Vlerësoni lidhjet në pjesën e mesme të diagramit. Më poshtë do t'u kthehemi atyre
Në një moment, mund të zbuloni se rrjetet e mëdha dhe komplekse të bazuara në L2 janë të sëmurë përfundimisht. Para së gjithash, problemet që lidhen me përpunimin e trafikut BUM dhe funksionimin e protokollit STP. Së dyti, arkitektura është përgjithësisht e vjetëruar. Kjo shkakton probleme të pakëndshme në formën e ndërprerjeve dhe trajtimit të papërshtatshëm.
Ne patëm dy projekte paralele, ku klientët vlerësuan me maturi të gjitha të mirat dhe të këqijat e opsioneve dhe zgjodhën dy zgjidhje të ndryshme mbivendosjeje, dhe ne i zbatuam ato.
Kishte një mundësi për të krahasuar zbatimin. Jo shfrytëzim, duhet të flasim për dy apo tre vjet.
Pra, çfarë është një strukturë rrjeti me rrjete mbivendosjeje dhe SDN?
Çfarë duhet bërë me problemet urgjente të arkitekturës klasike të rrjetit?
Çdo vit shfaqen teknologji dhe ide të reja. Në praktikë, nevoja urgjente për të rindërtuar rrjetet nuk ka lindur për një kohë të gjatë, sepse është gjithashtu e mundur të bësh gjithçka me dorë duke përdorur metodat e mira të modës së vjetër. Po sikur të jetë shekulli i njëzet e një? Në fund të fundit, një administrator duhet të punojë, dhe jo të ulet në zyrën e tij.
Pastaj filloi një bum në ndërtimin e qendrave të të dhënave në shkallë të gjerë. Më pas u bë e qartë se kufiri i zhvillimit të arkitekturës klasike ishte arritur, jo vetëm për sa i përket performancës, tolerancës ndaj gabimeve dhe shkallëzueshmërisë. Dhe një nga opsionet për zgjidhjen e këtyre problemeve ishte ideja e ndërtimit të rrjeteve të mbivendosjes në krye të një shtylle kurrizore të drejtuar.
Për më tepër, me rritjen e shkallës së rrjeteve, problemi i menaxhimit të fabrikave të tilla është bërë i mprehtë, si rezultat i të cilave filluan të shfaqen zgjidhjet e rrjetit të përcaktuara nga softueri me aftësinë për të menaxhuar të gjithë infrastrukturën e rrjetit si një tërësi e vetme. Dhe kur rrjeti menaxhohet nga një pikë e vetme, është më e lehtë për komponentët e tjerë të infrastrukturës së IT të ndërveprojnë me të dhe procese të tilla ndërveprimi janë më të lehta për t'u automatizuar.
Pothuajse çdo prodhues i madh jo vetëm i pajisjeve të rrjetit, por edhe i virtualizimit, ka opsione për zgjidhje të tilla në portofolin e tij.
E tëra që mbetet është të kuptojmë se çfarë është e përshtatshme për çfarë nevojash. Për shembull, për kompanitë veçanërisht të mëdha me një ekip të mirë zhvillimi dhe funksionimi, zgjidhjet e paketuara nga shitësit nuk i plotësojnë gjithmonë të gjitha nevojat dhe ata përdorin zhvillimin e zgjidhjeve të tyre SD (të përcaktuara nga softueri). Për shembull, këta janë ofrues të reve kompjuterike që po zgjerojnë vazhdimisht gamën e shërbimeve që u ofrohen klientëve të tyre dhe zgjidhjet e paketuara thjesht nuk janë në gjendje të vazhdojnë me nevojat e tyre.
Për kompanitë e mesme, funksionaliteti i ofruar nga shitësi në formën e një zgjidhje në kuti është i mjaftueshëm në 99 për qind të rasteve.
Cilat janë rrjetet e mbivendosura?
