评估图中间部分的连接。 我们将在下面回到他们
在某些时候,您可能会发现大型、复杂的基于 L2 的网络已经病入膏肓。 首先,与处理 BUM 流量和 STP 协议的操作相关的问题。 其次,架构普遍已经过时。 这会导致停机和操作不便等令人不快的问题。
我们有两个并行项目,客户清醒地评估了所有选项的优缺点,并选择了两种不同的覆盖解决方案,我们实施了它们。
有机会比较实施情况。 不是剥削;我们应该在两三年后谈论它。
那么,什么是具有覆盖网络和 SDN 的网络结构呢?
经典网络架构的紧迫问题怎么办?
每年都会出现新的技术和想法。 在实践中,重建网络的迫切需要在很长一段时间内都没有出现,因为使用良好的老式方法手工完成所有事情也是可能的。 如果现在是二十一世纪又如何? 毕竟,管理员应该工作,而不是坐在办公室里。
随后掀起了大规模数据中心建设热潮。 然后很明显,经典架构已经达到了发展极限,不仅在性能、容错性和可扩展性方面。 解决这些问题的选择之一是在路由主干之上构建覆盖网络的想法。
此外,随着网络规模的增大,管理此类工厂的问题变得更加尖锐,因此软件定义的网络解决方案开始出现,能够将整个网络基础设施作为一个整体进行管理。 当从单点管理网络时,IT基础设施的其他组件更容易与其交互,并且这种交互过程更容易自动化。
几乎每个主要的网络设备制造商和虚拟化制造商都在其产品组合中提供了此类解决方案的选择。
剩下的就是弄清楚什么适合什么需求。 例如,对于拥有良好开发和运营团队的特别大的公司来说,供应商提供的打包解决方案并不总是能满足所有需求,他们不得不开发自己的SD(软件定义)解决方案。 例如,这些云提供商不断扩大向客户提供的服务范围,而打包解决方案根本无法满足他们的需求。
对于中型公司来说,供应商以盒装解决方案形式提供的功能在 99% 的情况下就足够了。
什么是覆盖网络?
覆盖网络背后的想法是什么? 本质上,您采用经典的路由网络并在其之上构建另一个网络以获得更多功能。 最常见的是,我们谈论的是有效分配设备和通信线路上的负载,显着提高可扩展性限制,提高可靠性和一堆安全好处(由于分段)。 除此之外,SDN 解决方案还提供了非常非常方便的灵活管理机会,并使网络对消费者更加透明。
一般来说,如果本地网络是在 2010 年代发明的,那么它们看起来将与我们在 1970 年代从军队继承的网络有很大不同。
在使用覆盖网络构建结构的技术方面,目前有许多供应商实现和互联网 RFC 项目(EVPN+VXLAN、EVPN+MPLS、EVPN+MPLSoGRE、EVPN+Geneve 等)。 是的,有标准,但是不同厂商对这些标准的实现可能会有所不同,所以在创建这样的工厂时,还是可以完全放弃仅在纸面上理论上的供应商锁。
对于 SD 解决方案,事情会更加混乱;每个供应商都有自己的愿景。 有完全开放的解决方案,理论上您可以自己完成,也有完全封闭的解决方案。
思科提供其数据中心 SDN 版本 - ACI。 当然,在网络设备的选择上,这是一个100%供应商锁定的解决方案,但同时它与虚拟化系统、容器化、安全、编排、负载均衡器等完全集成。但本质上,它仍然是一个一种黑匣子,无法完全访问所有内部流程。 并非所有客户都同意此选项,因为您完全依赖于编写的解决方案代码的质量及其实施,但另一方面,制造商拥有世界上最好的技术支持之一,并拥有专门的团队,只专注于到这个解决方案。 思科 ACI 被选为第一个项目的解决方案。
对于第二个项目,选择了瞻博网络解决方案。 该制造商也有自己的数据中心SDN,但客户决定不实施SDN。 选择不使用集中控制器的EVPN VXLAN结构作为网络构建技术。
