قبل أن تبدأ
نظام إدارة الشبكة المثالي
أجرؤ على القول إنه من وجهة نظر الإدارة والأتمتة ،
أصبح PSEFABRIC الآن أقرب من أي حل آخر لما يمكن تسميته "مدير شبكة مثالي".
إذا كان لديك سيارة جيدة ، فأنت تعرف نظام التحكم الجيد. أنت ، كمستخدم ، تحتاج فقط إلى معرفة كيفية تغيير سرعة واتجاه الحركة ، وهذا وهذا فقط ، إلى حد كبير ، يوفر لك واجهة. في الوقت نفسه ، يمكن أن تكون السيارات مختلفة ، عن مختلف الشركات المصنعة ، مع حلول تقنية مختلفة - لا تزال الواجهة هي نفسها: الفرامل ، الغاز وعجلة القيادة (لنفترض أن لديك ناقل حركة أوتوماتيكي).
هل يمكن نقل هذا النهج إلى الشبكة ، وإذا كان الأمر كذلك ، فما هو نظام التحكم الذي سيكون مثاليًا للشبكة؟
للإجابة على هذه الأسئلة ، دعونا أولاً نجيب على السؤال ، ومن هو السائق؟
الشبكات ، التي لا تكون "حصانًا كرويًا في فراغ" ، لا وجود لها من أجلها ، بل توجد لغرض واحد - نقل البيانات. ومستخدمي هذه الخدمة تطبيقات. جميع احتياجات التطبيق هي الشبكات والاتصال بينهما. يجب أن تكون نقطة التكوين هي نفسها لشبكة الاتصال بالكامل (وليس مائة جهاز شبكة مختلف) ويجب أن تكون الواجهة بسيطة وموحدة.
وبطبيعة الحال ، هذه مهمة مستحيلة ، لأنه من وجهة نظر الشبكة ، كل شيء معقد: مئات البروتوكولات وأنواع المعدات والبائعين والتصميمات - هذا محيط بكل أنواع الخيارات. كيفية إنشاء منتج بواجهة بسيطة وموحدة تأخذ في الاعتبار كل هذا التنوع؟ من الواضح أن المشكلة في هذا النموذج لا يمكن حلها.
ومع ذلك ، الآن يمكننا أن نقول بالفعل أن هناك حلًا وتبين PSEFABRIC هذا. المهمة ، بالطبع ، تحتاج إلى تعديل بسيط ، لكن لحسن الحظ ، هذا التغيير ليس مهمًا.
بيان المشكلة
هناك نوعان من الأخبار الجيدة.
الأول هو أنه بعد الانتهاء من بناء شبكتك وتشغيلها ، فمنذ تلك اللحظة ، يتم تضييق نطاق المهام التي تقوم بها على الشبكة بشكل كبير.
عادةً ما تكون المهام التشغيلية كما يلي:
- إنشاء / حذف تكوين متعلق بإعداد بروتوكولات L2 / L3 لتوصيل الأجهزة (الشبكات ، الشبكات ، واجهات فرعية ، ...).
سوف أسميها إنشاء / حذف الشبكة. - فتح / إغلاق الوصول
- إنشاء / إزالة الخوادم الافتراضية لموازنة حركة المرور
هذا يعطينا الفرصة لتغيير الشرط الأولي. لن ندير جميع العمليات على الشبكة. نحن نميز عدة عمليات مترابطة ، وهي
- إنشاء الوصول
- التواصل (بالمعنى الموصوف أعلاه)
- إنشاء خوادم افتراضية لتحقيق التوازن
- ...
والخبر السار الثاني هو الواجهة.
