Bonjou, non mwen se Kostya Kramlikh, mwen se pwomotè prensipal divizyon Virtual Private Cloud nan Yandex.Cloud. Mwen ap fè rezo vityèl, e jan ou ta ka devine, nan atik sa a mwen pral pale sou aparèy la Virtual Private Cloud (VPC) an jeneral ak rezo a vityèl an patikilye. Epi w ap chèche konnen tou poukisa nou menm, devlopè sèvis la, apresye fidbak nan men itilizatè nou yo. Men, premye bagay an premye.
ki sa ki VPC?
Sèjousi, gen yon varyete opsyon pou deplwaye sèvis yo. Mwen sèten yon moun toujou kenbe sèvè a anba biwo administratè a, byenke mwen espere ke gen mwens istwa sa yo.
Koulye a, sèvis yo ap eseye ale nan nwaj piblik yo, epi sa a se kote yo fè kolizyon ak VPC yo. VPC se yon pati nan yon nwaj piblik ki mare itilizatè, enfrastrikti, platfòm ak lòt kapasite ansanm, kèlkeswa kote yo ye, nan Cloud nou an oswa andeyò li. An menm tan an, VPC pèmèt ou pa ekspoze kapasite sa yo sou entènèt la san nesesite, yo rete nan rezo izole ou a.
Ki jan yon rezo vityèl sanble soti deyò a?
Pa VPC, nou vle di prensipalman yon rezo kouvri ak sèvis rezo, tankou VPNaaS, NATaas, LBaas, elatriye. Ak tout bagay sa yo ap travay sou tèt yon enfrastrikti rezo toleran defo, ki te deja. isit la, sou Habré.
Ann pran yon gade pi pre nan rezo a vityèl ak aparèy li yo.
Konsidere de zòn disponiblite. Nou bay yon rezo vityèl - sa nou rele VPC. An reyalite, li defini espas inik nan adrès "gri" ou yo. Nan chak rezo vityèl, ou gen kontwòl konplè sou espas adrès ou ka bay pou kalkile resous yo.
Rezo a mondyal. An menm tan an, li pwojte sou chak nan zòn disponiblite yo nan fòm lan nan yon antite ki rele Subnet. Pou chak sous-rezo, ou bay yon CIDR gwosè 16 oswa mwens. Kapab genyen plis pase yon antite sa yo nan chak zòn disponiblite, epi toujou gen yon routage transparan ant yo. Sa vle di ke tout resous ou nan menm VPC a ka "pale" youn ak lòt, menm si yo nan Zòn Disponibilite diferan. "Kominike" san aksè nan entènèt la, atravè chanèl entèn nou yo, "panse" ke yo nan menm rezo prive a.
Dyagram ki anwo a montre yon sitiyasyon tipik: de VPC ki kwaze yon kote nan adrès. Tou de ka pou ou. Pa egzanp, youn pou devlopman, lòt la pou tès. Gen dwa tou senpleman gen itilizatè diferan - nan ka sa a li pa gen pwoblèm. Epi yon machin vityèl konekte nan chak VPC.
Ann rann konplo a vin pi mal. Ou ka fè li pou ke yon machin vityèl kole nan plizyè Subnets nan yon fwa. Epi se pa sèlman tankou sa, men nan diferan rezo vityèl.
An menm tan an, si ou bezwen ekspoze machin nan entènèt la, sa ka fè atravè API oswa UI. Pou fè sa, ou bezwen konfigirasyon tradiksyon NAT nan "gri", adrès entèn ou a, nan "blan" - piblik. Ou pa ka chwazi yon adrès "blan", yo bay li owaza nan rezèvwa adrès nou an. Le pli vit ke ou sispann itilize IP ekstèn lan, li retounen nan pisin lan. Ou peye sèlman pou lè w ap itilize adrès "blan".
Li posib tou pou bay machin nan aksè nan entènèt la lè l sèvi avèk yon egzanp NAT. Ou ka dirije trafik nan yon egzanp atravè yon tab routage estatik. Nou te bay yon ka konsa, paske itilizatè pafwa bezwen li, epi nou konnen sou li. An konsekans, katalòg imaj nou an gen yon imaj NAT espesyalman konfigirasyon.
Men, menm lè gen yon imaj NAT pare, konfigirasyon ka difisil. Nou te konprann ke pou kèk itilizatè sa a se pa opsyon ki pi pratik, kidonk nan fen a nou te fè li posib pou pèmèt NAT pou Subnet vle a nan yon sèl klike sou. Karakteristik sa a toujou nan aksè fèmen aperçu, kote li te teste avèk èd nan manm kominote a.
