1. Обобщенная структура территориально распределенной корпоративной сети Типовые методы объединения отдельных сетей офисов в единую кспд
Скачать 3.9 Mb.
|
Роль мастера инфраструктуры должна размещаться на контроллере домена, который не служит сервером глобального каталога. Обычно мастер инфраструктуры должен разворачиваться на контроллере домена, который не служит сервером глобального каталога, но имеет объект прямого подключения к одному из глобальных каталогов в лесу. Так как сервер глобального каталога хранит частичные реплики всех объектов в лесу, мастер инфраструктуры, размещѐнный на сервере глобального каталога, не будет выполнять обновления, потому что он не содержит ссылок на объекты, которые не хранит. 43. Топологии репликаций внутри сайта Active Directory. В ActiveDirectory предусмотрены два механизма репликации данных а именно: o Межсайтовая (intersite) – действует между сайтами; o Внутрисайтовая (intrasite) – действует внутри сайта. В ходе проверки согласованности знаний на каждом контроллере домена автоматически строится наиболее эффективная топология репликации внутри сайта, использующая схему двунаправленного кольца. В соответствии с такой структурой двунаправленного кольца к каждому контроллеру домена устанавливается, по крайней мере, два подключения (для обеспечения отказоустойчивости), а количество прыжков между двумя любыми контроллерами домена не превышает трех (для снижения задержки репликации). Для ограничения количества прыжков подключений тремя эта топология может включать прямые подключения внутри кольца. Топология репликации периодически обновляется средством проверки согласованности знаний. Средство проверки согласованности знаний создает отдельную топологию репликации для каждого раздела каталога (схемы, конфигурации, домена, приложений). Внутри одного сайта эти топологии для всех разделов, хранящихся в одном наборе контроллеров домена, обычно совпадают. Репликации внутри сайта: Репликация происходит сразу после того, как произошло изменение информации AD (пауза ожидания Т сек). Трафик репликации не сжат Процесс репликации инициируется в соответствии с уведомлением, пришедшим от контроллера – отправителя. Контроллер домена адресата забирает изменения с помощью процедуры удаленного вызова (RPC) Проверка согласованности знаний (KCC) — процесс, запускаемый на каждом контроллере домена — автоматически определяет самую эффективную топологию репликации для сети на основании предоставляемых сведениях о сети в оснастке «Active Directory — сайты и службы». КСС регулярно пересчитывает топологию репликации с учетом всех произошедших изменений сети. KCC на одном контроллере домена внутри каждого сайта (генератор внутрисайтовой топологии) определяет топологию межсайтовой репликации. 55 44. Управление трафиком репликации между сайтами AD. Основная цель репликации между сайтами состоит в том, чтобы уменьшить нагрузку на сеть, которая происходит из-за трафика репликации. Трафик репликации между сайтами характеризуется следующим. Репликация инициируется согласно графику, а не тогда, когда сделаны изменения. Чтобы управлять репликацией между сайтами, нужно сконфигурировать канал связи, соединяющий эти сайты. Одной из опций является время, когда будут происходить репликации. Другая опция устанавливает интервал, показывающий то, как часто будут происходить репликации в течение намеченного времени. Если пропускная способность сети, соединяющей офисы компании, ограничена, репликации может быть намечена на нерабочие часы. Трафик репликации сжимается приблизительно на 10 - 15 процентов от первоначального размера, если он составляет свыше 32 Кб. Чтобы сохранить пропускную способность сети, серверы-плацдармы каждого сайта сжимают трафик за счет дополнительного использования процессора. Для предупреждения контроллеров домена другого сайта об изменениях каталога уведомления не используются. Вместо этого время репликации определяется по расписанию. Подключения, которые выполняют репликацию между сайтами, могут использовать протокол интернета (IP) или протокол электронной почты (SMTP). Протокол, который используется при подключении, определяется пропускной способностью и надежностью сети, которая связывает разные офисы компании. Трафик репликации посылается не партнерам по репликации, а через серверы-плацдармы. Изменения каталога сайта реплицируются на единственный сервер-плацдарм (один на каждый раздел каталога) этого сайта, а затем — на сервер-плацдарм другого сайта. Далее изменения реплицируются с сервера-плацдарма второго сайта на все контроллеры домена этого сайта. Можно легко изменять поток репликации между сайтами, изменяя практически каждый компонент репликации. 