VXLAN шлюздерін талқылау үшін алдымен VXLAN-ның өзін талқылау керек. Еске салайық, дәстүрлі VLAN желілері (Виртуалды жергілікті желілер) 4096 логикалық желіге дейін қолдау көрсететін желілерді бөлу үшін 12 биттік VLAN идентификаторларын пайдаланады. Бұл шағын желілер үшін жақсы жұмыс істейді, бірақ мыңдаған виртуалды машиналары, контейнерлері және көп пайдаланушылық орталары бар заманауи деректер орталықтарында VLAN жеткіліксіз. VXLAN RFC 7348 жүйесінде Internet Engineering Task Force (IETF) анықтайтын дүниеге келді. Оның мақсаты UDP туннельдерін пайдаланып 3-деңгей (IP) желілері арқылы 2-деңгей (Ethernet) тарату доменін кеңейту болып табылады.
Қарапайым сөзбен айтқанда, VXLAN Ethernet фреймдерін UDP пакеттерінде инкапсуляциялайды және теориялық тұрғыдан 16 миллион виртуалды желіні қолдайтын 24 биттік VXLAN желі идентификаторын (VNI) қосады. Бұл әрбір виртуалды желіге «жеке куәлік» беру сияқты, олардың физикалық желіде бір-біріне кедергі жасамай еркін қозғалуына мүмкіндік береді. VXLAN жүйесінің негізгі құрамдас бөлігі пакеттерді инкапсуляциялау және декапсуляциялау үшін жауап беретін VXLAN туннелінің соңғы нүктесі (VTEP) болып табылады. VTEP бағдарламалық құрал болуы мүмкін (мысалы, Open vSwitch) немесе аппараттық құрал (мысалы, коммутатордағы ASIC чипі).
Неліктен VXLAN соншалықты танымал? Өйткені ол бұлтты есептеулер мен SDN (бағдарламалық құралмен анықталған желі) қажеттіліктеріне тамаша сәйкес келеді. AWS және Azure сияқты жалпыға қолжетімді бұлттарда VXLAN жалға алушылардың виртуалды желілерін үздіксіз кеңейтуге мүмкіндік береді. Жеке деректер орталықтарында ол VMware NSX немесе Cisco ACI сияқты қабаттасатын желі архитектурасын қолдайды. Әрқайсысы ондаған VM (Виртуалды машиналар) жұмыс істейтін мыңдаған серверлері бар деректер орталығын елестетіңіз. VXLAN бұл виртуалды құрылғыларға ARP таратылымдары мен DHCP сұрауларының біркелкі берілуін қамтамасыз ете отырып, өздерін бір деңгей 2 желісінің бөлігі ретінде қабылдауға мүмкіндік береді.
Дегенмен, VXLAN панацея емес. L3 желісінде жұмыс істеу үшін L2-ден L3-ке түрлендіру қажет, бұл шлюз кіретін жерде. VXLAN шлюзі VXLAN виртуалды желісін сыртқы желілермен (мысалы, дәстүрлі VLAN немесе IP маршруттау желілері) қоса, виртуалды әлемнен нақты әлемге деректер ағынын қамтамасыз етеді. Жіберу механизмі пакеттердің қалай өңделетінін, бағытталатынын және таратылатынын анықтайтын шлюздің жүрегі мен жаны болып табылады.
VXLAN жіберу процесі көзден тағайындалған жерге дейінгі әрбір қадам бір-бірімен тығыз байланысты болатын нәзік балет сияқты. Оны кезең-кезеңімен талдап көрейік.
Біріншіден, пакет бастапқы хосттан жіберіледі (мысалы, VM). Бұл бастапқы MAC мекенжайын, тағайындалған MAC мекенжайын, VLAN тегін (бар болса) және пайдалы жүктемені қамтитын стандартты Ethernet кадры. Бұл кадрды алған кезде VTEP көзі тағайындалған MAC мекенжайын тексереді. Егер тағайындалған MAC мекенжайы оның MAC кестесінде болса (үйрену немесе су тасқыны арқылы алынған), ол пакетті қай қашықтағы VTEP-ке жіберу керектігін біледі.
Инкапсуляция процесі өте маңызды: VTEP VXLAN тақырыбын (соның ішінде VNI, жалаушалар және т.б.), содан кейін сыртқы UDP тақырыбын (ішкі кадрдың хэшіне негізделген бастапқы портпен және 4789 бекітілген тағайындау портымен), IP тақырыбын (жергілікті VTEP бастапқы IP мекенжайымен және қашықтағы VTEP мекенжайымен) қосады. тақырыбы. Бүкіл пакет енді UDP/IP пакеті ретінде пайда болады, қалыпты трафикке ұқсайды және оны L3 желісінде бағыттауға болады.