Ki jan rezo vityèl la ranje soti nan andedan an
Ki jan itilizatè a kominike avèk rezo vityèl la? Entènèt la sanble deyò ak API li yo. Itilizatè a vini nan API a epi li travay ak eta a sib. Atravè API a, itilizatè a wè ki jan tout bagay ta dwe ranje ak konfigirasyon, pandan y ap li wè estati a, konbyen eta aktyèl la diferan de yon sèl la vle. Sa a se yon foto itilizatè a. Kisa k ap pase anndan an?
Nou ekri eta a vle nan Yandex Database epi ale nan konfigirasyon diferan pati nan VPC nou an. Rezo a kouvri nan Yandex.Cloud baze sou eleman chwazi nan OpenContrail, ki dènyèman te rele Tungstène twal. Sèvis rezo yo aplike sou yon sèl platfòm CloudGate. Nan CloudGate, nou te itilize tou yon kantite konpozan sous louvri: GoBGP - pou jwenn aksè nan enfòmasyon kontwòl, osi byen ke VPP - pou aplike yon routeur lojisyèl ki kouri sou tèt DPDK pou chemen done yo.
Tungstène twal kominike ak CloudGate atravè GoBGP. Di sa k ap pase nan rezo a kouvri. CloudGate, nan vire, konekte rezo kouvri youn ak lòt ak entènèt la.
Koulye a, kite a wè ki jan yon rezo vityèl rezoud pwoblèm yo nan dekale ak disponiblite. Ann konsidere yon ka senp. Gen yon zòn disponiblite ak de VPC yo kreye ladan l. Nou te deplwaye yon egzanp Tungstène Fabric, epi li rale plizyè dizèn de milye rezo. Rezo yo kominike ak CloudGate. CloudGate, jan nou te deja di, asire koneksyon yo youn ak lòt ak entènèt la.
Ann di yo ajoute yon dezyèm zòn disponiblite. Li ta dwe echwe konplètman poukont premye a. Se poutèt sa, nan dezyèm zòn disponiblite a, nou dwe enstale yon egzanp separe Tungstène twal. Sa a pral yon sistèm separe ki fè fas ak superposition a ak konnen ti kras sou sistèm nan premye. Ak vizibilite rezo vityèl nou an mondyal, an reyalite, kreye API VPC nou an. Sa a se travay li.
VPC1 se trase nan Zòn Disponibilite B si gen resous nan Zòn Disponibilite B ki pouse nan VPC1. Si pa gen resous ki soti nan VPC2 nan zòn disponiblite B, nou p ap konkretize VPC2 nan zòn sa a. Nan vire, piske resous ki soti nan VPC3 egziste sèlman nan zòn B, VPC3 pa egziste nan zòn A. Tout bagay se senp ak lojik.
Ann ale yon ti kras pi fon epi wè ki jan yon lame patikilye nan Y.Cloud travay. Bagay pwensipal lan ke mwen vle sonje se ke tout lame yo ranje nan menm fason an. Nou fè li pou sèlman minimòm sèvis ki nesesè yo kouri sou pyès ki nan konpitè, tout rès la kouri sou machin vityèl. Nou bati sèvis ki pi wo ki baze sou sèvis enfrastrikti debaz yo, epi tou nou itilize Cloud pou rezoud kèk pwoblèm jeni, pou egzanp, nan kad Entegrasyon Kontinyèl.
Si nou gade nan yon lame espesifik, nou ka wè ke gen twa eleman ki kouri sou OS lame a:
- Compute - pati ki responsab pou distribisyon resous informatique sou lame a.
- VRouter se yon pati nan Tungstène twal ki òganize yon kouvri, se sa ki, li tinèl pakè atravè yon underlay.
- VDisks yo se moso nan Virtualization depo.
Anplis de sa, sèvis yo lanse nan machin vityèl: Sèvis enfrastrikti nwaj, sèvis platfòm ak kapasite kliyan. Kapasite kliyan ak sèvis platfòm toujou ale nan superposition a atravè VRouter.
Sèvis enfrastrikti ka kole nan kouvri a, men fondamantalman yo vle travay nan underlay la. Yo kole nan underlay la avèk èd nan SR-IOV. An reyalite, nou koupe kat la nan kat rezo vityèl (fonksyon vityèl) epi pouse yo nan enfrastrikti machin vityèl pou yo pa pèdi pèfòmans. Pa egzanp, menm CloudGate lanse kòm youn nan machin vityèl enfrastrikti sa yo.
Kounye a ke nou te dekri travay mondyal yo nan rezo a vityèl ak estrikti a nan eleman debaz yo nan nwaj la, kite a wè ki jan egzakteman diferan pati yo nan rezo a vityèl kominike youn ak lòt.
Nou distenge twa kouch nan sistèm nou an:
- Config Plane - fikse eta sib sistèm lan. Sa a se sa itilizatè a konfigirasyon atravè API a.
- Avyon Kontwòl - bay semantik defini itilizatè a, se sa ki, pote eta a Avyon Done nan sa ki te dekri pa itilizatè a nan Plan Config.
