Vyhodnoťte pripojenia v strednej časti schémy. Vrátime sa k nim nižšie
V určitom okamihu môžete zistiť, že veľké, zložité siete založené na L2 sú smrteľne choré. V prvom rade problémy spojené so spracovaním BUM prevádzky a fungovaním STP protokolu. Po druhé, architektúra je vo všeobecnosti zastaraná. To spôsobuje nepríjemné problémy v podobe prestojov a nepohodlnej manipulácie.
Mali sme dva paralelné projekty, kde zákazníci triezvo zhodnotili všetky pre a proti možností a vybrali si dve rôzne overlay riešenia a tie sme zrealizovali.
Bola tu možnosť porovnať realizáciu. Nie vykorisťovanie, o tom by sme sa mali porozprávať o dva-tri roky.
Čo je teda sieťová štruktúra s prekryvnými sieťami a SDN?
Čo robiť s naliehavými problémami klasickej sieťovej architektúry?
Každý rok sa objavujú nové technológie a nápady. V praxi naliehavá potreba prestavby sietí nevznikla pomerne dlho, pretože robiť všetko ručne pomocou starých dobrých metód je tiež možné. Čo ak je teda dvadsiate prvé storočie? Koniec koncov, správca by mal pracovať a nie sedieť vo svojej kancelárii.
Potom začal boom vo výstavbe rozsiahlych dátových centier. Potom sa ukázalo, že bol dosiahnutý limit vývoja klasickej architektúry, a to nielen z hľadiska výkonu, odolnosti voči chybám a škálovateľnosti. A jednou z možností riešenia týchto problémov bola myšlienka vybudovania prekryvných sietí nad smerovanou chrbticou.
Navyše, s nárastom rozsahu sietí sa problém riadenia takýchto tovární stal akútnym, v dôsledku čoho sa začali objavovať softvérovo definované sieťové riešenia so schopnosťou riadiť celú sieťovú infraštruktúru ako jeden celok. A keď je sieť riadená z jedného bodu, ostatné komponenty IT infraštruktúry s ňou ľahšie interagujú a takéto interakčné procesy sa dajú ľahšie automatizovať.
Možnosti takýchto riešení má vo svojom portfóliu takmer každý väčší výrobca nielen sieťových zariadení, ale aj virtualizácie.
Zostáva len zistiť, čo je vhodné pre aké potreby. Napríklad pre obzvlášť veľké spoločnosti s dobrým vývojovým a prevádzkovým tímom balené riešenia od dodávateľov nie vždy uspokoja všetky potreby a uchyľujú sa k vývoju vlastných SD (softvérovo definovaných) riešení. Ide napríklad o poskytovateľov cloudu, ktorí neustále rozširujú ponuku služieb poskytovaných svojim klientom a balené riešenia jednoducho nedokážu držať krok s ich potrebami.
Pre stredne veľké firmy je funkcionalita ponúkaná predajcom vo forme krabicového riešenia postačujúca v 99 percentách prípadov.
Čo sú to prekryvné siete?
Aká je myšlienka za prekryvnými sieťami? V podstate zoberiete klasickú smerovanú sieť a nad ňou postavíte ďalšiu sieť, aby ste získali viac funkcií. Najčastejšie hovoríme o efektívnom rozložení záťaže na zariadenia a komunikačné linky, výraznom zvýšení limitu škálovateľnosti, zvýšení spoľahlivosti a hromade bezpečnostných vychytávok (kvôli segmentácii). A riešenia SDN navyše poskytujú možnosť veľmi, veľmi, veľmi pohodlnej flexibilnej správy a robia sieť transparentnejšou pre svojich spotrebiteľov.
Vo všeobecnosti, ak by boli lokálne siete vynájdené v roku 2010, vyzerali by úplne inak ako to, čo sme zdedili od armády v 1970. rokoch.
Pokiaľ ide o technológie na budovanie štruktúr pomocou prekrývacích sietí, v súčasnosti existuje veľa implementácií dodávateľov a internetových RFC projektov (EVPN+VXLAN, EVPN+MPLS, EVPN+MPLSoGRE, EVPN+Geneve a ďalšie). Áno, existujú normy, ale implementácia týchto noriem rôznymi výrobcami sa môže líšiť, takže pri vytváraní takýchto tovární je stále možné úplne opustiť zámok dodávateľa iba teoreticky na papieri.
