Silav, navê min Kostya Kramlich e, ez pêşdebirê sereke yê beşa Cloud Taybet a Virtual li Yandex.Cloud me. Ez li ser torgilokek virtual dixebitim, û, wekî ku hûn texmîn dikin, di vê gotarê de ez ê bi gelemperî li ser cîhaza Cloud Private Virtual (VPC) û bi taybetî jî tora virtual biaxivim. Û hûn ê her weha fêr bibin ka çima em, pêşdebirên karûbar, nirx didin bertekên bikarhênerên xwe. Lê pêşî tiştên pêşîn.
VPC çi ye?
Naha, ji bo bicîhkirina karûbaran vebijarkên cûrbecûr hene. Ez bawer im ku kesek hîn jî serverek di bin maseya rêvebir de digire, her çend ez hêvî dikim ku çîrokên weha her ku diçe kêm dibin.
Naha karûbar hewl didin ku berbi ewrên giştî ve biçin, û li vir ew bi VPC-yan re rû bi rû dimînin. VPC beşek ji ewrê giştî ye ku bikarhêner, binesaziya, platform û kapasîteyên din bi hev re girêdide, li ku derê bin, li Cloud-a me an li derûdora me. Di heman demê de, VPC destûrê dide we ku hûn van kapasîteyên nehewceyî ji Internetnternetê re eşkere bikin;
Çi tora virtual ji derve dixuye
Mebesta me ji VPC, berî her tiştî, torgilokek sergirtî û karûbarên torê ye, wek VPNaaS, NATaas, LBaas, hwd. Û ev hemî li ser binesaziyek torê ya berteng-tehemûl, ya ku berê hatî nîqaş kirin dixebite. li vir li ser Habré.
Ka em ji nêz ve li tora virtual û avahiya wê mêze bikin.
Ka em li du qadên peydabûnê binêrin. Em torgilokek virtual peyda dikin - ya ku me jê re digot VPC. Bi rastî, ew cîhê bêhempabûna navnîşanên weya "gewr" diyar dike. Di nav her tora virtual de, we kontrola tam li ser cîhê navnîşanên ku hûn dikarin ji çavkaniyên hesabkirinê re veqetînin heye.
Tora gerdûnî ye. Di heman demê de, ew li ser her yek ji deverên berdestiyê di forma saziyek bi navê Subnet de tê pêşandan. Ji bo her Subnetê hûn CIDRek mezinahiya 16 an kêmtir destnîşan dikin. Her herêmek peydabûnê dikare ji yek saziyek wusa zêdetir hebe, û di navbera wan de her gav rêveçûnek zelal heye. Ev tê vê wateyê ku hemî çavkaniyên we di hundurê heman VPC-ê de dikarin bi hev re "biaxivin", hetta ew li Herêmên Berdestbûna cihê ne. "Têkilî" bêyî gihîştina Înternetê, bi rêya kanalên me yên navxweyî, "bifikirin" ku ew di nav heman torê ya taybet de ne.
Diagrama li jor rewşek tîpîk nîşan dide: du VPC-yên ku li cîhek di navnîşanên xwe de dikevin hev. Her du jî dikarin yên we bin. Mînakî, yek ji bo pêşkeftinê, ya din ji bo ceribandinê. Dibe ku tenê bikarhênerên cûda hebin - di vê rewşê de ne girîng e. Û her VPC yek makîneyek virtual heye.
Ka em planê xirabtir bikin. Hûn dikarin makîneyek virtual bi yekcarî bi çend Subnetan ve girêbidin. Û ne tenê wusa, lê di torên cûda yên virtual de.
Di heman demê de, heke hûn hewce ne ku makîneyên li ser Înternetê eşkere bikin, ev dikare bi navgîniya API an UI ve were kirin. Ji bo vê yekê, hûn hewce ne ku wergera NAT-a navnîşana xweya "gewr", navnîşa hundurîn, di nav "spî" - navnîşana gelemperî de mîheng bikin. Hûn nikarin navnîşek "spî" hilbijêrin, ew bi rengek rasthatî ji hewza navnîşana me tê destnîşankirin. Hema ku hûn karanîna IP-ya derveyî rawestînin, ew vedigere hewzê. Hûn tenê ji bo dema ku hûn navnîşana "spî" bikar tînin bidin.
