Diyagramın orta kısmındaki bağlantıları değerlendirin. Aşağıda bunlara geri döneceğiz
Bir noktada büyük, karmaşık L2 tabanlı ağların ölümcül derecede hasta olduğunu görebilirsiniz. Her şeyden önce BUM trafiğinin işlenmesi ve STP protokolünün çalışmasıyla ilgili sorunlar. İkincisi, mimari genellikle eskidir. Bu, aksama süreleri ve uygunsuz kullanım gibi hoş olmayan sorunlara neden olur.
Müşterilerin seçeneklerin tüm artılarını ve eksilerini ayık bir şekilde değerlendirdiği ve iki farklı kaplama çözümünü seçtiği iki paralel projemiz vardı ve bunları uyguladık.
Uygulamayı karşılaştırma fırsatı vardı. Sömürü değil, 2-3 sene sonra bunu konuşmamız lazım.
Peki, yer paylaşımlı ağlara ve SDN'ye sahip ağ dokusu nedir?
Klasik ağ mimarisinin acil sorunlarıyla ne yapmalı?
Her yıl yeni teknolojiler ve fikirler ortaya çıkıyor. Uygulamada, ağları yeniden inşa etme acil ihtiyacı uzun süredir ortaya çıkmadı, çünkü her şeyi eski moda yöntemleri kullanarak manuel olarak yapmak da mümkün. Peki ya yirmi birinci yüzyıldaysak? Sonuçta bir yönetici çalışmalı, ofisinde oturmamalı.
Daha sonra büyük ölçekli veri merkezlerinin inşasında bir patlama başladı. Daha sonra, yalnızca performans, hata toleransı ve ölçeklenebilirlik açısından değil, klasik mimarinin gelişim sınırına ulaşıldığı ortaya çıktı. Bu sorunları çözmenin seçeneklerinden biri de yönlendirilmiş bir omurganın üzerine yer paylaşımlı ağlar inşa etme fikriydi.
Ayrıca ağların ölçeğinin artmasıyla birlikte bu tür fabrikaları yönetme sorunu da akut hale geldi ve bunun sonucunda tüm ağ altyapısının tek bir bütün olarak yönetilebilmesiyle birlikte yazılım tanımlı ağ çözümleri ortaya çıkmaya başladı. Ağ tek noktadan yönetildiğinde, BT altyapısının diğer bileşenlerinin onunla etkileşime girmesi ve bu tür etkileşim süreçlerinin otomatikleştirilmesi daha kolay olur.
Sadece ağ ekipmanı değil aynı zamanda sanallaştırma da üreten hemen hemen her büyük üreticinin portföyünde bu tür çözümlere yönelik seçenekler bulunmaktadır.
Geriye sadece neyin hangi ihtiyaçlara uygun olduğunu bulmak kalıyor. Örneğin, özellikle iyi bir geliştirme ve operasyon ekibine sahip büyük şirketler için, satıcıların paket çözümleri her zaman tüm ihtiyaçları karşılamayabilir ve kendi SD (yazılım tanımlı) çözümlerini geliştirmeye başvurabilirler. Örneğin bunlar, müşterilerine sundukları hizmet yelpazesini sürekli genişleten bulut sağlayıcılardır ve paket çözümler, onların ihtiyaçlarına ayak uyduramamaktadır.
Orta ölçekli şirketler için satıcının kutulu çözüm şeklinde sunduğu işlevsellik, vakaların yüzde 99'unda yeterlidir.
Yer paylaşımlı ağlar nelerdir?
Yer paylaşımlı ağların ardındaki fikir nedir? Temel olarak, klasik yönlendirilmiş bir ağı alıp, daha fazla özellik elde etmek için onun üzerine başka bir ağ kurarsınız. Çoğu zaman, yükü ekipman ve iletişim hatlarına etkili bir şekilde dağıtmaktan, ölçeklenebilirlik sınırını önemli ölçüde artırmaktan, güvenilirliği artırmaktan ve bir dizi güvenlik avantajından (bölümlendirme nedeniyle) bahsediyoruz. Ve SDN çözümleri buna ek olarak çok ama çok rahat esnek yönetim olanağı sağlıyor ve ağı tüketicileri için daha şeffaf hale getiriyor.
Genel olarak, yerel ağlar 2010'larda icat edilmiş olsaydı, 1970'lerde ordudan miras aldığımız ağlardan çok farklı görünürlerdi.
Yer paylaşımlı ağlar kullanarak yapı oluşturmaya yönelik teknolojiler açısından, şu anda birçok satıcı uygulaması ve İnternet RFC projesi bulunmaktadır (EVPN+VXLAN, EVPN+MPLS, EVPN+MPLSoGRE, EVPN+Geneve ve diğerleri). Evet, standartlar var, ancak bu standartların farklı üreticiler tarafından uygulanması farklılık gösterebilir, bu nedenle bu tür fabrikalar oluştururken satıcı kilidini tamamen kağıt üzerinde yalnızca teoride tamamen terk etmek mümkündür.
