В сети OVHcloud 34 точки присутствия (PoP); расположены в Европе, Северной Америке и Азиатско-Тихоокеанском регионе. Обладая глобальной пропускной способностью около 21 Тбит/с, сеть OVHcloud может обрабатывать гораздо больше трафика, чем другие провайдеры.

В OVHcloud сетевой трафик постоянно растет, чтобы удовлетворить потребности миллионов пользователей Интернета, которые используют 31 центр обработки данных по всему миру.

В течение последних нескольких лет OVHcloud работал над улучшением инфраструктуры нашей всемирной магистральной сети.



Дальнейшее расширение нашей сети
За почти два года исследований и разработок команда разработчиков сети OVHcloud создала совершенно новую инфраструктуру. Каждый центр обработки данных подключен к нескольким PoP (Point of Presence). PoP разделяют трафик с различными другими центрами обработки данных OVHcloud, а также обмениваются трафиком с разными поставщиками (известными как Peers).

Текущая архитектура, известная внутри как «липкий маршрутизатор», основана на маршрутизаторе для маршрутизации и коммутаторе, который играет роль платы питания. В течение нескольких лет он работал достаточно хорошо (и при невысокой стоимости), но в конечном итоге метод достиг своего предела с точки зрения пропускной способности. Нам нужно было найти и разработать другую систему, которая могла бы справиться с растущим трафиком. Наши требования были простыми; нам нужна была недорогая, энергоэффективная и масштабируемая инфраструктура.

Обеспечение максимально возможной связи для наших клиентов по всему миру было движущей силой компании с момента ее создания Октавом Клаба. Для этого мы хотели быть максимально подключенными к местным провайдерам, для чего требовалось несколько портов со скоростью 10 или 100 Гбит/с.

Переосмысливая топологии PoP, мы рассмотрели новые масштабируемые технологии, в том числе:

• Пропускная способность порта: должна быть основана на портах 100 Гбит / с и 400 Гбит / с и иметь хорошую экономическую эффективность. Это поможет устранить любые узкие места в сети. Также необходимо было поддерживать каналы 10 Гбит / с для тех провайдеров, которые не были готовы к портам 100 Гбит / с.
• Легко обновлять: новую архитектуру нужно было легко модернизировать с точки зрения емкости. Частично это сделано для роста компании, но также для поддержания доступности, когда на PoP требуется обслуживание сети.
• Мощность: команде нужно было найти лучшее оборудование для максимального повышения эффективности энергопотребления; особенно в таких странах, как Сингапур, где это дорого.
• Безопасность: ключевым требованием будет работа с нашими группами безопасности, чтобы найти лучшее решение для защиты сети от угроз (массовых DDoS-атак).

После почти года исследований и испытаний команда дизайнеров разработала совершенно новую архитектуру; который был масштабируемым, энергоэффективным, простым в установке и надежным. Новая архитектура получила название SMAUG, в честь дракона из «Хоббита».

Обзор SMAUG


Чтобы быть адаптируемой, архитектура имеет несколько вариантов емкости в зависимости от того, насколько велик PoP. Это связано с тем, что в разных центрах обработки данных происходит обмен разным объемом трафика. Каждый вариант мощности имеет свою специфику, чтобы не было узких мест.

Инфраструктура Spine and Leaf
SMAUG — это инфраструктура «Spine and Leaf». Это означает, что «позвоночник» (называемый SBB от SuperBackBone) объединяет листья и соединяет каждый центр обработки данных. «Листовые» устройства (называемые PB для PeeringBox) используются для подключения провайдеров, а также внутренних служб, таких как оборудование xDSL или OVHcloud Connect.

Инфраструктура SMAUG также предоставляет другой способ подключения центра обработки данных, где есть как минимум два PoP, оба в другом месте. Например, в Сингапуре наш центр обработки данных подключен к двум точкам доступа, расстояние между которыми превышает 30 км — это соответствует правилу не использовать один и тот же источник питания для двух точек доступа.