Физикалық желіде пакет VTEP тағайындалған жеріне жеткенше маршрутизатор немесе коммутатор арқылы қайта жіберіледі. Тағайындалған VTEP сыртқы тақырыпты ажыратады, VNI сәйкестігін тексеру үшін VXLAN тақырыбын тексереді, содан кейін ішкі Ethernet жақтауын тағайындалған хостқа жеткізеді. Пакет белгісіз бір тарату, тарату немесе көп тарату (BUM) трафигі болса, VTEP мультикаст топтарына немесе біркаст тақырыбының репликациясына (HER) сүйене отырып, тасқынды пайдалану арқылы пакетті барлық сәйкес VTEP-ке қайталайды.
Жіберу принципінің негізі басқару жазықтығы мен деректер жазықтығын бөлу болып табылады. Басқару жазықтығы MAC және IP салыстыруларын үйрену үшін Ethernet VPN (EVPN) немесе Flood and Learn механизмін пайдаланады. EVPN BGP протоколына негізделген және VTEP-терге MAC-VRF (Виртуалды бағыттау және бағыттау) және IP-VRF сияқты маршруттау ақпаратын алмасуға мүмкіндік береді. Деректер жазықтығы тиімді жіберу үшін VXLAN туннельдерін пайдалана отырып, нақты бағыттауға жауап береді.
Дегенмен, нақты орналастыруларда қайта жіберу тиімділігі өнімділікке тікелей әсер етеді. Дәстүрлі су тасқыны, әсіресе үлкен желілерде таратылатын дауылдарды оңай тудыруы мүмкін. Бұл шлюзді оңтайландыру қажеттілігіне әкеледі: шлюздер ішкі және сыртқы желілерді қосып қана қоймайды, сонымен қатар прокси ARP агенттері ретінде әрекет етеді, маршруттың ағып кетуін өңдейді және ең қысқа бағыттау жолдарын қамтамасыз етеді.
Орталықтандырылған VXLAN шлюзі
Орталықтандырылған шлюз немесе L3 шлюзі деп те аталатын орталықтандырылған VXLAN шлюзі әдетте деректер орталығының шетінде немесе негізгі қабатында орналастырылады. Ол орталық хаб ретінде әрекет етеді, ол арқылы барлық кросс-VNI немесе ішкі желі трафигі өтуі керек.
Негізінде орталықтандырылған шлюз барлық VXLAN желілері үшін 3-деңгейді бағыттау қызметтерін қамтамасыз ететін әдепкі шлюз ретінде әрекет етеді. Екі VNI қарастырыңыз: VNI 10000 (ішкі желі 10.1.1.0/24) және VNI 20000 (ішкі желі 10.2.1.0/24). Егер VNI 10000 жүйесіндегі VM A VNI 20000 жүйесіндегі VM B қол жеткізгісі келсе, пакет алдымен жергілікті VTEP-ке жетеді. Жергілікті VTEP тағайындалған IP мекенжайының жергілікті ішкі желіде жоқ екенін анықтайды және оны орталықтандырылған шлюзге жібереді. Шлюз пакетті декапсуляциялайды, маршруттау туралы шешімді қабылдайды, содан кейін пакетті VNI тағайындалған туннельге қайта инкапсуляциялайды.
Артықшылықтары айқын:
○ Қарапайым басқаруБарлық маршруттау конфигурациялары бір немесе екі құрылғыда орталықтандырылған, бұл операторларға бүкіл желіні қамту үшін бірнеше шлюзді ғана ұстауға мүмкіндік береді. Бұл тәсіл шағын және орта өлшемді деректер орталықтары немесе VXLAN бірінші рет қолданатын орталар үшін қолайлы.
○Ресурстар тиімдіШлюздер әдетте үлкен көлемдегі трафикті өңдеуге қабілетті жоғары өнімді аппараттық құрал (мысалы, Cisco Nexus 9000 немесе Arista 7050). Басқару жазықтығы орталықтандырылған, NSX Manager сияқты SDN контроллерлерімен интеграцияны жеңілдетеді.
○Күшті қауіпсіздік бақылауыТрафик ACL (Access Control Liists), желіаралық қалқандар және NAT іске асыруды жеңілдете отырып, шлюз арқылы өтуі керек. Орталықтандырылған шлюз жалға алушы трафигін оңай оқшаулай алатын көп жалға алушы сценарийін елестетіңіз.
