Salaan, magacaygu waa Kostya Kramlikh, waxaan ahay hormuudka horumarinta qaybta Cloud Private Cloud ee Yandex.Cloud. Anigu waxaan ahay isku-xidhaha dalwaddiinta ah, sidaad malaynayso, maqaalkan waxaan kaga hadli doonaa guud ahaan aaladda Virtual Private Cloud (VPC) iyo shabkada casriga ah. Oo waxaad sidoo kale ogaan doontaa sababta anaga, horumariyeyasha adeegga, aan u qiimayno jawaab celinta isticmaalayaashayada. Laakiin marka hore wax walba.
Waa maxay VPC?
Maalmahan, waxaa jira xulashooyin kala duwan oo lagu geynayo adeegyada. Waxaan hubaa in qof wali ku hayo server-ka hoostiisa miiska maamulka, in kasta oo aan filayo inay yar yihiin sheekooyinka noocaas ah.
Hadda adeegyadu waxay isku dayayaan inay aadaan daruuraha dadweynaha, waana halka ay isku dhacaan VPC-yada. VPC waa qayb ka mid ah daruuro dadweyne oo isku xidha isticmaalaha, kaabayaasha, madal iyo awoodaha kale, meel kasta oo ay joogaan, Daruurteena ama bannaankeeda. Isla mar ahaantaana, VPC waxay kuu ogolaaneysaa inaadan u soo bandhigin awoodahaan internetka si aan loo baahnayn, waxay ku sii jiraan shabakadaada go'doonsan.
Sidee buu u eg yahay shabkada farsamada ee dibadda?
VPC, waxaan ugu horeyn ula jeednaa shabakad dulsaaran iyo adeegyada shabakada, sida VPNaaS, NATAas, LBaas, iwm. Oo waxaas oo dhami waxay ku shaqeeyaan korka kaabeyaasha shabakad cillad-dulqaad leh, kaas oo mar hore ahaa halkan, ee HabrΓ©.
Aynu si qoto dheer u eegno shabakada farsamada gacanta iyo qalabkeeda.
Tixgeli laba aag oo la heli karo. Waxaan bixinaa shabakad toos ah - waxa aan u yeernay VPC. Dhab ahaantii, waxay qeexaysaa meesha bannaan ee u gaarka ah cinwaannadaada "cawlan". Shabakad kasta oo dalwad ah gudaheeda, waxaad si buuxda gacanta ugu haysaa meesha bannaan ee cinwaannada aad ku meelayn karto si aad u xisaabiso agabka.
Shabakadu waa caalami. Isla mar ahaantaana, waxaa lagu saadaaliyay mid kasta oo ka mid ah aagagga la heli karo ee qaabka loo yaqaan Subnet. Subnet kasta, waxaad u xilsaartaa CIDR cabbirkiisu yahay 16 ama ka yar. Aag kasta oo la heli karo waxa ku jiri kara wax ka badan hal hay'ad, waxaana had iyo jeer ka dhex jira dariiq hufan. Tani waxay ka dhigan tahay in dhammaan agabyadaada ku jira isla VPC ay "la hadli karaan" midba midka kale, xitaa haddii ay ku yaalaan Aagag Helitaanka oo kala duwan. "La xidhiidh" iyada oo aan la helin internetka, iyada oo loo marayo kanaalada gudaha, "fikirka" in ay ku dhex jiraan shabakad gaar ah oo isku mid ah.
Jaantuska kore wuxuu muujinayaa xaalad caadi ah: laba VPC-yada oo isku xira meel ciwaan ah. Labaduba adigaa ahaan kara. Tusaale ahaan, mid korriin, ka kalena imtixaan. Waxaa laga yaabaa inay si fudud u jiraan isticmaaleyaal kala duwan - kiiskan dhib ma laha. Mid ka mid ah mishiinada farsamada ayaa lagu xidhay VPC kasta.
Aan ka sii darno qorshaha. Waxaad ka dhigi kartaa in hal mashiin uu hal mar ku dhego dhowr Subnets. Mana aha sidaas oo kale, laakiin shabakadaha farsamada ee kala duwan.
Isla mar ahaantaana, haddii aad u baahan tahay inaad mashiinnada u soo bandhigto internetka, tan waxaa lagu samayn karaa API ama UI. Si tan loo sameeyo, waxaad u baahan tahay inaad habayso tarjumaada NAT ee "cawlan", ciwaanka gudaha, "caddaan" - dadweynaha. Ma dooran kartid ciwaanka "caddaan", waxaa si aan kala sooc lahayn loogu qoondeeyay goobtayada ciwaanka. Isla marka aad joojiso isticmaalka IP-ga dibadda, waxaa lagu soo celinayaa barkadda. Waxaad bixinaysaa kaliya wakhtiga isticmaalka ciwaanka "cad".
