Halo, is e m ’ainm Kostya Kramlikh, is mise am prìomh leasaiche air an roinn Virtual Private Cloud ann an Yandex.Cloud. Tha mi nam lìonraiche brìgheil, agus mar a shaoileadh tu, san artaigil seo bruidhnidh mi mun inneal Virtual Private Cloud (VPC) san fharsaingeachd agus an lìonra mas-fhìor gu sònraichte. Agus gheibh thu a-mach cuideachd carson a tha sinne, luchd-leasachaidh na seirbheis, a’ cur luach air fios air ais bhon luchd-cleachdaidh againn. Ach an toiseach rudan an-toiseach.
Dè a th' ann an VPC?
An-diugh, tha grunn roghainnean ann airson a bhith a’ cleachdadh sheirbheisean. Tha mi cinnteach gu bheil cuideigin fhathast a’ cumail an fhrithealaiche fo dheasg an rianaire, ged a tha mi an dòchas gu bheil nas lugha de sgeulachdan mar sin ann.
A-nis tha seirbheisean a 'feuchainn ri dhol gu sgòthan poblach, agus seo far a bheil iad a' bualadh air VPCs. Tha VPC na phàirt de sgòth poblach a bhios a’ ceangal luchd-cleachdaidh, bun-structar, àrd-ùrlar agus comasan eile ri chèile, ge bith càite a bheil iad, nar Cloud no taobh a-muigh dheth. Aig an aon àm, leigidh VPC leat gun a bhith a’ nochdadh na comasan sin air an eadar-lìn gun fheum, bidh iad a’ fuireach taobh a-staigh an lìonra iomallach agad.
Cò ris a tha lìonra mas-fhìor coltach bhon taobh a-muigh?
Le VPC, tha sinn gu sònraichte a' ciallachadh lìonra ath-chòmhdach agus seirbheisean lìonra, leithid VPNaaS, NATaas, LBaas, msaa. an seo, air Habré.
Bheir sinn sùil nas mionaidiche air an lìonra mas-fhìor agus an inneal aige.
Beachdaich air dà raon ruigsinneachd. Bidh sinn a’ toirt seachad lìonra mas-fhìor - rud ris an canadh sinn VPC. Gu dearbh, tha e a 'mìneachadh farsaingeachd àraid nan seòlaidhean "liath" agad. Taobh a-staigh gach lìonra mas-fhìor, tha smachd iomlan agad air an raon de sheòlaidhean as urrainn dhut a shònrachadh gus goireasan a thomhas.
Tha an lìonra cruinneil. Aig an aon àm, thathas a’ ro-mheasadh air gach aon de na sònaichean a tha rim faighinn ann an cruth eintiteas ris an canar Subnet. Airson gach Subnet, bidh thu a’ sònrachadh CIDR de mheud 16 no nas lugha. Faodaidh barrachd air aon eintiteas mar sin a bhith anns gach raon ruigsinneachd, agus tha slighe follaiseach an-còmhnaidh eatorra. Tha seo a 'ciallachadh gum faod na goireasan agad uile taobh a-staigh an aon VPC "bruidhinn" ri chèile, eadhon ged a tha iad ann an diofar Sònaichean ri fhaotainn. "Dèan conaltradh" às aonais cothrom air an eadar-lìon, tro na seanailean a-staigh againn, "a 'smaoineachadh" gu bheil iad taobh a-staigh an aon lìonra prìobhaideach.
Tha an diagram gu h-àrd a’ sealltainn suidheachadh àbhaisteach: dà VPC a tha a’ trasnadh an àiteigin ann an seòlaidhean. Faodaidh an dà chuid a bhith leatsa. Mar eisimpleir, aon airson leasachadh, am fear eile airson deuchainn. Is dòcha gu bheil luchd-cleachdaidh eadar-dhealaichte ann - sa chùis seo chan eil e gu diofar. Agus tha aon inneal brìgheil air a phlugadh a-steach do gach VPC.
