Kā Yandex.Cloud darbojas ar Virtual Private Cloud un kā mūsu lietotāji palīdz mums ieviest noderīgas funkcijas

Labdien, mani sauc Kostja Kramličs, es esmu Yandex.Cloud Virtual Private Cloud nodaļas vadošais izstrādātājs. Es strādāju pie virtuālā tīkla, un, kā jūs varētu nojaust, šajā rakstā es runāšu par virtuālā privātā mākoņa (VPC) ierīci kopumā un jo īpaši par virtuālo tīklu. Un jūs arī uzzināsit, kāpēc mēs, pakalpojumu izstrādātāji, augstu vērtējam lietotāju atsauksmes. Bet vispirms vispirms.

Kas ir VPC?

Mūsdienās ir dažādas pakalpojumu izvietošanas iespējas. Esmu pārliecināts, ka kāds joprojām glabā serveri zem administratora galda, lai gan ceru, ka šādi stāsti paliek arvien retāk.

Tagad pakalpojumi mēģina pāriet uz publiskajiem mākoņiem, un tieši šeit viņi saskaras ar VPC. VPC ir daļa no publiskā mākoņa, kas savieno lietotāju, infrastruktūru, platformu un citas iespējas neatkarīgi no tā, kur tās atrodas, mūsu mākonī vai ārpus tās. Tajā pašā laikā VPC ļauj izvairīties no šo jaudu nevajadzīgas pakļaušanas internetam, tās paliek jūsu izolētajā tīklā.

Kā virtuālais tīkls izskatās no ārpuses

Ar VPC mēs domājam, pirmkārt, pārklājuma tīklu un tīkla pakalpojumus, piemēram, VPNaaS, NATaas, LBaas utt. Un tas viss darbojas uz kļūmēm izturīgas tīkla infrastruktūras, kas jau tika apspriesta. lielisks raksts šeit uz Habrē.

Apskatīsim tuvāk virtuālo tīklu un tā struktūru.

Apskatīsim divas pieejamības zonas. Mēs nodrošinām virtuālo tīklu - to, ko mēs saucām par VPC. Faktiski tas nosaka jūsu “pelēko” adrešu unikalitātes telpu. Katrā virtuālajā tīklā jums ir pilnīga kontrole pār adrešu vietu, ko varat piešķirt skaitļošanas resursiem.

Tīkls ir globāls. Tajā pašā laikā tas tiek projicēts katrā pieejamības zonā entītijas veidā, ko sauc par apakštīklu. Katram apakštīklam jūs piešķirat CIDR, kura izmērs ir 16 vai mazāks. Katrai pieejamības zonai var būt vairāk nekā viena šāda entītija, un starp tām vienmēr ir pārredzama maršrutēšana. Tas nozīmē, ka visi jūsu resursi vienā VPC var “sarunāties” savā starpā, pat ja tie atrodas dažādās pieejamības zonās. “Sazinieties” bez piekļuves internetam, izmantojot mūsu iekšējos kanālus, “domājot”, ka viņi atrodas tajā pašā privātajā tīklā.

Augšējā diagramma parāda tipisku situāciju: divi VPC, kas krustojas kaut kur savās adresēs. Abi var būt jūsu. Piemēram, viens izstrādei, otrs testēšanai. Vienkārši var būt dažādi lietotāji – šajā gadījumā tam nav nozīmes. Un katram VPC ir viena virtuālā mašīna.

Padarīsim shēmu sliktāku. Vienai virtuālajai mašīnai varat izveidot savienojumu ar vairākiem apakštīkliem vienlaikus. Un ne tikai tā, bet dažādos virtuālajos tīklos.

Tajā pašā laikā, ja jums ir jāatklāj mašīnas internetā, to var izdarīt, izmantojot API vai lietotāja saskarni. Lai to izdarītu, jums ir jākonfigurē savas “pelēkās” iekšējās adreses NAT tulkojums “baltā” – publiskā adrese. Jūs nevarat izvēlēties “balto” adresi, tā tiek piešķirta nejauši no mūsu adrešu kopas. Tiklīdz jūs pārtraucat izmantot ārējo IP, tas atgriežas pūlā. Jūs maksājat tikai par laiku, kad izmantojat “balto” adresi.