Waxa kale oo suurtogal ah in mishiinka la siiyo internet-ka iyadoo la isticmaalayo tusaale NAT. Waxaad ku mari kartaa taraafikada tusaale ahaan iyadoo loo marayo miiska dajinta joogtada ah. Waxaan bixinay kiiskan oo kale, sababtoo ah isticmaalayaasha mararka qaarkood waxay u baahan yihiin, waana ognahay waxa ku saabsan. Sidaas awgeed, buug-gacmeedka sawirkayaga waxa uu ka kooban yahay sawir NAT si gaar ah loo habeeyey.
Laakiin xitaa marka uu jiro sawir NAT ah oo diyaar ah, dejintu waxay noqon kartaa mid dhib badan. Waxaan fahamsanahay in isticmaaleyaasha qaarkood aysan tani ahayn ikhtiyaarka ugu habboon, markaa ugu dambeyntii waxaan suurtogal ka dhignay inaan awood u siinno NAT Subnet-ka la doonayo hal gujin. Sifadan ayaa weli ku jirta gelitaanka aragga ee xidhan, halkaasoo lagu tijaabiyo iyadoo la kaashanayo xubnaha bulshada.
Sida shabakada farsamada gacanta looga habeeyay gudaha
Sidee buu isticmaaluhu ula falgalaa shabakada farsamada? Shabakaddu waxay u eegtahay dibadda API-geeda. Isticmaaluhu wuxuu yimaadaa API wuxuuna la shaqeeyaa gobolka bartilmaameedka. Iyada oo loo marayo API, adeegsaduhu wuxuu arkaa sida wax walba loo habeeyo oo loo habeeyo, inta uu arko heerka, inta ay le'eg tahay gobolka dhabta ahi ka duwan yahay midka la rabo. Kani waa sawirka isticmaalaha Maxaa gudaha ka socda?
Waxaan u qornaa gobolka la rabo Yandex Database oo aad tagnaa si aan u habaynno qaybo kala duwan oo VPC ah. Shabakadda dulsaarka ah ee Yandex.Cloud waxay ku salaysan tahay qaybaha la doortay ee OpenContrail, kaas oo dhawaan loogu yeedhay Tungsten Fabric. Adeegyada shabakada waxaa laga hirgeliyaa hal madal oo CloudGate ah. Gudaha CloudGate, waxaanu sidoo kale u isticmaalnay dhowr qaybood oo il furan: GoBGP - si loo helo macluumaadka xakamaynta, iyo sidoo kale VPP - si loo hirgeliyo router software ah oo ku shaqeeya dusha sare ee DPDK ee waddada xogta.
Tungsten Fabric wuxuu kula xidhiidhaa CloudGate isagoo sii maraya GoBGP. Wuxuu sheegaa waxa ka socda shabakada dulsaar. CloudGate, dhankeeda, waxay isku xirtaa shabakadaha dulsaarka midba midka kale iyo internetka.
Hadda aan aragno sida shabakada farsamada gacanta ay u xalliso dhibaatooyinka miisaanka iyo helitaanka. Aynu tixgelinno kiis fudud. Waxaa jira hal aag oo laga heli karo iyo laba VPCs ayaa laga dhex abuuray. Waxaan geynay hal tusaale oo Tungsten Fabric ah, waxayna jiidataa tobanaan kun oo shabakado ah. Shabakadu waxay la xidhiidhaan CloudGate. CloudGate, sidaan horeyba u sheegnay, waxay hubisaa isku xirnaantooda midba midka kale iyo internetka.
Aynu nidhaahno aag la heli karo labaad ayaa lagu daray. Waa inay si buuxda u fashilanto si ka madax bannaan tii hore. Sidaa darteed, aagga labaad ee la heli karo, waa inaan ku rakibnaa tusaale Fabric Tungsten gaar ah. Tani waxay noqon doontaa nidaam gaar ah oo ka shaqeeya dulsaarka oo wax yar ka yaqaan nidaamka koowaad. Iyo muuqalka in shabakadeena farsamada gacanta ay tahay mid caalami ah, dhab ahaantii, waxay abuurtaa VPC API. Tani waa hawshiisa.
VPC1 waxa lagu jaangooyay Aaga Availability B haddii ay jiraan agab ku jira Aaga Availability B oo loo riixay VPC1. Haddii aanay jirin agab ka yimid VPC2 ee aagga la heli karo, kama hirgelin doono VPC2 aaggan. Dhanka kale, maadaama ilaha VPC3 ay ka jiraan kaliya aagga B, VPC3 kuma jiraan aaga A. Wax walba waa sahlan yihiin oo macquul ah.
