compatibilidade seriam muito longos, decidimos que era melhor comprar do mesmo fornecedor agora, e não nos deixarmos levar por funcionalidades além das básicas.
Plano de migração
Dois data centers baseados em ACI:
Organização da interação entre data centers. A solução Multi-Pod foi escolhida – cada data center é um pod. São levados em consideração os requisitos de escalonamento pelo número de switches e atrasos entre pods (RTT inferior a 50 ms). Decidiu-se não construir uma solução Multi-Site para facilitar o gerenciamento (uma solução Multi-Pod usa uma única interface de gerenciamento, uma solução Multi-Site teria duas interfaces ou exigiria um Orquestrador Multi-Site), e como nenhuma localização geográfica era necessária reserva de sites.
Do ponto de vista de migração de serviços da rede Legacy, optou-se pela opção mais transparente, transferindo gradativamente as VLANs correspondentes a determinados serviços.
Para a migração, um EPG (End-point-group) correspondente foi criado na fábrica para cada VLAN. Primeiro, a rede foi esticada entre a rede antiga e a malha sobre L2, depois que todos os hosts foram migrados, o gateway foi movido para a malha, e o EPG interagiu com a rede existente através de L3OUT, enquanto a interação entre L3OUT e EPG foi descrito usando contratos. Diagrama aproximado:
Um exemplo de estrutura da maioria das políticas de fábrica da ACI é mostrado na figura abaixo. Toda a configuração é baseada em políticas aninhadas em outras políticas e assim por diante. No início é muito difícil descobrir, mas aos poucos, como mostra a prática, os administradores de rede se acostumam com essa estrutura em cerca de um mês e só então começam a entender como ela é conveniente.
Comparação
Na solução Cisco ACI, é necessário comprar mais equipamentos (switches separados para interação Inter-Pod e controladores APIC), o que a torna mais cara. A solução da Juniper não exigia a compra de controladores ou acessórios; Foi possível utilizar parcialmente o equipamento existente do cliente.
Aqui está a arquitetura de malha EVPN VXLAN para dois data centers do segundo projeto:
Com a ACI você obtém uma solução pronta – sem necessidade de ajustes, sem necessidade de otimização. Durante o conhecimento inicial do cliente com a fábrica, não são necessários desenvolvedores, nem pessoas de suporte para código e automação. É bastante fácil de usar; muitas configurações podem ser feitas através do assistente, o que nem sempre é uma vantagem, principalmente para pessoas acostumadas com a linha de comando. Em qualquer caso, leva tempo para reconstruir o cérebro em novos caminhos, para as peculiaridades dos ambientes através de políticas e para operar com muitas políticas aninhadas. Além disso, é altamente desejável ter uma estrutura clara para nomear políticas e objetos. Caso surja algum problema na lógica do controlador, só poderá ser resolvido através do suporte técnico.
Em EVPN - console. Sofra ou alegre-se. Uma interface familiar para a velha guarda. Sim, existe uma configuração padrão e guias. Você terá que fumar mana. Projetos diferentes, tudo é claro e detalhado.
Naturalmente, em ambos os casos, ao migrar, é melhor primeiro migrar não os serviços mais críticos, por exemplo, ambientes de teste, e só então, após detectar todos os bugs, prosseguir para a produção. E não sintonize na sexta à noite. Você não deve confiar no fornecedor que tudo ficará bem, é sempre melhor jogar pelo seguro.
Você paga mais pelo ACI, embora a Cisco esteja promovendo ativamente essa solução e muitas vezes dê bons descontos, mas você economiza em manutenção. A gestão e qualquer automação de uma fábrica EVPN sem controlador requer investimentos e custos regulares - monitoramento, automação, implementação de novos serviços. Ao mesmo tempo, o lançamento inicial na ACI leva de 30 a 40% mais tempo. Isso acontece porque leva mais tempo para criar todo o conjunto de perfis e políticas necessários que serão usados. Mas à medida que a rede cresce, o número de configurações necessárias diminui. Você usa políticas, perfis e objetos pré-criados. Você pode configurar segmentação e segurança com flexibilidade, gerenciar centralmente os contratos responsáveis por permitir certas interações entre EPGs - a quantidade de trabalho cai drasticamente.
No EVPN, é necessário configurar cada dispositivo na fábrica, a probabilidade de erros é maior.
Embora a implementação da ACI tenha sido mais lenta, a depuração da EVPN demorou quase o dobro. Se no caso da Cisco você sempre pode ligar para um engenheiro de suporte e perguntar sobre a rede como um todo (porque ela é coberta como solução), então na Juniper Networks você só compra hardware, e é isso que está coberto. Os pacotes saíram do dispositivo? Bem, ok, então seus problemas. Mas você pode abrir uma dúvida quanto à escolha da solução ou design de rede - e então eles irão aconselhá-lo a adquirir um serviço profissional, por uma taxa adicional.
O suporte da ACI é muito legal, porque é separado: uma equipe separada se senta só para isso. Existem também especialistas que falam russo. O guia é detalhado, as soluções são pré-determinadas. Eles olham e aconselham. Eles validam rapidamente o design, o que geralmente é importante. A Juniper Networks faz a mesma coisa, mas muito mais lenta (já tínhamos isso, agora deveria ser melhor segundo os rumores), o que obriga você a fazer tudo sozinho onde um engenheiro de soluções poderia aconselhar.
Cisco ACI oferece suporte à integração com sistemas de virtualização e conteinerização (VMware, Kubernetes, Hyper-V) e gerenciamento centralizado. Disponível com serviços de rede e segurança - balanceamento, firewalls, WAF, IPS, etc... Boa microssegmentação pronta para uso. Na segunda solução, a integração com serviços de rede é muito fácil e é melhor discutir os fóruns antecipadamente com quem já fez isso.
Total
Para cada caso específico, é necessário selecionar uma solução, não só com base no custo do equipamento, mas também ter em conta os custos operacionais adicionais e os principais problemas que o cliente enfrenta atualmente, e quais os planos para lá são para o desenvolvimento da infra-estrutura de TI.
O ACI, devido aos equipamentos adicionais, era mais caro, mas a solução já vem pronta sem necessidade de acabamento adicional; a segunda solução é mais complexa e cara em termos de operação, porém mais barata.
Se quiser discutir quanto pode custar implementar uma estrutura de rede em diferentes fornecedores e que tipo de arquitetura é necessária, você pode se reunir e conversar. Iremos aconselhá-lo gratuitamente até obter um esboço da arquitetura (com o qual poderá calcular orçamentos), a elaboração detalhada, claro, já está paga.
Vladimir Klepche, redes corporativas.
Fonte: habr.com