Cila është ideja pas rrjeteve të mbivendosura? Në thelb, ju merrni një rrjet klasik të drejtuar dhe ndërtoni një rrjet tjetër në krye të tij për të marrë më shumë veçori. Më shpesh, ne po flasim për shpërndarjen në mënyrë efektive të ngarkesës në pajisjet dhe linjat e komunikimit, duke rritur ndjeshëm kufirin e shkallëzueshmërisë, rritjen e besueshmërisë dhe një mori të mirash sigurie (për shkak të segmentimit). Dhe zgjidhjet SDN, përveç kësaj, ofrojnë mundësinë për administrim fleksibël shumë, shumë, shumë të përshtatshëm dhe e bëjnë rrjetin më transparent për konsumatorët e tij.
Në përgjithësi, nëse rrjetet lokale do të ishin shpikur në vitet 2010, ato do të dukeshin shumë më ndryshe nga ajo që trashëguam nga ushtria në vitet 1970.
Për sa i përket teknologjive për ndërtimin e pëlhurave duke përdorur rrjete mbivendosje, aktualisht ka shumë zbatime të prodhuesve dhe projekteve RFC në Internet (EVPN+VXLAN, EVPN+MPLS, EVPN+MPLSoGRE, EVPN+Geneve dhe të tjerë). Po, ka standarde, por zbatimi i këtyre standardeve nga prodhues të ndryshëm mund të ndryshojë, kështu që kur krijohen fabrika të tilla, është ende e mundur të braktisësh plotësisht bllokimin e shitësit vetëm në teori në letër.
Me një zgjidhje SD, gjërat janë edhe më konfuze; çdo shitës ka vizionin e vet. Ka zgjidhje krejtësisht të hapura që, në teori, mund t'i plotësoni vetë, dhe ka të mbyllura plotësisht.
Cisco ofron versionin e saj të SDN për qendrat e të dhënave - ACI. Natyrisht, kjo është një zgjidhje 100% e bllokuar nga shitësi për sa i përket zgjedhjes së pajisjeve të rrjetit, por në të njëjtën kohë është plotësisht e integruar me sistemet e virtualizimit, kontejnerizimin, sigurinë, orkestrimin, balancuesit e ngarkesës, etj. Por në thelb, është ende një lloj kutie e zezë, pa mundësinë e aksesit të plotë në të gjitha proceset e brendshme. Jo të gjithë klientët pajtohen me këtë opsion, pasi ju jeni plotësisht të varur nga cilësia e kodit të zgjidhjes së shkruar dhe zbatimi i tij, por nga ana tjetër, prodhuesi ka një nga mbështetjen teknike më të mirë në botë dhe ka një ekip të përkushtuar të dedikuar vetëm ndaj kësaj zgjidhjeje. Cisco ACI u zgjodh si zgjidhje për projektin e parë.
Për projektin e dytë u zgjodh një zgjidhje Juniper. Prodhuesi gjithashtu ka SDN-në e tij për qendrën e të dhënave, por klienti vendosi të mos zbatojë SDN. Si teknologji e ndërtimit të rrjetit u zgjodh një pëlhurë EVPN VXLAN pa përdorimin e kontrollorëve të centralizuar.
Për çfarë është?
Krijimi i një fabrike ju lejon të ndërtoni një rrjet lehtësisht të shkallëzuar, tolerant ndaj gabimeve dhe të besueshëm. Arkitektura (leaf-spine) merr parasysh karakteristikat e qendrave të të dhënave (shtigjet e trafikut, duke minimizuar vonesat dhe pengesat në rrjet). Zgjidhjet SD në qendrat e të dhënave ju lejojnë të menaxhoni në mënyrë shumë të përshtatshme, të shpejtë dhe fleksibël një fabrikë të tillë dhe ta integroni atë në ekosistemin e qendrës së të dhënave.
Të dy klientët kishin nevojë të ndërtonin qendra të tepërta të të dhënave për të siguruar tolerancën e gabimeve, dhe përveç kësaj, trafiku midis qendrave të të dhënave duhej të kodohej.
