Tathmini miunganisho katika sehemu ya kati ya mchoro. Tutarudi kwao hapa chini
Wakati fulani, unaweza kupata kwamba mitandao mikubwa, tata yenye msingi wa L2 ni wagonjwa mahututi. Awali ya yote, matatizo yanayohusiana na usindikaji wa trafiki ya BUM na uendeshaji wa itifaki ya STP. Pili, usanifu kwa ujumla ni wa kizamani. Hii husababisha shida zisizofurahi kwa namna ya wakati wa kupumzika na utunzaji usiofaa.
Tulikuwa na miradi miwili inayofanana, ambapo wateja walitathmini kwa uangalifu faida na hasara zote za chaguzi na kuchagua suluhisho mbili tofauti za uwekaji, na tukazitekeleza.
Kulikuwa na fursa ya kulinganisha utekelezaji. Sio unyonyaji; tunapaswa kuzungumza juu yake katika miaka miwili au mitatu.
Kwa hiyo, kitambaa cha mtandao na mitandao ya overlay na SDN ni nini?
Nini cha kufanya na shida kubwa za usanifu wa mtandao wa classical?
Kila mwaka teknolojia mpya na mawazo huonekana. Katika mazoezi, haja ya haraka ya kujenga upya mitandao haikutokea kwa muda mrefu kabisa, kwa sababu kufanya kila kitu kwa mkono kwa kutumia njia nzuri za zamani pia inawezekana. Kwa hivyo ni nini ikiwa ni karne ya ishirini na moja? Baada ya yote, msimamizi anapaswa kufanya kazi, na si kukaa katika ofisi yake.
Kisha kuongezeka kwa ujenzi wa vituo vya data kwa kiasi kikubwa kulianza. Kisha ikawa wazi kwamba kikomo cha maendeleo ya usanifu wa classical kilikuwa kimefikiwa, sio tu katika suala la utendaji, uvumilivu wa makosa, na scalability. Na moja ya chaguzi za kutatua shida hizi ilikuwa wazo la kujenga mitandao ya juu ya uti wa mgongo uliopitishwa.
Aidha, pamoja na kuongezeka kwa ukubwa wa mitandao, tatizo la kusimamia viwanda hivyo limekuwa kubwa, matokeo yake suluhu za mitandao zilizoainishwa na programu zilianza kuonekana zikiwa na uwezo wa kusimamia miundombinu yote ya mtandao kwa ujumla wake. Na wakati mtandao unasimamiwa kutoka kwa hatua moja, ni rahisi zaidi kwa vipengele vingine vya miundombinu ya IT kuingiliana nayo, na michakato hiyo ya mwingiliano ni rahisi kujiendesha.
Karibu kila mtengenezaji mkuu wa vifaa vya mtandao sio tu, lakini pia virtualization, ana chaguo kwa ufumbuzi huo katika kwingineko yake.
Kilichobaki ni kujua ni nini kinafaa kwa mahitaji gani. Kwa mfano, kwa makampuni makubwa hasa yenye timu nzuri ya maendeleo na uendeshaji, ufumbuzi wa vifurushi kutoka kwa wachuuzi sio daima kukidhi mahitaji yote, na wao huamua kuendeleza ufumbuzi wao wa SD (programu iliyofafanuliwa). Kwa mfano, hawa ni watoa huduma za wingu ambao daima wanapanua huduma mbalimbali zinazotolewa kwa wateja wao, na ufumbuzi uliowekwa kwenye vifurushi hauwezi kukidhi mahitaji yao.
Kwa makampuni ya ukubwa wa kati, utendaji unaotolewa na muuzaji kwa namna ya suluhisho la sanduku ni wa kutosha katika asilimia 99 ya kesi.
Mitandao ya overlay ni nini?
