Сетевая инфраструктура в Selectel

Высокотехнологичная среда, которая объединит ваши проекты в продуктах Selectel между собой в единую инфраструктуру и свяжет ее с гипероблаками, on-premise-решениями или другими сетевыми ресурсами.

Какие у нас сети и как они устроены

В Selectel клиенты встречаются с тремя типами сетей: интернетом, локальной и L3VPN-сетью. Они полностью изолированы друг от друга. Это значит, работа одной сети не влияет на работу другой.

При построении сетей мы учли все современные принципы архитектурной надежности, катастрофоустойчивости, резервирования и пропускной способности. Наши сети автоматизированы, вы сами можете управлять ими из панели управления.

Методики резервирования позволяют нам работать с сетями и оборудованием почти незаметно.

Про подключение к интернету в разных продуктах

Каждый внутренний сетевой узел мы резервируем N+1. В сети доступа в интернет резервируются коммутаторы, линки между коммутаторами, маршрутизаторы доступа в проектах, линки между ними и пограничные маршрутизаторы (бордеры).

В зависимости от того, это виртуальный хост в облаке или физический сервер, составляющие сети различаются.

Первый уровень — leaf-коммутаторы
Они работают по принципу коммутаторов доступа в выделенных серверах. Эти коммутаторы устанавливаются в серверные стойки, где находятся физические хосты облака, и подключают их к сети. Каждый физический хост облака обязательно подключен минимум двумя сетевыми интерфейсами в разные leaf-коммутаторы.
Второй уровень сети — spine-коммутаторы
Они объединяют между собой разные leaf-коммутаторы и позволяют физическим хостам облака, подключенным в разные leaf-коммутаторы, обмениваться трафиком. Все линки между leaf- и spine-коммутаторами зарезервированы. Наличие этих двух уровней сети означает, что каждый leaf-коммутатор включен минимум в два разных spine-коммутатора — минимум одним линком в каждый spine.
Третий уровень сети — super spine-коммутаторы
Он появляется, если регион облака растет в размерах, тогда мы добавляем еще один уровень в clos-топологии. Эти коммутаторы объединяют между собой разные группы spine-коммутаторов, чтобы хосты в разных spine-зонах могли обмениваться трафиком друг с другом. Между spine и super spine, аналогично leaf-коммутаторам, все линки зарезервированы.
Четвертый уровень — маршрутизаторы доступа
Или роутеры проекта облачных серверов в каждом регионе. Они подключаются своими даунлинками к super spine или spine-коммутаторам. Аплинки включены в нашу магистраль и по ней организуют связь с пограничными маршрутизаторами (бордерами).
В свою очередь, в бордеры подключаются внешние каналы от операторов связи — их больше 55.

Подробнее

Про подключение к операторам связи

4 пограничных маршрутизатора (бордера)
По два в Санкт-Петербурге и в Москве. Они присоединяются к сетям операторов связи (провайдерам) и точкам обмена трафиком. Таких присоединений у нас несколько десятков. Бордеры на основании настроек протокола BGP и действующих маршрутных политик в автоматическом режиме решают, в какую сеть направлять трафик.
Порты на скорости 100 Гбит/с
Через них организованы все соединения с крупными операторам. Если понадобится изменить порт или сеть оператора для части интернет-трафика, мы можем это сделать вручную для каждого бордера и присоединенных провайдеров. Как правило, такие изменения происходят незаметно для клиентских серверов и сервисов.
Дополнительные политики маршрутизации
Они влияют на дальнейшее продвижение трафика в интернет. При этом пользователь всегда может посмотреть внешний маршрут через сети операторов до нужного ресурса, но повлиять на выбор конкретного провайдера самостоятельно не может.
Сменить оператора можно. Эта опция доступна после подключения отдельной услуги и при наличии маршрутизатора пользователя.

Про L2VPN

Эта сеть отвечает за передачу данных между соседними узлами в пределах одного сегмента сети или между устройствами в одной локальной сети. Данные передаются при помощи MAC-адресов устройств, которые соединены кабелями и линиями связи.

