سلام، زما نوم کوستیا کرملیچ دی، زه په Yandex.Cloud کې د مجازی خصوصي کلاوډ څانګې مخکښ جوړونکی یم. زه په یوه مجازی شبکه کار کوم، او لکه څنګه چې تاسو اټکل کولی شئ، پدې مقاله کې به زه په عمومي توګه د مجازی خصوصي کلاوډ (VPC) وسیله او په ځانګړې توګه د مجازی شبکې په اړه وغږیږم. او تاسو به دا هم ومومئ چې ولې موږ، د خدماتو پراختیا کونکي، زموږ د کاروونکو نظرونو ته ارزښت ورکوو. مګر لومړی شیان لومړی.
VPC څه شی دی؟
نن ورځ، د خدماتو پلي کولو لپاره مختلف انتخابونه شتون لري. زه ډاډه یم چې یو څوک لاهم د مدیر میز لاندې سرور ساتي ، که څه هم زه امید لرم چې دا ډول کیسې لږ او لږ عام کیږي.
اوس خدمات هڅه کوي عامه بادلونو ته لاړ شي، او دا هغه ځای دی چې دوی د VPCs سره مخ کیږي. VPC د عامه کلاوډ یوه برخه ده چې کاروونکي، زیربنا، پلیټ فارم او نور ظرفیتونه سره نښلوي، هرچیرې چې وي، زموږ په کلاوډ یا هاخوا کې. په ورته وخت کې، VPC تاسو ته اجازه درکوي چې په غیر ضروري توګه انټرنیټ ته د دې وړتیاوو د افشا کولو څخه مخنیوی وکړئ؛ دوی ستاسو په جلا شبکه کې پاتې کیږي.
یو مجازی شبکه له بهر څخه څه ښکاري
د VPC په واسطه زموږ مطلب دی، لومړی، د پوښښ شبکه او د شبکې خدمتونه، لکه VPNaaS، NATaas، LBaas، او داسې نور. او دا ټول د غلطۍ زغمونکي شبکې زیربنا په سر کې کار کوي، کوم چې دمخه بحث شوی. دلته په Habré کې.
راځئ چې د مجازی شبکې او د هغې جوړښت ته نږدې کتنه وکړو.
راځئ چې د شتون دوه زونونه وګورو. موږ یو مجازی شبکه چمتو کوو - هغه څه چې موږ یې VPC وایو. په حقیقت کې، دا ستاسو د "خړ" پتې د انفرادیت ځای تعریفوي. د هرې مجازی شبکې دننه، تاسو د پتې په ځای بشپړ کنټرول لرئ چې تاسو کولی شئ د کمپیوټر سرچینو ته وټاکئ.
شبکه نړیواله ده. په ورته وخت کې، دا د موجودیت هر زون ته د Subnet په نوم د یوې ادارې په بڼه وړاندې کیږي. د هر سبنټ لپاره تاسو د 16 یا لږ اندازې CIDR وټاکئ. د موجودیت هر زون کولی شي له یو څخه ډیر داسې ادارې ولري، او د دوی ترمنځ تل شفافه لاره شتون لري. دا پدې مانا ده چې ستاسو ټولې سرچینې په ورته VPC کې کولی شي یو بل سره "خبرې" وکړي، حتی که دوی د مختلف شتون زونونو کې وي. زموږ د داخلي چینلونو له لارې انټرنیټ ته د لاسرسي پرته "خبرې اترې" وکړئ، "فکر وکړئ" چې دوی په ورته خصوصي شبکه کې دي.
پورتني انځور یو عادي حالت ښیي: دوه VPCs چې په خپلو ادرسونو کې یو بل سره نښلوي. دواړه ستاسو کیدی شي. د مثال په توګه، یو د پراختیا لپاره، بل د ازموینې لپاره. ممکن په ساده ډول مختلف کاروونکي وي - پدې حالت کې دا مهمه نده. او هر VPC یو مجازی ماشین لري.
راځئ چې سکیم خراب کړو. تاسو کولی شئ یو مجازی ماشین په یوځل کې څو سبنیټونو سره وصل کړئ. او نه یوازې د دې په څیر، مګر په مختلفو مجازی شبکو کې.
په ورته وخت کې، که تاسو اړتیا لرئ په انټرنیټ کې ماشینونه افشا کړئ، دا د API یا UI له لارې ترسره کیدی شي. د دې کولو لپاره، تاسو اړتیا لرئ چې د خپل "خړ"، داخلي پتې NAT ژباړه په "سپینې" - عامه پته کې تنظیم کړئ. تاسو نشئ کولی "سپینه" پته غوره کړئ؛ دا زموږ د پته حوض څخه په تصادفي ډول ټاکل شوی. هرڅومره ژر چې تاسو د بهرني IP کارول بند کړئ ، دا حوض ته راستون کیږي. تاسو یوازې د هغه وخت لپاره پیسې ورکوئ چې تاسو د "سپینې" پته کاروئ.