Чтобы обеспечить избыточность, оба PoP должны быть подключены друг к другу с огромной пропускной способностью — в 100 Гбит / с или 400 Гбит / с, в зависимости от PoP. Группа по передаче электроэнергии также участвовала в разработке новой инфраструктуры под названием «ГАЛАКТИКА». GALAXY была основана на другом конструкторе — в сочетании с простой в развертывании, масштабируемой, операционной моделью с меньшим энергопотреблением.

Роль листа довольно проста и похожа на верх стойки в центре обработки данных. Он имеет огромную пропускную способность восходящего канала к шипам и имеет конфигурацию для подключения одноранговых узлов BGP; такие как транзитные провайдеры, частные межсетевые соединения (PNI) и Интернет-обмен.

Роль позвоночника более сложная и имеет дополнительные функции, в том числе:

• Соединения дальнего следования: он обеспечивает соединение каналов на основе 100 Гбит / с к центрам обработки данных и PoP.
• Маршрутизация: в нем есть вся таблица маршрутизации, чтобы выбрать лучший путь к центрам обработки данных OVHcloud или к внешним сетям.
• Защита: команда VAC участвовала в разработке нового инструмента защиты (для получения дополнительной информации: www.ovh.com/blog/using-fpgas-in-an-agile-development-workflow/) в порядке чтобы помочь защитить всю сеть OVHcloud от DDoS-атак.
• Смягчение: это также помогает системе обнаружения, используемой инфраструктурой VAC www.ovh.co.uk/anti-ddos/

Тестирование и развертывание
После того, как команда разработчиков и руководство убедились, что это лучшая архитектура для сети OVHcloud, мы начали тестирование различных брендов, обеспечивая правильную реализацию всех функций. После того, как все тесты были завершены в лаборатории и мы были уверены в жизнеспособности решения, мы начали развертывание инфраструктуры в Сингапуре. Этот регион был одним из самых важных по росту посещаемости. Это было также проще, потому что у нас уже были темные волокна для связи между центром обработки данных и точками доступа.

В январе мы заказали все устройства и трансиверы, а затем подготовили план миграции, чтобы запланировать все развертывание на конец марта. В конце февраля мы подготовили конфигурацию и протестировали новинки. Когда все было в порядке, мы отправили их всех в точки входа в Сингапур.

Вначале мы планировали провести эту миграцию в середине марта 2020 года и должны были отправить наших технических специалистов из Франции в Сингапур, но из-за COVID-19 нам пришлось изменить наши планы. Нам пришлось найти другое решение и попросить наших местных технических специалистов, работающих в нашем сингапурском центре обработки данных, выполнить эту работу. План миграции был более сложным из-за новой реорганизации, которую необходимо было провести в связи с пандемией.

После долгого обсуждения между руководством, сетевой командой и сингапурскими техниками OVHcloud было решено выполнить миграцию первого PoP в начале апреля, а второго — в конце апреля. Миграция началась с размещения новых устройств в двух новых стойках, подготовки проводки к миграции и выполнения некоторых проверок перед горячими заменами.

Переход на SMAUG
Давление на то, чтобы этот переход был успешным, был высоким, поскольку мы не хотели, чтобы он повлиял на наших клиентов. В первую ночь миграции — когда мы исчерпали трафик от первого PoP — мы попросили технических специалистов переместить все дальнемагистральные каналы в Сингапурский округ Колумбия, а для Австралии, Франции и США — на новые устройства. После некоторых тестов мы запустили новые устройства в производство. Первый шаг миграции прошел хорошо.

Следующий день был не таким уж и гладким, поскольку мы впервые запускали в производство наш новый Peering Box с нашей новой системой защиты границ, основанной на серверах FPGA. После того, как мы удалили трафик от наших пиров, трафик покидал сеть OVHcloud через второй PoP. Затем мы переместили волокна в новый Peering Box с помощью горячей замены от нашего поставщика центра обработки данных. После того, как мы все подключили к новому оборудованию, мы начали медленно возобновлять производство. Нам нужно было сделать это вместе с нашей командой безопасности, чтобы убедиться, что эта новая система защиты границ работает должным образом и не пропускает законный трафик.