Klienti i parë tashmë po konsideronte zgjidhjet pa pëlhurë si një standard të mundshëm për rrjetet e tyre, por në teste ata kishin probleme me pajtueshmërinë STP midis disa shitësve të pajisjeve. Pati ndërprerje që shkaktuan prishje të shërbimeve. Dhe për klientin kjo ishte kritike.
Cisco ishte tashmë standardi i korporatës së klientit, ata shikuan ACI dhe opsione të tjera dhe vendosën se ia vlente të merrte këtë zgjidhje. Më pëlqeu automatizimi i kontrollit nga një buton përmes një kontrolluesi të vetëm. Shërbimet konfigurohen më shpejt dhe menaxhohen më shpejt. Ne vendosëm të sigurojmë enkriptimin e trafikut duke ekzekutuar MACSec midis ndërprerësve IPN dhe SPINE. Kështu, ne arritëm të shmangnim pengesën në formën e një porte kripto, të kursejmë në to dhe të përdorim gjerësinë maksimale të brezit.
Klienti i dytë zgjodhi një zgjidhje pa kontrollues nga Juniper sepse qendra e tyre ekzistuese e të dhënave kishte tashmë një instalim të vogël që zbatonte një pëlhurë EVPN VXLAN. Por atje nuk ishte tolerant ndaj defekteve (u përdor një çelës). Ne vendosëm të zgjerojmë infrastrukturën e qendrës kryesore të të dhënave dhe të ndërtojmë një fabrikë në qendrën e të dhënave rezervë. EVPN ekzistues nuk u përdor plotësisht: kapsulimi VXLAN nuk u përdor në të vërtetë, pasi të gjithë hostet ishin të lidhur me një ndërprerës, dhe të gjitha adresat MAC dhe adresat e hostit /32 ishin lokale, porta për ta ishte i njëjti ndërprerës, nuk kishte pajisje të tjera , ku ishte e nevojshme të ndërtoheshin tunele VXLAN. Ata vendosën të siguronin kriptim të trafikut duke përdorur teknologjinë IPSEC midis mureve të zjarrit (performanca e ITU ishte e mjaftueshme).
Ata provuan gjithashtu ACI, por vendosën që për shkak të bllokimit të shitësit, do të duhej të blinin shumë pajisje, duke përfshirë zëvendësimin e pajisjeve të reja të blera së fundmi, dhe thjesht nuk kishte kuptim ekonomik. Po, pëlhura Cisco integrohet me gjithçka, por vetëm pajisjet e saj janë të mundshme brenda vetë pëlhurës.
Nga ana tjetër, siç thamë më herët, nuk mund të përzieni thjesht një pëlhurë EVPN VXLAN me ndonjë shitës fqinj, sepse implementimet e protokollit janë të ndryshme. Është si të kalosh Cisco dhe Huawei në një rrjet - duket sikur standardet janë të zakonshme, por do të duhet të kërcesh me një dajre. Meqenëse kjo është një bankë dhe testet e përputhshmërisë do të zgjasin shumë, vendosëm që ishte më mirë të blinim tani nga i njëjti shitës dhe të mos tërhiqemi shumë me funksionalitetin përtej atyre bazë.
Plani i migrimit
Dy qendra të dhënash të bazuara në ACI:
Organizimi i ndërveprimit ndërmjet qendrave të të dhënave. Zgjidhja Multi-Pod u zgjodh - çdo qendër e të dhënave është një pod. Kërkesat për shkallëzimin sipas numrit të ndërprerësve dhe vonesave midis pods (RTT më pak se 50 ms) merren parasysh. U vendos që të mos ndërtohej një zgjidhje Multi-Site për lehtësinë e menaxhimit (një zgjidhje Multi-Pod përdor një ndërfaqe të vetme menaxhimi, një Multi-Site do të kishte dy ndërfaqe, ose do të kërkonte një Orkestrator me Shumë Vende), dhe meqenëse nuk ka kërkohej rezervimi i vendeve.
