В iepriekšējais numurs Es aprakstīju tīkla automatizācijas sistēmu. Pēc dažu cilvēku domām, pat šī pirmā pieeja problēmai jau ir atrisinājusi dažus jautājumus. Un tas mani ļoti iepriecina, jo mūsu mērķis ciklā nav piesegt Ansible ar Python skriptiem, bet gan izveidot sistēmu.

Tas pats regulējums nosaka kārtību, kādā mēs izskatīsim jautājumu.
Un tīkla virtualizācija, kurai šis izdevums ir veltīts, īpaši neietilpst ADSM tēmā, kurā mēs analizējam automatizāciju.

Bet paskatīsimies uz to no cita leņķa.

Daudzi pakalpojumi jau ilgu laiku ir izmantojuši vienu un to pašu tīklu. Piemēram, telekomunikāciju operatora gadījumā tas ir 2G, 3G, LTE, platjosla un B2B. Līdzstrāvas gadījumā: savienojamība dažādiem klientiem, internets, bloku krātuve, objektu krātuve.

Un visiem pakalpojumiem ir nepieciešama izolācija vienam no otra. Šādi parādījās pārklājuma tīkli.

Un visi pakalpojumi nevēlas gaidīt, kamēr persona tos manuāli konfigurēs. Tā parādījās orķestranti un SDN.

Pirmā pieeja sistemātiskai tīkla vai drīzāk tā daļas automatizācijai jau sen ir pieņemta un ieviesta daudzās vietās: VMWare, OpenStack, Google Compute Cloud, AWS, Facebook.

Ar to mēs šodien nodarbosimies.

saturs

• iemesli
• Vārdu krājums
• Apakšklājs - fiziskais tīkls
• Pārklājums - virtuālais tīkls
  • Pārklājums ar ToR
  • Pārklājums no saimniekdatora
  • Kā piemēru izmantojot volframa audumu
    • Komunikācija vienā fiziskā mašīnā
    • Saziņa starp virtuālajām mašīnām, kas atrodas dažādās fiziskās iekārtās
    • Izeja uz ārpasauli

• FAQ
• Secinājums
• Noderīgas saites

iemesli

Un, tā kā mēs par to runājam, ir vērts pieminēt tīkla virtualizācijas priekšnoteikumus. Patiesībā šis process nesākās vakar.

Jūs droši vien esat dzirdējuši vairāk nekā vienu reizi, ka tīkls vienmēr ir bijis jebkuras sistēmas inertākā daļa. Un tā ir taisnība visās nozīmēs. Tīkls ir pamats, uz kura balstās viss, un veikt izmaiņas tajā ir diezgan grūti - pakalpojumi to nepanes, kad tīkls nedarbojas. Bieži vien viena mezgla ekspluatācijas pārtraukšana var likvidēt lielu daļu lietojumprogrammu un ietekmēt daudzus klientus. Daļēji tāpēc tīkla komanda var pretoties jebkādām izmaiņām, jo ​​tagad tā kaut kā darbojas (mēs varbūt pat nezinām, kā), taču šeit ir jākonfigurē kaut kas jauns, un nav zināms, kā tas ietekmēs tīklu.

Lai negaidītu, kamēr tīkla veidotāji ievietos VLAN un nereģistrētu nevienu pakalpojumu katrā tīkla mezglā, cilvēki nāca klajā ar ideju izmantot pārklājumus - pārklājuma tīklus -, kuru daudzveidība ir ļoti dažāda: GRE, IPinIP, MPLS, MPLS L2/L3VPN, VXLAN, GENEVE, MPLSoverUDP, MPLSoverGRE utt.

Viņu pievilcība slēpjas divās vienkāršās lietās:

• Ir konfigurēti tikai gala mezgli — transporta mezgli nav jāpieskaras. Tas ievērojami paātrina procesu un dažreiz ļauj pilnībā izslēgt tīkla infrastruktūras nodaļu no jaunu pakalpojumu ieviešanas procesa.
• Slodze ir paslēpta dziļi galvenēs - tranzīta mezgliem nekas nav jāzina par to, par adresēšanu saimniekos vai par pārklājuma tīkla maršrutiem. Tas nozīmē, ka tabulās jāsaglabā mazāk informācijas, kas nozīmē vienkāršākas/lētākas ierīces izmantošanu.

Šajā ne visai pilnvērtīgajā jautājumā es neplānoju analizēt visas iespējamās tehnoloģijas, bet drīzāk aprakstu pārklājuma tīklu darbības ietvaru DC.

Visa sērija aprakstīs datu centru, kas sastāv no identisku plauktu rindām, kurās ir uzstādīta viena un tā pati servera iekārta.

Šis aprīkojums darbina virtuālās mašīnas/konteinerus/bez servera, kas ievieš pakalpojumus.