Je, ni wazo gani nyuma ya mitandao inayowekelea? Kimsingi, unachukua mtandao wa kawaida unaoendeshwa na uunda mtandao mwingine juu yake ili kupata vipengele zaidi. Mara nyingi, tunazungumza juu ya kusambaza kwa ufanisi mzigo kwenye vifaa na mistari ya mawasiliano, kuongeza kwa kiasi kikubwa kikomo cha kuongezeka, kuongeza kuegemea na rundo la vitu vya usalama (kwa sababu ya mgawanyiko). Na ufumbuzi wa SDN, pamoja na hili, hutoa fursa kwa utawala rahisi sana, rahisi sana na kufanya mtandao kuwa wazi zaidi kwa watumiaji wake.
Kwa ujumla, kama mitandao ya ndani ingevumbuliwa miaka ya 2010, ingeonekana kuwa tofauti sana na ile tuliyorithi kutoka kwa jeshi katika miaka ya 1970.
Kwa upande wa teknolojia za kujenga vitambaa kwa kutumia mitandao ya ufunikaji, kwa sasa kuna utekelezaji mwingi wa wauzaji na miradi ya RFC ya Mtandao (EVPN+VXLAN, EVPN+MPLS, EVPN+MPLSoGRE, EVPN+Geneve na wengine). Ndiyo, kuna viwango, lakini utekelezaji wa viwango hivi na wazalishaji tofauti unaweza kutofautiana, hivyo wakati wa kuunda viwanda vile, bado inawezekana kuacha kabisa kufuli kwa muuzaji tu kwa nadharia kwenye karatasi.
Kwa suluhisho la SD, mambo yanachanganya zaidi; kila muuzaji ana maono yake mwenyewe. Kuna ufumbuzi wazi kabisa ambao, kwa nadharia, unaweza kujikamilisha mwenyewe, na kuna zimefungwa kabisa.
Cisco inatoa toleo lake la SDN kwa vituo vya data - ACI. Kwa kawaida, hii ni suluhisho la 100% la kufungwa kwa muuzaji katika suala la kuchagua vifaa vya mtandao, lakini wakati huo huo inaunganishwa kikamilifu na mifumo ya virtualization, vyombo, usalama, orchestration, mizani ya mizigo, nk Lakini kwa asili, bado ni aina ya sanduku nyeusi, bila uwezekano wa upatikanaji kamili wa michakato yote ya ndani. Sio wateja wote wanaokubali chaguo hili, kwa kuwa unategemea kabisa ubora wa msimbo wa ufumbuzi ulioandikwa na utekelezaji wake, lakini kwa upande mwingine, mtengenezaji ana moja ya msaada bora wa kiufundi duniani na ana timu ya kujitolea iliyojitolea tu. kwa suluhisho hili. Cisco ACI ilichaguliwa kama suluhisho la mradi wa kwanza.
Kwa mradi wa pili, suluhisho la Juniper lilichaguliwa. Mtengenezaji pia ana SDN yake kwa kituo cha data, lakini mteja aliamua kutotekeleza SDN. Kitambaa cha EVPN VXLAN bila matumizi ya vidhibiti vya kati kilichaguliwa kuwa teknolojia ya ujenzi wa mtandao.
Ni ya nini
Kuunda kiwanda hukuruhusu kuunda mtandao unaoweza kuongezeka kwa urahisi, usio na makosa na unaotegemewa. Usanifu (jani-mgongo) huzingatia sifa za vituo vya data (njia za trafiki, kupunguza ucheleweshaji na vikwazo kwenye mtandao). Masuluhisho ya SD katika vituo vya data hukuruhusu kudhibiti kiwanda kama hicho kwa urahisi sana, haraka na kwa urahisi na kukiunganisha kwenye mfumo ikolojia wa kituo cha data.
Wateja wote wawili walihitaji kujenga vituo vya data visivyohitajika ili kuhakikisha uvumilivu wa makosa, na zaidi ya hayo, trafiki kati ya vituo vya data ilibidi kusimba.
