UtvÀrdera kopplingarna i diagrammets mitt. Vi Äterkommer till dem nedan.
Vid nÄgon tidpunkt kan man stöta pÄ det faktum att stora komplexa L2-baserade nÀtverk Àr obotligt sjuka. Först och frÀmst, med problem relaterade till BUM-trafikbehandling och driften av STP-protokollet. För det andra, med en överlag moraliskt förÄldrad arkitektur. Detta orsakar obehagliga problem i form av driftstopp och besvÀr med kontrollerbarhet.
Vi hade tvÄ parallella projekt, dÀr kunderna nyktert bedömde alla för- och nackdelar med alternativen och valde tvÄ olika överlappande lösningar, och vi implementerade dem.
Det fanns en möjlighet att jÀmföra genomförandet, inte driften, vilket Àr vÀrt att prata om om tvÄ eller tre Är.
SÄ vad Àr en nÀtverksstruktur med overlay-nÀtverk och SDN?
Vad ska man göra med de akuta problemen med klassisk nÀtverksarkitektur?
Varje Är dyker nya teknologier och idéer upp. I praktiken uppstod det inte pÄ lÀnge att det akuta behovet av att bygga om nÀtverk, eftersom det ocksÄ Àr möjligt att göra allt manuellt med hjÀlp av gamla goda farfars metoder. SÄ tÀnk om det Àr tjugoförsta Ärhundradet? Administratören ska ju trots allt arbeta, inte sitta pÄ sitt kontor.
Sedan började boomet av att bygga storskaliga datacenter. DÄ blev det tydligt att grÀnsen för utvecklingen av klassisk arkitektur hade nÄtts, inte bara vad gÀller driftsÀkerhet, feltolerans och skalbarhet. Och ett av alternativen för att lösa dessa problem var idén att bygga overlay-nÀtverk ovanpÄ en routad stamnÀtverk.
Dessutom, i takt med att nÀtverken blir allt större, har problemet med att hantera sÄdana fabriker blivit akut, vilket har lett till att programvarudefinierade nÀtverkslösningar med möjlighet att hantera hela nÀtverksinfrastrukturen som en enda enhet har börjat dyka upp. Och nÀr nÀtverket hanteras frÄn en enda punkt Àr det lÀttare för andra komponenter i IT-infrastrukturen att interagera med det, och sÄdana interaktionsprocesser Àr lÀttare att automatisera.
NÀstan alla större tillverkare av inte bara nÀtverksutrustning, utan Àven virtualisering, har alternativ för sÄdana lösningar i sin portfölj.
Det ÄterstÄr bara att lista ut vad som passar vilka behov. Till exempel, för sÀrskilt stora företag med ett bra team av utvecklare och operatörer, uppfyller inte leverantörernas fÀrdiga lösningar alltid alla behov, och de tar till att utveckla sina egna SD-lösningar (software defined). Det handlar till exempel om molnleverantörer som stÀndigt utökar utbudet av tjÀnster som erbjuds sina kunder, och fÀrdiga lösningar kan helt enkelt inte hÄlla jÀmna steg med deras behov.
För medelstora företag Àr funktionaliteten som leverantören erbjuder som en komplett lösning tillrÀcklig i 99 procent av fallen.
Vad Àr overlay-nÀtverk?
Vad Àr idén bakom overlay-nÀtverk? I grund och botten tar man ett klassiskt routat nÀtverk och bygger ett annat nÀtverk ovanpÄ det för att fÄ fler funktioner. Oftast talar vi om effektiv lastfördelning pÄ utrustning och kommunikationslinjer, en betydande ökning av skalbarhetsgrÀnser, ökad tillförlitlighet och en massa sÀkerhetsfördelar (pÄ grund av segmentering). Och SDN-lösningar utöver detta ger möjlighet till mycket, mycket, mycket bekvÀm flexibel administration och gör nÀtverket mer transparent för sina konsumenter.
Generellt sett, om lokala nÀtverk hade uppfunnits pÄ 2010-talet, skulle de ha sett helt annorlunda ut Àn vad vi Àrvde frÄn militÀren pÄ 1970-talet.
NÀr det gÀller tekniker för att bygga fabriker med hjÀlp av overlay-nÀtverk finns det för nÀrvarande mÄnga implementeringar av tillverkare och Internet RFC-projekt (EVPN+VXLAN, EVPN+MPLS, EVPN+MPLSoGRE, EVPN+Geneve med flera). Ja, det finns standarder, men implementeringen av dessa standarder av olika tillverkare kan skilja sig Ät, sÄ nÀr man skapar sÄdana fabriker Àr det bara möjligt i teorin pÄ pappret att helt överge leverantörslÄsningen.