Vārdu krājums

Cilpā serveris Es nosaukšu programmu, kas realizē klienta-servera komunikācijas servera pusi.

Plauktos esošās fiziskās mašīnas sauc par serveriem nē mēs būsim.

Fiziskā mašīna — x86 dators uzstādīts statīvā. Visbiežāk lietotais termins uzņēmēja. Tā mēs to sauksim "mašīna"Or uzņēmēja.

Hipervizors - lietojumprogramma, kas darbojas fiziskā iekārtā, kas emulē fiziskos resursus, kuros darbojas virtuālās mašīnas. Dažreiz literatūrā un internetā vārds “hipervizors” tiek lietots kā “saimnieka” sinonīms.

Virtuālā iekārta - operētājsistēma, kas darbojas fiziskā mašīnā hipervizora augšpusē. Mums šajā ciklā nav īsti svarīgi, vai tā patiesībā ir virtuālā mašīna vai tikai konteiners. Sauksim to"VM«

Īrnieks ir plašs jēdziens, ko šajā rakstā definēšu kā atsevišķu pakalpojumu vai atsevišķu klientu.

Daudzkārtēja īre vai multiīre - vienas un tās pašas lietojumprogrammas izmantošana dažādiem klientiem/pakalpojumiem. Tajā pašā laikā klientu izolēšana viens no otra tiek panākta, pateicoties lietojumprogrammu arhitektūrai, nevis ar atsevišķi darbināmiem gadījumiem.

ToR — slēdža augšdaļa - statīvā uzstādīts slēdzis, kuram ir pievienotas visas fiziskās iekārtas.

Papildus ToR topoloģijai dažādi pakalpojumu sniedzēji praktizē End of Row (EoR) vai Middle of Row (lai gan pēdējais ir nievājošs retums, un es neesmu redzējis MoR saīsinājumu).

Apakšklājuma tīkls vai pamatā esošais tīkls vai apakšklājs ir fiziskā tīkla infrastruktūra: slēdži, maršrutētāji, kabeļi.

Pārklājuma tīkls vai pārklājuma tīkls vai pārklājums - virtuāls tuneļu tīkls, kas darbojas virs fiziskā.

L3 audums vai IP audums - pārsteidzošs cilvēces izgudrojums, kas ļauj izvairīties no STP atkārtošanas un TRILL mācīšanās intervijām. Koncepcija, kurā viss tīkls līdz piekļuves līmenim ir tikai L3, bez VLAN un attiecīgi milzīgiem paplašinātiem apraides domēniem. Nākamajā daļā apskatīsim, no kurienes nāk vārds “rūpnīca”.

SDN - Programmatūras definēts tīkls. Diez vai nepieciešams ievads. Tīkla pārvaldības pieeja, kur izmaiņas tīklā veic nevis cilvēks, bet gan programma. Parasti tas nozīmē vadības plaknes pārvietošanu ārpus gala tīkla ierīcēm uz kontrolieri.

NFV — Tīkla funkciju virtualizācija — tīkla ierīču virtualizācija, kas liecina, ka dažas tīkla funkcijas var palaist virtuālo mašīnu vai konteineru veidā, lai paātrinātu jaunu pakalpojumu ieviešanu, organizētu pakalpojumu ķēdi un vienkāršāku horizontālo mērogojamību.

VNF - Virtuālā tīkla funkcija. Konkrēta virtuālā ierīce: maršrutētājs, slēdzis, ugunsmūris, NAT, IPS/IDS utt.

Tagad es apzināti vienkāršoju aprakstu līdz konkrētai realizācijai, lai pārāk nesamulsinātu lasītāju. Lai lasītu vairāk pārdomātu, es aicinu viņu uz sadaļu atsauces. Turklāt Roma Gorge, kurš kritizē šo rakstu par neprecizitātēm, sola uzrakstīt atsevišķu numuru par serveru un tīkla virtualizācijas tehnoloģijām, padziļinātāku un uzmanīgāku pret detaļām.

Lielāko daļu tīklu mūsdienās var skaidri iedalīt divās daļās:

Apakšklājs — fizisks tīkls ar stabilu konfigurāciju.
Pārklāt — abstrakcija virs apakšklāja īrnieku izolēšanai.

Tas attiecas gan uz līdzstrāvas gadījumu (ko mēs analizēsim šajā rakstā), gan uz ISP (kuru mēs neanalizēsim, jo ​​tas jau ir bijis SDSM). Protams, ar uzņēmumu tīkliem situācija ir nedaudz atšķirīga.

Attēls ar fokusu uz tīklu:

Apakšklājs

Apakšklājums ir fizisks tīkls: aparatūras slēdži un kabeļi. Ierīces pazemē zina, kā sasniegt fiziskās mašīnas.

