Russian Post ma'lumotlar markazi uchun yangi IT infratuzilmasi

Ishonchim komilki, barcha Habr o'quvchilari hech bo'lmaganda bir marta xorijdagi onlayn-do'konlardan tovarlarga buyurtma berishgan va keyin Rossiya pochta bo'limida posilkalarni olish uchun ketishgan. Logistika ta'minotini tashkil etish nuqtai nazaridan bu vazifaning ko'lamini tasavvur qila olasizmi? Xaridorlar sonini ularning xaridlari soniga ko‘paytiring, bepoyon mamlakatimiz xaritasini tasavvur qiling, unda 40 mingdan ortiq pochta bo‘limlari joylashgan... Aytgancha, 2018-yilda “Rossiya pochtasi” 345 million xalqaro posilkani qayta ishlagan.

Ushbu maqolada biz sizga Pochta qanday muammolarga duch kelgani va LANIT Integration jamoasi ularni qanday hal qilgani, ma'lumotlar markazlari uchun yangi IT infratuzilmasini yaratganini aytib beramiz.

Rossiya pochtasining zamonaviy logistika markazlaridan biri
 

Loyihadan oldin

Xitoy, G'arbiy Evropa va Shimoliy Amerikadagi xorijiy do'konlardan posilkalar sonining keskin o'sishi tufayli Rossiya pochtasining logistika ob'ektlariga yuk ko'tarildi. Shu sababli, yuqori samarali saralash mashinalaridan foydalanadigan yangi avlod logistika markazlari qurildi. Ular hisoblash infratuzilmasidan yordam talab qiladi.

Ma'lumotlar markazi infratuzilmasi eskirgan va korxona axborot tizimlarining ishlashida kerakli ishlash va ishonchlilikni ta'minlamagan. Shuningdek, Russian Post yangi xizmatlarni ishga tushirish uchun hisoblash quvvatining etishmasligini boshdan kechirdi.
 

Mijozlarning ma'lumotlar markazlari va ularning muammolari

Rossiya pochtasi ma'lumotlar markazlari 40 000 dan ortiq ob'ektlar va 85 ta hududiy bo'limlarga xizmat ko'rsatadi. Ma'lumotlar markazlari o'nlab biznes xizmatlarini, jumladan, elektron tijorat xizmatlarini XNUMX/XNUMX ishlaydi.

Bugungi kunda korxonalar katta ma'lumotlarni saqlash, tahlil qilish va qayta ishlash tizimlaridan foydalanadilar. Bunday tizimlar uchun sun'iy intellekt va mashinani o'rganish algoritmlaridan foydalanish muhim rol o'ynaydi. Bugungi kunda korxona uchun eng muhim holatlardan biri logistika oqimlarini boshqarishni optimallashtirish va pochta bo'limlarida mijozlarga xizmat ko'rsatishni jadallashtirishdir.

Modernizatsiya loyihasi boshlanishidan oldin asosiy va zaxira ma'lumotlar markazlarida 3000 ga yaqin virtual mashinalar mavjud bo'lib, saqlangan ma'lumotlar hajmi 2 petabaytdan oshdi. Ma'lumotlar markazlari xavfsizlik darajalariga ko'ra turli segmentlarga bo'linish bilan bog'liq murakkab trafik marshrutlash tuzilmasiga ega edi.

Ilovalarning rivojlanishi va yangi xizmatlarning joriy etilishi bilan ma'lumotlar markazlarida tarmoq uskunalarining mavjud o'tkazish qobiliyati etarli emas. Yangi tezlikdagi interfeyslarga o'tish talab qilindi: kirishda 10 Gbit/s o'rniga 1 Gbit/s va asosiy darajada 40 Gbit/s, uskunalar va aloqa kanallarining to'liq zaxirasi bilan.

Axborot xavfsizligi departamenti infratuzilmani trafik va ilovalarning axborot xavfsizligi yuqori bo'lgan segmentlarga bo'lish talabini oldi (PN - Private Network va DMZ - Demilitarized Zone). Trafik filtrlash kerak bo'lmagan xavfsizlik devorlari (FWU) orqali o'tdi. Ushbu trafik uchun kalitlardagi VRF ishlatilmadi. Xavfsizlik devoridagi qoidalar suboptimal edi (har bir ma'lumot markazida o'n minglab qoidalar).

