主持人 > 博客 > 管理 > 我们如何在华为莫斯科办事处设计和实施新网络,第 3 部分:服务器工厂

我们如何在华为莫斯科办事处设计和实施新网络,第 3 部分:服务器工厂

我们如何在华为莫斯科办事处设计和实施新网络,第 3 部分:服务器工厂

在前两部分中(时间, )我们研究了新定制工厂的建设原则,并讨论了所有工作的迁移。 现在是时候谈谈服务器工厂了。

以前,我们没有任何单独的服务器基础设施:服务器交换机与用户分发交换机连接到同一核心。 使用虚拟网络(VLAN)进行访问控制,VLAN路由在一个点上进行 - 在核心上(根据原则 脊柱塌陷).

我们如何在华为莫斯科办事处设计和实施新网络,第 3 部分:服务器工厂
旧的网络基础设施

在建立新的办公网络的同时,我们决定为其建造一个新的服务器机房和一个单独的新工厂。 结果证明它很小(三个服务器机柜),但符合所有规范:CE8850 交换机上的独立核心、全网状(主干-叶)拓扑、架顶式 (ToR) CE6870 交换机、一对单独的交换机用于与网络其余部分(边界叶)连接的交换机。 简而言之,完整的肉末。

我们如何在华为莫斯科办事处设计和实施新网络,第 3 部分:服务器工厂
新服务器工厂网络

我们决定放弃服务器 SCS,转而将服务器直接连接到 ToR 交换机。 为什么? 我们已经有两个使用服务器SCS构建的服务器机房,我们意识到这是:

  • 使用不方便(多次重连,需要仔细更新线缆日志);
  • 配线架占用的空间昂贵;
  • 当需要提高服务器的连接速度时(例如,从铜缆上的 1 Gbit/s 连接切换到光纤上的 10 Gbit/s 连接),这是一个障碍。

当搬到新的服务器工厂时,我们尝试放弃以 1 Gbit/s 的速度连接服务器,并将自己限制为 10 Gbit 接口。 几乎所有无法做到这一点的旧服务器都被虚拟化了,其余的服务器通过千兆位收发器连接到10个千兆位端口。 我们计算了一下,认为这比为它们安装单独的千兆交换机更便宜。

我们如何在华为莫斯科办事处设计和实施新网络,第 3 部分:服务器工厂
ToR 交换机

同样在我们的新服务器机房中,我们安装了具有 24 个端口的独立带外管理 (OOM) 交换机,每个机架一个。 这个想法结果很好,但是端口不够,下次我们将安装48端口的OOM交换机。

我们将用于服务器远程管理的接口(例如华为术语中的iLO或iBMC)连接到OOM网络。 如果服务器失去了与网络的主要连接,则可以通过此接口访问它。 此外,ToR交换机的控制接口、温度传感器、UPS控制接口和其他类似设备都连接到OOM交换机。 OOM 网络可通过单独的防火墙接口访问。

我们如何在华为莫斯科办事处设计和实施新网络,第 3 部分:服务器工厂
OOM 网络连接

将服务器和用户网络配对

在定制工厂中,单独的 VRF 用于不同的目的 - 用于连接用户工作站、视频监控系统、会议室中的多媒体系统、用于组织展位和演示区等。

另一组 VRF 已在服务器工厂中创建:

  • 连接部署企业服务的常规服务器。
  • 一个单独的 VRF,其中部署了可访问 Internet 的服务器。
  • 用于仅由其他服务器(例如应用程序服务器)访问的数据库服务器的单独 VRF。
  • 我们的邮件系统(MS Exchange + Skype for Business)有单独的 VRF。

所以我们在用户工厂端有一组VRF,在服务器工厂端有一组VRF。 这两套都安装在企业防火墙 (FW) 集群上。 ME 连接到服务器结构和用户结构的边界交换机(边界叶)。

我们如何在华为莫斯科办事处设计和实施新网络,第 3 部分:服务器工厂
通过 ME 连接工厂 - 物理

我们如何在华为莫斯科办事处设计和实施新网络,第 3 部分:服务器工厂
通过 ME - 逻辑连接工厂

迁移进展如何?

在迁移过程中,我们通过临时中继在数据链路级别连接新旧服务器工厂。 为了迁移位于特定VLAN中的服务器,我们创建了一个单独的桥接域,其中包括旧服务器工厂的VLAN和新服务器工厂的VXLAN。

配置看起来像这样,最后两行是关键:

bridge-domain 22
 vxlan vni 600022
 evpn 
  route-distinguisher 10.xxx.xxx.xxx:60022
  vpn-target 6xxxx:60022 export-extcommunity
  vpn-target 6xxxx:60022 import-extcommunity

interface Eth-Trunk1
 mode lacp-static
 dfs-group 1 m-lag 1

interface Eth-Trunk1.1022 mode l2
 encapsulation dot1q vid 22
 bridge-domain 22

我们如何在华为莫斯科办事处设计和实施新网络,第 3 部分:服务器工厂
虚拟机迁移

然后,使用 VMware vMotion,将该 VLAN 中的虚拟机从旧的虚拟机管理程序(版本 5.5)迁移到新的虚拟机管理程序(版本 6.5)。 同时,硬件服务器也实现了虚拟化。

当你尝试重复时提前配置MTU,检查大包“端到端”的通过情况。

在旧的服务器网络中,我们使用VMware vShield虚拟防火墙。 由于 VMware 不再支持此工具,因此我们在迁移到新虚拟场的同时从 vShield 切换到硬件防火墙。

当旧网络上的特定 VLAN 中没有服务器后,我们切换路由。 此前,它是在旧核心上进行的,使用Collapsed Backbone技术构建,而在新服务器工厂中我们使用Anycast Gateway技术。

我们如何在华为莫斯科办事处设计和实施新网络,第 3 部分:服务器工厂
切换路由

对特定VLAN进行路由切换后,与桥域断开,并排除在新旧网络之间的中继之外,即完全迁移到新服务器工厂。 因此,我们迁移了大约 20 个 VLAN。

因此,我们创建了一个新的网络、一个新的服务器和一个新的虚拟化场。 在以下一篇文章中,我们将讨论我们对 Wi-Fi 所做的事情。

马克西姆·克洛奇科夫
网络审计及复杂项目组高级顾问
网络解决方案中心
“喷气信息系统”

来源: habr.com

添加评论