Tôi chắc chắn rằng tất cả độc giả của Habr đều đã ít nhất một lần đặt hàng từ các cửa hàng trực tuyến ở nước ngoài và sau đó đến nhận bưu kiện tại Bưu điện Nga. Bạn có thể tưởng tượng quy mô của nhiệm vụ này, từ góc độ tổ chức hậu cần? Nhân số lượng người mua với số lần mua hàng của họ, hãy tưởng tượng một bản đồ đất nước rộng lớn của chúng ta và trên đó có hơn 40 nghìn bưu điện... Nhân tiện, năm 2018, Bưu điện Nga đã xử lý 345 triệu bưu kiện quốc tế.
Trong bài viết này, chúng tôi sẽ cho bạn biết những vấn đề mà Pochta gặp phải và cách nhóm Tích hợp LANIT giải quyết chúng, tạo ra cơ sở hạ tầng CNTT mới cho các trung tâm dữ liệu.
Một trong những trung tâm hậu cần hiện đại của Bưu điện Nga
Trước dự án
Do số lượng bưu kiện từ các cửa hàng nước ngoài ở Trung Quốc, Tây Âu và Bắc Mỹ tăng mạnh, tải trọng cho các cơ sở hậu cần của Bưu điện Nga đã tăng lên. Vì vậy, các trung tâm hậu cần thế hệ mới đã được xây dựng, sử dụng máy phân loại hiệu suất cao. Họ yêu cầu sự hỗ trợ từ cơ sở hạ tầng máy tính.
Cơ sở hạ tầng trung tâm dữ liệu đã lỗi thời và không cung cấp hiệu suất và độ tin cậy cần thiết trong hoạt động của hệ thống thông tin doanh nghiệp. Ngoài ra, Bưu điện Nga còn gặp phải tình trạng thiếu sức mạnh tính toán để triển khai các dịch vụ mới.
Trung tâm dữ liệu khách hàng và các vấn đề của họ
Các trung tâm dữ liệu của Bưu chính Nga phục vụ hơn 40 cơ sở và 000 cơ quan lãnh thổ. Các trung tâm dữ liệu vận hành hàng chục dịch vụ kinh doanh 85/XNUMX, bao gồm cả dịch vụ thương mại điện tử.
Ngày nay, các doanh nghiệp sử dụng các hệ thống để lưu trữ, phân tích và xử lý dữ liệu lớn. Đối với những hệ thống như vậy, việc sử dụng trí tuệ nhân tạo và thuật toán học máy đóng vai trò quan trọng. Ngày nay, một trong những trường hợp quan trọng nhất đối với doanh nghiệp là tối ưu hóa việc quản lý luồng logistics và đẩy nhanh dịch vụ khách hàng tại các bưu cục.
Trước khi bắt đầu dự án hiện đại hóa, có khoảng 3000 máy ảo trong trung tâm dữ liệu chính và dự phòng, khối lượng thông tin được lưu trữ vượt quá 2 petabyte. Các trung tâm dữ liệu có cấu trúc định tuyến lưu lượng phức tạp liên quan đến việc phân chia thành nhiều phân đoạn khác nhau theo cấp độ bảo mật.
Với sự phát triển của các ứng dụng và sự ra đời của các dịch vụ mới, băng thông hiện có của thiết bị mạng trong các trung tâm dữ liệu trở nên không đủ. Cần phải chuyển đổi sang các giao diện với tốc độ mới: 10 Gbit/s, thay vì 1 Gbit/s khi truy cập và 40 Gbit/s ở cấp lõi, với sự dư thừa đầy đủ của thiết bị và kênh liên lạc.
Bộ phận an ninh thông tin nhận được yêu cầu chia cơ sở hạ tầng thành các phân khúc có mức độ bảo mật thông tin cao về lưu lượng và ứng dụng (PN - Mạng riêng và DMZ - Khu phi quân sự). Lưu lượng truy cập đi qua tường lửa (FWU) không cần phải lọc. VRF trên các thiết bị chuyển mạch không được sử dụng cho lưu lượng này. Các quy tắc trên tường lửa chưa tối ưu (hàng chục nghìn quy tắc trong mỗi trung tâm dữ liệu).
