В өмнөх дугаар Би сүлжээний автоматжуулалтын хүрээг тодорхойлсон. Зарим хүмүүсийн үзэж байгаагаар энэ асуудалд анхны арга барил ч гэсэн зарим асуултыг аль хэдийн эрэмбэлсэн байна. Энэ нь намайг маш их баярлуулж байна, учир нь бидний мөчлөгийн зорилго бол Ansible-г Python скриптээр далдлах биш, харин системийг бий болгох явдал юм.

Үүнтэй ижил хүрээ нь бидний асуултыг шийдвэрлэх дарааллыг тогтоодог.
Мөн энэ дугаарт зориулагдсан сүлжээний виртуалчлал нь бидний автоматжуулалтад дүн шинжилгээ хийдэг ADSM сэдэвт тийм ч их тохирохгүй байна.

Гэхдээ арай өөр өнцгөөс харцгаая.

Олон үйлчилгээ нэг сүлжээг удаан хугацаанд ашиглаж байна. Харилцаа холбооны операторын хувьд энэ нь жишээлбэл 2G, 3G, LTE, өргөн зурвасын болон B2B юм. DC-ийн хувьд: өөр өөр үйлчлүүлэгчдэд зориулсан холболт, интернет, блок хадгалах, объект хадгалах.

Мөн бүх үйлчилгээ нь бие биенээсээ тусгаарлахыг шаарддаг. Давхардсан сүлжээнүүд ингэж гарч ирсэн.

Мөн бүх үйлчилгээ нь хүнийг гараар тохируулахыг хүлээхийг хүсдэггүй. Оркеструуд болон SDN ингэж гарч ирсэн.

Сүлжээг системтэй автоматжуулах анхны арга барил, эс тэгвээс түүний нэг хэсэг нь VMWare, OpenStack, Google Compute Cloud, AWS, Facebook зэрэг олон газарт эртнээс хэрэгжиж, хэрэгжиж ирсэн.

Үүнийг бид өнөөдөр шийдэх болно.

Агуулга

• шалтгаан
• Нэр томъёо
• Доод давхарга - физик сүлжээ
• Overlay - виртуал сүлжээ
  • ToR-тэй давхарлах
  • Хостоос давхарласан
  • Гянт болдын даавууг жишээ болгон ашиглах
    • Нэг физик машин доторх харилцаа холбоо
    • Өөр өөр физик машинууд дээр байрлах VM-ийн хоорондох холбоо
    • Гадаад ертөнц рүү гарах

• тусламж
• дүгнэлт
• Ашигтай холбоосууд

шалтгаан

Бид энэ тухай ярьж байгаа тул сүлжээний виртуалчлалын урьдчилсан нөхцөлүүдийн талаар дурдах нь зүйтэй болов уу. Уг нь энэ үйл явц өчигдрөөс эхлээгүй.

Сүлжээ нь аливаа системийн хамгийн идэвхгүй хэсэг байсаар ирсэн гэдгийг та нэг бус удаа сонссон байх. Мөн энэ нь бүх утгаараа үнэн юм. Сүлжээ нь бүх зүйл дээр тулгуурладаг үндэс суурь бөгөөд үүн дээр өөрчлөлт оруулах нь нэлээд хэцүү байдаг - сүлжээ тасарсан үед үйлчилгээнүүд үүнийг тэсвэрлэдэггүй. Ихэнхдээ нэг зангилаа ашиглалтаас хасах нь програмын ихээхэн хэсгийг устгаж, олон хэрэглэгчдэд нөлөөлдөг. Энэ нь зарим талаараа сүлжээний баг ямар ч өөрчлөлтийг эсэргүүцэж болох шалтгаан юм - учир нь энэ нь одоо ямар нэгэн байдлаар ажиллаж байна (Бид яаж гэдгийг ч мэдэхгүй байж магадгүй), гэхдээ энд та шинэ зүйлийг тохируулах хэрэгтэй бөгөөд энэ нь сүлжээнд хэрхэн нөлөөлөх нь тодорхойгүй байна.

Сүлжээчид VLAN-г оруулахыг хүлээхгүй байх, сүлжээний зангилаа бүр дээр ямар ч үйлчилгээг бүртгүүлэхгүй байхын тулд хүмүүс GRE, IPinIP, MPLS, олон төрлийн давхардсан сүлжээг ашиглах санааг гаргаж ирэв. MPLS L2/L3VPN, VXLAN, GENEVE, MPLSoverUDP, MPLSoverGRE гэх мэт.

Тэдний сонирхол нь хоёр энгийн зүйлд оршдог:

• Зөвхөн төгсгөлийн зангилаанууд тохируулагдсан байдаг - дамжин өнгөрөх цэгүүдэд хүрэх шаардлагагүй. Энэ нь үйл явцыг ихээхэн хурдасгаж, заримдаа сүлжээний дэд бүтцийн хэлтсийг шинэ үйлчилгээ нэвтрүүлэх үйл явцаас бүрэн хасах боломжийг олгодог.
• Ачаалал нь толгойн дотор гүн нуугддаг - дамжин өнгөрөх зангилаанууд энэ талаар, хостууд дээр хаяглах, давхардсан сүлжээний маршрутын талаар юу ч мэдэх шаардлагагүй. Энэ нь та хүснэгтэд бага мэдээлэл хадгалах хэрэгтэй гэсэн үг бөгөөд энэ нь илүү хялбар/хямд төхөөрөмж ашиглах гэсэн үг юм.

Энэ бүрэн бус дугаарт би бүх боломжит технологид дүн шинжилгээ хийхээр төлөвлөөгүй, харин DC-д давхар сүлжээний үйл ажиллагааны хүрээг тайлбарлах болно.

Бүхэл бүтэн цуврал нь ижил серверийн тоног төхөөрөмж суурилуулсан ижил тавиуруудын эгнээнээс бүрдэх мэдээллийн төвийг тайлбарлах болно.

Энэхүү төхөөрөмж нь үйлчилгээг хэрэгжүүлдэг виртуал машин/контейнер/сервергүй ажилладаг.

