ProHoster > Blog > administratë > Infrastruktura e re IT për qendrën e të dhënave të Postës Ruse

Infrastruktura e re IT për qendrën e të dhënave të Postës Ruse

Jam i sigurt që të gjithë lexuesit e Habr kanë porositur të paktën një herë mallra nga dyqanet online jashtë vendit dhe më pas kanë shkuar për të marrë parcela në një zyrë postare ruse. A mund ta imagjinoni shkallën e kësaj detyre, nga pikëpamja e organizimit të logjistikës? Shumëzoni numrin e blerësve me numrin e blerjeve të tyre, imagjinoni një hartë të vendit tonë të gjerë, dhe në të ka më shumë se 40 mijë zyra postare... Nga rruga, në 2018, Posta Ruse përpunoi 345 milionë parcela ndërkombëtare.

Në këtë artikull do t'ju tregojmë se çfarë problemesh u përball Pochta dhe si i zgjidhi ekipi i Integrimit LANIT, duke krijuar një infrastrukturë të re IT për qendrat e të dhënave.

Infrastruktura e re IT për qendrën e të dhënave të Postës RuseNjë nga qendrat moderne logjistike të Postës Ruse
 

Para projektit

Për shkak të rritjes së mprehtë të numrit të parcelave nga dyqanet e huaja në Kinë, Evropën Perëndimore dhe Amerikën e Veriut, ngarkesa në objektet logjistike të Postës Ruse është rritur. Prandaj, u ndërtuan qendra logjistike të gjeneratës së re, të cilat përdorin makina klasifikimi me performancë të lartë. Ata kërkojnë mbështetje nga infrastruktura kompjuterike.

Infrastruktura e qendrës së të dhënave ishte e vjetëruar dhe nuk ofronte performancën dhe besueshmërinë e nevojshme në funksionimin e sistemeve të informacionit të ndërmarrjeve. Gjithashtu, Russian Post përjetoi mungesë të fuqisë kompjuterike për të nisur shërbime të reja.
 

Qendrat e të dhënave të klientëve dhe problemet e tyre

Qendrat e të dhënave të Postës Ruse shërbejnë më shumë se 40 objekte dhe 000 departamente territoriale. Qendrat e të dhënave operojnë dhjetëra shërbime biznesi 85/XNUMX, duke përfshirë shërbimet e tregtisë elektronike.

Sot, ndërmarrjet përdorin sisteme për ruajtjen, analizimin dhe përpunimin e të dhënave të mëdha. Për sisteme të tilla, përdorimi i inteligjencës artificiale dhe algoritmeve të mësimit të makinerive luan një rol të rëndësishëm. Sot, një nga rastet më të rëndësishme për një ndërmarrje është optimizimi i menaxhimit të flukseve logjistike dhe përshpejtimi i shërbimit ndaj klientit në zyrat postare.

Para fillimit të projektit të modernizimit, kishte rreth 3000 makina virtuale në qendrat kryesore dhe rezervë të të dhënave, vëllimi i informacionit të ruajtur tejkaloi 2 petabajt. Qendrat e të dhënave kishin një strukturë komplekse të drejtimit të trafikut të lidhur me ndarjen në segmente të ndryshme sipas niveleve të sigurisë.

Me zhvillimin e aplikacioneve dhe futjen e shërbimeve të reja, gjerësia ekzistuese e brezit të pajisjeve të rrjetit në qendrat e të dhënave është bërë e pamjaftueshme. Kërkohej një kalim në ndërfaqet me shpejtësi të reja: 10 Gbit/s, në vend të 1 Gbit/s në akses dhe 40 Gbit/s në nivelin bazë, me tepricë të plotë të pajisjeve dhe kanaleve të komunikimit.

Departamenti i sigurisĂ« sĂ« informacionit mori njĂ« kĂ«rkesĂ« pĂ«r tĂ« ndarĂ« infrastrukturĂ«n nĂ« segmente me njĂ« nivel tĂ« lartĂ« sigurie informacioni tĂ« trafikut dhe aplikacioneve (PN - Rrjeti Privat dhe DMZ - Zona e Çmilitarizuar). Trafiku kalonte pĂ«rmes mureve tĂ« zjarrit (FWU) qĂ« nuk kishin nevojĂ« tĂ« filtroheshin. VRF nĂ« çelsat nuk u pĂ«rdor pĂ«r kĂ«tĂ« trafik. Rregullat nĂ« murin e zjarrit ishin jooptimale (dhjetĂ«ra mijĂ«ra rregulla nĂ« çdo qendĂ«r tĂ« dhĂ«nash).

