Diagrammaning o'rta qismidagi ulanishlarni baholang. Quyida ularga qaytamiz.
Bir nuqtada, siz katta, murakkab L2-ga asoslangan tarmoqlar o'ta kasal ekanligini ko'rishingiz mumkin. Avvalo, BUM trafigini qayta ishlash va STP protokolining ishlashi bilan bog'liq muammolar. Ikkinchidan, arxitektura umuman eskirgan. Bu uzilishlar va noqulay ishlov berish shaklida noxush muammolarni keltirib chiqaradi.
Bizda ikkita parallel loyiha bor edi, ularda mijozlar variantlarning barcha ijobiy va salbiy tomonlarini sinchkovlik bilan baholadilar va ikkita turli qoplamali echimlarni tanladilar va biz ularni amalga oshirdik.
Amalga oshirishni solishtirish imkoniyati mavjud edi. Ekspluatatsiya emas, bu haqda ikki-uch yildan keyin gapirishimiz kerak.
Xo'sh, overlay tarmoqlari va SDN bilan tarmoq mato nima?
Klassik tarmoq arxitekturasining dolzarb muammolari bilan nima qilish kerak?
Har yili yangi texnologiyalar va g'oyalar paydo bo'ladi. Amalda, tarmoqlarni qayta tiklashning shoshilinch ehtiyoji uzoq vaqt davomida paydo bo'lmadi, chunki hamma narsani qo'lda yaxshi eski uslublar yordamida qilish ham mumkin. Xo'sh, agar bu yigirma birinchi asr bo'lsa-chi? Axir, ma'mur o'z kabinetida o'tirmasligi kerak, ishlashi kerak.
Keyin keng ko'lamli ma'lumotlar markazlari qurilishida bum boshlandi. Keyin klassik arxitekturaning rivojlanish chegarasiga nafaqat ishlash, nosozliklarga chidamlilik va miqyoslilik nuqtai nazaridan erishilganligi aniq bo'ldi. Va bu muammolarni hal qilish variantlaridan biri yo'naltirilgan magistralning tepasida ustki tarmoqlarni qurish g'oyasi edi.
Bundan tashqari, tarmoqlar miqyosi oshishi bilan bunday zavodlarni boshqarish muammosi keskinlashdi, buning natijasida butun tarmoq infratuzilmasini bir butun sifatida boshqarish qobiliyatiga ega dasturiy ta'minot bilan aniqlangan tarmoq echimlari paydo bo'la boshladi. Tarmoq esa bir nuqtadan boshqarilsa, AT infratuzilmasining boshqa komponentlari bilan u bilan o‘zaro aloqada bo‘lish osonroq bo‘ladi va bunday o‘zaro ta’sir jarayonlarini avtomatlashtirish osonroq bo‘ladi.
Deyarli har bir yirik ishlab chiqaruvchi nafaqat tarmoq uskunalari, balki virtualizatsiya ham o'z portfelida bunday echimlar uchun imkoniyatlarga ega.
Qolgan narsa nimaga mos kelishini aniqlashdir. Misol uchun, yaxshi ishlab chiqish va ekspluatatsiya guruhiga ega bo'lgan yirik kompaniyalar uchun sotuvchilarning qadoqlangan yechimlari har doim ham barcha ehtiyojlarni qondira olmaydi va ular o'zlarining SD (dasturiy ta'minot bilan belgilangan) echimlarini ishlab chiqishga murojaat qilishadi. Misol uchun, bu bulutli provayderlar bo'lib, ular o'z mijozlariga taqdim etilayotgan xizmatlar doirasini doimiy ravishda kengaytirmoqdalar va paketli echimlar ularning ehtiyojlarini qondira olmaydi.
O'rta kompaniyalar uchun sotuvchi tomonidan qutili yechim ko'rinishida taqdim etilgan funksionallik 99 foiz hollarda etarli.
Overlay tarmoqlari nima?
