Salama, Kostya Kramlikh no anarako, izaho no mpitarika ny fizarana Virtual Private Cloud ao amin'ny Yandex.Cloud. Mpampiasa tambajotra virtoaly aho, ary araka ny mety ho eritreretinao, amin'ity lahatsoratra ity dia hiresaka momba ny fitaovana Virtual Private Cloud (VPC) amin'ny ankapobeny sy ny tambajotra virtoaly manokana. Ary ho hitanao koa ny antony mahatonga anay, mpamorona ny serivisy, manome lanja ny valin-tenin'ireo mpampiasa anay. Fa ny zavatra voalohany aloha.
Inona no atao hoe VPC?
Amin'izao fotoana izao dia misy safidy isan-karazany amin'ny fametrahana serivisy. Azoko antoka fa mbola misy olona mitazona ny lohamilina eo ambanin'ny latabatry ny mpitantana, na dia manantena aho fa vitsy kokoa ny tantara toy izany.
Ankehitriny dia miezaka mankany amin'ny rahona ho an'ny daholobe ny serivisy, ary eto izy ireo no mifandona amin'ny VPC. VPC dia ampahany amin'ny rahona ho an'ny daholobe izay mampifandray ny mpampiasa, ny fotodrafitrasa, ny sehatra ary ny fahaiza-manao hafa, na aiza na aiza misy azy ireo, na ao amin'ny Cloudy na any ivelany. Mandritra izany fotoana izany, ny VPC dia mamela anao tsy hampiharihary ireo fahaiza-manao ireo amin'ny Internet tsy amin'antony, mijanona ao anatin'ny tambajotra mitokana.
Manao ahoana ny endriky ny tambajotra virtoaly avy any ivelany?
Amin'ny VPC, ny tiana holazaina voalohany indrindra dia tambajotra overlay sy serivisy tambajotra, toy ny VPNaaS, NATaas, LBaas, sns. eto, amin'ny HabrΓ©.
Andeha hojerentsika akaiky ny tambajotra virtoaly sy ny fitaovany.
Diniho ny faritra roa misy. Manome tambajotra virtoaly izahay - ilay antsoinay hoe VPC. Raha ny marina dia mamaritra ny habaka mampiavaka ny adiresinao "voankazo". Ao anatin'ny tamba-jotra virtoaly tsirairay dia manana fifehezana tanteraka ny habaka adiresy izay azonao omena ny loharanon-karena ianao.
Maneran-tany ny tambajotra. Amin'izay fotoana izay ihany koa dia ampitaina amin'ny faritra misy azy tsirairay izy io amin'ny endrika singa antsoina hoe Subnet. Ho an'ny Subnet tsirairay dia manome CIDR habe 16 na latsaka ianao. Mety misy orinasa mihoatra ny iray isaky ny faritra misy azy, ary misy lalana mangarahara foana eo anelanelan'izy ireo. Midika izany fa afaka "mifampiresaka" ny loharanonao rehetra ao anatin'ny VPC iray, na dia any amin'ny Faritra Availability samihafa aza. "Mifampiresaka" tsy misy fidirana amin'ny Internet, amin'ny alΓ lan'ny fantsona anatiny, "mihevitra" fa ao anatin'ny tambajotra tsy miankina iray ihany izy ireo.
Ny kisary etsy ambony dia mampiseho toe-javatra mahazatra: VPC roa mifanelanelana any amin'ny adiresy. Samy mety ho anao. Ohatra, ny iray ho an'ny fampandrosoana, ny iray ho an'ny fitsapana. Mety misy mpampiasa hafa fotsiny - amin'ity tranga ity dia tsy maninona izany. Ary milina virtoaly iray no ampidirina amin'ny VPC tsirairay.
Ndeha hanaratsy ny tetika. Azonao atao izany mba hahatonga ny milina virtoaly iray miraikitra amin'ny Subnets maromaro indray mandeha. Ary tsy toy izany ihany, fa amin'ny tambajotra virtoaly samihafa.
Amin'izay fotoana izay ihany koa, raha mila mamoaka milina amin'ny Internet ianao dia azo atao amin'ny alΓ lan'ny API na UI izany. Mba hanaovana izany dia mila manitsy ny dikantenin'ny NAT amin'ny adiresy anatiny ianao "fotsy" - ho an'ny daholobe. Tsy afaka misafidy adiresy "fotsy" ianao, nomena kisendrasendra avy amin'ny dobo adiresy. Raha vao mijanona ny fampiasana ny IP ivelany dia averina any amin'ny dobo izany. Ny fotoana fampiasana ny adiresy "fotsy" ihany no aloanao.
