Netwerktopologie voor in het datacenter

Ik werk voor een hostingbedrijf en we huren kasten voor onze servers bij een bekende provider. Momenteel hebben we drie kasten. Iedere kast heeft de beschikking over voeding in twee fasen en iedere kast heeft een 100Mbit Ethernet verbinding naar de provider.

Momenteel gebruiken we 1 van de drie uplinks naar de provider en en hangt in een kast een enkele switch, in een andere kast twee switches waarvan maar 1 is aangesloten en in een andere kast hangen twee redundante switches waarop de machines met nic-bonding zijn aangesloten. Op de switch waar de uplink is aangesloten zijn nu ook de switches van de andere kasten aangesloten en een aantal machines.

Vanwege de groei willen we het netwerk opnieuw en beter inrichten. Beter wil zeggen:

• switches redundant, het uitvallen van 1 switch mag niet leiden tot onbereikbaarheid van servers
• links redundant, het uitvallen van 1 link mag niet leiden tot onbereikbaarheid van servers. Dit
  maakt ook onderhoud zonder downtime mogelijk.
• voeding redundant

Verder heb ik momenteel nog geen eisen opgesteld (bijv. throughput en latency tussen de kasten) omdat we nu nog niet tegen limieten aanlopen en het onderzoek daarnaar minder prioriteit heeft dan het redundant maken van het netwerk.

De switches die we gebruiken ondersteunen VLAN's en Spanning Tree Protocol.

Ik heb de volgende VLAN's
1 default (in gebruik door de switches onderling)
2 servers (alle machines)
3 management (IPMI, LOM, serial port console apparaat, PDU's, switches)
4 storage (AoE)
5 extern verkeer

Ik heb onderstaande topologie ontworpen:

• Je ziet dat de helft van de switches op een bepaalde stroomgroep is aangesloten en de andere helft op de andere stroomgroep.
• In de nieuwe situatie willen we alle servers door middel van nic-bonding met twee switches verbinden.
• Vanwege stroomgebrek zullen alleen de belangrijkste machines op twee stroomgroepen aangesloten worden.
• In de toekomst willen we misschien link aggregation doen van de distributie-switches naar de core-switches.
• We willen de uplinks naar de provider per kast ompatchen naar 1 kast. In die kast komen de core-switches ook te staan.
• Op de core switches worden geen machines meer aangesloten.

Vragen die nog openstaan:

1. Wat vinden jullie ervan?
2. Wat zouden jullie anders doen?
3. In de literatuur plaatst men vaak ook routers in het netwerk, bijvoorbeeld om te routeren tussen de VLAN's. Momenteel zijn de kasten qua functionaliteit en dus ook qua VLAN's vrijwel gelijk. Naar mijn idee heeft routing geen zin als alle VLAN's in alle kasten aanwezig zijn. Klopt dit idee?
4. Ik heb totaal nog geen rekening gehouden met routing en TCP. Momenteel hebben we twee load balancers (ivps, direct routing) die deze taak (gateway) op zich nemen. Zou het lonen om routers te zetten en dit te betrekken in het ontwerp?
5. Het O'Reilly boek stelt dat als alle VLAN's op alle switches aanwezig is, dat dan de noodzaak van VLAN's eigenlijk afwezig is. Kan ik hieruit afleiden dat het een goede strategie is om de functie van apparatuur per kast te specialiseren? Bijv. storage in een kast, webservers andere kast etc.
6. Als de provider geen link aggregation ondersteund, dan is de enige vorm van redundantie van de verbinding naar de provider toe gebasseerd op spanning tree?

Als documentatie heb ik voornamelijk "Designing large-scale lans" van O'Reilly gebruikt en verder heb ik tijdens mijn studie Computernetwerken van Tanenbaum wel eens doorgelezen maar heb er daarna niet veel meer mee hoeven doen. Maar in die laatste staat niet veel over het ontwerpen van netwerken.

Ik moet er wel bij zeggen dat ik een aantal aannamen heb gedaan die ik nog moet verifieren:

• als power feed X uitvalt bij de provider dan is dat voor de gehele vloer, niet per kast
• ik heb distributieswitches en access-switches gecombineerd vanwege het geringe aantal machines.
• Ik moet nog uitzoeken of ik ook link aggregation kan doen naar de provider.