Mteja wa kwanza alikuwa tayari anazingatia masuluhisho yasiyo ya kitambaa kama kiwango kinachowezekana kwa mitandao yao, lakini katika majaribio walikuwa na matatizo na utangamano wa STP kati ya wachuuzi kadhaa wa maunzi. Kulikuwa na nyakati ambazo zilisababisha huduma kukatika. Na kwa mteja hii ilikuwa muhimu.
Cisco ilikuwa tayari kiwango cha ushirika cha mteja, waliangalia ACI na chaguzi zingine na wakaamua kuwa inafaa kuchukua suluhisho hili. Nilipenda otomatiki ya udhibiti kutoka kwa kitufe kimoja kupitia kidhibiti kimoja. Huduma husanidiwa haraka na kudhibitiwa haraka. Tuliamua kuhakikisha usimbaji fiche wa trafiki kwa kuendesha MACSec kati ya swichi za IPN na SPINE. Kwa hivyo, tuliweza kuzuia kizuizi kwa namna ya lango la crypto, kuokoa juu yao na kutumia bandwidth ya juu.
Mteja wa pili alichagua suluhisho lisilo na udhibiti kutoka kwa Juniper kwa sababu kituo chao cha data kilichopo tayari kilikuwa na usakinishaji mdogo wa kutekeleza kitambaa cha EVPN VXLAN. Lakini huko haikuwa na uvumilivu wa makosa (swichi moja ilitumiwa). Tuliamua kupanua miundombinu ya kituo kikuu cha data na kujenga kiwanda katika kituo cha hifadhi data. EVPN iliyopo haikutumiwa kikamilifu: Ufungaji wa VXLAN haukutumiwa kwa kweli, kwani wapangishaji wote waliunganishwa kwa swichi moja, na anwani zote za MAC na / anwani za mwenyeji 32 zilikuwa za kawaida, lango lao lilikuwa swichi sawa, hakukuwa na vifaa vingine. , ambapo ilikuwa ni lazima kujenga vichuguu vya VXLAN. Waliamua kuhakikisha usimbaji fiche wa trafiki kwa kutumia teknolojia ya IPSEC kati ya ukuta wa moto (utendaji wa firewall ulikuwa wa kutosha).
Pia walijaribu ACI, lakini waliamua kwamba kwa sababu ya kufuli kwa muuzaji, watalazimika kununua vifaa vingi, pamoja na kuchukua nafasi ya vifaa vipya vilivyonunuliwa hivi karibuni, na haikuwa na maana ya kiuchumi. Ndiyo, kitambaa cha Cisco kinaunganishwa na kila kitu, lakini vifaa vyake tu vinawezekana ndani ya kitambaa yenyewe.
Kwa upande mwingine, kama tulivyosema hapo awali, huwezi tu kuchanganya kitambaa cha EVPN VXLAN na muuzaji yeyote wa jirani, kwa sababu utekelezaji wa itifaki ni tofauti. Ni kama kuvuka Cisco na Huawei katika mtandao mmoja - inaonekana kama viwango ni vya kawaida, lakini itabidi ucheze na tari. Kwa kuwa hii ni benki, na vipimo vya utangamano vitakuwa vya muda mrefu sana, tuliamua kuwa ni bora kununua kutoka kwa muuzaji sawa sasa, na sio kubebwa sana na utendaji zaidi ya zile za msingi.
Mpango wa uhamiaji
Vituo viwili vya data vya ACI:
Shirika la mwingiliano kati ya vituo vya data. Suluhisho la Multi-Pod lilichaguliwa - kila kituo cha data ni ganda. Mahitaji ya kuongeza kwa idadi ya swichi na ucheleweshaji kati ya maganda (RTT chini ya 50 ms) huzingatiwa. Iliamuliwa kutounda suluhisho la Tovuti nyingi kwa urahisi wa usimamizi (suluhisho la Multi-Pod hutumia kiolesura kimoja cha usimamizi, Tovuti nyingi ingekuwa na miingiliano miwili, au ingehitaji Orchestrator ya Tovuti nyingi), na kwa kuwa hakuna kijiografia. uhifadhi wa tovuti ulihitajika.
