PSEFABRIC - pendekatan baru untuk manajemen jaringan dan otomatisasi. Langkah menuju yang ideal

Sebelum Anda mulai

• segala sesuatu yang dibahas di sini lebih relevan dengan pusat data dan jaringan kantor
• ini tentang proyek https://github.com/nihole/PSEFABRIC
• lihat juga artikel yang menguraikan prinsip-prinsip dasar PSEFABRIC.

Sistem manajemen jaringan yang ideal

Saya berani mengatakan bahwa dari sudut pandang manajemen dan otomatisasi, PSEFABRIC sekarang lebih dekat daripada solusi lain apa pun yang dapat disebut "manajer jaringan yang ideal".

Jika Anda memiliki mobil yang bagus, maka Anda tahu apa itu sistem kontrol yang baik. Anda, sebagai pengguna, hanya perlu tahu cara mengubah kecepatan dan arah gerakan, dan ini dan hanya ini, pada umumnya, memberi Anda antarmuka. Pada saat yang sama, mobil dapat berbeda, dari produsen yang berbeda, dengan solusi teknis yang berbeda - antarmuka masih sama: rem, gas, dan roda kemudi (misalkan Anda memiliki transmisi otomatis).

Bisakah pendekatan ini dibawa ke jaringan, dan jika demikian, sistem kontrol mana yang ideal untuk jaringan?

Untuk menjawab pertanyaan-pertanyaan ini, pertama mari kita jawab pertanyaannya, dan siapa pengemudi?

Jaringan, bukan menjadi "kuda bulat dalam ruang hampa," tidak ada demi mereka sendiri, mereka ada untuk satu tujuan tunggal - transmisi data. Dan pengguna layanan ini adalah aplikasi. Semua kebutuhan aplikasi adalah kisi-kisi dan konektivitas di antara mereka. Titik konfigurasi idealnya harus sama untuk seluruh jaringan (dan bukan seratus perangkat jaringan yang berbeda) dan antarmuka harus sederhana dan terpadu.

Dan ... tentu saja, ini adalah tugas yang mustahil, karena dari sudut pandang jaringan semuanya rumit: ratusan protokol, jenis peralatan, vendor, desain - ini adalah samudra dari semua jenis pilihan. Bagaimana cara membuat produk dengan antarmuka yang sederhana dan terpadu yang memperhitungkan semua keragaman ini? Jelas bahwa masalah dalam formulir ini tidak dapat diselesaikan.

Namun, sekarang kita sudah bisa mengatakan bahwa ada solusi dan PSEFABRIC menunjukkan ini. Tugas, tentu saja, perlu sedikit dimodifikasi, tetapi, untungnya, perubahan ini tidak signifikan.

Pernyataan masalah

Ada dua kabar baik.

Yang pertama adalah bahwa setelah Anda menyelesaikan pembangunan jaringan Anda dan menjalankannya, sejak saat itu berbagai tugas yang Anda lakukan pada jaringan sangat menyempit.
Biasanya, tugas operasional adalah sebagai berikut:

• pembuatan / penghapusan konfigurasi yang terkait dengan pengaturan protokol L2 / L3 untuk menghubungkan perangkat (jaringan, wilans, subinterfaces, ...).
  Saya akan menyebutnya pembuatan / penghapusan jaringan.
• buka / tutup akses
• pembuatan / penghapusan server virtual untuk menyeimbangkan lalu lintas

Ini memberi kita kesempatan untuk mengubah persyaratan awal. Kami tidak akan mengelola semua operasi di jaringan. Kami membedakan beberapa operasi yang saling terkait, yaitu

• pembuatan akses
• jaringan (dalam arti yang dijelaskan di atas)
• pembuatan server virtual untuk penyeimbangan
• ...

Berita baik kedua adalah antarmuka.