Tas balstās uz standarta protokoliem un tehnoloģijām. Ne tikai tāpēc, ka aparatūras ierīces līdz mūsdienām darbojas ar patentētu programmatūru, kas neļauj ne programmēt mikroshēmu, ne ieviest savus protokolus; attiecīgi ir nepieciešama saderība ar citiem piegādātājiem un standartizācija.

Bet kāds, piemēram, Google, var atļauties izstrādāt savus slēdžus un atteikties no vispārpieņemtiem protokoliem. Bet LAN_DC nav Google.

Apakšklājums mainās salīdzinoši reti, jo tā mērķis ir pamata IP savienojamība starp fiziskām iekārtām. Apakšklājs neko nezina par pakalpojumiem, klientiem vai nomniekiem, kas darbojas uz tā — tai tikai jānogādā pakotne no vienas iekārtas uz otru.
Apakšklājs varētu būt šāds:

• IPv4+OSPF
• IPv6+ISIS+BGP+L3VPN
• L2+TRILL
• L2+STP

Apakšklājuma tīkls ir konfigurēts klasiskā veidā: CLI/GUI/NETCONF.

Manuāli, skripti, patentētas utilītas.

Nākamais sērijas raksts būs sīkāk veltīts apakšklājam.

Pārklāt

Pārklājums ir virtuāls tuneļu tīkls, kas izstiepts virs apakšklāja, un tas ļauj viena klienta virtuālajām mašīnām sazināties savā starpā, vienlaikus nodrošinot izolāciju no citiem klientiem.

Klienta dati ir iekapsulēti dažās tunelēšanas galvenēs, lai tos pārraidītu publiskajā tīklā.

Tātad viena klienta (viena pakalpojuma) virtuālās mašīnas var sazināties savā starpā, izmantojot pārklājumu, pat nezinot, kādu ceļu pakete patiesībā izmanto.

Pārklājums varētu būt, piemēram, tāds, kādu minēju iepriekš:

• GRE tunelis
• VXLAN
• EVPN
• L3VPN
• ŽENĒVE

Pārklājuma tīkls parasti tiek konfigurēts un uzturēts, izmantojot centrālo kontrolleri. No tā konfigurācija, vadības plakne un datu plakne tiek piegādāta ierīcēm, kas maršrutē un iekapsulē klienta trafiku. Mazliet zemāk Apskatīsim to ar piemēriem.

Jā, tas ir SDN tīrākajā formā.

Pārklājuma tīkla organizēšanai ir divas principiāli atšķirīgas pieejas:

1. Pārklājums ar ToR
2. Pārklājums no saimniekdatora

Pārklājums ar ToR

Pārklājums var sākties no piekļuves slēdža (ToR), kas stāv plauktā, kā tas notiek, piemēram, VXLAN auduma gadījumā.

Šis ir laika pārbaudīts mehānisms ISP tīklos, un visi tīkla iekārtu pārdevēji to atbalsta.

Taču šajā gadījumā ToR slēdzim jāspēj attiecīgi nodalīt dažādus pakalpojumus un tīkla administratoram zināmā mērā jāsadarbojas ar virtuālās mašīnas administratoriem un jāveic izmaiņas (kaut arī automātiski) ierīču konfigurācijā. .

Šeit es atsaukšu lasītāju uz rakstu par VxLAN vietnē Habré mūsu vecais draugs @bormoglotx.
Šajā prezentācijas ar ENOG ir detalizēti aprakstītas pieejas līdzstrāvas tīkla izveidei ar EVPN VXLAN audumu.

Un, lai pilnīgāk iedziļinātos realitātē, varat izlasīt Tsiskas grāmatu Mūsdienīgs, atvērts un mērogojams audums: VXLAN EVPN.

Es atzīmēju, ka VXLAN ir tikai iekapsulēšanas metode, un tuneļu pārtraukšana var notikt nevis ToR, bet gan resursdatorā, kā tas notiek, piemēram, OpenStack gadījumā.

Tomēr VXLAN audums, kur pārklājums sākas ar ToR, ir viens no izveidotajiem pārklājuma tīkla dizainiem.

Pārklājums no saimniekdatora

Vēl viena pieeja ir sākt un pārtraukt tuneļus gala saimniekiem.
Šajā gadījumā tīkls (apakšklājs) paliek pēc iespējas vienkāršāks un statiskāks.
Un pats saimnieks veic visu nepieciešamo iekapsulēšanu.

Tas, protams, prasīs saimniekdatoros palaist īpašu lietojumprogrammu, taču tas ir tā vērts.

Pirmkārt, klienta palaišana Linux datorā ir vienkāršāka vai, teiksim, pat iespējama, savukārt pārslēdzot, visticamāk, būs jāgriežas pie patentētiem SDN risinājumiem, kas nogalina ideju par vairākiem piegādātājiem.

