Menu
Об’єднання проектів у різних дата-центрах

Об’єднання проектів у різних дата-центрах

На сьогодні об’єднання віддалених локальних мереж на рівні L2 продемонструвало свою неефективність, особливо враховуючи суттєве збільшення кількості обладнання. У цій статті розповідаємо, чому традиційний підхід перестав відповідати актуальним вимогам, і пояснюємо, які проблеми ми змогли вирішити, поєднуючи проекти, розташовані на різних майданчиках. Запрошуємо до прочитання!

Звичайна L2-схема

Локальна мережа є кампусною мережею в межах одного дата-центру. При цьому комутатори доступу розташовані безпосередньо у стійках із серверами. Вони поєднуються в один агрегаційний комутатор. Наведемо приклад схеми локальної мережі:

plan

Замовити підключення до локальної мережі можна для будь-якого пристрою, який розміщується або орендується в дата-центрі.Схема мережі ЦОД (центру обробки даних):

 

plan

Що таке L2 зв’язність? Її наявність означає, що вузли повинні знаходитися в одній підмережі або широкомовному домені. Зазначимо, що локальна мережа організовується через виділені комутатори доступу та агрегації. Насправді це означає, що проблеми, характерні для інтернет-мережі, не торкаються локальної. Схема L2 ефективна для дата-центрів невеликих розмірів, доки не всі стійки заповнені. У міру того, як кількість стійок, комутаторів та клієнтів збільшується, обслуговувати L2 домен стає значно складнішим.

Недоліки L2

Спочатку l2 сегмент використовувався разом із технологією VLAN. Цей ідентифікаційний простір обмежений, що скорочує кількість можливих ідентифікаторів. Розглянемо основні проблеми, які має L2 комутація:

  • Некоректне оброблення мультикасту.
  • Broadcast Storm (широкомовні шторми).
  • Організація резервування по L2.
  • Кількість МАС-адрес.

Також не можна зважати на людський фактор, у тому числі – перенесення лінків і VLAN. Зазначимо, що до поширених недоліків L2 відносяться налаштування клієнтських серверів та обладнання. Повністю фільтрувати STP на портах доступу не вдасться. Якщо STP працює некоректно з вини обладнання клієнтів, може торкатися всієї підмережі комутатора доступу. При цьому використання розширеного STP-протоколу не вирішує проблему, оскільки кількість портів і комутаторів найчастіше перевищує архітектурні можливості масштабування протоколу STP.

Broadcast

Часто об’єднання локальних мереж відбувається на устаткуванні різних виробників. Іноді навіть через незначні відмінності програмного забезпечення комутаторів вони по-різному обробляють STP. Якщо широко використовувати останню, то реакція на будь-які зміни, у тому числі ввімкнення/вимкнення порту, перевищить усі пороги очікування. Це загрожує проблемами, наприклад, коли один із клієнтів включатиме порт, зв’язність у мережі стане пропадати на деякий час.

broadcast

Чому виникають проблеми з Broadcast? Найчастіше через:

  • неправильні дії на сервері, у тому числі створення одного bridge між кількома портами;
  • неправильне налаштування програмного обладнання сервера;
  • специфічних поломок мережевої картки сервера.

Multicast

Проблеми з Multicast вважаються досить специфічними. Найчастіше вони відбуваються, коли порушена ip зв’язність, а також через некоректну роботу програмного забезпечення сервера та ПЗ комутатора. Розглянемо це з прикладу налаштованого між кількома серверами Corosync в multicast-режиме. Враховуючи, що штатний обмін Hello-пакетами невеликий, періодично пересилається досить багато пакетів, що потребує спеціального налаштування комутаторів або використання механізмів обробки типу IGMP join.

Працюючи з мережевим устаткуванням зі списку потенційних проблем не можна повністю виключити людський чинник. Якщо мережевий адмін один і грамотно та відповідально виконує свої завдання, документує дії та обмірковує їх можливі наслідки – ризик неполадок мінімальний. Але якщо кількість обладнання постійно збільшується, співробітників стає більше, тоді треба повністю переглянути організацію робочого процесу.

Звичайно, ряд типових дій через ризик помилки автоматизовано. Але, з іншого боку, багато процесів повної автоматизації не піддаються або ціна автоматизації надто висока. Наприклад, перемикання патч-кодів, підключення нових лінків та заміна існуючих виконуються вручну, оскільки вартість патч-панелі дуже висока, а функціональність досить обмежена.

Перерахуємо найпоширеніші помилки, які здійснюються співробітниками:

  • вказівка ​​неправильного номера порту;
  • введення неправильного номера VLAN;
  • друкарська помилка при введенні числового значення.

Unknown-unicast

Особливе місце займають проблеми, зумовлені трафіком unknown-unicast. Під цим терміном мається на увазі трафік, який L2 передається на всі порти, що належать даному VLAN. Чому виникає така ситуація?

  • Через отримання DDoS на незайняту IP-адресу.
  • При друкарській помилці в конфігурації сервера, коли вказана неіснуюча резервна адреса, але на сервері є статичний ARP-запис за даною адресою.

plan

Розглянемо один показовий приклад. Порт, за яким розташований хост з адресою, часто переходить у вимкнений стан. Такий трафік лімітовано транзитними комутаторами. Але, на відміну від broadcast чи multicast, Unknown-unicast ніколи не може ініціюватися з інтернету у широкому розумінні цього слова, а виключно із клієнтської мережі. Найвищий ризик unknown-unicast трафіку спостерігається, якщо правила фільтрації прикордонних маршрутизаторів дозволяють підмінити IP-адреси зовні.