Overlay tarmoqlari ortida qanday g'oya bor? Asosan, siz klassik marshrutlangan tarmoqni olasiz va qo'shimcha funktsiyalarga ega bo'lish uchun uning ustiga boshqa tarmoq qurasiz. Ko'pincha biz uskunalar va aloqa liniyalariga yukni samarali taqsimlash, masshtablash chegarasini sezilarli darajada oshirish, ishonchlilikni oshirish va xavfsizlikning bir qator afzalliklari (segmentatsiya tufayli) haqida gapiramiz. Va SDN yechimlari, bunga qo'shimcha ravishda, juda, juda, juda qulay moslashuvchan boshqaruv imkoniyatini beradi va tarmoqni o'z iste'molchilari uchun shaffofroq qiladi.
Umuman olganda, agar mahalliy tarmoqlar 2010-yillarda ixtiro qilingan bo‘lsa, ular 1970-yillarda harbiylardan meros bo‘lib qolganimizdan ancha farq qilgan bo‘lar edi.
Overlay tarmoqlaridan foydalangan holda matolarni qurish texnologiyalari nuqtai nazaridan, hozirda ko'plab sotuvchilarni amalga oshirish va Internet RFC loyihalari mavjud (EVPN+VXLAN, EVPN+MPLS, EVPN+MPLSoGRE, EVPN+Geneve va boshqalar). Ha, standartlar mavjud, ammo turli ishlab chiqaruvchilar tomonidan ushbu standartlarni amalga oshirish har xil bo'lishi mumkin, shuning uchun bunday zavodlarni yaratishda sotuvchi blokirovkasidan faqat qog'ozda nazariy jihatdan butunlay voz kechish mumkin.
SD yechimi bilan narsalar yanada chalkash; har bir sotuvchining o'z qarashlari bor. Nazariy jihatdan siz o'zingizni to'ldirishingiz mumkin bo'lgan mutlaqo ochiq echimlar mavjud va butunlay yopiq echimlar mavjud.
Cisco ma'lumotlar markazlari uchun o'zining SDN versiyasini taklif etadi - ACI. Tabiiyki, bu tarmoq uskunalarini tanlash nuqtai nazaridan 100% sotuvchi tomonidan qulflangan yechimdir, lekin ayni paytda u virtualizatsiya tizimlari, konteynerlashtirish, xavfsizlik, orkestratsiya, yuk balanslagichlari va boshqalar bilan to'liq integratsiyalashgan. Lekin mohiyatiga ko'ra, u hali ham barcha ichki jarayonlarga to'liq kirish imkoniyatisiz qora quti turi. Barcha iste'molchilar bu variantga rozi emas, chunki siz yozma yechim kodining sifati va uni amalga oshirishga to'liq bog'liqsiz, lekin boshqa tomondan, ishlab chiqaruvchi dunyodagi eng yaxshi texnik yordamga ega va faqat bag'ishlangan maxsus guruhga ega. bu yechimga. Birinchi loyiha uchun yechim sifatida Cisco ACI tanlangan.
Ikkinchi loyiha uchun Juniper yechimi tanlandi. Ishlab chiqaruvchining ma'lumotlar markazi uchun o'z SDN-si ham bor, ammo mijoz SDN-ni joriy qilmaslikka qaror qildi. Tarmoq qurish texnologiyasi sifatida markazlashtirilgan kontrollerlardan foydalanmasdan EVPN VXLAN matosi tanlandi.
Bu nima uchun?
Zavodni yaratish oson kengaytiriladigan, nosozliklarga chidamli, ishonchli tarmoqni qurish imkonini beradi. Arxitektura (barg-umurtqa) ma'lumotlar markazlarining xususiyatlarini (trafik yo'llari, tarmoqdagi kechikishlar va to'siqlarni minimallashtirish) hisobga oladi. Ma'lumotlar markazlaridagi SD yechimlari bunday zavodni juda qulay, tez va moslashuvchan tarzda boshqarish va uni ma'lumotlar markazi ekotizimiga integratsiya qilish imkonini beradi.
Ikkala mijoz ham nosozliklarga chidamliligini ta'minlash uchun ortiqcha ma'lumotlar markazlarini qurishlari kerak edi va qo'shimcha ravishda ma'lumotlar markazlari orasidagi trafik shifrlanishi kerak edi.
Birinchi mijoz allaqachon o'z tarmoqlari uchun mumkin bo'lgan standart sifatida matosiz echimlarni ko'rib chiqdi, ammo sinovlarda ular bir nechta apparat sotuvchilari o'rtasida STP muvofiqligi bilan bog'liq muammolarga duch kelishdi. Xizmatlarning ishdan chiqishiga sabab bo'lgan uzilishlar mavjud edi. Va mijoz uchun bu juda muhim edi.