Việc di chuyển liền mạch các máy ảo (VM) giữa các trung tâm dữ liệu trong khi vẫn duy trì địa chỉ IP và đường dẫn tối ưu cho lưu lượng giữa các phân đoạn, bao gồm cả mạng dữ liệu doanh nghiệp (CDN), là không thể.
MSTP được sử dụng để sao lưu; một số cổng đã bị chặn (chế độ chờ nóng). Các bộ chuyển mạch lõi và truy cập không được kết hợp thành một cụm chuyển đổi dự phòng và tính năng tổng hợp giao diện (LAG) không được sử dụng.
Với sự ra đời của trung tâm dữ liệu thứ ba, cần phải có kiến trúc và cấu hình thiết bị mới để vận hành vòng kết nối giữa các trung tâm dữ liệu (EVPN đã được đề xuất).
Không có khái niệm thống nhất nào về việc phát triển trung tâm dữ liệu, được ghi lại dưới dạng dự án và được tất cả các bộ phận của khách hàng thống nhất. Tài liệu vận hành mạng hiện tại không đầy đủ và lỗi thời.
Kỳ vọng của khách hàng
Nhóm dự án phải đối mặt với các nhiệm vụ sau:
- chuẩn bị ý tưởng kiến trúc và phát triển để xây dựng cơ sở hạ tầng mạng và máy chủ của trung tâm dữ liệu thứ ba;
- tiến hành kiểm tra hoạt động của mạng hiện tại của khách hàng;
- mở rộng công suất lõi mạng thêm hơn 1500 cổng Ethernet 10/40 Gbit/s trong mỗi trung tâm dữ liệu (tổng cộng 4500 cổng);
- đảm bảo vận hành vòng kết nối giữa ba trung tâm dữ liệu với khả năng tăng tốc độ lên tới 80 Gbit/s trên mỗi phân đoạn nhằm kết hợp tài nguyên máy tính của khách hàng từ các trung tâm dữ liệu khác nhau vào một hệ thống CNTT duy nhất;
- cung cấp dự trữ kép 100% cho tất cả các thành phần mạng để đạt được Thời gian hoạt động mục tiêu ở mức 99,995%;
- giảm thiểu độ trễ lưu lượng giữa các máy ảo để tăng tốc các ứng dụng kinh doanh;
- thu thập số liệu thống kê, phân tích và thực hiện tối ưu hóa các quy tắc lọc lưu lượng tiếp theo trong trung tâm dữ liệu (ban đầu có khoảng 80 quy tắc);
- phát triển kiến trúc mục tiêu để đảm bảo di chuyển liền mạch các ứng dụng kinh doanh quan trọng của khách hàng tới bất kỳ trung tâm dữ liệu nào trong số ba trung tâm dữ liệu.
Vì vậy, chúng tôi đã có một cái gì đó để làm việc.
Оборудование
Chúng ta hãy xem xét kỹ hơn những thiết bị chúng tôi đã sử dụng trong dự án.
Tường lửa (NGWF) USG9560:
- chia cho VSYS;
- lên tới 720 Gbps;
- lên tới 720 triệu phiên đồng thời;
- 8 khe.
Bộ định tuyến NE40E-X8:
- Công suất chuyển mạch lên tới 7,08 Tbit/s;
- Hiệu suất chuyển tiếp lên tới 2,880 Mpps;
- 8 khe cắm thẻ dòng (LPU);
- lên tới 10 triệu tuyến BGP IPv4 trên mỗi MPU;
- lên tới 1500K tuyến OSPF IPv4 trên mỗi MPU;
- lên tới 3000K – IPv4 FIB (tùy thuộc vào LPU).
