VXLAN шлюздерін талқылау үшін алдымен VXLAN-ның өзін талқылауымыз керек. Естеріңізге сала кетейік, дәстүрлі VLAN (Виртуалды жергілікті желілер) желілерді бөлу үшін 12 биттік VLAN идентификаторларын пайдаланады, 4096 логикалық желілерге дейін қолдайды. Бұл шағын желілер үшін жақсы жұмыс істейді, бірақ мыңдаған виртуалды машиналары, контейнерлері және көп жалға алушы орталары бар заманауи деректер орталықтарында VLAN жеткіліксіз. VXLAN RFC 7348 құжатында Интернет инженериясының жұмыс тобы (IETF) анықтағандай, пайда болды. Оның мақсаты - UDP туннельдерін пайдаланып, 2-қабат (Ethernet) хабар тарату доменін 3-қабат (IP) желілері арқылы кеңейту.
Қарапайым тілмен айтқанда, VXLAN UDP пакеттерінің ішіндегі Ethernet кадрларын инкапсуляциялайды және теориялық тұрғыдан 16 миллион виртуалды желіні қолдайтын 24-биттік VXLAN желілік идентификаторын (VNI) қосады. Бұл әрбір виртуалды желіге бір-біріне кедергі келтірмей физикалық желіде еркін қозғалуға мүмкіндік беретін «жеке куәлік» берумен бірдей. VXLAN негізгі компоненті - пакеттерді инкапсуляциялау және декапсуляциялауға жауапты VXLAN туннелінің соңғы нүктесі (VTEP). VTEP бағдарламалық жасақтама (мысалы, Open vSwitch) немесе аппараттық құрал (мысалы, коммутатордағы ASIC чипі) болуы мүмкін.
Неліктен VXLAN соншалықты танымал? Себебі ол бұлттық есептеулер мен SDN (Бағдарламалық жасақтамамен анықталған желі) қажеттіліктеріне өте жақсы сәйкес келеді. AWS және Azure сияқты қоғамдық бұлттарда VXLAN жалға алушылардың виртуалды желілерін үздіксіз кеңейтуге мүмкіндік береді. Жеке деректер орталықтарында ол VMware NSX немесе Cisco ACI сияқты қабаттасқан желі архитектураларын қолдайды. Әрқайсысында ондаған виртуалды машиналар (Виртуалды машиналар) жұмыс істейтін мыңдаған серверлері бар деректер орталығын елестетіп көріңіз. VXLAN бұл виртуалды машиналарға өздерін бір 2-деңгей желісінің бөлігі ретінде қабылдауға мүмкіндік береді, бұл ARP хабарлары мен DHCP сұрауларының үздіксіз берілуін қамтамасыз етеді.
Дегенмен, VXLAN панацея емес. L3 желісінде жұмыс істеу үшін L2-ден L3-ке түрлендіру қажет, бұл жерде шлюз маңызды рөл атқарады. VXLAN шлюзі VXLAN виртуалды желісін сыртқы желілермен (мысалы, дәстүрлі VLAN немесе IP маршруттау желілері) байланыстырады, бұл виртуалды әлемнен нақты әлемге деректер ағынын қамтамасыз етеді. Бағыттаушы механизм шлюздің жүрегі мен жаны болып табылады, ол пакеттердің қалай өңделетінін, бағытталатынын және таратылатынын анықтайды.
VXLAN бағыттау процесі көзден тағайындалған жерге дейінгі әрбір қадам тығыз байланысты болатын нәзік балет сияқты. Оны қадам бойынша талдап көрейік.
Алдымен, бастапқы хосттан (мысалы, виртуалды машина) пакет жіберіледі. Бұл бастапқы MAC мекенжайын, тағайындалған MAC мекенжайын, VLAN тегін (бар болса) және пайдалы жүктемені қамтитын стандартты Ethernet кадры. Бұл кадрды алғаннан кейін, бастапқы VTEP тағайындалған MAC мекенжайын тексереді. Егер тағайындалған MAC мекенжайы оның MAC кестесінде болса (үйрену немесе су тасқыны арқылы алынған), ол пакетті қай қашықтағы VTEP-ке жіберу керектігін біледі.
Инкапсуляция процесі өте маңызды: VTEP VXLAN тақырыбын (VNI, жалаушалар және т.б. қоса алғанда), содан кейін сыртқы UDP тақырыбын (ішкі кадрдың хэшіне негізделген бастапқы порты және 4789 бекітілген тағайындау порты бар), IP тақырыбын (жергілікті VTEP бастапқы IP мекенжайы және қашықтағы VTEP тағайындау IP мекенжайы бар) және соңында сыртқы Ethernet тақырыбын қосады. Енді бүкіл пакет UDP/IP пакеті ретінде пайда болады, қалыпты трафикке ұқсайды және L3 желісінде бағытталуы мүмкін.