Di heman demê de gengaz e ku meriv bi karanîna mînakek NAT-ê gihandina Înternetê bide makîneyê. Hûn dikarin bi navgîniya tabloyek rêvegirtina statîk ve trafîkê berbi mînaka xwe ve bişînin. Me dozek weha peyda kiriye ji ber ku bikarhêner carinan hewcedarê wê ne, û em pê dizanin. Li gorî vê yekê, di pelrêça wêneya me de wêneyek NAT-ê ya taybetî hatî mîheng kirin heye.
Lê tewra gava ku wêneyek NAT-a amade hebe, veavakirin dikare tevlihev be. Me fêm kir ku ji bo hin bikarhêneran ev ne vebijarka herî hêsan e, ji ber vê yekê di dawiyê de me ev gengaz kir ku NAT-ê ji bo Subneta xwestinê bi yek klîk çalak bike. Ev taybetmendî hîn jî di gihîştina pêşdîtina girtî de ye, ku ew bi alîkariya endamên civakê tê ceribandin.
Çawa torgilokek virtual ji hundur dixebite
Çawa bikarhênerek bi torgilokek virtual re têkilî dike? Tora bi API-ya xwe re li derve xuya dike. Bikarhêner tê API-yê û bi dewleta armanc re dixebite. Bi navgîniya API-ê, bikarhêner dibîne ku divê her tişt çawa were saz kirin û mîheng kirin, dema ku ew statûyê dibîne, ka rewşa rastîn ji ya xwestinê çawa cûda dibe. Ev wêneyê bikarhêner e. Di hundir de çi diqewime?
Em rewşa xwestinê di Daneya Yandex de tomar dikin û diçin ku beşên cihêreng ên VPC-ya xwe mîheng bikin. Tora servekirî ya li Yandex.Cloud li ser bingeha hêmanên hilbijartî yên OpenContrail, ku vê dawiyê jê re Fabric Tungsten tê gotin, hatî çêkirin. Karûbarên torê li ser yek platformek CloudGate têne bicîh kirin. Li CloudGate, me di heman demê de hejmarek hêmanên çavkaniya vekirî jî bikar anî: GoBGP ji bo birêvebirina agahdariya kontrolê, û her weha VPP ji bo bicîhkirina routerek nermalavê ku ji bo riya daneyê li ser DPDK-ê dixebite.
Fabric Tungsten bi rêya GoBGP bi CloudGate re têkilî dike. Tiştê ku di tora overlay de diqewime vedibêje. CloudGate, di encamê de, torên sergirtî bi hevûdu û bi Înternetê ve girêdide.
Naha em binihêrin ka torgilokek virtual çawa pirsgirêkên pîvanbûn û peydabûnê çareser dike. Werin em dozek hêsan bifikirin. Yek herêmek peydabûnê heye û du VPC tê de hatine afirandin. Me yek mînakek Fabric Tungsten bicîh kir, û ew çend deh hezaran toran dihewîne. Tora bi CloudGate re têkilî daynin. CloudGate, wekî me berê jî got, girêdana wan bi hev û din re û bi Înternetê re misoger dike.
Ka em bêjin Qada Berdestbûnê ya duyemîn tê zêdekirin. Divê ew bi tevahî serbixwe ji ya yekem têk bibe. Ji ber vê yekê, divê em di qada hebûna duyemîn de mînakek Tungsten Fabric veqetandî saz bikin. Ev ê pergalek veqetandî be ku serpêhatiyê digire û di derbarê pergala yekem de hindik dizane. Û xuyabûna ku tora meya virtual gerdûnî ye, bi rastî, API-ya meya VPC diafirîne. Ev wezîfeya wî ye.
VPC1 bi Zencîreya Berdestbûnê B ve tê nexşekirin heke Zona Berdestbûna B xwedan çavkaniyên ku di VPC1-ê de disekinin hene. Ger di qada hebûna B de çavkaniyek ji VPC2 tune be, em li vê deverê VPC2 pêk naynin. Wekî din, ji ber ku çavkaniyên ji VPC3 tenê li devera B hene, VPC3 li devera A tune. Her tişt hêsan û mentiqî ye.