Aan inyar hoos u sii socono oo aragno sida martigeliyaha gaarka ah ee Y.Cloud u shaqeeyo. Waxa ugu weyn ee aan rabo in aan xuso waa in dhammaan martigaliyayaasha loo habeeyey si isku mid ah. Waxaan ka dhigaynaa in adeegyada ugu yar ee lagama maarmaanka ah ay ku shaqeeyaan qalabka, inta soo hartayna waxay ku shaqeeyaan mashiinnada farsamada. Waxaan dhisnaa adeegyo heer sare ah oo ku saleysan adeegyada aasaasiga ah ee kaabayaasha, sidoo kale waxaan isticmaalnaa Cloud si aan u xalino qaar ka mid ah dhibaatooyinka injineernimada, tusaale ahaan, gudaha qaab dhismeedka Isdhexgalka Joogtada ah.
Haddii aan eegno martigeliyaha gaarka ah, waxaan arki karnaa inay jiraan saddex qaybood oo ku shaqeeya OS-ga martida loo yahay:
- Xisaabinta - qaybta mas'uulka ka ah qaybinta ilaha xisaabinta ee martida loo yahay.
- VRouter waa qayb ka mid ah Tungsten Fabric oo abaabusha daboolka, taas oo ah, waxay xirtaa baakadaha hoosta hoose.
- VDisks waa qaybo ka mid ah habaynta kaydinta.
Intaa waxaa dheer, adeegyada waxaa lagu bilaabay mashiinnada farsamada: adeegyada kaabayaasha Cloud, adeegyada boosteejada iyo awoodda macaamiisha. Awoodaha macaamiisha iyo adeegyada boosteejada waxay had iyo jeer tagaan dul-galka VRouter.
Adeegyada kaabayaasha waxay ku dhegi karaan dusha sare, laakiin asal ahaan waxay rabaan inay ka shaqeeyaan hoosta. Waxay ku dheggan yihiin hoosta hoose iyadoo la kaashanayo SR-IOV. Dhab ahaantii, waxaan u gooyay kaadhka kaararka shabakadaha farsamada (shaqooyinka dhabta ah) oo ku riixaya mashiinnada farsamada ee kaabayaasha si aysan u lumin waxqabadka. Tusaale ahaan, isla CloudGate waxaa loo bilaabay mid ka mid ah mashiinnada farsamada gacanta.
Hadda oo aan sharaxnay hawlaha caalamiga ah ee shabakada farsamada iyo qaab dhismeedka qaybaha aasaasiga ah ee daruuraha, aynu aragno sida saxda ah ee qaybaha kala duwan ee shabakada farsamada ay ula falgalaan midba midka kale.
Waxaan u kala saarnaa saddex lakab oo nidaamkayaga ah:
- Config Plane - waxay dejisaa heerka bartilmaameedka nidaamka. Tani waa waxa isticmaaluhu ku habeeyo API-ga.
- Xakamaynta Diyaaradda - waxay bixisa semantic user-qeexay, taas oo ah, keentaa xogta Diyaaradda gobolka waxa uu ku sifeeyay isticmaaluhu Config Plane.
- Diyaaradda Xogta - waxay si toos ah u socodsiisaa xirmooyinka isticmaalaha.
Sida aan kor ku sheegay, dhammaan waxay ku bilaabmaan xaqiiqda ah in adeegsadaha ama adeegga gudaha ee gudaha uu yimaado API oo qeexaya xaalad bartilmaameed gaar ah.
Gobolkan waxaa isla markiiba loo qoraa Yandex Database, soo celisa aqoonsiga hawlgalka asynchronous iyada oo loo sii marayo API-ga, oo wuxuu bilaabaa mishiinkeena gudaha inuu ku soo celiyo gobolka uu isticmaaluhu rabay. Hawlaha isku xidhka waxay u tagaan kontaroolaha SDN oo u sheeg Tungsten Fabric waxa lagu sameeyo dusha sare. Tusaale ahaan, waxay kaydiyaan dekedo, shabakado dalwad ah, iyo wixii la mid ah.
Config Plane ee Tungsten Fabric waxay u dirtaa gobolka loo baahan yahay Diyaaradda Xakamaynta. Iyada oo loo marayo, Config Plane waxay la xidhiidhaa martida loo yahay, iyada oo u sheegaysa waxa dhabta ah ee iyaga ku wareegaya dhawaan.
Hadda aan aragno sida nidaamku u ekaado kuwa martida loo yahay. Mashiinka casriga ah wuxuu leeyahay adabtarada shabakad ku xiran VRouter. VRouter waa unug aasaasi ah oo Tungsten Fabric ah kaas oo eegaya xirmooyinka. Haddii ay horeba u jirtay qulqulka xirmada qaarkood, moduleka ayaa socodsiiya. Haddii aysan jirin socodka, moduleku wuxuu sameeyaa waxa loogu yeero dhejinta, taas oo ah, waxay u dirtaa baakidh habka isticmaalaha. Nidaamku wuxuu kala qaybiyaa baakidhka oo ama ka jawaabaa laftiisa, sida DHCP iyo DNS, ama u sheega VRouter waxa lagu sameeyo. Intaa ka dib, VRouter ayaa farsamayn kara xirmada.
