🍲 📡 🙏🏻 Expérience dans la mise en œuvre d'usines de réseau basées sur EVPN VXLAN et Cisco ACI et une petite comparaison 🏍️ 🍄 🤖

Évaluez les ligaments au milieu du tableau. Nous y reviendrons ci-dessous:

à un moment donné, vous pouvez rencontrer le fait que de grands réseaux complexes basés sur L2 sont en phase terminale. Tout d'abord, les problèmes liés au traitement du trafic BUM et au fonctionnement du protocole STP. Le second - dans son ensemble architecture moralement obsolète. Cela provoque des problèmes désagréables sous la forme de temps d'arrêt et d'inconvénients à la gestion.

Nous avions deux projets parallèles où les clients évaluaient sobrement tous les avantages et les inconvénients des options et choisissaient deux solutions de superposition différentes, et nous les avons mises en œuvre.

Il a été possible de comparer exactement l'implémentation. Pas d'exploitation, ça vaut la peine d'en parler dans deux ou trois ans.

Qu'est-ce qu'une fabrique de réseaux de superposition et un SDN?

Que faire des problèmes délicats de l'architecture de réseau classique?

Chaque année, de nouvelles technologies et idées apparaissent. Dans la pratique, le besoin urgent de reconstruire des réseaux ne s'est pas fait sentir depuis un certain temps, car vous pouvez également tout faire à la main en utilisant les bonnes vieilles méthodes de grand-père. Et le XXIe siècle? En fin de compte, l'administrateur devrait travailler, pas s'asseoir dans son bureau.

Puis le boom de la construction de centres de données à grande échelle a commencé. Ensuite, il est devenu clair que la limite de développement de l'architecture classique était atteinte non seulement en termes de performances, de tolérance aux pannes, d'évolutivité. Et l'une des options pour résoudre ces problèmes était l'idée de construire des réseaux superposés au-dessus de la dorsale routée.

De plus, avec l'augmentation de l'échelle des réseaux, le problème de la gestion de ces usines est devenu aigu, ce qui a fait apparaître des solutions de réseaux définis par logiciel avec la capacité de gérer l'ensemble de l'infrastructure réseau dans son ensemble. Et lorsque le réseau est géré à partir d'un seul point, il est plus facile pour d'autres composants de l'infrastructure informatique d'interagir avec lui, et ces processus d'interaction sont plus faciles à automatiser.

Presque tous les grands fabricants d'équipements de réseau, mais aussi de virtualisation, ont dans leur portefeuille des options pour de telles solutions.

Il ne reste plus qu'à déterminer ce qui convient à quels besoins. Par exemple, pour les grandes entreprises en particulier avec une bonne équipe de développement et d'exploitation, les solutions de box basées sur les fournisseurs ne satisfont pas toujours tous les besoins, et elles ont recours au développement de leurs propres solutions SD (définies par logiciel). Par exemple, ce sont des fournisseurs de cloud qui élargissent constamment la gamme de services fournis à leurs clients, et les solutions en boîte ne sont tout simplement pas en mesure de répondre à leurs besoins.

Pour les moyennes entreprises, la fonctionnalité offerte par le vendeur sous la forme d'une solution en boîte est suffisante dans 99% des cas.

Qu'est-ce que Overlay Networking?

Quelle est l'idée de réseaux superposés? Essentiellement, vous prenez un réseau routé classique et créez un autre réseau par-dessus pour obtenir plus de fonctionnalités. Le plus souvent, nous parlons de la répartition efficace de la charge sur les équipements et les lignes de communication, d'une augmentation significative de la limite d'évolutivité, d'une fiabilité accrue et d'un tas de petits pains de sécurité (en raison de la segmentation). De plus, les solutions SDN offrent une opportunité pour une administration flexible très, très, très pratique et rendent le réseau plus transparent pour ses consommateurs.

En général, si les réseaux locaux étaient inventés dans les années 2010, ils ne ressembleraient pas à ceux que nous avons hérités des militaires des années 1970.

