ProHoster > blog > Utawala > Miundombinu mpya ya IT kwa kituo cha data cha Posta cha Urusi

Miundombinu mpya ya IT kwa kituo cha data cha Posta cha Urusi

Nina hakika kwamba wasomaji wote wa Habr angalau mara moja wameagiza bidhaa kutoka kwa maduka ya mtandaoni nje ya nchi na kisha kwenda kupokea vifurushi kwenye Ofisi ya Posta ya Urusi. Je, unaweza kufikiria ukubwa wa kazi hii, kutoka kwa mtazamo wa kuandaa vifaa? Kuzidisha idadi ya wanunuzi kwa idadi ya ununuzi wao, fikiria ramani ya nchi yetu kubwa, na juu yake kuna ofisi za posta zaidi ya elfu 40 ... Kwa njia, mwaka wa 2018, Post ya Kirusi ilisindika vifurushi vya kimataifa milioni 345.

Katika makala hii tutakuambia ni masuala gani ambayo Pochta alikabiliana nayo na jinsi timu ya Ushirikiano wa LANIT ilivyotatua, na kuunda miundombinu mpya ya IT kwa vituo vya data.

Miundombinu mpya ya IT kwa kituo cha data cha Posta cha UrusiMoja ya vituo vya kisasa vya vifaa vya Posta ya Urusi
 

Kabla ya mradi

Kutokana na ongezeko kubwa la idadi ya vifurushi kutoka kwa maduka ya kigeni nchini China, Ulaya Magharibi na Amerika ya Kaskazini, mzigo kwenye vifaa vya vifaa vya Post ya Kirusi imeongezeka. Kwa hiyo, vituo vya vifaa vya kizazi kipya vilijengwa, ambavyo vinatumia mashine za kuchagua za utendaji wa juu. Wanahitaji msaada kutoka kwa miundombinu ya kompyuta.

Miundombinu ya kituo cha data ilikuwa imepitwa na wakati na haikutoa utendaji unaohitajika na kuegemea katika uendeshaji wa mifumo ya habari ya biashara. Pia, Chapisho la Urusi lilipata ukosefu wa nguvu ya kompyuta kuzindua huduma mpya.
 

Vituo vya data vya wateja na shida zao

Vituo vya data vya Posta vya Urusi hutumikia zaidi ya vifaa 40 na idara 000 za eneo. Vituo vya data vinaendesha huduma nyingi za biashara 85/XNUMX, zikiwemo huduma za biashara ya mtandaoni.

Leo, makampuni ya biashara hutumia mifumo ya kuhifadhi, kuchambua na kuchakata data kubwa. Kwa mifumo kama hii, utumiaji wa akili bandia na kanuni za ujifunzaji za mashine huchukua jukumu muhimu. Leo, mojawapo ya kesi muhimu zaidi kwa biashara ni kuboresha usimamizi wa mtiririko wa vifaa na kuongeza kasi ya huduma kwa wateja katika ofisi za posta.

Kabla ya kuanza kwa mradi wa kisasa, kulikuwa na karibu mashine 3000 za kawaida katika vituo kuu na vya kuhifadhi data, kiasi cha habari iliyohifadhiwa ilizidi petabytes 2. Vituo vya data vilikuwa na muundo changamano wa uelekezaji wa trafiki unaohusishwa na mgawanyiko katika sehemu mbalimbali kulingana na viwango vya usalama.

Pamoja na maendeleo ya maombi na kuanzishwa kwa huduma mpya, bandwidth iliyopo ya vifaa vya mtandao katika vituo vya data imekuwa haitoshi. Mpito kwa miingiliano yenye kasi mpya ilihitajika: 10 Gbit/s, badala ya 1 Gbit/s kwenye ufikiaji na 40 Gbit/s katika kiwango cha msingi, na upungufu kamili wa vifaa na njia za mawasiliano.

Idara ya usalama wa habari ilipokea hitaji la kugawanya miundombinu katika sehemu na kiwango cha juu cha usalama wa habari wa trafiki na maombi (PN - Mtandao wa Kibinafsi na DMZ - Eneo lisilo na Jeshi). Trafiki ilipitia ngome (FWUs) ambazo hazikuhitaji kuchujwa. VRF kwenye swichi haikutumika kwa trafiki hii. Sheria kwenye ngome hazikuwa bora (makumi ya maelfu ya sheria katika kila kituo cha data).

