VXLAN шлюздарын талкуулоо үчүн, алгач VXLANдын өзүн талкуулашыбыз керек. Эске салсак, салттуу VLANдар (Виртуалдык Жергиликтүү Тармактар) тармактарды бөлүү үчүн 12-биттик VLAN идентификаторлорун колдонушат жана 4096га чейин логикалык тармактарды колдошот. Бул чакан тармактар үчүн жакшы иштейт, бирок миңдеген виртуалдык машиналары, контейнерлери жана көп ижарачы чөйрөлөрү бар заманбап маалымат борборлорунда VLANдар жетишсиз. VXLAN пайда болгон, ал RFC 7348де Интернет инженериясы боюнча жумушчу топ (IETF) тарабынан аныкталган. Анын максаты - UDP туннелдерин колдонуп, 2-катмардын (Ethernet) берүү доменин 3-катмардын (IP) тармактары аркылуу кеңейтүү.
Жөнөкөй сөз менен айтканда, VXLAN UDP пакеттеринин ичинде Ethernet фреймдерин инкапсуляциялайт жана теориялык жактан 16 миллион виртуалдык тармактарды колдогон 24-биттик VXLAN тармак идентификаторун (VNI) кошот. Бул ар бир виртуалдык тармакка "идентификациялык карта" берүү сыяктуу, аларга бири-бирине тоскоолдук кылбастан физикалык тармакта эркин жүрүүгө мүмкүндүк берет. VXLANдын негизги компоненти - бул пакеттерди инкапсуляциялоо жана декапсуляциялоо үчүн жооптуу болгон VXLAN туннелинин акыркы чекити (VTEP). VTEP программалык камсыздоо (мисалы, Open vSwitch) же жабдык (мисалы, коммутатордогу ASIC чипи) болушу мүмкүн.
Эмне үчүн VXLAN мынчалык популярдуу? Анткени ал булуттук эсептөө жана SDN (Программалык камсыздоо менен аныкталган тармак) муктаждыктарына толук дал келет. AWS жана Azure сыяктуу коомдук булуттарда VXLAN ижарачылардын виртуалдык тармактарын үзгүлтүксүз кеңейтүүгө мүмкүндүк берет. Жеке маалымат борборлорунда ал VMware NSX же Cisco ACI сыяктуу катмарлуу тармак архитектураларын колдойт. Ар биринде ондогон виртуалдык машиналар (Виртуалдык машиналар) иштетилген миңдеген серверлери бар маалымат борборун элестетиңиз. VXLAN бул виртуалдык машиналарга өздөрүн бир эле 2-деңгээл тармагынын бир бөлүгү катары кабыл алууга мүмкүндүк берет, бул ARP берүүлөрүн жана DHCP суроо-талаптарын үзгүлтүксүз берүүнү камсыз кылат.
Бирок, VXLAN – бул панацея эмес. L3 тармагында иштөө үчүн L2ден L3кө конвертациялоо талап кылынат, бул жерде шлюз жардамга келет. VXLAN шлюзу VXLAN виртуалдык тармагын тышкы тармактар (мисалы, салттуу VLANдар же IP маршруттоо тармактары) менен байланыштырат, бул виртуалдык дүйнөдөн реалдуу дүйнөгө маалыматтардын агымын камсыздайт. Багыттоо механизми – бул шлюздун жүрөгү жана жаны, ал пакеттердин кантип иштетилерин, багытталышын жана бөлүштүрүлүшүн аныктайт.
VXLAN багыттоо процесси назик балет сыяктуу, булактан көздөгөн жерге чейинки ар бир кадам тыгыз байланышта. Келгиле, аны этап-этабы менен талдап көрөлү.
Алгач, пакет баштапкы хосттон (мисалы, виртуалдык машина) жөнөтүлөт. Бул баштапкы MAC дарегин, көздөгөн MAC дарегин, VLAN тегин (эгер бар болсо) жана пайдалуу жүктөмдү камтыган стандарттуу Ethernet кадры. Бул кадрды алгандан кийин, баштапкы VTEP көздөгөн MAC дарегин текшерет. Эгерде көздөгөн MAC дареги анын MAC таблицасында болсо (үйрөнүү же суу ташкыны аркылуу алынган), ал пакетти кайсы алыскы VTEPке жөнөтүү керектигин билет.
Инкапсуляция процесси абдан маанилүү: VTEP VXLAN аталышын (VNI, желекчелерди ж.б. кошо алганда), андан кийин тышкы UDP аталышын (ички кадрдын хэшине негизделген булак порту жана 4789 туруктуу көздөгөн порту менен), IP аталышын (жергиликтүү VTEPтин булак IP дареги жана алыскы VTEPтин көздөгөн IP дареги менен) жана акырында тышкы Ethernet аталышын кошот. Эми бүт пакет UDP/IP пакети катары көрүнөт, кадимки трафикке окшош жана L3 тармагына багытталышы мүмкүн.
Физикалык тармакта пакет роутер же коммутатор аркылуу көздөгөн VTEPке жеткенге чейин жөнөтүлөт. Көздөгөн VTEP тышкы башты ажыратып, VNI дал келерин текшерүү үчүн VXLAN башын текшерип, андан кийин ички Ethernet кадрын көздөгөн хостко жеткирет. Эгерде пакет белгисиз бирдиктүү, трансляциялык же көп агымдуу (BUM) трафик болсо, VTEP пакетти бардык тиешелүү VTEPтерге көп агымдуу топторго же бирдиктүү баш репликацияга (HER) таянып, суу ташкынын колдонуп кайталайт.
Багыттоо принцибинин өзөгү башкаруу тегиздигин жана маалымат тегиздигин бөлүү болуп саналат. Башкаруу тегиздиги MAC жана IP карталарын үйрөнүү үчүн Ethernet VPN (EVPN) же Flood and Learn механизмин колдонот. EVPN BGP протоколуна негизделген жана VTEP'терге MAC-VRF (Виртуалдык маршруттоо жана багыттоо) жана IP-VRF сыяктуу маршруттоо маалыматын алмашууга мүмкүндүк берет. Маалымат тегиздиги натыйжалуу берүү үчүн VXLAN туннелдерин колдонуп, чыныгы багыттоо үчүн жооптуу.
Бирок, иш жүзүндөгү жайылтууларда багыттоонун натыйжалуулугу түздөн-түз аткарууга таасир этет. Салттуу суу ташкыны, айрыкча чоң тармактарда, трансляциялык бороондорду оңой эле жаратышы мүмкүн. Бул шлюздарды оптималдаштыруу зарылдыгына алып келет: шлюздар ички жана тышкы тармактарды туташтыруу менен гана чектелбестен, ошондой эле прокси ARP агенттери катары иштейт, маршруттун агып кетишин башкарат жана эң кыска багыттоо жолдорун камсыз кылат.
Борборлоштурулган VXLAN шлюзу
Борборлоштурулган VXLAN шлюзу, ошондой эле борборлоштурулган шлюз же L3 шлюзу деп аталат, адатта маалымат борборунун четинде же өзөк катмарында жайгаштырылат. Ал борбордук хаб катары иштейт, ал аркылуу бардык VNI же тармак аралык трафик өтүшү керек.
Принцип боюнча, борборлоштурулган шлюз бардык VXLAN тармактары үчүн 3-деңгээлдеги маршруттоо кызматтарын камсыз кылып, демейки шлюз катары иштейт. Эки VNIди карап көрөлү: VNI 10000 (10.1.1.0/24 суб-тармак) жана VNI 20000 (10.2.1.0/24 суб-тармак). Эгерде VNI 10000деги VM A VNI 20000деги VM Bге киргиси келсе, пакет алгач жергиликтүү VTEPке жетет. Жергиликтүү VTEP көздөгөн IP дареги жергиликтүү суб-тармакта жок экенин аныктап, аны борборлоштурулган шлюзга жөнөтөт. Шлюз пакетти декапсуляциялайт, маршруттоо чечимин кабыл алат, андан кийин пакетти көздөгөн VNIге баруучу туннельге кайра инкапсуляциялайт.