Dheeraad ah, taraafikada u dhaxaysa mashiinnada farsamada ee isla shabakadda farsamada ayaa u socota si hufan, laguma jiheeyo CloudGate. Martigeliyayaasha ay ku rakiban yihiin mashiinnada farsamada gacanta ayaa si toos ah midba midka kale ula xiriira. Waxay isku xiraan taraafikada waxayna isu sii gudbiyaan iyagoo sii maraya hoosta.
Diyaaradaha kontoroolka waxay ku wada xidhiidhaan inta u dhaxaysa aagagga la heli karo iyada oo loo sii marayo BGP, sida router kale. Waxay sheegaan mishiinada ku jira halka ay VM-yada hal aag si toos ah ula xidhiidhi karaan VM-yada kale.
Iyo Control Plane waxay la xidhiidhaa CloudGate. Sidoo kale, waxay ka warbixisaa halka iyo kuwa mashiinnada farsamada gacanta la kiciyo, ciwaannada ay leeyihiin. Tani waxay kuu ogolaaneysaa inaad hagto taraafikada dibadda iyo taraafikada ka imanaya dheelitirayaasha iyaga.
Taraafikada ka baxda VPC waxay u timaadaa CloudGate, dariiqa xogta, halkaasoo VPP ee leh pluginsyada si dhakhso ah loo ruugo. Markaa taraafikada waxaa loo eryaa VPC-yada kale ama bannaanka, marinnada xudduudaha ee lagu habeeyey Diyaaradda Xakamaynta ee CloudGate lafteeda.
Qorshayaasha mustaqbalka dhow
Haddii aan ku soo koobno ββwax kasta oo kor lagu sheegay dhowr weedho, waxaan dhihi karnaa in VPC ee Yandex.Cloud ay xalliso laba hawlood oo muhiim ah:
- Waxay bixisaa go'doomin u dhexeeya macaamiisha kala duwan.
- Isku darka agabka, kaabayaasha, adeegyada boosteejada, daruuraha kale iyo goobta dhexdeeda oo isku xidha hal shabakad.
Si aad u xalliso dhibaatooyinkan si fiican, waxaad u baahan tahay inaad bixiso miisaanka iyo dulqaadka qaladka ee heerka dhismaha gudaha, kaas oo VPC sameeyo.
Si tartiib tartiib ah VPC waxay heshaa shaqooyin, waxaan hirgelineynaa sifooyin cusub, waxaan isku daynaa inaan hagaajino wax marka la eego ku habboonaanta isticmaalaha. Fikradaha qaarkood waa la codeeyaa oo waxay galaan liiska mudnaanta iyada oo ay u mahadcelinayaan xubnaha bulshadayada.
Waxaan hadda haynaa liiska soo socda ee qorshayaasha mustaqbalka dhow:
- VPN adeeg ahaan.
- Tusaalooyinka DNS ee gaarka ah waa sawirro si dhakhso leh loogu dejiyo mashiinnada farsamada leh oo leh server-ka DNS ee horay loo habeeyey.
- DNS adeeg ahaan.
- Isku-dheellitirka culeyska gudaha.
- Ku darida ciwaanka IP-ga "caddaan" adiga oo aan dib u abuurin mishiinka farsamada.
Isku-dheellitirka iyo awoodda lagu beddelayo ciwaanka IP-ga ee mishiin hore loo abuuray ayaa liiskan ku jiray codsi isticmaaleyaasha. Run ahaantii, iyada oo aan la helin jawaab celin cad, waxaan qaban lahayn hawlahan wax yar ka dib. Oo sidaas daraaddeed waxaan mar hore ka shaqaynaynaa dhibaatada ku saabsan ciwaannada.
Markii hore, ciwaanka IP-ga "caddaan" waxa lagu dari karaa oo keliya marka la abuurayo mishiinka. Haddii isticmaaluhu uu ilaaway inuu tan sameeyo, mishiinka farsamada waa in dib loo abuuraa. Isku mid ah oo, haddii loo baahdo, ka saar IP-ga dibadda. Waxaa dhawaan suurtagal noqon doonta in la damiyo IP-ga dadweynaha iyada oo aan dib loo samayn mishiinka.
Dareen xor ah inaad cabirto isticmaalayaasha kale. Waxaad naga caawisay inaan ka dhigno Daruuraha oo aan si dhakhso leh u helno astaamo muhiim ah oo faa'iido leh!
Source: www.habr.com