Нэр томъёо

Гогцоонд сервер Би үйлчлүүлэгч-серверийн харилцааны сервер талыг хэрэгжүүлдэг программыг нэрлэх болно.

Тавиурт байгаа физик машинуудыг сервер гэж нэрлэдэг үгүй бид ... болно.

Физик машин — өлгүүрт суулгасан x86 компьютер. Хамгийн түгээмэл хэрэглэгддэг нэр томъёо хост. Үүнийг бид нэрлэх болно "машина"Эсвэл хост.

Гипервайзер - Виртуал машинууд дээр ажилладаг физик нөөцийг дуурайдаг физик машин дээр ажилладаг програм. Заримдаа уран зохиол, интернетэд "hypervisor" гэдэг үгийг "хост" гэсэн үгийн синоним болгон ашигладаг.

Виртуал машин - hypervisor дээр байрлах физик машин дээр ажилладаг үйлдлийн систем. Энэ мөчлөгт бидний хувьд энэ нь виртуал машин эсвэл зүгээр л контейнер байх нь тийм ч чухал биш юм. Үүнийг нэрлэе"ВМ«

Түрээслэгч нь энэ нийтлэлд би тусдаа үйлчилгээ эсвэл тусдаа үйлчлүүлэгч гэж тодорхойлох өргөн ойлголт юм.

Олон түрээслэх эсвэл олон түрээслэх - өөр өөр үйлчлүүлэгч/үйлчилгээний нэг програмыг ашиглах. Үүний зэрэгцээ, үйлчлүүлэгчдийг бие биенээсээ тусгаарлах нь тус тусад нь ажиллаж байгаа жишээнүүдийн тусламжтайгаар биш харин програмын архитектурын ачаар хийгддэг.

ToR — Rack-ийн дээд хэсэг - бүх физик машинууд холбогдсон тавиур дээр суурилуулсан унтраалга.

ToR топологиас гадна төрөл бүрийн үйлчилгээ үзүүлэгчид End of Row (EoR) эсвэл Middle of Row-ийг дадлага хийдэг (хэдийгээр сүүлийнх нь доромжлох ховор зүйл бөгөөд би MoR товчлолыг хараагүй).

Дотор сүлжээ эсвэл үндсэн сүлжээ эсвэл суурь нь сүлжээний физик дэд бүтэц юм: унтраалга, чиглүүлэгч, кабель.

Давхардсан сүлжээ эсвэл давхарласан сүлжээ эсвэл давхарласан сүлжээ - биет дээр ажилладаг туннелийн виртуал сүлжээ.

L3 даавуу эсвэл IP даавуу - STP давтахаас зайлсхийж, ярилцлагад TRILL сурах боломжийг олгодог хүн төрөлхтний гайхалтай бүтээл. Хандалтын түвшин хүртэлх бүх сүлжээ нь зөвхөн L3, VLAN-гүй, үүний дагуу асар том өргөн нэвтрүүлгийн домэйн бүхий ойлголт юм. "Үйлдвэр" гэдэг үг хаанаас гарсныг бид дараагийн хэсэгт авч үзэх болно.

SDN - Програм хангамжаар тодорхойлсон сүлжээ. Танилцуулга хэрэггүй л болов уу. Сүлжээний өөрчлөлтийг хүн биш, харин програмаар хийдэг сүлжээний менежментийн арга. Ихэвчлэн хяналтын хавтгайг сүлжээний төгсгөлийн төхөөрөмжүүдээс гадна хянагч руу шилжүүлэхийг хэлнэ.

NFV — Сүлжээний функцийн виртуалчлал — сүлжээний төхөөрөмжүүдийн виртуалчлал нь шинэ үйлчилгээг хурдасгах, үйлчилгээний сүлжээг зохион байгуулах, хэвтээ өргөтгөлийг хялбаршуулах зорилгоор сүлжээний зарим функцийг виртуал машин эсвэл контейнер хэлбэрээр ажиллуулж болохыг харуулж байна.

VNF - Виртуал сүлжээний функц. Тусгай виртуал төхөөрөмж: чиглүүлэгч, шилжүүлэгч, галт хана, NAT, IPS/IDS гэх мэт.

Уншигчдыг төөрөгдүүлэхгүйн тулд би одоо тодорхой хэрэгжилтийн тайлбарыг зориудаар хялбарчилж байна. Илүү анхааралтай уншихын тулд би түүнийг хэсэг рүү чиглүүлнэ лавлагаа. Нэмж дурдахад, энэ нийтлэлийг алдаатай гэж шүүмжилсэн Рома Горге сервер болон сүлжээний виртуалчлалын технологийн талаар тусдаа дугаар бичихээ амлаж байна, илүү гүн гүнзгий, нарийн ширийн зүйлийг анхааралтай авч үзэх болно.

Өнөөдөр ихэнх сүлжээг хоёр хэсэгт хувааж болно.

Далд — тогтвортой тохиргоотой физик сүлжээ.
Давхардсан - түрээслэгчдийг тусгаарлахын тулд хийсвэрлэл.

Энэ нь DC (бид энэ нийтлэлд дүн шинжилгээ хийх болно) болон ISP-ийн хувьд (бид дүн шинжилгээ хийхгүй, учир нь энэ нь аль хэдийн хийгдсэн) хувьд үнэн юм. SDSM). Мэдээжийн хэрэг аж ахуйн нэгжийн сүлжээний хувьд нөхцөл байдал арай өөр байна.

Сүлжээнд анхаарлаа төвлөрүүлсэн зураг:

Далд

Доод давхарга нь физик сүлжээ юм: техник хангамжийн унтраалга ба кабель. Газар доорх төхөөрөмжүүд нь физик машинд хэрхэн хүрэхийг мэддэг.

Энэ нь стандарт протокол, технологид тулгуурладаг. Өнөөдрийг хүртэл техник хангамжийн төхөөрөмжүүд нь чипийг програмчлах эсвэл өөрийн протоколыг хэрэгжүүлэхийг зөвшөөрдөггүй хувийн програм хангамж дээр ажилладаг тул бусад үйлдвэрлэгчидтэй нийцтэй байх, стандартчилал шаардлагатай байдаг.