دا هم امکان لري چې د NAT مثال په کارولو سره ماشین ته انټرنیټ لاسرسی ورکړئ. تاسو کولی شئ خپل مثال ته ترافیک د جامد روټینګ میز له لارې واستوئ. موږ دا ډول قضیه چمتو کړې ځکه چې کاروونکي ځینې وختونه ورته اړتیا لري، او موږ د هغې په اړه پوهیږو. په دې اساس، زموږ د عکس لارښود کې یو ځانګړی ترتیب شوی NAT عکس شتون لري.
مګر حتی کله چې د چمتو شوي NAT عکس شتون ولري ، ترتیب کول پیچلي کیدی شي. موږ پوهیږو چې د ځینو کاروونکو لپاره دا خورا مناسب انتخاب ندی ، نو په پای کې موږ دا ممکنه کړه چې په یو کلیک کې د مطلوب سبنټ لپاره NAT فعال کړو. دا فیچر لاهم د تړل شوي مخکتنې لاسرسي کې دی ، چیرې چې دا د ټولنې غړو په مرسته ازمول کیږي.
څنګه یو مجازی شبکه له دننه څخه کار کوي
یو کارن څنګه د مجازی شبکې سره اړیکه لري؟ شبکه د خپل API سره بهر ښکاري. کارن API ته راځي او د هدف حالت سره کار کوي. د API له لارې، کاروونکي ګوري چې هر څه باید څنګه تنظیم او تنظیم شي، پداسې حال کې چې هغه وضعیت ګوري، اصلي حالت څنګه د مطلوب څخه توپیر لري. دا د کارونکي عکس دی. دننه څه روان دي؟
موږ مطلوب حالت په Yandex ډیټابیس کې ثبت کوو او زموږ د VPC مختلف برخو تنظیم کولو ته ځو. په Yandex.Cloud کې د پوښښ شبکه د OpenContrail د ټاکل شویو اجزاوو پر بنسټ جوړه شوې، چې پدې وروستیو کې د ټنګسټن فیبریک په نوم یادیږي. د شبکې خدمتونه په یو واحد CloudGate پلیټ فارم کې پلي کیږي. په CloudGate کې، موږ د خلاصې سرچینې یو شمیر برخې هم کارولې: د کنټرول معلوماتو اداره کولو لپاره GoBGP، او همدارنګه VPP د سافټویر روټر پلي کولو لپاره چې د ډیټا لارې لپاره د DPDK په سر کې روان دي.
ټنګسټن فیبریک د CloudGate سره د GoBGP له لارې اړیکه نیسي. د پوښښ په شبکه کې څه پیښیږي. CloudGate، په بدل کې، د پوښښ شبکې یو بل او انټرنیټ سره نښلوي.
اوس راځئ وګورو چې څنګه یو مجازی شبکه د توزیع او شتون مسلې حل کوي. راځئ چې یو ساده قضیه په پام کې ونیسو. دلته د شتون یو زون شتون لري او دوه VPCs پکې رامینځته شوي. موږ د ټنګسټن فیبریک مثال ځای په ځای کړ، او دا په لسګونو زره شبکې لري. شبکې د CloudGate سره اړیکه لري. CloudGate، لکه څنګه چې موږ مخکې وویل، د یو بل او انټرنیټ سره د دوی ارتباط ډاډمن کوي.
راځئ چې ووایو د دوهم شتون زون اضافه شوی. دا باید د لومړي څخه په بشپړه توګه خپلواکه ناکام شي. له همدې امله، موږ باید د دوهم شتون په زون کې د ټنګسټن پارچه جلا مثال نصب کړو. دا به یو جلا سیسټم وي چې پوښښ اداره کوي او د لومړي سیسټم په اړه لږ څه پوهیږي. او داسې ښکاري چې زموږ مجازی شبکه نړیواله ده، په حقیقت کې زموږ د VPC API رامینځته کوي. دا د هغه دنده ده.
VPC1 د شتون زون B ته نقشه شوی که چیرې د شتون زون B سرچینې ولري چې په VPC1 کې پاتې کیږي. که چیرې د موجودیت زون B کې د VPC2 څخه سرچینې شتون نلري ، موږ پدې زون کې VPC2 مادي نه کوو. په بدل کې، څرنګه چې د VPC3 سرچینې یوازې په B زون کې شتون لري، VPC3 په زون A کې شتون نلري. هرڅه ساده او منطقي دي.