- Avyon Done - dirèkteman trete pake itilizatè a.
Kòm mwen te di pi wo a, li tout kòmanse ak lefèt ke itilizatè a oswa sèvis platfòm entèn vini nan API a epi dekri yon sèten eta sib.
Eta sa a imedyatman ekri nan baz done Yandex, retounen ID operasyon asynchrone atravè API a, epi li kòmanse machin entèn nou an pou retounen eta itilizatè a te vle. Travay konfigirasyon ale nan kontwolè SDN a epi di Tungstène Fabric sa pou yo fè nan superposition a. Pou egzanp, yo rezève pò, rezo vityèl, ak renmen an.
Avyon konfigirasyon nan Tungstène twal voye eta obligatwa a nan Avyon kontwòl la. Atravè li, Config Plane kominike ak lame yo, di ki sa egzakteman pral vire sou yo byento.
Koulye a, kite a wè ki jan sistèm nan sanble sou gen tout pouvwa a. Machin vityèl la gen yon adaptè rezo konekte nan VRouter. VRouter se yon modil nwayo Tungstène twal ki gade pake. Si gen deja yon koule pou kèk pake, modil la trete li. Si pa gen okenn koule, modil la fè sa yo rele punting, se sa ki, li voye yon pake nan pwosesis usermod la. Pwosesis la analize pake a epi swa reponn li tèt li, tankou DHCP ak DNS, oswa di VRouter sa pou l fè ak li. Apre sa, VRouter ka trete pake a.
Anplis de sa, trafik ant machin vityèl nan menm rezo vityèl la ale transparan, li pa dirije nan CloudGate. Gen tout pouvwa a sou ki machin yo vityèl yo deplwaye kominike dirèkteman youn ak lòt. Yo fè tinèl trafik epi voye li youn pou lòt nan underlay la.
Avyon kontwòl yo kominike youn ak lòt ant zòn disponiblite atravè BGP, menm jan ak yon lòt routeur. Yo di ki machin ki monte kote pou VM nan yon zòn ka kominike dirèkteman ak lòt VM.
Ak Avyon Kontwòl kominike ak CloudGate. Menm jan an tou, li rapòte ki kote ak ki machin vityèl yo leve soti vivan, ki adrès yo genyen. Sa a pèmèt ou dirije trafik ekstèn ak trafik soti nan balanse yo.
Trafik ki kite VPC a vini nan CloudGate, nan chemen done a, kote VPP a ak grefon nou yo byen vit moulen moute. Lè sa a, trafik la te tire swa nan lòt VPC oswa deyò, nan fwontyè routeurs ki configuré nan Avyon Kontwòl nan CloudGate tèt li.
Plan pou fiti prè
Si nou rezime tout sa ki di pi wo a nan kèk fraz, nou ka di ke VPC nan Yandex.Cloud rezoud de travay enpòtan:
- Bay izolasyon ant kliyan diferan.
- Konbine resous, enfrastrikti, sèvis platfòm, lòt nwaj ak sou lokal nan yon sèl rezo.
Ak yo nan lòd yo rezoud pwoblèm sa yo byen, ou bezwen bay évolutivité ak tolerans fay nan nivo a nan achitekti entèn la, ki VPC fè.
Piti piti VPC achte fonksyon, nou aplike nouvo karakteristik, nou eseye amelyore yon bagay an tèm de konvenyans itilizatè. Gen kèk ide yo eksprime epi yo jwenn sou lis priyorite gras a manm kominote nou an.
Kounye a nou gen lis plan sa yo pou fiti prè:
- VPN kòm yon sèvis.
- Enstans DNS prive yo se imaj pou byen vit mete kanpe machin vityèl ak yon sèvè DNS pre-konfigirasyon.
- DNS kòm yon sèvis.
- Balanse chaj entèn.
- Ajoute yon adrès IP "blan" san yo pa rkree machin vityèl la.
Ekilib la ak kapasite nan chanje adrès IP la pou yon machin vityèl deja kreye yo te sou lis sa a sou demann itilizatè yo. Pou nou onèt, san fidbak eksplisit, nou ta pran sou fonksyon sa yo yon ti kras pita. Se konsa, nou deja ap travay sou pwoblèm nan sou adrès.
Okòmansman, yon adrès IP "blan" te kapab sèlman ajoute lè w ap kreye yon machin. Si itilizatè a bliye fè sa, machin vityèl la te dwe rkree. Menm bagay la tou, epi, si sa nesesè, retire IP ekstèn lan. Li pral byento posib yo vire IP piblik la sou ak koupe san yo pa gen rkree machin nan.
Ou lib pou eksprime ou lòt itilizatè yo. Ou ede nou fè Cloud la pi byen epi jwenn karakteristik enpòtan ak itil pi vit!
Sous: www.habr.com