В 前号 ネットワーク自動化フレームワークについて説明しました。 一部の人々によると、この問題への最初のアプローチでも、すでにいくつかの疑問点が解決されています。 このサイクルの目標は Ansible を Python スクリプトでカバーすることではなく、システムを構築することなので、これは私にとって非常に嬉しいことです。

同じフレームワークによって、質問に対処する順序が決まります。
また、この号で取り上げるネットワーク仮想化は、自動化を分析する ADSM のトピックには特に当てはまりません。

しかし、別の角度から見てみましょう。

多くのサービスは、長期間にわたって同じネットワークを使用してきました。 通信事業者の場合、2G、3G、LTE、ブロードバンド、B2B などがこれにあたります。 DC の場合: さまざまなクライアント、インターネット、ブロック ストレージ、オブジェクト ストレージへの接続。

そして、すべてのサービスは相互に分離する必要があります。 これがオーバーレイネットワークの登場です。

そしてすべてのサービスは、人が手動で構成するのを待ちたくありません。 こうしてオーケストレーターとSDNが登場しました。

ネットワーク、あるいはネットワークの一部を体系的に自動化するための最初のアプローチは、VMWare、OpenStack、Google Compute Cloud、AWS、Facebook など、多くの場所で長い間採用され、実装されてきました。

今日はそれを扱います。

ページ内容

• Причины
• 用語
• アンダーレイ - 物理ネットワーク
• オーバーレイ - 仮想ネットワーク
  • ToR によるオーバーレイ
  • ホストからのオーバーレイ
  • 例としてタングステンファブリックを使用する
    • 単一の物理マシン内での通信
    • 異なる物理マシン上にある VM 間の通信
    • 外の世界へ出る

• よくある質問
• まとめ
• 便利なリンク集

Причины

これについて話しているので、ネットワーク仮想化の前提条件について言及する価値があります。 実際、このプロセスは昨日始まったものではありません。

おそらく、ネットワークは常にシステムの中で最も不活性な部分であるということを何度も聞いたことがあるでしょう。 そしてこれはあらゆる意味で真実です。 ネットワークはすべての基盤であり、ネットワークに変更を加えるのは非常に困難です。ネットワークがダウンしている場合、サービスはネットワークを許容しません。 多くの場合、単一ノードを廃止すると、アプリケーションの大部分が停止し、多くの顧客に影響を与える可能性があります。 これが、ネットワーク チームがいかなる変更にも抵抗する理由の XNUMX つです。なぜなら、現在は何とか機能しているからです (私たちはその方法さえ知らないかもしれません) ですが、ここでは何か新しい設定を行う必要があり、それがネットワークにどのような影響を与えるかは不明です。

ネットワーカーが VLAN を挿入するのを待たず、各ネットワーク ノードにサービスを登録しないようにするために、人々は、GRE、IPinIP、MPLS、 MPLS L2/L3VPN、VXLAN、GENEVE、MPLSoverUDP、MPLSoverGREなど

彼らの魅力は次の XNUMX つの単純な点にあります。

• エンド ノードのみが構成されます。トランジット ノードには触れる必要はありません。 これによりプロセスが大幅にスピードアップし、場合によっては、新しいサービスの導入プロセスからネットワーク インフラストラクチャ部門を完全に排除できるようになります。
• 負荷はヘッダーの奥深くに隠されています。中継ノードは、負荷について、ホスト上のアドレス指定について、またはオーバーレイ ネットワークのルートについて何も知る必要がありません。 これは、テーブルに保存する必要がある情報が少なくなり、よりシンプルで安価なデバイスを使用できることを意味します。

この完全に本格的ではない号では、考えられるすべてのテクノロジーを分析するつもりはありませんが、むしろ DC でのオーバーレイ ネットワークの運用のフレームワークについて説明します。

このシリーズ全体では、同じサーバー機器が設置された同一のラックの列で構成されるデータセンターについて説明します。

この装置は、サービスを実装する仮想マシン/コンテナ/サーバーレスを実行します。

用語

サイクル内 サーバ クライアント/サーバー通信のサーバー側を実装するプログラムに名前を付けます。

ラック内の物理マシンはサーバーと呼ばれます ノー 私達はします。

物理マシン — ラックに設置された x86 コンピューター。 最も頻繁に使用される用語 ホスト。 それを私たちはそう呼びます」マシン"または ホスト.

