🚔 📳 🐑 Experiência na implementação de fábricas de rede baseadas em EVPN VXLAN e Cisco ACI e uma pequena comparação 🎮 💇🏼 👨🏽‍🔬

Classifique os ligamentos no meio do gráfico. Voltaremos a eles abaixo:

em algum momento, você pode encontrar o fato de que grandes redes complexas baseadas em L2 estão em estado terminal. Antes de tudo, problemas associados ao processamento do tráfego BUM e à operação do protocolo STP. O segundo - como um todo arquitetura moralmente obsoleta. Isso causa problemas desagradáveis na forma de paradas e inconveniência na capacidade de gerenciamento.

Tínhamos dois projetos paralelos em que os clientes avaliavam sobriamente todos os prós e contras das opções e escolheram duas soluções de sobreposição diferentes, e as implementamos.

Foi possível comparar exatamente a implementação. Não é exploração, vale a pena falar sobre isso em dois ou três anos.

Então, o que é uma fábrica de rede de sobreposição e SDN?

O que fazer com os graves problemas da arquitetura de rede clássica?

Todos os anos, novas tecnologias e idéias aparecem. Na prática, a grande necessidade de reconstruir redes não surge há algum tempo, porque você também pode fazer tudo manualmente usando os bons e velhos métodos do avô. Então, e o século XXI? No final, o administrador deve trabalhar, não sentar em seu escritório.

Então, começou o boom da construção de data centers em larga escala. Então ficou claro que o limite de desenvolvimento da arquitetura clássica era atingido não apenas em termos de desempenho, tolerância a falhas e escalabilidade. E uma das opções para solucionar esses problemas foi a ideia de criar redes sobrepostas no backbone roteado.

Além disso, com o aumento da escala de redes, o problema de gerenciar essas fábricas se agravou, como resultado das soluções de redes definidas por software começaram a aparecer com a capacidade de gerenciar toda a infraestrutura de rede como um todo. E quando a rede é gerenciada a partir de um único ponto, é mais fácil para outros componentes da infraestrutura de TI interagir com ela, e esses processos de interação são mais fáceis de automatizar.

Quase todos os principais fabricantes, não apenas de equipamentos de rede, mas também de virtualização, têm em seu portfólio opções para tais soluções.

Resta apenas descobrir o que é adequado para as necessidades. Por exemplo, para empresas especialmente grandes com uma boa equipe de desenvolvimento e operação, as soluções de caixa baseadas em fornecedores nem sempre atendem a todas as necessidades e recorrem ao desenvolvimento de suas próprias soluções SD (definidas por software). Por exemplo, esses são fornecedores de nuvem que estão constantemente expandindo a gama de serviços fornecidos a seus clientes, e as soluções in a box simplesmente não conseguem atender às suas necessidades.

Para empresas de médio porte, a funcionalidade oferecida pelo fornecedor na forma de uma solução in a box é suficiente em 99% dos casos.

O que é rede de sobreposição?

Qual é a idéia de redes de sobreposição? Em essência, você adota uma rede roteada clássica e constrói outra rede sobre ela para obter mais recursos. Na maioria das vezes, estamos falando sobre a distribuição efetiva da carga nos equipamentos e nas linhas de comunicação, um aumento significativo no limite de escalabilidade, maior confiabilidade e vários problemas de segurança (devido à segmentação). Além disso, as soluções SDN oferecem uma oportunidade para uma administração flexível muito, muito, muito conveniente e tornam a rede mais transparente para seus consumidores.

Em geral, se as redes locais fossem inventadas nos anos de 2010, elas não se pareceriam com as que herdamos das forças armadas a partir da década de 1970.

Do ponto de vista das tecnologias para a construção de fábricas usando redes sobrepostas, atualmente existem muitas implementações de fabricantes e projetos de Internet RFC (EVPN + VXLAN, EVPN + MPLS, EVPN + MPLSoGRE, EVPN + Geneve e outros). Sim, existem padrões, mas a implementação desses padrões por diferentes fabricantes pode diferir, portanto, ao criar tais fábricas, ainda é possível abandonar completamente o bloqueio de fornecedor apenas na teoria em papel.

Com a solução SD, as coisas ficam ainda mais confusas, cada fornecedor tem sua própria visão. Existem soluções completamente abertas que, em teoria, você pode terminar a si mesmo, há soluções completamente fechadas.

A Cisco oferece sua própria opção SDN para data centers - ACI. Naturalmente, essa é uma solução 100% de bloqueio de fornecedor em termos de escolha de equipamentos de rede, mas ao mesmo tempo é totalmente integrada à virtualização, conteinerização, segurança, orquestração, balanceadores de carga, etc. Mas, em essência, ainda é uma espécie de caixa preta, sem a possibilidade de acesso total a todos os processos internos. Nem todos os clientes concordam com essa opção, pois você depende totalmente da qualidade do código da solução e de sua implementação, mas, por outro lado, o fabricante possui um dos melhores suportes técnicos do mundo e possui uma equipe dedicada que lida apenas com essa solução. Foi o Cisco ACI que foi escolhido como a solução para o primeiro projeto.