Uhamishaji wa mashine pepe (VMs) kati ya vituo vya data huku ukidumisha anwani ya IP na njia bora ya trafiki kati ya sehemu, ikijumuisha mtandao wa data wa shirika (CDN), haukuwezekana.

MSTP ilitumiwa kuhifadhi nakala; baadhi ya milango ilizuiwa (kusubiri moto). Swichi za msingi na ufikiaji hazikuunganishwa kuwa nguzo ya kushindwa, na mkusanyiko wa kiolesura (LAG) haukutumika.

Pamoja na ujio wa kituo cha tatu cha data, usanifu mpya na usanidi wa vifaa ulihitajika ili kuendesha pete kati ya vituo vya data (EVPN ilipendekezwa).

Hakukuwa na dhana ya umoja kwa ajili ya maendeleo ya vituo vya data, kumbukumbu katika mfumo wa mradi na kukubaliana na idara zote za mteja. Hati za sasa za uendeshaji wa mtandao hazijakamilika na zimepitwa na wakati.
 

Matarajio ya Wateja

Timu ya mradi ilikabiliwa na kazi zifuatazo:

  • kuandaa dhana ya usanifu na maendeleo kwa ajili ya kujenga mtandao na miundombinu ya seva ya kituo cha tatu cha data;
  • kufanya ukaguzi wa uendeshaji wa mtandao uliopo wa mteja;
  • kupanua uwezo wa msingi wa mtandao kwa zaidi ya bandari 1500 10/40 Gbit/s Ethaneti katika kila kituo cha data (bandari 4500 kwa jumla);
  • hakikisha utendakazi wa pete kati ya vituo vitatu vya data na uwezo wa kuongeza kasi hadi 80 Gbit/s katika kila sehemu ili kuchanganya rasilimali za kompyuta za mteja kutoka kwa vituo tofauti vya data kwenye mfumo mmoja wa IT;
  • kutoa hifadhi ya 100% ya vipengele vyote vya mtandao ili kufikia lengo la Uptime katika kiwango cha 99,995%;
  • kupunguza ucheleweshaji wa trafiki kati ya mashine pepe ili kuharakisha maombi ya biashara;
  • kukusanya takwimu, kufanya uchambuzi na kutekeleza uboreshaji unaofuata wa sheria za uchujaji wa trafiki katika vituo vya data (mwanzoni kulikuwa na sheria 80);
  • tengeneza usanifu lengwa ili kuhakikisha uhamishaji usio na mshono wa maombi muhimu ya biashara ya mteja hadi kituo chochote cha data kati ya hivyo vitatu.

Kwa hivyo tulikuwa na kitu cha kufanyia kazi.

Оборудование

Wacha tuangalie kwa karibu ni vifaa gani tulivyotumia katika mradi huo.

Firewall (NGWF) USG9560:

  • mgawanyiko na VSYS;
  • hadi 720 Gbps;
  • hadi vikao milioni 720 kwa wakati mmoja;
  • 8 nafasi.

Miundombinu mpya ya IT kwa kituo cha data cha Posta cha Urusi 
Njia ya NE40E-X8:

  • hadi 7,08 Tbit/s Uwezo wa Kubadilisha;
  • hadi Utendaji wa Usambazaji wa Mpps 2,880;
  • Nafasi 8 za kadi za mstari (LPU);
  • hadi 10M BGP IPv4 njia kwa kila MPU;
  • hadi njia 1500K OSPF IPv4 kwa kila MPU;
  • hadi 3000K - IPv4 FIB (kulingana na LPU).

Miundombinu mpya ya IT kwa kituo cha data cha Posta cha Urusi
Swichi za Mfululizo wa CE12800:

  • Uboreshaji wa Kifaa: VS (1:16 virtualization), Mfumo wa Kubadilisha Nguzo (CSS), Super Virtual Fabric (SVF);
  • Uboreshaji wa Mtandao: M-LAG, TRILL, VXLAN na VXLAN bridging, QinQ katika VXLAN, EVN (Ethernet Virtual Network);
  • kuanzia VRP V2, usaidizi wa EVPN umejumuishwa;
  • M-LAG – analog ya vPC (virtual Port Channel) kwa Cisco Nexus;
  • Itifaki ya Mti wa Kuruka (VSTP) - Inapatana na Cisco PVST.

