Suriin ang mga koneksyon sa gitnang bahagi ng diagram. Babalik tayo sa kanila sa ibaba
Sa ilang mga punto, maaari mong makita na ang malalaking, kumplikadong mga network na nakabatay sa L2 ay may sakit sa wakas. Una sa lahat, ang mga problemang nauugnay sa pagproseso ng trapiko ng BUM at ang pagpapatakbo ng STP protocol. Pangalawa, ang arkitektura ay karaniwang hindi na ginagamit. Nagdudulot ito ng mga hindi kasiya-siyang problema sa anyo ng mga downtime at hindi maginhawang paghawak.
Nagkaroon kami ng dalawang magkatulad na proyekto, kung saan matino na tinasa ng mga customer ang lahat ng kalamangan at kahinaan ng mga opsyon at pumili ng dalawang magkaibang solusyon sa overlay, at ipinatupad namin ang mga ito.
Nagkaroon ng pagkakataon na ihambing ang pagpapatupad. Hindi pagsasamantala; dapat nating pag-usapan ito sa loob ng dalawa o tatlong taon.
Kaya, ano ang tela ng network na may mga overlay na network at SDN?
Ano ang gagawin sa pagpindot sa mga problema ng klasikal na arkitektura ng network?
Bawat taon, lumalabas ang mga bagong teknolohiya at ideya. Sa pagsasagawa, ang kagyat na pangangailangan upang muling itayo ang mga network ay hindi lumitaw sa loob ng mahabang panahon, dahil ang paggawa ng lahat nang manu-mano gamit ang mahusay na mga makalumang pamamaraan ay posible rin. Paano kung ito ay ikadalawampu't isang siglo? Pagkatapos ng lahat, ang isang administrator ay dapat magtrabaho, at hindi umupo sa kanyang opisina.
Pagkatapos ay nagsimula ang isang boom sa pagtatayo ng malalaking data center. Pagkatapos ay naging malinaw na ang limitasyon sa pagbuo ng klasikal na arkitektura ay naabot na, hindi lamang sa mga tuntunin ng pagganap, pagpapahintulot sa kasalanan, at scalability. At isa sa mga opsyon para sa paglutas ng mga problemang ito ay ang ideya ng βpagbuo ng mga overlay na network sa ibabaw ng isang naka-ruta na backbone.
Bilang karagdagan, sa pagtaas ng laki ng mga network, ang problema sa pamamahala ng mga naturang pabrika ay naging talamak, bilang isang resulta kung saan ang mga solusyon sa networking na tinukoy ng software ay nagsimulang lumitaw na may kakayahang pamahalaan ang buong imprastraktura ng network bilang isang solong kabuuan. At kapag ang network ay pinamamahalaan mula sa isang punto, mas madali para sa ibang mga bahagi ng imprastraktura ng IT na makipag-ugnayan dito, at ang mga naturang proseso ng pakikipag-ugnayan ay mas madaling i-automate.
Halos bawat pangunahing tagagawa ng hindi lamang kagamitan sa network, kundi pati na rin ang virtualization, ay may mga pagpipilian para sa mga naturang solusyon sa portfolio nito.
Ang natitira lamang ay upang malaman kung ano ang angkop para sa kung ano ang mga pangangailangan. Halimbawa, para sa mga partikular na malalaking kumpanya na may mahusay na development at operation team, ang mga naka-package na solusyon mula sa mga vendor ay hindi palaging nakakatugon sa lahat ng pangangailangan, at gumagamit sila sa pagbuo ng sarili nilang SD (software na tinukoy) na mga solusyon. Halimbawa, ito ay mga cloud provider na patuloy na nagpapalawak ng hanay ng mga serbisyong ibinibigay sa kanilang mga kliyente, at ang mga naka-package na solusyon ay sadyang hindi nakakasabay sa kanilang mga pangangailangan.
Para sa mga medium-sized na kumpanya, ang functionality na inaalok ng vendor sa anyo ng isang boxed solution ay sapat sa 99 porsiyento ng mga kaso.
Ano ang mga overlay na network?
