Në grumbullimin e rrjetit tonë lokal, ne kishim gjashtë palë çelësa Arista DCS-7050CX3-32S dhe një palë çelësa Brocade VDX 6940-36Q. Nuk është se jemi sforcuar shumë nga çelësat Brocade në këtë rrjet, ata punojnë dhe kryejnë funksionet e tyre, por ne po përgatisnim automatizimin e plotë të disa veprimeve dhe nuk i kishim këto aftësi në këta çelësa. Doja gjithashtu të kaloja nga ndërfaqet 40GE në mundësinë e përdorimit të 100GE për të bërë një rezervë për 2-3 vitet e ardhshme. Kështu që vendosëm të ndryshonim Brocade në Arista.
Këta ndërprerës janë ndërprerës të grumbullimit të LAN për çdo qendër të dhënash. Ndërprerësit e shpërndarjes (niveli i dytë i grumbullimit) lidhen drejtpërdrejt me to, të cilët tashmë montojnë çelsat e rrjetit lokal Top-of-Rack në raftet me serverë.
Çdo server është i lidhur me një ose dy çelësa aksesi. Çelësat e aksesit janë të lidhur me një palë çelësa shpërndarës (dy ndërprerës të shpërndarjes dhe dy lidhje fizike nga çelësi i aksesit në çelësat e ndryshëm të shpërndarjes përdoren për tepricë).
Çdo server mund të përdoret nga klienti i tij, kështu që klientit i ndahet një VLAN i veçantë. I njëjti VLAN më pas regjistrohet në një server tjetër të këtij klienti në çdo raft. Qendra e të dhënave përbëhet nga disa rreshta të tillë (POD), çdo rresht i rafteve ka çelësat e vet të shpërndarjes. Pastaj këta ndërprerës të shpërndarjes lidhen me çelësat e grumbullimit.
Klientët mund të porosisin një server në çdo rresht; është e pamundur të parashikohet paraprakisht që serveri do të ndahet ose instalohet në një rresht të caktuar në një raft të veçantë, kështu që ka rreth 2500 VLAN në ndërprerësat e grumbullimit në çdo qendër të dhënash.
Pajisjet për DCI (Data-Center Interconnect) janë të lidhura me çelësat e grumbullimit. Mund të synohet për lidhjen L2 (një palë çelësash që formojnë një tunel VXLAN në një qendër tjetër të dhënash) ose për lidhjen L3 (dy rutera MPLS).
Siç kam shkruar tashmë, për të unifikuar proceset e automatizimit të konfigurimit të shërbimeve në pajisje në një qendër të dhënash, ishte e nevojshme të zëvendësoheshin çelsat e grumbullimit qendror. Ne instaluam ndërprerës të rinj pranë atyre ekzistues, i kombinuam në një palë MLAG dhe filluam të përgatitemi për punë. Ata u lidhën menjëherë me ndërprerësit ekzistues të grumbullimit, në mënyrë që të kishin një domen të përbashkët L2 në të gjitha VLAN-et e klientëve.
Detajet e qarkut
Për specifikat, le të emërtojmë ndërprerësit e vjetër të grumbullimit A1 и A2, i ri - N1 и N2. Le ta imagjinojmë atë në POD 1 и POD 4 serverët e një klienti janë të pritur S1, Klienti VLAN tregohet me blu. Ky klient po përdor shërbimin e lidhjes L2 me një qendër tjetër të dhënash, kështu që VLAN-i i tij furnizohet me një palë çelësa VXLAN.
klient S2 pret serverët në POD 2 и POD 3,Klienti VLAN shënohet me jeshile të errët. Ky klient përdor gjithashtu një shërbim lidhjeje me një qendër tjetër të dhënash, por L3, kështu që VLAN-i i tij furnizohet me një palë ruterash L3VPN.