它是做什么用的
创建工厂可以让您构建一个易于扩展、容错、可靠的网络。 该架构(叶-主干)考虑了数据中心的特征(流量路径、最小化网络中的延迟和瓶颈)。 数据中心的SD解决方案可以让您非常方便、快速、灵活地管理这样一个工厂,并将其集成到数据中心生态系统中。
两个客户都需要建立冗余数据中心以保证容错,此外数据中心之间的流量必须进行加密。
第一个客户已经考虑将无结构解决方案作为其网络的可能标准,但在测试中,他们遇到了多个硬件供应商之间的 STP 兼容性问题。 停机导致服务崩溃。 对于客户来说,这至关重要。
思科已经是客户的企业标准,他们研究了 ACI 和其他选项,并认为值得采用此解决方案。 我喜欢通过单个控制器通过一个按钮进行控制的自动化。 服务的配置和管理速度更快。 我们决定通过在 IPN 和 SPINE 交换机之间运行 MACSec 来确保流量加密。 因此,我们设法避免了加密网关形式的瓶颈,节省了它们并使用最大带宽。
第二个客户选择了瞻博网络的无控制器解决方案,因为他们现有的数据中心已经有一个实施 EVPN VXLAN 结构的小型安装。 但在那里它不是容错的(使用了一个开关)。 我们决定扩建主数据中心的基础设施,并在备份数据中心建设一座工厂。 现有的EVPN没有得到充分利用:VXLAN封装并没有被实际使用,因为所有主机都连接到一台交换机,并且所有MAC地址和/32主机地址都是本地的,它们的网关是同一台交换机,没有其他设备,需要构建VXLAN隧道。 他们决定在防火墙之间使用IPSEC技术来确保流量加密(防火墙的性能已经足够)。
他们还尝试了 ACI,但认为由于供应商锁定,他们将不得不购买太多硬件,包括更换最近购买的新设备,而且这根本没有经济意义。 是的,思科交换矩阵可以与一切集成,但只有其设备可以在交换矩阵本身内实现。
另一方面,正如我们之前所说,您不能将 EVPN VXLAN 结构与任何相邻供应商混合使用,因为协议实现不同。 这就像在一个网络中跨越思科和华为 - 看起来标准是通用的,但你必须手鼓跳舞。 由于这是一家银行,兼容性测试会很长,因此我们决定现在最好从同一供应商处购买,并且不要对基本功能之外的功能过于着迷。
迁移计划
两个基于 ACI 的数据中心:
组织数据中心之间的交互。 选择了 Multi-Pod 解决方案 - 每个数据中心都是一个 Pod。 考虑了交换机数量的扩展要求和 Pod 之间的延迟(RTT 小于 50 毫秒)。 为了便于管理,决定不构建多站点解决方案(多 Pod 解决方案使用单个管理界面,多站点将有两个接口,或者需要多站点协调器),并且由于没有地理需要预订场地。
从Legacy网络迁移业务的角度来看,选择了最透明的方案,逐步转移某些业务对应的VLAN。
为了进行迁移,在工厂为每个 VLAN 创建了相应的 EPG(端点组)。 首先将网络通过L2延伸到旧网络和Fabric之间,然后在所有主机迁移后,将网关移至Fabric中,EPG通过L3OUT与现有网络交互,而L3OUT与EPG之间的交互使用合同进行描述。 大概图:
大多数 ACI 工厂策略的示例结构如下图所示。 整个设置基于嵌套在其他策略中的策略等等。 一开始很难弄清楚,但是随着实践的证明,网络管理员在大约一个月的时间里逐渐习惯了这种结构,然后他们才开始明白它有多么方便。
对照
在Cisco ACI解决方案中,您需要购买更多设备(用于Pod间交互的单独交换机和APIC控制器),这使得它更加昂贵。 瞻博网络的解决方案不需要购买控制器或配件; 可以部分使用客户现有的设备。