ハイパーバイザー - 仮想マシンが実行される物理リソースをエミュレートする、物理マシン上で実行されるアプリケーション。 文献やインターネットでは、「ハイパーバイザー」という言葉が「ホスト」の同義語として使用されることがあります。

仮想マシン - ハイパーバイザー上の物理マシン上で実行されるオペレーティング システム。 このサイクルにいる私たちにとって、それが実際に仮想マシンであるか単なるコンテナであるかは、あまり重要ではありません。 それを「」と呼びましょうVM«

テナント は広い概念であり、この記事では別のサービスまたは別のクライアントとして定義します。

マルチテナンシー またはマルチテナント - 異なるクライアント/サービスによる同じアプリケーションの使用。 同時に、クライアント間の分離は、個別に実行されるインスタンスではなく、アプリケーション アーキテクチャのおかげで実現されます。

ToR — トップオブラックスイッチ - すべての物理マシンが接続されているラックに設置されたスイッチ。

ToR トポロジに加えて、さまざまなプロバイダーが End of Row (EoR) または Middle of Row を実践しています (ただし、後者は軽蔑されるほどまれであり、MoR の略語は見たことがありません)。

アンダーレイネットワーク または、基盤となるネットワークまたはアンダーレイは、スイッチ、ルーター、ケーブルなどの物理ネットワーク インフラストラクチャです。

オーバーレイネットワーク またはオーバーレイ ネットワークまたはオーバーレイ - 物理ネットワーク上で実行されるトンネルの仮想ネットワーク。

L3ファブリックまたはIPファブリック - 面接のために STP を繰り返したり、TRILL を学習したりすることを避けることができる人類の驚くべき発明です。 アクセス レベルまでのネットワーク全体が L3 のみで構成され、VLAN がなく、したがって巨大な拡張ブロードキャスト ドメインが存在しないという概念。 次のパートでは、「工場」という言葉の由来について見ていきます。

SDN - ソフトウェア デファインド ネットワーク。 ほとんど紹介の必要はありません。 ネットワークへの変更を人ではなくプログラムによって行うネットワーク管理へのアプローチ。 通常、コントロール プレーンをエンド ネットワーク デバイスを越えてコントローラに移動することを意味します。

NFV — ネットワーク機能の仮想化 — ネットワーク デバイスの仮想化。これは、一部のネットワーク機能を仮想マシンまたはコンテナの形式で実行して、新しいサービスの実装を高速化し、サービス チェーンを組織し、よりシンプルな水平スケーラビリティを実現できることを示唆しています。

VNF - 仮想ネットワーク機能。 特定の仮想デバイス: ルーター、スイッチ、ファイアウォール、NAT、IPS/IDS など。

読者をあまり混乱させないように、特定の実装についての説明を意図的に単純化しています。 より思慮深い読み物については、次のセクションを参照してください。 リファレンス。 さらに、Roma Gorge はこの記事が不正確であると批判し、サーバーとネットワークの仮想化テクノロジについて、より詳細に、細部にまで注意を払って別の記事を書くことを約束しています。

今日のほとんどのネットワークは、次の XNUMX つの部分に明確に分類できます。

下敷き — 安定した構成の物理ネットワーク。
オーバーレイ — テナントを分離するためのアンダーレイの抽象化。

これは、DC (この記事で分析します) の場合と ISP (既に分析されているため分析しません) の両方に当てはまります。 SDSM）。 もちろん、企業ネットワークでは状況が多少異なります。

ネットワークに焦点を当てた画像:

下敷き

アンダーレイは物理ネットワーク、つまりハードウェア スイッチとケーブルです。 地下にあるデバイスは、物理マシンにアクセスする方法を知っています。

これは標準のプロトコルとテクノロジーに依存しています。 特に、今日までのハードウェア デバイスは、チップのプログラミングや独自のプロトコルの実装を許可しない独自のソフトウェアで動作しているため、他のベンダーとの互換性と標準化が必要です。

しかし、Google のような企業は、独自のスイッチを開発し、一般に受け入れられているプロトコルを放棄する余裕があります。 ただし、LAN_DC は Google ではありません。