Ne kemi nevojë për VLAN të klientëve për të kuptuar se në cilat faza të punës së zëvendësimit çfarë ndodh, ku ndodh ndërprerja e komunikimit dhe cila mund të jetë kohëzgjatja e tij. Protokolli STP nuk përdoret në këtë skemë, pasi gjerësia e pemës për të në këtë rast është e madhe, dhe konvergjenca e protokollit rritet në mënyrë eksponenciale me numrin e pajisjeve dhe lidhjeve midis tyre.
Të gjitha pajisjet e lidhura me lidhje të dyfishta formojnë një pirg, çift MLAG ose pëlhurë VCS Ethernet. Për një palë rutera L3VPN, teknologji të tilla nuk përdoren, pasi nuk ka nevojë për tepricë L2, mjafton që ata të kenë lidhjen L2 me njëri-tjetrin përmes ndërprerësve të grumbullimit.
Opsionet e zbatimit
Kur analizuam opsionet për ngjarje të mëtejshme, kuptuam se ka disa mënyra për të kryer këtë punë. Nga një ndërprerje globale në të gjithë rrjetin lokal, në ndërprerje të vogla fjalë për fjalë 1-2 sekonda në pjesë të rrjetit.
Rrjeti, ndalo! Çelësat, ndërrojini!
Mënyra më e lehtë është, natyrisht, të deklaroni një ndërprerje globale të komunikimit në të gjitha POD-të dhe të gjitha shërbimet DCI dhe të kaloni të gjitha lidhjet nga çelësat А te çelsin N.
Përveç ndërprerjes, kohën e së cilës nuk mund ta parashikojmë në mënyrë të besueshme (po, ne e dimë numrin e lidhjeve, por nuk e dimë sa herë diçka do të shkojë keq - nga një kordon patch i thyer ose lidhës i dëmtuar në një port ose marrës të dëmtuar ), ende nuk mund të parashikojmë paraprakisht nëse gjatësia e kordonëve patch, DAC, AOC, të lidhura me çelësat e vjetër A, do të jetë e mjaftueshme për t'i arritur ato në çelësat e rinj N, megjithëse qëndrojnë pranë tyre, por ende pak anën, dhe nëse të njëjtët marrës do të funksionojnë /DAC/AOC nga ndërprerësit Brocade në çelësat Arista.
Dhe e gjithë kjo në kushtet e presionit të ashpër të klientëve dhe mbështetjes teknike ("Natasha, ngrihu! Natasha, gjithçka nuk funksionon atje! Natasha, ne i kemi shkruar tashmë mbështetjes teknike, sinqerisht! Natasha, ata tashmë kanë hequr gjithçka. Natasha, sa të tjera nuk do të funksionojë? Natasha, kur do të funksionojë?!"). Edhe përkundër pushimit të paralajmëruar dhe njoftimit të klientëve, një fluks kërkesash në një moment të tillë është i garantuar.
Ndalo, 1-2-3-4!
Po sikur të mos shpallim një ndërprerje globale, por më tepër një seri ndërprerjesh të vogla komunikimi për shërbimet POD dhe DCI. Gjatë pushimit të parë, kaloni te çelësat N vetëm POD 1, në të dytën - pas disa ditësh - POD 2, pastaj edhe disa ditë POD 3, Etj POD 4…[N], pastaj kaloni VXLAN dhe më pas ruterat L3VPN.
Me këtë organizim të punës së ndërrimit, ne zvogëlojmë kompleksitetin e punës një herë dhe rrisim kohën tonë për të zgjidhur problemet nëse diçka shkon keq papritmas. POD 1 mbetet i lidhur me POD dhe DCI të tjera pas ndërrimit. Por vetë puna zvarritet për një kohë të gjatë; gjatë kësaj pune në qendrën e të dhënave, një inxhinier kërkohet të kryejë fizikisht ndërrimin, dhe gjatë punës (dhe një punë e tillë kryhet, si rregull, gjatë natës, nga 2 deri në orën 5 të mëngjesit), kërkohet prania e një inxhinieri rrjeti në internet me kualifikime mjaft të larta. Por më pas marrim ndërprerje të shkurtra komunikimi; si rregull, puna mund të kryhet në një interval prej gjysmë ore me një pushim deri në 2 minuta (në praktikë, shpesh 20-30 sekonda me sjelljen e pritur të pajisjes).
