Đánh giá các kết nối ở phần giữa của sơ đồ. Chúng tôi sẽ quay lại với họ dưới đây
Tại một thời điểm nào đó, bạn có thể thấy rằng các mạng dựa trên L2 lớn, phức tạp đang bị bệnh nan y. Trước hết là các vấn đề liên quan đến việc xử lý lưu lượng BUM và hoạt động của giao thức STP. Thứ hai, kiến trúc nhìn chung đã lỗi thời. Điều này gây ra những vấn đề khó chịu dưới dạng thời gian ngừng hoạt động và xử lý bất tiện.
Chúng tôi có hai dự án song song, trong đó khách hàng đánh giá một cách nghiêm túc tất cả ưu và nhược điểm của các phương án và chọn hai giải pháp lớp phủ khác nhau và chúng tôi đã triển khai chúng.
Có một cơ hội để so sánh việc thực hiện. Không phải bóc lột; chúng ta nên nói về nó trong hai hoặc ba năm nữa.
Vì vậy, kết cấu mạng với mạng lớp phủ và SDN là gì?
Phải làm gì với những vấn đề cấp bách của kiến trúc mạng cổ điển?
Mỗi năm các công nghệ và ý tưởng mới đều xuất hiện. Trên thực tế, nhu cầu cấp thiết để xây dựng lại mạng đã không xuất hiện trong một thời gian khá dài, bởi vì cũng có thể thực hiện mọi thứ bằng tay bằng các phương pháp lỗi thời. Vậy nếu đó là thế kỷ XXI thì sao? Rốt cuộc, một quản trị viên nên làm việc chứ không phải ngồi trong văn phòng của mình.
Sau đó, sự bùng nổ trong việc xây dựng các trung tâm dữ liệu quy mô lớn bắt đầu. Sau đó, rõ ràng là giới hạn phát triển của kiến trúc cổ điển đã đạt đến, không chỉ về hiệu suất, khả năng chịu lỗi và khả năng mở rộng. Và một trong những lựa chọn để giải quyết những vấn đề này là ý tưởng xây dựng các mạng lớp phủ trên đường trục được định tuyến.
Ngoài ra, với sự gia tăng quy mô của mạng, vấn đề quản lý các nhà máy như vậy trở nên gay gắt, do đó các giải pháp mạng được xác định bằng phần mềm bắt đầu xuất hiện với khả năng quản lý toàn bộ cơ sở hạ tầng mạng. Và khi mạng được quản lý từ một điểm duy nhất, các thành phần khác của cơ sở hạ tầng CNTT sẽ dễ dàng tương tác với mạng hơn và các quy trình tương tác như vậy sẽ dễ dàng tự động hóa hơn.
Hầu hết mọi nhà sản xuất lớn không chỉ thiết bị mạng mà còn cả ảo hóa đều có các lựa chọn cho các giải pháp như vậy trong danh mục đầu tư của mình.
Tất cả những gì còn lại là tìm ra cái gì phù hợp với nhu cầu nào. Ví dụ: đối với các công ty đặc biệt lớn có đội ngũ phát triển và vận hành giỏi, các giải pháp đóng gói từ nhà cung cấp không phải lúc nào cũng đáp ứng mọi nhu cầu và họ phải phát triển các giải pháp SD (được xác định bằng phần mềm) của riêng mình. Ví dụ: đây là những nhà cung cấp đám mây không ngừng mở rộng phạm vi dịch vụ được cung cấp cho khách hàng của họ và các giải pháp đóng gói đơn giản là không thể theo kịp nhu cầu của họ.
Đối với các công ty cỡ trung bình, chức năng do nhà cung cấp cung cấp dưới dạng giải pháp đóng hộp là đủ trong 99% trường hợp.
Mạng lớp phủ là gì?