45. Функции глобального каталога. Глобальный каталог является контроллером домена, хранящим копии всех объектов Active Directory в лесу. В нем хранится полная копия всех объектов каталога для его домена и частичная копия всех объектов для всех других доменов леса, как показано на следующем рисунке. Глобальный каталог выполняет следующие основные функции. Поиск объектов - GC обеспечивает возможность поиска данных каталога во всех доменах леса независимо от места хранения данных. Поиск внутри леса производится с максимальной скоростью и минимальным сетевым трафиком. Проверка подлинности с помощью основного имени пользователя. Глобальный каталог определяет основное имя пользователя (UPN, user principal name), если проверяющий подлинность контроллер домена не обладает сведениями об учетной записи. Например, если учетная запись расположена в узле example1.microsoft.com, а в качестве основного имени пользователя при входе в систему используется имя user1@example1.microsoft.com узла example2.microsoft.com, контроллер домена узла example2.microsoft.com не сможет найти учетную запись и обратится к глобальному каталогу для завершения процедуры входа. Предоставление сведений об участии в универсальных группах в мультидоменной среде. В отличие от сведений о принадлежности к глобальной группе, хранящихся в каждом домене, сведения об участии в универсальных группах содержатся только в глобальном каталоге. Например, если член универсальной группы входит в домен с уровнем функциональности основного режима Windows 2000 или более высокого, то глобальный каталог предоставляет сведения об участии учетной записи в универсальных группах во время входа в домен. Если глобальный каталог недоступен при входе в домен с уровнем функциональности основного режима Windows 2000 или более высокого, то для пользователя, уже выполнявшего вход в домен, будут использоваться кэшированные учетные данные. Если пользователь еще не входил в домен, он может выполнить вход только на локальный компьютер. Однако вход в домен в качестве администратора (учетная запись «Встроенный администратор») всегда разрешен, даже если глобальный каталог недоступен. Проверка ссылок на объекты внутри леса. Контроллеры домена используют глобальный каталог для проверки ссылок на объекты других доменов леса. Если в контроллер домена входит объект каталога, чей атрибут содержит ссылку на объект другого домена, то эта ссылка проверяется с помощью глобального каталога. 56 46. Интегрирование зон DNS совместно с AD. Особенности применения. При установке Active Directory на сервер выполняется повышение сервера до роли контроллера указанного домена. Когда данный процесс завершается, пользователю выводится приглашение указать доменное имя DNS для домена Active Directory, для которого выполняется присоединение и повышение сервера. Если в этом процессе удостоверяющий DNS-сервер для указанного домена либо не обнаруживается в сети, либо не поддерживает протокол динамического обновления DNS, выводится приглашение установить DNS-сервер. Такая возможность предоставляется, поскольку DNS-серверу необходимо отыскать этот сервер или другие контроллеры домена для рядовых серверов домена Active Directory. Дополнительные сведения о том, как компьютер обнаруживает контроллер домена с помощью DNS. После установки Active Directory имеются две возможности сохранения и репликации зон при работе с DNS-сервером на новом контроллере домена. Стандартное сохранение зоны с помощью файла в текстовом формате. Зоны, сохраняемые в этом способе, размещаются в файлах с раширением DNS, которые сохраняются в папке системный_корневой_каталог\System32\Dns на каждом компьютере, на котором выполняется DNS-сервер. Имя файла зоны соответствует имени, которое пользователь выбрал для зоны при ее создании, например, еxample.microsoft.com.dns, если именем зоны является «example.microsoft.com». Сохранение зон, интегрированных в службу каталогов, с помощью базы данных Active Directory. Зоны, сохраняемые таким образом, размещаются в дереве Active Directory под разделом каталога домена или