Cisco allaqachon mijozning korporativ standarti edi, ular ACI va boshqa variantlarni ko'rib chiqdilar va bu yechimni qabul qilishga arziydi deb qaror qilishdi. Menga bitta tugmachadan bitta kontroller orqali boshqarishni avtomatlashtirish yoqdi. Xizmatlar tezroq sozlanadi va tezroq boshqariladi. Biz IPN va SPINE kalitlari o'rtasida MACSec dasturini ishga tushirish orqali trafikni shifrlashni ta'minlashga qaror qildik. Shunday qilib, biz kripto shlyuz ko'rinishidagi to'siqlardan qochishga, ularni tejashga va maksimal o'tkazish qobiliyatidan foydalanishga muvaffaq bo'ldik.
Ikkinchi mijoz Juniper-dan boshqaruvchisiz yechimni tanladi, chunki ularning mavjud ma'lumotlar markazida EVPN VXLAN matosini amalga oshiradigan kichik o'rnatish allaqachon mavjud edi. Lekin u erda xatoga chidamli emas edi (bitta kalit ishlatilgan). Biz asosiy maʼlumotlar markazi infratuzilmasini kengaytirishga va zaxira maʼlumotlar markazida zavod qurishga qaror qildik. Mavjud EVPN to'liq ishlatilmadi: VXLAN inkapsulyatsiyasi aslida ishlatilmadi, chunki barcha xostlar bitta kalitga ulangan va barcha MAC manzillari va /32 xost manzillari mahalliy edi, ular uchun shlyuz bir xil kalit edi, boshqa qurilmalar yo'q edi. , bu erda VXLAN tunnellarini qurish kerak edi. Ular xavfsizlik devori o'rtasida IPSEC texnologiyasidan foydalangan holda trafikni shifrlashni ta'minlashga qaror qilishdi (xavfsizlik devorining ishlashi etarli edi).
Ular, shuningdek, ACI ni sinab ko'rishdi, lekin sotuvchi blokirovkasi tufayli ular juda ko'p apparat sotib olishlari kerak, shu jumladan yaqinda sotib olingan yangi uskunani almashtirishga qaror qilishdi va bu shunchaki iqtisodiy ma'noga ega emas edi. Ha, Cisco matosi hamma narsa bilan birlashadi, lekin faqat uning qurilmalari matoning o'zida mumkin.
Boshqa tomondan, yuqorida aytib o'tganimizdek, siz EVPN VXLAN matosini qo'shni sotuvchi bilan aralashtirib bo'lmaydi, chunki protokolni amalga oshirish har xil. Bu xuddi bitta tarmoqda Cisco va Huawei-ni kesib o'tishga o'xshaydi - bu standartlar odatiy bo'lib tuyuladi, lekin siz daf bilan raqsga tushishingiz kerak bo'ladi. Bu bank bo'lganligi sababli va muvofiqlik testlari juda uzoq davom etishi sababli, biz hozir bir xil sotuvchidan sotib olganimiz ma'qul, deb qaror qildik va asosiylaridan tashqari funksionallikka berilmaslik kerak.
Migratsiya rejasi
ACI-ga asoslangan ikkita ma'lumot markazlari:
Ma'lumotlar markazlari o'rtasidagi o'zaro aloqani tashkil etish. Multi-Pod yechimi tanlandi - har bir ma'lumot markazi pod. Kalitlar soni va podlar orasidagi kechikishlar (RTT 50 ms dan kam) bo'yicha masshtablash talablari hisobga olinadi. Boshqarish qulayligi uchun Ko‘p saytli yechim yaratmaslikka qaror qilindi (Multi-Pod yechimi bitta boshqaruv interfeysidan foydalanadi, Multi-Site ikkita interfeysga ega bo‘ladi yoki ko‘p saytli orkestrni talab qiladi) va hech qanday geografik joylashuvi yo‘q. saytlarni bron qilish kerak edi.