Migrimi pa probleme i makinave virtuale (VM) midis qendrave të të dhënave duke ruajtur adresën IP dhe rrugën optimale për trafikun midis segmenteve, duke përfshirë rrjetin e të dhënave të korporatës (CDN), ishte i pamundur.

MSTP u pĂ«rdor pĂ«r kopje rezervĂ«; disa porte u bllokuan (gadishmĂ«ri e nxehtĂ«). ÇelĂ«si i bĂ«rthamĂ«s dhe aksesit nuk u kombinuan nĂ« njĂ« grup tĂ« dĂ«shtimit, dhe grumbullimi i ndĂ«rfaqes (LAG) nuk u pĂ«rdor.

Me ardhjen e qendrës së tretë të të dhënave, u kërkua një konfigurim i ri i arkitekturës dhe pajisjeve për të operuar unazën midis qendrave të të dhënave (u propozua EVPN).

Nuk kishte një koncept të unifikuar për zhvillimin e qendrave të të dhënave, të dokumentuar në formën e një projekti dhe të rënë dakord me të gjitha departamentet e klientit. Dokumentacioni aktual i funksionimit të rrjetit ishte i paplotë dhe i vjetëruar.
 

Pritjet e klientit

Ekipi i projektit u përball me detyrat e mëposhtme:

  • pĂ«rgatit arkitekturĂ«n dhe konceptin e zhvillimit pĂ«r ndĂ«rtimin e infrastrukturĂ«s sĂ« rrjetit dhe serverit tĂ« qendrĂ«s sĂ« tretĂ« tĂ« tĂ« dhĂ«nave;
  • tĂ« kryejĂ« njĂ« auditim operacional tĂ« rrjetit ekzistues tĂ« klientit;
  • zgjeroni kapacitetin bazĂ« tĂ« rrjetit me mĂ« shumĂ« se 1500 porte Ethernet 10/40 Gbps nĂ« çdo qendĂ«r tĂ« dhĂ«nash (4500 porte nĂ« total);
  • tĂ« sigurojĂ« funksionimin e njĂ« unaze midis tre qendrave tĂ« tĂ« dhĂ«nave me aftĂ«sinĂ« pĂ«r tĂ« rritur shpejtĂ«sinĂ« deri nĂ« 80 Gbit/s nĂ« çdo segment, nĂ« mĂ«nyrĂ« qĂ« tĂ« kombinohen burimet kompjuterike tĂ« klientit nga qendra tĂ« ndryshme tĂ« dhĂ«nash nĂ« njĂ« sistem tĂ« vetĂ«m IT;
  • siguroni 100% rezervĂ« tĂ« dyfishtĂ« tĂ« tĂ« gjithĂ« elementĂ«ve tĂ« rrjetit pĂ«r tĂ« arritur objektivin e kohĂ«s sĂ« funksionimit nĂ« nivelin 99,995%;
  • minimizoni vonesat e trafikut midis makinave virtuale pĂ«r tĂ« shpejtuar aplikacionet e biznesit;
  • mbledhni statistika, bĂ«ni analiza dhe kryeni optimizimin e mĂ«vonshĂ«m tĂ« rregullave tĂ« filtrimit tĂ« trafikut nĂ« qendrat e tĂ« dhĂ«nave (fillimisht kishte rreth 80 rregulla);
  • zhvilloni njĂ« arkitekturĂ« tĂ« synuar pĂ«r tĂ« siguruar migrimin e pandĂ«rprerĂ« tĂ« aplikacioneve kritike tĂ« biznesit tĂ« klientit nĂ« cilĂ«ndo nga tre qendrat e tĂ« dhĂ«nave.

Kështu që kishim diçka për të punuar.

