Каб абмеркаваць шлюзы VXLAN, спачатку трэба абмеркаваць саму VXLAN. Нагадаем, што традыцыйныя VLAN (віртуальныя лакальныя сеткі) выкарыстоўваюць 12-бітныя ідэнтыфікатары VLAN для падзелу сетак, падтрымліваючы да 4096 лагічных сетак. Гэта добра працуе для невялікіх сетак, але ў сучасных цэнтрах апрацоўкі дадзеных з іх тысячамі віртуальных машын, кантэйнераў і шматкарыстальніцкіх асяроддзяў VLAN недастаткова. VXLAN нарадзілася, вызначаная Рабочай групай па развіцці Інтэрнэту (IETF) у RFC 7348. Яе мэта — пашырыць дамен вяшчання другога ўзроўню (Ethernet) па сетках трэцяга ўзроўню (IP) з выкарыстаннем тунэляў UDP.
Проста кажучы, VXLAN інкапсулюе кадры Ethernet у UDP-пакеты і дадае 24-бітны ідэнтыфікатар сеткі VXLAN (VNI), тэарэтычна падтрымліваючы 16 мільёнаў віртуальных сетак. Гэта падобна на тое, каб даць кожнай віртуальнай сетцы «ідэнтыфікацыйную картку», што дазваляе ім свабодна перамяшчацца па фізічнай сетцы, не перашкаджаючы адна адной. Асноўным кампанентам VXLAN з'яўляецца канчатковая кропка тунэля VXLAN (VTEP), якая адказвае за інкапсуляцыю і дэкапсуляцыю пакетаў. VTEP можа быць праграмным (напрыклад, Open vSwitch) або апаратным (напрыклад, чып ASIC на камутатары).
Чаму VXLAN такая папулярная? Таму што яна ідэальна адпавядае патрэбам хмарных вылічэнняў і SDN (праграмна-вызначаных сетак). У публічных воблаках, такіх як AWS і Azure, VXLAN дазваляе бесперашкодна пашыраць віртуальныя сеткі арандатараў. У прыватных цэнтрах апрацоўкі дадзеных яна падтрымлівае архітэктуры сетак з накладнымі элементамі, такія як VMware NSX або Cisco ACI. Уявіце сабе цэнтр апрацоўкі дадзеных з тысячамі сервераў, кожны з якіх працуе з дзясяткамі віртуальных машын (VM). VXLAN дазваляе гэтым віртуальным машынам успрымаць сябе як частку адной сеткі другога ўзроўню, забяспечваючы бесперабойную перадачу ARP-рассылак і DHCP-запытаў.
Аднак VXLAN не з'яўляецца панацэяй. Праца ў сетцы L3 патрабуе пераўтварэння L2 у L3, і менавіта тут на дапамогу прыходзіць шлюз. Шлюз VXLAN злучае віртуальную сетку VXLAN з знешнімі сеткамі (такімі як традыцыйныя VLAN або сеткі IP-маршрутызацыі), забяспечваючы патокі дадзеных з віртуальнага свету ў рэальны. Механізм пераадрасацыі — гэта сэрца і душа шлюза, які вызначае, як пакеты апрацоўваюцца, маршрутызуюцца і размеркоўваюцца.
Працэс пераадрасацыі VXLAN падобны на далікатны балет, дзе кожны крок ад крыніцы да пункта прызначэння цесна звязаны. Давайце разгледзім яго крок за крокам.
Спачатку з хоста-крыніцы (напрыклад, віртуальнай машыны) адпраўляецца пакет. Гэта стандартны кадр Ethernet, які змяшчае MAC-адрас крыніцы, MAC-адрас прызначэння, тэг VLAN (калі ёсць) і карысную нагрузку. Пасля атрымання гэтага кадра VTEP крыніцы правярае MAC-адрас прызначэння. Калі MAC-адрас прызначэння ёсць у яго табліцы MAC (атрыманай шляхам навучання або перасылкі), ён ведае, на які аддалены VTEP пераслаць пакет.
Працэс інкапсуляцыі мае вырашальнае значэнне: VTEP дадае загаловак VXLAN (у тым ліку VNI, сцягі і г.д.), затым вонкавы загаловак UDP (з портам крыніцы на аснове хэша ўнутранага кадра і фіксаваным портам прызначэння 4789), загаловак IP (з IP-адрасам крыніцы лакальнага VTEP і IP-адрасам прызначэння аддаленага VTEP) і, нарэшце, вонкавы загаловак Ethernet. Увесь пакет цяпер выглядае як пакет UDP/IP, як звычайны трафік і можа быць маршрутызаваны па сетцы L3.