Гэхдээ Google шиг хэн нэгэн нь өөрийн шилжүүлэгчийг хөгжүүлж, нийтээр хүлээн зөвшөөрөгдсөн протоколуудаас татгалзаж чадна. Гэхдээ LAN_DC бол Google биш.

Доод давхарга нь харьцангуй ховор өөрчлөгддөг, учир нь түүний ажил нь физик машин хоорондын үндсэн IP холболт юм. Underlay нь түүн дээр ажиллаж байгаа үйлчилгээ, үйлчлүүлэгч, түрээслэгчдийн талаар юу ч мэдэхгүй - энэ нь зөвхөн багцыг нэг машинаас нөгөө машинд хүргэхэд л хангалттай.
Дотор нь дараах байдалтай байж болно.

• IPv4+OSPF
• IPv6+ISIS+BGP+L3VPN
• L2+TRILL
• L2+STP

Underlay сүлжээг сонгодог аргаар тохируулсан: CLI/GUI/NETCONF.

Гараар, скриптүүд, өмчийн хэрэгслүүд.

Цувралын дараагийн өгүүллийг доод давхаргын талаар илүү дэлгэрэнгүй ярих болно.

Давхардсан

Overlay нь Underlay-ийн орой дээр байрлах туннелийн виртуал сүлжээ бөгөөд нэг үйлчлүүлэгчийн VM-ууд хоорондоо харилцах боломжийг олгодог бөгөөд бусад үйлчлүүлэгчдээс тусгаарлагддаг.

Үйлчлүүлэгчийн өгөгдлийг нийтийн сүлжээгээр дамжуулахын тулд зарим туннелийн толгой хэсэгт багтаасан болно.

Тиймээс нэг үйлчлүүлэгчийн (нэг үйлчилгээ) VM-ууд нь пакет ямар замаар явж байгааг мэдэхгүй ч Overlay-ээр дамжуулан хоорондоо холбогдох боломжтой.

Жишээ нь миний дээр дурдсантай адил давхцал байж болно:

• GRE туннель
• VXLAN
• EVPN
• L3VPN
• ЖЕНЕВ

Давхардсан сүлжээг ихэвчлэн төв хянагчаар тохируулж, удирддаг. Үүнээс тохиргоо, хяналтын хавтгай ба мэдээллийн хавтгай нь үйлчлүүлэгчийн урсгалыг чиглүүлж, багтаасан төхөөрөмжүүдэд хүргэдэг. Бага зэрэг доор байна Үүнийг жишээгээр харцгаая.

Тийм ээ, энэ бол хамгийн цэвэр хэлбэрээр SDN юм.

Overlay сүлжээг зохион байгуулах үндсэн хоёр өөр арга байдаг:

1. ToR-тэй давхарлах
2. Хостоос давхарласан

ToR-тэй давхарлах

Давхарга нь жишээлбэл, VXLAN даавууны хувьд тавиур дээр зогсож буй хандалтын унтраалга (ToR) дээр эхэлж болно.

Энэ бол ISP сүлжээнд цаг хугацаагаар туршсан механизм бөгөөд бүх сүлжээний тоног төхөөрөмжийн үйлдвэрлэгчид үүнийг дэмждэг.

Гэсэн хэдий ч, энэ тохиолдолд ToR шилжүүлэгч нь янз бүрийн үйлчилгээг тус тусад нь салгах чадвартай байх ёстой бөгөөд сүлжээний администратор нь тодорхой хэмжээгээр виртуал машины администраторуудтай хамтран ажиллаж, төхөөрөмжүүдийн тохиргоонд өөрчлөлт оруулах (автоматаар ч гэсэн) хийх ёстой. .

Энд би уншигчдад энэ тухай нийтлэлийг хүргэх болно Habré дээрх VxLAN бидний хуучин найз @bormoglotx.
Энэ нь ENOG-тэй хийсэн илтгэлүүд EVPN VXLAN даавуугаар тогтмол гүйдлийн сүлжээг бий болгох арга барилыг дэлгэрэнгүй тайлбарласан болно.

Бодит байдалд илүү бүрэн дүрэхийн тулд та Цискагийн номыг уншиж болно Орчин үеийн, нээлттэй, өргөтгөх боломжтой даавуу: VXLAN EVPN.

VXLAN бол зөвхөн капсулжуулах арга бөгөөд хонгилыг дуусгах нь жишээлбэл OpenStack-д тохиолддог шиг ToR дээр биш, харин хост дээр тохиолдож болно гэдгийг би тэмдэглэж байна.

Гэсэн хэдий ч, давхцал нь ToR-ээс эхэлдэг VXLAN даавуу нь тогтсон давхардсан сүлжээний загваруудын нэг юм.

Хостоос давхарласан

Өөр нэг арга бол эцсийн хостууд дээр хонгилыг эхлүүлэх, дуусгах явдал юм.
Энэ тохиолдолд сүлжээ (Underlay) нь аль болох энгийн бөгөөд хөдөлгөөнгүй хэвээр байна.
Мөн хост өөрөө шаардлагатай бүх капсулыг хийдэг.

Энэ нь мэдээжийн хэрэг хостууд дээр тусгай програм ажиллуулах шаардлагатай болно, гэхдээ энэ нь үнэ цэнэтэй юм.

Нэгдүгээрт, Линукс машин дээр үйлчлүүлэгч ажиллуулах нь илүү хялбар, эсвэл бүр боломжтой гэж хэлэхэд шилжүүлэгч дээр байх үед та өмчийн SDN шийдлүүдийг ашиглах шаардлагатай болж магадгүй бөгөөд энэ нь олон үйлдвэрлэгчийн санааг устгадаг.

Хоёрдугаарт, энэ тохиолдолд ToR шилжүүлэгчийг Хяналтын хавтгай ба өгөгдлийн онгоцны үүднээс аль болох энгийн байдлаар үлдээж болно. Үнэн хэрэгтээ энэ нь SDN хянагчтай холбогдох шаардлагагүй бөгөөд бүх холбогдсон үйлчлүүлэгчдийн сүлжээ/ARP-г хадгалах шаардлагагүй - физик машины IP хаягийг мэдэхэд хангалттай бөгөөд энэ нь шилжих үйл явцыг ихээхэн хялбаршуулдаг/ чиглүүлэлтийн хүснэгтүүд.