Kutoka kwa mtazamo wa huduma zinazohamia kutoka kwa mtandao wa Urithi, chaguo la uwazi zaidi lilichaguliwa, hatua kwa hatua kuhamisha VLAN sambamba na huduma fulani.
Kwa uhamiaji, EPG inayolingana (End-point-group) iliundwa kwa kila VLAN kwenye kiwanda. Kwanza, mtandao uliwekwa kati ya mtandao wa zamani na kitambaa juu ya L2, kisha baada ya majeshi yote kuhamishwa, lango lilihamishwa kwenye kitambaa, na EPG iliingiliana na mtandao uliopo kupitia L3OUT, wakati mwingiliano kati ya L3OUT na EPG. ilielezwa kwa kutumia mikataba. Mchoro wa takriban:
Mfano wa muundo wa sera nyingi za kiwanda cha ACI umeonyeshwa kwenye kielelezo kilicho hapa chini. Usanidi mzima unategemea sera zilizowekwa ndani ya sera zingine na kadhalika. Mwanzoni ni ngumu sana kuijua, lakini polepole, kama inavyoonyesha mazoezi, wasimamizi wa mtandao huzoea muundo huu kwa karibu mwezi, halafu wanaanza tu kuelewa jinsi inavyofaa.
Kulinganisha
Katika suluhisho la Cisco ACI, unahitaji kununua vifaa zaidi (swichi tofauti za mwingiliano wa Inter-Pod na watawala wa APIC), ambayo inafanya kuwa ghali zaidi. Suluhisho la juniper halikuhitaji ununuzi wa watawala au vifaa; Iliwezekana kutumia sehemu ya vifaa vya mteja vilivyopo.
Hapa kuna usanifu wa kitambaa cha EVPN VXLAN kwa vituo viwili vya data vya mradi wa pili:
Ukiwa na ACI unapata suluhisho lililotengenezwa tayari - hakuna haja ya kuchezea, hakuna haja ya kuongeza. Wakati wa kufahamiana kwa awali kwa mteja na kiwanda, hakuna watengenezaji wanaohitajika, hakuna watu wanaounga mkono wanaohitajika kwa msimbo na otomatiki. Ni rahisi kutumia; mipangilio mingi inaweza kufanywa kupitia mchawi, ambayo sio nyongeza kila wakati, haswa kwa watu waliozoea safu ya amri. Kwa vyovyote vile, inachukua muda kujenga upya ubongo kwenye nyimbo mpya, kwa upekee wa mipangilio kupitia sera na kufanya kazi na sera nyingi zilizowekwa. Mbali na hayo, ni yenye kuhitajika kuwa na muundo wazi wa kutaja sera na vitu. Ikiwa tatizo lolote linatokea katika mantiki ya mtawala, inaweza kutatuliwa tu kwa msaada wa kiufundi.
Katika EVPN - console. Kuteseka au kufurahi. Kiolesura kinachojulikana kwa walinzi wa zamani. Ndio, kuna usanidi wa kawaida na miongozo. Itabidi uvute sigara mana. Miundo tofauti, kila kitu ni wazi na kina.
Kwa kawaida, katika hali zote mbili, wakati wa kuhama, ni bora kwanza kuhamia sio huduma muhimu zaidi, kwa mfano, mazingira ya mtihani, na kisha tu, baada ya kukamata mende zote, kuendelea na uzalishaji. Na usiingilie Ijumaa usiku. Haupaswi kumwamini muuzaji kwamba kila kitu kitakuwa sawa, ni bora kuicheza salama kila wakati.