У фізічнай сетцы пакет перасылаецца маршрутызатарам або камутатарам, пакуль не дасягне прызначанага VTEP. Прызначаны VTEP выдаляе знешні загаловак, правярае загаловак VXLAN, каб пераканацца ў супадзенні VNI, а затым дастаўляе ўнутраны кадр Ethernet хасту прызначэння. Калі пакет з'яўляецца невядомым аднаадресным, шырокавяшчальным або шматадресным (BUM) трафікам, VTEP рэплікуе пакет на ўсе адпаведныя VTEP, выкарыстоўваючы перагрузку, абапіраючыся на групы шматадреснай рассылкі або рэплікацыю аднаадресных загалоўкаў (HER).
Асновай прынцыпу пераадрасацыі з'яўляецца падзел плоскасці кіравання і плоскасці дадзеных. Плоскасць кіравання выкарыстоўвае Ethernet VPN (EVPN) або механізм Flood and Learn для вывучэння адлюстраванняў MAC і IP. EVPN заснаваны на пратаколе BGP і дазваляе VTEP абменьвацца маршрутнай інфармацыяй, напрыклад, MAC-VRF (віртуальная маршрутызацыя і пераадрасацыя) і IP-VRF. Плоскасць дадзеных адказвае за фактычную пераадрасацыю, выкарыстоўваючы тунэлі VXLAN для эфектыўнай перадачы.
Аднак у рэальных умовах эфектыўнасць пераадрасацыі непасрэдна ўплывае на прадукцыйнасць. Традыцыйная перагрузка можа лёгка выклікаць штормы шырокавяшчання, асабліва ў вялікіх сетках. Гэта прыводзіць да неабходнасці аптымізацыі шлюзаў: шлюзы не толькі злучаюць унутраныя і знешнія сеткі, але і выступаюць у якасці праксі-агентаў ARP, апрацоўваюць уцечкі маршрутаў і забяспечваюць найкарацейшыя шляхі пераадрасацыі.
Цэнтралізаваны шлюз VXLAN
Цэнтралізаваны шлюз VXLAN, які таксама называюць цэнтралізаваным шлюзам або шлюзам L3, звычайна разгортваецца на перыферыйным або асноўным узроўні цэнтра апрацоўкі дадзеных. Ён выступае ў якасці цэнтральнага вузла, праз які павінен праходзіць увесь міжсеткавы трафік VNI або міжпадсеткавы.
У прынцыпе, цэнтралізаваны шлюз выступае ў якасці шлюза па змаўчанні, забяспечваючы паслугі маршрутызацыі 3-га ўзроўню для ўсіх сетак VXLAN. Разгледзім два віртуальныя нішы (VNI): VNI 10000 (падсетка 10.1.1.0/24) і VNI 20000 (падсетка 10.2.1.0/24). Калі віртуальная машына A ў VNI 10000 хоча атрымаць доступ да віртуальнай машыны B у VNI 20000, пакет спачатку дасягае лакальнага VTEP. Лакальны VTEP выяўляе, што IP-адрас прызначэння не знаходзіцца ў лакальнай падсетцы, і перасылае яго цэнтралізаванаму шлюзу. Шлюз дэкапсулюе пакет, прымае рашэнне аб маршрутызацыі, а затым зноў інкапсулюе пакет у тунэль да VNI прызначэння.
Перавагі відавочныя:
○ Простае кіраваннеУсе канфігурацыі маршрутызацыі цэнтралізаваныя на адной або дзвюх прыладах, што дазваляе аператарам падтрымліваць толькі некалькі шлюзаў для пакрыцця ўсёй сеткі. Гэты падыход падыходзіць для малых і сярэдніх цэнтраў апрацоўкі дадзеных або асяроддзяў, якія ўпершыню разгортваюць VXLAN.
○Рэсурсаэфектыўнае выкарыстаннеШлюзы звычайна ўяўляюць сабой высокапрадукцыйнае абсталяванне (напрыклад, Cisco Nexus 9000 або Arista 7050), здольнае апрацоўваць велізарныя аб'ёмы трафіку. Плоскасць кіравання цэнтралізаваная, што спрашчае інтэграцыю з кантролерамі SDN, такімі як NSX Manager.