Med SD-lösningar Àr det Ànnu mer komplicerat, varje leverantör har sin egen vision. Det finns helt öppna lösningar, som i teorin kan fÀrdigstÀllas av dig sjÀlv, och det finns helt slutna.
Cisco erbjuder sin egen version av SDN för datacenter â ACI. Naturligtvis Ă€r detta en 100 % leverantörslĂ„st lösning nĂ€r det gĂ€ller val av nĂ€tverksutrustning, men samtidigt Ă€r den helt integrerad med virtualisering, containerisering, sĂ€kerhet, orkestreringssystem, lastbalanserare etc. Men i grund och botten Ă€r det fortfarande en sorts svart lĂ„da, utan möjlighet att fĂ„ full Ă„tkomst till alla interna processer. Inte alla kunder Ă€r överens om detta alternativ, eftersom man Ă€r helt beroende av kvaliteten pĂ„ den skrivna lösningskoden och dess implementering, men Ă„ andra sidan har tillverkaren en av de bĂ€sta tekniska supporterna i vĂ€rlden och ett dedikerat team som endast arbetar med denna lösning. Cisco ACI valdes som lösning för det första projektet.
För det andra projektet valdes en Juniper-lösning. Tillverkaren har ocksÄ ett eget SDN för datacentret, men kunden beslutade att överge implementeringen av SDN. EVPN VXLAN-struktur utan anvÀndning av centraliserade styrenheter valdes som teknik för att bygga nÀtverket.
Vad Àr det till för?
Skapandet av en vĂ€v möjliggör konstruktionen av ett lĂ€tt skalbart, feltolerant och tillförlitligt nĂ€tverk. Leaf-spine-arkitekturen tar hĂ€nsyn till specifika egenskaper. ŃĐ”ĐœŃŃĐŸĐČ ĐŸĐ±ŃĐ°Đ±ĐŸŃĐșĐž ĐŽĐ°ĐœĐœŃŃ (trafikvĂ€gar, minimering av latens och flaskhalsar i nĂ€tverket). SD-lösningar i datacenter möjliggör mycket bekvĂ€m, snabb och flexibel hantering av en sĂ„dan fabrik och integrerar den i datacentrets ekosystem.
BÄda kunderna behövde bygga backup-datacenter för att sÀkerstÀlla feltolerans, och dessutom var trafiken mellan datacenter tvungen att krypteras.
Den första kunden hade redan övervÀgt fabric-fria lösningar som en möjlig standard för sina nÀtverk, men under tester hade de problem med STP-kompatibilitet mellan flera hÄrdvaruleverantörer. Driftstopp uppstod, vilket orsakade serviceavbrott. Och för kunden var detta avgörande.
Cisco var redan kundens företagsstandard, de tittade pÄ ACI och andra alternativ och bestÀmde sig för att det var vÀrt att vÀlja den hÀr lösningen. De gillade automatiseringen av styrning frÄn en knapp genom en enda kontroller. TjÀnster konfigureras snabbare och hanteras snabbare. De bestÀmde sig för att tillhandahÄlla trafikkryptering genom att köra MACSec mellan IPN- och SPINE-switchar. PÄ sÄ sÀtt lyckades de undvika en flaskhals i form av en kryptogateway, spara pengar och anvÀnda maximal bandbredd.
Den andra kunden valde en kontrollerlös lösning frÄn Juniper, eftersom deras befintliga datacenter redan hade en liten installation med implementeringen av EVPN VXLAN-strukturen. Men den var inte feltolerant dÀr (en switch anvÀndes). De beslutade att utöka infrastrukturen i huvuddatacentret och bygga en struktur i backup-datacentret. Den befintliga EVPN:n anvÀndes inte fullt ut: VXLAN-inkapsling anvÀndes inte i sjÀlva verket, eftersom alla vÀrdar var anslutna till en switch, och alla MAC-adresser och /32-adresser för vÀrdarna var lokala, samma switch var deras gateway, det fanns inga andra enheter dÀr det var nödvÀndigt att bygga VXLAN-tunnlar. De beslutade att tillhandahÄlla trafikkryptering med IPSEC-teknik mellan brandvÀggar (brandvÀggens prestanda var tillrÀcklig).