Otrkārt, ToR slēdzi šajā gadījumā var atstāt pēc iespējas vienkāršu gan no vadības plaknes, gan no datu plaknes viedokļa. Patiešām, tad tam nav jāsazinās ar SDN kontrolieri, kā arī nav jāuzglabā visu savienoto klientu tīkli/ARP - pietiek zināt fiziskās mašīnas IP adresi, kas ievērojami vienkāršo pārslēgšanu/ maršrutēšanas tabulas.

ADSM sērijā es izvēlos overlay pieeju no hosta - tad mēs tikai par to runājam un mēs neatgriezīsimies VXLAN rūpnīcā.

Visvieglāk ir aplūkot piemērus. Un kā testa priekšmetu mēs izmantosim OpenSource SDN platformu OpenContrail, kas tagad pazīstama kā Volframa audums.

Raksta beigās es sniegšu dažas domas par analoģiju ar OpenFlow un OpenvSwitch.

Kā piemēru izmantojot volframa audumu

Katrai fiziskajai mašīnai ir vRouter - virtuāls maršrutētājs, kas zina par tam pievienotajiem tīkliem un kuriem klientiem tie pieder - būtībā PE maršrutētājs. Katram klientam tā uztur izolētu maršrutēšanas tabulu (lasīt VRF). Un vRouter faktiski veic pārklājuma tunelēšanu.

Nedaudz vairāk par vRouter ir raksta beigās.

Katra VM, kas atrodas hipervizorā, ir savienota ar šīs iekārtas vRouter, izmantojot TAP interfeiss.

TAP - Termināļa piekļuves punkts - virtuāls interfeiss Linux kodolā, kas nodrošina tīkla mijiedarbību.

Ja aiz vRouter ir vairāki tīkli, tad katram no tiem tiek izveidots virtuālais interfeiss, kuram tiek piešķirta IP adrese - tā būs noklusējuma vārtejas adrese.
Visi viena klienta tīkli ir ievietoti vienā VRF (viens galds), dažādas - dažādās.
Šeit es izdarīšu atrunu, ka ne viss ir tik vienkārši, un ziņkārīgo lasītāju nosūtīšu uz raksta beigām.

Lai vRouteri varētu sazināties savā starpā un attiecīgi virtuālās mašīnas, kas atrodas aiz tiem, viņi apmainās ar maršrutēšanas informāciju, izmantojot SDN kontrolieris.

Lai izkļūtu ārpasaulē, ir izejas punkts no matricas - virtuālā tīkla vārteja VNGW — virtuālā tīkla vārteja (mans termiņš).

Tagad apskatīsim komunikāciju piemērus - un būs skaidrība.

Komunikācija vienā fiziskā mašīnā

VM0 vēlas nosūtīt paketi uz VM2. Pagaidām pieņemsim, ka šī ir viena klienta virtuālā mašīna.

Datu plakne

1. VM-0 ir noklusējuma maršruts uz eth0 saskarni. Paciņa tiek nosūtīta tur.
   Šī saskarne eth0 faktiski ir virtuāli savienota ar virtuālo maršrutētāju vRouter, izmantojot TAP saskarni tap0.
2. vRouter analizē, uz kuru saskarni pakete nonāca, tas ir, kuram klientam (VRF) tā pieder, un pārbauda adresāta adresi, izmantojot šī klienta maršrutēšanas tabulu.
3. Konstatējis, ka adresāts tajā pašā mašīnā atrodas citā portā, vRouter vienkārši nosūta paketi uz to bez papildu galvenēm - šajā gadījumā vRouter jau ir ARP ieraksts.

Šajā gadījumā pakete neienāk fiziskajā tīklā - tā tiek maršrutēta vRouter iekšpusē.

Vadības plakne

Kad virtuālā mašīna tiek startēta, hipervizors tai paziņo:

• Viņas pašas IP adrese.
• Noklusējuma maršruts ir caur vRouter IP adresi šajā tīklā.

Hipervizors ziņo vRouter, izmantojot īpašu API:

• Kas jums nepieciešams, lai izveidotu virtuālo saskarni.
• Kāda veida virtuālais tīkls tam (VM) ir jāizveido?
• Kuram VRF (VN) to saistīt.
• Statisks ARP ieraksts šai virtuālajai mašīnai — kura saskarne atrodas aiz tās IP adreses un ar kuru MAC adresi tā ir saistīta.

Atkal, faktiskā mijiedarbības procedūra ir vienkāršota, lai saprastu jēdzienu.

Tādējādi vRouter visas viena klienta virtuālās mašīnas konkrētajā mašīnā redz kā tieši savienotus tīklus un pats var izveidot maršrutu starp tiem.

Bet VM0 un VM1 pieder dažādiem klientiem un attiecīgi atrodas dažādās vRouter tabulās.

