VXLAN шлюзлары турында сөйләшү өчен, без башта VXLAN турында сөйләшергә тиеш. Исегездә тотыгыз, традицион VLANлар (Виртуаль җирле челтәрләр) челтәрләрне бүлү өчен 12 битле VLAN ID кулланалар, 4096 логик челтәргә булышалар. Бу кечкенә челтәрләр өчен яхшы эшли, ләкин заманча мәгълүмат үзәкләрендә, меңләгән виртуаль машиналар, контейнерлар һәм күп резидентлы мохит белән VLANлар җитәрлек түгел. VXLAN туды, RFC 7348 интернет-инженерлык төркеме (IETF) тарафыннан билгеләнде. Аның максаты - 2-нче кат (Ethernet) тапшыру доменын UDP туннельләре ярдәмендә 3-нче кат (IP) челтәре аша киңәйтү.
Гади генә итеп әйткәндә, VXLAN UDP пакетлары эчендә Ethernet рамкаларын туплый һәм 24 битлы VXLAN челтәр идентификаторы (VNI) өсти, теоретик яктан 16 миллион виртуаль челтәрне тәэмин итә. Бу һәр виртуаль челтәргә "шәхес таныклыгы" биргәнгә охшаган, физик челтәрдә бер-берсенә комачауламыйча иркен йөрергә мөмкинлек бирә. VXLANның төп компоненты - VXLAN туннель ахыры ноктасы (VTEP), ул пакетларны каплау һәм декапсуляцияләү өчен җаваплы. VTEP программа тәэминаты (Ачык vSwitch кебек) яки җиһаз булырга мөмкин (мәсәлән, ачкычтагы ASIC чип).
Ни өчен VXLAN популяр? Чөнки ул болыт исәпләү һәм SDN (Программа белән билгеләнгән челтәр) ихтыяҗларына бик яхшы туры килә. AWS һәм Azure кебек ачык болытларда VXLAN арендаторларның виртуаль челтәрләрен өзлексез киңәйтергә мөмкинлек бирә. Шәхси мәгълүмат үзәкләрендә ул VMware NSX яки Cisco ACI кебек челтәр архитектурасын каплый. Меңләгән серверлар булган мәгълүмат үзәген күз алдыгызга китерегез, аларның һәрберсе дистәләгән VM эшли (Виртуаль Машиналар). VXLAN бу VMларга үзләрен шул ук Катлам 2 челтәренең бер өлеше итеп кабул итәргә мөмкинлек бирә, ARP тапшыруларының һәм DHCP запросларының шома тапшыруын тәэмин итә.
Ләкин, VXLAN паника түгел. L3 челтәрендә эшләү L2-to-L3 конверсиясен таләп итә, ул шлюз керә торган урында. VXLAN шлюзы VXLAN виртуаль челтәрен тышкы челтәрләр белән тоташтыра (традицион VLAN яки IP маршрут челтәре кебек), виртуаль дөньядан реаль дөньяга мәгълүмат агымын тәэмин итә. Экспедиция механизмы - капкаларның йөрәге һәм җаны, пакетларның ничек эшкәртелүен, юнәлешләнүен һәм таратылуын билгели.
VXLAN җибәрү процессы нечкә балетка охшаган, чыганактан максатка кадәр һәр адым тыгыз бәйләнгән. Әйдәгез аны адым саен өзик.
Беренчедән, пакет чыганак хуҗасыннан җибәрелә (мәсәлән, VM). Бу стандарт Ethernet рамкасы, чыганак MAC адресын, юнәлтелгән MAC адресын, VLAN тегын (бар икән) һәм йөкне үз эченә ала. Бу кадрны алгач, VTEP чыганагы MAC адресын тикшерә. Әгәр дә MAC адресы аның MAC таблицасында булса (өйрәнү яки су басу аша алынган), ул пакетны кайсы дистанцион VTEPка җибәрүен белә.
Анкапсуляция процессы бик мөһим: VTEP VXLAN башламын өсти (шул исәптән VNI, флаглар һ.б.), аннары тышкы UDP башы (эчке рамка хэшенә нигезләнгән чыганак порты һәм 4789 билгеләнгән порт), IP башы (җирле VTEP чыганагы IP адресы һәм ахыр чиктә VTEP читендәге IP адресы). Бөтен пакет хәзер UDP / IP пакеты булып күренә, гадәти трафикка охшаган, һәм L3 челтәрендә юнәлтелергә мөмкин.
