Ocenite povezave v srednjem delu diagrama. K njim se bomo vrnili v nadaljevanju
Na neki točki boste morda ugotovili, da so velika, kompleksna omrežja L2 neozdravljivo bolna. Najprej težave, povezane z obdelavo prometa BUM in delovanjem protokola STP. Drugič, arhitektura je na splošno zastarela. To povzroča neprijetne težave v obliki izpadov in neprijetnega rokovanja.
Imeli smo dva vzporedna projekta, kjer so naročniki trezno ocenili vse prednosti in slabosti možnosti in izbrali dve različni prekrivni rešitvi, mi pa smo ju izvedli.
Bila je možnost primerjave izvedbe. Ne izkoriščanje, o tem bi morali govoriti čez dve ali tri leta.
Torej, kaj je omrežna tkanina s prekrivnimi omrežji in SDN?
Kaj storiti s perečimi problemi klasične omrežne arhitekture?
Vsako leto se pojavljajo nove tehnologije in ideje. V praksi se nujna potreba po obnovi omrežij ni pojavila dolgo časa, saj je mogoče vse narediti tudi ročno z dobrimi starimi metodami. Kaj torej, če je enaindvajseto stoletje? Konec koncev bi moral administrator delati in ne sedeti v svoji pisarni.
Nato se je začel razcvet gradnje obsežnih podatkovnih centrov. Tedaj je postalo jasno, da je bila dosežena razvojna meja klasične arhitekture, ne le v smislu zmogljivosti, odpornosti na napake in razširljivosti. Ena od možnosti za rešitev teh težav je bila zamisel o izgradnji prekrivnih omrežij na vrhu usmerjene hrbtenice.
Poleg tega se je s povečevanjem obsega omrežij zaostril problem upravljanja tovrstnih tovarn, zaradi česar so se začele pojavljati programsko definirane omrežne rešitve z možnostjo upravljanja celotne omrežne infrastrukture kot enotne celote. In ko je omrežje upravljano iz ene same točke, druge komponente IT infrastrukture lažje komunicirajo z njim, takšne interakcijske procese pa je lažje avtomatizirati.
Skoraj vsak večji proizvajalec ne le omrežne opreme, temveč tudi virtualizacije ima v svojem portfelju možnosti za takšne rešitve.
Vse, kar ostane, je ugotoviti, kaj je primerno za katere potrebe. Na primer, za posebej velika podjetja z dobro razvojno in operativno ekipo paketne rešitve prodajalcev ne zadovoljujejo vedno vseh potreb in se zatekajo k razvoju lastnih rešitev SD (software defined). To so na primer ponudniki v oblaku, ki nenehno širijo nabor storitev za svoje naročnike, paketne rešitve pa enostavno ne morejo slediti njihovim potrebam.
Za srednje velika podjetja funkcionalnost, ki jo ponuja prodajalec v obliki škatlaste rešitve, zadostuje v 99 odstotkih primerov.
Kaj so prekrivna omrežja?
Kakšna je ideja za prekrivnimi omrežji? V bistvu vzamete klasično usmerjeno omrežje in na njem zgradite drugo omrežje, da dobite več funkcij. Najpogosteje govorimo o učinkoviti porazdelitvi obremenitve opreme in komunikacijskih linij, občutnem povečanju meje razširljivosti, povečanju zanesljivosti in kopici varnostnih dobrot (zaradi segmentacije). Rešitve SDN pa poleg tega nudijo možnost za zelo, zelo, zelo priročno prilagodljivo administracijo in naredijo omrežje bolj pregledno za njegove uporabnike.
Na splošno, če bi bila lokalna omrežja izumljena v 2010-ih, bi bila videti precej drugače od tistega, kar smo podedovali od vojske v 1970-ih.
Kar zadeva tehnologije za gradnjo tkanin z uporabo prekrivnih omrežij, je trenutno veliko implementacij prodajalcev in internetnih RFC projektov (EVPN+VXLAN, EVPN+MPLS, EVPN+MPLSoGRE, EVPN+Geneve in drugi). Da, obstajajo standardi, vendar se lahko izvajanje teh standardov pri različnih proizvajalcih razlikuje, zato je pri ustvarjanju takšnih tovarn še vedno mogoče popolnoma opustiti zaklepanje prodajalca le teoretično na papirju.