Ý tưởng đằng sau mạng lớp phủ là gì? Về cơ bản, bạn lấy một mạng định tuyến cổ điển và xây dựng một mạng khác trên mạng đó để có được nhiều tính năng hơn. Thông thường, chúng ta đang nói về việc phân phối tải trên thiết bị và đường dây liên lạc một cách hiệu quả, tăng đáng kể giới hạn khả năng mở rộng, tăng độ tin cậy và một loạt tính năng bảo mật (do phân đoạn). Và các giải pháp SDN, ngoài điều này, còn mang đến cơ hội quản trị linh hoạt rất, rất, rất thuận tiện và làm cho mạng trở nên minh bạch hơn đối với người tiêu dùng.
Nói chung, nếu mạng cục bộ được phát minh vào những năm 2010, chúng sẽ trông khác xa so với những gì chúng ta thừa hưởng từ quân đội những năm 1970.
Về công nghệ xây dựng kết cấu sử dụng mạng lớp phủ, hiện có nhiều triển khai của nhà cung cấp và các dự án Internet RFC (EVPN+VXLAN, EVPN+MPLS, EVPN+MPLSoGRE, EVPN+Geneve và các dự án khác). Đúng, có các tiêu chuẩn, nhưng việc thực hiện các tiêu chuẩn này của các nhà sản xuất khác nhau có thể khác nhau, vì vậy khi tạo ra các nhà máy như vậy, vẫn có thể loại bỏ hoàn toàn việc khóa nhà cung cấp chỉ trên lý thuyết trên giấy.
Với giải pháp SD, mọi thứ thậm chí còn khó hiểu hơn; mỗi nhà cung cấp đều có tầm nhìn riêng. Về lý thuyết, có những giải pháp hoàn toàn mở mà bạn có thể tự hoàn thiện và có những giải pháp hoàn toàn đóng.
Cisco cung cấp phiên bản SDN cho trung tâm dữ liệu - ACI. Đương nhiên, đây là giải pháp 100% do nhà cung cấp khóa về việc lựa chọn thiết bị mạng, nhưng đồng thời nó được tích hợp đầy đủ các hệ thống ảo hóa, container hóa, bảo mật, điều phối, cân bằng tải, v.v. Nhưng về bản chất, nó vẫn là một giải pháp loại hộp đen, không có khả năng truy cập đầy đủ vào tất cả các quy trình nội bộ. Không phải tất cả khách hàng đều đồng ý với tùy chọn này, vì bạn hoàn toàn phụ thuộc vào chất lượng của mã giải pháp bằng văn bản và việc triển khai nó, nhưng mặt khác, nhà sản xuất có một trong những bộ phận hỗ trợ kỹ thuật tốt nhất trên thế giới và có một đội ngũ tận tâm chỉ dành riêng cho bạn. đến giải pháp này. Cisco ACI được chọn làm giải pháp cho dự án đầu tiên.
Đối với dự án thứ hai, giải pháp Juniper đã được chọn. Nhà sản xuất cũng có SDN riêng cho trung tâm dữ liệu nhưng khách hàng quyết định không triển khai SDN. Cấu trúc EVPN VXLAN không sử dụng bộ điều khiển tập trung đã được chọn làm công nghệ xây dựng mạng.
Nó để làm gì
Tạo một nhà máy cho phép bạn xây dựng một mạng lưới đáng tin cậy, có khả năng chịu lỗi và dễ dàng mở rộng. Kiến trúc (cột sống lá) có tính đến các đặc điểm của trung tâm dữ liệu (đường dẫn lưu lượng, giảm thiểu độ trễ và tắc nghẽn trong mạng). Giải pháp SD trong trung tâm dữ liệu cho phép bạn quản lý một nhà máy như vậy rất thuận tiện, nhanh chóng và linh hoạt và tích hợp nó vào hệ sinh thái trung tâm dữ liệu.
Cả hai khách hàng đều cần xây dựng các trung tâm dữ liệu dự phòng để đảm bảo khả năng chịu lỗi và ngoài ra, lưu lượng giữa các trung tâm dữ liệu phải được mã hóa.
Khách hàng đầu tiên đã xem xét các giải pháp không cần chế tạo như một tiêu chuẩn khả thi cho mạng của họ, nhưng trong các thử nghiệm, họ gặp vấn đề với khả năng tương thích STP giữa một số nhà cung cấp phần cứng. Đã có những thời gian ngừng hoạt động khiến dịch vụ gặp sự cố. Và đối với khách hàng, điều này rất quan trọng.