Alvast bedankt voor jullie reacties.

p.s. netwerken ontwerpen is totaal nieuw voor mij. Mogelijk dat ik overkom als een n00b die niet in PNS thuishoort. Als je goede links of boeken weet, hou ik me aanbevolen. Ik verwacht geen kant en klare antwoorden. Een soort stappenplan van de zaken die ik zou moeten overwegen om tot een ontwerp te komen zou ik wel op prijs stellen.

Kippenijzer schreef op woensdag 06 februari 2008 @ 16:21:
Je hebt nu overal maar 1 failover, waarom kies je niet voor een fully meshed oplossing?

Op den duur niet schaalbaar.

Verder is het zo dat onze kasten niet naast elkaar staan en dat we via de provider patches moeten aanvragen van de ene naar de andere kast. Fysiek is het mogelijk om maar 12 patches te hebben per kast, waarvan er al 1 in gebruik is voor de uplink. Dus ik moet ook rekening houden met de poortjes

Kippenijzer schreef op woensdag 06 februari 2008 @ 16:50:
En ze bieden geen mogelijkheid om tussen de kasten een vol patch-panel aan te leggen? Ik ben gewend met 24 'vrije' patchpoorten per kast te kunnen werken .
Tzt zul je natuurlijk nooit een fully meshed setup houden, maar altijd dubbele 'uplinks' tussen elke apparaat en de laag erboven. Dat zou schaalbaar genoeg moeten zijn (tegen de tijd dat je in je uplink switches geen poorten meer hebt moet je sowiezo een extra distributielaag toevoegen).

Ik weet niet zeker of het mogelijk is om meer patches te krijgen. Ik heb wel een vraag uitstaan bij hun helpdesk of dat mogelijk is. Vooralsnog ga ik er vanuit dat dat niet het geval is.

Bij mijn vorige werkgever hadden we een x aantal kasten naast elkaar. Toen was het makkelijk om via de vloer gewoon extra kabels te trekken tussen de kasten onderling, maar dat was ook bij een andere provider. Dat was nu wel makkelijk geweest, maar zo werkt deze provider (begrijpelijk) niet.

Momenteel heb ik geen onderscheid tussen distributie en access switches omdat er maximaal maar 25 machines per kast geplaatst kunnen worden. Mochten we in de toekomst kasten gaan 'specialiseren' en er kasten komen met dezelfde specialisatie dan wil ik nog wel extra distributieswitches toe gaan voegen, maar momenteel heeft dat nog geen zin.

TrailBlazer schreef op donderdag 07 februari 2008 @ 07:54:
Ik snap niet hoe je de onafhankelijk VLAN wil gaan bereiken als je nergens een L3 device hebt. Over het algemeen bouwen wij ook zo'n setup maar dan is de Distributie laag verantwoordelijk voor het routen van de VLANs. Dit is bij jou niet handig en je zou die moeten verplaatsen naar de Core.

Het L2 design is prima maar hoe het op L3 gaat werken is me een groot raadsel.

Mij ook!

Ik ga me vandaag en morgen inlezen op layer 3 en dan ga ik dat op het ontwerp toepassen. Daar was ik vandaag nog niet aan toegekomen, want de hele dag in het datacentrum geweest om 2 van de drie kasten met bonding aan de praat te krijgen.

TrailBlazer schreef op donderdag 07 februari 2008 @ 07:54:
Ik snap niet hoe je de onafhankelijk VLAN wil gaan bereiken als je nergens een L3 device hebt. Over het algemeen bouwen wij ook zo'n setup maar dan is de Distributie laag verantwoordelijk voor het routen van de VLANs. Dit is bij jou niet handig en je zou die moeten verplaatsen naar de Core.

Het L2 design is prima maar hoe het op L3 gaat werken is me een groot raadsel.

Later dan verwacht heb ik dan toch het stuk over Layer 3 gelezen. Het is me nog niet helemaal duidelijk.

Momenteel hebben we enkele machines (load balancers) die zowel in vlan 5 (extern verkeer) als in vlan 2 (intern server verkeer) hangen. Pakketten komen dus via vlan 5 op de load balancers binnen. Daar wordt het gefirewalld, geloadbalanced en naar de interne servers gestuurd via vlan 2. Intern draaien we een ander IP-subnet dan extern. Dus hier zit dan een stukje routering, waarvan je je afvroeg waar deze was.

Verder hebben we nog enkele machines op het interne netwerk die zowel in vlan 3 als in vlan 2 hangen, zodat we via het interne netwerk de switches etc. kunnen beheren. Dus ook daar zit een stukje routering.