Приватные (локальные) сети не имеют доступа в интернет и используются для связи серверов между собой внутри дата-центра. Трафик в локальной сети не тарифицируется. В одном пуле все серверы объединены в простую L2-локальную сеть через коммутаторы Selectel.

L2 эффективен в обработке данных внутри локальной сети, но не обеспечивает маршрутизации данных между разными сетями.

Про L3VPN

Эта сеть используются для создания приватной сетевой связности на уровне L3 между клиентскими проектами в разных продуктах и дата-центрах.

Особенность этой сети — безопасность. Все сети клиентов изолированы друг от друга. Трафик одной клиентской сети недоступен для других клиентов. Сетевые нарушения у одного никак не влияют на доступность сервисов другого. Первые три уровня организации сети у интернета и L3VPN-сетей в проекте одинаковы. Все оборудование, которое участвует в организации сети, зарезервировано по схеме N+1.

Архитектурно наша L3VPN-сеть подключена к локальным сетям проектов через несколько десятков физических роутеров, на базе которых создается один распределенный клиентский виртуальный роутер.

Он связывает в единую изолированную сеть созданные в продуктах сегменты клиентских локальных сетей. На нем терминируются закрепленные за этими сегментами IP-подсети и осуществляется маршрутизация трафика.

О наших сетях в цифрах

3 612 устройств в эксплуатации

Мы внимательно следим за каждым из них. Если что-то с устройством произойдет, мы всегда знаем, чем его заменить.

800 перенастроенных сетевых устройств в год

Знаем, как все сделать безопасно и незаметно для пользователей. Перенастройка никак не затрагивает работу клиентских проектов.

Владимир

Старший сетевой инженер

Более 2 000 клиентских приватных сетей

Если у клиента возникают трудности на старте, помогаем с настройкой приватной сети. А после поддерживаем их работу.

Александр

Старший сетевой инженер-тимлид

80 маршрутизаторов

Помогут надежно связать разные части инфраструктуры.

Алексей

Сетевой инженер

Более 200 ГБит/с внешнего трафика

Мы можем увеличивать пропускную способность сети по запросу. Для этого создайте тикет и опишите, скорость передачи данных, которая вам нужна.

Подробнее

Как сети связывают продукты между собой

Как работает L3VPN

Все можно соединить через L3VPN-сеть разные продукты в разных пулах, внутри регионов или между регионами.

Пропускная способность канала между регионами — бесплатно до 1 Гбит/с. За дополнительную плату мы можем увеличить ее до 10 Гбит/с. Внутри одного региона пропускная способность не ограничена.

Особенность приватной сети в том, что все клиенты изолированы друг от друга. Сетевые нарушения у одного никак не повлияют на доступность сервисов другого.

Как организовать соединение

Глобальный роутер маршрутизирует трафик между подключенными к нему приватными подсетями, обеспечивая сетевую связность на уровне L3.

Чтобы организовать сетевую связность, достаточно создать глобальный роутер в нашей панели управления.

Пример настройки сетевой связности с кластером Managed Kubernetes в нашей документации .

Подробнее

Как работает Direct Connect

Организует выделенное сетевое соединение инфраструктуры Selectel с локальной инфраструктурой клиента или с гипероблаками AWS, Microsoft Azure, Google, Alibaba.

Как организовать соединение

Через логический порт
Подключение к инфраструктуре Selectel через канал оператора-партнера. Для этого сначала нужно арендовать канал у партнера, а потом подключить порт в Selectel.
Через физический порт
Подключение инфраструктуры через внешнего оператора. Для этого нужно договориться с ним и арендовать порт на коммутаторе Selectel. Можно подключиться к Selectel без участия оператора, если инфраструктура находится там же, где наши коммутаторы.

