Sziasztok,
egy 8 fizikai szerverből álló proxmox virtualizációs környezet mögé tervezek egy bővítést. A célom, hogy a backup és a ha-sync hálózatot 1Gbe hálózatról 10Gbe-re tereljem az említett funkciók sebességének növelése illetve funkcionalitás fizikai szétválasztása érdekében. Mivel még nincs tapasztalatom ilyen eszközökkel ezért vannak dilemmáim.
Az első ilyen kérdés, hogy a szerverekben a fizikai gépeknél a NIC bővítésnél SFP+ vagy RJ45? Az SFP+ esetén ugye a hálózati kártyákhoz még kellenek a modulok, míg az RJ45-nél csak patch kábel szükséges.
A másik kérdés a switch választása. RJ45 (vagy vegyes) használat esetén egy Mikrotik CRS312-4C+8XG-RM switch-re gondoltam, de szóba jöhet más eszköz is, ha valakinek van kedvező tapasztalata más modellel.
A kérdésem, hogy van-e valakinek tapasztalata ezen a területen, mire figyeljek oda az eszközválasztásnál? Nyilván a költségek is számítanak, de nem feltétlenül a legolcsóbb megoldást keresem.
Köszi,
kincza
Hozzászólások
Ha a távolság nem indokolja az optikát, akkor teljesen jó a rezes 10G, olcsóbb, egyszerűbb (SFP-n kívül patchek is kellenek, SFP is milyen legyen, multi- vagy monomódusú, hány km-es, stb.), szervereknél és storage-oknál sokkal általánosabb egy rezes 10G port, mint az SFP+.
A Cisco C9300 eszközcsaládból van tapasztalatom rezes 10 giga tekintetében, azt simán tudom ajánlani, bár az árfekvése nyilván nem kicsit tér el a MikroTikétől.
SFP+ is lehet RJ45 ;) És akkor DACról még nem is beszéltünk :)
Viszont a rezes verzió latency-je emlékeim szerint lassabb, ami ceph sebessége miatt fontos viszont.
Redundancia, LACP, vCP, stb?
Nekem az üvegkábelezés valahogy "tisztább, szárazabb, biztonságosabb érzés". A pár méteres üveg patchkábel nem veszélyesen drága, és csak egyszer kell megvenni. Üveges SFP+ modult aprópénzért kapsz az fs.com-on.
"Filléres" switchnek a CRS309-1G-8S+IN és a CRS317-1G-16S+RM (a maga szoftveres korlátainak ismeretével!) teljesen bevált.
ahogy néztem, egy aktiv SFP+ modul ára kb megegyezik egy DAC kábel árával...
Igen, viszont a DAC kábel egy bumburnyák vastag kábel, amit ráadásul nehéz hajlítani is. Néhány darabig oké, de ha sok van belőle, és szeretnéd értelmesen elhelyezni, akkor nem egyszerű. Én építettem rack szekrényt csak DAC kábelekkel, megoldottam, de sokkal jobb üvegkábellel dolgozni. Igen, drágább, de egy rack beltartalmának költségéhez képest teljesen megérheti a felárát.
teljesen kezelheto a DAC kabel, az optikai kabelt sem lenne szabad jobban hajlitanod, mint amennyire a DAC kabelt fizikailag birod, raadasul itt nem is 100/400G DAC rol van szo csak 10G, ezek meg vekonyak foleg 1-2m hosszban
Köszi a válaszokat, átgondolom az új szempontok alapján ismét a lehetőségeket.
kincza
Mi a cégben mikrotik crs317-1g-16s+ -t használunk a core hálózathoz. 5 év alatt nem volt gond vele. Ezen kívül az alsó árkategóriában még fs.com switch-et használtam.
A mikrotik az jó akkor ha nem vagy hálózatos és egy könnyen konfigolható és átlátható eszköz kell. Ez szerintem nem nevezhető igazi switch-nek. Az fs már teljes értékű switch amit már a hálózatosok is tudnak évezni.