Dèanamaid an sgeama nas miosa. Faodaidh tu a dhèanamh gus am bi aon inneal brìgheil an sàs ann an grunn Subnets aig an aon àm. Agus chan ann dìreach mar sin, ach ann an diofar lìonraidhean brìgheil.
Aig an aon àm, ma dh’ fheumas tu innealan a chuir a-mach air an eadar-lìn, faodar seo a dhèanamh tron API no UI. Gus seo a dhèanamh, feumaidh tu eadar-theangachadh NAT de do sheòladh “liath”, taobh a-staigh, gu “geal” - poblach a rèiteachadh. Chan urrainn dhut seòladh “geal” a thaghadh, tha e air a shònrachadh air thuaiream bhon t-sreath sheòlaidhean againn. Cho luath ‘s a stadas tu a’ cleachdadh an IP taobh a-muigh, thèid a thilleadh chun amar. Bidh thu a 'pàigheadh a-mhàin airson an àm a bhith a' cleachdadh an t-seòladh "geal".
Tha e comasach cuideachd cothrom a thoirt don inneal air an eadar-lìn a’ cleachdadh eisimpleir NAT. Faodaidh tu trafaic a stiùireadh gu eisimpleir tro bhòrd slighe statach. Tha sinn air a leithid de chùis a thoirt seachad, oir bidh feum aig luchd-cleachdaidh air uaireannan, agus tha fios againn mu dheidhinn. Mar sin, tha ìomhaigh NAT air a dhealbhadh gu sònraichte anns a’ chatalog ìomhaighean againn.
Ach eadhon nuair a tha ìomhaigh NAT deiseil, faodaidh suidheachadh a bhith duilich. Bha sinn a’ tuigsinn nach e seo an roghainn as freagarraiche airson cuid de luchd-cleachdaidh, agus mar sin aig a’ cheann thall rinn sinn e comasach NAT a chomasachadh airson an Subnet a bha thu ag iarraidh ann an aon bhriogadh. Tha am feart seo fhathast ann an ruigsinneachd ro-shealladh dùinte, far a bheilear ga dhearbhadh le cuideachadh bho bhuill na coimhearsnachd.
Mar a tha an lìonra mas-fhìor air a rèiteachadh bhon taobh a-staigh
Ciamar a bhios an neach-cleachdaidh ag eadar-obrachadh leis an lìonra mas-fhìor? Tha an lìon a’ coimhead a-mach leis an API aige. Bidh an neach-cleachdaidh a 'tighinn chun an API agus ag obair leis an stàit targaid. Tron API, chì an neach-cleachdaidh mar a bu chòir a h-uile càil a chuir air dòigh agus a rèiteachadh, fhad ‘s a chì e an inbhe, dè an ìre gu bheil an dearbh staid eadar-dhealaichte bhon fhear a tha thu ag iarraidh. Seo dealbh den neach-cleachdaidh. Dè tha dol a-staigh?
Bidh sinn a’ sgrìobhadh an stàit a tha thu ag iarraidh gu Stòr-dàta Yandex agus a’ dol gu diofar phàirtean den VPC againn a rèiteachadh. Tha an lìonra ath-chòmhdach ann an Yandex.Cloud stèidhichte air pàirtean taghte de OpenContrail, ris an canar Tungsten Fabric o chionn ghoirid. Tha seirbheisean lìonra air an cur an gnìomh air aon àrd-ùrlar CloudGate. Ann an CloudGate, chleachd sinn cuideachd grunn phàirtean stòr fosgailte: GoBGP - gus faighinn gu fiosrachadh smachd, a bharrachd air VPP - gus router bathar-bog a chuir an gnìomh a ruitheas air mullach DPDK airson an t-slighe dàta.
Bidh Tungsten Fabric a’ conaltradh ri CloudGate tro GoBGP. Ag innse dè tha dol air adhart anns an lìonra ath-chòmhdach. Bidh CloudGate, an uair sin, a’ ceangal lìonraidhean ath-chòmhdach ri chèile agus leis an eadar-lìn.
