VXLAN шлюзлары турында фикер алышу өчен, без башта VXLANның үзен тикшерергә тиешбез. Исегезгә төшерик, традицион VLANлар (Виртуаль Локаль Челтәрләр) челтәрләрне бүлү өчен 12-битлы VLAN ID'ларын кулланалар, 4096 га кадәр логик челтәрләрне хуплыйлар. Бу кечкенә челтәрләр өчен яхшы эшли, ләкин заманча мәгълүмат үзәкләрендә, меңләгән виртуаль машиналар, контейнерлар һәм күп арендаторлы мохит белән, VLAN'лар җитәрлек түгел. VXLAN барлыкка килде, RFC 7348'дә Интернет Инженерлыгы Эшче Төркеме (IETF) тарафыннан билгеләнде. Аның максаты - UDP туннельләрен кулланып, 2 нче катлам (Ethernet) тапшыру доменын 3 нче катлам (IP) челтәрләре аша киңәйтү.
Гади итеп әйткәндә, VXLAN UDP пакетлары эчендә Ethernet кадрларын капсулалый һәм 24-битлы VXLAN челтәр идентификаторын (VNI) өсти, ул теоретик яктан 16 миллион виртуаль челтәрне хуплый. Бу һәр виртуаль челтәргә "идентификация картасы" бирү кебек, аларга бер-берсенә комачауламыйча физик челтәрдә ирекле хәрәкәт итәргә мөмкинлек бирә. VXLANның төп компоненты - пакетларны капсулалаштыру һәм декапсуляцияләү өчен җаваплы булган VXLAN туннел ахыры ноктасы (VTEP). VTEP программа тәэминаты (мәсәлән, Open vSwitch) яки аппарат тәэминаты (мәсәлән, коммутатордагы ASIC чипы) булырга мөмкин.
Ни өчен VXLAN шулкадәр популяр? Чөнки ул болыт исәпләүләре һәм SDN (Программа белән билгеләнгән челтәр) ихтыяҗларына тулысынча туры килә. AWS һәм Azure кебек ачык болытларда VXLAN арендаторларның виртуаль челтәрләрен өзлексез киңәйтергә мөмкинлек бирә. Шәхси мәгълүмат үзәкләрендә ул VMware NSX яки Cisco ACI кебек өстәмә челтәр архитектураларын хуплый. Һәрберсендә дистәләгән виртуаль машиналар (Виртуаль машиналар) эшли торган меңләгән серверлы мәгълүмат үзәген күз алдыгызга китерегез. VXLAN бу виртуаль машиналарга үзләрен бер үк 2 нче катлам челтәренең бер өлеше итеп кабул итәргә мөмкинлек бирә, ARP тапшыруларының һәм DHCP сорауларының өзлексез тапшырылуын тәэмин итә.
Шулай да, VXLAN - бу панацея түгел. L3 челтәрендә эшләү өчен L2-дән L3-кә үзгәртү кирәк, нәкъ менә монда шлюз мөһим роль уйный. VXLAN шлюзы VXLAN виртуаль челтәрен тышкы челтәрләр (мәсәлән, традицион VLAN яки IP маршрутизация челтәрләре) белән тоташтыра, виртуаль дөньядан реаль дөньяга мәгълүмат агымын тәэмин итә. Юллау механизмы - шлюзның йөрәге һәм җаны, ул пакетларның ничек эшкәртелүен, юнәлтелүен һәм таратылуын билгели.
VXLAN җибәрү процессы нечкә балет кебек, чыганактан билгеләнгән урынга кадәрге һәр адым тыгыз бәйләнгән. Әйдәгез, аны адым саен җентекләп аңлатыйк.
Башта пакет чыганак хосттан (мәсәлән, виртуаль машина) җибәрелә. Бу - чыганак MAC адресын, максат MAC адресын, VLAN тегын (әгәр бар икән) һәм файдалы йөкләнешне үз эченә алган стандарт Ethernet кадры. Бу кадрны алгач, чыганак VTEP максат MAC адресын тикшерә. Әгәр максат MAC адресы аның MAC таблицасында булса (өйрәнү яки су басу аша алынган), ул пакетны кайсы ерак VTEPка җибәрергә кирәклеген белә.
Инкапсуляция процессы бик мөһим: VTEP VXLAN башлыгын (VNI, флаглар һ.б. кертеп), аннары тышкы UDP башлыгын (эчке кадрның хэшына нигезләнгән чыганак порты һәм 4789 билгеләнгән максат порты белән), IP башлыгын (җирле VTEP чыганак IP адресы һәм ерактагы VTEPның максат IP адресы белән) һәм, ниһаять, тышкы Ethernet башлыгын өсти. Хәзер бөтен пакет UDP/IP пакеты буларак күренә, гадәти трафик кебек күренә һәм L3 челтәрендә маршрутлаштырылырга мөмкин.