Tas, vai viņi var sazināties viens ar otru, ir tieši atkarīgs no vRouter iestatījumiem un tīkla dizaina.
Piemēram, ja abu klientu virtuālās mašīnas izmanto publiskās adreses vai NAT notiek pašā vRouter, tad var veikt tiešu maršrutēšanu uz vRouter.

Pretējā situācijā ir iespējams šķērsot adrešu telpas - jums ir jāiet caur NAT serveri, lai iegūtu publisku adresi - tas ir līdzīgi kā piekļūt ārējiem tīkliem, par kuriem mēs runāsim tālāk.

Saziņa starp virtuālajām mašīnām, kas atrodas dažādās fiziskās iekārtās

Datu plakne

1. Sākums ir tieši tāds pats: VM-0 nosūta paketi ar galamērķi VM-7 (172.17.3.2) pēc noklusējuma.
2. vRouter to saņem un šoreiz redz, ka galamērķis atrodas citā mašīnā un ir pieejams caur Tunnel0.
3. Pirmkārt, tas uzkarina MPLS etiķeti, kas identificē attālo interfeisu, lai otrā pusē vRouter varētu noteikt, kur ievietot šo paketi bez papildu uzmeklēšanas.

   

4. Tunnel0 ir avots 10.0.0.2, galamērķis: 10.0.1.2.
   vRouter pievieno GRE (vai UDP) galvenes un jaunu IP oriģinālajai paketei.
5. VRouter maršrutēšanas tabulai ir noklusējuma maršruts caur ToR1 adresi 10.0.0.1. Tur viņš to sūta.

   
   

6. ToR1 kā Underlay tīkla dalībnieks zina (piemēram, caur OSPF) kā nokļūt līdz 10.0.1.2 un nosūta paketi pa maršrutu. Ņemiet vērā, ka šeit ir iespējots ECMP. Ilustrācijā ir divi nexthops, un dažādi pavedieni tiks sakārtoti tajos pēc jaukšanas. Īstas rūpnīcas gadījumā, visticamāk, būs 4 nākamie hopi.

   Tajā pašā laikā viņam nav jāzina, kas atrodas zem ārējās IP galvenes. Tas ir, faktiski, izmantojot IP, var būt IPv6 sviestmaize, izmantojot MPLS, izmantojot Ethernet, MPLS, GRE un grieķu valoda.

7. Attiecīgi no saņēmēja puses vRouter noņem GRE un, izmantojot MPLS tagu, saprot, uz kuru interfeisu šī pakete jānosūta, noņem to un nosūta adresātam sākotnējā formā.

Vadības plakne

Iedarbinot automašīnu, notiek tas pats, kas aprakstīts iepriekš.

Un plus:

• Katram klientam vRouter piešķir MPLS tagu. Šī ir L3VPN pakalpojuma etiķete, ar kuras palīdzību klienti tiks atdalīti vienā un tajā pašā fiziskajā mašīnā.
  

  Faktiski MPLS tagu vienmēr bez nosacījumiem piešķir vRouter - galu galā nav iepriekš zināms, ka iekārta mijiedarbosies tikai ar citām mašīnām, kas atrodas aiz tā paša vRouter, un tas, visticamāk, pat nav taisnība.

• vRouter izveido savienojumu ar SDN kontrolleri, izmantojot BGP protokolu (vai līdzīgu tam - TF gadījumā tas ir XMPP 0_o).
• Šīs sesijas laikā vRouter ziņo SDN kontrollerim par maršrutiem uz savienotajiem tīkliem:
  • Tīkla adrese
  • Iekapsulēšanas metode (MPLSoGRE, MPLSoUDP, VXLAN)
  • MPLS klienta tags
  • Jūsu IP adrese kā nexthop

• SDN kontrolleris saņem šādus maršrutus no visiem pievienotajiem vRouteriem un atspoguļo tos citiem. Tas nozīmē, ka tas darbojas kā maršruta atstarotājs.

Tas pats notiek pretējā virzienā.

Pārklājums var mainīties vismaz katru minūti. Tas ir aptuveni tas, kas notiek publiskajos mākoņos, kur klienti regulāri palaiž un izslēdz savas virtuālās mašīnas.

Centrālais kontrolleris rūpējas par visu sarežģītību, kas saistīta ar konfigurācijas uzturēšanu un komutācijas/maršrutēšanas tabulu uzraudzību vRouter.

Aptuveni runājot, kontrolieris sazinās ar visiem vRouter, izmantojot BGP (vai līdzīgu protokolu) un vienkārši pārsūta maršrutēšanas informāciju. Piemēram, BGP jau ir Address-Family, lai nodotu iekapsulēšanas metodi MPLS GRE vai MPLS-UDP.

Tajā pašā laikā nekādi nemainās Underlay tīkla konfigurācija, kuru, starp citu, ir daudz grūtāk automatizēt un vieglāk salauzt ar neveiklu kustību.

