Процените везе у средњем делу дијаграма. Вратићемо се на њих у наставку
У неком тренутку ћете можда открити да су велике, сложене мреже засноване на Л2 терминално болесне. Пре свега, проблеми у вези са обрадом БУМ саобраћаја и радом СТП протокола. Друго, архитектура је генерално застарела. Ово узрокује непријатне проблеме у виду застоја и незгодног руковања.
Имали смо два паралелна пројекта, где су купци трезвено проценили све предности и недостатке опција и изабрали два различита решења за прекривање, а ми смо их применили.
Постојала је прилика да се упореди имплементација. Не експлоатација, о томе би требало да разговарамо за две-три године.
Дакле, шта је мрежна структура са мрежама са преклапањем и СДН-ом?
Шта учинити са горућим проблемима класичне мрежне архитектуре?
Сваке године се појављују нове технологије и идеје. У пракси, хитна потреба за поновном изградњом мрежа није се јављала дуго времена, јер је могуће све урадити ручно користећи старе добре методе. Па шта ако је двадесет први век? Уосталом, администратор треба да ради, а не да седи у својој канцеларији.
Тада је почео бум у изградњи великих дата центара. Тада је постало јасно да је достигнута граница развоја класичне архитектуре, не само у погледу перформанси, толеранције грешака и скалабилности. А једна од опција за решавање ових проблема била је идеја изградње преклапајућих мрежа на врху рутиране кичме.
Поред тога, са повећањем обима мрежа, проблем управљања оваквим фабрикама је постао акутан, услед чега су почела да се појављују софтверски дефинисана мрежна решења са могућношћу управљања целокупном мрежном инфраструктуром као јединственом целином. А када се мрежом управља са једне тачке, другим компонентама ИТ инфраструктуре је лакше да комуницирају са њом, а такве процесе интеракције је лакше аутоматизовати.
Готово сваки велики произвођач не само мрежне опреме, већ и виртуелизације, у свом портфолију има опције за таква решења.
Остаје само да се схвати шта је погодно за које потребе. На пример, за посебно велике компаније са добрим развојним и оперативним тимом, упакована решења добављача не задовољавају увек све потребе и прибегавају развоју сопствених СД (софтверски дефинисаних) решења. На пример, реч је о цлоуд провајдерима који стално проширују спектар услуга које пружају својим клијентима, а упакована решења једноставно нису у стању да прате њихове потребе.
За средња предузећа, функционалност коју нуди продавац у виду решења у кутији је довољна у 99 одсто случајева.
Шта су преклапајуће мреже?
Која је идеја иза мрежа за прекривање? У суштини, узимате класичну рутирану мрежу и градите другу мрежу на њој да бисте добили више функција. Најчешће говоримо о ефикасној дистрибуцији оптерећења на опреми и комуникационим линијама, значајном повећању границе скалабилности, повећању поузданости и гомили безбедносних добара (због сегментације). А СДН решења, поред овога, пружају могућност за веома, веома, веома згодну флексибилну администрацију и чине мрежу транспарентнијом за своје потрошаче.
Генерално, да су локалне мреже измишљене 2010-их, оне би изгледале далеко другачије од онога што смо наследили од војске 1970-их.
Што се тиче технологија за прављење тканина коришћењем преклапајућих мрежа, тренутно постоје многе имплементације добављача и Интернет РФЦ пројекти (ЕВПН+ВКСЛАН, ЕВПН+МПЛС, ЕВПН+МПЛСоГРЕ, ЕВПН+Геневе и други). Да, постоје стандарди, али примена ових стандарда од стране различитих произвођача може се разликовати, тако да је приликом стварања таквих фабрика још увек могуће потпуно напустити закључавање добављача само у теорији на папиру.
Са СД решењем ствари су још збуњујуће; сваки добављач има своју визију. Постоје потпуно отворена решења која, теоретски, можете сами да довршите, а постоје потпуно затворена.
Цисцо нуди своју верзију СДН-а за дата центре - АЦИ. Наравно, ово је 100% закључано решење за добављаче у погледу избора мрежне опреме, али је у исто време потпуно интегрисано са системима виртуелизације, контејнеризације, безбедности, оркестрације, балансирања оптерећења, итд. Али у суштини, то је и даље врста црне кутије, без могућности пуног приступа свим интерним процесима. Не пристају сви купци на ову опцију, јер потпуно зависите од квалитета написаног кода решења и његове имплементације, али са друге стране, произвођач има једну од најбољих техничких подршке на свету и има посвећен тим посвећен само на ово решење. Цисцо АЦИ је изабран као решење за први пројекат.
За други пројекат изабрано је решење Јунипер. Произвођач такође има свој СДН за дата центар, али је купац одлучио да не имплементира СДН. За технологију изградње мреже изабрана је ЕВПН ВКСЛАН тканина без употребе централизованих контролера.