Бірақ кемшіліктерді елемеуге болмайды:
○ Жалғыз сәтсіздік нүктесіШлюз сәтсіз болса, бүкіл желі бойынша L3 байланысы парализ болады. VRRP (Virtual Router Redundancy Protocol) резервтеу үшін пайдаланылуы мүмкін болса да, ол әлі де қауіп төндіреді.
○Өнімділік кедергісіБарлық шығыс-батыс трафик (серверлер арасындағы байланыс) шлюзді айналып өтуі керек, нәтижесінде оңтайлы емес жол болады. Мысалы, 1000 түйінді кластерде, шлюз өткізу қабілеттілігі 100 Гбит/с болса, ең көп сағаттарда кептеліс орын алуы мүмкін.
○Нашар масштабтауЖелі масштабы ұлғайған сайын шлюз жүктемесі экспоненциалды түрде артады. Нақты мысалда мен орталықтандырылған шлюзді пайдаланатын қаржылық деректер орталығын көрдім. Бастапқыда ол бірқалыпты жұмыс істеді, бірақ VM саны екі еселенгеннен кейін кідіріс микросекундтардан миллисекундтарға дейін көтерілді.
Қолдану сценарийі: кәсіпорынның жеке бұлттары немесе сынақ желілері сияқты басқарудың қарапайымдылығын талап ететін орталар үшін қолайлы. Cisco компаниясының ACI архитектурасы негізгі шлюздердің тиімді жұмысын қамтамасыз ету үшін жапырақ-омыртқа топологиясымен біріктірілген орталықтандырылған модельді жиі пайдаланады.
Бөлінген VXLAN шлюзі
Бөлінген VXLAN шлюзі, сондай-ақ бөлінген шлюз немесе кез келген тарату шлюзі ретінде белгілі, шлюз функционалдығын әрбір жапырақ қосқышына немесе VTEP гипервизорына түсіреді. Әрбір VTEP жергілікті ішкі желі үшін L3 қайта жіберуді өңдейтін жергілікті шлюз ретінде әрекет етеді.
Принцип неғұрлым икемді: әрбір VTEP Anycast механизмі арқылы әдепкі шлюз сияқты бірдей виртуалды IP (VIP) арқылы конфигурацияланады. VM арқылы жіберілген кросс-ішкі желі пакеттері орталық нүкте арқылы өтпей-ақ, тікелей жергілікті VTEP-ге бағытталады. EVPN бұл жерде әсіресе пайдалы: BGP EVPN арқылы VTEP қашықтағы хосттардың маршруттарын үйренеді және ARP тасқынын болдырмау үшін MAC/IP байланыстыруды пайдаланады.
Мысалы, VM A (10.1.1.10) VM B (10.2.1.10) қол жеткізгісі келеді. VM A әдепкі шлюзі жергілікті VTEP (10.1.1.1) VIP болып табылады. Жергілікті VTEP тағайындалған ішкі желіге бағыттайды, VXLAN пакетін инкапсуляциялайды және оны тікелей VM B VTEP-ге жібереді. Бұл процесс жолды және кешіктіруді азайтады.
Керемет артықшылықтар:
○ Жоғары масштабтау мүмкіндігіШлюз функционалдығын әрбір түйінге тарату желі өлшемін арттырады, бұл үлкенірек желілер үшін тиімді. Google Cloud сияқты ірі бұлттық провайдерлер миллиондаған виртуалды құрылғыларды қолдау үшін ұқсас механизмді пайдаланады.
○Жоғары өнімділікКедергілерді болдырмау үшін шығыс-батыс трафик жергілікті түрде өңделеді. Сынақ деректері бөлінген режимде өткізу қабілеттілігінің 30%-50%-ға артуы мүмкін екенін көрсетеді.
○Ақаулықты жылдам қалпына келтіруЖалғыз VTEP қатесі тек жергілікті хостқа әсер етіп, басқа түйіндерді әсер етпей қалдырады. EVPN жылдам конвергенциясымен біріктірілген қалпына келтіру уақыты секундтарда.
○Ресурстарды жақсы пайдалануЖіберу жылдамдығы Tbps деңгейіне жететін аппараттық құралдарды жеделдету үшін бар Leaf switch ASIC чипін пайдаланыңыз.
Қандай кемшіліктері бар?
○ Күрделі конфигурацияӘрбір VTEP маршруттау, EVPN және басқа мүмкіндіктерді конфигурациялауды талап етеді, бұл бастапқы орналастыруды уақытты қажет етеді. Операциялық топ BGP және SDN-мен таныс болуы керек.
○Жоғары аппараттық талаптарБөлінген шлюз: барлық қосқыштар таратылған шлюздерді қолдамайды; Broadcom Trident немесе Tomahawk чиптері қажет. Бағдарламалық құралды іске асыру (мысалы, KVM-дегі OVS) аппараттық құрал сияқты жақсы жұмыс істемейді.