Cisco đã là tiêu chuẩn doanh nghiệp của khách hàng, họ đã xem xét ACI và các lựa chọn khác và quyết định rằng giải pháp này đáng được thực hiện. Tôi thích tính năng tự động điều khiển từ một nút bấm thông qua một bộ điều khiển duy nhất. Dịch vụ được cấu hình nhanh hơn và quản lý nhanh hơn. Chúng tôi quyết định đảm bảo mã hóa lưu lượng bằng cách chạy MACSec giữa các bộ chuyển mạch IPN và SPINE. Do đó, chúng tôi đã tránh được tình trạng thắt cổ chai ở dạng cổng tiền điện tử, tiết kiệm chúng và sử dụng băng thông tối đa.
Khách hàng thứ hai đã chọn giải pháp không cần bộ điều khiển từ Juniper vì trung tâm dữ liệu hiện tại của họ đã có một bản cài đặt nhỏ triển khai cấu trúc EVPN VXLAN. Nhưng ở đó nó không có khả năng chịu lỗi (một công tắc đã được sử dụng). Chúng tôi quyết định mở rộng cơ sở hạ tầng của trung tâm dữ liệu chính và xây dựng nhà máy tại trung tâm dữ liệu dự phòng. EVPN hiện tại chưa được sử dụng đầy đủ: Việc đóng gói VXLAN không thực sự được sử dụng, vì tất cả các máy chủ đều được kết nối với một bộ chuyển mạch và tất cả các địa chỉ MAC và /32 địa chỉ máy chủ đều là cục bộ, cổng dành cho chúng là cùng một bộ chuyển mạch, không có thiết bị nào khác , nơi cần thiết để xây dựng đường hầm VXLAN. Họ quyết định đảm bảo mã hóa lưu lượng sử dụng công nghệ IPSEC giữa các tường lửa (hiệu suất của tường lửa là đủ).
Họ cũng đã thử ACI, nhưng quyết định rằng do khóa nhà cung cấp, họ sẽ phải mua quá nhiều phần cứng, bao gồm cả việc thay thế thiết bị mới mua gần đây và điều đó đơn giản là không có ý nghĩa kinh tế. Có, cấu trúc của Cisco tích hợp với mọi thứ, nhưng chỉ các thiết bị của nó mới có thể tích hợp được trong chính cấu trúc đó.
Mặt khác, như chúng tôi đã nói trước đó, bạn không thể chỉ kết hợp cấu trúc EVPN VXLAN với bất kỳ nhà cung cấp lân cận nào vì cách triển khai giao thức là khác nhau. Nó giống như việc vượt qua Cisco và Huawei trong một mạng - có vẻ như các tiêu chuẩn là phổ biến, nhưng bạn sẽ phải nhảy theo nhịp điệu lục lạc. Vì đây là một ngân hàng và các cuộc kiểm tra khả năng tương thích sẽ rất dài nên chúng tôi quyết định rằng tốt hơn hết là nên mua từ cùng một nhà cung cấp ngay bây giờ và không quá bận tâm với các chức năng ngoài những chức năng cơ bản.
kế hoạch di chuyển
Hai trung tâm dữ liệu dựa trên ACI:
Tổ chức tương tác giữa các trung tâm dữ liệu. Giải pháp Multi-Pod đã được chọn - mỗi trung tâm dữ liệu là một nhóm. Các yêu cầu về chia tỷ lệ theo số lượng thiết bị chuyển mạch và độ trễ giữa các nhóm (RTT dưới 50 ms) đều được tính đến. Người ta đã quyết định không xây dựng giải pháp Multi-Site để dễ quản lý (giải pháp Multi-Pod sử dụng một giao diện quản lý duy nhất, Multi-Site sẽ có hai giao diện hoặc sẽ yêu cầu Multi-Site Orchestrator) và vì không có địa lý yêu cầu đặt trước các địa điểm.
