ProHoster > Blog > Pangangasiwa > Bagong IT infrastructure para sa Russian Post data center

Bagong IT infrastructure para sa Russian Post data center

Sigurado ako na ang lahat ng mga mambabasa ng Habr ay nag-order man lang ng mga kalakal sa mga online na tindahan sa ibang bansa at pagkatapos ay pumunta upang makatanggap ng mga parsela sa Russian Post office. Naiisip mo ba ang sukat ng gawaing ito sa mga tuntunin ng pag-aayos ng logistik? I-multiply ang bilang ng mga mamimili sa bilang ng kanilang mga pagbili, isipin ang isang mapa ng ating malawak na bansa, at dito - higit sa 40 libong mga post office ... Sa pamamagitan ng paraan, noong 2018, ang Russian Post ay nagproseso ng 345 milyong internasyonal na mga parsela.

Sa artikulong ito, sasabihin namin sa iyo kung anong mga isyu ang kinaharap ng Post at kung paano nalutas ang mga ito ng LANIT-Integration team, na lumilikha ng bagong imprastraktura ng IT para sa mga data center.

Bagong IT infrastructure para sa Russian Post data centerIsa sa mga modernong sentro ng logistik ng Russian Post
 

Bago ang proyekto

Dahil sa isang matalim na pagtaas sa bilang ng mga parsela mula sa mga dayuhang tindahan sa China, Kanlurang Europa at Hilagang Amerika, ang pagkarga sa mga pasilidad ng logistik ng Russian Post ay tumaas. Samakatuwid, ang isang bagong henerasyon ng mga sentro ng logistik ay itinayo, na gumagamit ng mga makinang pang-uuri na may mataas na kapasidad. Nangangailangan sila ng suporta mula sa imprastraktura ng computing.

Ang imprastraktura ng data center ay hindi napapanahon at hindi nagbigay ng kinakailangang pagganap at pagiging maaasahan sa pagpapatakbo ng mga sistema ng impormasyon ng enterprise. Gayundin, ang Russian Post ay nakaranas ng kakulangan ng kapangyarihan sa pag-compute para maglunsad ng mga bagong serbisyo.
 

Mga sentro ng data ng customer at ang kanilang mga problema

Ang mga sentro ng data ng Russian Post ay naghahatid ng higit sa 40 mga bagay, 000 na mga tanggapan ng teritoryo. Dose-dosenang mga round-the-clock na serbisyo sa negosyo ang nagpapatakbo sa mga data center, kabilang ang mga serbisyong e-commerce.

Sa ngayon, ang enterprise ay gumagamit ng mga system para sa pag-iimbak, pagsusuri at pagproseso ng malaking data. Para sa mga ganitong sistema, ang paggamit ng artificial intelligence at machine learning algorithm ay may mahalagang papel. Sa ngayon, ang isa sa pinakamahalagang kaso para sa negosyo ay ang pag-optimize ng pamamahala ng daloy ng logistik at ang pagpapabilis ng serbisyo sa customer sa mga post office.

Bago ang pagsisimula ng proyekto sa pag-upgrade, mayroong humigit-kumulang 3000 virtual machine sa pangunahing at backup na mga sentro ng data, ang dami ng nakaimbak na impormasyon ay lumampas sa 2 petabytes. Ang mga data center ay may kumplikadong istraktura ng pagruruta ng trapiko na nauugnay sa paghahati sa iba't ibang mga segment ayon sa mga antas ng seguridad.

Sa pagbuo ng mga aplikasyon at ang pagpapakilala ng mga bagong serbisyo, ang umiiral na bandwidth ng mga kagamitan sa network sa mga sentro ng data ay naging hindi sapat. Ang paglipat sa mga interface na may mga bagong bilis ay kinakailangan: 10 Gb / s, sa halip na 1 Gb / s para sa pag-access at 40 Gb / s sa pangunahing antas, na may ganap na redundancy ng mga kagamitan at mga channel ng komunikasyon.