IP-manzilni va segmentlar, shu jumladan korporativ ma'lumotlar tarmog'i (CDN) o'rtasidagi trafikning optimal yo'lini saqlab qolgan holda ma'lumotlar markazlari o'rtasida virtual mashinalarning (VM) uzluksiz migratsiyasini amalga oshirish mumkin emas edi.

MSTP zaxiralash uchun ishlatilgan; ba'zi portlar bloklangan (hot kutish rejimi). Yadro va kirish kalitlari muvaffaqiyatsiz klasterga birlashtirilmagan va interfeyslarni yig'ish (LAG) ishlatilmagan.

Uchinchi ma'lumotlar markazining paydo bo'lishi bilan ma'lumotlar markazlari orasidagi halqani boshqarish uchun yangi arxitektura va uskunalar konfiguratsiyasi talab qilindi (EVPN taklif qilindi).

Loyiha shaklida hujjatlashtirilgan va mijozning barcha bo'limlari bilan kelishilgan ma'lumotlar markazlarini rivojlantirishning yagona konsepsiyasi yo'q edi. Joriy tarmoq operatsion hujjatlari to'liq bo'lmagan va eskirgan.
 

Mijozlarning umidlari

Loyiha jamoasi quyidagi vazifalarni oldi:

• uchinchi ma'lumotlar markazining tarmoq va server infratuzilmasini qurish uchun arxitektura va rivojlanish konsepsiyasini tayyorlash;
• mijozning mavjud tarmog'ining operativ auditini o'tkazish;
• tarmoq yadrosi sig‘imini har bir ma’lumot markazida 1500 dan ortiq 10/40 Gbit/s Ethernet portiga kengaytirish (jami 4500 port);
• mijozning turli ma’lumotlar markazlaridagi hisoblash resurslarini yagona AT tizimiga birlashtirish maqsadida har bir segmentda tezlikni 80 Gbit/s gacha oshirish imkoniyatiga ega uchta ma’lumot markazlari o‘rtasidagi halqaning ishlashini ta’minlash;
• 100% darajasida maqsadli ish vaqtiga erishish uchun barcha tarmoq elementlarining 99,995% ikki barobar zaxirasini ta'minlash;
• biznes ilovalarini tezlashtirish uchun virtual mashinalar orasidagi trafik kechikishlarini minimallashtirish;
• statistik ma'lumotlarni to'plash, tahlil qilish va ma'lumotlar markazlarida trafikni filtrlash qoidalarini keyinchalik optimallashtirishni amalga oshirish (dastlab 80 000 ga yaqin qoidalar mavjud edi);
• mijozning muhim biznes ilovalarini uchta ma'lumot markazlaridan biriga uzluksiz ko'chirishni ta'minlash uchun maqsadli arxitekturani ishlab chiqish.

Shunday qilib, bizda ishlash kerak bo'lgan narsa bor edi.

uskunalar

Keling, loyihada qanday jihozlardan foydalanganimizni batafsil ko'rib chiqaylik.

Xavfsizlik devori (NGWF) USG9560:

• VSYS bo'yicha bo'linish;
• 720 Gbit / s gacha;
• bir vaqtning o'zida 720 milliongacha seanslar;
• 8 uyasi.

 
Router NE40E-X8:

• 7,08 Tbit/s gacha kommutatsiya quvvati;
• 2,880 Mppsgacha yo'naltirish ko'rsatkichi;
• Chiziq kartalari uchun 8 uyasi (LPU);
• MPU uchun 10M BGP IPv4 marshrutigacha;
• MPU uchun 1500K gacha OSPF IPv4 marshrutlari;
• 3000K gacha - IPv4 FIB (LPUga qarab).