アンダーレイの役割は物理マシン間の基本的な IP 接続であるため、アンダーレイが変更されることは比較的まれです。 アンダーレイは、その上で実行されているサービス、クライアント、またはテナントについては何も知りません。必要なのは、あるマシンから別のマシンにパッケージを配信することだけです。
アンダーレイは次のようになります。

• IPv4+OSPF
• IPv6+ISIS+BGP+L3VPN
• L2+トリル
• L2+STP

アンダーレイ ネットワークは、CLI/GUI/NETCONF という従来の方法で構成されます。

手動、スクリプト、独自のユーティリティ。

シリーズの次の記事では、アンダーレイについて詳しく説明します。

オーバーレイ

オーバーレイは、アンダーレイの上に張られたトンネルの仮想ネットワークであり、XNUMX つのクライアントの VM が相互に通信できるようにしながら、他のクライアントから分離することができます。

クライアント データは、パブリック ネットワーク経由で送信するために、いくつかのトンネリング ヘッダーにカプセル化されます。

そのため、XNUMX つのクライアント (XNUMX つのサービス) の VM は、パケットが実際にどのパスを通過するかを知らなくても、オーバーレイを介して相互に通信できます。

オーバーレイは、たとえば、上で述べたようなものになります。

• GREトンネル
• VXLAN
• EVPN
• L3VPN
• GENEVE

オーバーレイ ネットワークは通常、中央コントローラーを通じて構成および維持されます。 そこから、設定、コントロール プレーン、およびデータ プレーンが、クライアント トラフィックをルーティングしてカプセル化するデバイスに配信されます。 少し 以下 これを例を挙げて見てみましょう。

はい、これは最も純粋な形の SDN です。

オーバーレイ ネットワークを構成するには、根本的に異なる XNUMX つのアプローチがあります。

1. ToR によるオーバーレイ
2. ホストからのオーバーレイ

ToR によるオーバーレイ

オーバーレイは、たとえば VXLAN ファブリックの場合のように、ラック内にあるアクセス スイッチ (ToR) から開始することができます。

これは ISP ネットワークで実績のあるメカニズムであり、すべてのネットワーク機器ベンダーがサポートしています。

ただし、この場合、ToR スイッチはさまざまなサービスをそれぞれ分離できなければならず、ネットワーク管理者は仮想マシン管理者とある程度協力して、デバイスの構成を (自動的ではありますが) 変更する必要があります。 。

ここで読者に次の記事を紹介します。 ハブレの VxLAN 私たちの古い友人 @bormoglotx.
これで ENOG とのプレゼンテーション EVPN VXLAN ファブリックを使用して DC ネットワークを構築するアプローチについて詳しく説明します。

より完全に現実に浸りたい場合は、ツィスカの本を読んでください。 最新、オープン、スケーラブルなファブリック: VXLAN EVPN.

VXLAN は単なるカプセル化方式であり、たとえば OpenStack の場合のように、トンネルの終了は ToR 上ではなくホスト上で発生する可能性があることに注意してください。

ただし、オーバーレイが ToR で開始される VXLAN ファブリックは、確立されたオーバーレイ ネットワーク設計の XNUMX つです。

ホストからのオーバーレイ

もう XNUMX つのアプローチは、エンド ホストでトンネルを開始および終了することです。
この場合、ネットワーク (アンダーレイ) は可能な限り単純かつ静的なままです。
そして、ホスト自体が必要なカプセル化をすべて実行します。

もちろん、これにはホスト上で特別なアプリケーションを実行する必要がありますが、それだけの価値はあります。

まず、Linux マシン上でクライアントを実行するのは簡単、あるいは可能ですらありますが、スイッチ上では独自の SDN ソリューションを使用する必要が生じる可能性が高く、マルチベンダーの概念が無効になります。

第 XNUMX に、この場合の ToR スイッチは、コントロール プレーンとデータ プレーンの両方の観点から、可能な限り単純なままにすることができます。 実際、SDN コントローラーと通信する必要はなく、接続されているすべてのクライアントのネットワーク/ARP を保存する必要もありません。物理マシンの IP アドレスがわかれば十分であり、スイッチング/ルーティングテーブル。

ADSM シリーズでは、ホストからのオーバーレイ アプローチを選択します。その後は、それについてのみ話し、VXLAN ファクトリーには戻りません。

例を見るのが最も簡単です。 そして、テスト対象として、現在は OpenContrail として知られるオープンソース SDN プラットフォームを取り上げます。 タングステン生地.