Në shembullin e klientit S1 ose klient S2 do të duhet të paralajmëroni për punën me ndërprerje komunikimi të paktën tre herë - herën e parë për të kryer punë në një POD, në të cilin ndodhet një nga serverët e tij, herën e dytë - në të dytën, dhe herën e tretë - kur pajisjet komutuese për shërbimet DCI.
Ndërrimi i kanaleve të agreguara të komunikimit
Pse po flasim për sjelljen e pritshme të pajisjeve dhe si mund të ndërrohen kanalet e grumbulluara duke minimizuar ndërprerjen e komunikimit? Le të imagjinojmë foton e mëposhtme:
Në njërën anë të lidhjes ka çelsat e shpërndarjes POD - D1 и D2, ata formojnë një palë MLAG me njëri-tjetrin (stack, fabrika VCS, çifti vPC), nga ana tjetër ka dy lidhje - Lidh 1 и Lidh 2 - të përfshira në çiftin MLAG të ndërprerësve të vjetër të grumbullimit А. Në anën e kalimit D një ndërfaqe e përmbledhur me emrin Kanali i portit A, në anën e çelsave të grumbullimit А — ndërfaqja e përmbledhur me emrin Kanali i portit D.
Ndërfaqet e grumbulluara përdorin LACP në funksionimin e tyre, domethënë, çelësat në të dyja anët shkëmbejnë rregullisht pako LACPDU në të dy lidhjet për t'u siguruar që lidhjet:
- punëtorët;
- të përfshira në një palë pajisje në anën e largët.
Gjatë shkëmbimit të paketave, paketa mbart vlerën system-id, duke treguar pajisjen ku përfshihen këto lidhje. Për një çift MLAG (stack, fabrika, etj.), vlera e sistemit-id për pajisjet që formojnë ndërfaqen e grumbulluar është e njëjtë. Ndërro D1 dërgon në Lidh 1 vlerë ID-ja e sistemit D, dhe kaloni D2 dërgon në Lidh 2 vlerë ID-ja e sistemit D.
Çelësat A1 и A2 analizoni paketat LACPDU të marra mbi një ndërfaqe Po D dhe kontrolloni nëse sistemi-id në to përputhet. Nëse identifikimi i sistemit të marrë nëpërmjet ndonjë lidhjeje ndryshon papritur nga vlera aktuale e funksionimit, atëherë kjo lidhje hiqet nga ndërfaqja e përmbledhur derisa situata të korrigjohet. Tani në anën tonë të kalimit D vlera aktuale e ID-së së sistemit nga partneri LACP - A, dhe në anën e çelësit А — vlera aktuale e ID-së së sistemit nga partneri LACP — D.
Nëse na duhet të ndërrojmë ndërfaqen e përmbledhur, mund ta bëjmë atë në dy mënyra të ndryshme:
Metoda 1 - E thjeshtë
Çaktivizo të dyja lidhjet nga çelësat A. Në këtë rast, kanali i grumbulluar nuk funksionon.
Lidhni të dy lidhjet një nga një me çelësat N, atëherë parametrat e funksionimit LACP do të negociohen përsëri dhe ndërfaqja do të formohet PoD në çelsat N dhe transmetimi i vlerave në lidhje sistemi-id N.
Metoda 2 - Minimizoni ndërprerjen
Shkëputni lidhjen 2 nga çelësi A2. Në të njëjtën kohë, trafiku ndërmjet А и D do të vazhdojë të transmetohet thjesht mbi njërën prej lidhjeve, e cila do të mbetet pjesë e ndërfaqes së grumbulluar.