Du point de vue des technologies de construction d'usines utilisant des réseaux superposés, il existe actuellement de nombreuses implémentations de fabricants et de projets Internet RFC (EVPN + VXLAN, EVPN + MPLS, EVPN + MPLSoGRE, EVPN + Geneve et autres). Oui, il existe des normes, mais la mise en œuvre de ces normes par différents fabricants peut différer.Par conséquent, lors de la création de telles usines, il est toujours possible d'abandonner complètement le verrouillage du fournisseur uniquement en théorie sur le papier.

Avec la solution SD, les choses sont encore plus confuses, chaque fournisseur a sa propre vision. Il existe des solutions complètement ouvertes que, en théorie, vous pouvez finir vous-même, il y a des solutions complètement fermées.

Cisco propose sa propre option SDN pour les centres de données - ACI. Naturellement, il s'agit d'une solution 100% verrouillée par le fournisseur en termes de choix d'équipement réseau, mais en même temps, elle est entièrement intégrée avec la virtualisation, la conteneurisation, la sécurité, l'orchestration, les équilibreurs de charge, etc. Mais en substance, il s'agit toujours d'une sorte de boîte noire, sans possibilité d'accès complet à tous les processus internes. Tous les clients n'acceptent pas cette option, car vous dépendez entièrement de la qualité du code de solution écrit et de sa mise en œuvre, mais d'un autre côté, le fabricant dispose de l'un des meilleurs supports techniques au monde et dispose d'une équipe dédiée qui ne s'occupe que de cette solution. C'est Cisco ACI qui a été choisi comme solution pour le premier projet.

La solution pour Juniper a été choisie pour le deuxième projet. Le fabricant possède également son propre SDN pour le centre de données, mais le client a décidé d'abandonner la mise en œuvre du SDN. L'usine EVPN VXLAN sans l'utilisation de contrôleurs centralisés a été choisie comme technologie pour la construction du réseau.

Pourquoi as-tu besoin

La création d'une usine vous permet de créer un réseau facilement évolutif, tolérant aux pannes et fiable. L'architecture (leaf-spine) prend en compte les caractéristiques des centres de données (trajets de trafic, minimisation des retards et goulots d'étranglement du réseau). Les solutions SD dans les centres de données permettent de gérer de manière pratique, rapide et flexible une telle usine et de l'intégrer dans l'écosystème du centre de données.

Les deux clients devaient construire des centres de données de sauvegarde pour garantir la tolérance aux pannes, en outre, le trafic entre les centres de données devait être crypté.

Le premier client considérait déjà les solutions sans usine comme une norme possible pour leurs réseaux, mais lors des tests, il a eu des problèmes de compatibilité STP entre plusieurs fournisseurs de matériel. Il y a eu des temps d'arrêt qui ont causé des baisses de service. Et pour le client, c'était essentiel.

Cisco était déjà la norme d'entreprise du client, ils ont examiné ACI et d'autres options et ont décidé qu'il valait la peine de prendre cette solution. J'ai aimé l'automatisation du contrôle avec un seul bouton via un seul contrôleur. Les services sont configurés plus rapidement, gérés plus rapidement. Ils ont décidé de fournir un chiffrement du trafic en exécutant MACSec entre les commutateurs IPN et SPINE. Ainsi, nous avons réussi à éviter un goulot d'étranglement sous la forme d'une crypto-passerelle, à économiser sur eux et à utiliser la bande passante maximale.

Le deuxième client a choisi une solution sans contrôleur de Juniper, car dans leur centre de données existant, il y avait déjà une petite installation avec la mise en œuvre de l'usine EVPN VXLAN. Mais là, il n'était pas tolérant aux pannes (un interrupteur a été utilisé). Ils ont décidé d'étendre l'infrastructure du centre de données principal et de construire une usine dans le centre de données de sauvegarde. L'EVPN existant n'était pas entièrement utilisé: l'encapsulation VXLAN n'était pas réellement utilisée, car tous les hôtes étaient connectés à un commutateur, et toutes les adresses MAC et / 32 adresses d'hôte étaient locales, le même commutateur était une passerelle pour eux, il n'y avait pas d'autres périphériques, où il était nécessaire de construire des tunnels VXLAN. Ils ont décidé de fournir un chiffrement du trafic à l'aide de la technologie IPSEC entre les pare-feu (les performances de l'UIT étaient suffisantes).