Azo atao ihany koa ny manome ny milina miditra amin'ny Internet amin'ny alΓ lan'ny ohatra NAT. Azonao atao ny mampita ny fifamoivoizana mankany amin'ny ohatra iray amin'ny alΓ lan'ny tabilao fandrindrana static. Nanome tranga toy izany izahay, satria ilain'ny mpampiasa izany indraindray, ary fantatsika izany. Noho izany, ny katalaogin'ny sarintsika dia misy sary NAT namboarina manokana.
Saingy na dia misy sary NAT efa vonona aza dia mety ho sarotra ny fametrahana. Takatray fa ho an'ny mpampiasa sasany dia tsy izany no safidy mety indrindra, ka tamin'ny farany dia nataonay ny nahafahan'ny NAT ho an'ny Subnet tadiavina amin'ny tsindry iray. Ity endri-javatra ity dia mbola ao anatin'ny fidirana an-tsarimihetsika mihidy, izay andrana azy miaraka amin'ny fanampian'ny mpikambana ao amin'ny vondrom-piarahamonina.
Ahoana ny fandaminana ny tambajotra virtoaly avy ao anatiny
Ahoana ny fifandraisan'ny mpampiasa amin'ny tambajotra virtoaly? Ny tranonkala dia mijery ivelany miaraka amin'ny API. Tonga amin'ny API ny mpampiasa ary miasa miaraka amin'ny fanjakana kendrena. Amin'ny alΓ lan'ny API, ny mpampiasa dia mahita ny fomba tokony handaminana sy hamboarina ny zava-drehetra, raha mahita ny sata izy, ny maha-samihafa ny fanjakana marina amin'ny tiana. Sarin'ny mpampiasa ity. Inona no mitranga ao anatiny?
Manoratra ny fanjakana tiana amin'ny Yandex Database izahay ary mandeha manamboatra faritra samihafa amin'ny VPC-nay. Ny tambajotra overlay ao amin'ny Yandex.Cloud dia mifototra amin'ny singa voafantina amin'ny OpenContrail, izay nantsoina vao haingana hoe Tungsten Fabric. Ny serivisy tambajotra dia ampiharina amin'ny sehatra CloudGate tokana. Ao amin'ny CloudGate, nampiasa singa loharano misokatra maromaro ihany koa izahay: GoBGP - hidirana amin'ny fampahalalana momba ny fanaraha-maso, ary koa ny VPP - hampiharana ny router rindrambaiko izay mandeha eo an-tampon'ny DPDK ho an'ny lalan'ny data.
Tungsten Fabric dia mifandray amin'ny CloudGate amin'ny alΓ lan'ny GoBGP. Lazao ny zava-mitranga ao amin'ny tambajotra overlay. Ny CloudGate kosa dia mampifandray ireo tamba-jotra overlay sy amin'ny Internet.
Andeha hojerentsika ny fomba hamahana ny olan'ny scaling sy ny fisian'ny tambajotra virtoaly. Andeha isika handinika tranga tsotra. Misy faritra azo ampiasaina ary VPC roa no noforonina ao. Nametraka ohatra iray amin'ny Tungsten Fabric izahay, ary misintona tambajotra an'aliny maro izany. Mifandray amin'ny CloudGate ny tambajotra. CloudGate, araka ny efa voalazantsika, dia miantoka ny fifandraisan'izy ireo amin'ny tsirairay sy amin'ny Internet.
Andeha hatao hoe misy faritra azo ampiasaina faharoa. Tokony hahomby tanteraka tsy miankina amin'ny voalohany. Noho izany, ao amin'ny faritra misy faharoa, dia tsy maintsy mametraka ohatra Tungsten Fabric misaraka isika. Ity dia rafitra mitokana izay miresaka momba ny overlay ary tsy mahafantatra firy momba ny rafitra voalohany. Ary ny fahitana fa ny tambajotra virtoaly dia manerantany, raha ny marina, dia mamorona ny VPC API. Izany no andraikiny.
Ny VPC1 dia aseho amin'ny sarintany mankany amin'ny Zone B raha misy loharanon-karena ao amin'ny Zone B azo afindra any amin'ny VPC1. Raha tsy misy loharanon-karena avy amin'ny VPC2 ao amin'ny faritra misy B, dia tsy hanao VPC2 amin'ity faritra ity izahay. Ho setrin'izany, satria ny loharanon-karena avy amin'ny VPC3 dia tsy misy afa-tsy ao amin'ny faritra B, ny VPC3 dia tsy misy ao amin'ny faritra A. Tsotra sy lojika ny zava-drehetra.