ADSM цувралд би хостоос давхцах аргыг сонгодог - дараа нь бид зөвхөн энэ тухай ярих бөгөөд бид VXLAN үйлдвэр рүү буцаж ирэхгүй.

Жишээнүүдийг үзэх нь хамгийн хялбар юм. Туршилтын субъектын хувьд бид OpenSource SDN платформ болох OpenContrail-ийг авах болно Гянт болд даавуу.

Өгүүллийн төгсгөлд би OpenFlow болон OpenvSwitch-ийн аналогийн талаар зарим санааг өгөх болно.

Гянт болдын даавууг жишээ болгон ашиглах

Физик машин бүр байдаг vRouter - түүнд холбогдсон сүлжээнүүд болон тэдгээр нь ямар үйлчлүүлэгчид харьяалагддагийг мэддэг виртуал чиглүүлэгч - үндсэндээ PE чиглүүлэгч. Үйлчлүүлэгч бүрийн хувьд энэ нь тусгаарлагдсан чиглүүлэлтийн хүснэгтийг хадгалдаг (VRF-г уншина уу). Мөн vRouter нь үнэндээ Overlay tunneling хийдэг.

Өгүүллийн төгсгөлд vRouter-ийн талаар бага зэрэг дэлгэрэнгүй ярих болно.

Гипервизор дээр байрлах VM бүр нь энэ машины vRouter-тэй холбогддог TAP интерфейс.

TAP - Терминал хандалтын цэг - Линуксийн цөм дэх сүлжээний харилцан үйлчлэлийг зөвшөөрдөг виртуал интерфейс.

Хэрэв vRouter-ийн ард хэд хэдэн сүлжээ байгаа бол тэдгээр нь тус бүрдээ виртуал интерфэйсийг үүсгэсэн бөгөөд үүнд IP хаяг хуваарилагдсан - энэ нь анхдагч гарцын хаяг байх болно.
Нэг үйлчлүүлэгчийн бүх сүлжээг нэг дор байрлуулсан VRF (нэг хүснэгт), өөр өөр - өөр өөр.
Бүх зүйл тийм ч энгийн биш гэдгийг би энд анхааруулж, сонирхсон уншигчийг нийтлэлийн төгсгөлд илгээх болно..

VRouter-ууд хоорондоо, үүний дагуу тэдний ард байрлах VM-үүдтэй холбогдохын тулд тэд чиглүүлэлтийн мэдээллийг солилцдог. SDN хянагч.

Гадаад ертөнцөд гарахын тулд матрицаас гарах цэг байдаг - виртуал сүлжээний гарц VNGW - Виртуал сүлжээний гарц (миний хугацаа).

Одоо харилцааны жишээг харцгаая - тэгвэл тодорхой болно.

Нэг физик машин доторх харилцаа холбоо

VM0 нь VM2 руу пакет илгээхийг хүсч байна. Одоохондоо энэ нь нэг үйлчлүүлэгчийн VM байна гэж бодъё.

Өгөгдлийн хавтгай

1. VM-0 нь eth0 интерфэйс рүүгээ анхдагч замтай. Багцыг тэнд илгээдэг.
   Энэхүү eth0 интерфэйс нь tap0 интерфэйсээр дамжуулан виртуал чиглүүлэгч vRouter-тэй шууд холбогддог.
2. vRouter нь пакет аль интерфэйстэй, аль клиентэд (VRF) харьяалагдаж байгааг шинжилж, энэ клиентийн чиглүүлэлтийн хүснэгтээр хүлээн авагчийн хаягийг шалгадаг.
3. Нэг машин дээрх хүлээн авагч өөр порт дээр байгааг олж мэдээд vRouter зүгээр л ямар нэгэн нэмэлт гарчиггүйгээр пакетийг илгээдэг - энэ тохиолдолд vRouter аль хэдийн ARP оруулгатай байна.

Энэ тохиолдолд пакет нь физик сүлжээнд ордоггүй - энэ нь vRouter дотор чиглэгддэг.

Хяналтын онгоц

Виртуал машин ажиллаж эхлэхэд гипервизор түүнд:

• Түүний өөрийн IP хаяг.
• Өгөгдмөл зам нь энэ сүлжээн дэх vRouter-ийн IP хаягаар дамждаг.

Гипервизор нь тусгай API-ээр дамжуулан vRouter-д мэдээлдэг:

• Виртуал интерфэйс үүсгэхийн тулд танд юу хэрэгтэй вэ.
• Энэ (VM) ямар төрлийн виртуал сүлжээ үүсгэх шаардлагатай вэ?
• Аль VRF (VN) -тэй холбох вэ.
• Энэ VM-д зориулсан статик ARP оруулга—түүний IP хаяг ямар интерфейс болон ямар MAC хаягтай холбогдсон байна.

Дахин хэлэхэд, ойлголтыг ойлгохын тулд бодит харилцан үйлчлэлийн процедурыг хялбаршуулсан болно.

Тиймээс vRouter нь тухайн машин дээрх нэг үйлчлүүлэгчийн бүх VM-г шууд холбогдсон сүлжээ гэж харж, тэдгээрийн хооронд чиглүүлэх боломжтой.

Гэхдээ VM0 ба VM1 нь өөр өөр үйлчлүүлэгчид харьяалагддаг бөгөөд үүний дагуу өөр өөр vRouter хүснэгтэд байдаг.

Тэд хоорондоо шууд харилцаж чадах эсэх нь vRouter тохиргоо болон сүлжээний дизайнаас хамаарна.
Жишээлбэл, хэрэв хоёр үйлчлүүлэгчийн VM нь нийтийн хаягийг ашигладаг эсвэл NAT vRouter дээр өөрөө тохиолддог бол vRouter руу шууд чиглүүлэлт хийх боломжтой.