Подробнее

Особенности проектирования сетей в Selectel

Все зарезервировано N+1
Такой подход позволяет избежать полного выхода из строя оборудования.
Если что-то идет не так с каким-то компонентом сети, в работу включается резервный компонент.
Таким образом, клиенты не замечают никаких изменений.
Нагрузка не больше 50%
У нас работает правило, которое распространяется на все сети — держать нагрузку на линках в пределах 50%.
Если ему не следовать, то в случае выхода из строя какого-то элемента, можно получить перегрузку линков.
Клиентские приложения начнут плохо работать. А пользователи наших клиентов почувствуют, что время отклика приложения увеличивается.
Мы такого никогда не допускаем. Наша система мониторинга сигнализирует, если нагрузка на линк больше 50%.
Мы сразу перераспределяем ее между существующими линками или добавляем новые.
Тесты и выбор нового оборудования
Мы очень тщательно подходим к выбору оборудования и сетевых решений.
Каждый раз, когда рассматриваем что-то новое, обязательно условие — испытать в реальных условиях.
Мы воссоздаем сценарии и прогоняем оборудование и решения через тесты, которые эмулируют клиентскую нагрузку.
Допустимое для нас время потерь — меньше секунды.
Доступы только у авторизованных инженеров
Доступ к управлению и мониторингу сетевого оборудования осуществляется только из отдельной management-сети. Из внутренней корпоративной сети доступ к management-сети есть только у сетевых инженеров и технических специалистов, которые обслуживают оборудование.
Так мы снижаем риски, что кто-то сделает что-то не так.
Защита от DDoS-атак
Наша сеть защищена от DDoS-атак на уровне L3/L4.
Она фильтрует TCP SYN/RST flood, UDP flood, ICMP flood, атаки с фрагментацией пакетов, ping of death, ping flood и не только.
Несколько производителей на один компонент сети
Мы работаем на разном сетевом оборудовании: Juniper, Arista, Huawei, H3C. Важное правило, которому мы следуем всегда — уметь ставить на каждый компонент сети сразу 2 разных производителя.
Таким образом, мы исключаем ситуации, когда у какой-то из компаний проблемы с поставками или оборудование выводится из производства, а мы не знаем, чем заменить ее оборудование.
Управление автоматизировано
Клиент может самостоятельно управлять сетевой связностью внутри Selectel через my.selectel.ru .

Наши сетевые сервисы

Глобальный роутер Selectel
Локальная связность между облачными и физическими серверами в разных пулах.
Подробнее
Direct Connect
Сетевая связность инфраструктуры Selectel с локальной (on-premise) инфраструктурой клиента или с гипероблаками.
Подробнее
Защита от DDoS-атак
Сеть фильтрации для нейтрализации DDoS-атак любого уровня сложности.
Подробнее
Межсетевые экраны
Защита проектов от кибератак и утечек информации, полный контроль над трафиком и сохранностью данных.
Подробнее
Отказоустойчивый балансировщик нагрузки
Распределение входящего трафика для группы серверов.
Подробнее
DNS-хостинг
Бесплатное размещение доменов и обратных записей на DNS-серверах Selectel.
Подробнее

Хотите настроить сеть?

Арендуйте инфраструктуру и настраивайте сети внутри продукта так, как вам удобно. Все, что нужно — зарегистрироваться и пополнить баланс минимум на 100 рублей.

Сетевая инфраструктура в Selectel

Какие у нас сети и как они устроены

Про подключение к интернету в разных продуктах

Про подключение к операторам связи

Про L2VPN

Про L3VPN

О наших сетях в цифрах

3 612 устройств в эксплуатации

800 перенастроенных сетевых устройств в год

Более 2 000 клиентских приватных сетей

80 маршрутизаторов

Более 200 ГБит/с внешнего трафика

Как сети связывают продукты между собой

Как работает L3VPN

Как организовать соединение

Как работает Direct Connect

Как организовать соединение

Особенности проектирования сетей в Selectel

Наши сетевые сервисы

Глобальный роутер Selectel

Direct Connect

Защита от DDoS-атак

Межсетевые экраны

Отказоустойчивый балансировщик нагрузки

DNS-хостинг

Хотите настроить сеть?

Новости Selectel

Нужна помощь?

Сообщество