Ano ang ideya sa likod ng mga overlay na network? Sa pangkalahatan, kumuha ka ng isang klasikong naka-ruta na network at bumuo ng isa pang network sa ibabaw nito upang makakuha ng higit pang mga tampok. Kadalasan, pinag-uusapan natin ang tungkol sa epektibong pamamahagi ng load sa mga kagamitan at linya ng komunikasyon, makabuluhang pagtaas ng limitasyon sa scalability, pagtaas ng pagiging maaasahan at isang grupo ng mga goodies sa seguridad (dahil sa segmentation). At ang mga solusyon sa SDN, bilang karagdagan dito, ay nagbibigay ng pagkakataon para sa napaka, napaka, napakakumbinyenteng flexible na pangangasiwa at gawing mas transparent ang network para sa mga consumer nito.
Sa pangkalahatan, kung naimbento ang mga lokal na network noong 2010s, malayong iba ang hitsura nila sa minana natin sa militar noong 1970s.
Sa mga tuntunin ng mga teknolohiya para sa pagbuo ng mga tela gamit ang mga overlay na network, sa kasalukuyan ay maraming mga pagpapatupad ng vendor at mga proyekto ng Internet RFC (EVPN+VXLAN, EVPN+MPLS, EVPN+MPLSoGRE, EVPN+Geneve at iba pa). Oo, may mga pamantayan, ngunit ang pagpapatupad ng mga pamantayang ito ng iba't ibang mga tagagawa ay maaaring magkakaiba, kaya kapag lumilikha ng mga naturang pabrika, posible pa ring ganap na iwanan ang lock ng vendor sa teorya lamang sa papel.
Sa isang solusyon sa SD, ang mga bagay ay mas nakakalito; bawat vendor ay may sariling pananaw. Mayroong ganap na bukas na mga solusyon na, sa teorya, maaari mong kumpletuhin ang iyong sarili, at mayroong ganap na sarado.
Nag-aalok ang Cisco ng bersyon nito ng SDN para sa mga data center - ACI. Naturally, ito ay isang 100% vendor-locked na solusyon sa mga tuntunin ng pagpili ng kagamitan sa network, ngunit sa parehong oras ito ay ganap na isinama sa virtualization system, containerization, seguridad, orkestrasyon, load balancers, atbp. Ngunit sa esensya, ito ay isang uri ng itim na kahon, nang walang posibilidad ng ganap na pag-access sa lahat ng mga panloob na proseso. Hindi lahat ng mga customer ay sumasang-ayon sa pagpipiliang ito, dahil ganap kang umaasa sa kalidad ng nakasulat na code ng solusyon at pagpapatupad nito, ngunit sa kabilang banda, ang tagagawa ay may isa sa pinakamahusay na teknikal na suporta sa mundo at may dedikadong koponan na nakatuon lamang sa solusyong ito. Ang Cisco ACI ay napili bilang solusyon para sa unang proyekto.
Para sa pangalawang proyekto, isang Juniper solution ang napili. Ang tagagawa ay mayroon ding sariling SDN para sa data center, ngunit nagpasya ang customer na huwag ipatupad ang SDN. Ang isang tela ng EVPN VXLAN na walang paggamit ng mga sentralisadong controller ay pinili bilang teknolohiya sa pagtatayo ng network.
Para saan ito
Ang paggawa ng factory ay nagbibigay-daan sa iyo na bumuo ng isang madaling scalable, fault-tolerant, maaasahang network. Isinasaalang-alang ng arkitektura (leaf-spine) ang mga katangian ng mga data center (traffic path, pagliit ng mga pagkaantala at mga bottleneck sa network). Nagbibigay-daan sa iyo ang mga solusyon sa SD sa mga data center na napaka-maginhawa, mabilis, at flexible na pamahalaan ang naturang factory at isama ito sa ecosystem ng data center.
Ang parehong mga customer ay kailangang bumuo ng mga kalabisan na sentro ng data upang matiyak ang pagpapahintulot sa kasalanan, at bilang karagdagan, ang trapiko sa pagitan ng mga sentro ng data ay kailangang ma-encrypt.