Mula sa departamento ng seguridad ng impormasyon, natanggap ang isang kinakailangan upang hatiin ang imprastraktura sa mga segment na may mataas na antas ng seguridad ng impormasyon ng trapiko at mga aplikasyon (PN - Pribadong Network at DMZ - Demilitarized Zone). Ang mga firewall (ITU) ay pumasa sa trapiko na hindi kinakailangang i-filter. Ang VRF sa mga switch ay hindi ginamit para sa naturang trapiko. Ang mga panuntunan sa ITU ay suboptimal (sampu-sampung libong mga panuntunan sa bawat data center).

Hindi naging posible ang tuluy-tuloy na paglipat ng mga virtual machine (VM) sa pagitan ng mga data center habang pinapanatili ang IP address at ang pinakamainam na landas para sa trapiko sa pagitan ng mga segment, kabilang ang corporate data network (CDTN).

Ginamit ang MSTP para sa redundancy, na-block ang ilang port (hot standby). Ang mga core at access switch ay hindi failover clustered, at walang interface aggregation (LAG) ang ginamit.

Sa pagdating ng ikatlong data center, isang bagong arkitektura at pagsasaayos ng kagamitan ang kinakailangan upang patakbuhin ang ring sa pagitan ng mga data center (iminungkahi ang EVPN).

Walang iisang konsepto para sa pagbuo ng mga data center, na dokumentado sa anyo ng isang proyekto at sumang-ayon sa lahat ng mga departamento ng customer. Ang kasalukuyang dokumentasyon ng pagpapatakbo ng network ay hindi kumpleto at hindi napapanahon.
 

Mga inaasahan ng customer

Ang pangkat ng proyekto ay may mga sumusunod na gawain:

  • ihanda ang arkitektura at konsepto ng pag-unlad para sa pagbuo ng network at imprastraktura ng server ng ikatlong data center;
  • magsagawa ng operational audit ng kasalukuyang network ng customer;
  • palawakin ang network core capacity ng higit sa 1500 10/40 Gb/s Ethernet port sa bawat data center (4500 port sa kabuuan);
  • tiyakin ang pagpapatakbo ng isang singsing sa pagitan ng tatlong data center na may posibilidad na tumaas ang bilis ng hanggang 80 Gb / s sa bawat isa sa mga segment upang pagsamahin ang mga mapagkukunan ng computing ng customer mula sa iba't ibang mga data center sa isang solong IT system;
  • magbigay ng 100% dobleng reserba ng lahat ng elemento ng network upang makamit ang target na Uptime sa antas na 99,995%;
  • bawasan ang mga pagkaantala sa trapiko sa pagitan ng mga virtual machine upang mapabilis ang mga aplikasyon sa negosyo;
  • mangolekta ng mga istatistika, pag-aralan at higit pang i-optimize ang mga panuntunan sa pag-filter ng trapiko sa mga data center (sa una ay may humigit-kumulang 80 na panuntunan);
  • bumuo ng isang target na arkitektura upang matiyak ang tuluy-tuloy na paglipat ng mga kritikal na aplikasyon ng negosyo ng customer sa alinman sa tatlong data center.

Kaya, nagkaroon kami ng trabaho.

ΠžΠ±ΠΎΡ€ΡƒΠ΄ΠΎΠ²Π°Π½ΠΈΠ΅

Tingnan natin kung anong kagamitan ang ginamit natin sa proyekto.

Firewall (NGWF) USG9560:

  • dibisyon ng VSYS;
  • hanggang sa 720 Gbps;
  • hanggang sa 720 milyong sabay-sabay na sesyon;
  • 8 puwang.

Bagong IT infrastructure para sa Russian Post data center 
Router NE40E-X8:

  • hanggang 7,08 Tbit/s Kapasidad ng Paglipat;
  • hanggang 2,880 Mpps Forwarding Performance;
  • 8 mga puwang para sa mga line card (LPU);
  • hanggang sa 10M BGP IPv4 ruta bawat MPU;
  • hanggang 1500K OSPF IPv4 ruta bawat MPU;
  • hanggang 3000K - IPv4 FIB (depende sa LPU).