S riešením SD sú veci ešte mätúce, každý predajca má svoju vlastnú víziu. Existujú úplne otvorené riešenia, ktoré si teoreticky môžete doplniť sami, a sú úplne uzavreté.
Cisco ponúka svoju verziu SDN pre dátové centrá – ACI. Prirodzene, toto je 100% dodávateľsky uzamknuté riešenie z hľadiska výberu sieťového vybavenia, no zároveň je plne integrované s virtualizačnými systémami, kontajnerizáciou, bezpečnosťou, orchestráciou, nástrojmi na vyrovnávanie záťaže atď. Ale v podstate stále ide o druh čiernej skrinky, bez možnosti plného prístupu ku všetkým interným procesom. Nie všetci zákazníci s touto možnosťou súhlasia, keďže ste úplne závislí od kvality napísaného kódu riešenia a jeho implementácie, no na druhej strane má výrobca jednu z najlepších technických podpory na svete a má vyhradený tím k tomuto riešeniu. Ako riešenie pre prvý projekt bolo zvolené Cisco ACI.
Pre druhý projekt bolo zvolené riešenie Juniper. Výrobca má aj vlastné SDN pre dátové centrum, no zákazník sa rozhodol SDN neimplementovať. Ako technológia výstavby siete bola zvolená tkanina EVPN VXLAN bez použitia centralizovaných ovládačov.
Načo to je
Vytvorenie továrne vám umožní vybudovať ľahko škálovateľnú, spoľahlivú sieť odolnú voči chybám. Architektúra (leaf-spine) zohľadňuje charakteristiky dátových centier (dopravné trasy, minimalizovanie oneskorení a úzkych miest v sieti). SD riešenia v dátových centrách umožňujú veľmi pohodlne, rýchlo a flexibilne riadiť takúto továreň a integrovať ju do ekosystému dátového centra.
Obaja zákazníci potrebovali vybudovať redundantné dátové centrá, aby bola zabezpečená odolnosť voči chybám, a navyše musela byť komunikácia medzi dátovými centrami šifrovaná.
Prvý zákazník už zvažoval beztextilné riešenia ako možný štandard pre svoje siete, no v testoch mali problémy s kompatibilitou STP medzi viacerými dodávateľmi hardvéru. Vyskytli sa výpadky, ktoré spôsobili zlyhanie služieb. A pre zákazníka to bolo kritické.
Cisco už bolo firemným štandardom zákazníka, pozreli sa na ACI a ďalšie možnosti a rozhodli sa, že sa oplatí vziať toto riešenie. Páčila sa mi automatizácia ovládania z jedného tlačidla cez jediný ovládač. Služby sú rýchlejšie nakonfigurované a spravované. Rozhodli sme sa zabezpečiť šifrovanie prevádzky spustením MACSec medzi prepínačmi IPN a SPINE. Podarilo sa nám tak vyhnúť úzkemu miestu v podobe kryptobrány, ušetriť na nich a využiť maximálnu šírku pásma.
Druhý zákazník si vybral riešenie bez radiča od spoločnosti Juniper, pretože ich existujúce dátové centrum už malo malú inštaláciu implementujúcu štruktúru EVPN VXLAN. Ale tam to nebolo odolné voči poruchám (bol použitý jeden prepínač). Rozhodli sme sa rozšíriť infraštruktúru hlavného dátového centra a vybudovať továreň v záložnom dátovom centre. Existujúce EVPN nebolo plne využité: zapuzdrenie VXLAN nebolo v skutočnosti použité, pretože všetci hostitelia boli pripojení k jednému prepínaču a všetky MAC adresy a /32 adries hostiteľov boli lokálne, brána pre nich bola rovnaká prepínač, neexistovali žiadne iné zariadenia , kde bolo potrebné vybudovať VXLAN tunely. Rozhodli sa zabezpečiť šifrovanie prevádzky pomocou technológie IPSEC medzi firewallmi (výkon firewallu bol dostatočný).
Vyskúšali aj ACI, ale rozhodli sa, že kvôli blokovaniu predajcu budú musieť kúpiť príliš veľa hardvéru vrátane výmeny nedávno zakúpeného nového zariadenia a jednoducho to nedávalo ekonomický zmysel. Áno, tkanina Cisco sa integruje so všetkým, ale v rámci samotnej tkaniny sú možné iba jej zariadenia.
Na druhej strane, ako sme už povedali, nemôžete jednoducho zmiešať tkaninu EVPN VXLAN s akýmkoľvek susedným dodávateľom, pretože implementácie protokolov sú odlišné. Je to ako kríženie Cisco a Huawei v jednej sieti – zdá sa, že štandardy sú bežné, ale budete musieť tancovať s tamburínou. Keďže ide o banku a testy kompatibility by boli veľmi dlhé, rozhodli sme sa, že bude lepšie nakupovať od rovnakého predajcu hneď a nenechať sa príliš uniesť funkcionalitou nad rámec základných.
Migračný plán
Dve dátové centrá založené na ACI:
Organizácia interakcie medzi dátovými centrami. Bolo zvolené riešenie Multi-Pod – každé dátové centrum je pod. Zohľadňujú sa požiadavky na škálovanie podľa počtu prepínačov a oneskorení medzi modulmi (RTT menej ako 50 ms). Rozhodlo sa nevybudovať riešenie pre viacero lokalít, aby sa uľahčila správa (riešenie s viacerými podložkami používa jedno rozhranie na správu, s viacerými lokalitami by malo dve rozhrania alebo by si vyžadovalo viacmiestneho správcu) a keďže žiadne geografické bola potrebná rezervácia miest.
Z pohľadu migrácie služieb zo siete Legacy bola zvolená najtransparentnejšia možnosť, postupný prenos VLAN zodpovedajúcich určitým službám.
Pre migráciu bol vo výrobe vytvorený zodpovedajúci EPG (End-point-group) pre každú VLAN. Najprv bola sieť natiahnutá medzi starou sieťou a tkaninou cez L2, potom po migrácii všetkých hostiteľov bola brána presunutá na tkaninu a EPG interagovalo s existujúcou sieťou cez L3OUT, zatiaľ čo interakcia medzi L3OUT a EPG bol opísaný pomocou zmlúv. Približný diagram:
Vzorová štruktúra väčšiny výrobných zásad ACI je znázornená na obrázku nižšie. Celé nastavenie je založené na politikách vnorených do iných politík a podobne. Spočiatku je veľmi ťažké to zistiť, ale postupne, ako ukazuje prax, správcovia siete si na túto štruktúru zvyknú asi za mesiac a až potom začnú chápať, aké pohodlné je to.
Сравнение
V riešení Cisco ACI je potrebné dokúpiť vybavenie (samostatné prepínače pre interakciu Inter-Pod a ovládače APIC), čo ho predražuje. Riešenie Juniper nevyžadovalo nákup ovládačov ani príslušenstva; Bolo možné čiastočne využiť existujúce vybavenie zákazníka.
Tu je architektúra štruktúry EVPN VXLAN pre dve dátové centrá druhého projektu:
S ACI získate hotové riešenie – nie je potrebné vŕtať sa, nie je potrebné optimalizovať. Pri prvotnom oboznámení zákazníka s továrňou nie sú potrební žiadni vývojári, žiadni podporní ľudia na kódovanie a automatizáciu. Je to celkom jednoduché; veľa nastavení je možné vykonať pomocou sprievodcu, čo nie je vždy výhodou, najmä pre ľudí zvyknutých na príkazový riadok. V každom prípade si vyžaduje čas prebudovať mozog na nové koľaje, na zvláštnosti nastavení prostredníctvom politík a fungovania s mnohými vnorenými politikami. Okrem toho je veľmi žiaduce mať jasnú štruktúru na pomenovanie politík a objektov. Ak sa vyskytne nejaký problém v logike ovládača, dá sa vyriešiť iba prostredníctvom technickej podpory.
V EVPN - konzole. Trpieť alebo sa radovať. Známe rozhranie pre starú gardu. Áno, existuje štandardná konfigurácia a sprievodcovia. Budete musieť fajčiť manu. Rôzne vzory, všetko je jasné a detailné.