Andeha hojerentsika ny fomba fiasan'ny mpampiantrano manokana ao amin'ny Y.Cloud. Ny zava-dehibe tiako ho marihina dia ny fampiantranoana rehetra dia voalamina amin'ny fomba mitovy. Izahay dia manao izany mba tsy ny serivisy faran'izay kely indrindra ihany no mandeha amin'ny fitaovana, ny ambiny rehetra dia mandeha amin'ny milina virtoaly. Manangana serivisy ambony kokoa mifototra amin'ny serivisy fotodrafitrasa fototra izahay, ary mampiasa ny Cloud hamahana olana ara-teknika sasany, ohatra, ao anatin'ny rafitry ny Fampidirana mitohy.
Raha mijery mpampiantrano manokana isika dia hitantsika fa misy singa telo mandeha amin'ny OS host:
- Compute - ny ampahany tompon'andraikitra amin'ny fizarana loharanon-karena informatika amin'ny mpampiantrano.
- VRouter dia ampahany amin'ny Tungsten Fabric izay mandamina overlay, izany hoe, manodina fonosana amin'ny alΓ lan'ny underlay.
- VDisks dia ampahany amin'ny virtoaly fitahirizana.
Ankoatr'izay, ny serivisy dia atomboka amin'ny milina virtoaly: serivisy fotodrafitrasa rahona, serivisy amin'ny sehatra ary ny fahafahan'ny mpanjifa. Ny fahafahan'ny mpanjifa sy ny serivisy amin'ny sehatra dia mandeha amin'ny overlay amin'ny alΓ lan'ny VRouter.
Ny serivisy fotodrafitrasa dia afaka miraikitra amin'ny overlay, fa amin'ny ankapobeny dia te-hiasa amin'ny underlay izy ireo. Mifikitra amin'ny fanambanin'ny SR-IOV izy ireo. Raha ny marina, nanapaka ny karatra ho karatra tambajotra virtoaly (functions virtoaly) izahay ary manosika azy ireo amin'ny milina virtoaly fotodrafitrasa mba tsy ho very asa. Ohatra, ny CloudGate mitovy dia natomboka ho iray amin'ireo milina virtoaly fotodrafitrasa ireo.
Ankehitriny rehefa nofaritantsika ny asa maneran-tany amin'ny tambajotra virtoaly sy ny firafitry ny singa fototra amin'ny rahona, andeha hojerentsika hoe ahoana marina ny fifandraisan'ireo faritra samihafa amin'ny tambajotra virtoaly.
Manavaka sosona telo ao amin'ny rafitra misy antsika isika:
- Config Plane - mametraka ny toetry ny rafitra kendrena. Izany no ataon'ny mpampiasa amin'ny alΓ lan'ny API.
- Control Plane - manome semantika voafaritry ny mpampiasa, izany hoe mitondra ny fanjakana Data Plane amin'izay nofaritan'ny mpampiasa ao amin'ny Config Plane.
- Data Plane - manodina mivantana ny fonosan'ny mpampiasa.
Araka ny efa nolazaiko tetsy ambony, dia manomboka amin'ny hoe tonga amin'ny API ny mpampiasa na serivisy sehatra anatiny ary mamaritra ny fanjakana kendrena.
Ity fanjakana ity dia nosoratana avy hatrany tao amin'ny Yandex Database, mamerina ny ID fampandehanana asynchronous amin'ny alΓ lan'ny API, ary manomboka ny milina anatiny hamerina ny fanjakana tadiavin'ny mpampiasa. Mandehana any amin'ny mpanara-maso SDN ny asa fanamboarana ary lazao amin'ny Tungsten Fabric ny tokony hatao amin'ny overlay. Mitahiry seranana, tambajotra virtoaly, sy ny toy izany, ohatra.
Ny fiaramanidina Config ao amin'ny Tungsten Fabric dia mandefa ny fanjakana ilaina amin'ny fiaramanidina fanaraha-maso. Amin'ny alΓ lan'izany, ny Config Plane dia mifandray amin'ny mpampiantrano, milaza izay tena hihodina amin'izy ireo tsy ho ela.
Andeha hojerentsika ny fomba fijerin'ny rafitra amin'ny mpampiantrano. Ny milina virtoaly dia manana adaptatera tambajotra mipetaka amin'ny VRouter. VRouter dia maody Tungsten Fabric fototra izay mijery fonosana. Raha toa ka efa misy ny fikorianan'ny fonosana sasany, dia ny module no manodina azy. Raha tsy misy mikoriana dia manao ilay antsoina hoe punting ny module, izany hoe mandefa fonosana mankany amin'ny processus usermod. Ny dingana dia manara-maso ny fonosana ary na mamaly azy, toy ny DHCP sy DNS, na milaza amin'ny VRouter izay tokony hatao aminy. Aorian'izany dia afaka manodina ny fonosana ny VRouter.