Lidhni lidhjen 2 për të kaluar N2. Në çelës N ndërfaqja e grumbulluar tashmë është konfiguruar Po DN, dhe kaloni N2 do të fillojë transmetimin në LACPDU sistemi-id N. Në këtë fazë tashmë mund të kontrollojmë se kaloni N2 punon si duhet me transmetuesin e përdorur për Lidh 2, që porti i lidhjes ka hyrë në gjendje Up, dhe se nuk ndodhin gabime në portën e lidhjes kur transmetohen LACPDU.
Por fakti që kaloni D2 për ndërfaqen e përmbledhur Po A nga ana Lidhja 2 merr një vlerë system-id N të ndryshme nga vlera aktuale e sistemit operativ-id A, nuk lejon ndërprerës D hyj Lidh 2 pjesë e ndërfaqes së grumbulluar Po A. Ndërro N nuk mund të hyjë Lidh 2 në funksionim, pasi nuk merr konfirmim të funksionimit nga partneri LACP i ndërprerësit D2. Trafiku që rezulton është Lidh 2 duke mos kaluar.
Dhe tani ne fikim Link 1 nga çelësi A1, duke privuar kështu çelsat А и D ndërfaqe agregate pune. Pra, në anën e kalimit D vlera aktuale e funksionimit të sistemit-id për ndërfaqen zhduket Po A.
Kjo lejon çelsat D и N dakord për të shkëmbyer system-id AN në ndërfaqet Po A и Po DN, në mënyrë që trafiku të fillojë të transmetohet përgjatë lidhjes Lidh 2. Pushimi në këtë rast është, në praktikë, deri në 2 sekonda.
Dhe tani mund të kalojmë lehtësisht Link 1 në ndërrimin N1, duke rivendosur kapacitetin dhe nivelin e tepricës së ndërfaqes Po A и Po DN. Meqenëse kur lidhet kjo lidhje, vlera aktuale e identifikimit të sistemit nuk ndryshon në asnjërën anë, nuk ka ndërprerje.
Lidhje shtesë
Por kalimi mund të kryhet pa praninë e një inxhinieri në momentin e ndërrimit. Për ta bërë këtë, do të duhet të vendosim lidhje shtesë midis çelsave të shpërndarjes paraprakisht D dhe çelësat e rinj të grumbullimit N.
Ne po vendosim lidhje të reja midis ndërprerësve të grumbullimit N dhe çelësat e shpërndarjes për të gjitha POD-të. Kjo kërkon porositjen dhe vendosjen e kordonëve shtesë patch, dhe instalimin e transmetuesve shtesë si në N, dhe në D. Ne mund ta bëjmë këtë sepse në çelësat tanë D Çdo POD ka porte falas (ose ne i lirojmë paraprakisht ato). Si rezultat, çdo POD lidhet fizikisht me dy lidhje me çelësat e vjetër A dhe me çelësat e rinj N.
Në çelës D janë formuar dy ndërfaqe të agreguara - Po A me lidhje Lidh 1 и Lidh 2Dhe Po N - me lidhje Lidhja N1 и Lidhja N2. Në këtë fazë, ne kontrollojmë lidhjen e saktë të ndërfaqeve dhe lidhjeve, nivelet e sinjaleve optike në të dy skajet e lidhjeve (nëpërmjet informacionit DDM nga çelësat), madje mund të kontrollojmë performancën e lidhjes nën ngarkesë ose të monitorojmë gjendjet e sinjalet optike dhe temperaturat e transmetuesit për disa ditë.