Công tắc dòng CE12800:
- Ảo hóa thiết bị: VS (ảo hóa 1:16), Hệ thống chuyển mạch cụm (CSS), Cấu trúc siêu ảo (SVF);
- Ảo hóa mạng: Cầu nối M-LAG, TRILL, VXLAN và VXLAN, QinQ trong VXLAN, EVEN (Mạng ảo Ethernet);
- bắt đầu từ VRP V2, hỗ trợ EVPN được bao gồm;
- M-LAG – tương tự vPC (Kênh cổng ảo) cho Cisco Nexus;
- Giao thức cây kéo dài ảo (VSTP) – Tương thích với Cisco PVST.
CE12804
CE12808
Phần mềm
Trong dự án chúng tôi đã sử dụng:
- Chuyển đổi các tập tin cấu hình tường lửa từ các nhà cung cấp khác sang định dạng lệnh cho thiết bị mới;
- các tập lệnh độc quyền để tối ưu hóa và chuyển đổi cấu hình tường lửa.
Xuất hiện trình chuyển đổi để chuyển đổi tập tin cấu hình
Sơ đồ tổ chức liên lạc giữa các trung tâm dữ liệu (EVPN VXLAN)
Các sắc thái của việc thiết lập thiết bị
CE12808
- EVPN (tiêu chuẩn) thay vì EV (độc quyền của Huawei) để liên lạc giữa các trung tâm dữ liệu:
○ L2 trên L3 sử dụng iBGP trong mặt phẳng Điều khiển;
○ Đào tạo MAC và quảng cáo của họ thông qua dòng iBGP EVPN (các tuyến MAC, loại 2);
○ tự động xây dựng các đường hầm VXLAN cho lưu lượng phát sóng/không xác định (Các tuyến đường đa hướng bao gồm, loại 3). - Hai chế độ phân chia trên VS:
○ dựa trên cổng (cổng chế độ cổng) hoặc dựa trên ASIC (nhóm chế độ cổng, bản đồ cổng thiết bị hiển thị);
○ giao diện kích thước phân chia cổng 40GE CHỈ hoạt động trong Admin VS (bất kể chế độ cổng).
USG9560
- khả năng phân chia bởi VSYS,
- Không thể định tuyến động và rò rỉ tuyến đường giữa VSYS!
CE12804
Tất cả GW hoạt động (VRRP Master/Master/Master) với tính năng lọc MAC VRRP giữa các trung tâm dữ liệu
acl number 4000
rule 5 deny source-mac 0000-5e00-0100 ffff-ffff-ff00
rule 10 deny destination-mac 0000-5e00-0100 ffff-ffff-ff00
rule 15 permit
interface Eth-Trunk1
traffic-filter acl 4000 outbound
Sơ đồ tương tác tài nguyên giữa các trung tâm dữ liệu (VXLAN EVPN và All Active GW)
Khó khăn của dự án
Khó khăn chính là nhu cầu sao lưu các ứng dụng hiện có bằng cơ sở hạ tầng máy tính. Khách hàng có hơn 100 ứng dụng khác nhau, một số ứng dụng được viết cách đây gần 10 năm. Ví dụ: nếu đối với Yandex, bạn có thể dễ dàng tắt hàng trăm máy ảo mà không gây hại cho người dùng cuối, thì ở Bưu điện Nga, cách tiếp cận như vậy sẽ yêu cầu phát triển một số ứng dụng từ đầu và thay đổi kiến trúc của hệ thống thông tin doanh nghiệp. Chúng tôi đã giải quyết các vấn đề phát sinh trong quá trình di chuyển và tối ưu hóa ở giai đoạn kiểm tra chung cơ sở hạ tầng máy tính. Tất cả các công nghệ mạng mới đối với doanh nghiệp (chẳng hạn như EVPN) đều đã trải qua thử nghiệm sơ bộ trong phòng thí nghiệm.
Kết quả dự án
Nhóm dự án bao gồm các chuyên gia , khách hàng và các đối tác của mình trong việc vận hành cơ sở hạ tầng máy tính. Các nhóm hỗ trợ chuyên dụng từ các nhà cung cấp (Check Point và Huawei) cũng được thành lập. Dự án mất hai năm. Đây là những gì đã được thực hiện trong thời gian này.