Эсрэг тохиолдолд хаягийн орон зайг хөндлөн гаргах боломжтой - нийтийн хаягийг авахын тулд та NAT серверээр дамжих хэрэгтэй - энэ нь доор авч үзэх гадаад сүлжээнд хандахтай адил юм.

Өөр өөр физик машинууд дээр байрлах VM-ийн хоорондох холбоо

Өгөгдлийн хавтгай

1. Эхлэл нь яг адилхан: VM-0 нь өгөгдмөлөөр нь VM-7 (172.17.3.2) гэсэн пакет илгээдэг.
2. vRouter үүнийг хүлээн авсан бөгөөд энэ удаад очих газар өөр машин дээр байгаа бөгөөд Tunnel0-ээр дамжуулан хандах боломжтой болохыг харлаа.
3. Нэгдүгээрт, энэ нь алсын интерфэйсийг тодорхойлсон MPLS шошгыг өлгөх бөгөөд ингэснээр ар талд нь vRouter нь нэмэлт хайлтгүйгээр энэ пакетыг хаана байрлуулахаа тодорхойлох боломжтой болно.

   

4. Tunnel0 нь эх сурвалж 10.0.0.2, очих газар: 10.0.1.2.
   vRouter нь GRE (эсвэл UDP) толгой болон шинэ IP-г анхны багцад нэмдэг.
5. vRouter чиглүүлэлтийн хүснэгт нь 1 ToR10.0.0.1 хаягаар дамжих өгөгдмөл маршруттай. Тэнд тэр үүнийг илгээдэг.

   
   

6. ToR1 нь Underlay сүлжээний гишүүний хувьд 10.0.1.2 руу хэрхэн хүрэхийг мэддэг (жишээ нь, OSPF-ээр) ба маршрутын дагуу пакет илгээдэг. ECMP энд идэвхжсэн гэдгийг анхаарна уу. Зураг дээр хоёр дараагийн хошуу байгаа бөгөөд өөр өөр хэлхээг хэшээр ангилах болно. Жинхэнэ үйлдвэрийн хувьд 4 дараагийн цех байх магадлалтай.

   Үүний зэрэгцээ тэрээр гадаад IP толгойн доор юу байгааг мэдэх шаардлагагүй. Энэ нь үнэн хэрэгтээ IP-ийн доор MPLS-ээр Ethernet-ээр дамжуулан MPLS-ээр дамжуулан Грек хэлээр GRE-ээр дамжуулан IPv6-ийн сэндвич байж болно.

7. Үүний дагуу, vRouter нь хүлээн авагч талдаа GRE-г устгаж, MPLS тагийг ашиглан энэ пакетыг аль интерфейс рүү илгээхийг ойлгож, түүнийг задалж, хүлээн авагч руу анхны хэлбэрээр нь илгээдэг.

Хяналтын онгоц

Машинаа асаахад дээр дурдсантай ижил зүйл тохиолддог.

Дээрээс нь дараах зүйлс:

• Үйлчлүүлэгч бүрийн хувьд vRouter нь MPLS хаягийг хуваарилдаг. Энэ нь L3VPN үйлчилгээний шошго бөгөөд үүгээр үйлчлүүлэгчид нэг физик машин дотор тусгаарлагдах болно.
  

  Үнэн хэрэгтээ MPLS шошго нь vRouter-ээр үргэлж ямар ч болзолгүйгээр хуваарилагддаг - эцэст нь машин нь зөвхөн нэг vRouter-ийн ард байгаа бусад машинуудтай харьцах нь урьдчилан мэдэгддэггүй бөгөөд энэ нь бүр үнэн биш байх магадлалтай.

• vRouter нь BGP протоколыг ашиглан SDN хянагчтай холболт үүсгэдэг (эсвэл үүнтэй төстэй - TF-ийн хувьд энэ нь XMPP 0_o).
• Энэ сессээр дамжуулан vRouter холбогдсон сүлжээнүүдийн маршрутыг SDN хянагч руу тайлагнадаг:
  • Сүлжээний хаяг
  • Encapsulation арга (MPLSoGRE, MPLSoUDP, VXLAN)
  • MPLS үйлчлүүлэгчийн шошго
  • Дараагийн ээлжинд таны IP хаяг

• SDN хянагч нь холбогдсон бүх vRouter-ээс ийм маршрутуудыг хүлээн авч, бусдад тусгадаг. Энэ нь Маршрутын тусгалын үүргийг гүйцэтгэдэг.

Үүнтэй ижил зүйл эсрэг чиглэлд тохиолддог.

Давхарга нь дор хаяж минут тутамд өөрчлөгдөж болно. Үйлчлүүлэгчид виртуал машинуудаа байнга эхлүүлж, хаадаг нийтийн үүлэнд ийм зүйл тохиолддог.

Төв хянагч нь vRouter дээрх тохиргоог арчлах, шилжих/маршрут хийх хүснэгтүүдийг хянах бүх нарийн төвөгтэй байдлыг хариуцдаг.

Товчхондоо, хянагч нь BGP (эсвэл ижил төстэй протокол)-ээр дамжуулан бүх vRouter-тэй холбогдож, чиглүүлэлтийн мэдээллийг дамжуулдаг. Жишээлбэл, BGP нь капсулжуулалтын аргыг дамжуулахын тулд Хаяг-Гэр бүлтэй болсон MPLS-in-GRE буюу MPLS-in-UDP.

Үүний зэрэгцээ, Underlay сүлжээний тохиргоо ямар ч байдлаар өөрчлөгддөггүй бөгөөд энэ нь автоматжуулахад илүү хэцүү бөгөөд эвгүй хөдөлгөөнөөр эвдэхэд хялбар байдаг.

Гадаад ертөнц рүү гарах

Симуляци хаа нэгтээ дуусах ёстой бөгөөд та виртуал ертөнцөөс жинхэнэ ертөнц рүү гарах хэрэгтэй. Мөн танд таксофоны гарц хэрэгтэй.