Типові випадки використання L2

Нижче розглянемо типові випадки застосування L2 докладніше. Насамперед, охарактеризуємо зв’язок front та back-end та резервне копіювання, розглянемо резервування ресурсів.

Зв’язок front та back-end, резервне копіювання

Використання локальної мережі тісно пов’язане з розподілом функціоналу front та back-end сервісів. Також для збільшення продуктивності потрібно винести СУБД на окремий сервер.

db

Сервери L2 включені в один VLAN та кілька комутаторів. У міру того, як зростає кількість обладнання, все нові й нові сервери включаються до комутаторів стійок дата-центру. Через це L2-домен росте завширшки. Поки проект знаходиться в одному дата-центрі, проблем із масштабуванням не виникає. Розробникам годі було прописувати окремі правила маршрутизації. Але коли якась частина проекту переїжджає на віртуальні машини у хмару або відбувається об’єднання двох мереж через інтернет, все ускладнюється. Як саме? Детально розглядаємо нижче!

plan

Резервування ресурсів

Насамперед збільшується ширина L2-домена. Тобто потенційні проблеми локальної мережі ДЦ1 можуть виявитися і ДЦ2. Тому важливо подбати про резервування VLAN, зарезервувавши кожну з точок відмови (комутатор агрегації та кабель кожного з дата-центрів).

 

plan

Як бачите на малюнку, схема суттєво ускладнюється через збільшення кількості компонентів. Це викликано необхідністю зарезервувати кожен елемент у системі, продублювавши майже кожен елемент. Але використовувати для резервування STP у такій великій мережі практично неможливо. Тому, якщо застосовується об’єднання двох локальних мереж через Інтернет, важливо знизити вплив проблем L2 на існуючу мережу, зберігши всі можливості для резервування ресурсів.

Перехід на L3

У випадку, якщо кожний лінк представлений у мережі як окремий сегмент, а кожен маршрут – як окремий маршрутизатор, резервне копіювання на рівні L2 не знадобиться. Резервування відбувається з допомогою протоколів надлишкової маршрутизації. При цьому вихід до серверів інших дата-центрах відбуватиметься через L3. Між дата-центрами встановлюється кілька маршрутизаторів для резервування, що дозволить розділити L2-домени та використовувати в кожному дата-центрі власний простір VLAN.

Для кожного клієнта використовуються діапазони IP-адрес, що повторюються. Мережі L2 і L3 повністю ізольовані один від одного, так що, наприклад, один клієнт не потрапить до мережі іншого (якщо обидва вони не згодні на таке з’єднання). На всіх пристроях дата-центрів прописується спеціальний маршрут, який дозволяє серверам «бачити» один одного маршрутизації.

Це спрощує масштабування схеми, якщо з’явився третій дата-центр. У таких випадках для серверів третього дата-центру прописуються IP-адреси з наступного діапазону. Така схема має незаперечну перевагу – додаткове резервування у разі відмови дата-центру чи зовнішнього каналу зв’язку не требуется.

plan

L3-сегменти усередині проектів

Схема L3 часто виділяється для окремих серверів у проектах, які найчастіше виконані за різними технологіями. Насамперед, маються на увазі апаратні сервери в дата-центрі в одній IP-підмережі. Це дозволяє запобігти випадковим помилкам в одному з сегментів, які можуть викликати відмову всіх серверів, які включає маршрутизація L2 L3.

plan

Резервування маршрутизатора

Резюмуючи все сказане вище, скажемо: якщо розглядати об’єднання двох мереж через маршрутизатор, саме він буде єдиною точкою відмови. Зауважимо, що помилково вважати, що на один проект припадає один маршрутизатор. Насправді кожен дата-центр виділяється 2 маршрутизатора, формують Virtual IP .254 (на протоколі VRRP).

Чому застосовувати VRRP між пристроями, які знаходяться поруч і з’єднані через маршрутизатор L2, виправдано? Кожен із клієнтів, що підключається до локальної мережі через таку схему, підключається до окремого L3VPN.

Приблизний вигляд цієї схеми:

plan

Зверніть увагу, що адреса шлюзу для всіх сегментів Virtual IP.254 резервується між двома маршрутизаторами.

Висновок

Сподіваємося, стаття була корисною та цікавою, а відмінності L2 від L3 є очевидними. Саме зміни, внесені до об’єднання двох локальних мереж через інтернет з L2 на L3, зберегли можливість масштабування, підвищили рівень стійкості до відмов і надійності, уможливили реалізацію схем додаткового резервування.

Типові рішення, враховуючи стрімке зростання дата-центрів та проектів, досягають межі масштабованості. Таким чином, вони вже не є ефективним вирішенням завдань – вимоги до стійкості та надійності системи постійно підвищуються, що безпосередньо впливає на процес планування. Надалі планується отримання системи, яку неможливо масштабувати.

А якщо ви бажаєте орендувати виділений сервер за кордоном, зверніть увагу на пропозицію нашої компанії. Замовити виділений сервер у Unihost.com:

  • Безкоштовне адміністрування та сховище для бекапів.
  • Сервери по всьому світу. До речі, ви можете орендувати виділений сервер у дата-центрах Франції.
  • До 256 IP-адрес на сервер.
  • Веб-інтерфейс для керування сервером.
  • Апаратний брандмауер, що забезпечує надійний захист від хакерів.
  • Цілодобова підтримка без вихідних та свят.

А ще виділений сервер у дата-центрах Нідерландів – це вигідні тарифи та великі знижки! Щоб скористатися послугами Unihost.com, зв’яжіться з нами, зателефонувавши за номерами контактних телефонів або скориставшись спеціальною формою. Запрошуємо до співпраці, яка стане основою для процвітання вашого бізнесу вже зараз!