Izeja uz ārpasauli

Kaut kur simulācijai ir jābeidzas, un jums ir jāiziet no virtuālās pasaules reālajā pasaulē. Un jums ir nepieciešama taksofona vārteja.

Tiek praktizētas divas pieejas:

1. Ir instalēts aparatūras maršrutētājs.
2. Tiek palaists aparāts, kas realizē maršrutētāja funkcijas (jā, pēc SDN mēs saskārāmies arī ar VNF). Sauksim to par virtuālo vārteju.

Otrās pieejas priekšrocība ir lēta horizontālā mērogojamība - nepietiek jaudas - mēs palaižam citu virtuālo mašīnu ar vārteju. Uz jebkuras fiziskas mašīnas, nemeklējot brīvus statīvus, blokus, jaudu, iegādājieties pašu aparatūru, transportējiet to, uzstādiet, pārslēdziet, konfigurējiet un pēc tam arī nomainiet tajā bojātos komponentus.

Virtuālās vārtejas trūkumi ir tādi, ka fiziskā maršrutētāja vienība joprojām ir daudz jaudīgāka nekā daudzkodolu virtuālā mašīna, un tās programmatūra, kas pielāgota savai aparatūras bāzei, darbojas daudz stabilāk (nē). Ir arī grūti noliegt faktu, ka aparatūras un programmatūras komplekss vienkārši darbojas, prasot tikai konfigurāciju, savukārt virtuālās vārtejas palaišana un uzturēšana ir spēcīgu inženieru uzdevums.

Ar vienu kāju vārteja aplūko Overlay virtuālo tīklu, tāpat kā parastā virtuālā mašīna, un var mijiedarboties ar visām pārējām virtuālajām mašīnām. Tajā pašā laikā tas var pārtraukt visu klientu tīklus un attiecīgi veikt maršrutēšanu starp tiem.

Ar otru kāju vārteja ieskatās mugurkaula tīklā un zina, kā piekļūt internetam.

Datu plakne

Tas ir, process izskatās šādi:

1. VM-0, pēc noklusējuma uz to pašu vRouter, nosūta paketi ar galamērķi ārpasaulē (185.147.83.177) uz eth0 interfeisu.
2. vRouter saņem šo paketi un maršrutēšanas tabulā atrod galamērķa adresi — atrod noklusējuma maršrutu caur VNGW1 vārteju caur 1. tuneli.
   Viņš arī redz, ka šis ir GRE tunelis ar SIP 10.0.0.2 un DIP 10.0.255.2, un viņam arī vispirms jāpievieno šī klienta MPLS etiķete, ko sagaida VNGW1.
3. vRouter iesaiņo sākotnējo paketi ar MPLS, GRE un jaunām IP galvenēm un pēc noklusējuma nosūta to uz ToR1 adresi 10.0.0.1.
4. Pamattīkls piegādā paketi vārtejai VNGW1.
5. VNGW1 vārteja noņem GRE un MPLS tunelēšanas galvenes, redz galamērķa adresi, apskata tās maršrutēšanas tabulu un saprot, ka tā ir novirzīta uz internetu — tas ir, izmantojot pilno skatu vai noklusējuma iestatījumu. Ja nepieciešams, veic NAT tulkojumu.
6. Varētu būt parasts IP tīkls no VNGW līdz robežai, kas ir maz ticams.
   Var būt klasisks MPLS tīkls (IGP+LDP/RSVP TE), var būt aizmugurējais audums ar BGP LU vai GRE tunelis no VNGW līdz robežai caur IP tīklu.
   Lai kā arī būtu, VNGW1 veic nepieciešamās iekapsulācijas un nosūta sākotnējo paketi robežas virzienā.

Satiksme pretējā virzienā iet cauri tiem pašiem soļiem pretējā secībā.

1. Robeža nolaiž paketi uz VNGW1
2. Viņš viņu izģērbj, apskata adresāta adresi un redz, ka viņam var piekļūt caur Tunnel1 tuneli (MPLSoGRE vai MPLSoUDP).
3. Attiecīgi tas pievieno MPLS etiķeti, GRE/UDP galveni un jaunu IP un nosūta to uz savu ToR3 10.0.255.1.
   Tuneļa galamērķa adrese ir vRouter IP adrese, aiz kuras atrodas mērķa VM — 10.0.0.2.
4. Pamattīkls piegādā paketi vajadzīgajam vRouter.
5. Mērķa vRouter nolasa GRE/UDP, identificē interfeisu, izmantojot MPLS etiķeti, un nosūta tukšu IP paketi uz savu TAP interfeisu, kas saistīts ar VM eth0.

Vadības plakne

VNGW1 izveido BGP apkaimi ar SDN kontrolieri, no kura tas saņem visu maršrutēšanas informāciju par klientiem: kura IP adrese (vRouter) atrodas aiz kura klienta un ar kādu MPLS etiķeti to identificē.