SD çözümünde işler daha da kafa karıştırıcıdır; her satıcının kendi vizyonu vardır. Teorik olarak kendinizin tamamlayabileceği tamamen açık çözümler var ve tamamen kapalı olanlar da var.
Cisco, veri merkezleri için SDN versiyonunu sunuyor - ACI. Doğal olarak bu, ağ ekipmanı seçimi açısından %100 satıcıya bağlı bir çözümdür ancak aynı zamanda sanallaştırma sistemleri, konteynerizasyon, güvenlik, orkestrasyon, yük dengeleyiciler vb. ile tamamen entegredir. Ancak özünde hala bir tüm dahili süreçlere tam erişim imkanı olmayan bir tür kara kutu. Tamamen yazılı çözüm kodunun kalitesine ve uygulanmasına bağlı olduğunuz için tüm müşteriler bu seçeneği kabul etmemektedir, ancak diğer yandan üretici dünyadaki en iyi teknik destekten birine sahiptir ve yalnızca bu işe adanmış özel bir ekibe sahiptir. bu çözüme. İlk projenin çözümü olarak Cisco ACI seçildi.
İkinci proje için Juniper çözümü seçildi. Üreticinin ayrıca veri merkezi için kendi SDN'si var ancak müşteri SDN'yi uygulamamaya karar verdi. Ağ oluşturma teknolojisi olarak merkezi denetleyicilerin kullanılmadığı bir EVPN VXLAN yapısı seçildi.
Bu ne için
Fabrika oluşturmak, kolayca ölçeklenebilir, hataya dayanıklı, güvenilir bir ağ oluşturmanıza olanak tanır. Mimari (yaprak-omurga), veri merkezlerinin özelliklerini (trafik yolları, ağdaki gecikmeleri ve darboğazları en aza indirerek) dikkate alır. Veri merkezlerindeki SD çözümleri, böyle bir fabrikayı çok rahat, hızlı ve esnek bir şekilde yönetmenize ve onu veri merkezi ekosistemine entegre etmenize olanak tanır.
Her iki müşterinin de hata toleransını sağlamak için yedek veri merkezleri oluşturması gerekiyordu ve ayrıca veri merkezleri arasındaki trafiğin şifrelenmesi gerekiyordu.
İlk müşteri zaten kendi ağları için olası bir standart olarak yapısız çözümleri düşünüyordu ancak testlerde çeşitli donanım satıcıları arasındaki STP uyumluluğu konusunda sorunlar yaşadı. Hizmetlerin çökmesine neden olan kesintiler yaşandı. Müşteri için bu kritik bir durumdu.
Cisco zaten müşterinin kurumsal standardıydı; ACI ve diğer seçeneklere baktılar ve bu çözümü almaya değer olduğuna karar verdiler. Tek tuşla tek kontrolör üzerinden kontrolün otomasyonunu beğendim. Hizmetler daha hızlı yapılandırılır ve daha hızlı yönetilir. IPN ve SPINE anahtarları arasında MACSec'i çalıştırarak trafik şifrelemesini sağlamaya karar verdik. Böylece kripto ağ geçidi biçimindeki darboğazdan kaçınmayı, bunlardan tasarruf etmeyi ve maksimum bant genişliğini kullanmayı başardık.
İkinci müşteri Juniper'ın kontrolörsüz çözümünü seçti çünkü mevcut veri merkezlerinde zaten EVPN VXLAN yapısını uygulayan küçük bir kurulum vardı. Ancak orada hataya dayanıklı değildi (bir anahtar kullanıldı). Ana veri merkezinin altyapısını genişletip yedek veri merkezinde fabrika kurmaya karar verdik. Mevcut EVPN tam olarak kullanılmadı: VXLAN kapsülleme aslında kullanılmadı, çünkü tüm ana bilgisayarlar tek bir anahtara bağlıydı ve tüm MAC adresleri ve /32 ana bilgisayar adresleri yereldi, bunların ağ geçidi aynı anahtardı ve başka cihaz yoktu VXLAN tünelleri inşa etmenin gerekli olduğu yer. Güvenlik duvarları arasında IPSEC teknolojisini kullanarak trafik şifrelemesini sağlamaya karar verdiler (güvenlik duvarının performansı yeterliydi).