Физик челтәрдә пакет маршрутизатор яки коммутатор тарафыннан билгеләнгән VTEPка барып җиткәнче җибәрелә. Билгеләнгән VTEP тышкы башлыкны аера, VNI туры килүен тикшерү өчен VXLAN башлыгын тикшерә, аннары эчке Ethernet кадрын билгеләнгән хостка җибәрә. Әгәр пакет билгесез уникаст, трансляция яки күпкаст (BUM) трафигы булса, VTEP пакетны барлык тиешле VTEPларга күпкаст төркемнәренә яки уникаст башлык репликациясенә (HER) таянып, су басу ярдәмендә күчерә.
Экспедицияләү принцибының төп өлеше - идарә итү яссылыгын һәм мәгълүмат яссылыгын аеру. Идарә итү яссылыгы MAC һәм IP карталаштыруларын өйрәнү өчен Ethernet VPN (EVPN) яки Flood and Learn механизмын куллана. EVPN BGP протоколына нигезләнгән һәм VTEPларга MAC-VRF (Виртуаль маршрутлаштыру һәм экспедицияләү) һәм IP-VRF кебек маршрутлаштыру мәгълүматы белән алмашырга мөмкинлек бирә. Мәгълүмат яссылыгы нәтиҗәле тапшыру өчен VXLAN туннельләрен кулланып, чын экспедицияләү өчен җаваплы.
Ләкин, чынбарлыкта, җибәрү нәтиҗәлелеге турыдан-туры эшчәнлеккә тәэсир итә. Традицион су басу җиңел генә тапшыру давылларына китерергә мөмкин, бигрәк тә зур челтәрләрдә. Бу шлюзларны оптимизацияләү кирәклегенә китерә: шлюзлар эчке һәм тышкы челтәрләрне тоташтырып кына калмый, ә прокси ARP агентлары булып та эшли, маршрут агып чыгуларын эшкәртә һәм иң кыска җибәрү юлларын тәэмин итә.
Үзәкләштерелгән VXLAN шлюзы
Үзәкләштерелгән VXLAN шлюзы, шулай ук үзәкләштерелгән шлюз яки L3 шлюзы дип тә атала, гадәттә мәгълүмат үзәгенең кырые яки үзәк катламында урнаштырыла. Ул үзәк хаб булып эшли, аның аша барлык VNI яки челтәр аша трафик үтәргә тиеш.
Принцип буенча, үзәкләштерелгән шлюз барлык VXLAN челтәрләре өчен 3 нче катлам маршрутлаштыру хезмәтләрен күрсәтүче төп шлюз булып хезмәт итә. Ике VNI карап чыгыйк: VNI 10000 (10.1.1.0/24 субчелтәр) һәм VNI 20000 (10.2.1.0/24 субчелтәр). Әгәр VNI 10000 эчендәге VM A VNI 20000 эчендәге VM B га керергә теләсә, пакет башта җирле VTEPка барып җитә. Җирле VTEP максатлы IP адресының җирле субчелтәрдә булмавын ачыклый һәм аны үзәкләштерелгән шлюзга җибәрә. Шлюз пакетны капсуладан чыгара, маршрутлаштыру турында карар кабул итә, аннары пакетны максатлы VNI га бару туннеленә кире капсулалый.
Өстенлекләре ачык:
○ Гади идарә итүБарлык маршрутлаштыру конфигурацияләре бер яки ике җайланмада үзәкләштерелгән, бу операторларга бөтен челтәрне каплау өчен берничә шлюзны гына сакларга мөмкинлек бирә. Бу ысул VXLANны беренче тапкыр урнаштырган кечкенә һәм урта зурлыктагы мәгълүмат үзәкләре яки мохитләр өчен яраклы.
○Ресурсларны нәтиҗәле куллануШлюзлар, гадәттә, зур күләмдәге трафикны эшкәртә алырлык югары җитештерүчәнлекле җиһазлар (мәсәлән, Cisco Nexus 9000 яки Arista 7050). Идарә итү дәрәҗәсе үзәкләштерелгән, бу NSX Manager кебек SDN контроллерлары белән интеграцияне җиңеләйтә.
○Көчле куркынычсызлык контролеТрафик шлюз аша үтәргә тиеш, бу ACL (Керүне контрольдә тоту исемлекләре), брандмауэрлар һәм NAT гамәлгә ашыруны җиңеләйтә. Үзәкләштерелгән шлюз арендатор трафигын җиңел генә изоляцияли алган күп арендаторлы сценарийны күз алдыгызга китерегез.