Физикалық желіде пакет маршрутизатор немесе коммутатор арқылы тағайындалған VTEP-ке жеткенше жіберіледі. Тағайындалған VTEP сыртқы тақырыпты ажыратады, VNI сәйкес келетініне көз жеткізу үшін VXLAN тақырыбын тексереді, содан кейін ішкі Ethernet кадрын тағайындалған хостқа жеткізеді. Егер пакет белгісіз бір арналы, хабар тарату немесе көп арналы (BUM) трафик болса, VTEP пакетті барлық тиісті VTEP-терге көп арналы топтарға немесе бір арналы тақырып репликациясына (HER) сүйене отырып, толқынды пайдалану арқылы көшіреді.
Бағыттаушы принципінің негізі басқару жазықтығы мен деректер жазықтығын бөлу болып табылады. Басқару жазықтығы MAC және IP карталарын үйрену үшін Ethernet VPN (EVPN) немесе Flood and Learn механизмін пайдаланады. EVPN BGP хаттамасына негізделген және VTEP-терге MAC-VRF (Виртуалды бағыттау және бағыттау) және IP-VRF сияқты маршруттау ақпаратын алмасуға мүмкіндік береді. Деректер жазықтығы тиімді беру үшін VXLAN туннельдерін пайдалана отырып, нақты бағыттауға жауап береді.
Дегенмен, нақты орналастыруларда бағыттау тиімділігі өнімділікке тікелей әсер етеді. Дәстүрлі су тасқыны, әсіресе үлкен желілерде, хабар тарату дауылдарын оңай тудыруы мүмкін. Бұл шлюздерді оңтайландыру қажеттілігіне әкеледі: шлюздер тек ішкі және сыртқы желілерді ғана емес, сонымен қатар прокси ARP агенттері ретінде де әрекет етеді, маршруттың ағып кетуін өңдейді және ең қысқа бағыттау жолдарын қамтамасыз етеді.
Орталықтандырылған VXLAN шлюзі
Орталықтандырылған VXLAN шлюзі, сондай-ақ орталықтандырылған шлюз немесе L3 шлюзі деп аталады, әдетте деректер орталығының шетінде немесе негізгі деңгейінде орналастырылады. Ол барлық VNI немесе ішкі желі трафигі өтуі тиіс орталық хаб ретінде әрекет етеді.
Негізінде, орталықтандырылған шлюз барлық VXLAN желілері үшін 3-деңгейлі маршруттау қызметтерін ұсынатын әдепкі шлюз ретінде әрекет етеді. Екі VNI қарастырайық: VNI 10000 (ішкі желі 10.1.1.0/24) және VNI 20000 (ішкі желі 10.2.1.0/24). Егер VNI 10000 ішіндегі VM A VNI 20000 ішіндегі VM B-ге қол жеткізгісі келсе, пакет алдымен жергілікті VTEP-ке жетеді. Жергілікті VTEP тағайындалған IP мекенжайының жергілікті ішкі желіде жоқ екенін анықтап, оны орталықтандырылған шлюзге жібереді. Шлюз пакетті декапсуляциялайды, маршруттау туралы шешім қабылдайды, содан кейін пакетті тағайындалған VNI-ге баратын туннельге қайта инкапсуляциялайды.
Артықшылықтары айқын:
○ Қарапайым басқаруБарлық маршруттау конфигурациялары бір немесе екі құрылғыда орталықтандырылған, бұл операторларға бүкіл желіні қамту үшін бірнеше шлюзді ғана сақтауға мүмкіндік береді. Бұл тәсіл VXLAN-ды алғаш рет орналастыратын шағын және орта деректер орталықтарына немесе орталарға жарамды.
○Ресурстарды тиімді пайдалануШлюздер әдетте үлкен көлемдегі трафикті өңдеуге қабілетті жоғары өнімді аппараттық құралдар (мысалы, Cisco Nexus 9000 немесе Arista 7050). Басқару деңгейі орталықтандырылған, бұл NSX Manager сияқты SDN контроллерлерімен интеграцияны жеңілдетеді.
○Қауіпсіздікті қатаң бақылауТрафик шлюз арқылы өтуі керек, бұл ACL (қолжетімділікті бақылау тізімдері), брандмауэрлерді және NAT енгізуді жеңілдетеді. Орталықтандырылған шлюз жалға алушы трафигін оңай оқшаулай алатын көп жалға алушылы сценарийді елестетіп көріңіз.
