評估圖中間部分的連接。 我們將在下面回到它們。
在某些時候,您可能會發現大型、複雜的基於 L2 的網路已經病入膏肓。 首先,與處理 BUM 流量和 STP 協定的操作相關的問題。 其次,架構普遍已經過時。 這會導致停機和操作不便等令人不快的問題。
我們有兩個平行項目,客戶清醒地評估了所有選項的優缺點,並選擇了兩種不同的覆蓋解決方案,我們實施了它們。
有機會比較實施情形。 不是剝削;我們應該在兩三年後談論它。
那麼,什麼是具有覆蓋網路和 SDN 的網路結構呢?
經典網路架構的迫切問題怎麼辦?
每年都會出現新的技術和想法。 在實踐中,重建網路的迫切需求在很長一段時間內都沒有出現,因為使用良好的老式方法手工完成所有事情也是可能的。 如果現在是二十一世紀又如何? 畢竟,管理員應該工作,而不是坐在辦公室裡。
隨後掀起了大規模資料中心建設熱潮。 然後很明顯,經典架構已經達到了發展極限,不僅在效能、容錯性和可擴展性方面。 解決這些問題的選擇之一是在路由主幹之上建立覆蓋網路的想法。
此外,隨著網路規模的增大,管理此類工廠的問題變得更加尖銳,因此軟體定義的網路解決方案開始出現,能夠將整個網路基礎設施作為一個整體進行管理。 當從單點管理網路時,IT基礎設施的其他元件更容易與其交互,而這種交互過程更容易自動化。
幾乎每個主要的網路設備製造商和虛擬化製造商都在其產品組合中提供了此類解決方案的選擇。
剩下的就是弄清楚什麼適合什麼需求。 例如,對於擁有良好開發和營運團隊的特別大的公司來說,供應商提供的打包解決方案並不總是能滿足所有需求,他們必須開發自己的SD(軟體定義)解決方案。 例如,這些雲端供應商不斷擴大向客戶提供的服務範圍,而打包解決方案根本無法滿足他們的需求。
對於中型公司來說,供應商以盒裝解決方案形式提供的功能在 99% 的情況下就足夠了。
什麼是覆蓋網路?
覆蓋網路背後的想法是什麼? 本質上,您採用經典的路由網路並在其之上建立另一個網路以獲得更多功能。 最常見的是,我們談論的是有效分配設備和通訊線路上的負載,顯著提高可擴展性限制,提高可靠性和一堆安全好處(由於分段)。 除此之外,SDN 解決方案還提供了非常非常方便的靈活管理機會,並使網路對消費者更加透明。
一般來說,如果本地網路是在 2010 年代發明的,那麼它們看起來將與我們在 1970 年代從軍隊繼承的網路有很大不同。
在使用覆蓋網路建置結構的技術方面,目前有許多供應商實作和網際網路 RFC 專案(EVPN+VXLAN、EVPN+MPLS、EVPN+MPLSoGRE、EVPN+Geneve 等)。 是的,有標準,但是不同廠商對這些標準的實現可能會有所不同,所以在創建這樣的工廠時,還是可以完全放棄僅在紙面上理論上的供應商鎖。
對於 SD 解決方案,事情會更加混亂;每個供應商都有自己的願景。 有完全開放的解決方案,理論上您可以自己完成,也有完全封閉的解決方案。
思科提供其資料中心 SDN 版本 - ACI。 當然,在網路設備的選擇上,這是一個100%供應商鎖定的解決方案,但同時它與虛擬化系統、容器化、安全性、編排、負載平衡器等完全整合。但本質上,它仍然是一個一種黑盒子,無法完全存取所有內部流程。 並非所有客戶都同意此選項,因為您完全依賴編寫的解決方案程式碼的品質及其實施,但另一方面,製造商擁有世界上最好的技術支援之一,並擁有專門的團隊,只專注於到這個解決方案。 思科 ACI 被選為第一個專案的解決方案。
對於第二個項目,選擇了瞻博網路解決方案。 該製造商也有自己的資料中心SDN,但客戶決定不實施SDN。 選擇不使用集中控制器的EVPN VXLAN結構作為網路建置技術。
它是做什麼用的?