記事の最後では、OpenFlow と OpenvSwitch の類似点についていくつかの考えを述べます。

例としてタングステンファブリックを使用する

各物理マシンには、 vルーター - 接続されているネットワークと、それらがどのクライアントに属しているかを認識している仮想ルーター - 本質的には PE ルーターです。 クライアントごとに、分離されたルーティング テーブル (VRF を読み取り) を維持します。 そして、vRouter は実際にオーバーレイ トンネリングを実行します。

vRouter については記事の最後で詳しく説明します。

ハイパーバイザー上にある各 VM は、次の方法でこのマシンの vRouter に接続されます。 タップインターフェース.

TAP - ターミナル アクセス ポイント - ネットワーク対話を可能にする Linux カーネルの仮想インターフェイス。

vRouter の背後に複数のネットワークがある場合、それぞれに仮想インターフェイスが作成され、IP アドレスが割り当てられます。これがデフォルト ゲートウェイ アドレスになります。
XNUMX つのクライアントのすべてのネットワークが XNUMX つのネットワークに配置されます VRF (XNUMX つのテーブル)、異なるもの - 異なるものに。
すべてがそれほど単純ではないことをここでお断りし、好奇心旺盛な読者は記事の最後まで読んでください。.

vRouter が相互に通信できるように、またその背後にある VM も通信できるように、vRouter は次の方法でルーティング情報を交換します。 SDNコントローラー.

外の世界へ出るには、マトリックスからの出口、つまり仮想ネットワークゲートウェイがあります。 VNGW - 仮想ネットワーク ゲートウェイ (私の任期).

次に、コミュニケーションの例を見てみましょう。そうすれば明らかになるでしょう。

単一の物理マシン内での通信

VM0 は VM2 にパケットを送信したいと考えています。 ここでは、これが単一のクライアント VM であると仮定します。

データプレーン

1. VM-0 には、eth0 インターフェイスへのデフォルト ルートがあります。 そこに荷物が送られてきます。
   このインターフェイス eth0 は、実際には TAP インターフェイス Tap0 を介して仮想ルータ vRouter に仮想的に接続されます。
2. vRouter は、パケットがどのインターフェイスに来たのか、つまりどのクライアント (VRF) に属しているのかを分析し、そのクライアントのルーティング テーブルで受信者のアドレスを確認します。
3. 同じマシン上の受信者が別のポート上にあることを検出すると、vRouter は追加のヘッダーを付けずに単純にパケットを送信します。この場合、vRouter はすでに ARP レコードを持っています。

この場合、パケットは物理ネットワークには入らず、vRouter 内でルーティングされます。

コントロールプレーン

仮想マシンが起動すると、ハイパーバイザーは次のように指示します。

• 彼女自身の IP アドレス。
• デフォルト ルートは、このネットワーク上の vRouter の IP アドレスを経由します。

ハイパーバイザーは、特別な API を通じて vRouter に報告します。

• 仮想インターフェイスを作成するために必要なもの。
• VM はどのような種類の仮想ネットワークを作成する必要がありますか?
• どの VRF (VN) にバインドするか。
• この VM の静的 ARP エントリ - どのインターフェイスがその IP アドレスの背後にあり、どの MAC アドレスに関連付けられているか。

繰り返しますが、実際の対話手順は、概念を理解するために簡略化されています。

したがって、vRouter は、特定のマシン上の XNUMX つのクライアントのすべての VM を直接接続されたネットワークとして認識し、それらの間でルーティングを行うことができます。

ただし、VM0 と VM1 は異なるクライアントに属しているため、異なる vRouter テーブルに存在します。

相互に直接通信できるかどうかは、vRouter の設定とネットワーク設計によって異なります。
たとえば、両方のクライアントの VM がパブリック アドレスを使用している場合、または vRouter 自体で NAT が発生している場合、vRouter への直接ルーティングを実行できます。

逆の状況では、アドレス空間を越える可能性があります。パブリック アドレスを取得するには NAT サーバーを経由する必要があります。これは、以下で説明する外部ネットワークへのアクセスに似ています。

