软件定义网络在携程的运维实践
这是我们自动化上线的一个流程,首先有软件工程师在提供的NetrangerWeb ?UI上面制订布线计划,分配设备参数,现场工程师按照布线计划完成设备上架布线,完成了计划和布线或者是参数,就会传递给Netranger,Netranger根据参数生成配置.现场的交换机上线,也会有交换机的完成和配置的获取这样一个工作. 当Netranger校验是正回的情况下,把上行的接口,包括上行的下一个接口打开进行运行.上线以后会通过收集一些信息核对你现在的沿线和你之前布线计划是否一致,如果不一致的话会报警或者是关闭不一致的接口.这样的一个工具帮助网络工程师在一个工作日完成大量的交换机上线,虽然我们没有尝试过多少,但是你随便两百台它是能完成的. 这个是我们上线的数量,不多,这不是我们上线设备不多,而是我们购买的某些厂商的产品由于某些特殊技术不需要我们这个系统,实际上我们的数量是非常大的. Netranger在网络管理与网络安全方面的.携程是只用防火墙集中安全策略部署的点.所以网络被它在逻辑上分成很多的安全区域,我们为了达到灵活性的问题.我们使用虚拟路由器,虚拟路由器与安全区域进行一一关联. 服务器上线只需要加入该虚拟路由器下的网端,就可以进入你所定义的那个安全的区域.我们设计的这一工具就要完成网络管理,虚拟机路由器管理,电子网的管理,还有防火墙安全区域和 ?VRF的关联,最终实现路由自动化部署和网络防火墙安全的自动化. 先看看网络我们做了什么,第一个是网络配置可视化,我们首先收集信息,现在数据中有一些什么样的网络配制包括vlan、接口、VRF信息.接下来就完成配置的自动化,网络工程师要给数据中心做配置,是基于每个数据中心来做的,如果我们要加一个Vlan,按照以前的做法,是跑到数据中心去打你的Vlan,现在通常携程是有400个机柜,你让网络工程师一个个去打,浪费时间不说,还不能保证一致性. 现在只要在Netranger界面上输入,可以保证每一个的配置是一致的.比如说包括Vlan的管理、VRF的管理,以及IP网关的管理.待网络的自动化完成,剩下的事情就很简单与网络安全的区域关联,只需要网络管理员在Web界面上将安全区域与VRF建立关联关系,剩下的接口、路由就可以完成关联.最主要的是下面张图,我在VRF创立一个新IP自动,在防火墙和其他关联路由器上,相关静态路由会被推上去. IP路径发现的一个工具.由于携程网络中大量使用VRF,导致实际的发生的路径与物理拓扑上的路径是不一致的.这样导致你排障时非常讨厌,某两台服务器之间有什么访问的故障,然后你去排障,在物理上你看不出什么,网络工程师是登录IP一个个去看,但是费时间. 所以我们做了这个工具让网络工程师一下子发现这个路径是什么样子,比如说是否穿过墙了?实际的方案是用Netranger从所有的防火墙和路由器上搜集建立表,网络工程师需要查的话只需要搜一下,然后Netranger搜索这样一个路径以图形的方式展现出来,所以网络多路径对它来说也不是问题. 这个工具帮助我们实现运维过程中排障的自动上线.实际上工程师还会知道路径防火墙上面,有没有防火墙策略与用户的需求相匹配. 在Netranger当中有一个模块可以帮助我们完成SYSLOG的分析与告警.设备发出SYSLOG,然后有一份数据会给到,然后根据网络工程师定的策略,将不同优先集的报警以不同方式处理.一些会以短信的方式,一些以邮件的方式. 网络工程师收到邮件以后通过Wew界面转到Netranger上看就会发现很多的事情.这是我们的界面,网络工程师筛选不同级别的信息,可以调整时间显示所有时间段内的SYSLOG,在这里调整报警规则和屏蔽一些告知. 最有趣的是知识库,根据我们SYSLOG的报警和排障的经验,当某些与知识库匹配的时候,网络工程师会点详情,知识库里的内容就会指导他下一步怎样做.上面是现有的功能,我们正在做的是Netranger上的可视化,我们要做网络性能分析.在性能分析的前提下,根据性能分析的结果对网络进行优化. 我介绍了携程的这样一个产品叫Netranger,给大家看了它实现的功能、自动化、网络管理、网络排障工具和分析告警功能,以及我们还将进一步实现网络可视化. 文章出处:高效运维 (编辑:厦门网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |