VXLAN шлюздарын талкуулоо үчүн биз алгач VXLANдын өзүн талкуулашыбыз керек. Эсиңизде болсун, салттуу VLANлар (Виртуалдык Локалдык Тармактар) 4096 логикалык тармактарды колдогон тармактарды бөлүү үчүн 12 биттик VLAN ID'лерин колдонушат. Бул кичинекей тармактар үчүн жакшы иштейт, бирок миңдеген виртуалдык машиналары, контейнерлери жана көп ижарачы чөйрөлөрү бар заманбап маалымат борборлорунда VLANлар жетишсиз. VXLAN RFC 7348де Internet Engineering Task Force (IETF) тарабынан аныкталган, төрөлгөн. Анын максаты UDP туннелдерин колдонуу менен Layer 2 (Ethernet) уктуруу доменин Layer 3 (IP) тармактары аркылуу кеңейтүү болуп саналат.
Жөнөкөй сөз менен айтканда, VXLAN UDP пакеттеринин ичиндеги Ethernet рамкаларын капсулдап, теориялык жактан 16 миллион виртуалдык тармактарды колдогон 24 биттик VXLAN Network Identifier (VNI) кошот. Бул ар бир виртуалдык тармакка "өздүк картасын" берүү сыяктуу, алардын физикалык тармакта бири-бирине тоскоолдук кылбастан эркин жүрүүсүнө мүмкүндүк берет. VXLANдын негизги компоненти VXLAN туннелинин акыркы чекити (VTEP) болуп саналат, ал пакеттерди капсулдаштыруу жана декапсуляциялоо үчүн жооптуу. VTEP программалык камсыздоо (мисалы, Open vSwitch) же аппараттык (мисалы, коммутатордогу ASIC чип сыяктуу) болушу мүмкүн.
Эмне үчүн VXLAN мынчалык популярдуу? Анткени ал булуттагы эсептөө жана SDN (Программалык камсыздоо менен аныкталган тармактык) муктаждыктарына эң сонун шайкеш келет. AWS жана Azure сыяктуу коомдук булуттарда VXLAN ижарачылардын виртуалдык тармактарын үзгүлтүксүз кеңейтүүгө мүмкүндүк берет. Жеке маалымат борборлорунда ал VMware NSX же Cisco ACI сыяктуу катмарлуу тармак архитектурасын колдойт. Миңдеген серверлери бар маалымат борборун элестетиңиз, алардын ар бири ондогон VM (Виртуалдык машиналар) иштейт. VXLAN бул VMлерге өздөрүн ошол эле Layer 2 тармагынын бир бөлүгү катары кабыл алууга мүмкүндүк берип, ARP берүүлөрүн жана DHCP сурамдарын үзгүлтүксүз өткөрүүнү камсыз кылат.
Бирок, VXLAN панацея эмес. L3 тармагында иштөө L2ден L3кө конверсияны талап кылат, бул жерде шлюз кирет. VXLAN шлюзи VXLAN виртуалдык тармагын тышкы тармактар менен байланыштырат (мисалы, салттуу VLAN же IP маршрутизация тармактары), виртуалдык дүйнөдөн реалдуу дүйнөгө маалымат агымын камсыз кылат. Багыттоо механизми шлюздун жүрөгү жана жаны болуп саналат, пакеттер кантип иштетилет, багытталат жана бөлүштүрүлөт.
VXLAN багыттоо процесси булактан көздөгөн жерге чейинки ар бир кадам менен тыгыз байланышта болгон назик балет сыяктуу. Аны этап-этабы менен талдап көрөлү.
Биринчиден, пакет булак хостунан жөнөтүлөт (мисалы, VM). Бул булак MAC дарегин, көздөгөн MAC дарегин, VLAN теги (эгер бар болсо) жана пайдалуу жүктү камтыган стандарттуу Ethernet алкагы. Бул кадрды алгандан кийин, VTEP булагы көздөгөн MAC дарегин текшерет. Эгерде көздөгөн MAC дареги анын MAC таблицасында болсо (үйрөнүү же суу каптоо аркылуу алынган), ал пакетти кайсы алыскы VTEPге жөнөтүүнү билет.
Инкапсуляция процесси өтө маанилүү: VTEP VXLAN башын (анын ичинде VNI, желектер ж.б.), андан кийин тышкы UDP башын (ички кадрдын хэшине негизделген булак порту жана 4789 туруктуу көздөгөн порту менен), IP башын (жергиликтүү VTEP булагы IP дареги менен) жана алыскы VTEPдин акыркы IP дарегин кошот. баш. Бардык пакет азыр UDP/IP пакети катары пайда болот, кадимки трафикке окшош жана L3 тармагында багыттоого болот.
Физикалык тармакта пакет роутер же коммутатор тарабынан VTEP көздөгөн жерине жеткенге чейин жөнөтүлөт. Бара турган VTEP сырткы башты ажыратат, VNI дал келүүсүн текшерүү үчүн VXLAN башын текшерет, андан кийин ички Ethernet алкагын көздөгөн хостко жеткирет. Эгерде пакет белгисиз Unicast, Broadcast, же Multicast (BUM) трафиги болсо, VTEP мультикаст топторуна же Unicast header репликациясына (HER) таянып, суу каптоо аркылуу пакетти бардык тиешелүү VTEPтерге кайталайт.
Экспедиция принцибинин өзөгү башкаруу тегиздигин жана маалымат тегиздигин бөлүү болуп саналат. Башкаруучу учак MAC жана IP карталарын үйрөнүү үчүн Ethernet VPN (EVPN) же Flood and Learn механизмин колдонот. EVPN BGP протоколуна негизделген жана VTEPтерге MAC-VRF (Virtual Routing and Forwarding) жана IP-VRF сыяктуу маршруттук маалымат алмашууга мүмкүндүк берет. Берилиштер учагы эффективдүү берүү үчүн VXLAN туннелдерин колдонуп, иш жүзүндө багыттоо үчүн жооптуу.
Бирок, иш жүзүндө жайгаштырууларда, жөнөтүү натыйжалуулугуна түздөн-түз таасир этет. Салттуу суу ташкындары, өзгөчө чоң тармактарда, уктуруу бороонуна алып келиши мүмкүн. Бул шлюзду оптималдаштыруунун зарылдыгына алып келет: шлюздар ички жана тышкы тармактарды гана туташтырбастан, прокси ARP агенттери катары да иштешет, каттамдын агып кетишин жөнгө салат жана эң кыска багыттоо жолдорун камсыздайт.
Борборлоштурулган VXLAN Gateway
Борборлоштурулган VXLAN шлюзи, ошондой эле борборлоштурулган шлюз же L3 шлюз деп аталат, адатта маалымат борборунун четинде же негизги катмарында жайгаштырылат. Ал борбордук хабдын ролун аткарат, ал аркылуу бардык кайчылаш VNI же кайчылаш-тармактар трафиги өтүшү керек.
Негизи, борборлоштурулган шлюз бардык VXLAN тармактары үчүн Layer 3-маршрутизация кызматтарын камсыз кылуучу демейки шлюз катары иштейт. Эки VNI карап көрөлү: VNI 10000 (поднет 10.1.1.0/24) жана VNI 20000 (поднет 10.2.1.0/24). Эгерде VNI 10000деги VM A VNI 20000деги VM Вге кирүүнү кааласа, пакет адегенде жергиликтүү VTEPге жетет. Жергиликтүү VTEP көздөгөн IP дареги жергиликтүү ички тармакта жок экенин аныктайт жана аны борборлоштурулган шлюзге жөнөтөт. Шлюз пакетти декапсуляциялайт, маршруттук чечимди кабыл алат, андан кийин пакетти VNI көздөгөн туннелге кайра капсулациялайт.
Артыкчылыктары айдан ачык:
○ Жөнөкөй башкарууБаардык маршруттук конфигурациялар бир же эки түзмөктө борборлоштурулган, бул операторлорго бүт тармакты камтуу үчүн бир нече шлюзду гана кармап турууга мүмкүндүк берет. Бул ыкма кичи жана орто маалымат борборлору же VXLANды биринчи жолу жайылткан чөйрөлөр үчүн ылайыктуу.
○Ресурстук эффективдүүШлюздар, адатта, чоң көлөмдөгү трафикти башкарууга жөндөмдүү жогорку өндүрүмдүү аппараттык каражаттар (мисалы, Cisco Nexus 9000 же Arista 7050). Башкаруу учагы борборлоштурулган, NSX менеджери сыяктуу SDN контроллерлору менен интеграцияны жеңилдетет.
○Күчтүү коопсуздук көзөмөлүТрафик шлюз аркылуу өтүшү керек, бул ACLs (Access Control Lists), Firewalls жана NAT ишке ашырууга көмөктөшөт. Борборлоштурулган шлюз ижарачылардын трафигин оңой эле бөлүп ала турган көп ижарачы сценарийин элестетиңиз.
Бирок кемчиликтерге көз жумуп коюуга болбойт:
○ Бир эле ийгиликсиздикЭгер шлюз иштебей калса, бүт тармак боюнча L3 байланышы шал болуп калат. VRRP (Virtual Router Redundancy Protocol) резервден чыгуу үчүн колдонулушу мүмкүн болсо да, ал дагы эле тобокелдиктерди алып келет.