Legacy tarmog'idan xizmatlarni ko'chirish nuqtai nazaridan, ma'lum xizmatlarga mos keladigan VLAN-larni bosqichma-bosqich o'tkazadigan eng shaffof variant tanlandi.
Migratsiya uchun zavodda har bir VLAN uchun mos keladigan EPG (End-point-group) yaratilgan. Birinchidan, tarmoq L2 orqali eski tarmoq va mato o'rtasida cho'zilgan, keyin barcha xostlar ko'chirilgandan so'ng, shlyuz matoga ko'chirildi va EPG L3OUT orqali mavjud tarmoq bilan o'zaro ta'sir qildi, L3OUT va EPG o'rtasidagi o'zaro ta'sir. shartnomalar yordamida tasvirlangan. Taxminiy diagramma:
Ko'pgina ACI zavod siyosatlarining namunaviy tuzilishi quyidagi rasmda ko'rsatilgan. Butun sozlama boshqa siyosatlar va hokazolar ichiga kiritilgan siyosatlarga asoslanadi. Avvaliga buni tushunish juda qiyin, lekin asta-sekin, amaliyot shuni ko'rsatadiki, tarmoq ma'murlari taxminan bir oy ichida ushbu tuzilishga o'rganib qolishadi va keyin ular qanchalik qulay ekanligini tushunishni boshlaydilar.
Taqqoslash
Cisco ACI yechimida siz ko'proq uskuna sotib olishingiz kerak (Inter-Pod o'zaro ta'siri va APIC kontrollerlari uchun alohida kalitlar), bu esa uni qimmatroq qiladi. Juniperning yechimi kontrollerlar yoki aksessuarlar sotib olishni talab qilmadi; Buyurtmachining mavjud uskunasidan qisman foydalanish mumkin edi.
Mana, ikkinchi loyihaning ikkita ma'lumot markazlari uchun EVPN VXLAN mato arxitekturasi:
ACI bilan siz tayyor yechimga ega bo'lasiz - bunchalik qilishning hojati yo'q, optimallashtirishning hojati yo'q. Buyurtmachining zavod bilan dastlabki tanishuvi davomida ishlab chiquvchilar kerak emas, kod va avtomatlashtirish uchun yordamchi odamlar kerak emas. Foydalanish juda oson, ko'plab sozlamalar sehrgar orqali amalga oshirilishi mumkin, bu har doim ham ortiqcha emas, ayniqsa buyruq satriga o'rganib qolgan odamlar uchun. Qanday bo'lmasin, siyosatlar va ko'plab ichki siyosatlar bilan ishlash orqali sozlamalarning o'ziga xosligigacha miyani yangi yo'llarda qayta qurish uchun vaqt kerak bo'ladi. Bunga qo'shimcha ravishda, siyosat va ob'ektlarni nomlash uchun aniq tuzilmaga ega bo'lish juda ma'qul. Agar tekshirgichning mantig'ida biron bir muammo yuzaga kelsa, uni faqat texnik yordam orqali hal qilish mumkin.
EVPN da - konsol. Azob cheking yoki xursand bo'ling. Eski qo'riqchi uchun tanish interfeys. Ha, standart konfiguratsiya va qo'llanmalar mavjud. Mana chekishingiz kerak bo'ladi. Turli dizaynlar, hamma narsa aniq va batafsil.
Tabiiyki, ikkala holatda ham, ko'chib o'tishda, avvalo, eng muhim xizmatlarni emas, balki sinov muhitini ko'chirgan ma'qul va shundan keyingina barcha xatolarni aniqlagandan so'ng, ishlab chiqarishga o'ting. Juma kuni kechqurun esa sozlamang. Sotuvchiga hamma narsa yaxshi bo'ladi, deb ishonmasligingiz kerak, har doim xavfsiz o'ynash yaxshiroqdir.