ĐžĐ±ĐŸŃ€ŃƒĐŽĐŸĐČĐ°ĐœĐžĐ”

Le të hedhim një vështrim më të afërt se çfarë pajisje kemi përdorur në projekt.

Firewall (NGWF) USG9560:

  • ndarja sipas VSYS;
  • deri nĂ« 720 Gbps;
  • deri nĂ« 720 milionĂ« seanca tĂ« njĂ«kohshme;
  • 8 lojĂ«ra elektronike.

Infrastruktura e re IT pĂ«r qendrĂ«n e tĂ« dhĂ«nave tĂ« PostĂ«s Ruse 
Ruteri NE40E-X8:

  • Kapaciteti komutues deri nĂ« 7,08 Tbit/s;
  • Performanca e pĂ«rcjelljes deri nĂ« 2,880 Mpps;
  • 8 slota pĂ«r kartat e linjĂ«s (LPU);
  • deri nĂ« 10 milion rrugĂ« BGP IPv4 pĂ«r MPU;
  • deri nĂ« 1500K rrugĂ« OSPF IPv4 pĂ«r MPU;
  • deri nĂ« 3000K – IPv4 FIB (nĂ« varĂ«si tĂ« LPU).

Infrastruktura e re IT për qendrën e të dhënave të Postës Ruse
ÇelĂ«sat e serisĂ« CE12800:

  • Virtualizimi i pajisjes: VS (virtualizimi 1:16), Sistemi i ndĂ«rrimit tĂ« grupeve (CSS), PĂ«lhura Super Virtuale (SVF);
  • Virtualizimi i rrjetit: M-LAG, TRILL, VXLAN dhe VXLAN bridging, QinQ nĂ« VXLAN, EVN (Rrjeti Virtual Ethernet);
  • duke filluar nga VRP V2, pĂ«rfshihet mbĂ«shtetja EVPN;
  • M-LAG – analog i vPC (Virtual Port Channel) pĂ«r Cisco Nexus;
  • Virtual spanning Tree Protocol (VSTP) – I pajtueshĂ«m me Cisco PVST.

CE12804

Infrastruktura e re IT për qendrën e të dhënave të Postës Ruse
CE12808

Infrastruktura e re IT për qendrën e të dhënave të Postës Ruse

ĐŸŃ€ĐŸĐłŃ€Đ°ĐŒĐŒĐœĐŸĐ” ĐŸĐ±Đ”ŃĐżĐ”Ń‡Đ”ĐœĐžĐ”

Në projekt kemi përdorur:

  • Konvertuesi i skedarĂ«ve tĂ« konfigurimit tĂ« murit tĂ« zjarrit nga shitĂ«sit e tjerĂ« nĂ« formatin komandues pĂ«r pajisje tĂ« reja;
  • skriptet e pronarit pĂ«r optimizimin dhe konvertimin e konfigurimeve tĂ« mureve tĂ« zjarrit.

Infrastruktura e re IT për qendrën e të dhënave të Postës RusePamja e konvertuesit për konvertimin e skedarëve të konfigurimit
 
Infrastruktura e re IT për qendrën e të dhënave të Postës RuseSkema e organizimit të komunikimit ndërmjet qendrave të të dhënave (EVPN VXLAN)
 

Nuancat e vendosjes së pajisjeve

CE12808
 

  • EVPN (standarde) nĂ« vend tĂ« EVN (pronĂ«sisĂ« Huawei) pĂ«r komunikim ndĂ«rmjet qendrave tĂ« tĂ« dhĂ«nave:

    ○ L2 mbi L3 duke pĂ«rdorur iBGP nĂ« planin e kontrollit;
    ○ Trajnimi MAC dhe reklamimi i tyre nĂ«pĂ«rmjet familjes iBGP EVPN (rrugĂ«t MAC, tipi 2);
    ○ ndĂ«rtimi automatik i tuneleve VXLAN pĂ«r trafikun e transmetuar / tĂ« panjohur unicast (RrugĂ«t PĂ«rfshirĂ«se Multicast, tipi 3).