異なる物理マシン上にある VM 間の通信

データプレーン

1. 最初はまったく同じです。VM-0 は、デフォルトで宛先 VM-7 (172.17.3.2) を指定してパケットを送信します。
2. vRouter はそれを受信し、今度は宛先が別のマシン上にあり、Tunnel0 経由でアクセスできることを確認します。
3. まず、リモート インターフェイスを識別する MPLS ラベルをハングします。これにより、vRouter は追加の検索を行わずに、逆側でこのパケットの配置場所を決定できます。

   

4. Tunnel0 の送信元は 10.0.0.2、宛先は 10.0.1.2 です。
   vRouter は、GRE (または UDP) ヘッダーと新しい IP を元のパケットに追加します。
5. vRouter ルーティング テーブルには、ToR1 アドレス 10.0.0.1 を経由するデフォルト ルートがあります。 そこに彼はそれを送ります。

   
   

6. ToR1 はアンダーレイ ネットワークのメンバーとして、(たとえば OSPF 経由で) 10.0.1.2 に到達する方法を認識し、ルートに沿ってパケットを送信します。 ここでは ECMP が有効になっていることに注意してください。 図には 4 つのネクストホップがあり、異なるスレッドがハッシュによってそれらにソートされます。 実際の工場の場合、ネクストホップは XNUMX つになる可能性が高くなります。

   同時に、外部 IP ヘッダーの下に何があるかを知る必要もありません。 つまり、実際には、IP の下で、IPv6、MPLS、イーサネット、MPLS、GRE、Greek のサンドイッチが存在する可能性があります。

7. したがって、受信側では、vRouter が GRE を削除し、MPLS タグを使用して、このパケットがどのインターフェイスに送信されるべきかを理解して、パケットを取り除き、元の形式で受信者に送信します。

コントロールプレーン

車を始動すると、上記と同じことが起こります。

さらに次のことも加えます。

• vRouter はクライアントごとに MPLS タグを割り当てます。 これは L3VPN サービス ラベルであり、これによってクライアントが同じ物理マシン内で分離されます。
  

  実際、MPLS タグは常に vRouter によって無条件に割り当てられます。結局のところ、マシンが同じ vRouter の背後にある他のマシンとのみ対話することは事前に知られておらず、これはおそらく当てはまりません。

• vRouter は、BGP プロトコル (またはそれに類似したプロトコル、TF の場合は XMPP 0_o) を使用して SDN コントローラーとの接続を確立します。
• このセッションを通じて、vRouter は接続されたネットワークへのルートを SDN コントローラーに報告します。
  • ネットワークアドレス
  • カプセル化方式（MPLSoGRE、MPLSoUDP、VXLAN）
  • MPLSクライアントタグ
  • ネクストホップとしての IP アドレス

• SDN コントローラーは、接続されているすべての vRouter からそのようなルートを受信し、他の vRouter に反映します。 つまり、ルート リフレクターとして機能します。

逆方向でも同じことが起こります。

オーバーレイは少なくとも XNUMX 分ごとに変更できます。 これは、クライアントが定期的に仮想マシンを起動およびシャットダウンするパブリック クラウドで発生することとほぼ同じです。

中央コントローラーは、構成の維持と vRouter 上のスイッチング/ルーティング テーブルの監視という複雑な作業をすべて処理します。

大まかに言えば、コントローラーは BGP (または同様のプロトコル) を介してすべての vRouter と通信し、ルーティング情報を送信するだけです。 たとえば、BGP には、カプセル化方式を伝えるためのアドレス ファミリがすでにあります。 GRE 内の MPLS または MPLS-in-UDP.

同時に、アンダーレイ ネットワークの構成はまったく変更されません。ちなみに、これは自動化がはるかに難しく、ぎこちない動きで中断されやすくなります。

外の世界へ出る

どこかでシミュレーションを終了し、仮想世界を出て現実の世界に入る必要があります。 そして公衆電話ゲートウェイも必要です。

次の XNUMX つのアプローチが実践されています。

1. ハードウェアルーターがインストールされています。
2. ルーターの機能を実装するアプライアンスが起動されます (はい、SDN に続いて、VNF も登場しました)。 これを仮想ゲートウェイと呼びましょう。

