Evaluate sambungan dina bagian tengah diagram. Urang bakal balik deui ka aranjeunna handap
Di sawatara titik, Anjeun bisa manggihan yén badag, jaringan basis L2 kompléks nu gering terminally. Anu mimiti, masalah anu aya hubunganana sareng ngolah lalu lintas BUM sareng operasi protokol STP. Bréh, arsitéktur umumna luntur. Ieu ngabalukarkeun masalah pikaresepeun dina bentuk downtimes sarta penanganan pikaresepeun.
Urang tadi dua proyék paralel, dimana konsumén soberly ditaksir sagala pro jeung kontra ngeunaan pilihan jeung milih dua solusi overlay béda, sarta kami dilaksanakeun aranjeunna.
Aya kasempetan pikeun ngabandingkeun palaksanaan. Henteu eksploitasi; urang kedah nyarioskeun éta dina dua atanapi tilu taun.
Janten, naon lawon jaringan sareng jaringan overlay sareng SDN?
Naon anu kudu dilakukeun sareng masalah-masalah arsitéktur jaringan klasik?
Unggal taun téknologi anyar sareng ideu muncul. Dina prakna, kabutuhan urgent pikeun ngawangun deui jaringan teu timbul cukup lila, sabab ngalakukeun sagalana ku leungeun ngagunakeun métode baheula alus ogé mungkin. Janten kumaha upami éta abad ka dua puluh hiji? Barina ogé, hiji administrator kedah dianggo, sarta teu diuk di kantor-Na.
Lajeng booming dina pangwangunan puseur data skala badag dimimitian. Teras janten jelas yén wates pangembangan arsitéktur klasik parantos dihontal, henteu ngan ukur tina segi kinerja, kasabaran kasalahan, sareng skalabilitas. Sareng salah sahiji pilihan pikeun ngarengsekeun masalah ieu nyaéta ideu ngawangun jaringan overlay di luhur tulang tonggong anu diarahkeun.
Salaku tambahan, kalayan paningkatan dina skala jaringan, masalah ngatur pabrik sapertos kitu janten akut, salaku hasil tina solusi jaringan anu ditetepkeun parangkat lunak mimiti muncul kalayan kamampuan pikeun ngatur sadaya infrastruktur jaringan sacara gembleng. Sareng nalika jaringan diurus tina hiji titik, langkung gampang pikeun komponén séjén tina infrastruktur IT pikeun berinteraksi sareng éta, sareng prosés interaksi sapertos kitu langkung gampang diotomatisasi.
Ampir unggal produsén utama henteu ngan ukur alat jaringan, tapi ogé virtualisasi, gaduh pilihan pikeun solusi sapertos kitu dina portopolio na.
Sadaya anu tetep nyaéta pikeun terang naon anu cocog pikeun kabutuhan. Contona, pikeun pausahaan utamana badag kalayan tim ngembangkeun sarta operasi alus, solusi rangkep ti ngical paralatan teu salawasna nyugemakeun sakabeh kaperluan, sarta aranjeunna Resort ka ngamekarkeun SD sorangan (software diartikeun) solusi. Salaku conto, ieu mangrupikeun panyadia awan anu terus-terusan ngalegaan jangkauan jasa anu disayogikeun ka klienna, sareng solusi anu dibungkus ngan saukur henteu tiasa nyumponan kabutuhanna.
Pikeun perusahaan ukuran sedeng, fungsionalitas anu ditawarkeun ku padagang dina bentuk solusi kotak cekap dina 99 persén kasus.
Naon jaringan overlay?
Naon gagasan balik jaringan overlay? Intina, anjeun nyandak jaringan rute klasik sareng ngawangun jaringan sanés di luhur éta pikeun kéngingkeun seueur fitur. Seringna, urang nyarioskeun sacara efektif nyebarkeun beban dina alat sareng jalur komunikasi, sacara signifikan ningkatkeun wates skalabilitas, ningkatkeun reliabilitas sareng sakumpulan barang kaamanan (kusabab segmentasi). Sareng solusi SDN, salian ti ieu, nyayogikeun kasempetan pikeun administrasi fléksibel pisan, pisan, merenah pisan sareng ngajantenkeun jaringan langkung transparan pikeun konsuménna.
Sacara umum, lamun jaringan lokal geus nimukeun dina 2010s, aranjeunna bakal kasampak jauh béda ti naon urang diwariskeun ti militér dina 1970s.