Bagong IT infrastructure para sa Russian Post data center
Mga Switch ng Serye ng CE12800:

  • Virtualization ng Device: VS (1:16 virtualization), Cluster Switch System (CSS), Super Virtual Fabric (SVF);
  • Virtualization ng Network: M-LAG, TRILL, VXLAN at VXLAN bridging, QinQ sa VXLAN, EVN (Ethernet Virtual Network);
  • simula sa VRP V2, kasama ang suporta sa EVPN;
  • M-LAG - analogue ng vPC (virtual Port Channel) para sa Cisco Nexus;
  • Virtual Spanning Tree Protocol (VSTP) - Tugma sa Cisco PVST.

CE12804

Bagong IT infrastructure para sa Russian Post data center
CE12808

Bagong IT infrastructure para sa Russian Post data center

ΠŸΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ΅ обСспСчСниС

Sa proyektong ginamit namin:

  • converter ng mga file ng pagsasaayos para sa mga firewall ng iba pang mga vendor sa format ng command para sa mga bagong kagamitan;
  • mga script ng sarili naming disenyo para i-optimize at baguhin ang configuration ng mga firewall.

Bagong IT infrastructure para sa Russian Post data centerHitsura ng converter para sa pag-convert ng mga configuration file
 
Bagong IT infrastructure para sa Russian Post data centerScheme ng komunikasyon sa pagitan ng mga data center (EVPN VXLAN)
 

Ang mga nuances ng pag-set up ng kagamitan

CE12808
 

  • EVPN (standard) sa halip na EVN (Huawei proprietary) para sa komunikasyon sa pagitan ng mga data center:

    β—‹ L2 sa L3 gamit ang iBGP sa Control plane;
    β—‹ MAC pagsasanay at anunsyo sa pamamagitan ng iBGP EVPN pamilya (MAC ruta, uri 2);
    β—‹ awtomatikong pagtatayo ng mga VXLAN tunnel para sa broadcast / hindi kilalang unicast na trapiko (Inclusive Multicast Routes, type 3).

  • Dalawang division mode sa VS:

    β—‹ batay sa mga port (port-mode port) o batay sa ASIC (port-mode group, display device port-map);
    β—‹ port split dimension interface 40GE ONLY gumagana sa Admin VS (anuman ang port-mode).

USG9560
 

  • posibilidad ng paghahati ng VSYS,
  • sa pagitan ng dynamic na pagruruta ng VSYS at pagtagas ng ruta ay imposible!

CE12804
 
Lahat ng Active GW (VRRP Master/Master/Master) na may MAC VRRP na pag-filter sa pagitan ng mga data center
 
acl number 4000
  rule 5 deny source-mac 0000-5e00-0100 ffff-ffff-ff00
  rule 10 deny destination-mac 0000-5e00-0100 ffff-ffff-ff00
  rule 15 permit
 
interface Eth-Trunk1
  traffic-filter acl 4000 outbound

Bagong IT infrastructure para sa Russian Post data centerScheme ng pakikipag-ugnayan ng mga mapagkukunan sa pagitan ng mga data center (VXLAN EVPN at All Active GW)
 

Ang pagiging kumplikado ng proyekto

Ang pangunahing kahirapan ay ang pangangailangang i-back up ang mga umiiral nang application gamit ang imprastraktura ng computing. Ang customer ay may higit sa 100 iba't ibang mga application, ang ilan ay isinulat halos 10 taon na ang nakakaraan. Halimbawa, kung para sa Yandex posible na madaling i-off ang ilang daang mga virtual machine nang hindi sinasaktan ang mga end user, kung gayon sa Russian Post ang ganitong diskarte ay mangangailangan ng pagbuo ng isang bilang ng mga application mula sa simula at mga pagbabago sa arkitektura ng mga sistema ng impormasyon ng enterprise. Nalutas namin ang mga problemang nagmumula sa proseso ng paglipat at pag-optimize sa yugto ng magkasanib na pag-audit ng imprastraktura ng computing. Ang lahat ng teknolohiya sa networking na bago sa enterprise (tulad ng EVPN) ay na-pre-test na sa laboratoryo.
 