XNUMX 番目のアプローチの利点は、低コストの水平スケーラビリティです。電力が不足しています。ゲートウェイを備えた別の仮想マシンを起動しました。 どの物理マシンでも、空きラック、ユニット、電源出力を探したり、ハードウェア自体を購入したり、輸送したり、設置したり、切り替えたり、構成したりする必要がなく、また、ハードウェア内の障害のあるコンポーネントも交換できます。

仮想ゲートウェイの欠点は、物理ルーターのユニットが依然としてマルチコア仮想マシンよりも桁違いに強力であり、そのソフトウェアは独自のハードウェア ベースに合わせて調整され、はるかに安定して動作することです (ノー）。 また、ハードウェアとソフトウェアの複合体は構成のみを必要として単純に機能する一方で、仮想ゲートウェイの起動と保守は優秀なエンジニアの仕事であるという事実も否定するのは困難です。

ゲートウェイは片足で通常の仮想マシンと同様にオーバーレイ仮想ネットワークを調べ、他のすべての VM と対話できます。 同時に、すべてのクライアントのネットワークを終端し、それに応じてクライアント間のルーティングを実行できます。

ゲートウェイはもう一方の足でバックボーン ネットワークを調べ、インターネットに接続する方法を認識します。

データプレーン

つまり、プロセスは次のようになります。

1. VM-0 は、デフォルトで同じ vRouter を使用し、外部 (185.147.83.177) を宛先とするパケットを eth0 インターフェイスに送信します。
2. vRouter はこのパケットを受信し、ルーティング テーブルで宛先アドレスを検索し、トンネル 1 を介して VNGW1 ゲートウェイを経由するデフォルト ルートを見つけます。
   また、これが SIP 10.0.0.2 および DIP 10.0.255.2 の GRE トンネルであることもわかり、VNGW1 が予期しているこのクライアントの MPLS ラベルを最初に付加する必要もあります。
3. vRouter は、初期パケットを MPLS、GRE、および新しい IP ヘッダーでパックし、デフォルトで ToR1 10.0.0.1 に送信します。
4. 基盤となるネットワークはパケットをゲートウェイ VNGW1 に配信します。
5. VNGW1 ゲートウェイは、GRE および MPLS トンネリング ヘッダーを削除し、宛先アドレスを確認し、そのルーティング テーブルを参照して、インターネット、つまりフル ビューまたはデフォルトを通じて送信されていることを理解します。 必要に応じて、NAT 変換を実行します。
6. VNGW から国境まで通常の IP ネットワークが存在する可能性はありますが、その可能性は低いです。
   従来の MPLS ネットワーク (IGP+LDP/RSVP TE) が存在する場合もあれば、BGP LU を備えたバック ファブリックや、VNGW から IP ネットワーク経由で境界への GRE トンネルが存在する場合もあります。
   いずれにせよ、VNGW1 は必要なカプセル化を実行し、最初のパケットを境界に向けて送信します。

逆方向のトラフィックは、同じステップを逆の順序で通過します。

1. ボーダーはパケットを VNGW1 にドロップします
2. 彼は服を脱いで受信者のアドレスを調べ、Tunnel1 トンネル (MPLSoGRE または MPLSoUDP) を介してアクセスできることを確認します。
3. したがって、MPLS ラベル、GRE/UDP ヘッダー、および新しい IP を添付して、ToR3 10.0.255.1 に送信します。
   トンネル宛先アドレスは、ターゲット VM が配置されている vRouter の IP アドレス (10.0.0.2) です。
4. 基盤となるネットワークは、パケットを目的の vRouter に配信します。
5. ターゲット vRouter は GRE/UDP を読み取り、MPLS ラベルを使用してインターフェイスを識別し、VM の eth0 に関連付けられた TAP インターフェイスにベア IP パケットを送信します。

コントロールプレーン

VNGW1 は、SDN コントローラーとの BGP ネイバーフッドを確立し、そこからクライアントに関するすべてのルーティング情報、つまりどの IP アドレス (vRouter) がどのクライアントの背後にあるか、どの MPLS ラベルによって識別されるかを受信します。

同様に、彼自身が、このクライアントのラベルを持つデフォルト ルートを SDN コントローラーに通知し、自分自身をネクストホップとして示します。 そして、このデフォルトが vRouter に到着します。