В последний день миграции наша группа по передаче данных внедрила еще одну технологию. Целью здесь было увеличить пропускную способность между сингапурским центром обработки данных и точкой доступа, где мы установили эти новые устройства. После того, как мы изолировали трафик между обоими концами, мы переместили темное волокно в новую оптическую систему DWDM (Galaxy), чтобы добавить 400 Гбит / с пропускной способности центру обработки данных. Поскольку это было ново, у нас возникли проблемы с объяснением, как исправить некоторые проблемы с кабелями в системе. После того, как все было исправлено и готово, мы запустили 4 канала по 100 Гбит / с в производство.

После выполнения всех этих различных шагов мы проанализировали и исправили некоторые проблемы, чтобы ускорить второй PoP с тем же графиком.

Когда оба PoP были запущены в эксплуатацию, мы отслеживали, как он обрабатывает трафик и DDoS-атаки. Мы также связались с нашими близкими клиентами, чтобы убедиться в отсутствии проблем.


В заключение
Эта новая инфраструктура, SMAUG, обеспечивает значительные улучшения в области энергопотребления и экономии места, а также снижает сложность общей конструкции сети. Это также поможет OVHcloud не отставать от растущих требований к приложениям и услугам.

Забегая вперед, мы считаем, что гибкость конструкции SMAUG поможет OVHcloud увеличить пропускную способность сети и быть готовым к технологиям будущего.

Спасибо командам и отраслевым партнерам, которые помогли создать эту новую инфраструктуру.

• Upgraded AMS_IX from 6x100G to 8x100G at Amsterdam
• Added 2x100G between our Nexus 7700 at Chicago
• Upgraded quebecix from 4x10G to 8x10G at Montreal
• Added 1x100G on our path between aris and Madrid with gtt_France

• Added 2x100G on a new path between SanJose and LosAngeles with CenturyLink
• Migrated our IP equipment in Toronto to a new private space + Upgraded them to a brand new couple of ASR9904 and Nexus 7710.

Recent network upgrades:

• +200G Cogent
• +200G Telia
• +200G Centurylink
• +200G Telecom Italia
• +100G CDN77
• +30G TDC

Coming up:

• +500G Vodafone
• +100G MIX Milan
• another +200G Telecom Italia

keeppushing 10Tbit/s

• added a new 4x10G PNI with ukdsltd at London
• upgraded our PNI with transtelco from 4x10G to 1x100G at Dallas and LosAngeles
• added 100G with TeliaCarrier at Ashburn
• added 100G with vodafone_de at Frankfurt

OVH развертывает, эксплуатирует и поддерживает свою собственную волоконно-оптическую сеть с 2006 года. Каковы преимущества этой инфраструктуры для клиентов, которая соединяет 32 точки присутствия (PoP) по всему миру? Почему необходимо продолжать непрерывное развитие? И для начала, что такое «пропускная способность сети»? Так много вопросов, на которые эта статья в блоге приводит ответы.

В конкретном смысле, что означает «пропускная способность сети»?
Каждый из наших 28 центров обработки данных подключен к Интернету благодаря системе OVH, нашей собственной сети, управляемой нашими командами. Эта сетка основана на 32 точках присутствия (PoP), соединенных оптическими волокнами.

В конечном итоге каждый PoP действует как обмен автомагистралей между OVH и другими провайдерами (провайдеры интернет-доступа, облачные провайдеры, операторы связи и т.д.)
Когда мы говорим о пропускной способности сети, мы ссылаемся на сумму возможностей всех этих обменников. Сейчас он достигает 15 Тбит/с.

Наличие нашей собственной сети является ключевым преимуществом на рынке. Это означает, что мы максимально приближаем качество наших клиентов и их конечных пользователей, где большинство наших конкурентов полагаются на стороннего оператора (оператора транзита), что приводит к меньшему контролю качества.