○Performance бөгөтБардык чыгыш-батыш трафики (серверлердин ортосундагы байланыш) шлюзду айланып өтүшү керек, натыйжада субоптималдуу жол пайда болот. Мисалы, 1000 түйүндүү кластерде, шлюз өткөрүү жөндөмдүүлүгү 100 Гбит/сек болсо, тыгындар эң жогорку сааттарда пайда болушу мүмкүн.
○Начар масштабдалууТармактын масштабы өскөн сайын, шлюздун жүгү экспоненциалдуу түрдө көбөйөт. Чыныгы мисалда мен борборлоштурулган шлюзду колдонгон финансылык маалымат борборун көрдүм. Башында ал бир калыпта иштеди, бирок VMлердин саны эки эсеге көбөйгөндөн кийин, күтүү убакыты микросекунддардан миллисекундтарга чейин көтөрүлдү.
Колдонмо сценарийи: Ишкананын жеке булуттары же сыноо тармактары сыяктуу башкаруунун жөнөкөйлүгүн талап кылган чөйрөлөр үчүн ылайыктуу. Ciscoнун ACI архитектурасы көбүнчө негизги шлюздардын натыйжалуу иштешин камсыз кылуу үчүн жалбырак-омуртка топологиясы менен айкалышкан борборлоштурулган моделди колдонот.
Бөлүштүрүлгөн VXLAN Gateway
Бөлүштүрүлгөн VXLAN шлюзи, ошондой эле бөлүштүрүлгөн шлюз же anycast шлюз катары белгилүү, шлюз функциясын ар бир жалбырак которуштурууга же VTEP гипервизоруна түшүрөт. Ар бир VTEP локалдык шлюз катары иштейт, жергиликтүү ички тармак үчүн L3 багыттоосун тейлейт.
Принцип ийкемдүү: ар бир VTEP Anycast механизмин колдонуу менен демейки шлюз сыяктуу эле виртуалдык IP (VIP) менен конфигурацияланган. VMлер жөнөткөн кайчылаш-тармак пакеттери борбордук чекит аркылуу өтпөстөн түз эле жергиликтүү VTEPге багытталат. EVPN бул жерде өзгөчө пайдалуу: BGP EVPN аркылуу VTEP алыскы хосттордун маршруттарын үйрөнөт жана ARP ташкынынан сактануу үчүн MAC/IP байланышын колдонот.
Мисалы, VM A (10.1.1.10) VM B (10.2.1.10) киргиси келет. VM А демейки шлюзи жергиликтүү VTEPдин VIP болуп саналат (10.1.1.1). Жергиликтүү VTEP көздөгөн ички тармакка багыт алат, VXLAN пакетин капсулдап, аны түз VM B VTEPге жөнөтөт. Бул процесс жолду жана күтүүнү азайтат.
Мыкты артыкчылыктары:
○ Жогорку масштабдалууАр бир түйүнгө шлюз функциясын бөлүштүрүү тармактын көлөмүн көбөйтөт, бул чоңураак тармактар үчүн пайдалуу. Google Cloud сыяктуу ири булут провайдерлери миллиондогон VMлерди колдоо үчүн ушундай механизмди колдонушат.
○Жогорку аткарууЧыгыш-батыш трафики тоскоолдуктарды болтурбоо үчүн жергиликтүү деңгээлде иштетилет. Сыноо маалыматтары бөлүштүрүлгөн режимде өткөрүү жөндөмдүүлүгү 30%-50% га көбөйүшү мүмкүн экенин көрсөтүп турат.
○Тез ката калыбына келтирүүЖалгыз VTEP катасы жергиликтүү хостко гана таасирин тийгизип, башка түйүндөрдүн таасири тийбейт. EVPN тез конвергенциясы менен айкалышып, калыбына келтирүү убактысы секундада.
○ресурстарды жакшы пайдаланууАппараттык камсыздоону тездетүү үчүн учурдагы Leaf которгучу ASIC чипти колдонуңуз, жөнөтүү ылдамдыгы Tbps деңгээлине жетет.
Кандай кемчиликтери бар?
○ Татаал конфигурацияАр бир VTEP маршрутту, EVPN жана башка функцияларды конфигурациялоону талап кылат, бул баштапкы жайылтууну көп убакытты талап кылат. Операция тобу BGP жана SDN менен тааныш болушу керек.
○Жогорку аппараттык талаптарБөлүштүрүлгөн шлюз: Бардык өчүргүчтөр бөлүштүрүлгөн шлюздарды колдой бербейт; Broadcom Trident же Tomahawk чиптери талап кылынат. Программалык камсыздоону ишке ашыруу (мисалы, KVMдеги OVS) аппараттык жабдыктардай жакшы иштебейт.