CE12804

Miundombinu mpya ya IT kwa kituo cha data cha Posta cha Urusi
CE12808

Miundombinu mpya ya IT kwa kituo cha data cha Posta cha Urusi

Programu

Katika mradi tulitumia:

  • Kubadilisha faili za usanidi wa firewall kutoka kwa wachuuzi wengine hadi muundo wa amri kwa vifaa vipya;
  • hati miliki za kuboresha na kubadilisha usanidi wa ngome.

Miundombinu mpya ya IT kwa kituo cha data cha Posta cha UrusiMuonekano wa kibadilishaji cha kubadilisha faili za usanidi
 
Miundombinu mpya ya IT kwa kituo cha data cha Posta cha UrusiMpango wa kuandaa mawasiliano kati ya vituo vya data (EVPN VXLAN)
 

Nuances ya kuanzisha vifaa

CE12808
 

  • EVPN (ya kawaida) badala ya EVN (wamiliki wa Huawei) kwa mawasiliano kati ya vituo vya data:

    ○ L2 juu ya L3 kwa kutumia iBGP katika ndege ya Kudhibiti;
    ○ Mafunzo ya MAC na tangazo lao kupitia familia ya iBGP EVPN (njia za MAC, aina ya 2);
    ○ ujenzi wa kiotomatiki wa vichuguu vya VXLAN vya utangazaji / trafiki isiyojulikana isiyojulikana (Njia za Multicast Zilizojumuishwa, aina ya 3).

  • Njia mbili za mgawanyiko kwenye VS:

    ○ kulingana na milango (mlango wa hali ya bandari) au kulingana na ASIC (kikundi cha hali ya bandari, onyesha ramani ya mlango wa kifaa);
    ○ kiolesura cha vipimo vya mgawanyiko wa mlango 40GE hufanya kazi PEKEE katika Msimamizi VS (bila kujali hali ya lango).

US9560
 

  • uwezekano wa mgawanyiko na VSYS,
  • Uelekezaji wa nguvu na uvujaji wa njia hauwezekani kati ya VSYS!

CE12804
 
GW Yote Inayotumika (VRRP Master/Master/Master) yenye uchujaji wa MAC VRRP kati ya vituo vya data
 
acl number 4000
  rule 5 deny source-mac 0000-5e00-0100 ffff-ffff-ff00
  rule 10 deny destination-mac 0000-5e00-0100 ffff-ffff-ff00
  rule 15 permit
 
interface Eth-Trunk1
  traffic-filter acl 4000 outbound

Miundombinu mpya ya IT kwa kituo cha data cha Posta cha UrusiMpango wa mwingiliano wa rasilimali kati ya vituo vya data (VXLAN EVPN na GW Yote Inayotumika)
 

Ugumu wa mradi

Shida kuu ilikuwa hitaji la kucheleza programu zilizopo kwa kutumia miundombinu ya kompyuta. Mteja alikuwa na zaidi ya maombi 100 tofauti, baadhi yake yaliandikwa karibu miaka 10 iliyopita. Kwa mfano, ikiwa kwa Yandex unaweza kuzima kwa urahisi mashine mia kadhaa bila madhara kwa watumiaji wa mwisho, basi katika Chapisho la Kirusi mbinu hiyo ingehitaji maendeleo ya idadi ya maombi kutoka mwanzo na mabadiliko katika usanifu wa mifumo ya habari ya biashara. Tulitatua matatizo yaliyotokea wakati wa mchakato wa uhamiaji na uboreshaji katika hatua ya ukaguzi wa pamoja wa miundombinu ya kompyuta. Teknolojia zote za mtandao mpya kwa biashara (kama vile EVPN) zimefanyiwa majaribio ya awali katika maabara.
 