Почему нам нужна такая важная способность?
Управление нашей базой позволяет нам предлагать нашим клиентам высокую пропускную способность и низкую задержку в любой точке мира, а также защищать их от атак с распределенным отказом в обслуживании (DDoS).

OVH действительно нуждается в большой избыточной мощности, чтобы поглощать пики высокоинтенсивных атак. Поскольку недостаточно знать, как бороться с атаками, вы должны, прежде всего, иметь возможность их получить. Наш рекорд в 2017 году показывает, как распространенные атак типа «отказ в обслуживании» продолжают увеличиваться в объеме.

Но как поставщик облачных вычислений, наша доля исходящего трафика, естественно, намного больше, чем наш входящий трафик, и с каждым днем ​​увеличивается более чем на 36 процентов по сравнению с аналогичным периодом прошлого года. Тем не менее для нас важно также увеличить пропускную способность входящего трафика, «только», чтобы избежать перегрузки в случае атак DDoS. Таким образом, мы можем управлять и фильтровать атаки в нашем VAC без насыщения для законного трафика.

Эта избыточная емкость также увеличивает нашу доступность. Даже в случае инцидента в одном из наших PoP или в случае сокращения волокна у партнера (оператора, интернет-провайдера и т. Д.), Мы можем избежать перегруженности и поддерживать качество службы с точки зрения задержки. Поскольку мы, насколько это возможно, взаимосвязаны с нашими партнерами на нескольких PoP. Таким образом, если мы связаны между собой на двух PoP с одним и тем же оператором, это означает, что мы не можем превышать 50% использования на каждом PoP, для трех PoP составляет 33% для каждого и т. Д. В случае инцидента или простоя основная трудность заключается в том, чтобы предсказать, где будет направлен трафик (то есть к которому PoP).

Сосредоточьтесь на модернизации сети Азиатско-Тихоокеанского региона
Недавняя работа над сетью Азиатско-Тихоокеанского региона показывает, как способность групп OVH реагировать на все уровни магистрали улучшает доступность и защиту клиентов.

Новые базовые маршрутизаторы были добавлены в центры обработки данных в Сиднее и Сингапуре. Каждый из них поддерживает пропускную способность до 4,8 Тбит/с.

Мы также установили четыре новых магистральных маршрутизатора (два в Сингапуре и два в Сиднее), все подключенные через ссылки 100G. Эти дополнения позволяют OVH подключаться к большему количеству поставщиков и увеличивать пропускную способность за пределами собственной сети.

OVH также инвестировал в 100 Гбит/с ссылки для подключения к другим PoP. Компания разработала систему безопасности своей сети благодаря своей способности обрабатывать атаки DDoS.

Наконец, добавление новой связи с низкой задержкой между двумя датацентрами OVH в Азиатско-Тихоокеанском регионе (с 88 мс вместо задержки в 144 мс) и изменение маршрутизации через Сингапур сэкономили ценные миллисекунды.

Linode has completed initial Internet capacity upgrades in all facilities. All of our datacenters are now multihomed with several tier-1 transit providers and the largest peering exchanges in the world. This marks a milestone in Linode’s history: we now manage our own true service provider network, allowing us to deliver robust and reliable connectivity.

To accomplish this, our datacenters have been upgraded with Cisco ASR 9000 series edge routers, allowing us to scale to many terabits of capacity per datacenter. Currently, each datacenter has a few hundred gigabits of transit and peering, with more to come. We’re operating our network under ASN63949.

blog.linode.com/2016/11/02/network-update-multihomed-increased-transit-peering/

SeFlow Is Building a More Secure Network; First Global Content Provider to extend BGP Flowspec Capability for all customers for free MILAN, Sept. 12,2016 — SeFlow is happy to announce the deployment Border Gateway Protocol (BGP) Flowspec on its global backbone and whole Level 3 Network. The capability is one of the largest deployments in the industry, leveraging SeFlow and Level 3's more than 43 terabits of backbone capacity and protecting its peering points. BGP Flowspec allows for rapid threat mitigation across the Level 3 backbone, shutting down volumetric attacks and providing a more secure network for its customers.