Хоёр аргыг хэрэгжүүлдэг:

1. Тоног төхөөрөмжийн чиглүүлэгчийг суулгасан байна.
2. Чиглүүлэгчийн функцийг хэрэгжүүлдэг төхөөрөмжийг ажиллуулж байна (тиймээ, SDN-ийн дараа бид VNF-тэй тулгарсан). Үүнийг виртуал гарц гэж нэрлэе.

Хоёрдахь аргын давуу тал нь хямд хэвтээ өргөтгөл юм - хангалттай хүч байхгүй - бид гарцтай өөр виртуал машиныг эхлүүлсэн. Ямар ч физик машин дээр үнэгүй тавиур, нэгж, эрчим хүчний гаралт хайх шаардлагагүй, тоног төхөөрөмжийг өөрөө худалдаж авч, тээвэрлэж, суулгаж, сэлгэж, тохируулж, дараа нь алдаатай бүрэлдэхүүн хэсгүүдийг солих боломжтой.

Виртуал гарцын сул тал нь физик чиглүүлэгчийн нэгж нь олон цөмт виртуал машинаас илүү хүчтэй хэвээр байгаа бөгөөд өөрийн техник хангамжийн сууринд тохируулсан програм хангамж нь илүү тогтвортой ажилладаг (ямар ч). Техник хангамж, програм хангамжийн цогцолбор нь зүгээр л ажилладаг бөгөөд зөвхөн тохиргоог шаарддаг бол виртуал гарцыг ажиллуулах, засвар үйлчилгээ хийх нь хүчирхэг инженерүүдийн ажил гэдгийг үгүйсгэхэд хэцүү байдаг.

Нэг хөлөөрөө гарц нь ердийн Виртуал Машин шиг Overlay виртуал сүлжээнд харагдах ба бусад бүх VM-тэй харьцах боломжтой. Үүний зэрэгцээ энэ нь бүх үйлчлүүлэгчдийн сүлжээг зогсоож, тэдгээрийн хооронд чиглүүлэлт хийх боломжтой.

Нөгөө хөлөөрөө уг гарц нь үндсэн сүлжээг харж, интернетэд хэрхэн нэвтрэхийг мэддэг.

Өгөгдлийн хавтгай

Өөрөөр хэлбэл, үйл явц дараах байдалтай байна.

1. VM-0 нь ижил vRouter-ийг анхдагч болгосноор eth185.147.83.177 интерфэйс рүү гадаад ертөнц дэх (0) очих газартай пакет илгээдэг.
2. vRouter нь энэ пакетыг хүлээн авч чиглүүлэлтийн хүснэгтээс очих хаягийг хайж олдог - Tunnel 1-ээр дамжуулан VNGW1 гарцаар дамжуулан анхдагч маршрутыг олдог.
   Тэрээр мөн энэ нь SIP 10.0.0.2 болон DIP 10.0.255.2-тай GRE туннель гэдгийг харж байгаа бөгөөд VNGW1-ийн хүлээж буй энэ үйлчлүүлэгчийн MPLS шошгыг эхлээд хавсаргах хэрэгтэй.
3. vRouter нь анхны багцыг MPLS, GRE болон шинэ IP толгойгоор багцалж, анхдагчаар ToR1 10.0.0.1 руу илгээдэг.
4. Үндсэн сүлжээ нь пакетийг VNGW1 гарц руу хүргэдэг.
5. VNGW1 гарц нь GRE болон MPLS туннелийн толгойнуудыг устгаж, очих хаягийг харж, чиглүүлэлтийн хүснэгтээ үзэж, интернет рүү чиглүүлж байгааг ойлгодог - өөрөөр хэлбэл Full View эсвэл Default. Шаардлагатай бол NAT орчуулгыг гүйцэтгэдэг.
6. VNGW-ээс хил хүртэл ердийн IP сүлжээ байж болох бөгөөд энэ нь магадлал багатай юм.
   Сонгодог MPLS сүлжээ (IGP+LDP/RSVP TE) байж болно, BGP LU бүхий арын даавуу эсвэл IP сүлжээгээр VNGW-ээс хил хүртэл GRE туннель байж болно.
   Ямар ч байсан VNGW1 нь шаардлагатай капсулуудыг хийж, эхний багцыг хил рүү илгээдэг.

Эсрэг чиглэлийн хөдөлгөөн эсрэг талын дарааллаар ижил алхмуудаар дамждаг.

1. Хил нь пакетийг VNGW1 руу буулгадаг
2. Тэр түүний хувцсыг тайлж, хүлээн авагчийн хаягийг хараад Tunnel1 туннелээр (MPLSoGRE эсвэл MPLSoUDP) нэвтрэх боломжтой болохыг хардаг.
3. Үүний дагуу MPLS шошго, GRE/UDP толгой болон шинэ IP-г хавсаргаж, ToR3 10.0.255.1 руу илгээдэг.
   Тунелийн очих хаяг нь ард нь зорилтот VM байрладаг vRouter-ийн IP хаяг юм - 10.0.0.2.
4. Үндсэн сүлжээ нь пакетыг хүссэн vRouter руу хүргэдэг.
5. Зорилтот vRouter нь GRE/UDP-г уншиж, MPLS шошгыг ашиглан интерфэйсийг тодорхойлж, VM-ийн eth0-тэй холбоотой TAP интерфейс рүү нүцгэн IP пакет илгээдэг.

Хяналтын онгоц

VNGW1 нь SDN хянагчтай BGP хорооллыг бий болгож, тэндээс үйлчлүүлэгчдийн талаарх бүх чиглүүлэлтийн мэдээллийг хүлээн авдаг: аль IP хаяг (vRouter) аль клиентийн ард байгаа, аль MPLS шошгоор тодорхойлогддог.

Үүний нэгэн адил тэрээр өөрөө SDN хянагчдад энэ үйлчлүүлэгчийн шошго бүхий анхдагч чиглүүлэлтийн талаар мэдээлдэг бөгөөд энэ нь өөрийгөө nexthop гэж зааж өгдөг. Дараа нь энэ анхдагч vRouters дээр ирдэг.

VNGW дээр маршрутын нэгтгэл эсвэл NAT орчуулга ихэвчлэн тохиолддог.