Dina hal téknologi pikeun ngawangun lawon nganggo jaringan overlay, ayeuna aya seueur palaksanaan vendor sareng proyék Internet RFC (EVPN + VXLAN, EVPN + MPLS, EVPN + MPLSoGRE, EVPN + Geneve sareng anu sanésna). Leres, aya standar, tapi palaksanaan standar ieu ku produsén anu béda-béda tiasa bénten, janten nalika nyiptakeun pabrik sapertos kitu, masih mungkin pikeun ngantunkeun konci anu ngajual ngan ukur dina téori dina kertas.
Kalayan solusi SD, hal-hal malah langkung ngabingungkeun; unggal padagang gaduh visi sorangan. Aya solusi anu lengkep kabuka anu, dina téori, anjeun tiasa ngabéréskeun diri anjeun, sareng aya anu lengkep ditutup.
Cisco nawiskeun versi SDN pikeun pusat data - ACI. Alami, ieu téh 100% leyuran ngajual-dikonci dina watesan milih alat jaringan, tapi dina waktos anu sareng eta pinuh terpadu kalayan sistem virtualization, containerization, kaamanan, orchestration, balancers beban, jsb Tapi dina panggih, éta masih mangrupa jenis kotak hideung, tanpa kamungkinan aksés pinuh ka sadaya prosés internal. Henteu sakabéh konsumén satuju kana pilihan ieu, saprak anjeun sagemblengna gumantung kualitas kodeu solusi ditulis tur palaksanaan na, tapi di sisi séjén, produsén boga salah sahiji rojongan teknis pangalusna di dunya sarta boga tim dedicated dedicated wungkul. kana solusi ieu. Cisco ACI dipilih salaku solusi pikeun proyék munggaran.
Pikeun proyék kadua, solusi Juniper dipilih. Pabrikan ogé ngagaduhan SDN sorangan pikeun pusat data, tapi palanggan mutuskeun henteu ngalaksanakeun SDN. Kain EVPN VXLAN tanpa nganggo pengontrol terpusat dipilih salaku téknologi konstruksi jaringan.
Keur naon eta
Nyieun pabrik ngidinan Anjeun pikeun ngawangun hiji gampang scalable, lepat-toleran, jaringan dipercaya. Arsitéktur (daun-tulang tonggong) tumut kana akun ciri puseur data (jalur lalulintas, ngaminimalkeun reureuh jeung bottlenecks dina jaringan). Solusi SD di pusat data ngamungkinkeun anjeun pikeun gampang pisan, gancang, sareng fleksibel ngatur pabrik sapertos kitu sareng ngahijikeun kana ékosistem pusat data.
Kadua konsumén kedah ngawangun pusat data anu kaleuleuwihan pikeun mastikeun kasabaran kasalahan, sareng salian ti éta, lalu lintas antara pusat data kedah énkripsi.
Konsumén kahiji parantos nganggap solusi anu teu aya bahan salaku standar pikeun jaringanna, tapi dina tés aranjeunna ngagaduhan masalah kasaluyuan STP antara sababaraha padagang hardware. Aya downtimes anu ngabalukarkeun jasa ngadat. Sareng pikeun palanggan ieu kritis.
Cisco parantos janten standar perusahaan palanggan, aranjeunna ningali ACI sareng pilihan anu sanés sareng mutuskeun yén éta patut nyandak solusi ieu. Kuring resep automation kontrol ti hiji tombol ngaliwatan controller tunggal. Ladenan dikonpigurasi langkung gancang sareng diurus langkung gancang. Kami mutuskeun pikeun mastikeun enkripsi lalu lintas ku ngajalankeun MACSec antara saklar IPN sareng SPINE. Ku kituna, urang junun ngahindarkeun bottleneck dina bentuk gateway crypto, simpen aranjeunna sarta ngagunakeun rubakpita maksimum.
Konsumén kadua milih solusi tanpa kontrol tina Juniper sabab pusat data anu aya parantos ngagaduhan instalasi leutik anu ngalaksanakeun lawon EVPN VXLAN. Tapi aya teu lepat-toleran (hiji switch dipaké). Urang mutuskeun rék dilegakeun infrastruktur puseur data utama jeung ngawangun pabrik di puseur data cadangan. EVPN nu aya teu sapinuhna dipaké: encapsulation VXLAN teu sabenerna dipaké, saprak sakabeh host disambungkeun ka hiji switch, sarta sakabeh alamat MAC na / 32 alamat host lokal, gateway pikeun aranjeunna éta switch sarua, euweuh alat sejen. , dimana ieu diperlukeun pikeun ngawangun torowongan VXLAN. Aranjeunna mutuskeun pikeun mastikeun enkripsi lalulintas ngagunakeun téhnologi IPSEC antara firewalls (kinerja firewall éta cukup).