Azért is gondoltam mikrotikre, mivel a routerek tekintetében abból üzemeltetek 50-60 darabot és talán 2-szer fordult elő velük probléma, az is a soho kategóriában. Fizikailag nincs kifeszítve a rendszer, de üzemeltetés szempontjából néha jól jönne, ha a backend-en gyorsabban végrehajtható lenne néhány dolog.
kincza
Kérdésemmel nem vitatni szeretném az állításod, hanem tanulnék a választból: mitől nem teljes értékű switch egy MT és mitől teljes értékű egy bármi más (pl. az említett FS.com eszköz), amit annak mondasz? Mi a választóvonal kivitelben, funkcióban, stb.?
Egy kis ACL és vége is a dalnak ...
Fedora 38, Thinkpad x280
konkrét példa esetleg?
Legutóbbi, bár nem feltétlen ACL, de CRS-3xx switchben horizon funkció.
Van olyan érzésem is, hogy egy sima source IP korlátozás se menne hw-ból.
Fedora 38, Thinkpad x280
fixme, de egyértelműen dokumentált, hogy a horizon üti a hw-offload-ot
( https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge Split horizon is a software feature that disables hardware offloading. )
miért NE menne az src ip alapú ACL ?
Nem tudom, de ha egy port szeparáció nem megy hw offloadból, akkor ip src acl megy ?
Fedora 38, Thinkpad x280
a port szeparáció szerintem megy HW offload-ból, a horizon nem. Az IP ACL is megy.
Ha jól látom crs3xx pont nem tudja:
https://wiki.mikrotik.com/wiki/Manual:CRS3xx_series_switches#Switch_Rul…
Talán a 1xx, 2xx tudja:
https://wiki.mikrotik.com/wiki/Manual:CRS1xx/2xx_series_switches#Access…
legalábbis ez utóbbiban van ip-src ...
Fedora 38, Thinkpad x280
az előbbiben meg ez van src-address (IP address/Mask) - szerintem jó lesz neked :-)
Nekem ugyan nem :D Maradt az arista vonal ...
Fedora 38, Thinkpad x280
mi nevezhető igazi switch-nek ? Rengeteg mindent tudnak a 'Tik CRS3xx switchek. Biztosan lehet találni olyan feature-t, amire (vélt) szükséged van - és nem tudja (mondj párat, kérlek).
aminek 2m+ TCAM-je van:)
tolmácsot kérek! :-)
2+ millio route elfer a HW-ben (FIB).
OK, hogy a Mikrotik CRS3xx tud L3 HW offload-ot (limitált prefixxel) - de a kérdező switchet keresett.
A másik, h egy teljes BGP tábla 1m prefix alatt van most. Természetesen lehet az a use-case ahol ez igény...
Itt nem az volt a kerdes hogy kinek mi az igazi switch?:) Persze ettol meg igazad van alapvetoen egy switch feladataival kapcsolatban. Egyebkent 1m eleg sovany v4 es v6 eseten es akkor meg csak 1 vrf-ed van.
Amiből legtöbben 1 darab route-ot használnak (vagy legalább is annyira lenne szükségük), a defaultot. Ahol meg nem, és tényleg kell, akkor ott kifizetik, és vesznek erre való eszközt. A switch nem router :).
Akkor valamit rosszul csinal pl a cdn77 https://twitter.com/CDN77com/status/1481656507187924994/photo/1 ?
Eleg nagy forgalom routolodik switcheken.
Tudom, hiszen olcsóbb jóval, de nem is én hoztam elő, hogy a teljes routing tábla bele kell hogy férjen kismillió VRF-be. Mindbe, a teljes :)
Persze igazad van, ahogy mar irtam is ez nem egy generikus igeny egy normalis switchnek:) csak max nekem.
Ettol viszont egy switch-nek meg lehetnek L3 kepessegei es nem kell router ha nem csak default routera van igeny.
a Mikrotik CRS317-nek van HW offloaded L3 képességei...