Ләкин җитешсезлекләрне дә игътибарсыз калдырып булмый:
○ Бер генә уңышсызлык ноктасыӘгәр шлюз эшләмәсә, бөтен челтәр буенча L3 элемтәсе параличлана. VRRP (Виртуаль маршрутизаторның резервлау протоколы) резервлау өчен кулланылса да, ул барыбер куркыныч тудыра.
○Эшчәнлекнең чикләнгәнлегеКөнчыгыш-көнбатыш трафигы (серверлар арасындагы элемтә) шлюзны урап узарга тиеш, нәтиҗәдә юл оптималь түгел. Мәсәлән, 1000 төенле кластерда, әгәр шлюзның үткәрүчәнлек киңлеге 100 Гбит/с булса, пик сәгатьләрендә тыгызлык барлыкка килергә мөмкин.
○Масштаблау мөмкинлеге начарЧелтәр масштабы үскән саен, шлюз йөкләнеше экспоненциаль рәвештә арта. Чынбарлыктагы мисалда мин финанс мәгълүмат үзәгенең үзәкләштерелгән шлюз куллануын күрдем. Башта ул шома эшләде, ләкин виртуаль машиналар саны икеләтә артканнан соң, тоткарлык микросекундлардан миллисекундларга кадәр кискен артты.
Кушымта сценарийы: Югары идарә итү гадилеген таләп итүче мохитләр өчен яраклы, мәсәлән, шәхси болытлар яки тест челтәрләре. Cisco'ның ACI архитектурасы еш кына үзәк шлюзларның нәтиҗәле эшләвен тәэмин итү өчен яфрак-умыртка топологиясе белән берләштерелгән үзәкләштерелгән модельне куллана.
Таратылган VXLAN шлюзы
Таратылган VXLAN шлюзы, шулай ук таратылган шлюз яки теләсә нинди җибәрү шлюзы дип тә атала, шлюз функциясен һәр яфрак коммутаторына яки гипервизор VTEPка йөкли. Һәр VTEP локаль шлюз булып эшли, локаль челтәр өчен L3 җибәрүен эшкәртә.
Принцип күбрәк сыгылмалы: һәр VTEP Anycast механизмын кулланып, гадәти шлюз кебек үк виртуаль IP (VIP) белән конфигурацияләнә. VMлар тарафыннан җибәрелгән челтәрара пакетлар үзәк нокта аша үтмичә, турыдан-туры җирле VTEPка юнәлтелә. EVPN монда аеруча файдалы: BGP EVPN аша VTEP ерак хостларның маршрутларын өйрәнә һәм ARP ташкыныннан саклану өчен MAC/IP бәйләнешен куллана.
Мәсәлән, VM A (10.1.1.10) VM B (10.2.1.10) га керергә тели. VM A'ның гадәти шлюзы - җирле VTEP'ның (10.1.1.1) VIP адресы. Җирле VTEP максатлы челтәргә юнәлтелә, VXLAN пакетын капсулалый һәм аны турыдан-туры VM B'ның VTEP'ына җибәрә. Бу процесс юлны һәм тоткарлыкны минимальләштерә.
Күренекле өстенлекләр:
○ Югары масштабланучанлыкҺәр төенгә шлюз функциональлеген бүлү челтәр күләмен арттыра, бу зуррак челтәрләр өчен файдалы. Google Cloud кебек зур болыт провайдерлары миллионлаган виртуаль машиналарны хуплау өчен охшаш механизм кулланалар.
○Югарырак күрсәткечләрКөнчыгыш-көнбатыш трафигы тыгылуларны булдырмас өчен җирле рәвештә эшкәртелә. Тест мәгълүматлары күрсәткәнчә, таратылган режимда үткәрүчәнлек 30%-50% ка артырга мөмкин.
○Тиз хаталарны төзәтүБер VTEP эшләмәү бары тик җирле хостка гына тәэсир итә, башка төеннәргә тәэсир итми. EVPN тиз конвергенциясе белән бергә, торгызылу вакыты секундларда исәпләнә.
○Ресурсларны яхшы куллануАппарат тизләтүе өчен гамәлдәге Leaf switch ASIC чипын кулланыгыз, җибәрү тизлеге Tbps дәрәҗәсенә җитә.
Нинди кимчелекләр бар?
○ Катлаулы конфигурацияҺәр VTEP маршрутлаштыру, EVPN һәм башка функцияләрне конфигурацияләүне таләп итә, бу башлангыч урнаштыруны вакытны ала. Операцияләр төркеме BGP һәм SDN белән таныш булырга тиеш.
○Югары җиһаз таләпләреТаратылган шлюз: Барлык коммутаторлар да таратылган шлюзларны хупламый; Broadcom Trident яки Tomahawk чиплары кирәк. Программа тәэминаты реализацияләре (мәсәлән, KVMдагы OVS) җиһазлар кебек үк яхшы эшләми.