創建工廠可以讓您建立一個易於擴展、容錯、可靠的網路。 此架構(葉-主幹)考慮了資料中心的特徵(流量路徑、最小化網路中的延遲和瓶頸)。 資料中心的SD解決方案可以讓您非常方便、快速、靈活地管理這樣一個工廠,並將其整合到資料中心生態系統中。
兩個客戶都需要建立冗餘資料中心以確保容錯,此外資料中心之間的流量必須進行加密。
第一個客戶已經考慮將無結構解決方案作為其網路的可能標準,但在測試中,他們遇到了多個硬體供應商之間的 STP 相容性問題。 停機導致服務崩潰。 對於客戶來說,這至關重要。
思科已經是客戶的企業標準,他們研究了 ACI 和其他選項,並認為值得採用此解決方案。 我喜歡透過單一控制器透過一個按鈕進行控制的自動化。 服務的配置和管理速度更快。 我們決定透過在 IPN 和 SPINE 交換器之間執行 MACSec 來確保流量加密。 因此,我們設法避免了加密網關形式的瓶頸,節省了它們並使用最大頻寬。
第二位客戶選擇了瞻博網路的無控制器解決方案,因為他們現有的資料中心已經有一個實施 EVPN VXLAN 結構的小型安裝。 但在那裡它不是容錯的(使用了一個開關)。 我們決定擴大主資料中心的基礎設施,並在備份資料中心建造一座工廠。 現有的EVPN沒有充分利用:VXLAN封裝並沒有被實際使用,因為所有主機都連接到一台交換機,並且所有MAC位址和/32主機位址都是本地的,它們的網關是同一台交換機,沒有其他設備,需要建造VXLAN隧道。 他們決定在防火牆之間使用IPSEC技術來確保流量加密(防火牆的效能已經足夠)。
他們也嘗試了 ACI,但認為由於供應商鎖定,他們將不得不購買太多硬件,包括更換最近購買的新設備,而且這根本沒有經濟意義。 是的,思科交換矩陣可以與一切集成,但只有其設備可以在交換矩陣本身內實現。
另一方面,正如我們之前所說,您不能將 EVPN VXLAN 結構與任何相鄰供應商混合使用,因為協定實作不同。 這就像在一個網路中跨越思科和華為 - 看起來標準是通用的,但你必須手鼓跳舞。 由於這是一家銀行,相容性測試會很長,因此我們決定現在最好從同一供應商購買,並且不要對基本功能以外的功能過於著迷。
遷移計劃
兩個基於 ACI 的資料中心:
組織資料中心之間的互動。 選擇了 Multi-Pod 解決方案 - 每個資料中心都是一個 Pod。 考慮了交換器數量的擴展要求和 Pod 之間的延遲(RTT 小於 50 毫秒)。 為了便於管理,決定不建立多站點解決方案(多 Pod 解決方案使用單一管理介面,多站點將有兩個接口,或者需要多站點協調器),並且由於沒有地理需要預訂場地。
從Legacy網路遷移業務的角度來看,選擇了最透明的方案,逐步轉移某些業務對應的VLAN。
為了進行遷移,在工廠為每個 VLAN 建立了相應的 EPG(端點群組)。 首先將網路透過L2延伸到舊網路和Fabric之間,然後在所有主機遷移後,將網關移至Fabric中,EPG透過L3OUT與現有網路交互,而L3OUT與EPG之間的交互使用合約進行描述。 大概圖:
大多數 ACI 工廠策略的範例結構如下圖所示。 整個設定基於嵌套在其他策略中的策略等等。 一開始很難弄清楚,但是隨著實踐的證明,網路管理員在大約一個月的時間裡逐漸習慣了這種結構,然後他們才開始明白它有多麼方便。
對照
在Cisco ACI解決方案中,您需要購買更多裝置(用於Pod間互動的單獨交換器和APIC控制器),這使得它更加昂貴。 瞻博網路的解決方案不需要購買控制器或配件; 可以部分使用客戶現有的設備。