Produk Cisco ConfD memberi kita semua yang kita butuhkan. Menggunakan bahasa YANG, kita dapat mendeskripsikan (dan dengan demikian membuat) hampir semua logika yang diperlukan dari antarmuka kita. Kami juga akan memiliki semua yang sangat kami cintai. Berikut ini beberapa di antaranya:

• konfigurasi simpan
• kandidat & menjalankan versi konfigurasi (kemampuan komit)
• memeriksa sintaks dan logika perubahan
• kembalikan
• AAA
• konfigurabilitas melalui cli, http, sisanya, netconf, snmp

PSEFABRIC v.010

Versi baru v.010 PSEFABRIC

• membuatnya mudah untuk beralih di antara konteks proyek yang berbeda
• Mudah disesuaikan untuk berbagai desain, peralatan, dan persyaratan. Ini dipastikan oleh properti PSEFABRIC berikut:
  • project p000 , yang merupakan templat untuk proyek lain. Pendekatan yang disarankan saat membuat proyek baru adalah menyalin file proyek ini dengan perubahan berikutnya
  • Seperangkat alat untuk mengkonfigurasi PSEFABRIC. Tidak diperlukan perubahan kode
  • metodologi yang menjelaskan urutan langkah yang harus diambil dalam proses penerapan solusi ini

Ketika artikel ini ditulis setahun yang lalu, pada umumnya, itu adalah jawaban untuk pertanyaan "apakah ini mungkin secara prinsip?"

Contoh yang diberikan kemudian (sekarang disebut proyek p001 ), menjadi menarik dari sudut pandang seperangkat peralatan (Cisco Routers, L3 Switches, Switches, Cisco ASA, Juniper SRX), namun demikian agak buatan.

Keuntungan besar dari proyek ini (p001) adalah keberadaan laboratorium (UNL), di mana Anda dapat "bermain-main" dengan pengaturan PSEFABRIC dan semua peralatan di atas, memahami prinsip-prinsip operasi, poin utama konfigurasi, berkenalan dengan alat diagnostik ...

Versi PSEFABRIC (v.010) saat ini sudah merupakan produk lengkap. Anda dapat mengambil dan menerapkannya di jaringan Anda atau di jaringan klien Anda. Untuk menunjukkan fleksibilitas dan kekuatan solusi ini, proyek lain telah dibuat ( p002 ).

Ini sudah merupakan desain "pertempuran" yang dapat Anda terapkan di tempat Anda atau di klien. Ini adalah pendekatan yang populer dan modern untuk membangun pusat data berdasarkan ide lama:

• Segmentasi Logika Bersarang
  
  • perangkat logis (Penyewa ACI, Palo-Alto VSYS, N7k VDCs, ...)
  • Segmentasi Routing (VRFs)
• kontrol lalu lintas antara segmen logis pada firewall
• Cloud MPLS untuk menghubungkan pusat data

Peralatan: Palo-Alto, Cisco ACI.

Dalam video setengah jam ini , kami menguraikan contoh 0 secara detail. Dalam contoh ini, menggunakan PSEFABRIC kami mengkonfigurasi akses antara segmen jaringan yang berbeda dari proyek p002, masing-masing menyesuaikan peralatan ACI dan PA.

Sedikit tentang keajaiban

Untuk memahami bagaimana PSEFABRIC mengubah konsep manajemen jaringan, berikut adalah beberapa contoh.

Mari kita mulai dengan hal-hal konseptual.

