كيف قمنا بتصميم وتنفيذ الشبكة الجديدة على Huawei في مكتب موسكو ، الجزء 3: مصنع الخوادم

في الجزءين السابقين ( الأول والثاني ) ، درسنا المبادئ التي تم على أساسها إنشاء مصنع مستخدم جديد وتحدثنا عن ترحيل جميع الوظائف. الآن حان الوقت للحديث عن مصنع الخادم.

في السابق ، لم يكن لدينا بنية تحتية منفصلة للخادم: تم توصيل مفاتيح الخادم بالخادم الأساسي نفسه مثل مفاتيح توزيع المستخدم. تم تنفيذ التحكم في الوصول باستخدام الشبكات الافتراضية (VLAN) ، وتم تنفيذ توجيه شبكة محلية ظاهرية (VLAN) عند نقطة واحدة - على جوهر (وفقًا لمبدأ Collbed Backbone ).


البنية التحتية للشبكة القديمة

جنبا إلى جنب مع شبكة المكاتب الجديدة ، قررنا بناء غرفة خادم جديدة ، وله - مصنع جديد منفصل. اتضح أنه صغير (ثلاث خزانات للخوادم) ، ولكن يتبع كل الشرائع: نواة منفصلة على محولات CE8850 ، طوبولوجيا متصلة بالكامل (ورقة محورية) ، أعلى الحامل (ToR) - الكومبيوتر CE6870 ، زوج منفصل من المحولات للتواصل مع بقية الشبكة (حد يترك). باختصار ، حشوة كاملة.


شبكة مصنع الخادم الجديد

قررنا التخلي عن SCS الخاص بالخادم لصالح توصيل الخوادم مباشرةً بمفاتيح ToR. لماذا؟ لدينا بالفعل غرفتي خادم تم تصميمهما باستخدام SCS المستند إلى الخادم وأدركنا أن هذا هو:

• غير مريح في العملية (كثير من التبديل ، تحتاج إلى تحديث سجل الكابل بعناية) ؛
• مكلف من حيث المساحة التي تشغلها لوحات التصحيح ؛
• إذا لزم الأمر ، قم بزيادة سرعة توصيل الخوادم (على سبيل المثال ، قم بالتبديل من توصيلات نحاسية بسرعة 1 جيجابت / ثانية إلى بصريات بسرعة 10 جيجابت / ثانية).

عند الانتقال إلى مصنع جديد للخوادم ، حاولنا الابتعاد عن توصيل الخوادم بسرعة 1 جيجابت / ثانية وقصرنا على واجهات 10 جيجابت. المحاكاة الافتراضية تقريبًا لجميع الخوادم القديمة التي لا تعرف كيف ، والباقي من خلال أجهزة الإرسال والاستقبال جيجابت المتصلة بمنافذ 10 جيجابت. حسبنا وقررنا أنه سيكون أرخص من تثبيت مفاتيح جيجابت منفصلة لهم.


مفاتيح ToR

أيضًا في غرفة الخادم الجديدة الخاصة بنا ، قمنا بتركيب مفاتيح منفصلة للإدارة خارج النطاق (OOM) على 24 منفذًا ، واحد لكل حامل. تبين أن هذه الفكرة جيدة جدًا ، فلم تكن المنافذ فقط كافية ، في المرة القادمة سنقوم بتثبيت مفاتيح OOM لـ 48 منفذًا.

في شبكة OOM ، نقوم بتوصيل واجهات الإدارة عن بُعد لخوادم مثل iLO أو iBMC وفقًا لمصطلحات Huawei. إذا فقد الخادم الاتصال الرئيسي بالشبكة ، فيمكنك الوصول إليه من خلال هذه الواجهة. تقوم مفاتيح OOM أيضًا بتوصيل واجهات إدارة مفتاح التبديل ToR ، وأجهزة استشعار درجة الحرارة ، وواجهات التحكم في UPS ، وغيرها من الأجهزة المماثلة. يمكن الوصول إلى شبكة OOM من خلال واجهة جدار حماية منفصلة.