A-nis chì sinn mar a bhios lìonra mas-fhìor a’ fuasgladh nan duilgheadasan a thaobh sgèileadh agus ruigsinneachd. Beachdaichidh sinn air cùis shìmplidh. Tha aon raon ri fhaighinn agus tha dà VPC air an cruthachadh ann. Chleachd sinn aon eisimpleir Tungsten Fabric, agus bidh e a’ tarraing grunn deichean de mhìltean de lìonraidhean. Bidh lìonraidhean a 'conaltradh ri CloudGate. Tha CloudGate, mar a thuirt sinn mu thràth, a 'dèanamh cinnteach gu bheil iad ceangailte ri chèile agus leis an eadar-lìon.
Canaidh sinn gu bheil dàrna sòn ruigsinneachd air a chur ris. Bu chòir dha fàiligeadh gu tur neo-eisimeileach bhon chiad fhear. Mar sin, anns an dàrna raon ruigsinneachd, feumaidh sinn eisimpleir Tungsten Fabric air leth a chuir a-steach. Is e siostam air leth a bhios ann a bhios a’ dèiligeadh ris an ath-chòmhdach agus aig nach eil mòran fios mun chiad shiostam. Agus tha am faicsinneachd gu bheil an lìonra brìgheil againn cruinneil, gu dearbh, a’ cruthachadh ar VPC API. Seo an obair aige.
Tha VPC1 air a mhapadh gu Sòn Cothrom B ma tha goireasan ann an Sòn Cothrom B a thèid a phutadh gu VPC1. Mura h-eil goireasan bho VPC2 ann an sòn ruigsinneachd B, cha tig sinn gu buil VPC2 san raon seo. Mar sin, leis gu bheil goireasan bho VPC3 ann a-mhàin ann an sòn B, chan eil VPC3 ann an sòn A. Tha a h-uile dad sìmplidh agus loidsigeach.
Rachamaid beagan nas doimhne agus faic mar a tha aoigheachd sònraichte ann an Y.Cloud ag obair. Is e am prìomh rud a tha mi airson a thoirt fa-near gu bheil na h-aoighean uile air an rèiteachadh san aon dòigh. Bidh sinn ga dhèanamh gus nach bi ach an ìre as lugha de sheirbheisean a’ ruith air bathar-cruaidh, agus an còrr uile gan ruith air innealan brìgheil. Bidh sinn a’ togail seirbheisean àrd-ìre stèidhichte air seirbheisean bun-structair bunaiteach, agus cuideachd a’ cleachdadh an Cloud gus fuasgladh fhaighinn air cuid de dhuilgheadasan innleadaireachd, mar eisimpleir, taobh a-staigh frèam Amalachadh Leantainneach.
Ma choimheadas sinn air aoigheachd sònraichte, chì sinn gu bheil trì pàirtean a’ ruith air an OS aoigheachd:
- Coimpiutaireachd - am pàirt a tha an urra ri bhith a 'sgaoileadh ghoireasan coimpiutaireachd air an neach-aoigheachd.
- Tha VRouter na phàirt de Tungsten Fabric a bhios ag eagrachadh ath-chòmhdach, is e sin, bidh e a’ tunail phasgan tro fho-chòmhdach.
- Tha VDisks nam pìosan de virtualization stòraidh.
A bharrachd air an sin, tha seirbheisean air an cur air bhog ann an innealan brìgheil: seirbheisean bun-structair Cloud, seirbheisean àrd-ùrlar agus comasan teachdaiche. Bidh comasan teachdaiche agus seirbheisean àrd-ùrlar an-còmhnaidh a’ dol chun ath-chòmhdach tro VRouter.