Matokeo ya mradi

Timu ya mradi ilijumuisha wataalamu "LANIT-Ushirikiano", mteja na washirika wake katika uendeshaji wa miundombinu ya kompyuta. Timu zilizojitolea za usaidizi kutoka kwa wachuuzi (Check Point na Huawei) pia ziliundwa. Mradi huo ulichukua miaka miwili. Hivi ndivyo ilifanyika wakati huu.

  • Mkakati wa uundaji wa mtandao wa vituo vya data, Mtandao wa Data wa Biashara (CDTN) na uunganisho kati ya vituo vya data umeandaliwa na kukubaliana na idara zote za mteja.
  • Upatikanaji wa huduma umeongezeka. Hili lilibainishwa na biashara ya mteja na kusababisha ongezeko kubwa zaidi la trafiki kutokana na kuanzishwa kwa huduma mpya.
  • Zaidi ya sheria 40 zimehamishwa na kuboreshwa kutoka FWSM/ASA hadi USG 000. Miktadha tofauti ya ASA kwenye UGG 9560 imeunganishwa kuwa sera moja ya usalama.
  • Usambazaji wa bandari za kituo cha data umeongezwa kutoka 1G hadi 10/40G kupitia matumizi ya CE12800/CE6850. Hii ilifanya iwezekanavyo kuondokana na overloads ya interface na kupoteza pakiti.
  • Vipanga njia vya daraja la watoa huduma NE40E-X8 vilishughulikia kikamilifu mahitaji ya kituo cha data cha mteja na kituo cha kuhamisha data, kwa kuzingatia maendeleo ya biashara ya siku zijazo.
  • Maombi nane ya Vipengele vipya yameombwa kwa USG 9560. Kati ya haya, saba tayari yametekelezwa na yamejumuishwa katika toleo la sasa la VRP. 1 FR - kwa ajili ya utekelezaji katika Huawei R&D. Hili ni nguzo ya chessis nane yenye uwezo wa kusanidi utendakazi muhimu kwa ulandanishi wa usanidi bila usawazishaji wa kipindi. Inahitajika ikiwa ucheleweshaji wa trafiki kwa moja ya vituo vya data ni kubwa sana (Adler - Moscow 1300 km kando ya njia kuu na kilomita 2800 kando ya njia ya hifadhi).

Mradi huo hauna analogues ikilinganishwa na kampuni zingine za posta za Urusi.

Uboreshaji wa miundombinu ya mtandao wa vituo vya data umefungua fursa mpya kwa biashara kukuza huduma za kidijitali.

  • Kutoa akaunti ya kibinafsi na maombi ya simu kwa watu binafsi na vyombo vya kisheria.
  • Kuunganishwa na maduka ya kielektroniki ili kutoa huduma za utoaji wa bidhaa.
  • Utimilifu - uhifadhi wa bidhaa, uundaji na utoaji wa maagizo kutoka kwa maduka ya elektroniki.
  • Kupanua vituo vya kuchukua ili, ikiwa ni pamoja na kutumia mitandao ya washirika.
  • Mtiririko wa hati muhimu kisheria na wenzao. Hii itaondoa utumaji polepole na wa gharama kubwa wa hati za karatasi.
  • Kukubalika kwa barua zilizosajiliwa kwa fomu ya elektroniki na uwasilishaji kwa njia ya kielektroniki na ya karatasi (pamoja na uchapishaji wa vitu karibu iwezekanavyo na mpokeaji wa mwisho). Huduma ya barua zilizosajiliwa za kielektroniki kwenye portal ya huduma za umma.
  • Jukwaa la kutoa huduma za telemedicine.
  • Mapokezi yaliyorahisishwa na uwasilishaji rahisi wa barua iliyosajiliwa kwa kutumia saini rahisi ya kielektroniki.
  • Uwekaji dijitali wa mtandao wa ofisi ya posta.
  • Upyaji wa huduma za kujitegemea (vituo na vituo vya vifurushi).
  • Uundaji wa jukwaa la kidijitali la kudhibiti huduma ya msafirishaji na programu mpya ya simu ya mkononi kwa wateja wa huduma ya wasafirishaji.

Njoo ufanye kazi nasi!

Chanzo: mapenzi.com

Kuongeza maoni