راځئ چې لږ ژور لاړ شو او وګورو چې په Y.Cloud کې یو ځانګړی کوربه څنګه کار کوي. اصلي شی چې زه غواړم یادونه وکړم دا دي چې ټول کوربه ورته ډیزاین شوي. موږ ډاډ ترلاسه کوو چې یوازې اړین لږترلږه خدمات په هارډویر کې پرمخ ځي؛ پاتې ټول په مجازی ماشینونو کې پرمخ ځي. موږ د بنسټیزو زیربناوو خدماتو پراساس د لوړ نظم خدمتونه رامینځته کوو، او همدارنګه د ځینې انجینري ستونزو حل کولو لپاره کلاوډ کاروو، د بیلګې په توګه، د دوامداره ادغام برخې په توګه.
که موږ یو ځانګړي کوربه وګورو، موږ لیدلی شو چې په کوربه OS کې درې برخې شتون لري:
- کمپیوټ هغه برخه ده چې په کوربه کې د کمپیوټري سرچینو ویشلو مسؤلیت لري.
- VRouter د ټنګسټن پارچه برخه ده، کوم چې پوښښ تنظیموي، دا دی، دا د زیرمې له لارې کڅوړې تونل کوي.
- VDisks د ذخیره کولو مجازی کولو برخې دي.
سربیره پردې ، مجازی ماشینونه خدمات پرمخ وړي: د کلاوډ زیربنا خدمات ، پلیټ فارم خدمات او د پیرودونکي ظرفیت. د پیرودونکو ظرفیت او پلیټ فارم خدمتونه تل د VRouter له لارې پوښښ ته ځي.
زیربنا خدمات کولی شي په پوښښ کې ولګوي، مګر ډیری یې غواړي په زیربنا کې کار وکړي. دوی د SR-IOV په کارولو سره زیرمه کې بند پاتې دي. په حقیقت کې، موږ کارت د مجازی شبکې کارتونو (مجازی افعال) کې پرې کړو او د زیربنا مجازی ماشینونو ته یې فشار ورکړ ترڅو فعالیت له لاسه ورنکړي. د مثال په توګه ، ورته CloudGate د دې زیربنا یو له مجازی ماشینونو څخه په لاره اچول شوی.
اوس چې موږ د مجازی شبکې نړیوالې دندې او د کلاوډ د بنسټیزو برخو ډیزاین بیان کړی، راځئ وګورو چې د مجازی شبکې مختلفې برخې په سمه توګه څنګه یو له بل سره تعامل کوي.
موږ په خپل سیسټم کې درې پرتونه توپیر کوو:
- Config Plane - د سیسټم هدف حالت ټاکي. دا هغه څه دي چې کاروونکي د API له لارې تنظیموي.
- د کنټرول پلان - د کارونکي لخوا مشخص شوي سیمانټیکونه چمتو کوي ، دا د ډیټا پلان حالت هغه څه ته راوړي چې د کارونکي لخوا په کنفیګ پلین کې تشریح شوي.
- د ډیټا پلان - مستقیم د کارونکي پاکټونه پروسس کوي.
لکه څنګه چې ما پورته وویل، دا ټول د کاروونکي یا داخلي پلیټ فارم خدمت سره پیل کیږي چې API ته راځي او د یو مشخص هدف حالت بیانوي.
دا حالت سمدلاسه د Yandex ډیټابیس ته لیکل کیږي ، د API له لارې د غیر متمرکز عملیاتو ID بیرته راګرځوي ، او زموږ داخلي ماشین په لاره اچوي ترڅو هغه حالت تولید کړي چې کارونکي یې غوښتل. د ترتیب کولو دندې د SDN کنټرولر ته ځي او ټنګسټن فیبریک ته ووایی چې په پوښښ کې څه باید ترسره شي. د مثال په توګه، دوی بندرونه، مجازی شبکې، او داسې نور خوندي کوي.
په ټنګسټن فیبرک کې د ترتیب الوتکه د کنټرول الوتکې ته اړین حالت اپلوډ کوي. د دې له لارې، Config Plane د کوربه سره اړیکه نیسي، دوی ته وایي چې په نږدې راتلونکي کې به په دوی باندې څه شی روان وي.
اوس راځئ وګورو چې سیسټم په کوربه کې څه ښکاري. مجازی ماشین یو ځانګړی شبکه اډاپټر لري چې په VRouter کې پلګ شوی. VRouter د ټنګسټن فابریک اصلي ماډل دی چې پاکټونو ته ګوري. که چیرې دمخه د ځینې کڅوړې لپاره جریان شتون ولري ، ماډل دا پروسس کوي. که چیرې جریان شتون ونلري ، ماډل ورته پوټینګ کوي ، دا دی ، دا پاکټ د کارونکي موډ پروسې ته لیږي. پروسه پاکټ پارس کوي او یا پخپله ورته ځواب ورکوي ، لکه DHCP او DNS ، یا VRouter ته وايي چې د دې سره څه وکړي. بیا VRouter کولی شي پاکټ پروسس کړي.