120-240K IPv4 route / 30-40K IPv6 route
Használok Mikrotik switcheket, van az a szint ahol felejtős:
pl:
Nekünk 4 host-tal működik Proxmox cluster redubndánsa két Mikrotik CRS312-vel rézen kb. 2 éve. Semmi gond velük.
Viszont ma már elgondolkodnék optikás megvalósításon pl. egy CRS317-tel, mert lehet olcsóbb vagy azonos árban lenne a végére FS.com modulokkal, mint a rezes switch, és valamivel kisebb a késleltetés és több a port.
Azért a rezes 10G még mindig elég drága úgy szerver oldalon mint switch oldalon az optikáshoz mérten, szóval a modulok ára lehet belefér ugyan abba a keretbe (olcsó új vagy használt eszközökben gondolkodva, nem a nagy nevek vadi új eszközeit számolva).
Egyet ne tervezz szerintem, MT-nél legalábbis: SFP+ portban RJ45 10G modult használni állandóra/nagyobb mennyiségben. Drága is, és rettentően melegszik, nem lehet kirakni vele a switch-et, a MT is megadja, hogy milyen osztásközzel lehet 1G és 10G rezes modulokat tenni a sok portos SFP(+) eszközeibe.
Ha max pár méterig kell, akkor DAC kábelt is érdemes megfontolni.
Sfp + dac ha rovid tavolsagok.
switchbol dellek meg esszeru aron voltak nemreg, es jok.
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"
Nagyon óvatosan kell vásárolni az Ebay-en és mindenféle third party refurb cégeknél Dell meg más gyártó switcheit is ha túl olcsónak tűnik, mert hiába van akár 1000USD-alatt 48x10G SFP+ portos Dell S4048-as switch, ha az Intel C2000 cpu bugban érintett, akkor levélnehezék lesz belőle hamarosan.
Az összes 2013-2017Q2 közötti hálózati eszköz életveszélyes használtan ha a Rangeley C2xxx-el van szerelve. Voltak visszahívások ,de kb ellenőrizhetetlen, hogy javított-e vagy nem. Az Intel NDA-ja sem segített a dolgon.
https://www.servethehome.com/intel-atom-c2000-series-bug-quiet/
https://www.extremetech.com/computing/244074-intel-atom-c2000-bug-killi…
https://www.auvik.com/franklyit/blog/vendors-clock-signal-flaw-intel-at…
off: ezek a hitvány atomok megkapták a 16GB-os ddr3 támogatás cpu microcode-ot, a faja t430-asomba meg nem lehet betenni 8asnál nagyobb modult, pedig hardveresen képes lenne kezelni a proci. Így el sem terjedtek ezek a modulok.
illetve mostanság van divatja a hamisított cisco szviccseknek, rútereknek, google kidobja a részleteket
Külsőre megszólalásig hasonlít, viszont ha a szoftvert akarod rátolni garantáltan eredetit a cisco.com-ról letöltve, elhasal mert csak kinézetre hasonló, de módosított szoftvert tolnak rá eladás előtt. Illetve a nyákon gyanús beavatkozások nyomait / extra rátaknyolt IC-ket találtak mikor felnyitottak belőle pár példányt.
> SFP+ vagy RJ45? Az SFP+ esetén ugye a hálózati kártyákhoz még kellenek a modulok
ha kicsi (max 10m) a tavolsag, akkor SFP+ es DAC kabel. nem kell se optika se rj45/utp, mindketto folosleges ida-oda konverzio, mig a DAC kabel gyakorlatilag osszekoti egymassal az SFP+ portok labait.
ugye a DAC kabel nem olcso (5000ft-tol indul de lattam ar 60ezreset is), de a tobbin lehet sporolni.
a kompatibilitasra azert nem art figyelni, a nic-ek es a switchek is eleg valogatosak tudnak lenni, foleg a markasabbak.
szerintem a switch majdnemhogy mind1, de a NIC kivalasztasanal legyel korultekinto, lattam mar sok problemas esetet, foleg linux eseten nem nagyon van vagy nem jo (minimal implementacio, nem hasznalja ki a kartya kepessegeit, offloadok, queue-k stb) ezekhez a kernelben levo driver, soxor a gyartotol kell tolteni es forditani modult inkabb.
