Po dlouhodobém sledování růstu datových toků našich zákazníků a také v reakci na stupňující se DDoS útoky na servery v naší síti jsme v letošním roce přistoupili k razantním investicím do naší síťové infrastruktury. V této chvíli jsou hotové tři zásadní změny ze čtyř plánovaných.
Změnili jsme kompletně topologii vnitřní sítě z kruhu na dvojitou hvězdu, protože kruhová topologie byla při stávajících datových přenosech již neefektivní, narážela na své limity a neposkytovala dostatečnou rezervu pro pokrytí špiček a na další růst. Novou páteř v našem případě tvoří dvojice stohovatelných switchů značky Juniper s technologií „virtual chassis“ a s přepínacím výkonem až 88Gbps. Tyto dva fyzické boxy se z logického pohledu tváří jako jeden switch a v případě výpadku kteréhokoliv z nich je ten druhý připraven jeho funkci plně zastoupit. Všechny ostatní switche jsou připojeny do obou páteřních a kromě zajištění vysoké dostupnosti tak dochází i k vyvažování zátěže jednotlivých linek a celé řešení je výrazně lépe škálovatelné. Stejným způsobem jsou do páteřních switchů zapojeny i firewally a primární hraniční router.
Druhou změnou byla výměna obou hraničních routerů, jejichž trvalé zatížení se již blížilo 50% dostupné kapacity. V rámci našeho výběrového řízení jsme vybrali opět technologii značky Juniper s routovacím výkonem až 80Gbps. S migrací konfigurace z dosavadních Cisco boxů nám pomohl vybraný dodavatel (Comsource) a všechny změny proběhly bez větších zádrhelů v naplánovaných servisních oknech s minimálním dopadem na naše zákazníky.
Třetím krokem bylo posílení propoje do NIX.CZ z 1Gbps na 10Gbps. Po migraci našeho síťového provozu jsme v několika ohledech vylepšili dosavadní konfiguraci routerů pro zajištění vysoké dostupnosti a zejména byla díky lepší podpoře zdokonalena konfigurace IPv6. Vysokou dostupnost jsme se také rozhodli na závěr prací v praxi skutečně otestovat.
Reálně jsme tak odpojovali páteřní a hraniční síťové linky a vypínali klíčové prvky celé síťové infrastruktury a sledovali chování sítě, abychom měli jistotu, že vysoká dostupnost nové konfigurace není jen „na papíře“, ale že byla implementována správně a v praxi skutečně funguje tak, jak má. Testy dopadly na výbornou, pomohly nám odhalit drobné nedodělky a také následné dny provozu potvrdily, že v praxi celé řešení funguje tak, jak bylo očekáváno.
K dokončení všech plánovaných změn naší sítě zbývá ještě obnova firewallů, na kterou právě spouštíme výběrové řízení. Nutnost této investice se potvrdila také poté, co po přepojení stávajících firewallů do nových páteřních switchů jeden box přestal fungovat a po restartu již nenabootoval. Jeho funkci samozřejmě zajišťoval box druhý, tedy naši zákazníci nepocítili žádnou změnu a box byl již v rámci servisní smlouvy nahrazen jiným, nicméně stávající boxy již výkonově nevyhovují tak, jak bychom si představovali. Jakmile bude dokončena i tato změna, bude mít celá nová síť mnohonásobně vyšší kapacitu, kterou můžeme dále nabízet našim zákazníkům a zároveň bude nesrovnatelně odolnější vůči stále se stupňujícím DDoS útokům.
Na závěr touto cestou děkuji kolegům i pracovníkům našeho dodavatele, kteří při těchto akcích trávili dlouhé noci v datových centrech, a to za jejich nasazení a perfektně odvedenou práci.
Pokud ještě nemáte hosting u ACTIVE 24, podívejte se na naši nabídku.
Komentáře
Jeden komentář: „Jak jsme od základu změnili naši síťovou infrastrukturu a posílili konektivitu na 10Gbps“
Obrázek zapojení by nebyl ? Nedovedu si to představit.