Pri rešitvi SD so stvari še bolj zmedene, vsak prodajalec ima svojo vizijo. Obstajajo popolnoma odprte rešitve, ki jih teoretično lahko dokončate sami, in popolnoma zaprte.
Cisco ponuja svojo različico SDN za podatkovne centre - ACI. Seveda je to 100-odstotno zaklenjena rešitev glede izbire omrežne opreme, hkrati pa je popolnoma integrirana s sistemi za virtualizacijo, kontejnerizacijo, varnostjo, orkestracijo, izenačevalniki obremenitve itd. Toda v bistvu je še vedno nekakšna črna skrinjica, brez možnosti popolnega dostopa do vseh notranjih procesov. Vsi kupci se ne strinjajo s to možnostjo, saj ste popolnoma odvisni od kakovosti napisane kode rešitve in njene implementacije, po drugi strani pa ima proizvajalec eno najboljših tehničnih podpor na svetu in ima namensko ekipo, namenjeno samo tej rešitvi. Kot rešitev za prvi projekt je bil izbran Cisco ACI.
Za drugi projekt je bila izbrana rešitev Juniper. Proizvajalec ima tudi svoj SDN za podatkovni center, vendar se je naročnik odločil, da SDN ne bo implementiral. Kot tehnologija gradnje omrežja je bila izbrana tkanina EVPN VXLAN brez uporabe centraliziranih krmilnikov.
Čemu služi?
Ustvarjanje tovarne vam omogoča, da zgradite enostavno razširljivo, zanesljivo omrežje, ki je odporno na napake. Arhitektura (leaf-spine) upošteva značilnosti podatkovnih centrov (prometne poti, minimiziranje zamud in ozkih grl v omrežju). Rešitve SD v podatkovnih centrih vam omogočajo zelo priročno, hitro in fleksibilno upravljanje takšne tovarne in integracijo v ekosistem podatkovnega centra.
Obe stranki sta morali zgraditi redundantne podatkovne centre, da bi zagotovili odpornost na napake, poleg tega pa je moral biti promet med podatkovnima centrima šifriran.
Prvi kupec je že razmišljal o rešitvah brez tkanine kot o možnem standardu za svoja omrežja, vendar so imeli na testih težave z združljivostjo STP med več proizvajalci strojne opreme. Prišlo je do izpadov, ki so povzročili zrušitev storitev. In za stranko je bilo to kritično.
Cisco je že bil korporativni standard stranke, pogledali so ACI in druge možnosti in se odločili, da se splača uporabiti to rešitev. Všeč mi je bila avtomatizacija upravljanja z enim gumbom prek enega krmilnika. Storitve se hitreje konfigurirajo in hitreje upravljajo. Odločili smo se, da zagotovimo šifriranje prometa z izvajanjem MACSec med stikali IPN in SPINE. Tako smo se uspeli izogniti ozkemu grlu v obliki kripto prehodov, prihraniti na njih in izkoristiti maksimalno pasovno širino.
Druga stranka je izbrala Juniperjevo rešitev brez krmilnika, ker je njihov obstoječi podatkovni center že imel majhno instalacijo, ki je izvajala strukturo EVPN VXLAN. Toda tam ni bil odporen na napake (uporabljeno je bilo eno stikalo). Odločili smo se razširiti infrastrukturo glavnega podatkovnega centra in zgraditi tovarno v rezervnem podatkovnem centru. Obstoječi EVPN ni bil v celoti uporabljen: enkapsulacija VXLAN dejansko ni bila uporabljena, saj so bili vsi gostitelji povezani na eno stikalo, vsi naslovi MAC in naslovi gostiteljev /32 pa so bili lokalni, prehod zanje je bil isti stikalo, drugih naprav ni bilo , kjer je bilo treba zgraditi tunele VXLAN. Odločili so se za šifriranje prometa s tehnologijo IPSEC med požarnimi zidovi (zmogljivost požarnega zidu je bila zadostna).