Артыкчылыктары айдан ачык:
○ Жөнөкөй башкарууБардык маршруттоо конфигурациялары бир же эки түзмөктө борборлоштурулган, бул операторлорго бүтүндөй тармакты камтуу үчүн бир нече гана шлюздарды тейлөөгө мүмкүндүк берет. Бул ыкма VXLANды биринчи жолу жайгаштырган чакан жана орто өлчөмдөгү маалымат борборлору же чөйрөлөр үчүн ылайыктуу.
○Ресурстарды үнөмдүү пайдаланууШлюздар, адатта, чоң көлөмдөгү трафикти иштетүүгө жөндөмдүү жогорку өндүрүмдүү жабдыктар (мисалы, Cisco Nexus 9000 же Arista 7050). Башкаруу тегиздиги борборлоштурулган, бул NSX Manager сыяктуу SDN контроллерлери менен интеграциялоону жеңилдетет.
○Күчтүү коопсуздук көзөмөлүТрафик шлюз аркылуу өтүшү керек, бул ACL (Кирүүнү көзөмөлдөө тизмелери), брандмауэрлерди жана NATти ишке ашырууну жеңилдетет. Борборлоштурулган шлюз ижарачы трафигин оңой эле бөлүп коё турган көп ижарачылуу сценарийди элестетип көрүңүз.
Бирок кемчиликтерди этибарга албай коюуга болбойт:
○ Бир гана ийгиликсиздик чекитиЭгерде шлюз иштебей калса, бүтүндөй тармак боюнча L3 байланышы шал болуп калат. VRRP (Виртуалдык роутердин резервдик протоколу) резервдик көчүрмө үчүн колдонулушу мүмкүн болсо да, ал дагы эле тобокелдиктерди жаратат.
○Иштин натыйжалуулугунун тоскоолдуктарыЧыгыш-батыш трафигинин баары (серверлердин ортосундагы байланыш) шлюзду айланып өтүшү керек, натыйжада жол оптималдуу эмес. Мисалы, 1000 түйүндүү кластерде, эгерде шлюздун өткөрүү жөндөмдүүлүгү 100 Гбит/сек болсо, эң жогорку сааттарда тыгын пайда болушу мүмкүн.
○Масштабдоо мүмкүнчүлүгү начарТармактын масштабы өскөн сайын, шлюздун жүгү экспоненциалдуу түрдө жогорулайт. Реалдуу дүйнөдөгү мисалда, мен борборлоштурулган шлюзду колдонгон финансылык маалымат борборун көрдүм. Башында ал үзгүлтүксүз иштеген, бирок виртуалдык машиналардын саны эки эсе көбөйгөндөн кийин, кечигүү микросекунддардан миллисекунддарга чейин кескин жогорулаган.
Колдонуу сценарийи: Ишкананын жеке булуттары же тест тармактары сыяктуу жогорку башкаруунун жөнөкөйлүгүн талап кылган чөйрөлөргө ылайыктуу. Cisco'нун ACI архитектурасы көбүнчө негизги шлюздардын натыйжалуу иштешин камсыз кылуу үчүн жалбырак-омуртка топологиясы менен айкалышкан борборлоштурулган моделди колдонот.
Таркатылган VXLAN шлюзу
Таркатылган VXLAN шлюзу, ошондой эле бөлүштүрүлгөн шлюз же anycast шлюзу деп да аталат, шлюздун функциясын ар бир жалбырак которгучуна же гипервизор VTEPке жүктөйт. Ар бир VTEP жергиликтүү шлюз катары иштейт жана жергиликтүү тармак үчүн L3 багыттоосун иштетет.