Tāpat viņš pats informē SDN kontrolieri par noklusējuma maršrutu ar šī klienta etiķeti, norādot sevi kā nexthop. Un tad šis noklusējums nonāk pie vRouters.

Uz VNGW parasti notiek maršruta apkopošana vai NAT tulkošana.

Un otrā virzienā tas nosūta tieši šo apkopoto maršrutu uz sesiju ar apmalēm vai maršruta atspoguļotājiem. Un no viņiem tas saņem noklusējuma maršrutu vai Full-View, vai kaut ko citu.

Iekapsulēšanas un trafika apmaiņas ziņā VNGW neatšķiras no vRouter.
Ja nedaudz paplašinat darbības jomu, varat pievienot citas tīkla ierīces VNGW un vRouters, piemēram, ugunsmūrus, satiksmes tīrīšanas vai bagātināšanas fermas, IPS utt.

Un, izmantojot secīgu VRF izveidi un pareizu maršrutu izziņošanu, jūs varat piespiest satiksmi virzīt cilpu sev vēlamajā veidā, ko sauc par pakalpojumu ķēdi.

Tas nozīmē, ka arī šeit SDN kontrolleris darbojas kā maršruta atspoguļotājs starp VNGW, vRouters un citām tīkla ierīcēm.

Bet patiesībā kontrolieris arī izdod informāciju par ACL un PBR (politiku balstītu maršrutēšanu), izraisot atsevišķu satiksmes plūsmu atšķirīgumu, nekā norādīts maršrutā.

FAQ

Kāpēc jūs vienmēr izsakāt GRE/UDP piezīmi?

Kopumā var teikt, ka tas attiecas uz volframa audumu - jums tas vispār nav jāņem vērā.

Bet, ja mēs to ņemam, tad pati TF, vēl būdama OpenContrail, atbalstīja abas iekapsulācijas: MPLS GRE un MPLS UDP.

UDP ir labs, jo Source Port ir ļoti vienkārši savā galvenē iekodēt hash funkciju no oriģinālā IP+Proto+Port, kas ļaus veikt balansēšanu.

GRE gadījumā diemžēl ir tikai ārējās IP un GRE galvenes, kas ir vienādas visai iekapsulētajai trafikai un nav runas par balansēšanu - reti kurš spēj ieskatīties tik dziļi paketē.

Līdz kādu laiku maršrutētāji, ja viņi prata izmantot dinamiskos tuneļus, to darīja tikai MPLSoGRE, un tikai pavisam nesen viņi iemācījās izmantot MPLSoUDP. Tāpēc mums vienmēr ir jāatzīmē divu dažādu iekapsulāciju iespēja.

Godīgi sakot, ir vērts atzīmēt, ka TF pilnībā atbalsta L2 savienojumu, izmantojot VXLAN.

Jūs solījāt vilkt paralēles ar OpenFlow.
Viņi patiešām to lūdz. vSwitch tajā pašā OpenStack dara ļoti līdzīgas lietas, izmantojot VXLAN, kuram, starp citu, ir arī UDP galvene.

Datu plaknē tie darbojas aptuveni vienādi, vadības plakne ievērojami atšķiras. Tungsten Fabric izmanto XMPP, lai piegādātu maršrutēšanas informāciju vRouter, savukārt OpenStack darbojas Openflow.

Vai varat pastāstīt man mazliet vairāk par vRouter?
Tas ir sadalīts divās daļās: vRouter Agent un vRouter Forwarder.

Pirmais darbojas resursdatora OS lietotāja telpā un sazinās ar SDN kontrolleri, apmainoties ar informāciju par maršrutiem, VRF un ACL.

Otrais realizē Data Plane - parasti Kernel Space, bet var darboties arī ar SmartNIC - tīkla kartēm ar centrālo procesoru un atsevišķu programmējamu komutācijas mikroshēmu, kas ļauj noņemt slodzi no resursdatora CPU un padarīt tīklu ātrāku un vairāk. paredzams.

Vēl viens iespējamais scenārijs ir tāds, ka vRouter ir DPDK lietojumprogramma User Space.

vRouter Agent nosūta iestatījumus vRouter Forwarder.

Kas ir virtuālais tīkls?
Raksta sākumā par VRF minēju, ka katrs īrnieks ir piesaistīts savam VRF. Un, ja ar to pietika, lai virspusēja izpratne par pārklājuma tīkla darbību, tad nākamajā atkārtojumā ir jāveic precizējumi.

Parasti virtualizācijas mehānismos Virtuālā tīkla entītija (jūs varat to uzskatīt par īpašvārdu) tiek ieviesta atsevišķi no klientiem/īrniekiem/virtuālajām mašīnām - pilnīgi neatkarīga lieta. Un šo virtuālo tīklu jau var pieslēgt caur interfeisiem vienam nomniekam, citam, diviem vai jebkur. Tā, piemēram, pakalpojumu ķēde tiek ieviesta, kad satiksme ir jānodod caur noteiktiem mezgliem vajadzīgajā secībā, vienkārši izveidojot un savienojot virtuālos tīklus pareizajā secībā.