Ils pensaient également ACI, mais ont décidé qu'en raison de la serrure du fournisseur, ils devraient acheter trop de fer, y compris le remplacement de nouveaux équipements récemment achetés, et cela n'a tout simplement pas de sens économique. Oui, l'usine Cisco s'intègre à tout, mais seuls ses appareils sont possibles à l'intérieur même de l'usine.

D'autre part, comme ils l'ont dit plus tôt, l'usine EVPN VXLAN ne peut tout simplement pas se mélanger avec un fournisseur voisin, car les implémentations de protocole sont différentes. C'est comme traverser Cisco et Huawei sur le même réseau - il semble que les normes soient communes, il suffit de danser avec un tambourin. Puisqu'il s'agit d'une banque et que les tests de compatibilité seraient très longs, ils ont décidé qu'il valait mieux acheter le même fournisseur maintenant, et ne pas vraiment se laisser emporter par des fonctionnalités en dehors de la base.

Plan de migration

Deux

centres de données basés sur ACI: Organisation de l'interaction entre les centres de données. Solution multi-pod sélectionnée - chaque centre de données est un foyer. Les exigences de mise à l'échelle du nombre de commutateurs et de retards entre les foyers (RTT inférieur à 50 ms) ont été prises en compte. Il a été décidé de ne pas créer de solution multi-sites pour en faciliter la gestion (pour une solution multi-pod, une seule interface de gestion est utilisée, pour un multi-site il y aurait deux interfaces, ou un orchestrateur multi-site serait nécessaire), et puisque la réservation géographique des sites n'était pas requise.

Du point de vue de la migration des services du réseau Legacy, l'option la plus transparente a été choisie, pour transférer progressivement les VLAN correspondant à certains services.
Pour la migration, chaque VLAN a été créé avec l'EPG (End-point-group) correspondant en usine. Tout d'abord, le réseau a été étendu entre l'ancien réseau et l'usine via L2, puis après la migration de tous les hôtes, la passerelle a été transférée à l'usine et l'EPG a interagi avec le réseau existant via L3OUT, et l'interaction entre L3OUT et EPG a été décrite à l'aide de contrats. Exemple de schéma:

exemple de structure de la plupart des stratégies d'usine ACI dans la figure ci-dessous. La configuration entière est basée sur des politiques intégrées dans d'autres politiques, etc. Au début, il est très difficile de le comprendre, mais progressivement, comme le montre la pratique, les administrateurs réseau s’habituent à une telle structure en environ un mois, puis ne parviennent à comprendre à quel point elle est pratique.

Comparaison

Dans la solution Cisco ACI, vous devez acheter plus d'équipement (commutateurs séparés pour l'interaction Inter-Pod et contrôleurs APIC), ce qui l'a rendu plus cher. La solution de Juniper n'a pas nécessité l'achat de contrôleurs et d'accessoires; Il s'est avéré utiliser partiellement l'équipement client existant.

Voici l'architecture de l'usine EVPN VXLAN pour deux centres de données du deuxième projet:

Dans ACI, vous obtenez une solution toute faite - pas besoin de choisir, pas besoin d'optimiser. À la connaissance initiale du client avec l'usine, les développeurs ne sont pas nécessaires; les personnes de soutien ne sont pas nécessaires pour le code et l'automatisation. Il est assez simple à utiliser, de nombreux paramètres peuvent être effectués généralement via l'assistant, ce qui n'est pas toujours un plus, en particulier pour les personnes habituées à la ligne de commande. Dans tous les cas, il faut du temps pour reconstruire le cerveau sur de nouvelles pistes, sur la fonctionnalité des paramètres via les politiques et sur le fonctionnement de nombreuses politiques imbriquées les unes dans les autres. De plus, il est très souhaitable d'avoir une structure claire pour les noms des politiques et des objets. S'il y a un problème dans la logique du contrôleur, il ne peut être résolu que par l'assistance technique.