سربیره پردې ، په ورته مجازی شبکه کې د مجازی ماشینونو ترمینځ ترافیک په شفاف ډول تیریږي ، دا CloudGate ته نه لیږل کیږي. هغه کوربه چې مجازی ماشینونه ګمارل شوي دي په مستقیم ډول له یو بل سره اړیکه نیسي. دوی ترافیک تونل کوي او د زیرمې له لارې یو بل ته لیږدوي.
د کنټرول الوتکې د BGP له لارې د شتون زونونو کې یو بل سره اړیکه نیسي، لکه د بل روټر سره. دوی تاسو ته وايي چې کوم ماشینونه چیرته نصب شوي، نو په یوه زون کې مجازی ماشینونه کولی شي مستقیم د نورو مجازی ماشینونو سره اړیکه ونیسي.
د کنټرول الوتکه هم د CloudGate سره اړیکه لري. په ورته ډول، دا راپور ورکوي چې چیرته او کوم مجازی ماشینونه نصب شوي، د دوی پته څه دي. دا تاسو ته اجازه درکوي بهرنۍ ترافیک او ټرافيک د بیلانس څخه دوی ته مستقیم کړئ.
ترافیک چې VPC پریږدي د ډیټا په لاره کې CloudGate ته راځي ، چیرې چې VPP زموږ د پلگ انونو سره په چټکۍ سره ژاول کیږي. بیا ټرافیک یا نورو VPCs ته ، یا بهر ته ، د څنډې راوټرونو ته ډزې کیږي ، کوم چې پخپله د CloudGate د کنټرول پلان له لارې تنظیم شوي.
د نږدې راتلونکي لپاره پلانونه
که موږ پورته ذکر شوي هرڅه په څو جملو کې لنډیز کړو، موږ کولی شو ووایو چې په Yandex.Cloud کې VPC دوه مهمې ستونزې حل کوي:
- د مختلف پیرودونکو ترمینځ انزوا چمتو کوي.
- سرچینې، زیربناوې، د پلیټ فارم خدمتونه، نور بادلونه او په یوه شبکه کې یوځای کوي.
او د دې ستونزو په ښه توګه حل کولو لپاره ، تاسو اړتیا لرئ د داخلي جوړښت په کچه د توزیع او خطا زغم ډاډ ترلاسه کړئ ، کوم چې هغه څه دي چې VPC یې کوي.
په تدریجي ډول، VPC دندې ترلاسه کوي، موږ نوي ځانګړتیاوې پلي کوو، او هڅه کوو چې د کاروونکو لپاره د اسانتیا په شرایطو کې یو څه ښه کړو. ځینې نظرونه زموږ د ټولنې د غړو څخه مننه او د لومړیتوب په لیست کې شامل شوي دي.
اوس موږ د نږدې راتلونکي لپاره د پلانونو نږدې لاندې لیست لرو:
- VPN د خدمت په توګه.
- د شخصي DNS مثالونه - د مخکې ترتیب شوي DNS سرور سره د مجازی ماشینونو ګړندي تنظیم کولو لپاره عکسونه.
- DNS د خدمت په توګه.
- د داخلي بار بیلانسر.
- د مجازی ماشین له مینځلو پرته د "سپینې" IP پتې اضافه کول.
یو بیلانسر او د دمخه رامینځته شوي مجازی ماشین لپاره د IP پتې بدلولو وړتیا د کاروونکو په غوښتنه پدې لیست کې شامل شوي. د ریښتیني کیدو لپاره ، پرته له واضح فیډبیک څخه به موږ یو څه وروسته دا دندې ترسره کړې وي. او له همدې امله موږ دمخه د پتې په اړه ستونزې باندې کار کوو.
په پیل کې، یو "سپینه" IP پته یوازې د ماشین جوړولو په وخت کې اضافه کیدی شي. که کاروونکي دا کار هیر کړی وي، مجازی ماشین باید بیا جوړ شي. ورته د اړتیا په صورت کې د بهرني IP لرې کولو لپاره ځي. ډیر ژر به دا ممکنه وي چې د ماشین بیا جوړولو پرته عامه IP فعال او بند کړئ.
د خپل څرګندولو لپاره وړیا احساس وکړئ نور کاروونکي. تاسو موږ سره د کلاوډ ښه کولو کې مرسته کوئ او مهم او ګټور ب featuresې ګړندي ترلاسه کوئ!
سرچینه: www.habr.com