يمنحنا منتج Cisco
ConfD كل ما نحتاج إليه. باستخدام لغة YANG ، يمكننا وصف (وبالتالي إنشاء) أي منطق ضروري للواجهة الخاصة بنا. سيكون لدينا أيضا كل ما نحب كثيرا. فيما يلي بعض هذه:
- التكوين حفظ
- إصدارات تكوين المرشح وتشغيله (إمكانية الالتزام)
- التحقق من بناء الجملة ومنطق التغييرات
- التراجع
- ااا
- التكوين عبر CLI ، HTTP ، والراحة ، netconf ، snmp
PSEFABRIC v.010
الإصدار الجديد v.010 PSEFABRIC
- يجعل من السهل التبديل بين سياقات المشروع المختلفة
- إنه قابل للتخصيص بسهولة لمجموعة واسعة من التصميمات والمعدات والمتطلبات. يتم ضمان ذلك بواسطة خصائص PSEFABRIC التالية:
- مشروع P000 ، وهو قالب لمشاريع أخرى. تتمثل الطريقة الموصى بها عند إنشاء مشروع جديد في نسخ ملفات هذا المشروع مع تغييرها اللاحق
- مجموعة من الأدوات لتكوين PSEFABRIC. لا تغيير رمز المطلوبة
- منهجية تصف تسلسل الخطوات الواجب اتخاذها في عملية تنفيذ هذا الحل
عندما كتبت
هذه المقالة قبل عام ، إلى حد كبير ، كان الجواب على السؤال "هل هذا ممكن من حيث المبدأ؟"
المثال الوارد آنذاك (يُطلق عليه الآن المشروع
p001 ) ، حيث أنه مثير للاهتمام من وجهة نظر مجموعة من المعدات (Cisco Routers ، L3 Switches ، Switches ، Cisco ASA ، Juniper SRX) ، لا يزال مصطنعًا إلى حد ما.
تتمثل الميزة الكبيرة لهذا المشروع (p001) في وجود مختبر (UNL) ، حيث يمكنك "التجوّل" من خلال إعدادات PSEFABRIC وجميع المعدات المذكورة أعلاه ، وفهم مبادئ التشغيل ، والنقاط الرئيسية للتكوين ، والتعرف على أدوات التشخيص ...
الإصدار الحالي من PSEFABRIC (v.010) هو بالفعل منتج متكامل. يمكنك أخذها وتطبيقها على شبكتك أو على شبكة عميلك. لإظهار مرونة وقوة هذا الحل ، تم إنشاء مشروع آخر (
p002 ).
هذا بالفعل تصميم "قتالي" يمكنك تطبيقه في مكانك أو على العميل. هذا نهج شائع وحديث لبناء مركز بيانات يعتمد على أفكار طويلة الأمد:
- الانقسام المنطقي المتداخل
- الأجهزة المنطقية (ACI Tenants ، Palo-Alto VSYS ، N7k VDCs ، ...)
- تجزئة التوجيه (VRFs)
- مراقبة حركة المرور بين القطاعات المنطقية على جدران الحماية
- سحابة MPLS لربط مراكز البيانات
المعدات: بالو ألتو ، سيسكو ACI.
في هذا
الفيديو لنصف ساعة
، نقوم بتحليل
المثال 0 بالتفصيل. في هذا المثال ، باستخدام PSEFABRIC ، نقوم بتهيئة الوصول بين قطاعات الشبكة المختلفة للمشروع p002 ، على التوالي ضبط معدات ACI و PA.
قليلا عن المعجزات
لفهم كيف يقوم PSEFABRIC بتغيير مفهوم إدارة الشبكة ، إليك بعض الأمثلة.
لنبدأ بالأشياء المفاهيمية.
- المرونة بعد الإجابة على جميع الأسئلة في الاستبيان ، يستغرق إعداد PSEFABRIC لمشروع جديد من عدة أيام إلى عدة أسابيع. يعتمد الكثير على مدى سرعة إنشاء جميع القوالب اللازمة. لكن على أي حال ، تبدو 3 أشهر واقعية تمامًا لتنفيذ (مع اختبار) هذا النظام. على سبيل المثال ، استغرق إعداد PSEFABRIC للمشروع p002 أسبوع واحد. من خلال خبرتي في إنشاء نظام للتحكم في الوصول لـ ACI ، يمكنني القول أنه حتى إذا قمنا بزيادة هذه الفترة إلى 6 أشهر لمشروع معقد ، فإنه يظل مؤشرًا جيدًا للغاية.