Prirodzene, v oboch prípadoch je pri migrácii lepšie najskôr migrovať nie najkritickejšie služby, napríklad testovacie prostredia, a až potom, po zachytení všetkých chýb, pristúpiť k produkcii. A nelaďte sa v piatok večer. Nemali by ste veriť predajcovi, že všetko bude v poriadku, vždy je lepšie hrať na istotu.
Za ACI zaplatíte viac, Cisco síce momentálne toto riešenie aktívne propaguje a často naň dáva dobré zľavy, no ušetríte na údržbe. Riadenie a akákoľvek automatizácia továrne EVPN bez kontroléra si vyžaduje investície a pravidelné náklady – monitoring, automatizácia, implementácia nových služieb. Počiatočné spustenie v ACI zároveň trvá o 30 až 40 percent dlhšie. Stáva sa to preto, že vytvorenie celej sady potrebných profilov a politík, ktoré sa potom použijú, trvá dlhšie. Ale ako sa sieť rozrastá, počet požadovaných konfigurácií klesá. Používate vopred vytvorené politiky, profily, objekty. Môžete flexibilne konfigurovať segmentáciu a bezpečnosť, centrálne spravovať zmluvy, ktoré sú zodpovedné za umožnenie určitých interakcií medzi EPG – množstvo práce prudko klesá.
V EVPN musíte každé zariadenie nakonfigurovať vo výrobe, pravdepodobnosť chýb je väčšia.
Zatiaľ čo implementácia ACI bola pomalšia, ladenie EVPN trvalo takmer dvakrát dlhšie. Ak v prípade Cisco môžete vždy zavolať technikovi podpory a spýtať sa na sieť ako celok (pretože je pokrytá ako riešenie), tak od Juniper Networks kupujete iba hardvér a ten je krytý. Opustili balíky zariadenie? Dobre, potom vaše problémy. Môžete však otvoriť otázku týkajúcu sa výberu riešenia alebo návrhu siete - a potom vám poradia, aby ste si za príplatok zakúpili profesionálnu službu.
Podpora ACI je veľmi cool, pretože je oddelená: na to sedí samostatný tím. Existujú aj rusky hovoriaci špecialisti. Návod je podrobný, riešenia sú vopred určené. Pozrú a poradia. Rýchlo overia dizajn, ktorý je často dôležitý. Juniper Networks robí to isté, ale oveľa pomalšie (mali sme to, teraz by to malo byť podľa klebiet lepšie), čo vás núti robiť všetko sami, kde by vám mohol poradiť inžinier riešení.
Cisco ACI podporuje integráciu s virtualizačnými a kontajnerovými systémami (VMware, Kubernetes, Hyper-V) a centralizovanú správu. Dostupné so sieťovými a bezpečnostnými službami - vyvažovanie, firewally, WAF, IPS atď... Dobrá mikrosegmentácia hneď po vybalení. V druhom riešení je integrácia so sieťovými službami hračkou a je lepšie vopred prediskutovať fóra s tými, ktorí to urobili.
Celkový
Pre každý konkrétny prípad je potrebné zvoliť riešenie, a to nielen na základe ceny zariadenia, ale je potrebné vziať do úvahy aj ďalšie prevádzkové náklady a hlavné problémy, s ktorými sa zákazník momentálne stretáva a aké plány tam má. sú určené na rozvoj IT infraštruktúry.
ACI z dôvodu dodatočného vybavenia bolo drahšie, ale riešenie je hotové bez potreby dodatočnej úpravy, druhé riešenie je prevádzkovo zložitejšie a nákladnejšie, ale lacnejšie.
Ak chcete diskutovať o tom, koľko môže stáť implementácia sieťovej štruktúry u rôznych predajcov a aký druh architektúry je potrebný, môžete sa stretnúť a porozprávať sa. Bezplatne vám poradíme, kým nedostanete hrubý náčrt architektúry (s ktorým si môžete vypočítať rozpočty), podrobné vypracovanie je už samozrejme zaplatené.
Vladimír Klepche, podnikové siete.
Zdroj: hab.com