Физик челтәрдә пакет роутер яки VTEP билгеләнгән урынга кадәр күчерелә. Максат VTEP тышкы башны кисеп ала, VNL туры килүен тикшерү өчен VXLAN башын тикшерә, аннары эчке Этернет рамкасын максат хуҗасына китерә. Әгәр дә пакет уникаст, трансляция яки мультикаст (BUM) трафик билгесез булса, VTEP пакетны су басу ярдәмендә барлык тиешле VTEPларга күчерә, күпкатлы төркемнәргә яки уникаст баш репликасына (HER) таянып.
Алга җибәрү принцибының асылы - контроль яссылыкны һәм мәгълүмат яссылыгын аеру. Контроль яссылык Ethernet VPN (EVPN) яки Туфан һәм MAC һәм IP карталарын өйрәнү механизмын куллана. EVPN BGP протоколына нигезләнгән һәм VTEPларга MAC-VRF (Виртуаль Маршрут һәм Алга җибәрү) һәм IP-VRF кебек маршрут мәгълүматларын алмашырга мөмкинлек бирә. Эффектив тапшыру өчен VXLAN тоннельләрен кулланып, мәгълүмат яссылыгы фактик җибәрү өчен җаваплы.
Ләкин, фактик урнаштыруда, җибәрү эффективлыгы турыдан-туры эшкә тәэсир итә. Традицион су басу җиңел эфир бураннарына китерергә мөмкин, аеруча зур челтәрләрдә. Бу шлюзны оптимизацияләү кирәклегенә китерә: шлюзлар эчке һәм тышкы челтәрләрне тоташтырып кына калмый, прокси ARP агентлары булып та эшлиләр, маршрут агып чыгу белән идарә итәләр, һәм кыска юлларны тәэмин итәләр.
Xзәкләштерелгән VXLAN шлюзы
Xзәкләштерелгән VXLAN шлюзы, шулай ук үзәкләштерелгән шлюз яки L3 шлюз дип атала, гадәттә мәгълүмат үзәгенең читенә яки төп катламына урнаштырыла. Ул үзәк үзәк ролен башкара, алар аша барлык VNI яки кросс-субнет трафик үтәргә тиеш.
Принципта, үзәкләштерелгән шлюз барлык VXLAN челтәрләре өчен 3 нче катлы маршрут хезмәтләрен күрсәтеп, демократик шлюз булып эшли. Ике VNIны карап чыгыйк: VNI 10000 (10.1.1.0/24 субнет) һәм VNI 20000 (10.2.1.0/24 субнеты). VNI 10000-дә VM A VNI 20000-дә VM B-ка керергә теләсә, пакет башта җирле VTEPка барып җитә. Localирле VTEP билгеләнгән IP адресның җирле субнетта түгеллеген ачыклый һәм аны үзәкләштерелгән шлюзка җибәрә. Шлюз пакетны декапуляцияли, юнәлешле карар кабул итә, аннары пакетны VNI юнәлешендәге тоннельгә кабат урнаштыра.
Өстенлекләре ачык:
○ Гади идарә итүБарлык маршрут конфигурацияләре бер яки ике җайланмада үзәкләштерелгән, бу операторларга бөтен челтәрне каплау өчен берничә шлюзны гына сакларга мөмкинлек бирә. Бу ысул беренче тапкыр VXLAN урнаштыручы кечкенә һәм урта мәгълүмат үзәкләре яки мохит өчен яраклы.
○Ресурс эффективШлюзлар гадәттә югары җитештерүчән җиһазлар (мәсәлән, Cisco Nexus 9000 яки Arista 7050) күп күләмдә трафик белән эш итә ала. Контроль яссылык үзәкләштерелгән, NSX менеджеры кебек SDN контроллерлары белән интеграцияләнүне җиңеләйтә.
○Көчле куркынычсызлык контролеТрафик шлюз аша үтәргә тиеш, ACL-ны (керү контроле исемлеге), ут саклагычларын һәм NATны җиңеләйтә. Күп фатирлы сценарийны күз алдыгызга китерегез, анда үзәкләштерелгән шлюз арендаторлар хәрәкәтен җиңел аера ала.
Ләкин кимчелекләрне игътибарсыз калдырырга ярамый:
Failure Уңышсызлыкның бер ноктасыШлюз эшләмәсә, бөтен челтәр буенча L3 элемтә параличланган. VRRP (Виртуаль Роутер Артык Протокол) артык куллану өчен кулланылса да, ул әле дә куркыныч тудыра.