Faodaidh seirbheisean bun-structair cumail a-steach don ath-chòmhdach, ach gu bunaiteach tha iad airson a bhith ag obair san fho-chòmhdach. Tha iad an sàs anns an fho-chòmhdach le cuideachadh bho SR-IOV. Gu dearbh, gheàrr sinn a ’chairt gu cairtean lìonra brìgheil (gnìomh mas-fhìor) agus bidh sinn gan putadh a-steach do innealan brìgheil bun-structair gus nach caill sinn coileanadh. Mar eisimpleir, tha an aon CloudGate air a chuir air bhog mar aon de na h-innealan brìgheil bun-structair sin.
A-nis gu bheil sinn air cunntas a thoirt air gnìomhan cruinneil an lìonra brìgheil agus structar nam pàirtean bunaiteach den sgòth, chì sinn mar a tha na diofar phàirtean den lìonra brìgheil ag eadar-obrachadh le chèile.
Bidh sinn ag eadar-dhealachadh trì sreathan san t-siostam againn:
- Config Plane - a 'suidheachadh staid targaid an t-siostaim. Is e seo a bhios an neach-cleachdaidh a’ rèiteachadh tron API.
- Plane Smachd - a 'toirt seachad semantics a tha air a mhìneachadh leis an neach-cleachdaidh, is e sin, a' toirt an staid Plane Dàta gu na chaidh a mhìneachadh leis an neach-cleachdaidh ann an Config Plane.
- Plane Dàta - a 'pròiseasadh pacaidean an neach-cleachdaidh gu dìreach.
Mar a thuirt mi gu h-àrd, tha e uile a’ tòiseachadh leis an fhìrinn gu bheil an neach-cleachdaidh no seirbheis àrd-ùrlar a-staigh a ’tighinn chun API agus a’ toirt cunntas air staid targaid sònraichte.
Tha an stàit seo air a sgrìobhadh sa bhad gu Stòr-dàta Yandex, a ’tilleadh an ID obrachaidh asyncronach tron API, agus a’ tòiseachadh ar n-innealan a-staigh gus an stàit a bha an neach-cleachdaidh ag iarraidh a thilleadh. Bidh gnìomhan rèiteachaidh a’ dol gu rianadair SDN agus ag innse do Tungsten Fabric dè a nì thu san ath-chòmhdach. Mar eisimpleir, bidh iad a’ gleidheadh puirt, lìonraidhean brìgheil, agus an leithid.
Bidh Config Plane ann an Tungsten Fabric a’ cur an staid riatanach chun Phlana Smachd. Troimhe, bidh Config Plane a’ conaltradh ris na h-aoighean, ag innse dè dìreach a bhios a’ snìomh orra a dh’ aithghearr.
A-nis chì sinn mar a tha an siostam a’ coimhead air na h-aoighean. Tha inneal-atharrachaidh lìonra aig an inneal brìgheil air a phlugadh a-steach do VRouter. Tha VRouter na phrìomh mhodal Tungsten Fabric a bhios a’ coimhead air pacaidean. Ma tha sruth ann mu thràth airson cuid de phacaid, bidh am modal ga phròiseas. Mura h-eil sruthadh ann, bidh am modal a’ dèanamh am punting ris an canar, is e sin, bidh e a’ cur pacaid gu pròiseas usermod. Bidh am pròiseas a’ parsadh a’ phacaid agus an dàrna cuid a’ freagairt ris fhèin, leithid DHCP agus DNS, no ag innse do VRouter dè a nì thu leis. Às deidh sin, faodaidh VRouter am pasgan a phròiseasadh.
Nas fhaide, bidh trafaic eadar innealan brìgheil taobh a-staigh an aon lìonra brìgheil a ’dol gu follaiseach, chan eil e air a stiùireadh gu CloudGate. Bidh na h-aoighean air a bheil na h-innealan brìgheil air an cleachdadh a’ conaltradh gu dìreach ri chèile. Bidh iad a’ tunail trafaic agus ga chuir air adhart dha chèile tron fho-chòmhdach.