Trafiku dërgohet ende përmes ndërfaqes Po A, dhe ndërfaqen Po N nuk kushton trafik. Cilësimet në ndërfaqet janë diçka si kjo:
Interface Port-channel A
Switchport mode trunk
Switchport allowed vlan C1, C2
Interface Port-channel N
Switchport mode trunk
Switchport allowed vlan noneNdërprerësit D, si rregull, mbështesin ndryshimet e konfigurimit të bazuara në sesion; përdoren modelet e ndërprerësve që kanë këtë funksionalitet. Kështu që ne mund të ndryshojmë cilësimet e ndërfaqeve Po A dhe Po N në një hap:
Configure session
Interface Port-channel A
Switchport allowed vlan none
Interface Port-channel N
Switchport allowed vlan C1, C2
CommitPastaj ndryshimi i konfigurimit do të ndodhë mjaft shpejt, dhe pushimi, në praktikë, nuk do të jetë më shumë se 5 sekonda.
Kjo metodë na lejon të kryejmë të gjitha punët përgatitore paraprakisht, të kryejmë të gjitha kontrollet e nevojshme, të koordinojmë punën me pjesëmarrësit në proces, të parashikojmë në detaje veprimet për prodhimin e punës, pa fluturime krijimtarie kur "gjithçka shkoi keq. ,” dhe keni në dorë një plan për kthimin në konfigurimin e mëparshëm. Puna sipas këtij plani kryhet nga një inxhinier rrjeti pa praninë e një inxhinieri të qendrës së të dhënave në vend, i cili kryen fizikisht komutimin.
Ajo që është gjithashtu e rëndësishme me këtë metodë të ndërrimit është që të gjitha lidhjet e reja tashmë të monitorohen paraprakisht. Gabimet, përfshirja e lidhjeve në njësi, ngarkimi i lidhjeve - të gjitha informacionet e nevojshme janë tashmë në sistemin e monitorimit, dhe kjo është tërhequr tashmë në harta.
D-Day
POD
Ne zgjodhëm rrugën më pak të dhimbshme të ndërrimit për klientët dhe më pak të prirur ndaj skenarëve "diçka shkoi keq" me lidhje shtesë. Kështu që ne i kaluam të gjitha POD-të në ndërprerës të rinj të grumbullimit brenda disa netëve.
Por gjithçka që mbetet është të ndërroni pajisjet që ofrojnë shërbime DCI.
L2
Në rastin e pajisjeve që ofrojnë lidhje L2, ne nuk ishim në gjendje të kryenim punë të ngjashme me lidhje shtesë. Ka të paktën dy arsye për këtë:
- Mungesa e porteve të lira të shpejtësisë së kërkuar në çelsat VXLAN.
- Mungesa e funksionalitetit të ndryshimit të konfigurimit të sesionit në çelsat VXLAN.
Ne nuk ndërruam lidhjet "një nga një" me një ndërprerje vetëm duke rënë dakord për një çift të ri të identifikimit të sistemit, pasi nuk kishim 100% besim se procedura do të shkonte siç duhet, dhe një test në laborator tregoi se në në rast se "diçka shkon keq", ne përsëri marrim një ndërprerje të lidhjes dhe ajo që është më e keqja nuk është vetëm për klientët që kanë lidhje L2 me qendrat e tjera të të dhënave, por në përgjithësi për të gjithë klientët e kësaj qendre të dhënash.
Ne kryenim punë propagandistike përpara kohe për kalimin nga kanalet L2, kështu që numri i klientëve të prekur nga puna në ndërprerësit VXLAN ishte tashmë disa herë më pak se një vit më parë. Si rezultat, vendosëm të ndërpresim komunikimin përmes shërbimit të lidhjes L2, me kusht që të ruajmë funksionimin normal të shërbimeve të rrjetit lokal në një qendër të dhënash. Përveç kësaj, SLA për këtë shërbim parashikon mundësinë e kryerjes së punëve të planifikuara me ndërprerje.
L3
Pse rekomanduam që të gjithë të kalojnë në L3VPN kur organizojnë shërbimet DCI? Një nga arsyet është aftësia për të kryer punë në një nga ruterët që ofron këtë shërbim, thjesht duke ulur nivelin e tepricës në N+0, pa ndërprerë komunikimin.