За шта је то
Стварање фабрике вам омогућава да изградите лако скалабилну, поуздану мрежу отпорну на грешке. Архитектура (леаф-спине) узима у обзир карактеристике центара података (путеви саобраћаја, минимизирање кашњења и уских грла у мрежи). СД решења у дата центрима омогућавају вам да веома повољно, брзо и флексибилно управљате таквом фабриком и интегришете је у екосистем дата центра.
Оба клијента су морала да изграде редундантне центре података како би осигурали толеранцију грешака, а поред тога, саобраћај између центара података је морао да буде шифрован.
Први купац је већ разматрао решења без тканине као могући стандард за своје мреже, али су у тестовима имали проблема са СТП компатибилношћу између неколико произвођача хардвера. Било је застоја због којих су услуге падале. А за купца је ово било критично.
Цисцо је већ био корпоративни стандард корисника, погледали су АЦИ и друге опције и одлучили да је вредно узети ово решење. Свидела ми се аутоматизација контроле од једног дугмета преко једног контролера. Услуге се брже конфигуришу и брже се њима управља. Одлучили смо да обезбедимо шифровање саобраћаја покретањем МАЦСец између ИПН и СПИНЕ прекидача. Тако смо успели да избегнемо уско грло у виду крипто гејтвеја, уштедимо на њима и искористимо максималну пропусност.
Други купац је изабрао решење без контролера компаније Јунипер јер је њихов постојећи центар података већ имао малу инсталацију која је имплементирала ЕВПН ВКСЛАН тканину. Али тамо није био отпоран на грешке (коришћен је један прекидач). Одлучили смо да проширимо инфраструктуру главног дата центра и изградимо фабрику у резервном дата центру. Постојећи ЕВПН није у потпуности искоришћен: ВКСЛАН енкапсулација заправо није коришћена, пошто су сви хостови били повезани на један прекидач, а све МАЦ адресе и /32 адресе хоста су биле локалне, мрежни пролаз за њих је био исти прекидач, није било других уређаја , где је било потребно изградити ВКСЛАН тунеле. Одлучили су да обезбеде шифровање саобраћаја коришћењем ИПСЕЦ технологије између заштитних зидова (перформансе заштитног зида су биле довољне).
Покушали су и са АЦИ-јем, али су одлучили да ће због закључавања добављача морати да купе превише хардвера, укључујући и замену недавно купљене нове опреме, и то једноставно није имало економског смисла. Да, Цисцо тканина се интегрише са свиме, али само њени уређаји су могући унутар саме тканине.
С друге стране, као што смо раније рекли, не можете само мешати ЕВПН ВКСЛАН тканину са било којим суседним добављачем, јер су имплементације протокола различите. То је као да укрштате Цисцо и Хуавеи у једној мрежи - чини се да су стандарди уобичајени, али мораћете да играте уз тамбуру. Пошто је ово банка, а тестови компатибилности би били веома дуги, одлучили смо да је боље да сада купујемо од истог продавца, а не да се превише заносимо функционалношћу изван основних.
План миграције
Два дата центра заснована на АЦИ:
Организација интеракције између центара података. Изабрано је Мулти-Под решење - сваки центар података је под. Узимају се у обзир захтеви за скалирање по броју прекидача и кашњења између подова (РТТ мање од 50 мс). Одлучено је да се не гради решење за више локација ради лакшег управљања (решење за више локација користи један интерфејс за управљање, више локација би имало два интерфејса или би захтевало оркестратор више локација), а пошто нема географског била је обавезна резервација места.
Са становишта миграције сервиса са Легаци мреже, изабрана је најтранспарентнија опција, постепено преносећи ВЛАН-ове који одговарају одређеним услугама.
За миграцију, одговарајући ЕПГ (Енд-поинт-гроуп) је креиран за сваки ВЛАН у фабрици. Прво, мрежа је била развучена између старе мреже и фабрика преко Л2, затим након што су сви хостови мигрирани, гејтвеј је премештен у фабрику, а ЕПГ је ступио у интеракцију са постојећом мрежом преко Л3ОУТ, док је интеракција између Л3ОУТ и ЕПГ је описан коришћењем уговора. Приближан дијаграм:
Структура узорка већине АЦИ фабричких политика приказана је на слици испод. Целокупно подешавање је засновано на смерницама угнежђеним у другим смерницама и тако даље. У почетку је то веома тешко схватити, али постепено, како показује пракса, мрежни администратори се навикну на ову структуру за око месец дана, а онда тек почињу да схватају колико је то згодно.