Принцип ийкемдүү: ар бир VTEP Anycast механизмин колдонуу менен демейки шлюз сыяктуу эле виртуалдык IP (VIP) менен конфигурацияланган. VM тарабынан жөнөтүлгөн тармак аралык пакеттер борбордук чекит аркылуу өтпөстөн, түз эле жергиликтүү VTEPке багытталат. EVPN бул жерде өзгөчө пайдалуу: BGP EVPN аркылуу VTEP алыскы хосттордун маршруттарын үйрөнөт жана ARP толуп кетишинен качуу үчүн MAC/IP байланышын колдонот.
Мисалы, VM A (10.1.1.10) VM B (10.2.1.10) сайтына киргиси келет. VM A'нын демейки шлюзу - жергиликтүү VTEP'тин (10.1.1.1) VIP дареги. Жергиликтүү VTEP көздөгөн тармакка багытталат, VXLAN пакетин каптап, аны түз эле VM B'нин VTEP'ине жөнөтөт. Бул процесс жолду жана кечигүүнү минималдаштырат.
Мыкты артыкчылыктары:
○ Жогорку масштабдуулугуШлюздун функциясын ар бир түйүнгө бөлүштүрүү тармактын көлөмүн көбөйтөт, бул чоңураак тармактар үчүн пайдалуу. Google Cloud сыяктуу ири булут провайдерлери миллиондогон виртуалдык машиналарды колдоо үчүн ушул сыяктуу механизмди колдонушат.
○Жогорку сапаттагы аткарууЧыгыш-батыш трафиги тоскоолдуктарды болтурбоо үчүн жергиликтүү деңгээлде иштетилет. Сыноо маалыматтары көрсөткөндөй, бөлүштүрүлгөн режимде өткөрүү жөндөмдүүлүгү 30%-50% га жогорулашы мүмкүн.
○Тез катаны оңдооБир гана VTEP бузулушу жергиликтүү хостко гана таасир этет, ал эми башка түйүндөр жабыркабайт. EVPNдин тез конвергенциясы менен бирге калыбына келтирүү убактысы секунддар менен өлчөнөт.
○Ресурстарды жакшы пайдаланууАппараттык ылдамдатуу үчүн учурдагы Leaf которгучунун ASIC чибин колдонуңуз, багыттоо ылдамдыгы Tbps деңгээлине жетет.
Кемчиликтери кандай?
○ Татаал конфигурацияАр бир VTEP маршруттоону, EVPNди жана башка функцияларды конфигурациялоону талап кылат, бул баштапкы жайгаштырууну көп убакытты талап кылат. Операциялык топ BGP жана SDN менен тааныш болушу керек.
○Жогорку жабдык талаптарыБөлүштүрүлгөн шлюз: Бардык эле коммутаторлор бөлүштүрүлгөн шлюздарды колдобойт; Broadcom Trident же Tomahawk чиптери талап кылынат. Программалык камсыздоону ишке ашыруу (мисалы, KVMдеги OVS) жабдыктардай жакшы иштебейт.
○Ырааттуулук боюнча кыйынчылыктарТаркатылган абал EVPNге таянат дегенди билдирет. Эгерде BGP сеансы өзгөрүп турса, ал маршруттоодо кара тешикти пайда кылышы мүмкүн.
Колдонуу сценарийи: Гипермасштабдуу маалымат борборлору же коомдук булуттар үчүн идеалдуу. VMware NSX-T'нин бөлүштүрүлгөн роутери типтүү мисал болуп саналат. Kubernetes менен айкалышып, ал контейнердик тармакты үзгүлтүксүз колдойт.
Борборлоштурулган VxLAN шлюзу жана таратылган VxLAN шлюзу
Эми кульминацияга өтөлү: кайсынысы жакшыраак? Жооп "көз каранды", бирок сизди ынандыруу үчүн биз маалыматтарды жана кейс-стадилерди терең изилдешибиз керек.