  • Dy mĂ«nyra ndarjeje nĂ« VS:

    ○ bazuar nĂ« porte (port-mode port) ose bazuar nĂ« ASIC (grupi i modalitetit portual, porta e pajisjes sĂ« ekranit);
    ○ NdĂ«rfaqja e dimensionit tĂ« ndarjes sĂ« portit 40GE funksionon VETËM nĂ« Admin VS (pavarĂ«sisht nga modaliteti i portit).

USG9560
 

  • mundĂ«sia e ndarjes nga VSYS,
  • Drejtimi dinamik dhe rrjedhja e rrugĂ«s nuk janĂ« tĂ« mundshme ndĂ«rmjet VSYS!

CE12804
 
Të gjitha GW aktive (VRRP Master/Master/Master) me filtrim MAC VRRP ndërmjet qendrave të të dhënave
 
acl number 4000
  rule 5 deny source-mac 0000-5e00-0100 ffff-ffff-ff00
  rule 10 deny destination-mac 0000-5e00-0100 ffff-ffff-ff00
  rule 15 permit
 
interface Eth-Trunk1
  traffic-filter acl 4000 outbound

Infrastruktura e re IT për qendrën e të dhënave të Postës RuseSkema e ndërveprimit të burimeve midis qendrave të të dhënave (VXLAN EVPN dhe All Active GW)
 

Vështirësitë e projektit

Vështirësia kryesore ishte nevoja për të mbështetur aplikacionet ekzistuese duke përdorur infrastrukturën kompjuterike. Klienti kishte më shumë se 100 aplikacione të ndryshme, disa prej të cilave ishin shkruar pothuajse 10 vjet më parë. Për shembull, nëse për Yandex lehtë mund të fikni disa qindra makina virtuale pa dëmtuar përdoruesit fundorë, atëherë në Russian Post një qasje e tillë do të kërkonte zhvillimin e një numri aplikacionesh nga e para dhe ndryshime në arkitekturën e sistemeve të informacionit të ndërmarrjeve. Ne i zgjidhëm problemet që u shfaqën gjatë procesit të migrimit dhe optimizimit në fazën e një auditimi të përbashkët të infrastrukturës kompjuterike. Të gjitha teknologjitë e rrjetit të reja për ndërmarrjen (si p.sh. EVPN) i janë nënshtruar testimit paraprak në laborator.
 

Rezultatet e projektit

Ekipi i projektit përfshinte specialistë "LANIT-Integrimet", klienti dhe partnerët e tij në funksionimin e infrastrukturës kompjuterike. U formuan gjithashtu ekipe të përkushtuara mbështetëse nga shitësit (Check Point dhe Huawei). Projekti zgjati dy vjet. Kjo është ajo që është bërë gjatë kësaj kohe.