Fanampin'izay, mandeha mangarahara ny fifamoivoizana eo amin'ny milina virtoaly ao anatin'ny tambajotra virtoaly iray, tsy mitodika any amin'ny CloudGate izany. Ny mpampiantrano izay ametrahana ireo milina virtoaly dia mifampiresaka mivantana. Manao tonelina ny fifamoivoizana izy ireo ary mampita izany amin'ny alΓ lan'ny ambanin'ny tany.
Ny fiaramanidina fanaraha-maso dia mifampiresaka eo amin'ny faritra misy amin'ny alΓ lan'ny BGP, toy ny amin'ny router hafa. Lazain'izy ireo hoe iza amin'ireo milina no miakatra mba ahafahan'ny VM amin'ny faritra iray mifandray mivantana amin'ny VM hafa.
Ary mifandray amin'ny CloudGate ny Control Plane. Toy izany koa, mitatitra ny toerana sy ny milina virtoaly atsangana, ny adiresin'izy ireo. Izany dia ahafahanao mitantana ny fifamoivoizana ivelany sy ny fifamoivoizana avy amin'ny mpifandanja mankany amin'izy ireo.
Ny fifamoivoizana izay miala amin'ny VPC dia tonga ao amin'ny CloudGate, mankany amin'ny lalan'ny data, izay misy ny VPP miaraka amin'ny plugins ataontsika haingana. Avy eo ny fifamoivoizana dia alefa any amin'ny VPC hafa na any ivelany, mankany amin'ny routers sisintany izay namboarina amin'ny alΓ lan'ny Control Plane an'ny CloudGate mihitsy.
Drafitra ho an'ny ho avy tsy ho ela
Raha fintinina amin'ny fehezanteny vitsivitsy ny zavatra rehetra voalaza etsy ambony, dia afaka milaza isika fa ny VPC ao amin'ny Yandex.Cloud dia mamaha asa lehibe roa:
- Manome fitokanana eo amin'ny mpanjifa samihafa.
- Manambatra ny loharanon-karena, ny fotodrafitrasa, ny serivisy amin'ny sehatra, ny rahona hafa ary ny eo an-toerana ho tambajotra tokana.
Ary mba hamahana tsara ireo olana ireo dia mila manome scalability sy fandeferana diso amin'ny haavon'ny maritrano anatiny, izay ataon'ny VPC.
Mahazo fonctions tsikelikely ny VPC, mametraka endri-javatra vaovao izahay, miezaka manatsara zavatra izahay amin'ny lafiny maha-mora ny mpampiasa. Misy hevitra avoaka ary tafiditra ao amin'ny lisitry ny laharam-pahamehana noho ny mpikambana ao amin'ny vondrom-piarahamoninay.
Manana ny lisitry ny drafitra ho avy tsy ho ela izahay amin'izao fotoana izao:
- VPN ho serivisy
- Ny ohatra DNS manokana dia sary ho an'ny fametrahana haingana milina virtoaly miaraka amin'ny mpizara DNS efa namboarina mialoha.
- DNS ho serivisy.
- Mpandanja entana anatiny.
- Manampy adiresy IP "fotsy" nefa tsy mamerina ny milina virtoaly.
Ny mpifandanja sy ny fahafahana manova ny adiresy IP ho an'ny milina virtoaly efa noforonina dia tao amin'ity lisitra ity noho ny fangatahan'ny mpampiasa. Raha ny marina, raha tsy misy fanehoan-kevitra mazava, dia ho nandray ireo asa ireo izahay taty aoriana kely. Ary noho izany dia efa miasa amin'ny olana momba ny adiresy izahay.
Tamin'ny voalohany, ny adiresy IP "fotsy" dia tsy azo ampiana afa-tsy rehefa mamorona milina. Raha adinon'ny mpampiasa ny manao izany dia tsy maintsy averina ny milina virtoaly. Toy izany koa ary, raha ilaina, esory ny IP ivelany. Tsy ho ela dia ho azo atao ny mamadika sy mamono ny IP ho an'ny daholobe nefa tsy mila mamerina ny milina.
Aza misalasala maneho ny hevitrao mpampiasa hafa. Manampy anay hanatsara ny Cloud ianao ary hahazo endri-javatra manan-danja sy mahasoa haingana kokoa!
Source: www.habr.com