CE12800 seriyali kalitlari:

• Qurilma virtualizatsiyasi: VS (1:16 virtualizatsiya), Cluster Switch System (CSS), Super Virtual Fabric (SVF);
• Tarmoq virtualizatsiyasi: M-LAG, TRILL, VXLAN va VXLAN ko'prigi, VXLAN, EVN (Ethernet Virtual Network) da QinQ;
• VRP V2 dan boshlab, EVPN qo'llab-quvvatlashi kiritilgan;
• M-LAG – Cisco Nexus uchun vPC (virtual Port Channel) analogi;
• Virtual Spanning Tree Protocol (VSTP) - Cisco PVST bilan mos keladi.

CE12804

CE12808

Dasturiy ta'minot

Loyihada biz foydalandik:

• Boshqa ishlab chiqaruvchilarning xavfsizlik devori konfiguratsiya fayllarini yangi uskunalar uchun buyruq formatiga o'zgartirish;
• xavfsizlik devori konfiguratsiyasini optimallashtirish va konvertatsiya qilish uchun xususiy skriptlar.

Konfiguratsiya fayllarini konvertatsiya qilish uchun konvertorning ko'rinishi
 
Ma'lumotlar markazlari o'rtasidagi aloqani tashkil qilish sxemasi (EVPN VXLAN)
 

Uskunani o'rnatishning nuanslari

CE12808
 

• Ma'lumotlar markazlari o'rtasidagi aloqa uchun EVN (Huawei mulki) o'rniga EVPN (standart):

  ○ Boshqaruv tekisligida iBGP yordamida L2 ustidan L3;
  ○ MAC treningi va ularni iBGP EVPN oilasi orqali reklama qilish (MAC marshrutlari, 2-tur);
  ○ translyatsiya / noma'lum unicast trafik uchun VXLAN tunnellarini avtomatik qurish (Inklyuziv Multicast Routes, 3-tur).

• VS-da ikkita bo'linish rejimi:

  ○ portlarga asoslangan (port rejimi porti) yoki ASIC asosida (port rejimi guruhi, qurilma port-xaritasini ko'rsatish);
  ○ portning ajratilgan o'lchamli interfeysi 40GE FAQAT Admin VS da ishlaydi (port rejimidan qat'iy nazar).

9560 AQSh dollari
 

• VSYS tomonidan bo'linish imkoniyati,
• VSYS o'rtasida dinamik marshrutlash va marshrutning oqishi mumkin emas!

CE12804
 
Ma'lumotlar markazlari o'rtasida MAC VRRP filtri bilan barcha faol GW (VRRP Master/Master/Master)
 
acl number 4000
  rule 5 deny source-mac 0000-5e00-0100 ffff-ffff-ff00
  rule 10 deny destination-mac 0000-5e00-0100 ffff-ffff-ff00
  rule 15 permit
 
interface Eth-Trunk1
  traffic-filter acl 4000 outbound

Ma'lumotlar markazlari o'rtasidagi resurslarning o'zaro ta'siri sxemasi (VXLAN EVPN va All Active GW)
 

Loyihaning qiyinchiliklari

Asosiy qiyinchilik hisoblash infratuzilmasi yordamida mavjud ilovalarning zaxira nusxasini yaratish zarurati edi. Buyurtmachining 100 dan ortiq turli xil ilovalari bor edi, ularning ba'zilari deyarli 10 yil oldin yozilgan. Misol uchun, agar Yandex uchun siz oxirgi foydalanuvchilarga zarar etkazmasdan bir necha yuzlab virtual mashinalarni osongina o'chirib qo'ysangiz, rus pochtasida bunday yondashuv noldan bir qator ilovalarni ishlab chiqishni va korporativ axborot tizimlari arxitekturasini o'zgartirishni talab qiladi. Migratsiya va optimallashtirish jarayonida yuzaga kelgan muammolarni hisoblash infratuzilmasini birgalikda tekshirish bosqichida hal qildik. Korxona uchun yangi bo'lgan barcha tarmoq texnologiyalari (masalan, EVPN) laboratoriyada dastlabki sinovdan o'tkazildi.
 

Loyiha natijalari

Loyiha guruhiga mutaxassislar kiritilgan "LANIT-integratsiya", mijoz va uning hamkorlari hisoblash infratuzilmasi faoliyatida. Shuningdek, sotuvchilardan (Check Point va Huawei) maxsus yordam guruhlari tuzildi. Loyiha ikki yil davom etdi. Bu vaqt ichida amalga oshirilgan ishlar.