Ka em hinekî kûrtir biçin û bibînin ka mêvandarek taybetî li Y.Cloud çawa dixebite. Tişta sereke ku ez dixwazim bala xwe bidim ev e ku hemî mêvandar bi heman rengî têne sêwirandin. Em piştrast dikin ku tenê hindiktirîn karûbarên pêwîst li ser hardware dimeşin; Em li ser bingeha karûbarên binesaziyê yên bingehîn karûbarên rêza bilind ava dikin, û di heman demê de Cloud-ê bikar tînin da ku hin pirsgirêkên endezyariyê çareser bikin, mînakî, wekî beşek ji Yekbûna Berdewam.
Ger em li mêvandarek taybetî mêze bikin, em dikarin bibînin ku di OS-ya mêvandar de sê hêman hene:
- Hesabkirin beşek e ku berpirsiyarê belavkirina çavkaniyên komputerê li ser mêvandar e.
- VRouter beşek ji Fabrîka Tungstenê ye, ku pêvekê birêxistin dike, ango ew pakêtan di binê binê de tunel dike.
- VDisks parçeyên virtualkirina hilanînê ne.
Wekî din, makîneyên virtual karûbaran dimeşînin: Karûbarên binesaziya Cloud, karûbarên platformê û kapasîteya xerîdar. Kapasîteyên xerîdar û karûbarên platformê her gav bi navgîniya VRouter ve diçin ser hev.
Karûbarên binesaziyê dikarin pêvekê bixin, lê bi piranî ew dixwazin di binavê de bixebitin. Ew bi karanîna SR-IOV di binavê de têne girtin. Bi rastî, em qertê li qertên tora virtual (fonksiyonên virtual) qut dikin û wan dixin nav makîneyên virtual yên binesaziyê da ku performansê winda nekin. Mînakî, heman CloudGate wekî yek ji van makîneyên virtual yên binesaziyê tê destpêkirin.
Naha ku me peywirên gerdûnî yên torgilokek virtual û sêwirana pêkhateyên bingehîn ên ewr diyar kir, ka em binihêrin ka bi rastî çawa beşên cihêreng ên tora virtual bi hevûdu re têkilî daynin.
Em di pergala xwe de sê qatan cuda dikin:
- Plana Config - rewşa armancê ya pergalê destnîşan dike. Ya ku bikarhêner bi navgîniya API-ê vesaz dike ev e.
- Balafira Kontrolê - semantîkên ku ji hêla bikarhêner ve hatî destnîşan kirin peyda dike, ango, ew rewşa Balafira Daneyê tîne ya ku ji hêla bikarhêner ve di Plana Config de hatî vegotin.
- Plana Daneyên - rasterast pakêtên bikarhêneran pêvajoyê dike.
Wekî ku min li jor jî got, ew hemî bi bikarhêner an karûbarê platforma navxweyî ya ku tê API-yê dest pê dike û dewletek armancek diyar dike.
Ev dewlet tavilê li Daneya Yandex tê nivîsandin, bi navgîniya API-ê ve nasnameya operasyona asynchronous vedigerîne, û makîneya meya hundurîn dide destpêkirin da ku dewleta ku bikarhêner dixwest hilberîne. Karên vesazkirinê diçin ser kontrolkerê SDN û ji Tungsten Fabric re dibêjin ka çi hewce dike ku di pêvekê de were kirin. Mînakî, ew port, torên virtual, û yên wekî wan vedigirin.
Balafira Config di Fabric Tungsten de rewşa pêwîst li Balafirgeha Kontrolê bar dike. Bi navgîniya wê, Config Plane bi mêvandaran re diaxive, ji wan re vedibêje ka dê di demek nêzîk de çi bi rastî li ser wan were xebitandin.
Naha em bibînin ka pergal li ser mêvandaran çawa xuya dike. Makîneya virtual xwedan adapterek torê ye ku bi VRouter ve hatî girêdan. VRouter modulek bingehîn a Fabrîk a Tungsten e ku li pakêtan dinêre. Ger jixwe ji bo hin pakêtê herikînek hebe, modul wê pêvajoyê dike. Ger herikîn tune be, modul bi navê punting dike, ango ew pakêtê dişîne pêvajoya moda bikarhêner. Pêvajo pakêtê pars dike û an bi xwe bersivê dide, mîna DHCP û DNS, an jî ji VRouter re dibêje ku bi wê re çi bike. Dûv re VRouter dikare pakêtê pêvajoyê bike.