This enhancement to SeFlow's suite of security solutions better provides responsive service capabilities for customers while at the same time helping to create a safer internet ecosystem. Enterprises need a DDoS mitigation service provider with the tools and expertise to fight these large-scale, potentially expensive attacks.

DDoS and threat detection is now immediate on the scrubbing points and will be mitigated before reaching SeFlow Milan location. This will ensure a free DDoS Mitigation on amplification attacks for all customers. In addition the Milan filters will be underloaded ensuring more powerfull layer 7 protection.

This new solution increase the mitigation capacity for flood attacks to 4,7Tbps ingestion capacity (prior was 4.2Tbps only for amplifications). Most of the attacks are now filtered from scrubbing point closest to the origin ensuring protection for most amplifications and know floods for all server inside SeFlow. DDoS Protected Customers will not see anymore amplification and flood attacks in their SeGuard Portal because we will ensure protection using the geo scrubbing point. For example if an attack will start from brazil, only south america customers will pass trought active filters leaving other customers to be free to reach your server evoiding too restrictive f ilters.

Milan location is now converted into full layer 7 protection ensuring more mitigation capacity on application attacks.

How It Works the Flowspecs feature:

• BGP is the protocol all internet routers use to talk to each other.
• BGP Flowspec uses the BGP protocol to distribute flow specification filters to network routers – if a threat is identified, the SeFlow DDoS infrastructure inputs a rule to block or deny traffic related to the threat by its source, destination and a number of other characteristics.
• The malicious traffic is systematically and temporarily filtered off the network, blocking threats globally before they have time to form fully or scale and affect a customer.

Key Facts:

• SeFlow has both the network architecture and skilled professionals in place to leverage this threat-fighting tool.
• As a global network services provider, SeFlow has an expansive view of worldwide internet traffic and a broad view of threats
• In an industry with so few qualified resources, SeFlow has security operations center professionals in five global locations trained to use this powerful tool.
• BGP Flowspec is built into SeFlow and Level 3's Network for all customers in addition to existing worldwide anycast DDoS Mitigation Protection.

SeFlow Network Security is already active for all SeFlow Customers. Existing DDoS protection customers should see lower attacks rate reporting because SeFlow Network Security work silently avoiding any engagement mitigation time. This will ensure that, for most know attack, for latency sensible service, you will not have any interruption.

DDoS Mitigation prices still unchanged and new features are already in place without any additional configuration on customer services.

Feel free to contact us for details trought our ticket system to SOC department manage.seflow.it/index.php?/tickets/new/

All our service now include SeFlow Network Security service, check out our Dedicated server list seflow.net/2/index.php/en/services/baremetalserver/browseservers

Offering high quality global connectivity is one of our main priorities. This is exactly the reason why we have made two large upgrades in our network.

Our Level3 interfaces have been upgraded to 100 Gbit/s. This upgrade will result in an even more stable network environment and next level global connectivity.

A new premium transit provider has been added to the WorldStream network as well. A new 100 Gbit/s Telia Sonera port is now live and active on our core infrastructure. This major addition will improve the quality of our network and result in a higher standard of global connectivity.
Both upgrades have been initiated in order to offer all WorldStream customers the best hosting experience and a high quality and stable network. If you require more information or have any questions about our services, please contact us on support@worldstream.nl or initiate a chat session with our sales staff on www.worldstream.nl

Год назад мы публиковали новость об улучшение связанности нашей сети. Сегодня мы расскажем, что мы сделали за этот год.
Суммарный объем внешних каналов нашей сети вырос с 90 Гб/c до 175 Гб/с. Все резервное оборудование заменено с Cisco на Juniper. В данный момент нашу сеть обслуживают два маршрутизатора Juniper MX480 и Juniper MX960. Сервера для хранения резервных копий перенесены в отдельный дата-центр Miran, между которыми организован оптический канал связи. Суммарно мы подключили 11 новых провайдеров.

Читать дальше →