• Ma'lumotlar markazlari tarmog'ini, korporativ ma'lumotlar tarmog'ini (CDTN) va ma'lumotlar markazlari o'rtasidagi halqani rivojlantirish strategiyasi ishlab chiqilgan va mijozning barcha bo'limlari bilan kelishilgan.
• Xizmatlarning mavjudligi oshdi. Bu mijozning biznesi tomonidan qayd etildi va yangi xizmatlarning joriy etilishi hisobiga trafikning yanada ko'payishiga olib keldi.
• 40 000 dan ortiq qoidalar FWSM/ASA dan USG 9560 ga koʻchirildi va optimallashtirildi. UGG 9560 dagi turli ASA kontekstlari yagona xavfsizlik siyosatiga birlashtirildi.
• CE1/CE10 yordamida maʼlumotlar markazi portlarining oʻtkazuvchanligi 40G dan 12800/6850G gacha oshirildi. Bu interfeysning ortiqcha yuklanishini va paketlarning yo'qolishini bartaraf etishga imkon berdi.
• NE40E-X8 tashuvchisi darajasidagi marshrutizatorlar kelajakda biznesni rivojlantirishni hisobga olgan holda mijozning ma'lumotlar markazi va ma'lumotlarni uzatish markazi ehtiyojlarini to'liq qopladi.
• USG 9560 uchun sakkizta yangi funksiya soʻrovi soʻralgan. Ulardan yettitasi allaqachon amalga oshirilgan va VRP ning joriy versiyasiga kiritilgan. 1 FR - Huawei R&D sohasida amalga oshirish uchun. Bu sakkiz shassili klaster bo'lib, sessiya sinxronizatsiyasisiz konfiguratsiyani sinxronlashtirish uchun kerakli funksiyalarni sozlash imkoniyatiga ega. Agar ma'lumotlar markazlaridan biriga transportning kechikishi juda katta bo'lsa, talab qilinadi (Adler - Moskva asosiy yo'nalish bo'ylab 1300 km va zaxira yo'nalish bo'ylab 2800 km).

Loyihaning boshqa Rossiya pochta kompaniyalari bilan solishtirganda o'xshashi yo'q.

Data-markazlarning tarmoq infratuzilmasini modernizatsiya qilish korxona uchun raqamli xizmatlarni rivojlantirish uchun yangi imkoniyatlar ochdi.

• Jismoniy va yuridik shaxslar uchun shaxsiy kabinet va mobil ilovani taqdim etish.
• Tovarlarni etkazib berish xizmatlarini ko'rsatish uchun elektron do'konlar bilan integratsiya.
• Bajarish - tovarlarni saqlash, elektron do'konlardan buyurtmalarni shakllantirish va etkazib berish.
• Buyurtmalarni qabul qilish punktlarini kengaytirish, shu jumladan sheriklik tarmoqlaridan foydalanish.
• Kontragentlar bilan qonuniy ahamiyatga ega bo'lgan hujjatlar aylanishi. Bu qog'oz hujjatlarning sekin va qimmat jo'natishini bartaraf qiladi.
• Ro'yxatdan o'tgan xatlarni elektron shaklda ham elektron, ham qog'oz ko'rinishida yetkazib berish bilan qabul qilish (elementlarni yakuniy oluvchiga iloji boricha yaqinroq bosish bilan). Davlat xizmatlari portalida elektron buyurtma xatlar xizmati.
• Teletibbiyot xizmatlarini ko'rsatish platformasi.
• Oddiy elektron imzo yordamida ro'yxatdan o'tgan xatni soddalashtirilgan qabul qilish va soddalashtirilgan yetkazib berish.
• Pochta tarmoqlarini raqamlashtirish.
• O'z-o'ziga xizmat ko'rsatish xizmatlarini qayta loyihalash (terminallar va posilkalar terminallari).
• Kuryerlik xizmatini boshqarish uchun raqamli platforma va kuryerlik xizmatlari mijozlari uchun yangi mobil ilovani yaratish.

Keling, biz bilan ishlang!

• Korporativ infratuzilma muhandisi
• Linux/DevOps yetakchi muhandisi

Manba: www.habr.com