Poskusili so tudi z ACI, vendar so se odločili, da bodo morali zaradi zaklepanja prodajalca kupiti preveč strojne opreme, vključno z zamenjavo nedavno kupljene nove opreme, in to preprosto ni bilo ekonomsko smiselno. Da, Ciscova tkanina se integrira z vsem, vendar so znotraj same strukture možne samo njene naprave.
Po drugi strani pa, kot smo že povedali, ne morete preprosto mešati tkanine EVPN VXLAN s katerim koli sosednjim prodajalcem, ker so implementacije protokolov drugačne. To je kot prečkanje Cisco in Huawei v enem omrežju - zdi se, da so standardi skupni, vendar boste morali plesati s tamburinom. Ker gre za banko in bi bili testi združljivosti zelo dolgi, smo se odločili, da je zdaj bolje kupiti pri istem prodajalcu in se ne preveč navduševati nad funkcionalnostmi, ki presegajo osnovne.
Načrt selitve
Dva podatkovna centra, ki temeljita na ACI:
Organizacija interakcije med podatkovnimi centri. Izbrana je bila rešitev Multi-Pod - vsak podatkovni center je pod. Upoštevane so zahteve za skaliranje glede na število preklopov in zakasnitev med sklopi (RTT manj kot 50 ms). Odločeno je bilo, da se zaradi lažjega upravljanja ne izdela rešitev Multi-Site (rešitev Multi-Pod uporablja en sam upravljalni vmesnik, Multi-Site bi imela dva vmesnika ali bi zahtevala večstranski orkestrator) in ker ni geografskega potrebna je bila rezervacija mest.
Z vidika selitve storitev iz podedovanega omrežja je bila izbrana najbolj pregledna možnost, s postopnim prenosom VLAN-ov, ki ustrezajo določenim storitvam.
Za migracijo je bil v tovarni za vsak VLAN ustvarjen ustrezen EPG (End-point-group). Najprej je bilo omrežje raztegnjeno med starim omrežjem in strukturo preko L2, potem ko so bili vsi gostitelji preseljeni, je bil prehod premaknjen v strukturo in EPG je sodeloval z obstoječim omrežjem prek L3OUT, medtem ko je bila interakcija med L3OUT in EPG je bil opisan z uporabo pogodb. Približen diagram:
Vzorčna struktura večine tovarniških pravilnikov ACI je prikazana na spodnji sliki. Celotna nastavitev temelji na pravilnikih, ugnezdenih v drugih pravilnikih in tako naprej. Sprva je to zelo težko ugotoviti, vendar se postopoma, kot kaže praksa, skrbniki omrežja navadijo na to strukturo v približno enem mesecu in šele nato začnejo razumeti, kako priročna je.
Primerjava
Pri rešitvi Cisco ACI je treba kupiti več opreme (ločena stikala za Inter-Pod interakcijo in APIC krmilnike), kar jo podraži. Juniperjeva rešitev ni zahtevala nakupa krmilnikov ali dodatkov; Možna je bila delna uporaba obstoječe opreme naročnika.
Tukaj je arhitektura tkanine EVPN VXLAN za dva podatkovna centra drugega projekta:
Z ACI dobite že pripravljeno rešitev - ni vam treba delati, ni vam treba optimizirati. Med začetnim seznanjanjem stranke s tovarno niso potrebni razvijalci, podporni ljudje za kodo in avtomatizacijo. Uporaba je precej enostavna, veliko nastavitev je mogoče opraviti prek čarovnika, kar ni vedno plus, zlasti za ljudi, ki so vajeni ukazne vrstice. V vsakem primeru je potreben čas, da se možgani ponovno zgradijo na novih tirnicah, na posebnosti nastavitev prek politik in delovanja s številnimi ugnezdenimi politikami. Poleg tega je zelo zaželeno imeti jasno strukturo za poimenovanje pravilnikov in objektov. Če se pojavi kakšna težava v logiki krmilnika, jo lahko reši le tehnična podpora.