Zêdetir, seyrûsefera di navbera makîneyên virtual di nav heman tora virtual de bi zelalî diherike, ew ji CloudGate re nayê şandin. Mêvanên ku makîneyên virtual li ser têne bicîh kirin rasterast bi hevûdu re danûstendinê dikin. Ew seyrûseferê tunel dikin û di binê binê de wê ji hev re dişînin.
Balafirên Kontrolê li seranserê Herêmên Berdestbûnê bi BGP-ê, mîna rêwerek din, bi hevûdu re têkilî daynin. Ew ji we re dibêjin ka kîjan makîneyên li ku têne saz kirin, da ku makîneyên virtual li yek deverê rasterast bi makîneyên din ên virtual re têkilî daynin.
Balafira Kontrolê jî bi CloudGate re têkilî dike. Bi heman rengî, ew radigihîne ku li ku û kîjan makîneyên virtual hatine saz kirin, navnîşanên wan çi ne. Ev dihêle hûn seyrûsefer û seyrûsefera derveyî ji balanskeran berbi wan ve bişînin.
Trafîka ku ji VPC-ê derdikeve tê CloudGate, di riya daneyê de, ku VPP bi pêvekên me re zû tê xwar. Dûv re seyrûsefer an ji VPC-yên din re, an jî li derve, ber bi rêwerên kenarê ve, ku di nav Plana Kontrolê ya CloudGate bixwe de têne mîheng kirin, tê kişandin.
Planên ji bo pêşeroja nêzîk
Ger em her tiştê ku li jor hatî gotin di çend hevokan de kurt bikin, em dikarin bibêjin ku VPC li Yandex.Cloud du pirsgirêkên girîng çareser dike:
- Di navbera xerîdarên cûda de îzolasyonê peyda dike.
- Çavkaniyan, binesaziyê, karûbarên platformê, ewrên din û li ser bingehê di yek torê de yek dike.
Û ji bo ku van pirsgirêkan baş çareser bikin, hûn hewce ne ku di asta mîmariya hundurîn de pîvandin û tolerasyona xeletiyê misoger bikin, ya ku VPC dike.
Hêdî hêdî, VPC fonksiyonan distîne, em taybetmendiyên nû bicîh dikin, û hewl didin ku di warê rehetiya bikarhêneran de tiştek çêtir bikin. Bi saya endamên civata me hin raman têne deng kirin û di navnîşa pêşîn de cih digirin.
Naha me hema hema navnîşa planên jêrîn ji bo pêşerojek nêzîk heye:
- VPN wekî karûbar.
- Mînakên DNS yên taybet - wêneyên ji bo sazkirina bilez makîneyên virtual bi serverek DNS-ya pêş-sazkirî re.
- DNS wekî karûbar.
- Balansa barkirina navxweyî.
- Zêdekirina navnîşanek IP-ya "spî" bêyî nûavakirina makîneya virtual.
Di vê navnîşê de li ser daxwaza bikarhêneran balansek û şiyana guheztina navnîşana IP-ya ji bo makîneyek virtual ya ku jixwe hatî afirandin hate veguheztin. Rast be, bêyî bertekên eşkere me ê hinekî paşê van fonksiyonan bigirta. Ji ber vê yekê em berê li ser pirsgirêka navnîşanan dixebitin.
Di destpêkê de, navnîşek IP-ya "spî" tenê dema çêkirina makîneyek dikare were zêdekirin. Ger bikarhêner vê yekê ji bîr kir, pêdivî bû ku makîneya virtual ji nû ve were afirandin. Heman tişt ji bo rakirina IP-ya derveyî ger hewce be. Zû zû ew ê mimkun be ku IP-ya gelemperî bêyî ku hûn makîneyê ji nû ve çêbikin vekin û vekin.
Xwe bi azadî îfadeya xwe bikin bikarhênerên din. Hûn ji me re dibin alîkar ku Cloud çêtir bikin û taybetmendiyên girîng û kêrhatî zûtir bistînin!
Source: www.habr.com