A solução para a Juniper foi escolhida para o segundo projeto. O fabricante também possui seu próprio SDN para o data center, mas o cliente decidiu abandonar a implementação do SDN. A fábrica EVPN VXLAN sem o uso de controladores centralizados foi escolhida como a tecnologia para construir a rede.

Por que voce precisa

Criar uma fábrica permite construir uma rede confiável, facilmente escalável, tolerante a falhas. A arquitetura (espinha dorsal) leva em consideração os recursos dos data centers (caminhos de tráfego, atrasos minimizados e gargalos na rede). As soluções SD nos data centers possibilitam o gerenciamento conveniente, rápido e flexível de uma fábrica e a integram ao ecossistema do data center.

Ambos os clientes precisavam construir data centers de backup para garantir tolerância a falhas; além disso, o tráfego entre os data centers precisava ser criptografado.

O primeiro cliente já considerava soluções sem fábrica como um possível padrão para suas redes, mas em testes teve problemas com a compatibilidade STP entre vários fornecedores de hardware. Houve paradas que causaram quedas de serviço. E para o cliente, isso foi crítico.

A Cisco já era o padrão corporativo do cliente, eles analisaram a ACI e outras opções e decidiram que valia a pena usar esta solução. Gostei da automação do controle com um botão através de um único controlador. Os serviços são configurados mais rapidamente, gerenciados mais rapidamente. Eles decidiram fornecer criptografia de tráfego executando o MACSec entre os comutadores IPN e SPINE. Assim, conseguimos evitar um gargalo na forma de um gateway de criptografia, economizá-los e usar a largura de banda máxima.

O segundo cliente escolheu uma solução sem um controlador da Juniper, porque em seu data center existente já havia uma pequena instalação com a implementação da fábrica EVPN VXLAN. Mas não havia tolerância a falhas (um interruptor foi usado). Eles decidiram expandir a infraestrutura do data center principal e construir uma fábrica no data center de backup. O EVPN existente não foi totalmente utilizado: o encapsulamento VXLAN não foi realmente usado, pois todos os hosts estavam conectados a um switch e todos os endereços MAC e / 32 endereços de host eram locais, o mesmo switch era um gateway para eles, não havia outros dispositivos, onde foi necessário construir túneis VXLAN. Eles decidiram fornecer criptografia de tráfego usando a tecnologia IPSEC entre firewalls (o desempenho da ITU era suficiente).

Eles também sentiram a ACI, mas decidiram que, devido à trava do fornecedor, teriam que comprar muito ferro, incluindo a substituição de novos equipamentos comprados recentemente, e isso simplesmente não faz sentido em termos econômicos. Sim, a fábrica da Cisco se integra a tudo, mas apenas seus dispositivos são possíveis dentro da própria fábrica.

Por outro lado, como disseram anteriormente, a fábrica EVPN VXLAN simplesmente não pode se misturar com nenhum fornecedor vizinho, porque as implementações de protocolo são diferentes. É como cruzar Cisco e Huawei na mesma rede - parece que os padrões são comuns, apenas você precisa dançar com um pandeiro. Como este é um banco e os testes de compatibilidade seriam muito longos, eles decidiram que é melhor comprar o mesmo fornecedor agora e não se deixar levar pela funcionalidade fora da base.

Plano de migração

Dois data

centers baseados em ACI: Organização da interação entre data centers. Solução Multi-Pod selecionada - cada data center é uma lareira. Foram considerados os requisitos para dimensionar o número de comutadores e para atrasos entre as lareiras (RTT menor que 50 ms). Decidiu-se não criar uma solução Multi-Site para facilitar o gerenciamento (para uma solução Multi-Pod, uma única interface de gerenciamento é usada, para um Multi-Site haveria duas interfaces ou seria necessário um orquestrador de vários sites), e como a reserva geográfica dos sites não era necessária.

Do ponto de vista da migração de serviços da rede herdada, foi escolhida a opção mais transparente, para transferir gradualmente as VLANs correspondentes a determinados serviços.
Para a migração, cada VLAN foi criada com o EPG (grupo de pontos finais) correspondente na fábrica. Primeiro, a rede foi esticada entre a rede antiga e a fábrica via L2; depois que todos os hosts foram migrados, o gateway foi transferido para a fábrica e o EPG interagiu com a rede existente através do L3OUT, e a interação entre L3OUT e EPG foi descrita usando contratos. Esquema de amostra: A

estrutura de amostra da maioria das políticas de fábrica da ACI na figura abaixo. Toda a configuração é baseada em políticas incorporadas em outras políticas e assim por diante. No início, é muito difícil descobrir isso, mas gradualmente, como mostra a prática, os administradores de rede se acostumam a essa estrutura em cerca de um mês e, em seguida, apenas conseguem entender como é conveniente.