Nga pikëpamja e migrimit të shërbimeve nga rrjeti Legacy, u zgjodh opsioni më transparent, duke transferuar gradualisht VLAN-të që korrespondojnë me shërbime të caktuara.
Për migrimin, një EPG përkatëse (End-point-group) u krijua për çdo VLAN në fabrikë. Së pari, rrjeti u shtri midis rrjetit të vjetër dhe strukturës mbi L2, më pas pasi të gjithë hostet u migruan, porta u zhvendos në strukturë dhe EPG ndërveproi me rrjetin ekzistues përmes L3OUT, ndërsa ndërveprimi midis L3OUT dhe EPG u përshkrua duke përdorur kontrata. Diagrami i përafërt:
Një strukturë mostër e shumicës së politikave të fabrikës ACI është paraqitur në figurën më poshtë. I gjithë konfigurimi bazohet në politikat e vendosura brenda politikave të tjera etj. Në fillim është shumë e vështirë ta kuptosh, por gradualisht, siç tregon praktika, administratorët e rrjetit mësohen me këtë strukturë në rreth një muaj, dhe më pas ata vetëm fillojnë të kuptojnë se sa i përshtatshëm është.
krahasim
Në zgjidhjen Cisco ACI, ju duhet të blini më shumë pajisje (çelës të veçantë për ndërveprimin Inter-Pod dhe kontrollues APIC), gjë që e bën atë më të shtrenjtë. Zgjidhja e Juniper nuk kërkonte blerjen e kontrollorëve ose aksesorëve; Ishte e mundur të përdoreshin pjesërisht pajisjet ekzistuese të klientit.
Këtu është arkitektura e pëlhurës EVPN VXLAN për dy qendra të të dhënave të projektit të dytë:
Me ACI ju merrni një zgjidhje të gatshme - nuk ka nevojë të ndërhyni, nuk keni nevojë të optimizoni. Gjatë njohjes fillestare të klientit me fabrikën, nuk nevojiten zhvillues, nuk nevojiten njerëz mbështetës për kodin dhe automatizimin. Është mjaft i lehtë për t'u përdorur; shumë cilësime mund të bëhen përmes magjistarit, gjë që nuk është gjithmonë një plus, veçanërisht për njerëzit e mësuar me vijën e komandës. Në çdo rast, duhet kohë për të rindërtuar trurin në pista të reja, për veçoritë e mjediseve përmes politikave dhe funksionimit me shumë politika të mbivendosura. Përveç kësaj, është shumë e dëshirueshme që të ketë një strukturë të qartë për emërtimin e politikave dhe objekteve. Nëse lind ndonjë problem në logjikën e kontrolluesit, ai mund të zgjidhet vetëm përmes mbështetjes teknike.
Në EVPN - tastierë. Vuaj ose gëzohu. Një ndërfaqe e njohur për gardën e vjetër. Po, ekziston një konfigurim dhe udhëzues standard. Do t'ju duhet të pini duhan mana. Dizajne të ndryshme, gjithçka është e qartë dhe e detajuar.
Natyrisht, në të dyja rastet, kur migroni, është më mirë që së pari të migroni jo shërbimet më kritike, për shembull, mjediset e testimit, dhe vetëm atëherë, pasi të kapni të gjitha gabimet, të vazhdoni në prodhim. Dhe mos u akordoni të premten mbrëma. Ju nuk duhet t'i besoni shitësit se gjithçka do të jetë në rregull, është gjithmonë më mirë ta luani të sigurt.