- Chiến lược phát triển mạng lưới các trung tâm dữ liệu, Mạng dữ liệu doanh nghiệp (CDTN) và vòng kết nối giữa các trung tâm dữ liệu đã được phát triển và thống nhất với tất cả các bộ phận của khách hàng.
- Sự sẵn có của các dịch vụ đã tăng lên. Điều này đã được doanh nghiệp của khách hàng ghi nhận và dẫn đến lưu lượng truy cập thậm chí còn tăng hơn do sự ra đời của các dịch vụ mới.
- Hơn 40 quy tắc đã được di chuyển và tối ưu hóa từ FWSM/ASA sang USG 000. Các bối cảnh ASA khác nhau trên UGG 9560 đã được kết hợp thành một chính sách bảo mật duy nhất.
- Thông lượng của các cổng trung tâm dữ liệu đã được tăng từ 1G lên 10/40G thông qua việc sử dụng CE12800/CE6850. Điều này giúp loại bỏ tình trạng quá tải giao diện và mất gói.
- Bộ định tuyến cấp nhà cung cấp dịch vụ NE40E-X8 đáp ứng đầy đủ nhu cầu về trung tâm dữ liệu và trung tâm truyền dữ liệu của khách hàng, có tính đến sự phát triển kinh doanh trong tương lai.
- Tám Yêu cầu tính năng mới đã được yêu cầu cho USG 9560. Trong số đó, bảy Yêu cầu tính năng đã được triển khai và được đưa vào phiên bản hiện tại của VRP. 1 FR - để triển khai trong hoạt động R&D của Huawei. Đây là cụm tám khung có khả năng định cấu hình chức năng cần thiết để đồng bộ hóa cấu hình mà không cần đồng bộ hóa phiên. Cần thiết nếu độ trễ giao thông đến một trong các trung tâm dữ liệu quá lớn (Adler - Moscow 1300 km dọc theo tuyến đường chính và 2800 km dọc theo tuyến dự bị).
Dự án không có điểm tương đồng so với các công ty bưu chính khác của Nga.
Việc hiện đại hóa cơ sở hạ tầng mạng của các trung tâm dữ liệu đã mở ra cơ hội mới cho doanh nghiệp phát triển các dịch vụ số.
- Cung cấp tài khoản cá nhân và ứng dụng di động cho cá nhân và pháp nhân.
- Tích hợp với các cửa hàng điện tử để cung cấp dịch vụ giao nhận hàng hóa.
- Thực hiện - lưu trữ hàng hóa, hình thành và giao đơn đặt hàng từ các cửa hàng điện tử.
- Mở rộng các điểm nhận hàng, bao gồm cả việc sử dụng mạng lưới liên kết.
- Luồng tài liệu có ý nghĩa pháp lý với các đối tác. Điều này sẽ loại bỏ việc gửi tài liệu giấy chậm và tốn kém.
- Chấp nhận các thư đã đăng ký ở dạng điện tử với việc gửi cả dạng điện tử và dạng giấy (với việc in các mục càng gần người nhận cuối cùng càng tốt). Dịch vụ đăng ký điện tử trên Cổng dịch vụ công.
- Nền tảng cung cấp dịch vụ y tế từ xa.
- Đơn giản hóa việc tiếp nhận và gửi thư đã đăng ký bằng chữ ký điện tử đơn giản.
- Số hóa mạng lưới bưu điện.
- Thiết kế lại các dịch vụ tự phục vụ (thiết bị đầu cuối và thiết bị đầu cuối bưu kiện).
- Tạo nền tảng kỹ thuật số để quản lý dịch vụ chuyển phát nhanh và ứng dụng di động mới dành cho khách hàng sử dụng dịch vụ chuyển phát nhanh.
Hãy đến làm việc với chúng tôi!
Nguồn: www.habr.com