Поређење
У Цисцо АЦИ решењу, потребно је да купите више опреме (одвојени прекидачи за Интер-Под интеракцију и АПИЦ контролере), што га чини скупљим. Јуниперово решење није захтевало куповину контролера или додатне опреме; Било је могуће делимично користити постојећу опрему купца.
Ево архитектуре ЕВПН ВКСЛАН тканине за два дата центра другог пројекта:
Са АЦИ-јем добијате готово решење - нема потребе за петљањем, нема потребе за оптимизацијом. Током почетног упознавања купца са фабриком, нису потребни програмери, нису потребни људи за подршку за код и аутоматизацију. Прилично је једноставан за коришћење; многа подешавања се могу извршити преко чаробњака, што није увек плус, посебно за људе који су навикли на командну линију. У сваком случају, потребно је време да се мозак поново изгради на новим стазама, до специфичности подешавања кроз политике и рада са многим угнежђеним политикама. Поред овога, веома је пожељно имати јасну структуру за именовање политика и објеката. Ако се у логици контролера појави било какав проблем, он се може решити само кроз техничку подршку.
У ЕВПН - конзоли. Трпи се или се радуј. Познати интерфејс за стару гарду. Да, постоји стандардна конфигурација и водичи. Мораћете да пушите ману. Различити дизајни, све је јасно и детаљно.
Наравно, у оба случаја, приликом миграције, боље је прво мигрирати не најкритичније услуге, на пример, тестна окружења, па тек онда, након што откријете све грешке, наставити са производњом. И немој да се укључиш у петак увече. Не треба веровати продавцу да ће све бити у реду, увек је боље играти на сигурно.
Плаћате више за АЦИ, иако Цисцо тренутно активно промовише ово решење и често даје добре попусте на њега, али штедите на одржавању. Управљање и свака аутоматизација ЕВПН фабрике без контролера захтева улагања и редовне трошкове – праћење, аутоматизацију, имплементацију нових услуга. Истовремено, почетно лансирање у АЦИ траје 30–40 процената дуже. Ово се дешава зато што је потребно више времена да се креира цео скуп неопходних профила и смерница које ће се затим користити. Али како мрежа расте, број потребних конфигурација се смањује. Користите унапред креиране смернице, профиле, објекте. Можете флексибилно да конфигуришете сегментацију и безбедност, централно управљате уговорима који су одговорни за омогућавање одређених интеракција између ЕПГ-ова - количина посла нагло опада.
У ЕВПН-у морате да конфигуришете сваки уређај у фабрици, вероватноћа грешке је већа.
Док је АЦИ био спорији за имплементацију, ЕВПН-у је требало скоро дупло дуже да се отклони грешке. Ако у случају Цисцо-а увек можете позвати инжењера за подршку и питати за мрежу у целини (јер је покривена као решење), онда од Јунипер Нетворкс купујете само хардвер, и то је оно што је покривено. Да ли су пакети напустили уређај? Па добро, онда твоји проблеми. Али можете отворити питање у вези са избором решења или дизајном мреже - и тада ће вам саветовати да купите професионалну услугу, уз додатну накнаду.
АЦИ подршка је веома кул, јер је одвојена: засебан тим седи само за ово. Ту су и специјалисти који говоре руски. Водич је детаљан, решења су унапред одређена. Гледају и саветују. Они брзо потврђују дизајн, што је често важно. Јунипер Нетворкс ради исту ствар, али много спорије (имали смо ово, сада би требало да буде боље према гласинама), што вас приморава да урадите све сами где вам инжењер решења може саветовати.
Цисцо АЦИ подржава интеграцију са системима виртуелизације и контејнеризације (ВМваре, Кубернетес, Хипер-В) и централизовано управљање. Доступан са мрежним и безбедносним услугама - балансирање, заштитни зидови, ВАФ, ИПС, итд... Добра микро-сегментација из кутије. У другом решењу, интеграција са мрежним сервисима је лака и боље је унапред разговарати о форумима са онима који су то урадили.
Укупан
За сваки конкретан случај потребно је изабрати решење, не само на основу цене опреме, већ је потребно узети у обзир и даље оперативне трошкове и главне проблеме са којима се тренутно суочава купац и шта планира су за развој ИТ инфраструктуре.
АЦИ је, због додатне опреме, био скупљи, али је решење готово без потребе за додатном дорадом, друго решење је сложеније и скупље у погледу рада, али јефтиније.
Ако желите да разговарате о томе колико би могло да кошта имплементација мрежног ткива код различитих добављача и каква је архитектура потребна, можете се састати и разговарати. Саветоваћемо вас бесплатно док не добијете грубу скицу архитектуре (са којом можете израчунати буџете), детаљна разрада је, наравно, већ плаћена.
Владимир Клепче, корпоративне мреже.
Извор: ввв.хабр.цом