V EVPN - konzola. Trpi ali se veseli. Znan vmesnik za staro gardo. Da, obstaja standardna konfiguracija in navodila. Moral boš kaditi mano. Različni dizajni, vse je jasno in podrobno.
Seveda je v obeh primerih pri selitvi bolje najprej preseliti ne najbolj kritične storitve, na primer testna okolja, in šele nato, ko ujamete vse hrošče, nadaljujte s proizvodnjo. In v petek zvečer se ne oglasite. Ne smete zaupati prodajalcu, da bo vse v redu, vedno je bolje igrati na varno.
Za ACI plačate več, čeprav Cisco trenutno aktivno promovira to rešitev in pogosto daje dobre popuste nanjo, vendar prihranite pri vzdrževanju. Upravljanje in kakršna koli avtomatizacija tovarne EVPN brez krmilnika zahteva vlaganja in redne stroške - spremljanje, avtomatizacija, uvajanje novih storitev. Hkrati začetni zagon pri ACI traja 30–40 odstotkov dlje. To se zgodi, ker ustvarjanje celotnega niza potrebnih profilov in pravilnikov, ki bodo nato uporabljeni, traja dlje. Ko pa omrežje raste, se število zahtevanih konfiguracij zmanjšuje. Uporabljate vnaprej ustvarjene politike, profile, objekte. Prilagodljivo lahko konfigurirate segmentacijo in varnost, centralno upravljate pogodbe, ki so odgovorne za omogočanje določenih interakcij med EPG - količina dela močno upade.
V EVPN morate vsako napravo konfigurirati v tovarni, verjetnost napak je večja.
Medtem ko je bil ACI počasnejši za implementacijo, je EVPN potreboval skoraj dvakrat več časa za odpravljanje napak. Če lahko v primeru Cisca vedno pokličeš podpornega inženirja in povprašaš o omrežju kot celoti (ker je pokrito kot rešitev), potem pri Juniper Networks kupiš samo strojno opremo in to je pokrito. Ali so paketi zapustili napravo? No, ok, potem pa tvoje težave. Lahko pa odprete vprašanje glede izbire rešitve ali zasnove omrežja - in potem vam bodo svetovali nakup profesionalne storitve, za doplačilo.
Podpora ACI je zelo kul, ker je ločena: ločena ekipa sedi samo za to. Obstajajo tudi rusko govoreči strokovnjaki. Vodnik je podroben, rešitve vnaprej določene. Gledajo in svetujejo. Hitro potrdijo dizajn, kar je pogosto pomembno. Juniper Networks počne isto, a precej počasneje (to smo imeli, zdaj naj bi bilo po govoricah bolje), kar te prisili, da vse narediš sam, kjer bi lahko svetoval inženir rešitve.
Cisco ACI podpira integracijo s sistemi za virtualizacijo in kontejnerizacijo (VMware, Kubernetes, Hyper-V) ter centralizirano upravljanje. Na voljo z omrežnimi in varnostnimi storitvami - uravnoteženje, požarni zidovi, WAF, IPS itd... Dobra mikrosegmentacija takoj po namestitvi. Pri drugi rešitvi je integracija z omrežnimi storitvami preprosta in bolje je, da se o forumih vnaprej pogovorite s tistimi, ki so to storili.
Skupaj
Za vsak konkreten primer je treba izbrati rešitev, ne le glede na ceno opreme, ampak je treba upoštevati tudi nadaljnje obratovalne stroške in glavne težave, s katerimi se stranka trenutno srečuje in kakšne načrte ima. so za razvoj IT infrastrukture.
ACI je bil zaradi dodatne opreme dražji, vendar je rešitev že pripravljena brez dodatne dodelave, druga rešitev je obratovalno kompleksnejša in dražja, a cenejša.
Če želite razpravljati o tem, koliko bi lahko stala implementacija omrežne strukture pri različnih prodajalcih in kakšna arhitektura je potrebna, se lahko srečate in poklepetate. Brezplačno vam bomo svetovali, dokler ne dobite okvirne skice arhitekture (s katero lahko izračunate proračune), podrobna izdelava pa je seveda že plačana.
Vladimir Klepche, korporativna omrežja.
Vir: www.habr.com