以下是第二個專案的兩個資料中心的 EVPN VXLAN 交換架構:
借助 ACI,您可以獲得現成的解決方案 - 無需修補,無需優化。 在客戶與工廠最初熟悉的過程中,不需要開發人員,也不需要程式碼和自動化的支援人員。 它非常容易使用;許多設定都可以透過嚮導完成,但這並不總是一個優點,特別是對於習慣命令列的人來說。 無論如何,在新的軌道上重建大腦、透過策略適應環境的特殊性以及使用許多嵌套策略進行操作都需要時間。 除此之外,非常希望有一個清晰的結構來命名策略和物件。 如果控制器邏輯出現問題,只能透過技術支援來解決。
在 EVPN - 控制台中。 或苦或樂。 對於老守衛來說,這是一個熟悉的介面。 是的,有標準配置和指南。 你必須吸法力。 不同的設計,一切都清晰而詳細。
當然,在這兩種情況下,在遷移時,最好先不要遷移最關鍵的服務,例如測試環境,然後在捕獲所有錯誤後才進行生產。 並且週五晚上不要收聽。 您不應該相信供應商一切都會好起來,謹慎行事總是更好。
您為 ACI 支付更多費用,儘管思科目前正在積極推廣該解決方案並且經常提供不錯的折扣,但您可以節省維護費用。 沒有控制器的 EVPN 工廠的管理和任何自動化都需要投資和常規成本 - 監控、自動化、新服務的實施。 同時,ACI 的首次發佈時間要長 30-40%。 發生這種情況是因為建立隨後將使用的整套必要的設定檔和策略需要更長的時間。 但隨著網路的成長,所需的配置數量會減少。 您可以使用預先建立的策略、設定檔、物件。 您可以靈活配置分段和安全性,集中管理負責允許 EPG 之間進行某些互動的合約 - 工作量急劇下降。
在EVPN中,需要在工廠對每台設備進行配置,出錯的可能性較大。
雖然 ACI 的實施速度較慢,但 EVPN 的偵錯時間幾乎是兩倍。 如果就思科而言,您始終可以致電支援工程師並詢問整個網路的情況(因為它作為解決方案涵蓋),那麼從瞻博網路您只需購買硬件,這就是所涵蓋的內容。 包裹是否已離開設備? 好吧,那接下來就是你的問題了。 但您可以提出有關解決方案或網頁設計選擇的問題 - 然後他們會建議您購買專業服務,但需額外付費。
ACI 支援非常酷,因為它是獨立的:一個單獨的團隊專門負責此工作。 還有講俄語的專家。 指南是詳細的,解決方案是預先決定的。 他們會尋找並提供建議。 他們快速驗證設計,這通常很重要。 瞻博網路也做同樣的事情,但速度要慢得多(我們有這個,根據傳言,現在應該更好),這迫使您自己做解決方案工程師可以建議的所有事情。
思科 ACI 支援與虛擬化和容器化系統(VMware、Kubernetes、Hyper-V)整合以及集中管理。 提供網路和安全服務 - 平衡、防火牆、WAF、IPS 等...開箱即用的良好微分段。 在第二種解決方案中,與網路服務的整合是輕而易舉的事,最好提前與那些已經這樣做過的人討論論壇。
總
針對每一個具體案例,需要選擇一個解決方案,不僅要根據設備的成本,還要考慮到進一步的營運成本以及客戶目前面臨的主要問題以及有什麼計劃是為了IT基礎設施的發展。
ACI由於需要額外的設備,成本更高,但該解決方案是現成的,不需要額外的整理;第二種解決方案在操作方面更複雜、成本更高,但更便宜。
如果您想討論在不同供應商上實施網路結構可能需要多少成本,以及需要什麼樣的架構,您可以見面聊天。 我們將免費為您提供建議,直到您獲得架構的粗略草圖(您可以用它來計算預算),當然,詳細的闡述已經付費。
弗拉基米爾·克萊普切(Vladimir Klepche),企業網路。
來源: www.habr.com