Szekrényen belül van az egész, 1, vagy 2m-es patch kábelezés már bőven elegendő mindenhova, tehát a DAC kábel az játszik. Akkor a következő kérdés, hogy milyen NIC? :-) A proxmox miatt Debian támogatottság jó kellene, hogy legyen.
Amit néztem eddig azok a következők
Emulex OCe14102 (Mellette szól, hogy passzív hűtésű)
Dell Broadcom 57810 2x 10GbE 0HN10N (ez a szerverekben a 8-ból 7-ben hivatalosan is támogatott fizikailag)
Az is lehetséges, hogy veszek két 57810-es broadcom-ot, 2 DAC kábellel és a switch, majd kipróbálom. Ha beválik akkor veszek még belőlük szükséges mennyiséget.
kincza
Ez a passziv hutes ne tevesszen meg, azert van rajta csak borda, mert egy normalis szerverben van legaramlat, ami huti.
A DAC kabelek hosszanal pedig erdemes rahagyni, egyreszt eleg nagy a hajlitasi sugaruk, illetve a hosszat ugy adjak meg, hogy ket vegen levo erintkezok tavolsagat merik, mondhatni brutto hossz.
+sok
nemreg jartunk ugy, hogy a 10GB kartyarol leolvadt a passziv borda... ra volt csak ragasztva, es tulmelegedett annyira hogy elengedte a ragacs es leesett. aztan persze elcrashelt az egesz... ilyen volt: QLogic Corp. cLOM8214
ezen kivul nekem csak intel kartyakkal van tapasztalatom, az X5xx sorozat megy problema nelkul, az XL7xx-nel viszont mokolni kell a kartya firmware verziokkal es az inteltol toltott driverrel, a kernelben levo nem volt stabil.
az intel X520DA2-re plusz egy szavazat
eleg sok 2x100G kartyat (mlx cx6) hasznalunk, kivancsi lennek mennyi ido lenne egy ilyet eloidezni rajtuk:) persze ezek is "passzivak"
gondolom nagyban fugg attol is, milyen hutese van a hazon belul. egy rendes szerver hazban vszinu megoldott a hutes, egy random dzsunkapc dobozban viszont siman tulmelexik barmi is amire nincs racelluxozva venti :)
Akkor a következő kérdés, hogy milyen NIC? :-)
Az elmúlt ~25 évben a következő gyártók termékeit láttam közelebbről enterprise környezetben:
- Intel
- Broadcom
- Qlogic
- Mellanox
- Emulex
A felsoroltak közül az Intel és a Broadcom hálózati termékeit vakon be merném vállalni, a Qlogicot meg a Mellanoxot egy rendesebb tesztelés után, az Emulex termékeit pedig bottal sem lennék hajlandó piszkálni, annyi szart láttam tőlük.
Ehhez képest mégis egy nagyságrendi különbség van latencyben a DAC és az optikai kábeles összekötésben, az optika javára.
Domain, tárhely és webes megoldások: aWh
Úgy tudtam ez a a késleltetés (több száz nanoSec )az RJ.45 öknél van , sfp optika /dac kb mindegy.
https://www.arista.com/assets/data/pdf/Copper-Faster-Than-Fiber-Brief.pdf
https://www.youtube.com/watch?v=jnD0OQRV8LM
(4perc 13)-nál.