  • NjĂ« strategji pĂ«r zhvillimin e njĂ« rrjeti qendrash tĂ« dhĂ«nash, njĂ« rrjet tĂ« tĂ« dhĂ«nave tĂ« korporatĂ«s (CDTN) dhe njĂ« unazĂ« midis qendrave tĂ« tĂ« dhĂ«nave Ă«shtĂ« zhvilluar dhe Ă«shtĂ« rĂ«nĂ« dakord me tĂ« gjitha departamentet e klientit.
  • DisponueshmĂ«ria e shĂ«rbimeve Ă«shtĂ« rritur. Kjo Ă«shtĂ« vĂ«rejtur nga biznesi i klientit dhe ka sjellĂ« njĂ« rritje edhe mĂ« tĂ« madhe tĂ« trafikut pĂ«r shkak tĂ« prezantimit tĂ« shĂ«rbimeve tĂ« reja.
  • MĂ« shumĂ« se 40 rregulla janĂ« migruar dhe optimizuar nga FWSM/ASA nĂ« USG 000. Kontekste tĂ« ndryshme ASA nĂ« UGG 9560 janĂ« kombinuar nĂ« njĂ« politikĂ« tĂ« vetme sigurie.
  • Rrjedha e porteve tĂ« qendrĂ«s sĂ« tĂ« dhĂ«nave Ă«shtĂ« rritur nga 1G nĂ« 10/40G pĂ«rmes pĂ«rdorimit tĂ« CE12800/CE6850. Kjo bĂ«ri tĂ« mundur eliminimin e mbingarkesave tĂ« ndĂ«rfaqes dhe humbjes sĂ« paketave.
  • RuterĂ«t e nivelit tĂ« operatorit NE40E-X8 mbuluan plotĂ«sisht nevojat e qendrĂ«s sĂ« tĂ« dhĂ«nave tĂ« klientit dhe qendrĂ«s sĂ« transferimit tĂ« tĂ« dhĂ«nave, duke marrĂ« parasysh zhvillimin e ardhshĂ«m tĂ« biznesit.
  • TetĂ« kĂ«rkesa tĂ« reja pĂ«r veçori janĂ« kĂ«rkuar pĂ«r USG 9560. Prej tyre, shtatĂ« janĂ« zbatuar tashmĂ« dhe janĂ« pĂ«rfshirĂ« nĂ« versionin aktual tĂ« VRP. 1 FR - pĂ«r zbatim nĂ« R&D tĂ« Huawei. Ky Ă«shtĂ« njĂ« grup me tetĂ« shasi me aftĂ«sinĂ« pĂ«r tĂ« konfiguruar funksionalitetin e nevojshĂ«m pĂ«r sinkronizimin e konfigurimit pa sinkronizimin e sesioneve. KĂ«rkohet nĂ«se vonesa e trafikut nĂ« njĂ« nga qendrat e tĂ« dhĂ«nave Ă«shtĂ« shumĂ« e madhe (Adler - MoskĂ« 1300 km pĂ«rgjatĂ« rrugĂ«s kryesore dhe 2800 km pĂ«rgjatĂ« rrugĂ«s rezervĂ«).

Projekti nuk ka analoge në krahasim me kompanitë e tjera postare ruse.

Modernizimi i infrastrukturës së rrjetit të qendrave të të dhënave ka hapur mundësi të reja për ndërmarrjen për të zhvilluar shërbime dixhitale.

  • Ofrimi i njĂ« llogarie personale dhe aplikacioni celular pĂ«r persona fizikĂ« dhe juridikĂ«.
  • Integrimi me dyqanet elektronike pĂ«r tĂ« ofruar shĂ«rbime tĂ« shpĂ«rndarjes sĂ« mallrave.
  • PĂ«rmbushja - ruajtja e mallrave, formimi dhe dĂ«rgimi i porosive nga dyqanet elektronike.
  • Zgjerimi i pikave tĂ« marrjes sĂ« porosive, duke pĂ«rfshirĂ« pĂ«rdorimin e rrjeteve tĂ« filialeve.
  • Rrjedha ligjore e rĂ«ndĂ«sishme e dokumenteve me palĂ«t. Kjo do tĂ« eliminojĂ« dĂ«rgimin e ngadaltĂ« dhe tĂ« kushtueshĂ«m tĂ« dokumenteve nĂ« letĂ«r.
  • Pranimi i letrave tĂ« rekomanduara nĂ« formĂ« elektronike me dorĂ«zim si nĂ« formĂ« elektronike ashtu edhe nĂ« letĂ«r (me printim tĂ« artikujve sa mĂ« afĂ«r marrĂ«sit pĂ«rfundimtar). ShĂ«rbimi i letrave tĂ« regjistruara elektronike nĂ« portalin e shĂ«rbimeve publike.
  • PlatformĂ« pĂ«r ofrimin e shĂ«rbimeve tĂ« telemjekĂ«sisĂ«.
  • Pranimi i thjeshtuar dhe dorĂ«zimi i thjeshtuar i postĂ«s sĂ« regjistruar duke pĂ«rdorur njĂ« nĂ«nshkrim tĂ« thjeshtĂ« elektronik.
  • Dixhitalizimi i rrjetit tĂ« postĂ«s.
  • Ridizajnimi i shĂ«rbimeve tĂ« vetĂ«-shĂ«rbimit (terminalet dhe terminalet e parcelave).
  • Krijimi i njĂ« platforme dixhitale pĂ«r menaxhimin e shĂ«rbimit korrier dhe njĂ« aplikacioni tĂ« ri celular pĂ«r klientĂ«t e shĂ«rbimit korrier.

Ejani të punoni me ne!

Burimi: www.habr.com

Shto një koment