Từ quan điểm di chuyển các dịch vụ từ mạng Legacy, phương án minh bạch nhất đã được chọn, chuyển dần các Vlan tương ứng với một số dịch vụ nhất định.
Để di chuyển, một EPG (Nhóm điểm cuối) tương ứng đã được tạo cho mỗi Vlan tại nhà máy. Đầu tiên, mạng được kéo dài giữa mạng cũ và kết cấu qua L2, sau đó sau khi tất cả các máy chủ đã được di chuyển, cổng được chuyển đến kết cấu và EPG tương tác với mạng hiện có thông qua L3OUT, trong khi tương tác giữa L3OUT và EPG được mô tả bằng cách sử dụng hợp đồng. Sơ đồ gần đúng:
Cấu trúc mẫu của hầu hết các chính sách của nhà máy ACI được thể hiện trong hình bên dưới. Toàn bộ thiết lập dựa trên các chính sách được lồng trong các chính sách khác, v.v. Lúc đầu, rất khó để tìm ra nó, nhưng dần dần, như thực tế cho thấy, các quản trị viên mạng sẽ quen với cấu trúc này trong khoảng một tháng và sau đó họ chỉ bắt đầu hiểu nó tiện lợi như thế nào.
So sánh
Trong giải pháp Cisco ACI, bạn cần mua thêm thiết bị (các công tắc riêng cho bộ điều khiển APIC và tương tác giữa các Pod), điều này khiến thiết bị trở nên đắt hơn. Giải pháp của Juniper không yêu cầu mua bộ điều khiển hoặc phụ kiện; Có thể sử dụng một phần thiết bị hiện có của khách hàng.
Đây là kiến trúc vải EVPN VXLAN cho hai trung tâm dữ liệu của dự án thứ hai:
Với ACI, bạn sẽ có được giải pháp làm sẵn - không cần mày mò, không cần tối ưu hóa. Trong quá trình làm quen ban đầu của khách hàng với nhà máy, không cần nhà phát triển, không cần người hỗ trợ về mã và tự động hóa. Nó khá dễ sử dụng; nhiều cài đặt có thể được thực hiện thông qua trình hướng dẫn, điều này không phải lúc nào cũng là một điểm cộng, đặc biệt đối với những người đã quen với dòng lệnh. Trong mọi trường hợp, cần có thời gian để xây dựng lại bộ não theo những hướng đi mới, phù hợp với đặc thù của bối cảnh thông qua các chính sách và vận hành với nhiều chính sách lồng nhau. Ngoài ra, rất mong muốn có một cấu trúc rõ ràng để đặt tên các chính sách và đối tượng. Nếu có bất kỳ vấn đề nào phát sinh về logic của bộ điều khiển, nó chỉ có thể được giải quyết thông qua hỗ trợ kỹ thuật.
Trong EVPN - bảng điều khiển. Đau khổ hay vui mừng. Một giao diện quen thuộc dành cho người bảo vệ cũ. Có, có cấu hình tiêu chuẩn và hướng dẫn. Bạn sẽ phải hút mana. Thiết kế khác nhau, mọi thứ đều rõ ràng và chi tiết.
Đương nhiên, trong cả hai trường hợp, khi di chuyển, tốt hơn hết là trước tiên bạn không nên di chuyển các dịch vụ quan trọng nhất, chẳng hạn như môi trường thử nghiệm và chỉ sau đó, sau khi đã phát hiện tất cả các lỗi, hãy tiến hành sản xuất. Và đừng theo dõi vào tối thứ Sáu. Bạn không nên tin tưởng vào nhà cung cấp rằng mọi thứ sẽ ổn, tốt hơn hết là bạn nên chơi an toàn.
