Jam i sigurt që të gjithë lexuesit e Habr kanë porositur të paktën një herë mallra nga dyqanet online jashtë vendit dhe më pas kanë shkuar për të marrë parcela në një zyrë postare ruse. A mund ta imagjinoni shkallën e kësaj detyre, nga pikëpamja e organizimit të logjistikës? Shumëzoni numrin e blerësve me numrin e blerjeve të tyre, imagjinoni një hartë të vendit tonë të gjerë, dhe në të ka më shumë se 40 mijë zyra postare... Nga rruga, në 2018, Posta Ruse përpunoi 345 milionë parcela ndërkombëtare.
Në këtë artikull do t'ju tregojmë se çfarë problemesh u përball Pochta dhe si i zgjidhi ekipi i Integrimit LANIT, duke krijuar një infrastrukturë të re IT për qendrat e të dhënave.
Një nga qendrat moderne logjistike të Postës Ruse
Para projektit
Për shkak të rritjes së mprehtë të numrit të parcelave nga dyqanet e huaja në Kinë, Evropën Perëndimore dhe Amerikën e Veriut, ngarkesa në objektet logjistike të Postës Ruse është rritur. Prandaj, u ndërtuan qendra logjistike të gjeneratës së re, të cilat përdorin makina klasifikimi me performancë të lartë. Ata kërkojnë mbështetje nga infrastruktura kompjuterike.
Infrastruktura e qendrës së të dhënave ishte e vjetëruar dhe nuk ofronte performancën dhe besueshmërinë e nevojshme në funksionimin e sistemeve të informacionit të ndërmarrjeve. Gjithashtu, Russian Post përjetoi mungesë të fuqisë kompjuterike për të nisur shërbime të reja.
Qendrat e të dhënave të klientëve dhe problemet e tyre
Qendrat e të dhënave të Postës Ruse shërbejnë më shumë se 40 objekte dhe 000 departamente territoriale. Qendrat e të dhënave operojnë dhjetëra shërbime biznesi 85/XNUMX, duke përfshirë shërbimet e tregtisë elektronike.
Sot, ndërmarrjet përdorin sisteme për ruajtjen, analizimin dhe përpunimin e të dhënave të mëdha. Për sisteme të tilla, përdorimi i inteligjencës artificiale dhe algoritmeve të mësimit të makinerive luan një rol të rëndësishëm. Sot, një nga rastet më të rëndësishme për një ndërmarrje është optimizimi i menaxhimit të flukseve logjistike dhe përshpejtimi i shërbimit ndaj klientit në zyrat postare.
Para fillimit të projektit të modernizimit, kishte rreth 3000 makina virtuale në qendrat kryesore dhe rezervë të të dhënave, vëllimi i informacionit të ruajtur tejkaloi 2 petabajt. Qendrat e të dhënave kishin një strukturë komplekse të drejtimit të trafikut të lidhur me ndarjen në segmente të ndryshme sipas niveleve të sigurisë.
Me zhvillimin e aplikacioneve dhe futjen e shërbimeve të reja, gjerësia ekzistuese e brezit të pajisjeve të rrjetit në qendrat e të dhënave është bërë e pamjaftueshme. Kërkohej një kalim në ndërfaqet me shpejtësi të reja: 10 Gbit/s, në vend të 1 Gbit/s në akses dhe 40 Gbit/s në nivelin bazë, me tepricë të plotë të pajisjeve dhe kanaleve të komunikimit.
Departamenti i sigurisë së informacionit mori një kërkesë për të ndarë infrastrukturën në segmente me një nivel të lartë sigurie informacioni të trafikut dhe aplikacioneve (PN - Rrjeti Privat dhe DMZ - Zona e Çmilitarizuar). Trafiku kalonte përmes mureve të zjarrit (FWU) që nuk kishin nevojë të filtroheshin. VRF në çelsat nuk u përdor për këtë trafik. Rregullat në murin e zjarrit ishin jooptimale (dhjetëra mijëra rregulla në çdo qendër të dhënash).
Migrimi pa probleme i makinave virtuale (VM) midis qendrave të të dhënave duke ruajtur adresën IP dhe rrugën optimale për trafikun midis segmenteve, duke përfshirë rrjetin e të dhënave të korporatës (CDN), ishte i pamundur.
MSTP u përdor për kopje rezervë; disa porte u bllokuan (gadishmëri e nxehtë). Çelësi i bërthamës dhe aksesit nuk u kombinuan në një grup të dështimit, dhe grumbullimi i ndërfaqes (LAG) nuk u përdor.
Me ardhjen e qendrës së tretë të të dhënave, u kërkua një konfigurim i ri i arkitekturës dhe pajisjeve për të operuar unazën midis qendrave të të dhënave (u propozua EVPN).
Nuk kishte një koncept të unifikuar për zhvillimin e qendrave të të dhënave, të dokumentuar në formën e një projekti dhe të rënë dakord me të gjitha departamentet e klientit. Dokumentacioni aktual i funksionimit të rrjetit ishte i paplotë dhe i vjetëruar.