以下是第二个项目的两个数据中心的 EVPN VXLAN 交换架构:
借助 ACI,您可以获得现成的解决方案 - 无需修补,无需优化。 在客户与工厂最初熟悉的过程中,不需要开发人员,也不需要代码和自动化的支持人员。 它非常容易使用;许多设置都可以通过向导完成,但这并不总是一个优点,特别是对于习惯命令行的人来说。 无论如何,在新的轨道上重建大脑、通过策略适应环境的特殊性以及使用许多嵌套策略进行操作都需要时间。 除此之外,非常希望有一个清晰的结构来命名策略和对象。 如果控制器逻辑出现问题,只能通过技术支持来解决。
在 EVPN - 控制台中。 或苦或乐。 对于老守卫来说,这是一个熟悉的界面。 是的,有标准配置和指南。 你必须吸法力。 不同的设计,一切都清晰而详细。
当然,在这两种情况下,在迁移时,最好先不要迁移最关键的服务,例如测试环境,然后在捕获所有错误后才进行生产。 并且周五晚上不要收听。 您不应该相信供应商一切都会好起来,谨慎行事总是更好。
您为 ACI 支付更多费用,尽管思科目前正在积极推广该解决方案并且经常提供不错的折扣,但您可以节省维护费用。 没有控制器的 EVPN 工厂的管理和任何自动化都需要投资和常规成本 - 监控、自动化、新服务的实施。 与此同时,ACI 的首次发布时间要长 30-40%。 发生这种情况是因为创建随后将使用的整套必要的配置文件和策略需要更长的时间。 但随着网络的增长,所需配置的数量会减少。 您可以使用预先创建的策略、配置文件、对象。 您可以灵活配置分段和安全性,集中管理负责允许 EPG 之间进行某些交互的合约 - 工作量急剧下降。
在EVPN中,需要在工厂对每台设备进行配置,出错的可能性较大。
虽然 ACI 的实施速度较慢,但 EVPN 的调试时间几乎是其两倍。 如果就思科而言,您始终可以致电支持工程师并询问整个网络的情况(因为它作为解决方案涵盖),那么从瞻博网络您只需购买硬件,这就是所涵盖的内容。 包裹是否已离开设备? 好吧,那么接下来就是你的问题了。 但您可以提出有关解决方案或网络设计选择的问题 - 然后他们会建议您购买专业服务,但需额外付费。
ACI 支持非常酷,因为它是独立的:一个单独的团队专门负责此工作。 还有讲俄语的专家。 指南是详细的,解决方案是预先确定的。 他们会寻找并提供建议。 他们快速验证设计,这通常很重要。 瞻博网络也做同样的事情,但速度要慢得多(我们有这个,根据传言,现在应该更好),这迫使您自己做解决方案工程师可以建议的所有事情。
思科 ACI 支持与虚拟化和容器化系统(VMware、Kubernetes、Hyper-V)集成以及集中管理。 提供网络和安全服务 - 平衡、防火墙、WAF、IPS 等...开箱即用的良好微分段。 在第二种解决方案中,与网络服务的集成是轻而易举的事,最好提前与那些已经这样做过的人讨论论坛。
总
针对每一个具体案例,需要选择一个解决方案,不仅要根据设备的成本,还要考虑到进一步的运营成本以及客户目前面临的主要问题以及有什么计划是为了IT基础设施的发展。
ACI由于需要额外的设备,成本更高,但该解决方案是现成的,不需要额外的整理;第二种解决方案在操作方面更复杂、成本更高,但更便宜。
如果您想讨论在不同供应商上实施网络结构可能需要多少成本,以及需要什么样的架构,您可以见面聊天。 我们将免费为您提供建议,直到您获得架构的粗略草图(您可以用它来计算预算),当然,详细的阐述已经付费。
弗拉基米尔·克莱普切(Vladimir Klepche),企业网络。
来源: habr.com