Dans EVPN, une console. Souffrez ou réjouissez-vous. L'interface familière de la vieille garde. Oui, il existe une configuration et des guides typiques. Je dois fumer du mana. Différents modèles, tout est clair et détaillé.

Naturellement, dans les deux cas, il est préférable de ne pas migrer les services les plus critiques, par exemple, les environnements de test, pendant la migration, puis seulement, après avoir détecté tous les bogues, passer à la production. Et ne vous connectez pas le vendredi soir. Vous ne devriez pas faire confiance au vendeur que tout ira bien, il est toujours préférable de jouer prudemment.

Vous payez plus sur ACI, bien que Cisco promeuve actuellement activement cette solution et offre souvent de bonnes remises sur celle-ci, mais vous économisez sur la maintenance et la maintenance. La gestion et toute automatisation d'une usine EVPN sans contrôleur nécessite des investissements et des dépenses régulières - suivi, automatisation, mise en place de nouveaux services. Dans le même temps, le lancement initial chez ACI est 30 à 40% plus long. En effet, l'ensemble des profils et des politiques nécessaires est créé plus longtemps, qui sera ensuite utilisé. Mais à mesure que le réseau se développe, le nombre de configurations requises diminue. Utilisez les politiques, profils et objets déjà créés. Vous pouvez configurer de manière flexible la segmentation et la sécurité, gérer de manière centralisée les contrats chargés d'autoriser certaines interactions entre les EPG - le volume de travail diminue fortement.

Dans EVPN, vous devez configurer chaque périphérique en usine, la probabilité d'erreur est plus grande.

Si ACI est plus lent à déployer, EVPN débogue presque deux fois plus longtemps. Si dans le cas de Cisco, vous pouvez toujours appeler un ingénieur de support et poser des questions sur le réseau dans son ensemble (car il est couvert en tant que solution), alors auprès de Juniper Networks, vous achetez uniquement du matériel, et il est couvert par celui-ci. Les paquets de l'appareil ont-ils disparu? Bon ok, alors vos problèmes. Mais vous pouvez ouvrir la question du choix d'une solution ou de la conception d'un réseau - puis ils vous conseilleront d'acheter un service professionnel, moyennant des frais supplémentaires.

Le support ACI est très cool car il est séparé: une équipe distincte est juste là pour ça. Il y en a, y compris des spécialistes russophones. Hyde détaillé, les décisions sont prédéterminées. Ils regardent et conseillent. Le design se valide rapidement, ce qui est souvent important. Juniper Networks fait la même chose, mais parfois plus lentement (nous l'avons fait, cela devrait être mieux maintenant, selon la rumeur), ce qui vous oblige à tout faire vous-même là où l'ingénieur de la solution pourrait vous conseiller.

Cisco ACI prend en charge l'intégration avec les systèmes de virtualisation et de conteneurisation (VMware, Kubernetes, Hyper-V) et la gestion centralisée. Il existe des services de réseau et de sécurité - équilibrage, pare-feu, WAF, IPS et plus ... Bonne micro-segmentation prête à l'emploi. Dans la deuxième solution, l'intégration avec les services réseau se fait avec un tambourin, et il est préférable de fumer des forums avec ceux qui l'ont fait à l'avance.

Total

Pour chaque cas spécifique, il est nécessaire de sélectionner une solution, non seulement en fonction du coût de l'équipement, mais également en tenant compte des coûts d'exploitation supplémentaires et des principaux problèmes auxquels le client est confronté actuellement, et quels sont les plans pour le développement de l'infrastructure informatique.

ACI en raison de l'équipement supplémentaire est sorti plus cher, mais la solution est prête sans avoir besoin de finition, la deuxième solution est plus compliquée et coûteuse du point de vue du fonctionnement, mais moins chère.

Si vous souhaitez discuter du coût de l'implémentation d'une fabrique de réseaux sur différents fournisseurs et du type d'architecture nécessaire, vous pouvez vous rencontrer et discuter. Avant l'ébauche d'architecture (avec laquelle les budgets peuvent être envisagés), nous vous montrerons gratuitement, une étude détaillée, bien sûr, est déjà payée.

Vladimir Klepce, réseaux d'entreprises.