Isinasaalang-alang na ng unang customer ang mga fabricless na solusyon bilang posibleng pamantayan para sa kanilang mga network, ngunit sa mga pagsubok ay nagkaroon sila ng mga problema sa compatibility ng STP sa pagitan ng ilang hardware vendor. May mga downtime na naging sanhi ng pag-crash ng mga serbisyo. At para sa customer ito ay kritikal.
Ang Cisco ay dati nang corporate standard ng customer, tiningnan nila ang ACI at iba pang mga opsyon at nagpasya na sulit na kunin ang solusyon na ito. Nagustuhan ko ang automation ng kontrol mula sa isang pindutan sa pamamagitan ng iisang controller. Mas mabilis na na-configure at pinamamahalaan ang mga serbisyo. Nagpasya kaming tiyakin ang pag-encrypt ng trapiko sa pamamagitan ng pagpapatakbo ng MACSec sa pagitan ng mga switch ng IPN at SPINE. Kaya, nagawa naming maiwasan ang bottleneck sa anyo ng isang crypto gateway, i-save sa kanila at gamitin ang maximum na bandwidth.
Ang pangalawang customer ay pumili ng isang controllerless na solusyon mula sa Juniper dahil ang kanilang kasalukuyang data center ay mayroon nang maliit na pag-install na nagpapatupad ng isang EVPN VXLAN fabric. Ngunit doon ito ay hindi fault-tolerant (isang switch ang ginamit). Nagpasya kaming palawakin ang imprastraktura ng pangunahing data center at magtayo ng pabrika sa backup na data center. Ang umiiral na EVPN ay hindi ganap na ginamit: VXLAN encapsulation ay hindi aktwal na ginamit, dahil ang lahat ng mga host ay konektado sa isang switch, at lahat ng MAC address at /32 host address ay lokal, ang gateway para sa kanila ay ang parehong switch, walang iba pang mga aparato , kung saan kinakailangan na bumuo ng mga VXLAN tunnels. Nagpasya silang tiyakin ang pag-encrypt ng trapiko gamit ang teknolohiya ng IPSEC sa pagitan ng mga firewall (ang pagganap ng firewall ay sapat).
Sinubukan din nila ang ACI, ngunit nagpasya na dahil sa lock ng vendor, kailangan nilang bumili ng masyadong maraming hardware, kabilang ang pagpapalit ng bagong binili na bagong kagamitan, at hindi ito nakatulong sa ekonomiya. Oo, ang Cisco fabric ay sumasama sa lahat, ngunit ang mga device lamang nito ang posible sa loob ng tela mismo.
Sa kabilang banda, tulad ng sinabi namin kanina, hindi mo maaaring paghaluin ang isang tela ng EVPN VXLAN sa anumang kalapit na vendor, dahil iba ang mga pagpapatupad ng protocol. Ito ay tulad ng pagtawid sa Cisco at Huawei sa isang network - parang karaniwan ang mga pamantayan, ngunit kailangan mong sumayaw gamit ang isang tamburin. Dahil ito ay isang bangko, at ang mga pagsubok sa pagiging tugma ay magiging napakatagal, napagpasyahan naming mas mahusay na bumili mula sa parehong vendor ngayon, at huwag masyadong madala sa pag-andar na higit sa mga pangunahing.
Plano ng migrasyon
Dalawang ACI-based na data center:
Organisasyon ng pakikipag-ugnayan sa pagitan ng mga sentro ng data. Pinili ang Multi-Pod solution - ang bawat data center ay isang pod. Ang mga kinakailangan para sa pag-scale ayon sa bilang ng mga switch at pagkaantala sa pagitan ng mga pod (RTT na mas mababa sa 50 ms) ay isinasaalang-alang. Napagpasyahan na huwag bumuo ng isang Multi-Site na solusyon para sa kadalian ng pamamahala (isang Multi-Pod solution ay gumagamit ng isang interface ng pamamahala, ang isang Multi-Site ay magkakaroon ng dalawang interface, o mangangailangan ng Multi-Site Orchestrator), at dahil walang heograpikal reservation ng mga site ay kinakailangan.
Mula sa punto ng view ng paglilipat ng mga serbisyo mula sa Legacy network, pinili ang pinaka-transparent na opsyon, unti-unting inililipat ang mga VLAN na naaayon sa ilang partikular na serbisyo.