Unalipa zaidi kwa ACI, ingawa Cisco kwa sasa inatangaza kikamilifu suluhisho hili na mara nyingi hutoa punguzo nzuri juu yake, lakini unaokoa kwa matengenezo. Usimamizi na otomatiki yoyote ya kiwanda cha EVPN bila mtawala inahitaji uwekezaji na gharama za kawaida - ufuatiliaji, otomatiki, utekelezaji wa huduma mpya. Wakati huo huo, uzinduzi wa awali katika ACI huchukua asilimia 30-40 zaidi. Hii hutokea kwa sababu inachukua muda mrefu kuunda seti nzima ya wasifu na sera muhimu ambazo zitatumika. Lakini kadiri mtandao unavyokua, idadi ya usanidi unaohitajika hupungua. Unatumia sera zilizoundwa awali, wasifu, vitu. Unaweza kusanidi sehemu na usalama kwa urahisi, kudhibiti mikataba ya serikali kuu ambayo ina jukumu la kuruhusu mwingiliano fulani kati ya EPGs - kiasi cha kazi hupungua sana.
Katika EVPN, unahitaji kusanidi kila kifaa kwenye kiwanda, uwezekano wa makosa ni mkubwa zaidi.
Wakati ACI ilikuwa polepole kutekeleza, EVPN ilichukua karibu mara mbili kwa muda mrefu kutatua. Ikiwa katika kesi ya Cisco unaweza kumwita mhandisi wa usaidizi kila wakati na kuuliza juu ya mtandao kwa ujumla (kwa sababu imefunikwa kama suluhisho), basi kutoka kwa Mitandao ya Juniper unununua vifaa tu, na ndivyo inavyofunikwa. Je, vifurushi vimeacha kifaa? Sawa, basi shida zako. Lakini unaweza kufungua swali kuhusu uchaguzi wa suluhisho au muundo wa mtandao - na kisha watakushauri kununua huduma ya kitaaluma, kwa ada ya ziada.
Usaidizi wa ACI ni mzuri sana, kwa sababu ni tofauti: timu tofauti inakaa kwa hili tu. Pia kuna wataalamu wanaozungumza Kirusi. Mwongozo ni wa kina, suluhisho zimepangwa mapema. Wanaangalia na kushauri. Wao haraka kuthibitisha kubuni, ambayo mara nyingi ni muhimu. Mitandao ya Juniper hufanya vivyo hivyo, lakini polepole zaidi (tulikuwa na hii, sasa inapaswa kuwa bora kulingana na uvumi), ambayo inakulazimisha kufanya kila kitu mwenyewe ambapo mhandisi wa suluhisho angeweza kushauri.
Cisco ACI inasaidia ujumuishaji na mifumo ya uboreshaji na uwekaji vyombo (VMware, Kubernetes, Hyper-V) na usimamizi wa kati. Inapatikana kwa mtandao na huduma za usalama - kusawazisha, ngome, WAF, IPS, n.k... Sehemu ndogo nzuri nje ya boksi. Katika suluhisho la pili, ushirikiano na huduma za mtandao ni upepo, na ni bora kujadili vikao mapema na wale ambao wamefanya hili.
Jumla ya
Kwa kila kesi maalum, ni muhimu kuchagua suluhisho, si tu kwa kuzingatia gharama ya vifaa, lakini pia ni muhimu kuzingatia gharama zaidi za uendeshaji na matatizo makuu ambayo mteja anakabiliwa na sasa, na ni mipango gani huko. ni kwa ajili ya maendeleo ya miundombinu ya IT.
ACI, kwa sababu ya vifaa vya ziada, ilikuwa ghali zaidi, lakini suluhisho limetengenezwa tayari bila hitaji la kumaliza ziada; suluhisho la pili ni ngumu zaidi na la gharama kubwa katika suala la operesheni, lakini ni nafuu.
Ikiwa unataka kujadili ni kiasi gani kinaweza gharama kutekeleza kitambaa cha mtandao kwa wachuuzi tofauti, na ni aina gani ya usanifu inahitajika, unaweza kukutana na kuzungumza. Tutakushauri bila malipo mpaka upate mchoro mbaya wa usanifu (ambayo unaweza kuhesabu bajeti), ufafanuzi wa kina, bila shaka, tayari umelipwa.
Vladimir Klepche, mitandao ya ushirika.
Chanzo: mapenzi.com