Vi provade Àven ACI, men bestÀmde oss för att pÄ grund av leverantörslÄset skulle vi behöva köpa för mycket hÄrdvara, inklusive att ersÀtta nyinköpt utrustning, och det Àr helt enkelt inte ekonomiskt vettigt. Ja, Cisco-fabriken integrerar med allt, men bara dess enheter Àr möjliga inuti sjÀlva fabriken.
Ă andra sidan, som de sa tidigare, kan man inte bara blanda EVPN VXLAN-fabriken med nĂ„gon nĂ€rliggande leverantör, eftersom protokollimplementeringarna Ă€r olika. Det Ă€r som att korsa Cisco och Huawei i ett nĂ€tverk â standarderna verkar vara desamma, men man fĂ„r dansa med en tamburin. Eftersom det hĂ€r Ă€r en bank, och kompatibilitetstester skulle ta lĂ„ng tid, bestĂ€mde vi oss för att det skulle vara bĂ€ttre att köpa samma leverantör nu, och inte bli för uppslukade av funktionalitet utöver grunderna.
Migrationsplan
TvÄ ACI-baserade datacenter:
Organisering av interaktion mellan datacenter. Multi-Pod-lösningen valdes â varje datacenter Ă€r en pod. Kraven pĂ„ skalning med antalet switchar och fördröjningar mellan poddar (RTT mindre Ă€n 50 ms) togs med i berĂ€kningen. Det beslutades att inte bygga en Multi-Site-lösning för enkel hantering (ett enda hanteringsgrĂ€nssnitt anvĂ€nds för Multi-Pod-lösningen, för Multi-Site skulle det finnas tvĂ„ grĂ€nssnitt, eller sĂ„ skulle Multi-Site Orchestrator krĂ€vas), och eftersom geografisk redundans för anlĂ€ggningar inte krĂ€vdes.
Ur synvinkel av migrering av tjÀnster frÄn Legacy-nÀtverket valdes det mest transparenta alternativet, att gradvis överföra VLAN motsvarande vissa tjÀnster.
För migreringen skapades en motsvarande EPG (End-point-group) för varje VLAN pÄ infrastrukturen. Först strÀcktes nÀtverket ut mellan det gamla nÀtverket och infrastrukturen via L2, sedan, efter att alla vÀrdar hade migrerat, flyttades gatewayen till infrastrukturen, och EPG:n interagerade med det befintliga nÀtverket via L3OUT, medan interaktionen mellan L3OUT och EPG beskrevs med hjÀlp av kontrakt. UngefÀrligt diagram:
Den ungefÀrliga strukturen för de flesta ACI-strukturpolicyer visas i figuren nedan. Hela upplÀgget Àr baserat pÄ policyer som Àr inbÀddade i andra policyer, och sÄ vidare. Till en början Àr det mycket svÄrt att förstÄ, men gradvis, som praktiken visar, vÀnjer sig nÀtverksadministratörer vid en sÄdan struktur pÄ ungefÀr en mÄnad, och först dÄ kommer en förstÄelse för hur bekvÀm den Àr.
jÀmförelse
Cisco ACI-lösningen krÀver inköp av mer utrustning (separata switchar för Inter-Pod-interaktion och APIC-styrenheter), vilket gör den dyrare. Juniper-lösningen krÀvde inte inköp av styrenheter och hjÀlputrustning; det var möjligt att delvis anvÀnda kundens befintliga utrustning.
HÀr Àr arkitekturen för EVPN VXLAN-strukturen för tvÄ datacenter i det andra projektet:
I ACI fĂ„r du en fĂ€rdig lösning â inget behov av att vĂ€lja, inget behov av att optimera. NĂ€r kunden först bekantar sig med fabriken behövs inga utvecklare, ingen supportpersonal för koden och automatisering behövs. Driften Ă€r enkel nog, mĂ„nga instĂ€llningar kan göras via guiden, vilket inte alltid Ă€r ett plus, sĂ€rskilt för personer som Ă€r vana vid kommandoraden. I vilket fall som helst tar det tid att bygga upp hjĂ€rnan pĂ„ nya rĂ€ls, pĂ„ instĂ€llningarnas sĂ€regenhet genom policyer och att hantera en mĂ€ngd kapslade policyer. Utöver detta Ă€r det mycket önskvĂ€rt att ha en tydlig struktur för att namnge policyer och objekt. Om nĂ„got problem uppstĂ„r i styrenhetens logik kan det bara lösas genom teknisk support.
I EVPN â konsol. Lida eller glĂ€djas. Bekant grĂ€nssnitt för den gamla garden. Ja, det finns en standardkonfiguration och guider. Du kommer att behöva röka mana. Olika designer, allt Ă€r tydligt och detaljerat.