Иштөө жагынан алганда, бөлүштүрүлгөн системалар ачыктан-ачык жакшы иштейт. Типтүү маалымат борборунун эталонунда (Spirent тест жабдууларына негизделген), борборлоштурулган шлюздун орточо кечигүүсү 150 мкс болгон, ал эми бөлүштүрүлгөн системаныкы болгону 50 мкс болгон. Өткөрүү жөндөмдүүлүгү жагынан бөлүштүрүлгөн системалар линия ылдамдыгын багыттоого оңой эле жетише алышат, анткени алар Spine-Leaf Equal Cost Multi-Path (ECMP) маршруттоосун колдонушат.
Масштабдоо – бул дагы бир күрөш талаасы. Борборлоштурулган тармактар 100-500 түйүнү бар тармактар үчүн ылайыктуу; бул масштабдан тышкары, бөлүштүрүлгөн тармактар жогору көтөрүлөт. Мисалы, Alibaba Cloudду алалы. Алардын VPC (Виртуалдык Жеке Булут) дүйнө жүзү боюнча миллиондогон колдонуучуларды колдоо үчүн бөлүштүрүлгөн VXLAN шлюздарын колдонот, бир аймактык кечигүү 1 мсден аз. Борборлоштурулган ыкма эчак эле кыйрап калмак.
Ал эми баасы жөнүндө эмне айтууга болот? Борборлоштурулган чечим баштапкы инвестицияны аз сунуштайт, бир нече гана жогорку класстагы шлюздарды талап кылат. Таркатылган чечим бардык жалбырак түйүндөрүнүн VXLAN жүктөмүн колдоосун талап кылат, бул жабдыктарды жаңыртуу чыгымдарынын жогорулашына алып келет. Бирок, узак мөөнөттүү келечекте, бөлүштүрүлгөн чечим төмөнкү O&M чыгымдарын сунуштайт, анткени Ansible сыяктуу автоматташтыруу куралдары пакеттик конфигурацияны ишке ашырат.
Коопсуздук жана ишенимдүүлүк: Борборлоштурулган системалар борборлоштурулган коргоону камсыз кылат, бирок бир гана чабуул чекитинин коркунучу жогору. Таркатылган системалар туруктуураак, бирок DDoS чабуулдарынын алдын алуу үчүн бекем башкаруу тегиздигин талап кылат.
Реалдуу дүйнөдөгү кейс-стади: Электрондук коммерция компаниясы өзүнүн сайтын куруу үчүн борборлоштурулган VXLAN колдонгон. Эң жогорку мезгилде шлюздун CPU колдонулушу 90% га чейин көтөрүлүп, колдонуучулардын кечигүү боюнча даттанууларына алып келген. Таркатылган моделге өтүү көйгөйдү чечип, компанияга масштабын оңой эле эки эсе көбөйтүүгө мүмкүндүк берген. Тескерисинче, чакан банк борборлоштурулган моделди талап кылган, анткени алар шайкештик аудиттерине артыкчылык беришкен жана борборлоштурулган башкарууну жеңилирээк деп табышкан.
Жалпысынан алганда, эгер сиз тармактын жогорку иштешин жана масштабын издеп жатсаңыз, бөлүштүрүлгөн ыкма эң жакшы чечим. Эгерде сиздин бюджетиңиз чектелүү болсо жана башкаруу командаңызда тажрыйба жетишсиз болсо, борборлоштурулган ыкма практикалык жактан пайдалуураак. Келечекте 5G жана четки эсептөөлөрдүн өнүгүшү менен бөлүштүрүлгөн тармактар популярдуу болуп калат, бирок борборлоштурулган тармактар филиалдардын өз ара байланышы сыяктуу белгилүү бир сценарийлерде дагы эле баалуу бойдон калат.
Mylinking™ тармактык пакет брокерлериVxLAN, VLAN, GRE, MPLS баш сабын тазалоону колдоо
Баштапкы маалымат пакетинде VxLAN, VLAN, GRE, MPLS аталышын колдоп, чыгарууну жөнөттү.
Жарыяланган убактысы: 2025-жылдын 9-октябры