https://blog.claryel.hu
"'a kompatibilitasra azert nem art figyelni, a nic-ek es a switchek is eleg valogatosak tudnak lenni, foleg a markasabbak." _ Aha. Vagy fordítva... HPE böhöm core switch és Aruba access switch. Volt egy köteg 10-es DAC-kábel (Dell, HP, IBM...) - a core switch a HP-s kábeleket simán elfogadta, a többire annyit büfizett a logba, hogy nem HPE, úgyhogy nem garantált a hibamentes működés (gyakorlatilag egy warning-gal elintézte, és felhúzta a portot rendesen), az Aruba viszont egyiket sem fogadta el, csak egy bizonyos part number-rel forgalmazott HP-s kábelt. Nem, nem volt leírva a dokumentációban, és a szállító sem jelezte, hogy azt a p/n-t kell hozzá pluszban rendelni, nem lesz jó a meglévő HP-s kábel sem... (A Dell dobozok pl. nem finnyáskodtak, megették az összes rendelkezésre álló kábelt...)
A rezes/optikás témában egyértelmű, hogy optika/DAC kábel - engem már szivatott meg picit lötyögő RJ45-ös csatlakozó...
Szia!
Használt (refurbished) Cisco/Arista/Juniper/HPE.
Redundáns bekötés ajánlott, ahhoz 2db switch és 2db hálókártya/szerverenként.
Hasznalt cuccnal arra kell figyelni, hogy az optikai 10G (SFP+) mar eleg oreg technologia, ezert tele az ebay stb olcso 48xSFP+ switchekkel, mert EoL vagy csereltek 25G/100G-re stb.
Ezekkel altalaban nincs semmi gond, mukodnek es mukodni is fognak, de fogyasztas oldalarol nem mindegy hogy most pl.: trident1 vagy trident3 asic van benne. A trident3 elvan max 300W alatt.
"redundans bekotes" na ezzel viszont lehet szopni a kulonfele MLAG,stacking szarokkal, ha lehet L3 legyen a redundancia mint L2-vel bohockodas meg hibakereses.
Azt azért leírom, hogy Mikrotik CRS317 esetén random belefutok olyan esetekbe, amikor "agyonvágja" a HW offload-ot.
Pár eset: vlan módositás, (hozzáadás/eltávolítás)
legutóbb pl egy LACP peer switch (ismétel?) újraindítása okozta azt, hogy az egyik CPU mag terhelése 100% volt, mert bár azt mondta, hogy van offload - ténylegesen mégis CPU végezte a bitek mozgatását... Ilyenkor szimpla reboot megoldja a problémát (~1perc kiesés)
Mivel a SwOS csak olyan funkciókat enged, amik HW offload "kompatibilisek" - ezért bizonyos esetekben az jobb döntés lehet...
(OS váltásnál mindent újra kell konfigolni!)
Én a 10G rezet kerülném, szerintem zsákutca és csak a szívás van vele. Ahogy már fentebb is írták, dac kábel, fs.com-os sfp+ modulok, refurb NIC-ek, stb... Okosan összeszedegetve nem lesz annyival drágább, hogy egyáltalán felmerüljön a 10G réz helyette bármilyen szinten, de adott esetben még olcsóbb is lehet.
Mi lett végül az eredmény?
Sziasztok,
Az eredmény a következő lett, Egy CRS309-1G-8S+IN switch lett a választás. Ár / fogyasztás volt a döntő tényező.
Próbaképp vettem két emulex 2portos kártyát, az összekötésre pedig FS-DAC kábelt. Most fogom elkezdeni a teszteket.
Üdv,
kincza
kincza
köszi, hajra.
azt vettem észre, hogy a proxmox-VE "corosync" (ezt hívod HA-syncnek?) hálózatának nem kell 10Gb. semmit nem tölt ki a Gb hálózatból sem.
Viszont a latency elsőrangúan fontos, főleg a stabil latency. Emiatt a corosync hálózat nálam dedikált 1 Gb ethernet (RJ45) amin más tevékenység nem fut. (23 node, összesen 4 hálózat (56Gb, 10Gb, 1Gb, 1Gb) Egyik se redundáns.