Le të hedhim një vështrim më të afërt në skemën e ofrimit të shërbimit. Në këtë shërbim, segmenti L2 shkon nga serverët e klientit vetëm në ruterat L3VPN Selectel. Rrjeti i klientit përfundon në ruter.
Çdo server klienti, p.sh. S2 и S3 në diagramin e mësipërm, kanë adresat e tyre private IP - 10.0.0.2/24 në serverin S2 и 10.0.0.3/24 në serverin S3. Adresat 10.0.0.252/24 и 10.0.0.253/24 caktuar nga Selectel për ruterat L3VPN-1 и L3VPN-2, respektivisht. adresa IP 10.0.0.254/24 është një adresë VIP VRRP në ruterat Selectel.
Mund të mësoni më shumë rreth shërbimit L3VPN në blogun tonë.
Para ndërrimit, gjithçka dukej afërsisht si në diagram:
Dy rutera L3VPN-1 и L3VPN-2 u lidhën me çelësin e vjetër të grumbullimit А. Masteri për adresën VRRP VIP 10.0.0.254 është ruteri L3VPN-1. Ka një prioritet më të lartë për këtë adresë sesa ruteri L3VPN-2.
unit 1006 {
description C2;
vlan-id 1006;
family inet {
address 10.0.0.252/24 {
vrrp-group 1 {
priority 200;
virtual-address 10.100.0.254;
preempt {
hold-time 120;
}
accept-data;
}
}
}
}Serveri S2 përdor gateway 10.0.0.254 për të komunikuar me serverët në vendndodhje të tjera. Kështu, shkëputja e ruterit L3VPN-2 nga rrjeti (natyrisht, nëse shkëputet fillimisht nga domeni MPLS) nuk ndikon në lidhjen e serverëve të klientit. Në këtë pikë, niveli i tepricës së qarkut thjesht zvogëlohet.
Pas kësaj, ne mund të rilidhim me siguri ruterin L3VPN-2 në një palë çelësa N. Vendosni lidhje, ndryshoni transmetuesit. Ndërfaqet logjike të ruterit, nga të cilat varet funksionimi i shërbimeve të klientit, çaktivizohen derisa të konfirmohet se gjithçka funksionon siç duhet.
Pas kontrollit të lidhjeve, marrësve, niveleve të sinjalit dhe niveleve të gabimeve në ndërfaqet, ruteri vihet në funksion, por tashmë i lidhur me një palë të re çelsash.
Më pas, ne ulim prioritetin VRRP të ruterit L3VPN-1 dhe adresa VIP 10.0.0.254 zhvendoset në ruterin L3VPN-2. Edhe këto punime kryhen pa ndërprerje komunikimi.
Transferimi i adresës VIP 10.0.0.254 në ruter L3VPN-2 ju lejon të çaktivizoni ruterin L3VPN-1 pa ndërprerje të komunikimit për klientin dhe lidhni atë me një çift të ri çelsash grumbullimi N.
Të kthehet apo jo VRRP VIP në ruterin L3VPN-1 është një pyetje tjetër dhe edhe nëse kthehet, bëhet pa ndërprerë lidhjen.
Në total
Pas gjithë këtyre hapave, ne në fakt zëvendësuam çelësat e grumbullimit në një nga qendrat tona të të dhënave, duke minimizuar ndërprerjen për klientët tanë.
Gjithçka që mbetet është çmontimi. Demontimi i ndërprerësve të vjetër, çmontimi i lidhjeve të vjetra ndërmjet çelësave A dhe D, çmontimi i transmetuesve nga këto lidhje, korrigjimi i monitorimit, korrigjimi i diagrameve të rrjetit në dokumentacion dhe monitorim.
Mund të përdorim çelsat, transmetuesit, patch kordonët, AOC, DAC të mbetura pas kalimit në projekte të tjera ose për komutime të tjera të ngjashme.
"Natasha, ne ndërruam gjithçka!"
Burimi: www.habr.com