Ir iespējams arī nodrošināt mašīnai piekļuvi internetam, izmantojot NAT gadījumu. Varat maršrutēt trafiku uz savu gadījumu, izmantojot statisku maršrutēšanas tabulu. Mēs esam nodrošinājuši šādu gadījumu, jo lietotājiem tas dažreiz ir vajadzīgs, un mēs par to zinām. Attiecīgi mūsu attēlu direktorijā ir īpaši konfigurēts NAT attēls.

Bet pat tad, ja ir gatavs NAT attēls, konfigurācija var būt sarežģīta. Mēs sapratām, ka dažiem lietotājiem tas nav ērtākais variants, tāpēc galu galā mēs ļāvām ar vienu klikšķi iespējot NAT vēlamajam apakštīklam. Šai funkcijai joprojām ir slēgta priekšskatījuma piekļuve, un tā tiek pārbaudīta ar kopienas dalībnieku palīdzību.

Kā virtuālais tīkls darbojas no iekšpuses

Kā lietotājs mijiedarbojas ar virtuālo tīklu? Tīkls izskatās uz āru ar savu API. Lietotājs nonāk API un strādā ar mērķa stāvokli. Caur API lietotājs redz, kā viss ir jāsakārto un jākonfigurē, savukārt viņš redz statusu, kā faktiskais stāvoklis atšķiras no vēlamā. Šis ir lietotāja attēls. Kas notiek iekšā?

Mēs ierakstām vēlamo stāvokli Yandex datu bāzē un ejam, lai konfigurētu dažādas mūsu VPC daļas. Pārklājuma tīkls pakalpojumā Yandex.Cloud ir izveidots, pamatojoties uz atlasītajiem OpenContrail komponentiem, kas nesen tika saukts par Volframa audumu. Tīkla pakalpojumi tiek īstenoti vienā CloudGate platformā. Vietnē CloudGate mēs izmantojām arī vairākus atvērtā pirmkoda komponentus: GoBGP, lai apstrādātu vadības informāciju, kā arī VPP, lai ieviestu programmatūras maršrutētāju, kas datu ceļā darbojas, izmantojot DPDK.

Tungsten Fabric sazinās ar CloudGate, izmantojot GoBGP. Stāsta, kas notiek pārklājuma tīklā. CloudGate savukārt savieno pārklājuma tīklus savā starpā un ar internetu.

Tagad apskatīsim, kā virtuālais tīkls atrisina mērogojamības un pieejamības problēmas. Apskatīsim vienkāršu gadījumu. Ir viena pieejamības zona un tajā izveidoti divi VPC. Mēs izvietojām vienu Tungsten Fabric gadījumu, un tajā ir vairāki desmiti tūkstošu tīklu. Tīkli sazinās ar CloudGate. CloudGate, kā jau teicām, nodrošina to savienojamību savā starpā un ar internetu.

Pieņemsim, ka ir pievienota otrā pieejamības zona. Tam vajadzētu neizdoties pilnīgi neatkarīgi no pirmās. Tāpēc otrajā pieejamības zonā mums ir jāinstalē atsevišķs Volframa auduma gadījums. Šī būs atsevišķa sistēma, kas apstrādā pārklājumu un maz zina par pirmo sistēmu. Un šķiet, ka mūsu virtuālais tīkls ir globāls, faktiski rada mūsu VPC API. Tas ir viņa uzdevums.

VPC1 tiek kartēts uz pieejamības zonu B, ja pieejamības zonai B ir resursi, kas iekļaujas VPC1. Ja pieejamības zonā B nav resursu no VPC2, mēs VPC2 šajā zonā nerealizējam. Savukārt, tā kā resursi no VPC3 eksistē tikai B zonā, VPC3 neeksistē zonā A. Viss ir vienkārši un loģiski.