Siz ACI uchun ko'proq to'laysiz, garchi Cisco hozirda ushbu yechimni faol ravishda targ'ib qilmoqda va ko'pincha unga yaxshi chegirmalar beradi, lekin siz texnik xizmatni tejaysiz. EVPN zavodini boshqaruvchisiz boshqarish va har qanday avtomatlashtirish investitsiyalar va muntazam xarajatlarni talab qiladi - monitoring, avtomatlashtirish, yangi xizmatlarni joriy etish. Shu bilan birga, ACIda dastlabki ishga tushirish 30-40 foizga ko'proq vaqtni oladi. Buning sababi, keyinchalik foydalaniladigan barcha kerakli profillar va siyosatlar to'plamini yaratish ko'proq vaqt talab etadi. Ammo tarmoq o'sishi bilan kerakli konfiguratsiyalar soni kamayadi. Siz oldindan yaratilgan siyosatlar, profillar, ob'ektlardan foydalanasiz. Siz segmentatsiya va xavfsizlikni moslashuvchan tarzda sozlashingiz, EPGlar o'rtasidagi muayyan o'zaro ta'sirlarga ruxsat berish uchun mas'ul bo'lgan shartnomalarni markazlashtirilgan tarzda boshqarishingiz mumkin - ish hajmi keskin kamayadi.
EVPN-da siz har bir qurilmani zavodda sozlashingiz kerak, xatolar ehtimoli katta.
ACI amalga oshirish sekinroq bo'lsa-da, EVPN disk raskadrovka uchun deyarli ikki baravar ko'p vaqt talab qildi. Agar Cisco misolida siz har doim qo'llab-quvvatlash muhandisiga qo'ng'iroq qilishingiz va butun tarmoq haqida so'rashingiz mumkin bo'lsa (chunki u yechim sifatida qamrab olingan), u holda Juniper Networks-dan faqat uskunani sotib olasiz va shu bilan bog'liq. Paketlar qurilmadan chiqib ketdimi? Xo'sh, yaxshi, keyin sizning muammolaringiz. Lekin siz yechim yoki tarmoq dizaynini tanlash haqida savol ochishingiz mumkin - va keyin ular qo'shimcha haq evaziga professional xizmatni sotib olishingizni maslahat berishadi.
ACI qo'llab-quvvatlashi juda zo'r, chunki u alohida: buning uchun alohida jamoa o'tiradi. Rusiyzabon mutaxassislar ham bor. Qo'llanma batafsil, echimlar oldindan belgilangan. Ular qarashadi va maslahat berishadi. Ular dizaynni tezda tasdiqlaydi, bu ko'pincha muhimdir. Juniper Networks ham xuddi shunday qiladi, lekin ancha sekinroq (bizda bu bor edi, endi mish-mishlarga ko'ra yaxshiroq bo'lishi kerak), bu sizni yechim muhandisi maslahat berishi mumkin bo'lgan hamma narsani o'zingiz qilishingizga majbur qiladi.
Cisco ACI virtualizatsiya va konteynerlashtirish tizimlari (VMware, Kubernetes, Hyper-V) va markazlashtirilgan boshqaruv bilan integratsiyani qo'llab-quvvatlaydi. Tarmoq va xavfsizlik xizmatlari bilan mavjud - balanslash, xavfsizlik devorlari, WAF, IPS va boshqalar ... Qutidagi yaxshi mikro-segmentatsiya. Ikkinchi yechimda, tarmoq xizmatlari bilan integratsiya osonlikcha, va buni qilganlar bilan forumlarni oldindan muhokama qilish yaxshiroqdir.
Xulosa
Har bir aniq holat uchun faqat uskunaning narxiga qarab emas, balki keyingi operatsion xarajatlarni va mijoz hozirda duch keladigan asosiy muammolarni va u erda qanday rejalarni hisobga olgan holda echimni tanlash kerak. IT infratuzilmasini rivojlantirishga qaratilgan.
Qo'shimcha jihozlar tufayli ACI qimmatroq edi, ammo eritma qo'shimcha pardozlash talab qilmasdan tayyor, ikkinchi yechim esa ishlash jihatidan murakkabroq va qimmatroq, ammo arzonroq.
Turli sotuvchilarda tarmoq matosini amalga oshirish qanchaga tushishi va qanday arxitektura kerakligini muhokama qilmoqchi bo'lsangiz, uchrashib, suhbatlashishingiz mumkin. Arxitekturaning taxminiy eskizini olmaguningizcha, biz sizga bepul maslahat beramiz (bu bilan siz byudjetni hisoblashingiz mumkin), batafsil ishlab chiqish, albatta, allaqachon to'langan.
Vladimir Klepche, korporativ tarmoqlar.
Manba: www.habr.com