Para sa paglipat, isang katumbas na EPG (End-point-group) ang ginawa para sa bawat VLAN sa factory. Una, ang network ay nakaunat sa pagitan ng lumang network at ng tela sa ibabaw ng L2, pagkatapos pagkatapos ng lahat ng mga host ay lumipat, ang gateway ay inilipat sa tela, at ang EPG ay nakipag-ugnayan sa kasalukuyang network sa pamamagitan ng L3OUT, habang ang pakikipag-ugnayan sa pagitan ng L3OUT at EPG ay inilarawan gamit ang mga kontrata. Tinatayang diagram:
Ang isang sample na istraktura ng karamihan sa mga patakaran ng pabrika ng ACI ay ipinapakita sa figure sa ibaba. Ang buong setup ay batay sa mga patakarang naka-nest sa loob ng iba pang mga patakaran at iba pa. Sa una ay napakahirap malaman ito, ngunit unti-unti, tulad ng mga palabas sa pagsasanay, ang mga administrator ng network ay nasasanay sa istrukturang ito sa loob ng halos isang buwan, at pagkatapos ay sisimulan lamang nilang maunawaan kung gaano ito maginhawa.
Paghahambing
Sa solusyon ng Cisco ACI, kailangan mong bumili ng mas maraming kagamitan (mga hiwalay na switch para sa Inter-Pod interaction at APIC controllers), na ginagawang mas mahal. Ang solusyon ng Juniper ay hindi nangangailangan ng pagbili ng mga controllers o accessories; Posibleng bahagyang gamitin ang kasalukuyang kagamitan ng customer.
Narito ang EVPN VXLAN fabric architecture para sa dalawang data center ng pangalawang proyekto:
Sa ACI makakakuha ka ng isang handa na solusyon - hindi na kailangang mag-tinker, hindi na kailangang mag-optimize. Sa panahon ng paunang kakilala ng customer sa pabrika, walang mga developer ang kailangan, walang mga sumusuportang tao ang kailangan para sa code at automation. Ito ay medyo madaling gamitin; maraming mga setting ang maaaring gawin sa pamamagitan ng wizard, na hindi palaging isang plus, lalo na para sa mga taong sanay sa command line. Sa anumang kaso, nangangailangan ng oras upang muling itayo ang utak sa mga bagong track, sa mga kakaibang setting sa pamamagitan ng mga patakaran at pagpapatakbo na may maraming mga nested na patakaran. Bilang karagdagan dito, ito ay lubos na kanais-nais na magkaroon ng isang malinaw na istraktura para sa pagbibigay ng pangalan sa mga patakaran at mga bagay. Kung ang anumang problema ay lumitaw sa lohika ng controller, maaari lamang itong malutas sa pamamagitan ng teknikal na suporta.
Sa EVPN - console. Magdusa o magsaya. Isang pamilyar na interface para sa matandang bantay. Oo, mayroong karaniwang pagsasaayos at mga gabay. Kailangan mong manigarilyo ng mana. Iba't ibang disenyo, malinaw at detalyado ang lahat.
Naturally, sa parehong mga kaso, kapag lumilipat, mas mahusay na lumipat muna hindi ang pinaka-kritikal na mga serbisyo, halimbawa, mga pagsubok na kapaligiran, at pagkatapos lamang, pagkatapos mahuli ang lahat ng mga bug, magpatuloy sa produksyon. At huwag tumutok sa Biyernes ng gabi. Hindi ka dapat magtiwala sa vendor na magiging ok ang lahat, ito ay palaging mas mahusay na i-play ito nang ligtas.