Padziļināsimies un redzēsim, kā darbojas konkrēts Y.Cloud resursdators. Galvenais, ko es gribētu atzīmēt, ir tas, ka visi saimnieki ir izstrādāti vienādi. Mēs pārliecināmies, ka tikai nepieciešamais pakalpojumu minimums darbojas aparatūrā; visi pārējie darbojas virtuālajās mašīnās. Mēs veidojam augstāka līmeņa pakalpojumus, pamatojoties uz pamata infrastruktūras pakalpojumiem, kā arī izmantojam mākoni, lai atrisinātu dažas inženiertehniskās problēmas, piemēram, kā daļu no nepārtrauktās integrācijas.

Ja skatāmies uz konkrētu resursdatoru, mēs varam redzēt, ka resursdatora OS darbojas trīs komponenti:

• Aprēķināšana ir daļa, kas ir atbildīga par skaitļošanas resursu sadali resursdatorā.
• VRouter ir daļa no Tungsten Fabric, kas organizē pārklājumu, tas ir, caur apakšklāju pārvieto paketes.
• VDiski ir krātuves virtualizācijas daļas.

Turklāt virtuālās mašīnas nodrošina pakalpojumus: mākoņa infrastruktūras pakalpojumi, platformas pakalpojumi un klientu jauda. Klientu iespējas un platformas pakalpojumi vienmēr nonāk pārklājumā, izmantojot VRouter.

Infrastruktūras pakalpojumus var pievienot pārklājumam, bet galvenokārt tie vēlas strādāt apakšklājā. Tie tiek ielīmēti apakšklājā, izmantojot SR-IOV. Faktiski mēs sagriežam karti virtuālās tīkla kartēs (virtuālajās funkcijās) un ievietojam tās infrastruktūras virtuālajās mašīnās, lai nezaudētu veiktspēju. Piemēram, tas pats CloudGate tiek palaists kā viena no šīm infrastruktūras virtuālajām mašīnām.

Tagad, kad esam aprakstījuši virtuālā tīkla globālos uzdevumus un mākoņa pamatkomponentu dizainu, apskatīsim, kā tieši dažādās virtuālā tīkla daļas mijiedarbojas viena ar otru.

Mēs savā sistēmā izšķiram trīs slāņus:

• Konfigurācijas plakne – iestata sistēmas mērķa stāvokli. Tas ir tas, ko lietotājs konfigurē, izmantojot API.
• Vadības plakne – nodrošina lietotāja norādītu semantiku, tas ir, tas nodrošina datu plaknes stāvokli līdz tam, ko lietotājs aprakstīja konfigurācijas plaknē.
• Datu plakne – tieši apstrādā lietotāja paketes.

Kā jau teicu iepriekš, viss sākas ar to, ka lietotājs vai iekšējās platformas pakalpojums nonāk API un apraksta noteiktu mērķa stāvokli.

Šis stāvoklis tiek nekavējoties ierakstīts Yandex datu bāzē, atgriež asinhronās operācijas ID, izmantojot API, un palaiž mūsu iekšējo iekārtu, lai izveidotu lietotāja vēlamo stāvokli. Konfigurācijas uzdevumi pāriet uz SDN kontrolleri un paziņojiet Tungsten Fabric, kas ir jādara pārklājumā. Piemēram, viņi rezervē portus, virtuālos tīklus un tamlīdzīgi.

Tungsten Fabric konfigurācijas plakne augšupielādē nepieciešamo stāvokli vadības plaknē. Izmantojot to, Config Plane sazinās ar saimniekiem, precīzi pastāstot, kas tuvākajā nākotnē viņiem darbosies.

Tagad paskatīsimies, kā sistēma izskatās uz saimniekiem. Virtuālajai mašīnai VRouter ir pievienots noteikts tīkla adapteris. VRouter ir volframa auduma pamata modulis, kas aplūko paketes. Ja kādai paketei jau ir plūsma, modulis to apstrādā. Ja plūsmas nav, modulis veic tā saukto punting, tas ir, nosūta paketi usermod procesam. Process parsē paketi un pats uz to reaģē, piemēram, DHCP un DNS, vai arī norāda VRouter, ko ar to darīt. Pēc tam VRouter var apstrādāt paketi.

