| +11 голос |
|
В далеком-далеком 2018-м году мы в «Укртелекоме» завершили проект построения частного облака в наших ЦОД. В результате стало очевидно, что виртуализация или «мозг» нашей инфраструктуры остр, как у программера после утреннего кофе, а вот к сети или «кровеносной системе» были вопросы…
На тот момент мы обладали гетерогенной сетевой инфраструктурой дата-центров в которой преимущественно использовались ручные процессы. Можно ли считать связку «Service desk+сетевой администратор» приемлемым уровнем автоматизации конфигурации сети? Точно нет. Вторым краеугольным камнем стало отсутствие поддержки производителями большей части оборудования, без функционирования которого полноценная работа компании невозможна. Что такое настоящее облако без SDN, спросили мы тогда у себя?
Раскинув на столе карты (конечно же дорожные) всех ключевых производителей сетевого оборудования, команда долго и тщательно анализировала их, искала наиболее перспективные и зрелые решения (а главное доступные в Украине). После длительных дебатов, доводов, аргументов и контраргументов белый дым пошел из камина с надписью Cisco ACI. Самое сложное было определить ключевые принципы и преимущества каждой конкретной архитектуры и выделить именно те, которые будут востребованы и наиболее эффективны непосредственно в нашей инфраструктуре. Если оставить в стороне маркетинг и красивые цифры, что же было наиболее важно для нас? Единая точка управления конвергентной сетью, а это зубная боль всех админов гетерогенной сети; сегментация сервисов и создание сервисных цепочек, тут добавилось пару болей ИБ, особенно после «Пети». Вишенка на торте - автоматизация настроек. Эти и другие технологические преимущества, в совокупности с реализованным частным облаком, давали нам возможность построить мощный фундамент для дальнейшего развития наших цифровых сервисов и модернизации прикладного ландшафта.
Жребий брошен – надо приступать к реализации. После небольших формальностей, присутствующих в каждой корпоративной культуре, мы определились с партнером и приступили к самому интересному – воплощению в жизнь самых передовых идей. Конечно же первым этапом был полный цикл проектирования решения, этапов миграции, разработка скриптов и чек-листов. Но, как говориться, пора переходить от безоблачной и радужной теории, к суровым и бескомпромиссным реалиям.
На следующем этапе необходимо было обеспечить безопасную и контролируемую миграцию гетерогенной сетевой инфраструктуры ЦОДов на решение Cisco ACI (как называет это Cisco - Network Centric миграция), не забыв при этом сохранить и перенести все корпоративные сетевые политики безопасности на новые межсетевые экраны. Эта задача была крайне непроста, т.к. за время существования текущей сетевой инфраструктуры она «обросла» большим количеством специфических настроек, которые создавались поколениями администраторов и не всегда остались ответы «почему так???» :-) Все это нужно было грамотно перенести в новую инфраструктуру, не «положив» в процессе продуктивные сервисы. Фактически мы переносили громадную распределённую гетерогенную и многовендорную сеть ЦОДов на современную программно-определяемую фабрику с иной внутренней логикой работы. И если кто-то из партнеров или сейлов Cisco скажет, что все мигрирует прозрачно и без проблем – не верьте :-) Сколько здоровья стоил один тот факт, что некоторые установленные TCP-сессии переносятся и трафик продолжает ходить через новые устройства, даже если правила на них этот трафик не разрешают… и узнаете вы это только после сброса всех сессий или перезагрузки устройств через пару недель.
Кроме этого, мы конечно же сталкивались на этапе миграции с огромным количеством сложностей, как технических, так и организационных. Ниже краткий и далеко не полный список:
• Согласование сервисных окон и определение скоупа сервисов, захватываемых конкретным этапом миграции.
• Определение взаимного влияние мигрируемых сервисов на другие сервисы в период сервисных окон.
• Проверка работоспособности мигрированных сервисов с заданными SLA, определяемыми сервисным окном.
• Отсутствие возможности полноценно протестировать на стенде всю архитектуру, поскольку физически невозможно смоделировать аналогичную сеть для оператора такого масштаба.
Было, разумеется, и множество других технических трудностей и проблем, но эта тема достойная отдельного рассказа, неограниченного во времени.
На сегодняшний день первый и самый главный базовый этап миграции Network Centric мы завершили, полностью мигрировав на новую сетевую архитектуру основной и резервный ЦОДы компании, расположенные в Киеве и Днепре. Для нас это действительно знаковое событие, потому что теперь мы можем приступить ко второй фазе, которая как раз и раскрывает в полной мере преимущества данного решения, фазу Application Centric миграции.
На нынешнем этапе происходит трансформация сетевой инфраструктуры и реализуемых в ней политик. Данная трансформация направлена на описание сетевого взаимодействия всех прикладных сервисов. Сервисо-центричный подход позволяет максимально защитить сервисы Укртелеком на базовом сетевом уровне, одновременно уменьшив риски горизонтального распространения сетевых атак, путём реализации парадигмы Zero Trust. И наконец дать нашему ИБ глоток счастья :-)
В это же время мы плотно будем заниматься другими направлениями, например, автоматизацией применения тех или иных политик, контролем за их применением и телеметрией, взаимодействием по API распределенной сетевой фабрики с другими системами.
А теперь о партнерах, без которых наш путь был бы гораздо тернистей, длиннее, сопровождался большим количеством шишек и «падений». Они выполняли широкий спектр работ, начиная от поставки и заканчивая работами по проектированию решения, развёртыванию и миграции в рамках первой фазы. Надо отдать должное профессионализму и компетенциям специалистов, которые участвовали в проекте, т.к. реальной экспертизы такого уровня, на нашем рынке практически нет, в этом мы убедились на собственном опыте. Проект длился два года и всё это время мы вместе работали на достижение общей цели, и это был потрясающе интересный опыт для всех участников.
Конечно же хочу поблагодарить команду вендора Cisco, которая поддерживала всех нас на этом пути. Ведь если бы их инженеры не создали такое крутое решение, то нам нечего было бы внедрять :-)
Внедрив Cisco ACI, мы получили не просто решение, мы внедрили стратегию развития компании в направлении сетевой инфраструктуры ЦОД на ближайшие несколько лет, – стратегию, которая призвана кардинально изменить подходы к функционированию наших цифровых сервисов. Мы верим, что этот подход позволит нам быть лидерами на рынке предоставления цифровых услуг и открывать новые направления, максимально гибко и быстро подстраивая свой ИT-ландшафт под новые вызовы рынка.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| +11 голос |
|