Comparação

Na solução Cisco ACI, você precisa comprar mais equipamentos (switches separados para interoperabilidade entre pods e controladores APIC), tornando-os mais caros. A solução da Juniper não exigiu a compra de controladores e acessórios; Acabou por usar parcialmente o equipamento existente do cliente.

Aqui está a arquitetura da fábrica EVPN VXLAN para dois data centers do segundo projeto:

Na ACI, você obtém uma solução pronta - não precisa escolher, não precisa otimizar. Com o conhecimento inicial do cliente da fábrica, os desenvolvedores não são necessários; as pessoas de suporte não são necessárias para o código e a automação. É muito simples de operar, muitas configurações podem ser feitas geralmente através do assistente, o que nem sempre é uma vantagem, especialmente para pessoas acostumadas à linha de comando. De qualquer forma, leva tempo para reconstruir o cérebro em novos caminhos, no recurso de configurações por meio de políticas e na operação de muitas políticas aninhadas uma na outra. Além disso, é muito desejável ter uma estrutura clara para os nomes de políticas e objetos. Se houver algum problema na lógica do controlador, ele só poderá ser resolvido através do suporte técnico.

No EVPN, um console. Sofra ou se alegra. A interface familiar para a velha guarda. Sim, há uma configuração e guias típicos. Tem que fumar mana. Projetos diferentes, tudo é claro e detalhado.

Naturalmente, em ambos os casos, é melhor migrar não os serviços mais críticos, por exemplo, ambientes de teste durante a migração e, somente então, após detectar todos os erros, prossiga para a produção. E não sintonize na sexta à noite. Você não deve confiar no fornecedor que tudo ficará bem, é sempre melhor jogar pelo seguro.

Você paga mais pela ACI, embora a Cisco atualmente esteja promovendo ativamente essa solução e com frequência ofereça bons descontos, mas você economiza em manutenção - manutenção. O gerenciamento e qualquer automação de uma fábrica EVPN sem um controlador requerem investimentos e despesas regulares - monitoramento, automação, implementação de novos serviços. Ao mesmo tempo, o lançamento inicial na ACI é 30 a 40% mais longo. Isso ocorre porque todo o conjunto de perfis e políticas necessários é criado por mais tempo, que será usado. Mas à medida que a rede cresce, o número de configurações necessárias diminui. Use as políticas, perfis, objetos já criados. Você pode configurar de forma flexível a segmentação e a segurança, gerenciar contratos centralmente responsáveis por permitir determinadas interações entre EPGs - o volume de trabalho cai acentuadamente.

No EVPN, você precisa configurar cada dispositivo na fábrica, a probabilidade de erro é maior.

Se a ACI for mais lenta para implantar, o EVPN estará depurando quase o dobro do tempo. Se, no caso da Cisco, você sempre pode ligar para um engenheiro de suporte e perguntar sobre a rede como um todo (porque ela é coberta como uma solução), na Juniper Networks você compra apenas hardware, e é coberto por ela. Os pacotes do dispositivo sumiram? Bem, ok, então seus problemas. Mas você pode abrir a questão de escolher uma solução ou projetar uma rede - e eles o aconselharão a comprar um serviço profissional, por uma taxa adicional.

O suporte à ACI é muito legal porque é separado: uma equipe separada se senta apenas para isso. Existem, inclusive especialistas em língua russa. Hyde detalhado, as decisões são predeterminadas. Eles olham e aconselham. O design valida rapidamente, o que geralmente é importante. A Juniper Networks está fazendo a mesma coisa, mas às vezes mais devagar (tínhamos, deve ser melhor agora, há rumores), o que obriga a fazer tudo sozinho, onde seu engenheiro de soluções possa aconselhar.

O Cisco ACI oferece suporte à integração com sistemas de virtualização e contêiner (VMware, Kubernetes, Hyper-V) e gerenciamento centralizado. Existem serviços de rede e segurança - balanceamento, firewalls, WAF, IPS e mais ... Boa microssegmentação pronta para uso. Na segunda solução, a integração com os serviços de rede é feita com um pandeiro, e é melhor fumar fóruns com quem já fez isso com antecedência.

Total

Para cada caso específico, é necessário selecionar uma solução, não apenas com base no custo do equipamento, mas também levar em conta os custos operacionais adicionais e os principais problemas que o cliente está enfrentando agora e quais são os planos para o desenvolvimento da infraestrutura de TI.

O ACI devido a equipamentos adicionais saiu mais caro, mas a solução está pronta sem a necessidade de acabamento, a segunda solução é mais complicada e cara do ponto de vista da operação, mas mais barata.

Se você quiser discutir quanto pode custar para implementar uma fábrica de rede em diferentes fornecedores e que tipo de arquitetura é necessária, você pode conhecer e conversar. Antes do rascunho da arquitetura (com a qual os orçamentos podem ser considerados), mostraremos gratuitamente, um estudo detalhado, é claro, já foi pago.

Vladimir Klepce, redes corporativas.