VNGW では、通常、ルート集約または NAT 変換が発生します。

そして逆方向では、この集約ルートをボーダーまたはルート リフレクターを使用してセッションに正確に送信します。 そして、それらから、デフォルト ルート、フルビュー、またはその他のものを受け取ります。

カプセル化とトラフィック交換の点では、VNGW は vRouter と何ら変わりません。
範囲を少し拡張すると、ファイアウォール、トラフィック クリーニングまたはエンリッチメント ファーム、IPS などの他のネットワーク デバイスを VNGW および vRouter に追加できます。

また、VRF の順次作成とルートの正しいアナウンスの助けを借りて、トラフィックを希望通りに強制的にループさせることができます。これはサービス チェーンと呼ばれます。

つまり、ここでも SDN コントローラーは、VNGW、vRouter、およびその他のネットワーク デバイス間のルート リフレクターとして機能します。

しかし実際には、コントローラは ACL および PBR (ポリシー ベース ルーティング) に関する情報も公開するため、個々のトラフィック フローがルートの指示とは異なる方向に進むことになります。

よくある質問

なぜいつも GRE/UDP について発言するのですか?

まあ、一般的に、これはタングステン ファブリックに特有のものであると言えます。まったく考慮する必要はありません。

しかし、そう考えると、TF 自体は、まだ OpenContrail でありながら、GRE の MPLS と UDP の MPLS の両方のカプセル化をサポートしていました。

UDP が優れているのは、ソース ポートでヘッダー内の元の IP+プロトコル+ポートからハッシュ関数をエンコードするのが非常に簡単で、これによりバランシングが可能になるためです。

GRE の場合、悲しいことに、外部 IP ヘッダーと GRE ヘッダーしかありません。これらはすべてのカプセル化されたトラフィックで同じであり、バランシングについての話はありません。パケットの内部をこれほど深く調べることができる人はほとんどいません。

しばらく前まで、ルータは、動的トンネルの使用方法を知っているとしても、MPLSoGRE でのみ使用していましたが、MPLSoUDP の使用方法を学習したのはごく最近のことです。 したがって、XNUMX つの異なるカプセル化の可能性について常にメモしておく必要があります。

公平を期すために、TF が VXLAN を使用した L2 接続を完全にサポートしていることは注目に値します。

あなたは OpenFlow と類似点を示すと約束しました。
彼らは本当にそれを求めています。 同じ OpenStack 内の vSwitch も、VXLAN を使用して、非常に似たようなことを行います。ちなみに、これにも UDP ヘッダーがあります。

データ プレーンではほぼ同じように機能しますが、コントロール プレーンでは大きく異なります。 Tungsten Fabric は XMPP を使用してルーティング情報を vRouter に配信し、OpenStack は Openflow を実行します。

vRouter についてもう少し詳しく教えていただけますか?
これは、vRouter Agent と vRouter Forwarder の XNUMX つの部分に分かれています。

XNUMX つ目はホスト OS のユーザー スペースで実行され、SDN コントローラーと通信して、ルート、VRF、および ACL に関する情報を交換します。

XNUMX つ目は、データ プレーンを実装します。通常はカーネル スペースにありますが、SmartNIC 上でも実行できます。CPU と別個のプログラマブル スイッチング チップを備えたネットワーク カードです。これにより、ホスト マシンの CPU の負荷を軽減し、ネットワークをより高速かつ高速にすることができます。予測可能な。

もう XNUMX つの考えられるシナリオは、vRouter がユーザー スペースの DPDK アプリケーションであることです。

vRouter Agent は設定を vRouter Forwarder に送信します。

仮想ネットワークとは何ですか?
VRF に関する記事の冒頭で、各テナントが独自の VRF に関連付けられていると述べました。 これでオーバーレイ ネットワークの動作を表面的に理解するのに十分な場合は、次の反復で明確にする必要があります。

通常、仮想化メカニズムでは、仮想ネットワーク エンティティ (これは固有名詞であると考えることができます) は、クライアント/テナント/仮想マシンとは別に、完全に独立したものとして導入されます。 そして、この仮想ネットワークは、インターフェイスを介して、XNUMX つのテナント、別のテナント、XNUMX つのテナント、または任意の場所にすでに接続できます。 したがって、たとえば、トラフィックが必要な順序で特定のノードを通過する必要がある場合、サービス チェーンは、仮想ネットワークを正しい順序で作成して接続するだけで実装されます。