Нөгөө чиглэлд, энэ нь яг энэ нэгтгэсэн маршрутыг хилийн шугам эсвэл чиглүүлэлтийн тусгал бүхий сесс рүү илгээдэг. Мөн тэднээс энэ нь анхдагч маршрут эсвэл Full-View эсвэл өөр зүйлийг хүлээн авдаг.

Encapsulation болон урсгалын солилцооны хувьд VNGW нь vRouter-ээс ялгаатай биш юм.
Хэрэв та хамрах хүрээг бага зэрэг өргөжүүлбэл VNGW болон vRouter-д галт хана, замын хөдөлгөөнийг цэвэрлэх эсвэл баяжуулах ферм, IPS гэх мэт бусад сүлжээний төхөөрөмжийг нэмж болно.

VRF-ийг дараалан үүсгэж, маршрутыг зөв зарласны тусламжтайгаар та урсгалыг өөрийн хүссэнээр эргүүлэх боломжтой бөгөөд үүнийг Service Chaining гэж нэрлэдэг.

Өөрөөр хэлбэл, энд мөн SDN хянагч нь VNGW, vRouters болон бусад сүлжээний төхөөрөмжүүдийн хооронд чиглүүлэлтийн тусгал үүрэг гүйцэтгэдэг.

Гэвч үнэн хэрэгтээ хянагч нь ACL болон PBR (Бодлого дээр суурилсан чиглүүлэлт)-ийн талаарх мэдээллийг алдагдуулдаг бөгөөд энэ нь тус бүрийн замын хөдөлгөөний урсгалыг маршрутын зааж байгаагаас өөрөөр явуулахад хүргэдэг.

тусламж

Та яагаад үргэлж GRE/UDP тайлбар хийдэг вэ?

Ерөнхийдөө энэ нь вольфрамын даавуунд зориулагдсан гэж хэлж болно - та үүнийг огт авч үзэх шаардлагагүй.

Гэхдээ хэрэв бид үүнийг авбал TF өөрөө OpenContrail хэвээр байх хугацаанд GRE дахь MPLS ба UDP дахь MPLS-ийг хоёуланг нь дэмжсэн.

UDP нь сайн, учир нь Source Port дээр гарчиг дахь анхны IP+Proto+Port-аас хэш функцийг кодлоход маш хялбар байдаг бөгөөд энэ нь танд тэнцвэржүүлэх боломжийг олгоно.

GRE-ийн хувьд харамсалтай нь зөвхөн гадаад IP болон GRE толгойнууд байдаг бөгөөд эдгээр нь бүх капсуллагдсан траффикт адилхан байдаг бөгөөд тэнцвэржүүлэх талаар яриагүй байдаг - цөөхөн хүн багцын дотор маш гүн гүнзгий харагдах болно.

Хэсэг хугацааны өмнө чиглүүлэгчид динамик хонгилыг ашиглах боломжтой байсан бол үүнийг зөвхөн MPLSoGRE дээр хийдэг байсан бөгөөд саяхан тэд MPLSoUDP ашиглаж сурсан. Тиймээс бид хоёр өөр капсул хийх боломжийн талаар үргэлж тэмдэглэж байх ёстой.

Шударга ёсны үүднээс хэлэхэд TF нь VXLAN ашиглан L2 холболтыг бүрэн дэмждэг гэдгийг тэмдэглэх нь зүйтэй.

Та OpenFlow-тэй параллель зурна гэж амласан.
Тэд үнэхээр үүнийг гуйж байна. Ижил OpenStack дахь vSwitch нь UDP толгойтой VXLAN-г ашиглан маш төстэй зүйлсийг хийдэг.

Мэдээллийн хавтгайд тэд ойролцоогоор ижил ажилладаг; Удирдлагын хавтгай нь мэдэгдэхүйц ялгаатай. Tungsten Fabric нь vRouter руу чиглүүлэлтийн мэдээллийг хүргэхийн тулд XMPP ашигладаг бол OpenStack нь Openflow ажиллуулдаг.

Та vRouter-ийн талаар бага зэрэг хэлж чадах уу?
Энэ нь vRouter Agent ба vRouter Forwarder гэсэн хоёр хэсэгт хуваагддаг.

Эхнийх нь хост үйлдлийн системийн хэрэглэгчийн орон зайд ажилладаг бөгөөд SDN хянагчтай холбогдож, маршрут, VRF болон ACL-ийн талаар мэдээлэл солилцдог.

Хоёр дахь нь Data Plane-ийг хэрэгжүүлдэг - ихэвчлэн цөмийн орон зайд байдаг, гэхдээ SmartNIC-ууд дээр ажиллах боломжтой - CPU болон тусдаа програмчлагдах сэлгэн залгах чип бүхий сүлжээний картууд нь хост машины CPU-ийн ачааллыг арилгах, сүлжээг илүү хурдан, илүү болгох боломжийг олгодог. урьдчилан таамаглах боломжтой.

Өөр нэг боломжит хувилбар бол vRouter нь Хэрэглэгчийн орон зай дахь DPDK програм юм.

vRouter Agent нь тохиргоог vRouter Forwarder руу илгээдэг.

Виртуал сүлжээ гэж юу вэ?
Түрээслэгч бүр өөрийн VRF-тэй холбоотой байдаг гэж би VRF-ийн тухай өгүүллийн эхэнд дурдсан. Хэрэв энэ нь давхардсан сүлжээний үйл ажиллагааг өнгөцхөн ойлгоход хангалттай байсан бол дараагийн давталт дээр тодруулга хийх шаардлагатай болно.

Дүрмээр бол виртуалчлалын механизмд Виртуал Сүлжээний нэгжийг (та үүнийг тохирох нэр гэж үзэж болно) үйлчлүүлэгч/түрээслэгч/виртуал машинаас тусад нь нэвтрүүлдэг - энэ нь бүрэн бие даасан зүйл юм. Энэхүү Виртуал Сүлжээ нь аль хэдийн интерфэйсээр нэг түрээслэгчтэй, нөгөөтэй, хоёртой эсвэл хаана ч холбогдож болно. Жишээлбэл, Виртуал сүлжээг зөв дарааллаар үүсгэж, холбох замаар урсгалыг тодорхой зангилаануудаар дамжуулан шаардлагатай дарааллаар дамжуулах шаардлагатай үед үйлчилгээний хэлхээг хэрэгжүүлдэг.