приложения. Каждая зона, интегрированная в службу каталогов, сохраняется в контейнере dnsZone, который идентифицируется по имени, выбранному пользователем при ее создании. Самым большим недостатком интегрированной зоны Active Directory является необходимость установки DNS на контроллере домена Windows Server 2003, что создает дополнительную нагрузку на него. 47. Базовая структура построения ЦОД. Дата-центр (от англ. data center), или центр (хранения и) обработки данных (ЦОД/ЦХОД) — это специализированное здание для размещения (хостинга) серверного и сетевого оборудования и подключения абонентов к каналам сети Интернет. Дата-центр исполняет функции обработки, хранения и распространения информации, как правило, в интересах корпоративных клиентов - он ориентирован на решение бизнес-задач путѐм предоставления информационных услуг. Типичный ЦОД состоит из: информационной инфраструктуры, включающей в себя серверное оборудование и обеспечивающей основные функции дата-центра — обработку и хранение информации; телекоммуникационной инфраструктуры, обеспечивающей взаимосвязь элементов дата-центра, а также передачу данных между дата-центром и пользователями; инженерной инфраструктуры, обеспечивающей нормальное функционирование основных систем дата-центра. Большинство ЦОД сегодня построены с использованием многоуровневой топологии Cisco, состоящей из четырех уровней: Уровень ядра: маршрутизируемый уровень, отделяет сеть компании от ЦОДа, обеспечивает масштабирование для подключения других агрегирующих блоков Уровень агрегирования: тут находятся шлюзы по умолчанию для серверов Уровень доступа: физические соединения сетевых интерфейсов серверов с сетью ЦОД (или логических портов с виртуальными серверами) Уровень сервисов: фильтрация, анализ трафика, предотвращение вторжений. 57 49. Консолидация транспорта ввода-вывода в решениях архитектуры современных ЦОД FCoE - (Fibre Channel over Ethernet) это протокол (транспорт), который переносит фреймы Fibre Channel через Ethernet, инкапсулируя кадры Fibre Channel в кадры Ethernet-а. Предпосылки, стоящие за созданием FCoE были в идее консолидировать ввод- вывод, и позволившей бы, тем самым, безопасно сосуществовать различным типам трафика в одном «проводе», что уменьшит номенклатуру и упростит кабельное хозяйство, уменьшит количество необходимых адаптеров на хост и снизит энергопотребление. FCoE-фрейм, содержащий 24-байт заголовок и передаваемые данные, извлекается и обрабатывается стандартным образом, что дает возможность интегрировать FCoE с существующими сетями хранения (SAN) без дополнительного шлюза. Для обеспечения передачи трафика Fibre Channel без потерь используется команда Pause (спецификация 802.3х Ethernet), которую перегруженный порт-получатель может отправить передающему порту, требуя паузы в отправке пакетов. Чтобы направить определенный фрейм в нужный порт-получатель, технология FCoE опирается на МАС-адреса Ethernet. Дело в том, что связи Fibre Channel обычно имеют топологию «точка-точка» и не нуждаются в адресации на канальном уровне. По этой причине во фрейме FCoE присутствуют 6-байт МАС-адреса отправителя и получателя. Если говорить кратко, Fibre Channel представляет собой сверхвысокоскоростную (до 1 Гбит/с и выше) схему полнодуплексной передачи данных с малой задержкой (10—30 мкс) на расстояния до 10 км. Она в равной мере может использоваться и как технология ввода/вывода, и как технология локальной сети. 58 50. Использование технологии vPC в решениях архитектуры современных ЦОД vPC – (Virtual Portchannel) это технология, позволяющая создавать виртуальные каналы, объединяющие маршруты, подключаемые к двум независимым коммутаторам. Возможность организации агрегированного канала (port channel) приходящего на два разных коммутатора Избавляет от опоры на STP Агрегирование каналов (агрегация каналов, англ. link aggregation) — технология, которая позволяет объединить несколько физических каналов в один логический. Такое объединение позволяет увеличивать пропускную способность и надежность канала. Spanning Tree Protocol (STP, протокол связующего дерева) — сетевой протокол. Основной задачей STP является устранение петель в топологии произвольной сети Ethernet, в которой есть один или более сетевых мостов, связанных избыточными соединениями. Можно сконфигурировать только два коммутатора для работы внутри vPC-домена. После настройки vPC peer link (сами настройки мы рассмотрим в конце статьи) коммутаторы договариваются между собой о том кто из них будет primary, а кто secondary (выбор идет на основе наименьшего MAC, либо приоритета). По сути, кто из них кто роли не играет (это важно только в определенных failover-ситуациях). Если primary выходит из строя, то secondary подхватывает его роль. vPC позволяет при этом совершенно изменить логику, а именно, отказаться от блокирования соединений и использования Spanning Tree, переведя все коммутационные устройства и пути в активный режим, и тем самым получить более высокую производительность, отказоустойчивость и стабильность. Все больше заказчиков идут дальше – переходят к принципиально новой архитектуре сети, где трафик распределяется сразу по многим путям. 59 51. Использование технологии FEX в решениях архитектуры современных ЦОД Fabric Extender (FEX) – расширяет Fabric Interconnect в блейд-шасси, прокладывая множественные 10 Гбит/с соединения между блейд-серверами и Fabric Interconnect. Не является коммутатором. Управляется как расширитель к коммутатору Fabric Interconnect. Управляет блоками питания и вентиляторами. Устанавливается в заднюю часть блейд-шасси. FEX – (Fabric Extender) это технология, объединяющая в себе преимущества подходов top-of-the-rack и end-of-the-row. • Единая точка управления • Пары Nexus 2000 FEX в каждой стойке • Возможность подключить до 10-12 FEX устройств к одному управляющему Nexus 5000 Fabric Interconnect – коммутаторы на основе Nexus 5000 со встроенным функционалом UCS Manager, позволяющим управлять всеми серверами, настройками BIOS, прошивками компонентов, коммутаторами, маршрутизацией, виртуализацией и автоматизацией. Также позволяют работать с Ethernet и SAN сетями и полноценно поддерживают протокол FCoE. Специальная серия коммутаторов Cisco Fabric Extenders Nexus 2000 интегрируются с родительским коммутатором, которым может быть более старшая железка 5000/5500/5600/7000/7700. Т.е. логически топология, в которой есть один родительский коммутатор и много FEX‘ов будет представлять из себя структуру, в которой есть всего один коммутатор. При настройке FEX первым делом необходимо включить саму fex-фичу. Делается это командой feature fex. 60 52. Сетевая поддержка виртуализации в решениях архитектуры современных ЦОД Единый инструмент управления Управление VM по политикам Cisco IOS Interface Перемещаемый профиль порта Расширенные функции Cisco IOS Виртуализация, направленна на решение серьезной проблемы, с которой столкнулись центры обработки данных. Так уж сложилось, что ЦОД использует по одному серверу на каждое приложение, и в результате крупные вычислительные мощности остаются незадействованными. Между тем, если каждый сервер работает не на полную мощность, в центре обработки данных простаивают огромные вычислительные ресурсы и впустую расходуется электроэнергия. Виртуализация же предоставляет доступ практически ко всем свободным вычислительным ресурсам, позволяя запускать на одном сервере множество приложений или их компонентов. Коммутатор Nexus 1000V закрывает брешь между сетью и виртуальной инфраструктурой. До его появления нам было трудно получить точные данные о том, что происходит с виртуальными машинами с точки зрения сети. Cisco Nexus 1000V обладает следующими преимуществами: - Расширенные функции Cisco IOS. В отличии от стандартного или распределенного коммутатора расширенные функции Cisco IOS доступны для виртуальных машин. Например, теперь можно использовать такие функции как Quality of Service (QoS), rate limits; continuous data protection; NetFlow; access control lists (ACL); port security; authentication, authorization and accounting(AAA) - Перемещаемый профиль порта. Когда виртуальная машина перемещается между серверами с помощью VMotion, профиль порта следует за ней. Таким образом, настройки безопасности, сетевая конфигурация остаются связаны с виртуальной машиной, в то время как сама виртуальная машина перемещается от сервера к серверу. В результате политики безопасности для виртуальной машины обеспечивается так же, как и для физического сервера - Cisco IOS Interface. Знакомый интерфейс командной строки для управления виртуальной сетью. Большим преимуществом Cisco IOS является неизменность команд на протяжении нескольких лет. Одни и те же команды могут использоваться для конфигурации физических и виртуальных коммутаторов |