Kā AWS pagatavo savus elastīgos pakalpojumus. Tīkla mērogošana

Amazon Web Services tīkla mērogs ir 69 zonas visā pasaulē 22 reģionos: ASV, Eiropā, Āzijā, Āfrikā un Austrālijā. Katrā zonā ir līdz 8 datu centriem – datu apstrādes centriem. Katrā datu centrā ir tūkstošiem vai simtiem tūkstošu serveru. Tīkls ir izveidots tā, lai tiktu ņemti vērā visi maziespējamo pārtraukumu scenāriji. Piemēram, visi reģioni ir izolēti viens no otra, un pieejamības zonas ir atdalītas vairāku kilometru attālumā. Pat pārgriežot kabeli, sistēma pārslēgsies uz rezerves kanāliem, un informācijas zudums sasniegs dažas datu paketes. Vasilijs Pantjukhins runās par to, uz kādiem vēl principiem tīkls ir veidots un kā tas ir strukturēts.

Vasilijs Pantjukhins sāka kā Unix administrators .ru uzņēmumos, 6 gadus strādāja pie lielas Sun Microsystem aparatūras un 11 gadus sludināja uz datiem orientētu pasauli EMC. Tas dabiski attīstījās privātos mākoņos, pēc tam pārcēlās uz publiskiem mākoņiem. Tagad kā Amazon Web Services arhitekts viņš sniedz tehniskus padomus, lai palīdzētu dzīvot un attīstīties AWS mākonī.

Iepriekšējā AWS triloģijas daļā Vasilijs iedziļinājās fizisko serveru dizainā un datu bāzes mērogošanas jomā. Nitro kartes, pielāgots uz KVM balstīts hipervizors, Amazon Aurora datu bāze - par to visu materiālā "Kā AWS pagatavo savus elastīgos pakalpojumus. Serveru un datu bāzes mērogošana" Izlasiet kontekstam vai skatieties videokasete runas.

Šī daļa koncentrēsies uz tīkla mērogošanu, kas ir viena no vissarežģītākajām AWS sistēmām. Evolūcija no plakana tīkla uz virtuālo privāto mākoni un tā dizains, Blackfoot un HyperPlane iekšējie pakalpojumi, trokšņainā kaimiņa problēma un beigās - tīkla mērogs, mugurkauls un fiziskie kabeļi. Par to visu zem griezuma.

Atruna: viss tālāk ir Vasilija personīgais viedoklis un var nesakrist ar Amazon Web Services nostāju.

Tīkla mērogošana

AWS mākonis tika palaists 2006. gadā. Viņa tīkls bija diezgan primitīvs – ar plakanu struktūru. Privāto adrešu diapazons bija kopīgs visiem mākoņa īrniekiem. Startējot jaunu virtuālo mašīnu, jūs nejauši saņēmāt pieejamu IP adresi no šī diapazona.

Šo pieeju bija viegli ieviest, taču tā būtiski ierobežoja mākoņa izmantošanu. Jo īpaši bija diezgan grūti izstrādāt hibrīdus risinājumus, kas apvienotu privātos tīklus uz vietas un AWS. Visizplatītākā problēma bija IP adrešu diapazonu pārklāšanās.

Virtuālais privātais mākonis

Mākonis izrādījās pieprasīts. Ir pienācis laiks domāt par mērogojamību un iespēju to izmantot desmitiem miljonu īrnieku. Plakanais tīkls ir kļuvis par galveno šķērsli. Tāpēc mēs domājām par to, kā tīkla līmenī izolēt lietotājus vienu no otra, lai viņi varētu patstāvīgi izvēlēties IP diapazonus.

Kas ir pirmais, kas nāk prātā, domājot par tīkla izolāciju? Noteikti VLAN и VRF — virtuālā maršrutēšana un pārsūtīšana.

Diemžēl tas neizdevās. VLAN ID ir tikai 12 biti, kas dod mums tikai 4096 izolētus segmentus. Pat lielākie slēdži var izmantot ne vairāk kā 1-2 tūkstošus VRF. Izmantojot VRF un VLAN kopā, mēs iegūstam tikai dažus miljonus apakštīklu. Ar to noteikti nepietiek desmitiem miljonu īrnieku, no kuriem katram jāspēj izmantot vairākus apakštīklus.

Mēs arī vienkārši nevaram atļauties iegādāties nepieciešamo lielo kastu skaitu, piemēram, no Cisco vai Juniper. Ir divi iemesli: tas ir traki dārgi, un mēs nevēlamies būt viņu attīstības un lāpīšanas politikas žēlastībā.

Secinājums ir tikai viens – izdariet savu risinājumu.

2009. gadā mēs paziņojām VPC Sākot no Virtuālais privātais mākonis. Nosaukums iestrēga, un tagad to izmanto arī daudzi mākoņpakalpojumu sniedzēji.

VPC ir virtuāls tīkls SDN (Programmatūras definēts tīkls). Mēs nolēmām neizgudrot īpašus protokolus L2 un L3 līmenī. Tīkls darbojas standarta Ethernet un IP tīklā. Pārsūtīšanai tīklā virtuālās mašīnas trafiks tiek iekapsulēts mūsu pašu protokola iesaiņojumā. Tas norāda ID, kas pieder īrnieka VPC.

Izklausās vienkārši. Tomēr ir vairākas nopietnas tehniskas problēmas, kas ir jāpārvar. Piemēram, kur un kā glabāt datus par virtuālo MAC/IP adrešu kartēšanu, VPC ID un atbilstošo fizisko MAC/IP. AWS mērogā šī ir milzīga tabula, kurai vajadzētu darboties ar minimālu piekļuves aizkavi. Atbildīgs par to kartēšanas pakalpojums, kas plānā kārtā izkliedējas visā tīklā.

Jaunās paaudzes mašīnās iekapsulēšanu veic Nitro kartes aparatūras līmenī. Vecākos gadījumos iekapsulēšana un dekapsulēšana ir balstīta uz programmatūru. 

Izdomāsim, kā tas darbojas vispārīgi. Sāksim ar L2 līmeni. Pieņemsim, ka mums ir virtuālā mašīna ar IP 10.0.0.2 uz fiziskā servera 192.168.0.3. Tas nosūta datus uz virtuālo mašīnu 10.0.0.3, kas darbojas uz 192.168.1.4. Tiek ģenerēts ARP pieprasījums un nosūtīts uz tīkla Nitro karti. Vienkāršības labad mēs pieņemam, ka abas virtuālās mašīnas atrodas vienā “zilajā” VPC.

Karte aizstāj avota adresi ar savu un pārsūta ARP rāmi kartēšanas pakalpojumam.

Kartēšanas pakalpojums atgriež informāciju, kas nepieciešama pārraidei L2 fiziskajā tīklā.

Nitro karte ARP atbildē aizstāj MAC fiziskajā tīklā ar adresi VPC.

Pārsūtot datus, loģisko MAC un IP iesaiņojam VPC iesaiņojumā. Mēs to visu pārraidām fiziskajā tīklā, izmantojot atbilstošas ​​avota un mērķa IP Nitro kartes.

Pārbaudi veic fiziskā iekārta, kurai paka ir paredzēta. Tas ir nepieciešams, lai novērstu adrešu viltošanas iespēju. Mašīna nosūta speciālu pieprasījumu kartēšanas dienestam un jautā: “No fiziskās mašīnas 192.168.0.3 saņēmu paketi, kas paredzēta 10.0.0.3 zilajā VPC. Vai viņš ir likumīgs? 

Kartēšanas pakalpojums pārbauda savu resursu piešķiršanas tabulu un atļauj vai liedz paketei iziet cauri. Visos jaunajos gadījumos papildu validācija ir iegulta Nitro kartēs. To nav iespējams apiet pat teorētiski. Tāpēc viltošana ar resursiem citā VPC nedarbosies.

Pēc tam dati tiek nosūtīti uz virtuālo mašīnu, kurai tie ir paredzēti. 

Kartēšanas pakalpojums darbojas arī kā loģisks maršrutētājs datu pārsūtīšanai starp virtuālajām mašīnām dažādos apakštīklos. Viss ir konceptuāli vienkārši, es neiedziļināšos.

Izrādās, ka, pārsūtot katru paketi, serveri vēršas pie kartēšanas servisa. Kā tikt galā ar neizbēgamu kavēšanos? Kešatmiņa, protams.

Skaistums ir tāds, ka jums nav nepieciešams kešatmiņā saglabāt visu milzīgo tabulu. Fizisks serveris mitina virtuālās mašīnas no salīdzinoši neliela VPC skaita. Jums ir nepieciešams tikai kešatmiņā saglabāt informāciju par šiem VPC. Datu pārsūtīšana uz citiem VPC “noklusējuma” konfigurācijā joprojām nav likumīga. Ja tiek izmantota tāda funkcionalitāte kā VPC peering, informācija par atbilstošajiem VPC tiek papildus ielādēta kešatmiņā. 

Sakārtojām datu pārsūtīšanu uz VPC.

Blackfoot

Ko darīt gadījumos, kad satiksme ir jāpārraida ārpusē, piemēram, uz internetu vai caur VPN uz zemi? Palīdz mums šeit Blackfoot — AWS iekšējais pakalpojums. To izstrādājusi mūsu Dienvidāfrikas komanda. Tāpēc pakalpojums ir nosaukts Dienvidāfrikā dzīvojoša pingvīna vārdā.

Blackfoot dekapsulē satiksmi un dara ar to visu, kas nepieciešams. Dati tiek nosūtīti uz internetu tādi, kādi tie ir.

Izmantojot VPN, dati tiek dekapsulēti un atkārtoti iesaiņoti IPsec.

Izmantojot Direct Connect, trafiks tiek atzīmēts un nosūtīts uz atbilstošo VLAN.

HiperPlane

Šis ir iekšējās plūsmas kontroles pakalpojums. Daudziem tīkla pakalpojumiem ir nepieciešama uzraudzība datu plūsmas stāvokļi. Piemēram, izmantojot NAT, plūsmas kontrolei ir jānodrošina, lai katram IP:mērķa porta pārim būtu unikāls izejošais ports. Balsotāja gadījumā NLB Sākot no Tīkla slodzes balansētājs, datu plūsma vienmēr ir jānovirza uz vienu un to pašu mērķa virtuālo mašīnu. Drošības grupas ir statusa ugunsmūris. Tas uzrauga ienākošo trafiku un netieši atver portus izejošo pakešu plūsmai.

AWS mākonī pārraides latentuma prasības ir ārkārtīgi augstas. Tāpēc HiperPlane kas ir ļoti svarīgi visa tīkla veiktspējai.

Hyperplane ir veidota uz EC2 virtuālajām mašīnām. Šeit nav nekādas maģijas, ir tikai viltība. Viltība ir tāda, ka šīs ir virtuālās mašīnas ar lielu RAM. Operācijas ir transakcijas un tiek veiktas tikai atmiņā. Tas ļauj sasniegt tikai desmitiem mikrosekunžu aizkavi. Darbs ar disku samazinātu visu produktivitāti. 

Hyperplane ir daudzu šādu EC2 iekārtu izplatīta sistēma. Katras virtuālās mašīnas joslas platums ir 5 GB/s. Visā reģionālajā tīklā tas nodrošina neticami terabitus joslas platumu un ļauj apstrādāt miljoniem savienojumu sekundē.

HyperPlane darbojas tikai ar straumēm. VPC pakešu iekapsulēšana tam ir pilnīgi caurspīdīga. Iespējamā ievainojamība šajā iekšējā pakalpojumā joprojām neļautu pārtraukt VPC izolāciju. Tālāk norādītie līmeņi ir atbildīgi par drošību.

Trokšņains kaimiņš

Joprojām ir problēma trokšņains kaimiņš Sākot no trokšņains kaimiņš. Pieņemsim, ka mums ir 8 mezgli. Šie mezgli apstrādā visu mākoņa lietotāju plūsmas. Šķiet, ka viss ir kārtībā, un slodzei jābūt vienmērīgi sadalītai visos mezglos. Mezgli ir ļoti spēcīgi, un tos ir grūti pārslogot.

Bet mēs veidojam savu arhitektūru, pamatojoties uz pat maz ticamiem scenārijiem. 

Zema varbūtība nenozīmē neiespējamu.

Mēs varam iedomāties situāciju, kurā viens vai vairāki lietotāji radītu pārāk lielu slodzi. Visi HyperPlane mezgli ir iesaistīti šīs slodzes apstrādē, un citi lietotāji var piedzīvot veiktspējas traucējumus. Tas izjauc mākoņa koncepciju, kurā īrniekiem nav iespēju vienam otru ietekmēt.

Kā atrisināt trokšņainā kaimiņa problēmu? Pirmā lieta, kas nāk prātā, ir šķelšanās. Mūsu 8 mezgli ir loģiski sadalīti 4 lauskas pa 2 mezgliem katrā. Tagad trokšņains kaimiņš traucēs tikai ceturtdaļai no visiem lietotājiem, bet ļoti traucēs.

Darīsim lietas savādāk. Katram lietotājam piešķirsim tikai 3 mezglus. 

Triks ir nejauši piešķirt mezglus dažādiem lietotājiem. Zemāk redzamajā attēlā zilais lietotājs krusto mezglus ar vienu no pārējiem diviem lietotājiem - zaļo un oranžo.

Ar 8 mezgliem un 3 lietotājiem varbūtība, ka trokšņains kaimiņš krustosies ar kādu no lietotājiem, ir 54%. Ar šādu varbūtību zilais lietotājs ietekmēs citus īrniekus. Tajā pašā laikā tikai daļa no tās slodzes. Mūsu piemērā šī ietekme vismaz kaut kādā veidā būs pamanāma ne visiem, bet tikai trešdaļai no visiem lietotājiem. Tas jau ir labs rezultāts.

Lietotāju skaits, kuri krustosies

Varbūtība procentos

0

18%

1

54%

2

26%

3

2%

Pietuvināsim situāciju realitātei - ņemsim 100 mezglus un 5 lietotājus uz 5 mezgliem. Šajā gadījumā neviens no mezgliem nekrustos ar 77% varbūtību. 

Lietotāju skaits, kuri krustosies

Varbūtība procentos

0

77%

1

21%

2

1,8%

3

0,06%

4

0,0006%

5

0,00000013%

Reālā situācijā ar milzīgu HyperPlane mezglu un lietotāju skaitu trokšņainā kaimiņa iespējamā ietekme uz citiem lietotājiem ir minimāla. Šo metodi sauc sajaucot šķembas Sākot no shuffle sharding. Tas samazina mezgla atteices negatīvo ietekmi.

Daudzi pakalpojumi ir veidoti, pamatojoties uz HyperPlane: Network Load Balancer, NAT Gateway, Amazon EFS, AWS PrivateLink, AWS Transit Gateway.

Tīkla mērogs

Tagad parunāsim par paša tīkla mērogu. 2019. gada oktobrī AWS piedāvā savus pakalpojumus 22 reģioni, un ir plānotas vēl 9.

• Katrā reģionā ir vairākas pieejamības zonas. Visā pasaulē ir 69 no tiem.
• Katrs AZ sastāv no datu apstrādes centriem. Kopā to nav vairāk par 8.
• Datu centrā atrodas milzīgs skaits serveru, dažos līdz pat 300 000.

Tagad aprēķināsim to visu, pareizināsim un iegūstam iespaidīgu skaitli, kas atspoguļo Amazones mākoņu mērogs.