- التعافي من الكوارث. لديك بالفعل تكوين "تشغيلي" لـ "الشبكة بالكامل" في ملف واحد. يمكنك تطبيقها بسهولة على المعدات الجديدة. لكن من المثير للاهتمام ، يمكنك حتى استبدال نوع المعدات (على سبيل المثال ، كان Juniper SRX ، لكنه أصبح Palo-Alto FW) ، وتغيير إعدادات PSEFABRIC (أو إنشاء مشروع جديد بإعدادات جديدة) وتطبيق نفس التكوين ، ولكن على نوع جديد من المعدات. ويبدو حقا وكأنه معجزة ، أليس كذلك؟
- تسجيل الدخول. المشكلة المعتادة. إذا لم تقم بتسجيل الدخول ، فحينئذٍ لم تعد تفهم مكان ووجهة الوصول وما زالت هناك حاجة إلى الوصول إليها ، والتي عفا عليها الزمن ، وبشكل عام تفقد السيطرة على شبكتك. إذا قمت بتسجيل الدخول ، فسيتطلب الأمر الكثير من الوقت ، ولن تكون متأكدًا مطلقًا من أن عمليات الوصول التي تم تسجيلها تتوافق حقًا مع التكوين الحقيقي ، وفي النهاية تتوقف عن القيام بذلك. هنا لديك كل من التكوين وتسجيل الدخول في زجاجة واحدة.
- DevOps. أصبح إعداد شبكتك الآن ملفًا نصيًا بسيطًا وسهلاً القراءة. وفقًا لذلك ، يمكنك تطبيق تطوير أفضل الممارسات على التغييرات على شبكتك.
- ناعس. هل فكرت في كيفية تنفيذ حل "الشبكة كخدمة"؟ الآن لديك هذا الحل مع واجهات cli و netconf و REST و HTTP و SNMP.
وبعض الأمثلة الفنية:
- هل حاولت الإجابة على أسئلة مثل "أين / من أين يتم الوصول من / إلى مثل هذه الشبكة المفتوحة؟" إذا كان لديك العديد من مراكز البيانات ويتم التحكم في الوصول إلى عشرات الأجهزة المختلفة ، فإن الإجابة على هذا السؤال قد تكون صعبة للغاية. في حالة PSEFABRIC ، هذا هو الابتدائية.
- يقدم بعض البائعين حلول إدارة وصول مريحة ، مثل العلامة في Palo-Alto أو TrustSec في Cisco. خلاصة القول هي توفير الوصول تلقائيا إلى الشبكات باستخدام العلامات. في PSEFABRIC ، يمكنك تنفيذ ذلك لشبكتك بالكامل ، بغض النظر عن البائع. يبدو وكأنه معجزة؟ في رأيي ، نعم.
- تريد فتح الوصول من العديد من الشبكات التي توجد بها الموارد الإدارية (نظام المراقبة ، أنظمة النسخ الاحتياطي ، ...) لجميع أجهزة الشبكة وخوادم Linux. عادةً ما يؤدي هذا إلى حقيقة أنه يجب عليك فتح العديد من عمليات الوصول على العديد من الأجهزة. إجراء قابل للتنفيذ ، ولكن ليس لطيفًا جدًا ، وبالطبع يمكن أن يكون هناك العديد من هذه الأمثلة. في حالة PSEFABRIC ، يمكن أن تكون هذه سياسة واحدة ومن ثم PSEFABRIC ستحدد أين وأية أوامر تكوين يجب تطبيقها.
سؤال متكرر
لكن كيف يختلف هذا عن التنسيق المنتظم ، على سبيل المثال ، باستخدام Cisco UCSD؟
ما الجديد في هذا النهج؟
الشيء الجديد هو أن تزامن لا يعرف عادة عن تكوين الشبكة ، وإذا كانت المعلومات المطلوبة ، ثم ينبغي أن تزامن تقديم طلبات للحصول على معدات حقيقية.
على سبيل المثال ، إذا قمت بحذف عقد على ACI ، فيجب على نظام التوليف أن يمر بجميع EPGs على ACI للعثور على جميع مقدمي الخدمات والمستهلكين لهذا العقد. ويمكن أن يكون عشرات الآلاف من EPGs. ولا يتعلق الأمر فقط بالأداء (على الرغم من أن هذا أيضًا) ، ولكنه يعرقل المنطق بشكل كبير.
حسنًا ، انظر فقط إلى الفصل السابق وأجب عن السؤال ، هل لديك كل هذه المزايا في حالة التنسيق؟
مثيرة للاهتمام؟
PSEFABRIC مفتوح المصدر برخصة أباتشي ، الإصدار 2.0.
https://github.com/nihole/PSEFABRIChttps://github.com/nihole/PSEFABRIC/wikihttps://github.com/nihole/PSEFABRIC/wiki/Installation