Éta ogé nyobian ACI, tapi mutuskeun yén kusabab konci ngajual, aranjeunna kedah mésér teuing hardware, kalebet ngagentos alat-alat énggal anu énggal-énggal, sareng éta ngan saukur henteu asup akal ékonomi. Leres, lawon Cisco ngahiji sareng sadayana, tapi ngan ukur alat-alatna anu mungkin dina lawon sorangan.
Di sisi anu sanésna, sakumaha anu kami nyarios tadi, anjeun moal tiasa ngan ukur nyampur lawon EVPN VXLAN sareng anu ngajual tatangga, sabab palaksanaan protokolna béda. Éta sapertos nyebrang Cisco sareng Huawei dina hiji jaringan - sigana standarna umum, tapi anjeun kedah nari nganggo rebana. Kusabab ieu bank, sarta tés kasaluyuan bakal pisan lila, urang mutuskeun yén éta hadé mésér ti ngajual sarua ayeuna, sarta teu meunang teuing dibawa jauh jeung fungsionalitas saluareun dasar.
Rencana migrasi
Dua puseur data basis ACI:
Organisasi interaksi antara puseur data. Solusi Multi-Pod dipilih - unggal pusat data mangrupikeun pod. Sarat pikeun skala ku jumlah saklar sareng telat antara pods (RTT kirang ti 50 mdet) dipertimbangkeun. Diputuskeun pikeun henteu ngawangun solusi Multi-Site pikeun betah manajemén (solusi Multi-Pod nganggo antarmuka manajemén tunggal, Multi-Site bakal gaduh dua antarmuka, atanapi ngabutuhkeun Orchestrator Multi-Site), sareng kumargi teu aya geografis. reservasi situs ieu diperlukeun.
Tina sudut pandang jasa migrasi tina jaringan Warisan, pilihan anu paling transparan dipilih, laun-laun mindahkeun VLAN anu cocog sareng jasa anu tangtu.
Pikeun migrasi, hiji EPG saluyu (Ahir-titik-grup) dijieun pikeun tiap VLAN di pabrik. Kahiji, jaringan ieu stretched antara jaringan heubeul jeung lawon leuwih L2, lajeng sanggeus kabeh host anu hijrah, gateway ieu dipindahkeun ka lawon, sarta EPG berinteraksi sareng jaringan nu aya ngaliwatan L3OUT, bari interaksi antara L3OUT na EPG. dijelaskeun ngagunakeun kontrak. Diagram perkiraan:
Struktur sampel lolobana kawijakan pabrik ACI ditémbongkeun dina gambar di handap ieu. Sakabeh setelan dumasar kana kawijakan nested dina kawijakan séjén jeung saterusna. Mimitina éta hésé pisan pikeun terang, tapi laun-laun, sakumaha prakték nunjukkeun, pangurus jaringan ngabiasakeun struktur ieu sakitar sabulan, teras aranjeunna ngan ukur ngartos kumaha merenah éta.
pabandingan
Dina leyuran Cisco ACI, anjeun kudu meuli deui parabot (switch misah pikeun Inter-Pod interaksi jeung APIC controller), nu ngajadikeun eta leuwih mahal. Solusi Juniper henteu meryogikeun mésér pangendali atanapi asesoris; Ieu mungkin pikeun sawaréh ngagunakeun parabot customer urang aya.
Ieu arsitéktur lawon EVPN VXLAN pikeun dua pusat data proyék kadua:
Kalayan ACI anjeun kéngingkeun solusi anu siap - henteu kedah tinker, henteu kedah ngaoptimalkeun. Salila kenalan awal konsumén jeung pabrik, euweuh pamekar anu diperlukeun, euweuh ngarojong jalma anu diperlukeun pikeun kode na automation. Gampang dianggo; seueur setélan tiasa dilakukeun ngaliwatan wizard, anu henteu salawasna tambah, khususna pikeun jalma anu biasa kana garis paréntah. Dina sagala hal, butuh waktu pikeun ngawangun deui otak dina lagu anyar, ka peculiarities setelan ngaliwatan kawijakan jeung operasi kalawan loba kawijakan nested. Sajaba ti éta, éta kacida desirable boga struktur jelas pikeun ngaran kawijakan jeung objék. Upami aya masalah dina logika controller, éta ngan ukur tiasa direngsekeun ku dukungan téknis.
Dina EVPN - konsol. Sangsara atawa girang. A panganteur akrab pikeun hansip heubeul. Leres, aya konfigurasi standar sareng pituduh. Anjeun kedah ngaroko mana. Desain anu béda, sadayana jelas sareng rinci.