Pritjet e klientit
Ekipi i projektit u përball me detyrat e mëposhtme:
- përgatit arkitekturën dhe konceptin e zhvillimit për ndërtimin e infrastrukturës së rrjetit dhe serverit të qendrës së tretë të të dhënave;
- të kryejë një auditim operacional të rrjetit ekzistues të klientit;
- zgjeroni kapacitetin bazë të rrjetit me më shumë se 1500 porte Ethernet 10/40 Gbps në çdo qendër të dhënash (4500 porte në total);
- të sigurojë funksionimin e një unaze midis tre qendrave të të dhënave me aftësinë për të rritur shpejtësinë deri në 80 Gbit/s në çdo segment, në mënyrë që të kombinohen burimet kompjuterike të klientit nga qendra të ndryshme të dhënash në një sistem të vetëm IT;
- siguroni 100% rezervë të dyfishtë të të gjithë elementëve të rrjetit për të arritur objektivin e kohës së funksionimit në nivelin 99,995%;
- minimizoni vonesat e trafikut midis makinave virtuale për të shpejtuar aplikacionet e biznesit;
- mbledhni statistika, bëni analiza dhe kryeni optimizimin e mëvonshëm të rregullave të filtrimit të trafikut në qendrat e të dhënave (fillimisht kishte rreth 80 rregulla);
- zhvilloni një arkitekturë të synuar për të siguruar migrimin e pandërprerë të aplikacioneve kritike të biznesit të klientit në cilëndo nga tre qendrat e të dhënave.
Kështu që kishim diçka për të punuar.
Оборудование
Le të hedhim një vështrim më të afërt se çfarë pajisje kemi përdorur në projekt.
Firewall (NGWF) USG9560:
- ndarja sipas VSYS;
- deri në 720 Gbps;
- deri në 720 milionë seanca të njëkohshme;
- 8 lojëra elektronike.
Ruteri NE40E-X8:
- Kapaciteti komutues deri në 7,08 Tbit/s;
- Performanca e përcjelljes deri në 2,880 Mpps;
- 8 slota për kartat e linjës (LPU);
- deri në 10 milion rrugë BGP IPv4 për MPU;
- deri në 1500K rrugë OSPF IPv4 për MPU;
- deri në 3000K – IPv4 FIB (në varësi të LPU).
Çelësat e serisë CE12800:
- Virtualizimi i pajisjes: VS (virtualizimi 1:16), Sistemi i ndërrimit të grupeve (CSS), Pëlhura Super Virtuale (SVF);
- Virtualizimi i rrjetit: M-LAG, TRILL, VXLAN dhe VXLAN bridging, QinQ në VXLAN, EVN (Rrjeti Virtual Ethernet);
- duke filluar nga VRP V2, përfshihet mbështetja EVPN;
- M-LAG – analog i vPC (Virtual Port Channel) për Cisco Nexus;
- Virtual spanning Tree Protocol (VSTP) – I pajtueshëm me Cisco PVST.
CE12804
CE12808
Программное обеспечение
Në projekt kemi përdorur:
- Konvertuesi i skedarëve të konfigurimit të murit të zjarrit nga shitësit e tjerë në formatin komandues për pajisje të reja;
- skriptet e pronarit për optimizimin dhe konvertimin e konfigurimeve të mureve të zjarrit.
Pamja e konvertuesit për konvertimin e skedarëve të konfigurimit
Skema e organizimit të komunikimit ndërmjet qendrave të të dhënave (EVPN VXLAN)
Nuancat e vendosjes së pajisjeve
CE12808
- EVPN (standarde) në vend të EVN (pronësisë Huawei) për komunikim ndërmjet qendrave të të dhënave:
○ L2 mbi L3 duke përdorur iBGP në planin e kontrollit;
○ Trajnimi MAC dhe reklamimi i tyre nëpërmjet familjes iBGP EVPN (rrugët MAC, tipi 2);
○ ndërtimi automatik i tuneleve VXLAN për trafikun e transmetuar / të panjohur unicast (Rrugët Përfshirëse Multicast, tipi 3). - Dy mënyra ndarjeje në VS:
○ bazuar në porte (port-mode port) ose bazuar në ASIC (grupi i modalitetit portual, porta e pajisjes së ekranit);
○ Ndërfaqja e dimensionit të ndarjes së portit 40GE funksionon VETËM në Admin VS (pavarësisht nga modaliteti i portit).
USG9560
- mundësia e ndarjes nga VSYS,
- Drejtimi dinamik dhe rrjedhja e rrugës nuk janë të mundshme ndërmjet VSYS!