Тиймээс Виртуал Сүлжээ ба түрээслэгчийн хооронд шууд захидал харилцаа байхгүй.

дүгнэлт

Энэ бол хост болон SDN хянагчаас давхарласан виртуал сүлжээний үйл ажиллагааны маш өнгөц тайлбар юм. Гэхдээ өнөөдөр та ямар виртуалчлалын платформыг сонгохоос үл хамааран VMWare, ACI, OpenStack, CloudStack, Tungsten Fabric эсвэл Juniper Contrail гэх мэт ижил төстэй байдлаар ажиллах болно. Эдгээр нь төгсгөлийн сүлжээний төхөөрөмжүүдэд мэдээлэл дамжуулах протокол, капсул болон толгойн төрлөөр ялгаатай байх боловч харьцангуй энгийн бөгөөд статик суурь сүлжээн дээр ажилладаг программ хангамжаар тохируулагдах давхар сүлжээний зарчим ижил хэвээр байх болно.
Өнөөдөр давхардсан сүлжээнд суурилсан SDN нь хувийн үүл үүсгэх талбарт ялалт байгуулсан гэж бид хэлж чадна. Гэсэн хэдий ч энэ нь орчин үеийн ертөнцөд Openflow ямар ч газаргүй гэсэн үг биш юм - энэ нь OpenStacke болон ижил VMWare NSX-д хэрэглэгддэг бөгөөд миний мэдэж байгаагаар Google үүнийг газар доорх сүлжээг бий болгоход ашигладаг.

Хэрэв та асуудлыг илүү гүнзгий судлахыг хүсвэл доор би илүү дэлгэрэнгүй материалын холбоосыг өгсөн.

Тэгээд манай Дотор нь яах вэ?

Гэхдээ ерөнхийдөө юу ч биш. Тэр бүхэлдээ өөрчлөгдөөгүй. Хостоос давхарласан тохиолдолд түүний хийх ёстой зүйл бол vRouter/VNGW гарч ирэх ба алга болж, тэдгээрийн хооронд пакетуудыг зөөх үед чиглүүлэлт болон ARP-уудыг шинэчлэх явдал юм.

Underlay сүлжээнд тавигдах шаардлагуудын жагсаалтыг гаргацгаая.

1. Зарим төрлийн чиглүүлэлтийн протоколыг ашиглах боломжтой, манай нөхцөлд - BGP.
2. Хэт ачааллын улмаас пакетууд алдагдахгүйн тулд өргөн зурвасын өргөнтэй, илүү захиалгагүй байх нь дээр.
3. ECMP-ийг дэмжих нь даавууны салшгүй хэсэг юм.
4. ECN гэх мэт төвөгтэй зүйлсийг багтаасан QoS-ийг хангах чадвартай байх.
5. NETCONF-ийг дэмжих нь ирээдүйн үндэс суурь юм.

Энд би Underlay сүлжээний ажилд маш бага цаг зарцуулсан. Учир нь дараа нь би энэ цувралд анхаарлаа хандуулах болно, бид зөвхөн Overlay-ийг дамжуулж үзэх болно.

Мэдээжийн хэрэг, би Cloz үйлдвэрт цэвэр IP чиглүүлэлттэй, хостоос давхарласан тогтмол гүйдлийн сүлжээг жишээ болгон ашигласнаар бид бүгдийг эрс хязгаарлаж байна.

Гэсэн хэдий ч дизайнтай ямар ч сүлжээг албан ёсоор тайлбарлаж, автоматжуулж чадна гэдэгт би итгэлтэй байна. Энд миний зорилго бол автоматжуулалтын арга барилыг ойлгох явдал бөгөөд асуудлыг ерөнхий хэлбэрээр шийдвэрлэх замаар хүн бүрийг төөрөгдүүлэхгүй байх явдал юм.

ADSM-ийн нэг хэсэг болгон Роман Горж бид хоёр тооцоолох хүчийг виртуалчлах, сүлжээний виртуалчлалтай харилцах харилцааны талаар тусдаа дугаар гаргахаар төлөвлөж байна. Холбоотой байгаарай.

Ашигтай холбоосууд

• Гянт болд даавууны архитектур.
• тухай: үүл. Yandex.Cloud-ийн тухай 6 цаг, мөн TF дээрх виртуал сүлжээг хамардаг.
• Open vSwitch гэж юу вэ?
• VxLAN-ийн танилцуулга.
• RFC 7348. Virtual eExtensible Local Area Network (VXLAN): Виртуалжуулсан 2-р давхаргын сүлжээг 3-р давхаргын сүлжээгээр давхарлах хүрээ.
  
• VXLAN EVPN Fabric-д зориулсан Scaleway арга. Энэ нь бүхэл бүтэн DC сүлжээ, түүний дотор Underlay, Overlay, multi-homing болон менежментийн арга барилын тухай өгүүлдэг.

Баярлалаа

• Роман Горга - linkmeup подкастын хуучин хөтлөгч, одоо үүлэн платформын чиглэлээр мэргэшсэн мэргэжилтэн. Сэтгэгдэл болон засварын хувьд. За, бид ойрын ирээдүйд түүний виртуалчлалын талаар илүү дэлгэрэнгүй нийтлэлийг хүлээж байна.
• Александр Шалимов - миний хамтран зүтгэгч, виртуал сүлжээг хөгжүүлэх чиглэлээр ажилладаг мэргэжилтэн. Сэтгэгдэл болон засварын хувьд.
• Валентин Синицын - миний хамтран зүтгэгч, гянт болдын даавууны салбарын мэргэжилтэн. Сэтгэгдэл болон засварын хувьд.
• Артём Чернобай — зураачийн холбоос. KDPV-ийн хувьд.
• Александр Лимонов. "Автомат" дурсамжийн хувьд.

Эх сурвалж: www.habr.com