○ырааттуулук көйгөйлөрүБөлүштүрүлгөн мамлекеттик синхрондоштуруу EVPN таянат дегенди билдирет. Эгерде BGP сеансы өзгөрүп кетсе, ал маршруттук кара тешикке алып келиши мүмкүн.
Колдонмо сценарийи: Гипер масштабдуу маалымат борборлору же коомдук булуттар үчүн идеалдуу. VMware NSX-T бөлүштүрүлгөн роутери типтүү мисал. Kubernetes менен айкалышып, ал контейнер тармагын кемчиликсиз колдойт.
Борборлоштурулган VxLAN шлюзуна каршы бөлүштүрүлгөн VxLAN шлюз
Эми климакс: кайсынысы жакшы? Жооп "бул көз каранды", бирок биз сизди ишендирүү үчүн маалыматтарды жана мисалдарды терең изилдешибиз керек.
Өндүрүштүк көз караштан алганда, бөлүштүрүлгөн системалар ачыктан ашып кетет. Кадимки маалымат борборунун эталондорунда (Spirent тест жабдыктарынын негизинде) борборлоштурулган шлюздун орточо күтүү убактысы 150μс, ал эми бөлүштүрүлгөн системаныкы болгону 50μs болгон. Өткөрүү жөндөмдүүлүгү боюнча, бөлүштүрүлгөн системалар линия ылдамдыгын жөнөтүүгө оңой жетише алат, анткени алар Spine-Leaf Equal Cost Multi-Path (ECMP) багыттоосун колдонушат.
Масштабдуулук дагы бир согуш талаасы. Борборлоштурулган тармактар 100-500 түйүндөрү бар тармактар үчүн ылайыктуу; бул масштабдан тышкары, бөлүштүрүлгөн тармактар үстөмдүк кылат. Мисалы, Alibaba Cloud компаниясын алалы. Алардын VPC (Virtual Private Cloud) дүйнө жүзү боюнча миллиондогон колдонуучуларды колдоо үчүн бөлүштүрүлгөн VXLAN шлюздарын колдонот, бир региондук кечигүү 1мс кем. Борборлоштурулган ыкма эбак кыйрап калмак.
Баасы жөнүндө эмне айтууга болот? Борборлоштурулган чечим бир нече жогорку деңгээлдеги шлюздарды талап кылган төмөнкү баштапкы инвестицияларды сунуш кылат. Бөлүштүрүлгөн чечим бардык жалбырак түйүндөрүнүн VXLAN жүктөөсүн колдоону талап кылат, бул аппараттык камсыздоону жаңыртуу чыгымдарынын жогору болушуна алып келет. Бирок, узак мөөнөттүү келечекте, бөлүштүрүлгөн чечим төмөнкү O&M чыгымдарын сунуштайт, анткени Ansible сыяктуу автоматташтыруу куралдары партия конфигурациясын иштетет.
Коопсуздук жана ишенимдүүлүк: Борборлоштурулган системалар борборлоштурулган коргоону жеңилдетет, бирок бир эле кол салуу коркунучун жаратат. Бөлүштүрүлгөн системалар туруктуураак, бирок DDoS чабуулдарын алдын алуу үчүн күчтүү башкаруу учагын талап кылат.
Чыныгы мисал: Электрондук коммерциялык компания өз сайтын куруу үчүн борборлоштурулган VXLANды колдонгон. Эң көп болгон мезгилде, шлюз CPU колдонуусу 90% га чейин өсүп, колдонуучулардын кечигүү тууралуу даттануусуна алып келди. Бөлүштүрүлгөн моделге өтүү компаниянын масштабын эки эсеге көбөйтүүгө мүмкүндүк берип, маселени чечти. Тескерисинче, чакан банк борборлоштурулган моделди талап кылышкан, анткени алар шайкештикти текшерүүгө артыкчылык беришкен жана борборлоштурулган башкарууну жеңилдеткен.
Жалпысынан алганда, эгер сиз тармактын экстремалдуу иштешин жана масштабын издеп жатсаңыз, бөлүштүрүлгөн ыкма - бул жол. Эгерде сиздин бюджетиңиз чектелүү болсо жана башкаруу тобуңузда тажрыйбасы жок болсо, борборлоштурулган ыкма практикалыкыраак. Келечекте, 5G жана кырдуу эсептөөлөрдүн өсүшү менен бөлүштүрүлгөн тармактар популярдуу болуп калат, бирок борборлоштурулган тармактар филиалдардын өз ара байланышы сыяктуу конкреттүү сценарийлерде дагы деле баалуу болот.
Mylinking™ Network пакет брокерлериколдоо VxLAN, VLAN, GRE, MPLS Header Stripping
VxLAN, VLAN, GRE, MPLS аталышын колдойт, баштапкы маалымат пакетинде ажыратылып, кайра чыгарылды.
Посттун убактысы: 09-окт.2025