○СпектакльБарлык көнчыгыш-көнбатыш трафикы (серверлар арасындагы элемтә) капка аша үтәргә тиеш, нәтиҗәдә субоптималь юл. Мәсәлән, 1000 төенле кластерда, шлюзның киңлеге 100 Гб / с булса, тыгызлык иң югары вакытта булырга мөмкин.
○Начар масштабЧелтәр масштабы үсә барган саен, шлюз йөге тиз арта. Реаль дөнья мисалында, мин үзәкләштерелгән шлюз ярдәмендә финанс мәгълүмат үзәген күрдем. Башта ул шома эшләде, ләкин VM саны икеләтә артканнан соң, микросекундлардан миллисекундка кадәр яшеренлек артты.
Кушымта сценариясе: югары идарә итү гадилеген таләп иткән мохит өчен яраклы, мәсәлән, предприятиянең шәхси болытлары яки сынау челтәрләре. Cisco-ның ACI архитектурасы еш үзәкләштерелгән модель куллана, яфрак-умыртка топологиясе белән кушылып, төп шлюзларның эффектив эшләвен тәэмин итә.
VXLAN шлюзы таратылды
Таркатылган VXLAN шлюзы, шулай ук таратылган шлюз яки теләсә нинди шлюз буларак та билгеле, һәр яфрак ачкычына яки VTEP гипервизорына шлюз функциясен йөкли. Eachәрбер VTEP җирле шлюз булып эшли, җирле субнет өчен L3 җибәрүне эшкәртә.
Принцип тагын да сыгылучан: һәр VTEP Anycast механизмын кулланып, виртуаль IP (VIP) белән килешенгән шлюз белән конфигурацияләнгән. VM җибәргән кросс-субнет пакетлар турыдан-туры җирле VTEP юнәлешендә, үзәк нокта аша узмыйча. EVPN монда аеруча файдалы: BGP EVPN аша VTEP ерак хуҗаларның маршрутларын өйрәнә һәм ARP су басудан саклану өчен MAC / IP бәйләү куллана.
Мәсәлән, VM A (10.1.1.10) VM B (10.2.1.10) керергә тели. VM A-ның демократик шлюзы - җирле VTEPның VIP (10.1.1.1). Localирле VTEP юнәлеш субнетына юл тота, VXLAN пакетын каплый һәм аны турыдан-туры VM B VTEP җибәрә. Бу процесс юлны һәм яшеренлекне киметә.
Күренекле өстенлекләр:
○ scгары масштаблылыкNәрбер төенгә шлюз функциясен тарату челтәр күләмен арттыра, бу зур челтәрләр өчен файдалы. Google Cloud кебек зур болыт провайдерлары миллионлаган VM-ны тәэмин итү өчен шундый ук механизм кулланалар.
○Supгары күрсәткечКөнчыгыш-көнбатыш хәрәкәте комачаулыклардан саклану өчен җирле эшкәртелә. Тест мәгълүматлары күрсәткәнчә, таратылган режимда үткәрү 30% -50% ка артырга мөмкин.
○Хаталарны тиз торгызуБер VTEP уңышсызлыгы җирле хуҗага гына кагыла, бүтән төеннәргә тәэсир итми. EVPNның тиз конвергенциясе белән берлектә, торгызу вакыты секундларда.
○Ресурсларны яхшы куллануХәзерге вакытта яфрак ачкыч ASIC чипын җиһаз тизләтү өчен кулланыгыз, җибәрү ставкалары Tbps дәрәҗәсенә җитә.
Нинди кимчелекләр бар?
○ Катлаулы конфигурацияEachәрбер VTEP маршрут конфигурациясе, EVPN һәм башка үзенчәлекләр таләп итә, башлангыч урнаштыру вакыт таләп итә. Операция төркеме BGP һәм SDN белән таныш булырга тиеш.
○Hardwareгары җиһаз таләпләреТаркатылган шлюз: Барлык ачкычлар да таратылган шлюзларга булышмый. Broadcom Trident яки Tomahawk чиплары кирәк. Программаны тормышка ашыру (мәсәлән, КВМдагы ОВС) җиһаз кебек үк эшләми.