Als ik het O'reilly boek moet geloven is het niet slim om routering door 'end devices' te laten uitvoeren.

Wat zou dan een betere setup zijn? Een router in het netwerk plaatsen en als we de switches willen beheren gaan we via de router het management subnet (en dus vlan 3) op?

En zou loadbalancing dan ook door een router verzorgd moeten worden? Of is dat functionaliteit die wel wel door een machine kunnen laten verzorgen?

TrailBlazer schreef op donderdag 21 februari 2008 @ 16:33:
Je beheert de switches op vlan 3 ? Dit is best een uitzonderlijke situatie want meestal is dit vlan 1.

Voor zover ik het begrepen heb wisselen de switches op vlan 1 zelf wel informatie uit (bijv. voot STP), maar het managen van de switches doen we via vlan 3.

hoe ik het zou doen dan.

-------------     vlan 5 (extern)
 |         |
lb1	  lb2
 |         |
-------------	  vlan 100 (transit)
 |         |
rtr1	 rtr2
| I      | I 
-------------	  vlan 2 (user1)
  I        I
-------------	  vlan 3 (mgmt)		

Maar ik weet niet precies hoe die loadbalancers werken. Die krijgen een request binnen voor een bepaald ip adres en die veranderen die destination dan neem ik aan naar een van de werkelijke member ip adressen.

Die dingen die ik met | of I heb getekend hoeven niet perse fysieke touwtjes te zijn. Dit kan ook gewoon een 802.1q trunk zijn naar een enkele router. Iedere behoorlijke router kan dit aan. Hoewel ik hier eerde voor een L3 switch zou kiezen. Je kan dan op alle vlans HSRP of VRRP gaan draaien voor extra redundancy.

Voor zover ik het O'Reilly boek snap, raad men aan om te gaan routeren om zo je broadcast domains te verkleinen.

Normaal gesproken zou je vlans aanmaken voor bijv. servergroups of bijv. alle workstations op een bepaalde verdieping (en dan een vlan en ip subnet per verdieping).

Wij hebben te maken met kasten in een datacentrum en alle functies zijn over die kasten verdeeld: dus er staan een aantal webservers in kast 1, maar er staan er ook een aantal in kast 2 en 3. Vlan's aanmaken voor een servergroep (bijv. alle webservers) heeft dus niet veel zin, want het valt niet te routeren als de groep over meerdere kasten verdeeld is.

Daarom zou het enige criterium om te routen de kast zelf zijn, eventueel aangevuld met vlans per functie. Ik zou dan op de volgende setup komen:

Is dit een slimme setup?
Ik zie zelf als bezwaar dat als ik een machine verplaats van de ene naar de andere kast, ik zijn ip-adres moet gaan aanpassen, terwijl ik dat nu niet heb.

Ik vind het lastig om tot een goede setup te komen, omdat functies over meerdere kasten verdeeld zijn (webservers in alle kasten) en omdat sommige functies (file storage) weer verbonden zijn met alle andere functies (mail, web).

Ik krijg mijn vingers niet echt achter layer 3 design: ik snap het principe van routing, snap ook de verschillende routing protocollen maar zie niet goed hoe ik dit zou moeten toepassen in mijn situatie. Heeft iemand goede leestips? Ik ben momenteel whitepapers van cisco aan het doorspitten om op goede ideeen te komen.

TrailBlazer schreef op vrijdag 22 februari 2008 @ 13:16:
Je kan gewoon je vlans doortrekken over je kasten dat is zelfs aan te raden. Je maakt tussen je access en core switches 802.1q trunks aan hierdoor kunnen poorten in hetzelfde vlan prima met elkaar praten.

Server verhuizen naar een andere kast is dan een kwestie van een poortje op de switch in die kast in het goede vlan zetten. Als jij maar 1 vlan heb voor je servers is dat prima te verantwoorden.

Op deze manier hebben we het nu al ingericht.

WIj hebben enkel de servers per functiegroep in een ander vlan gezet. Maar dat hoeft helemaal niet nodig te zijn

Zoals ik al schreef twijfel ik ook over het nut om meerdere VLAN's te maken voor serverfunctiegroepen omdat in de praktijk toch storage, webservers, mail etc met elkaar verbonden zijn.

Ik weet niet of je ILO boards (remote management kaarten) in je server hebt hangen maar maak daar dan ook een apart vlan voor. Je kan dan veel beter je beveiliging regelen.

Deze zitten op vlan 3. Ze doen aan piggy-backing met de eerste interface.