Ayrıca ACI'yı da denediler, ancak satıcı kilidi nedeniyle yakın zamanda satın alınan yeni ekipmanı değiştirmek de dahil olmak üzere çok fazla donanım satın almak zorunda kalacaklarına ve bunun ekonomik olarak mantıklı olmadığına karar verdiler. Evet, Cisco yapısı her şeyle entegre olur, ancak yapının kendi içinde yalnızca ona ait cihazlar mümkündür.
Öte yandan, daha önce de söylediğimiz gibi, protokol uygulamaları farklı olduğundan, bir EVPN VXLAN yapısını herhangi bir komşu satıcıyla karıştıramazsınız. Bu, Cisco ve Huawei'yi tek bir ağda buluşturmak gibi; standartlar ortak gibi görünüyor, ancak tefle dans etmeniz gerekecek. Burası bir banka olduğundan ve uyumluluk testleri çok uzun olacağından, artık aynı satıcıdan satın almanın ve temel işlevlerin ötesindeki işlevlere fazla kapılmamanın daha iyi olacağına karar verdik.
Taşıma planı
İki ACI tabanlı veri merkezi:
Veri merkezleri arasındaki etkileşimin organizasyonu. Çoklu Pod çözümü seçildi; her veri merkezi bir bölmedir. Anahtar sayısına ve bölmeler arasındaki gecikmelere (RTT 50 ms'den az) göre ölçeklendirme gereklilikleri dikkate alınır. Yönetim kolaylığı nedeniyle Çoklu Site çözümü oluşturmamaya karar verildi (Bir Çoklu Pod çözümü tek bir yönetim arayüzü kullanır, Çoklu Site iki arayüze sahip olur veya bir Çoklu Site Orkestratörü gerektirir) ve herhangi bir coğrafi sitelerin rezervasyonu gerekliydi.
Hizmetlerin Eski ağdan taşınması açısından, belirli hizmetlere karşılık gelen VLAN'ların kademeli olarak aktarılmasıyla en şeffaf seçenek seçildi.
Geçiş için fabrikada her VLAN için karşılık gelen bir EPG (Uç nokta grubu) oluşturuldu. Öncelikle ağ, L2 üzerinden eski ağ ile yapı arasında genişletildi, daha sonra tüm ana bilgisayarlar taşındıktan sonra ağ geçidi yapıya taşındı ve EPG, L3OUT üzerinden mevcut ağ ile etkileşime girerken L3OUT ile EPG arasındaki etkileşim de sağlandı. sözleşmeler kullanılarak açıklanmıştır. Yaklaşık diyagram:
Çoğu ACI fabrika politikasının örnek yapısı aşağıdaki şekilde gösterilmektedir. Kurulumun tamamı, diğer politikaların içinde yer alan politikalara dayanmaktadır. İlk başta bunu anlamak çok zordur, ancak yavaş yavaş, uygulamanın gösterdiği gibi, ağ yöneticileri yaklaşık bir ay içinde bu yapıya alışırlar ve daha sonra bunun ne kadar uygun olduğunu anlamaya başlarlar.
Karşılaştırma
Cisco ACI çözümünde daha fazla ekipman satın almanız gerekir (Podlar arası etkileşim için ayrı anahtarlar ve APIC denetleyicileri), bu da onu daha pahalı hale getirir. Juniper'in çözümü, kontrolörlerin veya aksesuarların satın alınmasını gerektirmiyordu; Müşterinin mevcut ekipmanının kısmen kullanılması mümkün oldu.
İkinci projenin iki veri merkezi için EVPN VXLAN yapı mimarisi:
ACI ile hazır bir çözüme sahip olursunuz; düzeltmeye gerek yok, optimize etmeye gerek yok. Müşterinin fabrikayla ilk tanışması sırasında hiçbir geliştiriciye ihtiyaç duyulmaz, kod ve otomasyon için destek veren kişilere ihtiyaç duyulmaz. Kullanımı oldukça kolay, sihirbaz aracılığıyla birçok ayar yapılabiliyor, bu da özellikle komut satırına alışkın kişiler için her zaman bir artı değil. Her halükarda, politikalar aracılığıyla ve iç içe geçmiş birçok politikayla çalışarak ortamın özelliklerine göre beyni yeni yollar üzerinde yeniden inşa etmek zaman alır. Buna ek olarak politika ve nesnelerin isimlendirilmesinde net bir yapıya sahip olunması oldukça arzu edilir. Kontrolörün mantığında herhangi bir sorun ortaya çıkarsa, bu ancak teknik destek ile çözülebilir.
EVPN'de - konsol. Acı çek ya da sevin. Eski muhafızlar için tanıdık bir arayüz. Evet, standart bir konfigürasyon ve kılavuzlar var. Mana içmen gerekecek. Farklı tasarımlar, her şey net ve detaylı.
Doğal olarak, her iki durumda da, geçiş yaparken, önce test ortamları gibi en kritik hizmetleri taşımak yerine, ancak o zaman tüm hataları tespit ettikten sonra üretime geçmek daha iyidir. Ve Cuma gecesi ayarlamayın. Satıcıya her şeyin yoluna gireceğine güvenmemelisiniz, güvenli oynamak her zaman daha iyidir.
ACI için daha fazla ödeme yaparsınız, ancak Cisco şu anda bu çözümü aktif olarak tanıtıyor ve bu konuda sıklıkla iyi indirimler sunuyor, ancak bakımdan tasarruf ediyorsunuz. Denetleyici olmadan bir EVPN fabrikasının yönetimi ve her türlü otomasyonu, yatırımlar ve düzenli maliyetler (izleme, otomasyon, yeni hizmetlerin uygulanması) gerektirir. Aynı zamanda ACI'daki ilk lansman yüzde 30-40 daha uzun sürüyor. Bunun nedeni, daha sonra kullanılacak tüm gerekli profil ve politika setinin oluşturulmasının daha uzun sürmesidir. Ancak ağ büyüdükçe gerekli konfigürasyonların sayısı azalır. Önceden oluşturulmuş politikaları, profilleri, nesneleri kullanırsınız. Segmentasyonu ve güvenliği esnek bir şekilde yapılandırabilir, EPG'ler arasında belirli etkileşimlere izin vermekten sorumlu sözleşmeleri merkezi olarak yönetebilirsiniz - iş miktarı keskin bir şekilde düşer.
EVPN'de her cihazı fabrikada yapılandırmanız gerekir, hata olasılığı daha yüksektir.
ACI'nın uygulanması daha yavaş olsa da, EVPN'in hata ayıklaması neredeyse iki kat daha uzun sürdü. Cisco söz konusu olduğunda her zaman bir destek mühendisini arayıp ağ hakkında bir bütün olarak soru sorabiliyorsanız (çünkü bu bir çözüm kapsamındadır), o zaman Juniper Networks'ten yalnızca donanım satın alırsınız ve kapsam dahilinde olan da budur. Paketler cihazdan çıktı mı? Peki, tamam, o zaman senin sorunların. Ancak çözüm veya ağ tasarımı seçimiyle ilgili bir soru açabilirsiniz - ardından ek bir ücret karşılığında profesyonel bir hizmet satın almanızı önereceklerdir.
ACI desteği çok güzel çünkü ayrı: bunun için ayrı bir ekip oturuyor. Rusça konuşan uzmanlar da var. Kılavuz ayrıntılıdır, çözümler önceden belirlenmiştir. Bakıyorlar ve tavsiyelerde bulunuyorlar. Genellikle önemli olan tasarımı hızlı bir şekilde doğrularlar. Juniper Networks de aynı şeyi yapıyor, ancak çok daha yavaş (bunu yaptık, söylentilere göre şimdi daha iyi olmalı), bu da sizi bir çözüm mühendisinin tavsiye edebileceği her şeyi kendiniz yapmaya zorluyor.
Cisco ACI, sanallaştırma ve konteynerleştirme sistemleri (VMware, Kubernetes, Hyper-V) ve merkezi yönetim ile entegrasyonu destekler. Ağ ve güvenlik hizmetleriyle birlikte sunulur (dengeleme, güvenlik duvarları, WAF, IPS, vb.) Kutudan çıktığı haliyle iyi mikro segmentasyon. İkinci çözümde, ağ hizmetleriyle entegrasyon çocuk oyuncağıdır ve bunu yapanlarla önceden forumlarda görüşmek daha iyidir.
sonuç
Her özel durum için, yalnızca ekipmanın maliyetine dayalı olarak değil, aynı zamanda ilave işletme maliyetlerini, müşterinin şu anda karşı karşıya olduğu ana sorunları ve orada hangi planları dikkate alarak bir çözüm seçmek gerekir. BT altyapısının geliştirilmesine yöneliktir.
ACI, ek ekipman nedeniyle daha pahalıydı, ancak çözüm, ek son işlem gerektirmeden hazırdır; ikinci çözüm, işletme açısından daha karmaşık ve maliyetlidir, ancak daha ucuzdur.
Farklı satıcılarda ağ dokusu uygulamanın maliyetinin ne kadar olabileceğini ve nasıl bir mimariye ihtiyaç duyulacağını tartışmak isterseniz tanışıp sohbet edebilirsiniz. Mimarinin kaba bir taslağını alana kadar (bütçeleri hesaplayabileceğiniz) size ücretsiz olarak tavsiyede bulunacağız, elbette ayrıntılı detaylandırma zaten ödenmiştir.
Vladimir Klepche, kurumsal ağlar.
Kaynak: habr.com