CE12804
Të gjitha GW aktive (VRRP Master/Master/Master) me filtrim MAC VRRP ndërmjet qendrave të të dhënave
acl number 4000
rule 5 deny source-mac 0000-5e00-0100 ffff-ffff-ff00
rule 10 deny destination-mac 0000-5e00-0100 ffff-ffff-ff00
rule 15 permit
interface Eth-Trunk1
traffic-filter acl 4000 outbound
Skema e ndërveprimit të burimeve midis qendrave të të dhënave (VXLAN EVPN dhe All Active GW)
Vështirësitë e projektit
Vështirësia kryesore ishte nevoja për të mbështetur aplikacionet ekzistuese duke përdorur infrastrukturën kompjuterike. Klienti kishte më shumë se 100 aplikacione të ndryshme, disa prej të cilave ishin shkruar pothuajse 10 vjet më parë. Për shembull, nëse për Yandex lehtë mund të fikni disa qindra makina virtuale pa dëmtuar përdoruesit fundorë, atëherë në Russian Post një qasje e tillë do të kërkonte zhvillimin e një numri aplikacionesh nga e para dhe ndryshime në arkitekturën e sistemeve të informacionit të ndërmarrjeve. Ne i zgjidhëm problemet që u shfaqën gjatë procesit të migrimit dhe optimizimit në fazën e një auditimi të përbashkët të infrastrukturës kompjuterike. Të gjitha teknologjitë e rrjetit të reja për ndërmarrjen (si p.sh. EVPN) i janë nënshtruar testimit paraprak në laborator.
Rezultatet e projektit
Ekipi i projektit përfshinte specialistë , klienti dhe partnerët e tij në funksionimin e infrastrukturës kompjuterike. U formuan gjithashtu ekipe të përkushtuara mbështetëse nga shitësit (Check Point dhe Huawei). Projekti zgjati dy vjet. Kjo është ajo që është bërë gjatë kësaj kohe.
- Një strategji për zhvillimin e një rrjeti qendrash të dhënash, një rrjet të të dhënave të korporatës (CDTN) dhe një unazë midis qendrave të të dhënave është zhvilluar dhe është rënë dakord me të gjitha departamentet e klientit.
- Disponueshmëria e shërbimeve është rritur. Kjo është vërejtur nga biznesi i klientit dhe ka sjellë një rritje edhe më të madhe të trafikut për shkak të prezantimit të shërbimeve të reja.
- Më shumë se 40 rregulla janë migruar dhe optimizuar nga FWSM/ASA në USG 000. Kontekste të ndryshme ASA në UGG 9560 janë kombinuar në një politikë të vetme sigurie.
- Rrjedha e porteve të qendrës së të dhënave është rritur nga 1G në 10/40G përmes përdorimit të CE12800/CE6850. Kjo bëri të mundur eliminimin e mbingarkesave të ndërfaqes dhe humbjes së paketave.
- Ruterët e nivelit të operatorit NE40E-X8 mbuluan plotësisht nevojat e qendrës së të dhënave të klientit dhe qendrës së transferimit të të dhënave, duke marrë parasysh zhvillimin e ardhshëm të biznesit.
- Tetë kërkesa të reja për veçori janë kërkuar për USG 9560. Prej tyre, shtatë janë zbatuar tashmë dhe janë përfshirë në versionin aktual të VRP. 1 FR - për zbatim në R&D të Huawei. Ky është një grup me tetë shasi me aftësinë për të konfiguruar funksionalitetin e nevojshëm për sinkronizimin e konfigurimit pa sinkronizimin e sesioneve. Kërkohet nëse vonesa e trafikut në një nga qendrat e të dhënave është shumë e madhe (Adler - Moskë 1300 km përgjatë rrugës kryesore dhe 2800 km përgjatë rrugës rezervë).
Projekti nuk ka analoge në krahasim me kompanitë e tjera postare ruse.
Modernizimi i infrastrukturës së rrjetit të qendrave të të dhënave ka hapur mundësi të reja për ndërmarrjen për të zhvilluar shërbime dixhitale.
- Ofrimi i një llogarie personale dhe aplikacioni celular për persona fizikë dhe juridikë.
- Integrimi me dyqanet elektronike për të ofruar shërbime të shpërndarjes së mallrave.
- Përmbushja - ruajtja e mallrave, formimi dhe dërgimi i porosive nga dyqanet elektronike.
- Zgjerimi i pikave të marrjes së porosive, duke përfshirë përdorimin e rrjeteve të filialeve.
- Rrjedha ligjore e rëndësishme e dokumenteve me palët. Kjo do të eliminojë dërgimin e ngadaltë dhe të kushtueshëm të dokumenteve në letër.
- Pranimi i letrave të rekomanduara në formë elektronike me dorëzim si në formë elektronike ashtu edhe në letër (me printim të artikujve sa më afër marrësit përfundimtar). Shërbimi i letrave të regjistruara elektronike në portalin e shërbimeve publike.
- Platformë për ofrimin e shërbimeve të telemjekësisë.
- Pranimi i thjeshtuar dhe dorëzimi i thjeshtuar i postës së regjistruar duke përdorur një nënshkrim të thjeshtë elektronik.
- Dixhitalizimi i rrjetit të postës.
- Ridizajnimi i shërbimeve të vetë-shërbimit (terminalet dhe terminalet e parcelave).
- Krijimi i një platforme dixhitale për menaxhimin e shërbimit korrier dhe një aplikacioni të ri celular për klientët e shërbimit korrier.
Ejani të punoni me ne!
Burimi: www.habr.com