Naturligtvis Ă€r det i bĂ„da fallen bĂ€ttre att migrera de minst kritiska tjĂ€nsterna först, sĂ„som testmiljöer, och först sedan, efter att ha upptĂ€ckt alla buggar, gĂ„ vidare till produktion. Och konfigurera inte pĂ„ fredag ââkvĂ€ll. Lita inte pĂ„ leverantören att allt kommer att gĂ„ bra, det Ă€r alltid bĂ€ttre att vara pĂ„ den sĂ€kra sidan.
Du betalar mer för ACI, Àven om Cisco för nÀrvarande aktivt marknadsför denna lösning och ofta ger bra rabatter pÄ den, men du sparar pÄ underhÄll och support. Hantering och all automatisering av en EVPN-struktur utan en styrenhet krÀver investeringar och regelbundna kostnader - övervakning, automatisering, implementering av nya tjÀnster. Samtidigt tar den initiala lanseringen av ACI 30-40 procent lÀngre tid. Detta hÀnder eftersom det tar lÀngre tid att skapa hela uppsÀttningen nödvÀndiga profiler och policyer som sedan ska anvÀndas. Men allt eftersom nÀtverket vÀxer minskar antalet nödvÀndiga konfigurationer. Du anvÀnder förskapade policyer, profiler, objekt. Du kan flexibelt konfigurera segmentering och sÀkerhet, centralt hantera kontrakt som ansvarar för att tillÄta vissa interaktioner mellan EPG:er - mÀngden arbete minskar kraftigt.
I EVPN mÄste du konfigurera varje enhet i fabriken, sannolikheten för fel Àr högre.
Om ACI Ă€r lĂ„ngsammare att implementera, tog det nĂ€stan dubbelt sĂ„ lĂ„ng tid att felsöka EVPN. Om du i Ciscos fall alltid kan ringa en supporttekniker och frĂ„ga om nĂ€tverket som helhet (eftersom det tĂ€cks som en lösning), sĂ„ köper du med Juniper Networks bara hĂ„rdvara, och den tĂ€cks specifikt. Har paket frĂ„n enheten försvunnit? Ja, okej, dĂ„ Ă€r det ditt problem. Men du kan öppna en frĂ„ga om valet av lösning eller nĂ€tverksdesign â och dĂ„ kommer de att rĂ„da dig att köpa en professionell tjĂ€nst, mot en extra avgift.
ACI-supporten Àr vÀldigt cool, eftersom den Àr separat: ett separat team sitter bara för detta. Det finns, inklusive rysktalande specialister. Guiden Àr detaljerad, lösningarna Àr förutbestÀmda. De tittar och ger rÄd. De validerar snabbt designen, vilket ofta Àr viktigt. Juniper Networks gör samma sak, men mycket lÄngsammare (vi hade det sÄ, nu borde det vara bÀttre enligt rykten), vilket tvingar dig att göra allt sjÀlv dÀr en lösningsingenjör kan ge rÄd.
Cisco ACI stöder integration med virtualiserings- och containersystem (VMware, Kubernetes, Hyper-V) och centraliserad hantering. Det finns nÀtverkstjÀnster och sÀkerhetstjÀnster - balansering, brandvÀggar, WAF, IPS, etc. Bra mikrosegmentering direkt ur lÄdan. I den andra lösningen sker integration med nÀtverkstjÀnster med en tamburin, och det Àr bÀttre att lÀsa forum med de som har gjort detta i förvÀg.
Totalt
För varje specifikt fall Àr det nödvÀndigt att vÀlja en lösning baserad inte bara pÄ kostnaden för utrustningen, utan ocksÄ att ta hÀnsyn till ytterligare driftskostnader och de huvudsakliga problem som kunden stÄr inför för nÀrvarande, samt vilka planer som finns för utveckling av IT-infrastrukturen.
ACI Àr dyrare pÄ grund av extra utrustning, men lösningen Àr fÀrdig utan behov av ytterligare modifieringar; den andra lösningen Àr mer komplex och dyrare i drift, men billigare.
Om ni vill diskutera hur mycket det kan kosta att implementera en nÀtverksstruktur hos olika leverantörer, och vilken arkitektur som behövs, kan vi trÀffas och prata. Vi ger er kostnadsfri rÄdgivning om arkitekturutkastet (med vilket ni kan berÀkna budgetar), detaljerad utveckling Àr givetvis betald.
Vladimir Klepche, företagsnÀtverk.
KĂ€lla: will.com