Tāpēc starp Virtuālo tīklu un nomnieku nav tiešas sarakstes.

Secinājums

Šis ir ļoti virspusējs virtuālā tīkla darbības apraksts ar pārklājumu no resursdatora un SDN kontrollera. Bet neatkarīgi no tā, kādu virtualizācijas platformu jūs šodien izvēlaties, tā darbosies līdzīgi, vai tā būtu VMWare, ACI, OpenStack, CloudStack, Tungsten Fabric vai Juniper Contrail. Tie atšķirsies pēc iekapsulēšanas un galvenes veidiem, protokoliem informācijas nogādāšanai gala tīkla ierīcēs, taču programmatūras konfigurējama pārklājuma tīkla princips, kas darbojas virs salīdzinoši vienkārša un statiska apakštīkla, paliks nemainīgs.
Var teikt, ka šodien SDN, kas balstīts uz pārklājuma tīklu, ir uzvarējis privātā mākoņa izveides jomā. Tomēr tas nenozīmē, ka Openflow nav vietas mūsdienu pasaulē – tas tiek izmantots OpenStacke un tajā pašā VMWare NSX, cik man zināms, Google to izmanto, lai izveidotu pazemes tīklu.

Zemāk esmu sniedzis saites uz detalizētākiem materiāliem, ja vēlaties šo jautājumu izpētīt dziļāk.

Un kā ar mūsu apakšklāju?

Bet kopumā nekas. Viņš nemainījās visu ceļu. Viss, kas viņam jādara resursdatora pārklājuma gadījumā, ir jāatjaunina maršruti un ARP, kad parādās un pazūd vRouter/VNGW un pārnēsā paketes starp tām.

Formulēsim apakšklāja tīkla prasību sarakstu.

1. Jāprot izmantot kaut kādu maršrutēšanas protokolu, mūsu situācijā - BGP.
2. Jābūt plašam joslas platumam, vēlams bez pārrakstīšanās, lai paketes netiktu zaudētas pārslodzes dēļ.
3. ECMP atbalsts ir auduma neatņemama sastāvdaļa.
4. Jāspēj nodrošināt QoS, tostarp tādas sarežģītas lietas kā ECN.
5. NETCONF atbalsts ir nākotnes pamats.

Es šeit veltīju ļoti maz laika paša Underlay tīkla darbam. Tas ir tāpēc, ka vēlāk sērijā es pievērsīšos tam, un pārklājumam pieskarsimies tikai garāmejot.

Acīmredzot es ļoti ierobežoju mūs visus, kā piemēru izmantojot Clos rūpnīcā iebūvētu līdzstrāvas tīklu ar tīru IP maršrutēšanu un resursdatora pārklājumu.

Tomēr esmu pārliecināts, ka jebkuru tīklu, kuram ir dizains, var aprakstīt formāli un automatizēt. Vienkārši mans mērķis šeit ir izprast automatizācijas pieejas un nemulsināt visus, risinot problēmu vispārīgā veidā.

ADSM ietvaros Romāns Gorge un es plānojam publicēt atsevišķu izdevumu par skaitļošanas jaudas virtualizāciju un tās mijiedarbību ar tīkla virtualizāciju. Uzturēt kontaktus.

Noderīgas saites

• Volframa auduma arhitektūra.
• par: mākonis. 6 stundas par Yandex.Cloud, kas aptver arī TF virtuālo tīklu.
• Kas ir Open vSwitch?
• Ievads VxLAN.
• RFC 7348. Virtuālais paplašināms lokālais tīkls (VXLAN): ietvars virtualizētu 2. slāņa tīklu pārklājumam 3. slāņa tīklos.
  
• Scaleway pieeja VXLAN EVPN audumam. Tajā ir runāts par visu līdzstrāvas tīklu, tostarp apakšklāju, pārklājumu, pieejām vairāku izvietošanu un pārvaldību.

Paldies

• Romāns Gorga - bijušais linkmeup aplādes vadītājs un tagad eksperts mākoņu platformu jomā. Komentāriem un labojumiem. Nu ko, tuvākajā laikā gaidām viņa padziļinātāku rakstu par virtualizāciju.
• Aleksandrs Šalimovs - mans kolēģis un eksperts virtuālo tīklu attīstības jomā. Komentāriem un labojumiem.
• Valentīns Siņicins - mans kolēģis un eksperts volframa auduma jomā. Komentāriem un labojumiem.
• Artjoms Černobajs — ilustrators linkmeup. Par KDPV.
• Aleksandrs Ļimonovs. Par "automāta" mēmu.

Avots: www.habr.com