Turklāt satiksme starp virtuālajām mašīnām tajā pašā virtuālajā tīklā plūst caurspīdīgi, tā netiek nosūtīta uz CloudGate. Saimnieki, kuros ir izvietotas virtuālās mašīnas, tieši sazinās savā starpā. Viņi tuneli satiksmi un nosūta to viens otram caur apakšklāju.

Vadības plaknes sazinās viena ar otru pieejamības zonās, izmantojot BGP, tāpat kā ar citu maršrutētāju. Tie norāda, kuras mašīnas kur ir instalētas, lai vienā zonā esošās virtuālās mašīnas varētu tieši sazināties ar citām virtuālajām mašīnām.

Control Plane sazinās arī ar CloudGate. Tāpat tas ziņo, kur un kuras virtuālās mašīnas ir instalētas, kādas ir to adreses. Tas ļauj novirzīt ārējo trafiku un trafiku no balansieriem uz tiem.

Datplūsma, kas atstāj VPC, nonāk CloudGate datu ceļā, kur VPP ar mūsu spraudņiem tiek ātri sakošļāts. Pēc tam satiksme tiek virzīta vai nu uz citiem VPC, vai uz āru, uz malu maršrutētājiem, kas tiek konfigurēti, izmantojot pašu CloudGate vadības plakni.

Tuvākās nākotnes plāni

Ja mēs apkopojam visu iepriekš minēto dažos teikumos, mēs varam teikt, ka VPC pakalpojumā Yandex.Cloud atrisina divas svarīgas problēmas:

• Nodrošina izolāciju starp dažādiem klientiem.
• Apvieno resursus, infrastruktūru, platformas pakalpojumus, citus mākoņus un lokālos resursus vienā tīklā.

Un, lai šīs problēmas atrisinātu labi, iekšējās arhitektūras līmenī ir jānodrošina mērogojamība un kļūdu tolerance, ko arī dara VPC.

Pamazām VPC apgūst funkcijas, ieviešam jaunas iespējas un cenšamies kaut ko uzlabot lietotāju ērtību ziņā. Dažas idejas tiek izteiktas un iekļautas prioritāšu sarakstā, pateicoties mūsu kopienas locekļiem.

Tagad mums ir aptuveni šāds tuvākās nākotnes plānu saraksts:

• VPN kā pakalpojums.
• Privātie DNS gadījumi — attēli, kas paredzēti, lai ātri iestatītu virtuālās mašīnas ar iepriekš konfigurētu DNS serveri.
• DNS kā pakalpojums.
• Iekšējais slodzes balansētājs.
• “Baltās” IP adreses pievienošana, neizveidojot virtuālo mašīnu.

Balansētājs un iespēja pārslēgt IP adresi jau izveidotai virtuālajai mašīnai šajā sarakstā tika iekļauti pēc lietotāju pieprasījuma. Godīgi sakot, bez skaidras atsauksmes mēs šīs funkcijas būtu pārņēmušas nedaudz vēlāk. Un tāpēc mēs jau strādājam pie problēmas par adresēm.

Sākotnēji “balto” IP adresi varēja pievienot tikai, veidojot mašīnu. Ja lietotājs aizmirsa to izdarīt, virtuālā mašīna bija jāizveido no jauna. Tas pats attiecas uz ārējā IP noņemšanu, ja nepieciešams. Drīzumā būs iespējams ieslēgt un izslēgt publisko IP, neizveidojot iekārtu no jauna.

Jūtieties brīvi izteikt savu idejas un atbalsta ierosinājumi citiem lietotājiem. Jūs palīdzat mums uzlabot mākoni un ātrāk iegūt svarīgas un noderīgas funkcijas!

Avots: www.habr.com