○Эзлеклелек проблемаларыТаратылган дигән сүз, халәт синхронизациясе EVPNга бәйле дигәнне аңлата. Әгәр BGP сессиясе тирбәлсә, бу маршрутлаштыруда кара тишек барлыкка китерергә мөмкин.
Кушымта сценарийы: Гипермасштаблы мәгълүмат үзәкләре яки гомуми болытлар өчен идеаль. VMware NSX-T'ның таратылган маршрутизаторы - типик мисал. Kubernetes белән берлектә, ул контейнер челтәрен җиңел хуплый.
Үзәкләштерелгән VxLAN шлюзы һәм таратылган VxLAN шлюзы
Хәзер кульминациягә күчик: кайсысы яхшырак? Җавап - "бу хәлгә бәйле", ләкин сезне ышандыру өчен безгә мәгълүматларны һәм очракларны тирәнтен өйрәнергә кирәк.
Эшчәнлек ягыннан караганда, таратылган системалар, һичшиксез, яхшырак эшли. Гадәти мәгълүмат үзәге эталонында (Spirent тест җиһазларына нигезләнгән), үзәкләштерелгән шлюзның уртача тоткарлыгы 150 мкс иде, ә таратылган системаныкы нибары 50 мкс иде. Үткәрүчәнлек ягыннан таратылган системалар линия тизлегендә җибәрүгә җиңел ирешә ала, чөнки алар Умыртка яфрагы тигез бәяле күп юллы (ECMP) маршрутизациясен кулланалар.
Масштаблау - тагын бер көрәш мәйданы. Үзәкләштерелгән челтәрләр 100-500 төенле челтәрләр өчен яраклы; бу масштабтан тыш, таратылган челтәрләр өстенлек ала. Мәсәлән, Alibaba Cloud алыйк. Аларның VPC (Виртуаль Шәхси Болыт) бөтен дөнья буенча миллионлаган кулланучыларны тәэмин итү өчен таратылган VXLAN шлюзларын куллана, бер төбәк өчен тоткарлык 1 мс тан да кимрәк. Үзәкләштерелгән ысул күптән юкка чыгар иде.
Ә бәя турында нәрсә әйтеп була? Үзәкләштерелгән чишелеш башлангыч инвестицияләрне түбәнрәк тәкъдим итә, бары тик берничә югары дәрәҗәдәге шлюз гына таләп итә. Таратылган чишелеш VXLAN йөкләнешен тәэмин итү өчен барлык яфрак төеннәрен таләп итә, бу исә җиһазларны яңарту чыгымнарының артуына китерә. Ләкин, озак вакытлы перспективада, таратылган чишелеш түбәнрәк O&M чыгымнарын тәкъдим итә, чөнки Ansible кебек автоматлаштыру кораллары пакет конфигурациясен мөмкин итә.
Куркынычсызлык һәм ышанычлылык: Үзәкләштерелгән системалар үзәкләштерелгән яклауны тәэмин итә, ләкин бер нокталы һөҗүм куркынычы югары. Таратылган системалар чыдамрак, ләкин DDoS һөҗүмнәрен булдырмау өчен ныклы контроль планын таләп итә.
Чынбарлыктагы очракны өйрәнү: Электрон коммерция компаниясе үз сайтын төзү өчен үзәкләштерелгән VXLAN кулланган. Иң югары чорда шлюз процессорын куллану 90% ка кадәр арткан, бу кулланучыларның тоткарлык турында зарлануларына китерде. Таратылган модельгә күчү проблеманы хәл итте, бу компаниягә үз масштабын икеләтә арттырырга мөмкинлек бирде. Киресенчә, кечкенә банк үзәкләштерелгән модельдә нык торды, чөнки алар туры килү аудитларына өстенлек бирделәр һәм үзәкләштерелгән идарә итүне җиңелрәк дип таптылар.
Гомумән алганда, әгәр сез экстремаль челтәр җитештерүчәнлеге һәм масштабы эзлисез икән, таратылган алым - иң яхшы ысул. Әгәр сезнең бюджетыгыз чикле булса һәм идарә итү командагызда тәҗрибә җитмәсә, үзәкләштерелгән алым күбрәк гамәли. Киләчәктә, 5G һәм кырый исәпләүләренең үсеше белән, таратылган челтәрләр тагын да популярлашачак, ләкин үзәкләштерелгән челтәрләр билгеле бер сценарийларда, мәсәлән, филиалларны тоташтыруда, файдалы булачак.
Mylinking™ челтәр пакет брокерларыVxLAN, VLAN, GRE, MPLS башлыкларын чистартуны хуплый
Башлангыч мәгълүмат пакетында VxLAN, VLAN, GRE, MPLS башлыгын хуплады һәм чыгышны юнәлтте.
Бастырылган вакыты: 2025 елның 9 октябре