○Эзлекле проблемаларТаркатылган дәүләт синхронизациясе EVPNга таяна дигән сүз. Әгәр BGP сессиясе үзгәрсә, ул кара тишеккә китерергә мөмкин.
Кушымта сценариясе: гиперскаль мәгълүмат үзәкләре яки җәмәгать болытлары өчен бик яхшы. VMware NSX-T таратылган роутер - гадәти мисал. Кубернетес белән берлектә, ул контейнер челтәрен тоташтыра.
Xзәкләштерелгән VxLAN шлюзы vs. таратылган VxLAN шлюзы
Хәзер кульминациягә: кайсысы яхшырак? Itавап "бу бәйле", ләкин сезне ышандырыр өчен без мәгълүматларга һәм очракларга тирәнтен керергә тиеш.
Эшчәнлек күзлегеннән караганда, таратылган системалар ачыктан-ачык. Типик мәгълүмат үзәгенең эскәмиясендә (Спирент сынау җиһазларына нигезләнеп), үзәкләштерелгән шлюзның уртача озынлыгы 150μs, таратылган системаның системасы 50μs гына иде. Керү ягыннан таратылган системалар җиңел сызык ставкасына ирешә алалар, чөнки алар умыртка яфрагы тигез бәя күп юл (ECMP) маршрутын кулланалар.
Масштаблылык - тагын бер сугыш мәйданы. -5зәкләштерелгән челтәрләр 100-500 төенле челтәрләр өчен яраклы; бу масштабтан тыш, таратылган челтәрләр өстенлек итә. Мәсәлән, Алибаба Болытын алыгыз. Аларның VPC (Виртуаль Шәхси Болыт) таратылган VXLAN шлюзларын куллана, бөтен дөнья буенча миллионлаган кулланучыларга ярдәм күрсәтү өчен, бер регионның озынлыгы 1м. Centralзәкләштерелгән алым күптән җимерелгән булыр иде.
Кыйммәт турында нәрсә әйтеп була? Centralзәкләштерелгән чишелеш түбән башлангыч инвестицияләр тәкъдим итә, берничә югары шлюзны гына таләп итә. Бәйләнгән чишелеш барлык яфрак төеннәрен VXLAN йөкләүгә ярдәм итүне таләп итә, бу җиһазны яңарту чыгымнарының югары булуына китерә. Ләкин, озакламый, таратылган чишелеш түбән O&M чыгымнарын тәкъдим итә, чөнки Ansible кебек автоматлаштыру кораллары партия конфигурациясен эшли.
Куркынычсызлык һәм ышанычлылык: Centralзәкләштерелгән системалар үзәкләштерелгән саклауны җиңеләйтәләр, ләкин бер һөҗүм ноктасына зур куркыныч тудыралар. Бәйләнгән системалар тагын да ныграк, ләкин DDoS һөҗүмнәрен булдырмас өчен ныклы контроль яссылык таләп итәләр.
Реаль дөнья очракларын өйрәнү: Электрон сәүдә компаниясе үз сайтын төзү өчен үзәкләштерелгән VXLAN кулланды. Иң югары чорда, үзәк эшкәрткеч җайланманың кулланылышы 90% ка күтәрелде, бу кулланучыларның тоткарлык турында зарлануларына китерде. Бәйләнгән модельгә күчү бу проблеманы чиште, компаниягә аның масштабын җиңел арттырырга мөмкинлек бирде. Киресенчә, кечкенә банк үзәкләштерелгән модельдә торды, чөнки алар аудитны өстен күрделәр һәм үзәкләштерелгән идарәне җиңелрәк таптылар.
Гомумән, челтәрнең эффективлыгын һәм масштабын эзлисез икән, таратылган алым - юл. Әгәр сезнең бюджет чикләнгән булса һәм сезнең идарә коллективында тәҗрибә җитмәсә, үзәкләштерелгән алым практикрак. Киләчәктә, 5G һәм чит исәпләү үсеше белән, таратылган челтәрләр популярлашачак, ләкин үзәкләштерелгән челтәрләр филиалның үзара бәйләнеше кебек махсус сценарийларда кыйммәтле булачак.
Mylinking ™ челтәр пакеты брокерларыVxLAN, VLAN, GRE, MPLS башламын сызу
VxLAN, VLAN, GRE, MPLS башы ярдәм итә, оригиналь мәгълүмат пакетына салынган һәм җибәрелгән чыганак.
Пост вакыты: 09-2025 октябрь