Бірақ кемшіліктерді елемеуге болмайды:
○ Бір сәтсіздік нүктесіЕгер шлюз істен шықса, бүкіл желідегі L3 байланысы тоқтайды. VRRP (Виртуалды маршрутизатордың артықшылық протоколы) артықшылық үшін пайдаланылуы мүмкін болса да, ол әлі де қауіп төндіреді.
○Өнімділік кедергісіШығыс-батыс трафигінің барлығы (серверлер арасындағы байланыс) шлюзді айналып өтуі керек, бұл жолдың оңтайлы емес болуына әкеледі. Мысалы, 1000 түйінді кластерде, егер шлюздің өткізу қабілеті 100 Гбит/с болса, шың сағаттарында кептеліс пайда болуы мүмкін.
○Масштабталуы нашарЖелі ауқымы өскен сайын шлюз жүктемесі экспоненциалды түрде артады. Нақты әлемдегі мысалда мен орталықтандырылған шлюзді пайдаланатын қаржылық деректер орталығын көрдім. Бастапқыда ол бірқалыпты жұмыс істеді, бірақ виртуалды машиналар саны екі еселенгеннен кейін кідіріс микросекундтардан миллисекундтарға дейін күрт өсті.
Қолдану сценарийі: Кәсіпорынның жеке бұлттары немесе сынақ желілері сияқты жоғары басқару қарапайымдылығын талап ететін орталарға жарамды. Cisco ACI архитектурасы көбінесе негізгі шлюздердің тиімді жұмысын қамтамасыз ету үшін жапырақты омыртқа топологиясымен біріктірілген орталықтандырылған модельді пайдаланады.
Таратылған VXLAN шлюзі
Таратылған VXLAN шлюзі, сондай-ақ таратылған шлюз немесе кез келген тарату шлюзі деп те аталады, шлюздің функционалдығын әрбір жапырақ коммутаторына немесе гипервизор VTEP-ке жүктейді. Әрбір VTEP жергілікті ішкі желі үшін L3 бағыттауын өңдейтін жергілікті шлюз ретінде әрекет етеді.
Принцип икемдірек: әрбір VTEP Anycast механизмін пайдаланып, әдепкі шлюзбен бірдей виртуалды IP (VIP) мекенжайымен конфигурацияланады. VM арқылы жіберілетін желіаралық пакеттер орталық нүкте арқылы өтпей-ақ, тікелей жергілікті VTEP-ке бағытталады. EVPN мұнда әсіресе пайдалы: BGP EVPN арқылы VTEP қашықтағы хосттардың маршруттарын үйренеді және ARP толып кетуін болдырмау үшін MAC/IP байланыстыруды пайдаланады.
Мысалы, VM A (10.1.1.10) VM B (10.2.1.10) жүйесіне кіргісі келеді. VM A әдепкі шлюзі - жергілікті VTEP (10.1.1.1) VIP мекенжайы. Жергілікті VTEP мақсатты ішкі желіге бағыттайды, VXLAN пакетін инкапсуляциялайды және оны тікелей VM B VTEP жүйесіне жібереді. Бұл процесс жол мен кідіріс уақытын азайтады.
Ерекше артықшылықтары:
○ Жоғары масштабталу мүмкіндігіШлюз функциясын әрбір түйінге тарату желі көлемін арттырады, бұл үлкен желілер үшін пайдалы. Google Cloud сияқты ірі бұлт провайдерлері миллиондаған виртуалды машиналарды қолдау үшін ұқсас механизмді пайдаланады.
○Жоғары өнімділікШығыс-батыс трафигі кедергілерді болдырмау үшін жергілікті жерде өңделеді. Сынақ деректері таратылған режимде өткізу қабілетін 30%-50%-ға арттыруға болатынын көрсетеді.
○Ақаулықты тез қалпына келтіруVTEP-тің бір ғана істен шығуы тек жергілікті хостқа әсер етеді, ал басқа түйіндер әсер етпейді. EVPN-нің жылдам конвергенциясымен бірге қалпына келтіру уақыты секундтармен өлшенеді.
○Ресурстарды тиімді пайдалануАппараттық жеделдету үшін бар Leaf коммутаторының ASIC чипін пайдаланыңыз, жіберу жылдамдығы Тбит/с деңгейіне жетеді.
Кемшіліктері қандай?
○ Күрделі конфигурацияӘрбір VTEP маршруттауды, EVPN және басқа да мүмкіндіктерді конфигурациялауды талап етеді, бұл бастапқы орналастыруды көп уақытты алады. Операциялық топ BGP және SDN-мен таныс болуы керек.
○Жоғары аппараттық талаптарТаратылған шлюз: Барлық коммутаторлар таратылған шлюздерді қолдамайды; Broadcom Trident немесе Tomahawk чиптері қажет. Бағдарламалық жасақтаманы енгізу (мысалы, KVM-дегі OVS) аппараттық құралдар сияқты жақсы жұмыс істемейді.