○Жүйелілік қиындықтарыБөлінген күй синхрондау EVPN-ге негізделгенін білдіреді. Егер BGP сеансы өзгерсе, ол бағыттаушы қара тесікті тудыруы мүмкін.
Қолдану сценарийі: Гипер масштабты деректер орталықтары немесе жалпы бұлттар үшін өте қолайлы. VMware NSX-T таратылған маршрутизаторы әдеттегі мысал болып табылады. Kubernetes-пен біріктірілген ол контейнерлік желіні үздіксіз қолдайды.
Орталықтандырылған VxLAN шлюзіне қарсы. Бөлінген VxLAN шлюзі
Енді шарықтау шегі: қайсысы жақсы? Жауап «бұл байланысты», бірақ біз сізді сендіру үшін деректер мен мысалдарды терең зерттеуіміз керек.
Өнімділік тұрғысынан бөлінген жүйелердің өнімділігі айқын. Әдеттегі деректер орталығының эталонында (Spirent сынақ жабдығына негізделген) орталықтандырылған шлюздің орташа кідірісі 150μс болды, ал бөлінген жүйенікі небәрі 50μс болды. Өткізу қабілеті бойынша бөлінген жүйелер желілік жылдамдықты бағыттауға оңай қол жеткізе алады, өйткені олар Spine-Leaf Equal Cost Multi-Path (ECMP) маршруттауын пайдаланады.
Масштабтау - бұл тағы бір ұрыс алаңы. Орталықтандырылған желілер 100-500 түйіндері бар желілер үшін қолайлы; бұл ауқымнан тыс таратылған желілер басымдыққа ие болады. Мысалы, Alibaba Cloud-ты алайық. Олардың VPC (Virtual Private Cloud) бір аймақтық кідірісі 1 мс аспайтын бүкіл әлем бойынша миллиондаған пайдаланушыларды қолдау үшін бөлінген VXLAN шлюздерін пайдаланады. Орталықтандырылған тәсіл әлдеқашан құлап кетер еді.
Құны туралы не деуге болады? Орталықтандырылған шешім тек бірнеше жоғары деңгейлі шлюздерді қажет ететін төмен бастапқы инвестицияларды ұсынады. Бөлінген шешім VXLAN түсіруін қолдау үшін барлық жапырақ түйіндерін талап етеді, бұл аппараттық құралды жаңарту шығындарының жоғарылауына әкеледі. Дегенмен, ұзақ мерзімді перспективада, Ansible сияқты автоматтандыру құралдары пакеттік конфигурацияны қосатындықтан, бөлінген шешім төменірек жөндеу және жөндеу шығындарын ұсынады.
Қауіпсіздік және сенімділік: Орталықтандырылған жүйелер орталықтандырылған қорғанысты жеңілдетеді, бірақ бір шабуыл нүктелерінің жоғары қаупін тудырады. Бөлінген жүйелер икемді, бірақ DDoS шабуылдарының алдын алу үшін сенімді басқару ұшағын қажет етеді.
Нақты жағдайды зерттеу: электрондық коммерция компаниясы өз сайтын құру үшін орталықтандырылған VXLAN пайдаланды. Ең жоғары кезеңдерде шлюз процессорын пайдалану 90%-ға дейін өсті, бұл пайдаланушылардың кідіріс туралы шағымдарына әкелді. Бөлінген үлгіге ауысу мәселені шешіп, компанияға масштабты оңай екі еселеуге мүмкіндік берді. Керісінше, шағын банк орталықтандырылған модельді талап етті, өйткені олар сәйкестік аудитіне басымдық берді және орталықтандырылған басқаруды жеңілдетеді.
Жалпы, егер сіз желілік өнімділік пен ауқымды іздесеңіз, таратылған тәсіл - бұл баратын жол. Егер сіздің бюджетіңіз шектеулі болса және басқару тобыңызда тәжірибе болмаса, орталықтандырылған тәсіл тиімдірек. Болашақта 5G және шеткі есептеулердің өсуімен бөлінген желілер танымал болады, бірақ орталықтандырылған желілер филиалдар арасындағы байланыс сияқты нақты сценарийлерде әлі де құнды болады.
Mylinking™ желілік пакет брокерлеріVxLAN, VLAN, GRE, MPLS тақырыбын жоюды қолдайды
Бастапқы деректер пакетінде жойылған және қайта жіберілген шығыс VxLAN, VLAN, GRE, MPLS тақырыбына қолдау көрсетіледі.
Хабарлама уақыты: 09 қазан 2025 ж