اتصال الشبكة OOM

الاقتران الخادم وشبكات المستخدم

في مصنع مخصص ، يتم استخدام VRFs منفصلة لأغراض مختلفة - لتوصيل محطات عمل المستخدم وأنظمة المراقبة بالفيديو وأنظمة الوسائط المتعددة في غرف الاجتماعات ، وتنظيم المدرجات ومناطق العرض ، إلخ.

تم إنشاء مجموعة مختلفة من VRFs في مصنع الخادم:

• لتوصيل الخوادم التقليدية التي يتم نشر خدمات الشركات عليها.
• فصل VRF ، حيث يتم نشر الخوادم مع إمكانية الوصول من الإنترنت.
• افصل VRF لخوادم قاعدة البيانات التي لا يمكن الوصول إليها إلا عن طريق خوادم أخرى (على سبيل المثال ، خوادم التطبيقات).
• VRF منفصلة لنظام البريد لدينا (MS Exchange + Skype for Business).

وبالتالي ، لدينا مجموعة VRF من جانب مصنع المستخدم ومجموعة VRF من جانب مصنع الخادم. يتم تجميع كلا المجموعتين على جدران الحماية للشركات (MEs). يتم توصيل MEs بمفاتيح الحدود لكل من مصنع الخادم ومصنع المستخدم.


ربط المصانع من خلال ME - الفيزياء


ربط المصانع من خلال ME - المنطق

كيف ذهبت الهجرة

أثناء الترحيل ، قمنا بتوصيل مصانع الخوادم الجديدة والقديمة على مستوى القناة ، من خلال صناديق مؤقتة. لترحيل الخوادم الموجودة في شبكة محلية ظاهرية معينة ، أنشأنا مجال جسر منفصل ، والذي تضمن شبكة محلية ظاهرية لمصنع الخادم القديم و VXLAN لمصنع الخوادم الجديد.

يبدو التكوين مثل هذا ، والمفتاح هو آخر سطرين:

bridge-domain 22 vxlan vni 600022 evpn route-distinguisher 10.xxx.xxx.xxx:60022 vpn-target 6xxxx:60022 export-extcommunity vpn-target 6xxxx:60022 import-extcommunity interface Eth-Trunk1 mode lacp-static dfs-group 1 m-lag 1 interface Eth-Trunk1.1022 mode l2 encapsulation dot1q vid 22 bridge-domain 22 

ترحيل الجهاز الظاهري

بعد ذلك ، باستخدام VMware vMotion ، تم ترحيل الأجهزة الظاهرية في VLAN من برامج Hypervisor القديمة (الإصدار 5.5) إلى أخرى جديدة (الإصدار 6.5). على طول الطريق ، كانت خوادم الأجهزة افتراضية.


في شبكة الخادم القديمة ، استخدمنا VMware vShield virtual ME. نظرًا لأن VMware لم يعد يدعم هذه الأداة ، وفي نفس الوقت الذي انتقلنا فيه إلى المزرعة الافتراضية الجديدة ، فقد تحولنا من vShield إلى جدران الحماية للأجهزة.

بعد عدم ترك أي خوادم في شبكة محلية ظاهرية معينة في الشبكة القديمة ، قمنا بتبديل التوجيه. في السابق ، تم تطبيقه على النواة القديمة ، التي تم إنشاؤها باستخدام تقنية Collapsed Backbone ، وفي مصنع الخوادم الجديد استخدمنا تقنية Anycast Gateway.


مفتاح التوجيه

بعد تبديل التوجيه لشبكة محلية ظاهرية معينة ، تم قطع الاتصال عن نطاق الجسر وتم استبعادها من الجذع بين الشبكة القديمة والجديدة ، أي تم نقلها بالكامل إلى مصنع الخوادم الجديد. لذلك هاجرنا حوالي 20 شبكة محلية ظاهرية.

لذلك أنشأنا شبكة جديدة وخادم جديد ومزرعة افتراضية جديدة. في أحد المقالات التالية ، سنتحدث عن ما فعلناه مع شبكة Wi-Fi.

مكسيم كلوشكوف
استشاري أول ، تدقيق الحسابات والمشاريع المتكاملة
مركز حلول الشبكات
جت انفورمز