Alami, dina dua kasus, nalika migrasi, éta hadé pikeun mimiti migrasi teu jasa paling kritis, contona, lingkungan test, sarta ngan lajeng, sanggeus nyekel sagala bug, lajengkeun ka produksi. Jeung ulah ngepaskeun dina malem Jumaah. Anjeun teu kedah percanten ka nu ngical paralatan yén sagalana bakal ok, éta salawasna hadé pikeun maénkeun éta aman.
Anjeun mayar leuwih pikeun ACI, najan Cisco ayeuna aktip ngamajukeun solusi ieu sarta mindeng méré diskon alus ka dinya, tapi anjeun simpen dina pangropéa. Manajemén sareng otomatisasi pabrik EVPN tanpa pengontrol butuh investasi sareng biaya biasa - ngawaskeun, otomatisasi, palaksanaan jasa énggal. Dina waktos anu sami, peluncuran awal di ACI peryogi 30-40 persén langkung lami. Ieu kajadian sabab butuh waktu leuwih lila pikeun nyieun sakabéh set propil perlu jeung kawijakan nu lajeng bakal dipaké. Tapi nalika jaringan tumbuh, jumlah konfigurasi anu diperyogikeun ngirangan. Anjeun nganggo kawijakan, profil, objék anu tos didamel. Anjeun tiasa sacara fleksibel ngonpigurasikeun ségméntasi sareng kaamanan, ngatur kontrak sacara sentral anu tanggung jawab pikeun ngijinkeun interaksi anu tangtu antara EPG - jumlah padamelan turun pisan.
Dina EVPN, anjeun kedah ngonpigurasikeun unggal alat di pabrik, kamungkinan kasalahan langkung ageung.
Nalika ACI langkung laun dilaksanakeun, EVPN nyandak ampir dua kali langkung lami pikeun debug. Lamun dina kasus Cisco anjeun salawasna bisa nelepon hiji insinyur rojongan tur nanya ngeunaan jaringan sakabéhna (sabab katutupan salaku solusi), lajeng ti Juniper Jaringan anjeun ngan meuli hardware, sarta éta naon katutupan. Dupi bungkusan ditinggalkeun alat? Muhun, ok, lajeng masalah anjeun. Tapi anjeun tiasa ngabuka patarosan ngeunaan pilihan solusi atanapi desain jaringan - teras aranjeunna bakal mamatahan anjeun mésér jasa profésional, kalayan biaya tambahan.
Pangrojong ACI pisan keren, sabab kapisah: tim anu misah sits ngan pikeun ieu. Aya ogé spesialis diomongkeun Rusia. Pituduhna rinci, solusina parantos ditangtukeun. Aranjeunna katingali sareng mamatahan. Aranjeunna gancang sangkan méré konfirmasi desain, nu mindeng penting. Juniper Networks ngalakukeun hal anu sami, tapi langkung laun (urang gaduh ieu, ayeuna kedah langkung saé nurutkeun rumor), anu maksa anjeun ngalakukeun sadayana nyalira dimana insinyur solusi tiasa mamatahan.
Cisco ACI ngarojong integrasi jeung virtualization jeung sistem containerization (VMware, Kubernetes, Hyper-V) jeung manajemén terpusat. Sadia kalawan jaringan sarta jasa kaamanan - balancing, firewalls, WAF, IPS, jsb ... Alus mikro-segmentation out of the box. Dina leyuran kadua, integrasi jeung jasa jaringan téh angin ngahiliwir, sarta eta leuwih hade ngabahas panglawungan sateuacanna jeung jalma anu geus dipigawé ieu.
hasil
Pikeun unggal kasus husus, perlu pikeun milih solusi, teu ukur dumasar kana biaya alat, tapi ogé perlu tumut kana akun waragad operasi salajengna jeung masalah utama nu nasabah ayeuna nyanghareupan, sarta naon rencana aya. pikeun pangwangunan infrastruktur IT.
ACI, alatan alat-alat tambahan, éta leuwih mahal, tapi solusi geus siap-dijieun tanpa merlukeun pagawean tambahan, solusi kadua leuwih kompleks jeung ongkosna mahal dina hal operasi, tapi leuwih murah.
Lamun hayang ngabahas sabaraha eta bisa ngarugikeun pikeun nerapkeun lawon jaringan dina ngical paralatan béda, sarta jenis arsitéktur diperlukeun, Anjeun bisa papanggih jeung ngobrol. Kami bakal mamatahan anjeun gratis dugi ka anjeun nampi sketsa arsitéktur kasar (kalayan anjeun tiasa ngitung anggaran), detil rinci, tangtosna, parantos dibayar.
Vladimir Klepche, jaringan perusahaan.
sumber: www.habr.com