Starp pieejamības zonām un datu centru ir daudz optisko saišu. Vienā no mūsu lielākajiem reģioniem ir izveidoti 388 kanāli tikai AZ saziņai savā starpā un sakaru centriem ar citiem reģioniem (Tranzīta centriem). Kopumā tas rada traku 5000 Tbit.

Backbone AWS ir īpaši izstrādāts un optimizēts mākonim. Mēs to veidojam kanālos 100 GB/s. Mēs tos pilnībā kontrolējam, izņemot Ķīnas reģionus. Satiksme netiek dalīta ar citu uzņēmumu slodzēm.

Protams, mēs neesam vienīgais mākoņa pakalpojumu sniedzējs ar privātu mugurkaula tīklu. Arvien vairāk lielo uzņēmumu iet šo ceļu. To apstiprina neatkarīgi pētnieki, piemēram, no Teleģeogrāfija.

Grafikā redzams, ka pieaug satura nodrošinātāju un mākoņpakalpojumu sniedzēju īpatsvars. Šī iemesla dēļ mugurkaula pakalpojumu sniedzēju interneta trafika daļa pastāvīgi samazinās.

Es paskaidrošu, kāpēc tas notiek. Iepriekš lielākā daļa tīmekļa pakalpojumu bija pieejami un patērēti tieši no interneta. Mūsdienās arvien vairāk serveru atrodas mākonī un ir pieejami, izmantojot CDN Sākot no Satura izplatīšanas tīkls. Lai piekļūtu resursam, lietotājs caur internetu dodas tikai uz tuvāko CDN PoP - Klātbūtnes punkts. Visbiežāk tas ir kaut kur tuvumā. Pēc tam tas atstāj publisko internetu un, piemēram, lido caur privātu mugurkaulu pāri Atlantijas okeānam un nonāk tieši resursā.

Interesanti, kā internets mainīsies pēc 10 gadiem, ja šī tendence turpināsies?

Fiziskie kanāli

Zinātnieki vēl nav izdomājuši, kā palielināt gaismas ātrumu Visumā, taču viņi ir guvuši lielu progresu tā pārraidīšanas metodēs caur optisko šķiedru. Pašlaik mēs izmantojam 6912 šķiedru kabeļus. Tas palīdz ievērojami optimizēt to uzstādīšanas izmaksas.

Dažos reģionos mums ir jāizmanto īpaši kabeļi. Piemēram, Sidnejas reģionā pret termītiem izmantojam kabeļus ar īpašu pārklājumu. 

Neviens nav pasargāts no nepatikšanām, un dažreiz mūsu kanāli tiek sabojāti. Labajā pusē esošajā fotoattēlā redzami optiskie kabeļi vienā no Amerikas reģioniem, kurus saplēsa būvstrādnieki. Negadījuma rezultātā tika pazaudētas tikai 13 datu paketes, kas ir pārsteidzoši. Vēlreiz - tikai 13! Sistēma burtiski uzreiz pārgāja uz rezerves kanāliem - skala darbojas.

Mēs skrējām cauri dažiem Amazon mākoņpakalpojumiem un tehnoloģijām. Es ceru, ka jums ir vismaz kāds priekšstats par mūsu inženieriem risināmo uzdevumu apjomu. Man personīgi tas šķiet ļoti aizraujoši. 

Šī ir pēdējā daļa no Vasilija Pantjukina triloģijas par AWS ierīci. IN pirmais daļās ir aprakstīta servera optimizācija un datu bāzes mērogošana, un in otrais — bezservera funkcijas un Firecracker.

uz HighLoad++ novembrī Vasilijs Pantjukhins dalīsies ar jaunām Amazon ierīces detaļām. Viņš pateiks par kļūmju cēloņiem un Amazon izplatīto sistēmu dizainu. 24. oktobris vēl iespējams rezervēt biļete par labu cenu un maksā vēlāk. Gaidām tevi HighLoad++, nāc un papļāpāsim!

Avots: www.habr.com