Mga resulta ng proyekto

Kasama sa pangkat ng proyekto ang mga espesyalista "LANIT-Integration", ang customer at ang kanyang mga kasosyo sa pagpapatakbo ng imprastraktura ng computing. Nabuo din ang mga dedikadong support team mula sa mga vendor (Check Point at Huawei). Ang proyekto ay tumagal ng dalawang taon. Narito ang ginawa sa panahong ito.

  • Isang diskarte para sa pagbuo ng isang network ng mga data center, isang corporate data transmission network (CSTN) at isang ring sa pagitan ng mga data center ay binuo at napagkasunduan sa lahat ng mga departamento ng customer.
  • Nadagdagang availability ng serbisyo. Napansin ito ng negosyo ng customer at humantong sa mas malaking pagtaas ng trapiko dahil sa pagpapakilala ng mga bagong serbisyo.
  • Mahigit sa 40 panuntunan ang na-migrate at na-optimize mula sa FWSM/ASA patungo sa USG 000. Ang iba't ibang konteksto ng ASA sa UGG 9560 ay pinagsama sa iisang patakaran sa seguridad.
  • Ang throughput ng mga data center port ay nadagdagan mula 1G hanggang 10/40G sa pamamagitan ng paggamit ng CE12800/CE6850. Ginawa nitong posible na alisin ang mga overload ng interface at pagkawala ng mga packet.
  • Ganap na sinakop ng mga carrier-class na router na NE40E-X8 ang mga pangangailangan ng data center at KSPD ng customer, na isinasaalang-alang ang pag-unlad ng negosyo sa hinaharap.
  • Walong bagong Kahilingan sa Tampok ang hiniling para sa USG 9560. Sa mga ito, pito na ang naipatupad at kasama sa kasalukuyang bersyon ng VRP. Ang 1 FR ay ipinapatupad ng Huawei R&D. Ito ay isang cluster para sa walong chassis na may kakayahang i-configure ang kinakailangang functionality para sa pag-synchronize ng configuration nang hindi nagsi-synchronize ng mga session. Kinakailangan kung ang pagkaantala ng trapiko sa isa sa mga sentro ng data ay masyadong mataas (Adler - Moscow 1300 km kasama ang pangunahing ruta at 2800 km kasama ang backup na ruta).

Ang proyekto ay walang mga analogue kumpara sa iba pang mga kumpanya ng koreo sa Russia.

Ang modernisasyon ng imprastraktura ng network ng data center ay nagbukas ng mga bagong pagkakataon para sa enterprise na bumuo ng mga digital na serbisyo.

  • Pagbibigay ng personal na account at mobile application para sa mga indibidwal at legal na entity.
  • Pagsasama sa mga elektronikong tindahan upang magbigay ng mga serbisyo sa paghahatid ng mga kalakal.
  • Ang katuparan ay ang pag-iimbak ng mga kalakal, ang pagbuo at paghahatid ng mga order mula sa mga elektronikong tindahan.
  • Pagpapalawak ng mga punto ng isyu ng mga order, kasama ang paggamit ng mga kasosyong network.
  • Legal na makabuluhang daloy ng dokumento sa mga kontratista. Aalisin nito ang mabagal at magastos na paghahatid ng mga dokumentong papel.
  • Pagtanggap ng mga rehistradong liham sa elektronikong anyo na may paghahatid kapwa sa electronic at papel na anyo (na may pag-print ng mga item na mas malapit hangga't maaari sa huling tatanggap). Serbisyo ng mga elektronikong rehistradong titik sa portal ng mga pampublikong serbisyo.
  • Platform para sa pagkakaloob ng mga serbisyong telemedicine.
  • Pinasimpleng pagtanggap at pinasimpleng paghahatid ng mga nakarehistrong postal item gamit ang isang simpleng electronic signature.
  • Pag-digitize ng network ng post office.
  • Pagproseso ng mga serbisyo sa sariling serbisyo (mga terminal at parcel machine).
  • Paglikha ng isang digital na platform para sa pamamahala ng serbisyo ng courier at isang bagong mobile application para sa mga customer ng serbisyo ng courier.

Halika upang gumana sa amin!

Pinagmulan: www.habr.com

Magdagdag ng komento