Bạn phải trả nhiều tiền hơn cho ACI, mặc dù Cisco hiện đang tích cực quảng bá giải pháp này và thường đưa ra mức chiết khấu hấp dẫn cho nó nhưng bạn lại tiết kiệm được chi phí bảo trì. Việc quản lý và tự động hóa bất kỳ nhà máy EVPN nào không có bộ điều khiển đều cần đầu tư và chi phí thường xuyên - giám sát, tự động hóa, triển khai các dịch vụ mới. Đồng thời, lần ra mắt đầu tiên tại ACI mất nhiều thời gian hơn từ 30–40%. Điều này xảy ra vì phải mất nhiều thời gian hơn để tạo toàn bộ bộ hồ sơ và chính sách cần thiết để sử dụng sau đó. Nhưng khi mạng phát triển, số lượng cấu hình cần thiết sẽ giảm đi. Bạn sử dụng các chính sách, hồ sơ, đối tượng được tạo sẵn. Bạn có thể định cấu hình linh hoạt phân đoạn và bảo mật, quản lý tập trung các hợp đồng chịu trách nhiệm cho phép các tương tác nhất định giữa các EPG - khối lượng công việc giảm mạnh.
Trong EVPN, bạn cần định cấu hình từng thiết bị trong nhà máy thì khả năng xảy ra lỗi sẽ cao hơn.
Trong khi ACI triển khai chậm hơn thì EVPN mất gần gấp đôi thời gian để gỡ lỗi. Nếu trong trường hợp của Cisco, bạn luôn có thể gọi cho kỹ sư hỗ trợ và hỏi về toàn bộ mạng (vì nó được đề cập như một giải pháp), thì từ Juniper Networks, bạn chỉ mua phần cứng và đó là những gì được đề cập. Các gói đã rời khỏi thiết bị? Được rồi, vậy thì vấn đề của bạn. Nhưng bạn có thể đặt câu hỏi liên quan đến việc lựa chọn giải pháp hoặc thiết kế mạng - và sau đó họ sẽ khuyên bạn nên mua một dịch vụ chuyên nghiệp với một khoản phí bổ sung.
Hỗ trợ ACI rất tuyệt vời vì nó riêng biệt: một nhóm riêng biệt chỉ đảm nhiệm việc này. Ngoài ra còn có các chuyên gia nói tiếng Nga. Hướng dẫn chi tiết, giải pháp được xác định trước. Họ xem xét và tư vấn. Họ nhanh chóng xác nhận thiết kế, điều này thường rất quan trọng. Juniper Networks cũng làm điều tương tự, nhưng chậm hơn nhiều (chúng tôi đã có cái này, bây giờ nó sẽ tốt hơn theo tin đồn), điều này buộc bạn phải tự mình làm mọi thứ khi kỹ sư giải pháp có thể tư vấn.
Cisco ACI hỗ trợ tích hợp với các hệ thống ảo hóa và container hóa (VMware, Kubernetes, Hyper-V) và quản lý tập trung. Có sẵn với các dịch vụ mạng và bảo mật - cân bằng, tường lửa, WAF, IPS, v.v... Phân đoạn vi mô tốt ngay lập tức. Trong giải pháp thứ hai, việc tích hợp với các dịch vụ mạng thật dễ dàng và tốt hơn hết là bạn nên thảo luận trước trên diễn đàn với những người đã thực hiện việc này.
Tổng
Đối với từng trường hợp cụ thể, cần phải lựa chọn giải pháp, không chỉ dựa trên giá thành của thiết bị mà còn phải tính đến chi phí vận hành tiếp theo và các vấn đề chính mà khách hàng hiện đang gặp phải cũng như kế hoạch ở đó. nhằm phát triển cơ sở hạ tầng CNTT.
ACI, do có thêm thiết bị nên đắt hơn, nhưng giải pháp này được làm sẵn mà không cần hoàn thiện thêm; giải pháp thứ hai phức tạp hơn và tốn kém hơn về mặt vận hành nhưng rẻ hơn.
Nếu bạn muốn thảo luận về chi phí triển khai kết cấu mạng trên các nhà cung cấp khác nhau và loại kiến trúc nào là cần thiết, bạn có thể gặp gỡ và trò chuyện. Chúng tôi sẽ tư vấn miễn phí cho bạn cho đến khi bạn nhận được bản phác thảo sơ bộ về kiến trúc (mà bạn có thể tính toán ngân sách), tất nhiên, bản phác thảo chi tiết đã được thanh toán.
Vladimir Klepche, mạng lưới công ty.
Nguồn: www.habr.com