したがって、仮想ネットワークとテナントの間には直接の対応関係はありません。

まとめ

これは、ホストと SDN コントローラーからのオーバーレイを使用した仮想ネットワークの動作の非常に表面的な説明です。 ただし、VMWare、ACI、OpenStack、CloudStack、Tungsten Fabric、Juniper Contrail など、現在どの仮想化プラットフォームを選択しても、同様に機能します。 カプセル化とヘッダーのタイプ、エンド ネットワーク デバイスに情報を配信するためのプロトコルは異なりますが、比較的単純で静的なアンダーレイ ネットワーク上で動作するソフトウェアで構成可能なオーバーレイ ネットワークの原理は変わりません。
現在、オーバーレイ ネットワークをベースとした SDN がプライベート クラウド構築の分野で勝利を収めたと言えます。 ただし、これは Openflow が現代社会に存在しないという意味ではありません。Openflow は OpenStacke と同じ VMWare NSX で使用されており、私の知る限り、Google はアンダーグラウンド ネットワークのセットアップに Openflow を使用しています。

この問題をさらに詳しく調べたい場合は、以下に詳細な資料へのリンクを提供します。

アンダーレイはどうでしょうか?

しかし、一般的には何もありません。 彼はまったく変わっていませんでした。 ホストからのオーバーレイの場合に必要なのは、vRouter/VNGW としてのルートと ARP を更新し、それらの間でパケットを伝送することだけです。

アンダーレイ ネットワークの要件のリストを作成してみましょう。

1. この状況では、ある種のルーティング プロトコル (BGP) を使用できるようにします。
2. 過負荷によってパケットが失われないように、広い帯域幅を持ち、できればオーバーサブスクリプションを行わないでください。
3. ECMP のサポートはファブリックの不可欠な部分です。
4. ECN などの扱いにくいものを含む QoS を提供できるようになります。
5. NETCONF のサポートは将来の基盤です。

ここでは、アンダーレイ ネットワーク自体の作業にはほとんど時間を費やしませんでした。 これは、このシリーズの後半でこれに焦点を当て、オーバーレイについてはついでに触れるだけだからです。

明らかに、純粋な IP ルーティングとホストからのオーバーレイを備えた Cloz 工場内に構築された DC ネットワークを例として使用することで、私たち全員を厳しく制限しています。

しかし、私は、設計されたネットワークはすべて正式な用語で記述し、自動化できると確信しています。 ただ、ここでの私の目標は自動化へのアプローチを理解することであり、一般的な形式で問題を解決することで皆を混乱させることではありません。

ADSM の一環として、Roman Gorge と私は、コンピューティング能力の仮想化とネットワーク仮想化との相互作用に関する別号を発行する予定です。 連絡を取り合ってください。

便利なリンク集

• タングステンファブリックアーキテクチャ.
• 概要:クラウド。 Yandex.Cloud について 6 時間。TF 上の仮想ネットワークもカバーします。
• Open vSwitch とは何ですか?
• VxLAN の概要.
• RFC 7348. Virtual eXtensible Local Area Network (VXLAN): レイヤ 2 ネットワーク上に仮想レイヤ 3 ネットワークをオーバーレイするためのフレームワーク。
  
• VXLAN EVPN ファブリックへのスケールウェイ アプローチ。 アンダーレイ、オーバーレイ、マルチホーミングおよび管理へのアプローチを含む、DC ネットワーク全体について説明します。

ありがとう

• ローマのゴルガ - linkmeup ポッドキャストの元ホストで、現在はクラウド プラットフォームの分野の専門家です。 コメントと編集用。 そうですね、近い将来、仮想化に関する彼のより詳細な記事を待っています。
• アレクサンダー・シャリモフ - 私の同僚であり、仮想ネットワーク開発分野の専門家です。 コメントと編集用。
• バレンティン・シニツィン - 私の同僚であり、タングステンファブリックの分野の専門家です。 コメントと編集用。
• アルチョム・チェルノベイ — イラストレーターのリンクミーアップ。 KDPVの場合。
• アレクサンダー・リモノフ。 「オートトマト」ミームの場合。

出所： habr.com