• Fleksibilitas Setelah menjawab semua pertanyaan dalam kuesioner, menyiapkan PSEFABRIC untuk proyek baru membutuhkan beberapa hari hingga beberapa minggu. Banyak hal tergantung pada seberapa cepat Anda dapat membuat semua templat yang diperlukan. Tetapi bagaimanapun juga, 3 bulan terlihat cukup realistis untuk implementasi (bersamaan dengan pengujian) dari sistem ini. Misalnya, menyiapkan PSEFABRIC untuk proyek p002 membutuhkan waktu 1 minggu. Memiliki pengalaman dalam menciptakan sistem kontrol akses untuk ACI, saya dapat mengatakan bahwa bahkan jika kita meningkatkan waktu ini menjadi 6 bulan untuk proyek yang kompleks, itu masih tetap merupakan indikator yang sangat, sangat baik.
• Pemulihan Bencana. Anda sebenarnya memiliki konfigurasi "operasional" dari "seluruh jaringan" dalam satu file. Anda dapat dengan mudah menerapkannya pada peralatan baru. Tetapi yang menarik, Anda bahkan dapat mengganti jenis peralatan (misalnya, itu adalah Juniper SRX, tetapi menjadi Palo-Alto FW), mengubah pengaturan PSEFABRIC (atau membuat proyek baru dengan pengaturan baru) dan menerapkan konfigurasi yang sama, tetapi untuk jenis peralatan baru. Dan itu benar-benar terlihat seperti keajaiban, bukan?
• Akses Logging. Masalah biasa. Jika Anda tidak login, maka segera Anda tidak lagi mengerti di mana dan apa dan apa akses masih diperlukan, dan yang sudah ketinggalan zaman, dan secara umum Anda kehilangan kendali atas jaringan Anda. Jika Anda masuk, maka dibutuhkan banyak waktu, dan Anda tidak pernah yakin bahwa akses yang dicatat benar-benar sesuai dengan konfigurasi yang sebenarnya dan pada akhirnya Anda berhenti melakukannya. Di sini Anda memiliki konfigurasi dan masuk dalam satu botol.
• DevOps. Menyiapkan jaringan Anda sekarang adalah file teks yang sederhana dan mudah dibaca. Dengan demikian, Anda dapat menerapkan pengembangan praktik terbaik ke perubahan pada jaringan Anda.
• NaaS. Pernahkah Anda berpikir tentang bagaimana menerapkan solusi "Jaringan sebagai Layanan"? Sekarang Anda memiliki solusi ini dengan antarmuka cli, netconf, REST, HTTP, SNMP.

Dan beberapa contoh teknis:

• Sudahkah Anda mencoba menjawab pertanyaan seperti "di mana / dari mana akses dari / ke jaringan ini-dan-itu terbuka?" Jika Anda memiliki beberapa pusat data dan akses dikendalikan pada selusin perangkat yang berbeda, maka jawaban untuk pertanyaan ini bisa sangat sulit. Dalam kasus PSEFABRIC, ini adalah SD.
• Beberapa vendor menawarkan solusi administrasi akses yang mudah, seperti tag di Palo-Alto atau TrustSec di Cisco. Intinya adalah untuk secara otomatis memberikan akses ke jaringan menggunakan tag. Di PSEFABRIC, Anda dapat menerapkan ini untuk seluruh jaringan Anda, terlepas dari vendornya. Kedengarannya seperti keajaiban? Menurut saya, ya.
• Anda ingin membuka akses dari beberapa jaringan di mana sumber daya administratif berada (sistem pemantauan, sistem cadangan, ...) ke semua perangkat jaringan dan server Linux. Biasanya, ini mengarah pada fakta bahwa Anda harus membuka banyak akses pada banyak perangkat. Prosedur yang dapat dijalankan, tetapi tidak terlalu menyenangkan, dan tentu saja ada banyak contoh seperti itu. Dalam kasus PSEFABRIC, ini bisa menjadi satu kebijakan dan kemudian PSEFABRIC akan menentukan di mana dan perintah konfigurasi apa yang harus diterapkan.

Pertanyaan yang Sering Diajukan

Tetapi bagaimana ini berbeda dari orkestrasi biasa, misalnya, menggunakan Cisco UCSD?
Apa yang baru dalam pendekatan ini?

Yang baru adalah orkestrasi biasanya tidak tahu tentang konfigurasi jaringan, dan jika informasi diperlukan, maka orkestrasi harus membuat permintaan untuk peralatan nyata.
Misalnya, jika Anda menghapus Kontrak pada ACI, maka sistem orkestrasi harus melalui semua EPG pada ACI untuk menemukan semua penyedia dan konsumen untuk kontrak ini. Dan bisa jadi puluhan ribu EPG. Dan ini bukan hanya tentang kinerja (meskipun ini juga), tetapi sangat mempersulit logika.

Nah, lihat saja bab sebelumnya dan jawab pertanyaannya, apakah Anda memiliki semua keunggulan ini jika terjadi orkestrasi?

Menarik?

PSEFABRIC adalah sumber terbuka dengan Lisensi Apache, Versi 2.0.

https://github.com/nihole/PSEFABRIC
https://github.com/nihole/PSEFABRIC/wiki
https://github.com/nihole/PSEFABRIC/wiki/Instalasi