○Тұрақтылыққа қатысты қиындықтарТаратылған күй синхрондауы EVPN-ге тәуелді екенін білдіреді. Егер BGP сеансы ауытқып тұрса, бұл маршруттаудағы қара тесікті тудыруы мүмкін.
Қолдану сценарийі: Гипермасштабты деректер орталықтары немесе қоғамдық бұлттар үшін өте қолайлы. VMware NSX-T таратылған маршрутизаторы - типтік мысал. Kubernetes-пен бірге ол контейнерлік желіні үздіксіз қолдайды.
Орталықтандырылған VxLAN шлюзі және таратылған VxLAN шлюзі
Енді шарықтау шегіне келейік: қайсысы жақсы? Жауап - «бұл жағдайға байланысты», бірақ сізді сендіру үшін деректер мен жағдайлық зерттеулерді тереңірек зерттеуіміз керек.
Өнімділік тұрғысынан алғанда, таратылған жүйелер айқын түрде жақсы жұмыс істейді. Әдеттегі деректер орталығының эталонында (Spirent сынақ жабдығына негізделген) орталықтандырылған шлюздің орташа кідірісі 150 мкс, ал таратылған жүйенікі тек 50 мкс болды. Өткізу қабілеті тұрғысынан таратылған жүйелер желілік жылдамдықты бағыттауды оңай жүзеге асыра алады, себебі олар омыртқа жапырағының тең құны бар көп жолды (ECMP) маршруттауды пайдаланады.
Масштабталу – тағы бір күрес алаңы. Орталықтандырылған желілер 100-500 түйіні бар желілерге жарамды; бұл масштабтан тыс таратылған желілер басымдыққа ие болады. Мысалы, Alibaba Cloud-ты алайық. Олардың VPC (Виртуалды жеке бұлт) бүкіл әлем бойынша миллиондаған пайдаланушыларды қолдау үшін таратылған VXLAN шлюздерін пайдаланады, бір аймақтық кідіріс 1 мс-тен төмен. Орталықтандырылған тәсіл бұрыннан күйреген болар еді.
Ал құны туралы не деуге болады? Орталықтандырылған шешім бастапқы инвестицияларды азайтады, тек бірнеше жоғары деңгейлі шлюздерді қажет етеді. Таратылған шешім барлық жапырақ түйіндерінің VXLAN жүктемесін қолдауын талап етеді, бұл жабдықты жаңарту шығындарының жоғарылауына әкеледі. Дегенмен, ұзақ мерзімді перспективада таратылған шешім төмен операциялық және техникалық қызмет көрсету шығындарын ұсынады, себебі Ansible сияқты автоматтандыру құралдары пакеттік конфигурацияны іске қосады.
Қауіпсіздік және сенімділік: Орталықтандырылған жүйелер орталықтандырылған қорғауды жеңілдетеді, бірақ шабуылдың бір нүктесінің қаупін арттырады. Таратылған жүйелер төзімдірек, бірақ DDoS шабуылдарының алдын алу үшін сенімді басқару деңгейін қажет етеді.
Нақты әлемдегі жағдайды зерттеу: Электрондық коммерция компаниясы өз сайтын құру үшін орталықтандырылған VXLAN пайдаланды. Ең жоғары кезеңдерде шлюз процессорын пайдалану 90%-ға дейін өсті, бұл пайдаланушылардың кідіріс туралы шағымдарына әкелді. Таратылған модельге көшу мәселені шешіп, компанияға өз көлемін екі есеге оңай арттыруға мүмкіндік берді. Керісінше, шағын банк орталықтандырылған модельді талап етті, себебі олар сәйкестік аудитіне басымдық берді және орталықтандырылған басқаруды оңайырақ деп тапты.
Жалпы, егер сіз желінің өнімділігі мен масштабының жоғары болуын қаласаңыз, таратылған тәсіл ең дұрыс шешім болып табылады. Егер сіздің бюджетіңіз шектеулі болса және басқарушы командаңызда тәжірибе жеткіліксіз болса, орталықтандырылған тәсіл тиімдірек. Болашақта 5G және шеткі есептеулердің дамуымен таратылған желілер танымал бола бастайды, бірақ орталықтандырылған желілер филиалдардың өзара байланысы сияқты нақты жағдайларда әлі де құнды болады.
Mylinking™ желілік пакет брокерлеріVxLAN, VLAN, GRE, MPLS тақырыптық жолақты кесуді қолдау
Бастапқы деректер пакетінде VxLAN, VLAN, GRE, MPLS тақырыбын қолдады және шығысты жіберді.
Жарияланған уақыты: 2025 жылғы 9 қазан