Mas malaki ang babayaran mo para sa ACI, bagama't kasalukuyang aktibong isinusulong ng Cisco ang solusyon na ito at kadalasang nagbibigay ng magagandang diskwento dito, ngunit nakakatipid ka sa pagpapanatili. Ang pamamahala at anumang automation ng isang pabrika ng EVPN na walang controller ay nangangailangan ng mga pamumuhunan at regular na gastos - pagsubaybay, automation, pagpapatupad ng mga bagong serbisyo. Kasabay nito, ang paunang paglulunsad sa ACI ay tumatagal ng 30β40 porsiyentong mas matagal. Nangyayari ito dahil mas matagal bago gawin ang buong hanay ng mga kinakailangang profile at patakaran na gagamitin. Ngunit habang lumalaki ang network, bumababa ang bilang ng mga kinakailangang configuration. Gumagamit ka ng mga paunang ginawang patakaran, profile, bagay. Maaari mong flexible na i-configure ang segmentation at seguridad, sentral na pamahalaan ang mga kontrata na responsable para sa pagpayag sa ilang partikular na pakikipag-ugnayan sa pagitan ng mga EPG - ang dami ng trabaho ay bumaba nang husto.
Sa EVPN, kailangan mong i-configure ang bawat device sa pabrika, mas malaki ang posibilidad ng mga error.
Habang ang ACI ay mas mabagal na ipatupad, ang EVPN ay tumagal ng halos dalawang beses na mas mahaba sa pag-debug. Kung sa kaso ng Cisco maaari kang palaging tumawag sa isang support engineer at magtanong tungkol sa network sa kabuuan (dahil ito ay sakop bilang isang solusyon), pagkatapos ay mula sa Juniper Networks bumili ka lamang ng hardware, at iyon ang sakop. Umalis ba ang mga pakete sa device? Well, ok, kung gayon ang iyong mga problema. Ngunit maaari kang magbukas ng isang katanungan tungkol sa pagpili ng solusyon o disenyo ng network - at pagkatapos ay papayuhan ka nila na bumili ng isang propesyonal na serbisyo, para sa isang karagdagang bayad.
Ang suporta ng ACI ay napakahusay, dahil ito ay hiwalay: isang hiwalay na koponan ang nakaupo para lamang dito. Mayroon ding mga espesyalista na nagsasalita ng Ruso. Ang gabay ay detalyado, ang mga solusyon ay paunang natukoy. Tumingin sila at nagpapayo. Mabilis nilang pinatunayan ang disenyo, na kadalasang mahalaga. Ginawa ng Juniper Networks ang parehong bagay, ngunit mas mabagal (namin ito, ngayon ay dapat na mas mahusay ayon sa mga alingawngaw), na pumipilit sa iyo na gawin ang lahat sa iyong sarili kung saan ang isang engineer ng solusyon ay maaaring magpayo.
Sinusuportahan ng Cisco ACI ang pagsasama sa virtualization at containerization system (VMware, Kubernetes, Hyper-V) at sentralisadong pamamahala. Available sa mga serbisyo ng network at seguridad - pagbabalanse, mga firewall, WAF, IPS, atbp... Magandang micro-segmentation out of the box. Sa pangalawang solusyon, ang pagsasama sa mga serbisyo ng network ay madali, at mas mahusay na talakayin ang mga forum nang maaga sa mga nakagawa nito.
Kabuuan
Para sa bawat partikular na kaso, kinakailangan na pumili ng isang solusyon, hindi lamang batay sa gastos ng kagamitan, ngunit kinakailangan ding isaalang-alang ang karagdagang mga gastos sa pagpapatakbo at ang mga pangunahing problema na kasalukuyang kinakaharap ng customer, at kung anong mga plano doon ay para sa pagpapaunlad ng imprastraktura ng IT.
Ang ACI, dahil sa karagdagang kagamitan, ay mas mahal, ngunit ang solusyon ay handa nang hindi nangangailangan ng karagdagang pagtatapos; ang pangalawang solusyon ay mas kumplikado at magastos sa mga tuntunin ng operasyon, ngunit mas mura.
Kung gusto mong talakayin kung magkano ang maaaring magastos upang ipatupad ang isang network fabric sa iba't ibang vendor, at kung anong uri ng arkitektura ang kailangan, maaari kang makipagkita at makipag-chat. Papayuhan ka namin nang walang bayad hanggang sa makakuha ka ng isang magaspang na sketch ng arkitektura (kung saan maaari mong kalkulahin ang mga badyet), ang detalyadong pagpapaliwanag, siyempre, ay binabayaran na.
Vladimir Klepche, mga corporate network.
Pinagmulan: www.habr.com