Bidh Planaichean Smachd a’ conaltradh ri chèile eadar sònaichean ruigsinneachd tro BGP, mar le router eile. Bidh iad ag innse dè na h-innealan a tha shuas far an urrainn do VMs ann an aon raon conaltradh dìreach le VMs eile.
Agus bidh Control Plane a’ conaltradh ri CloudGate. San aon dòigh, bidh e ag aithris càite agus dè na h-innealan brìgheil a tha air an togail, dè na seòlaidhean a th’ aca. Leigidh seo leat trafaic taobh a-muigh agus trafaic a stiùireadh bho luchd-cothromachaidh thuca.
Bidh an trafaic a dh'fhàgas an VPC a 'tighinn gu CloudGate, chun an t-slighe dàta, far a bheil an VPP leis na plugins againn air a chuairteachadh gu luath. An uairsin thèid an trafaic a losgadh an dàrna cuid gu VPCan eile no taobh a-muigh, gu routers crìche a tha air an rèiteachadh tro Phlana Smachd CloudGate fhèin.
Planaichean airson an ama ri teachd faisg air làimh
Ma bheir sinn geàrr-chunntas air a h-uile dad a chaidh a ràdh gu h-àrd ann am beagan sheantansan, faodaidh sinn a ràdh gu bheil VPC ann an Yandex.Cloud a’ fuasgladh dà ghnìomh chudromach:
- A 'toirt seachad iomallachd eadar diofar luchd-cleachdaidh.
- A’ cothlamadh ghoireasan, bun-structair, seirbheisean àrd-ùrlair, sgòthan eile agus san togalach ann an aon lìonra.
Agus gus na duilgheadasan sin fhuasgladh gu math, feumaidh tu scalability agus fulangas locht a thoirt seachad aig ìre na h-ailtireachd a-staigh, a bhios VPC a ’dèanamh.
Mean air mhean bidh VPC a’ faighinn gnìomhan, bidh sinn a’ cur an gnìomh feartan ùra, bidh sinn a’ feuchainn ri rudeigin a leasachadh a thaobh goireasachd luchd-cleachdaidh. Tha cuid de bheachdan gan cur an cèill agus faigh iad air an liosta prìomhachais le taing do bhuill na coimhearsnachd againn.
Tha na leanas againn an-dràsta de phlanaichean airson an ama ri teachd:
- VPN mar sheirbheis
- Tha eisimpleirean DNS prìobhaideach nan ìomhaighean airson innealan brìgheil a stèidheachadh gu sgiobalta le frithealaiche DNS ro-shuidhichte.
- DNS mar sheirbheis.
- Cothromaiche luchdan a-staigh.
- Cuir seòladh IP “geal” ris gun a bhith ag ath-chruthachadh an inneal mas-fhìor.
Bha an balancer agus an comas an seòladh IP atharrachadh airson inneal brìgheil a chaidh a chruthachadh mar-thà air an liosta seo air iarrtas luchd-cleachdaidh. Gus a bhith onarach, às aonais fios air ais soilleir, bhiodh sinn air na gnìomhan sin a ghabhail os làimh beagan nas fhaide air adhart. Agus mar sin tha sinn mu thràth ag obair air an duilgheadas mu sheòlaidhean.
An toiseach, cha b 'urrainnear seòladh IP "geal" a chur ris ach nuair a chaidh inneal a chruthachadh. Ma dhìochuimhnich an neach-cleachdaidh seo a dhèanamh, dh'fheumadh an inneal mas-fhìor ath-chruthachadh. An aon rud agus, ma tha sin riatanach, cuir às don IP taobh a-muigh. Bidh e comasach a dh’ aithghearr an IP poblach a thionndadh air agus dheth gun a bhith agad ris an inneal ath-chruthachadh.
Na bi leisg do shealladh a chuir an cèill luchd-cleachdaidh eile. Bidh thu gar cuideachadh gus an Cloud a dhèanamh nas fheàrr agus feartan cudromach agus feumail fhaighinn nas luaithe!
Source: www.habr.com