Ju paguani më shumë për ACI, megjithëse Cisco aktualisht po e promovon në mënyrë aktive këtë zgjidhje dhe shpesh jep zbritje të mira për të, por ju kurseni në mirëmbajtje. Menaxhimi dhe çdo automatizim i një fabrike EVPN pa kontrollues kërkon investime dhe kosto të rregullta - monitorim, automatizim, zbatim të shërbimeve të reja. Në të njëjtën kohë, nisja fillestare në ACI zgjat 30-40 përqind më shumë. Kjo ndodh sepse kërkon më shumë kohë për të krijuar të gjithë grupin e profileve dhe politikave të nevojshme që do të përdoren më pas. Por ndërsa rrjeti rritet, numri i konfigurimeve të kërkuara zvogëlohet. Ju përdorni politika, profile, objekte të krijuara paraprakisht. Mund të konfiguroni në mënyrë fleksibël segmentimin dhe sigurinë, të menaxhoni në mënyrë qendrore kontratat që janë përgjegjëse për lejimin e ndërveprimeve të caktuara midis EPG-ve - sasia e punës bie ndjeshëm.
Në EVPN, ju duhet të konfiguroni çdo pajisje në fabrikë, gjasat e gabimeve janë më të mëdha.
Ndërsa ACI ishte më i ngadalshëm për t'u zbatuar, EVPN-së iu desh pothuajse dy herë më shumë kohë për të korrigjuar. Nëse në rastin e Cisco-s gjithmonë mund të telefononi një inxhinier mbështetës dhe të pyesni për rrjetin në tërësi (sepse ai mbulohet si zgjidhje), atëherë nga Juniper Networks blini vetëm pajisje, dhe kjo është ajo që mbulohet. A janë larguar paketat nga pajisja? Epo, mirë, atëherë problemet tuaja. Por ju mund të hapni një pyetje në lidhje me zgjedhjen e zgjidhjes ose dizajnit të rrjetit - dhe më pas ata do t'ju këshillojnë të blini një shërbim profesional, për një tarifë shtesë.
Mbështetja ACI është shumë e lezetshme, sepse është e veçantë: një ekip i veçantë ulet vetëm për këtë. Ka edhe specialistë që flasin rusisht. Udhëzuesi është i detajuar, zgjidhjet janë të paracaktuara. Ata shikojnë dhe këshillojnë. Ata vërtetojnë shpejt dizajnin, i cili shpesh është i rëndësishëm. Juniper Networks bën të njëjtën gjë, por shumë më ngadalë (e kishim këtë, tani duhet të jetë më mirë sipas thashethemeve), gjë që ju detyron të bëni gjithçka vetë ku mund të këshillojë një inxhinier zgjidhje.
Cisco ACI mbështet integrimin me sistemet e virtualizimit dhe kontejnerizimit (VMware, Kubernetes, Hyper-V) dhe menaxhimin e centralizuar. E disponueshme me shërbime rrjeti dhe sigurie - balancim, mure zjarri, WAF, IPS, etj... Mikro-segmentim i mirë jashtë kutisë. Në zgjidhjen e dytë, integrimi me shërbimet e rrjetit është një fllad, dhe është më mirë të diskutoni forumet paraprakisht me ata që e kanë bërë këtë.
Total
Për çdo rast specifik, është e nevojshme të zgjidhet një zgjidhje, jo vetëm bazuar në koston e pajisjeve, por është gjithashtu e nevojshme të merren parasysh kostot e mëtejshme të funksionimit dhe problemet kryesore me të cilat përballet klienti aktualisht, dhe çfarë planifikon atje. janë për zhvillimin e infrastrukturës së TI-së.
ACI, për shkak të pajisjeve shtesë, ishte më e shtrenjtë, por zgjidhja është e gatshme pa pasur nevojë për përfundim shtesë; zgjidhja e dytë është më komplekse dhe e kushtueshme për sa i përket funksionimit, por më e lirë.
Nëse dëshironi të diskutoni se sa mund të kushtojë për të zbatuar një strukturë rrjeti në shitës të ndryshëm dhe çfarë lloj arkitekture nevojitet, mund të takoheni dhe të bisedoni. Ne do t'ju këshillojmë pa pagesë derisa të merrni një skicë të përafërt të arkitekturës (me të cilën mund të llogaritni buxhetet), përpunimi i detajuar, natyrisht, tashmë është paguar.
Vladimir Klepche, rrjetet e korporatave.
Burimi: www.habr.com