○Моцны кантроль бяспекіТрафік павінен праходзіць праз шлюз, што спрашчае рэалізацыю ACL (спісаў кантролю доступу), брандмаўэраў і NAT. Уявіце сабе сцэнар з некалькімі арандатарамі, дзе цэнтралізаваны шлюз можа лёгка ізаляваць трафік арандатараў.
Але нельга ігнараваць і недахопы:
○ Адзіная кропка адмовыКалі шлюз выходзіць з ладу, сувязь L3 па ўсёй сетцы паралізуецца. Нягледзячы на тое, што VRRP (пратакол рэзервавання віртуальнага маршрутызатара) можна выкарыстоўваць для рэзервавання, ён усё роўна нясе рызыкі.
○Вузкае месца ў прадукцыйнасціУвесь трафік усход-захад (сувязь паміж серверамі) павінен абыходзіць шлюз, што прыводзіць да неаптымальнай трафіку. Напрыклад, у кластары з 1000 вузлоў, калі прапускная здольнасць шлюза складае 100 Гбіт/с, у гадзіны пік, верагодна, узнікне перагрузка.
○Слабая маштабаванасцьПа меры росту маштабу сеткі нагрузка на шлюз павялічваецца ў геаметрычнай прагрэсіі. У рэальным прыкладзе я бачыў фінансавы цэнтр апрацоўкі дадзеных, які выкарыстоўвае цэнтралізаваны шлюз. Спачатку ён працаваў гладка, але пасля таго, як колькасць віртуальных машын падвоілася, затрымка рэзка ўзрасла з мікрасекунд да мілісекунд.
Сцэнар прымянення: падыходзіць для асяроддзяў, якія патрабуюць высокай прастаты кіравання, такіх як прыватныя воблакі прадпрыемстваў або тэставыя сеткі. Архітэктура ACI Cisco часта выкарыстоўвае цэнтралізаваную мадэль у спалучэнні з тапалогіяй "ліст-хрыбетнік" для забеспячэння эфектыўнай працы асноўных шлюзаў.
Размеркаваны шлюз VXLAN
Размеркаваны шлюз VXLAN, таксама вядомы як размеркаваны шлюз або шлюз anycast, перадае функцыянальнасць шлюза кожнаму канавому камутатару або гіпервізару VTEP. Кожны VTEP дзейнічае як лакальны шлюз, апрацоўваючы пераадрасацыю L3 для лакальнай падсеткі.
Прынцып больш гнуткі: кожны VTEP наладжваецца з тым жа віртуальным IP-адрасам (VIP), што і шлюз па змаўчанні, з выкарыстаннем механізму Anycast. Пакеты, якія адпраўляюцца віртуальнымі машынамі паміж падсеткамі, накіроўваюцца непасрэдна на лакальны VTEP, без неабходнасці праходжання праз цэнтральны пункт. EVPN асабліва карысны тут: праз BGP EVPN VTEP вывучае маршруты аддаленых хастоў і выкарыстоўвае прывязку MAC/IP, каб пазбегнуць перагрузкі ARP.
Напрыклад, віртуальная машына A (10.1.1.10) хоча атрымаць доступ да віртуальнай машыны B (10.2.1.10). Шлюзам па змаўчанні для віртуальнай машыны A з'яўляецца VIP лакальнага VTEP (10.1.1.1). Лакальны VTEP накіроўвае пакет у падсетку прызначэння, інкапсулюе пакет VXLAN і адпраўляе яго непасрэдна ў VTEP віртуальнай машыны B. Гэты працэс мінімізуе шлях і затрымку.
Выдатныя перавагі:
○ Высокая маштабаванасцьРазмеркаванне функцыянальнасці шлюза паміж кожным вузлом павялічвае памер сеткі, што выгадна для больш буйных сетак. Буйныя пастаўшчыкі воблачных паслуг, такія як Google Cloud, выкарыстоўваюць падобны механізм для падтрымкі мільёнаў віртуальных машын.
○Выдатная прадукцыйнасцьТрафік усход-захад апрацоўваецца лакальна, каб пазбегнуць вузкіх месцаў. Тэставыя дадзеныя паказваюць, што прапускная здольнасць можа павялічыцца на 30%-50% у размеркаваным рэжыме.
○Хуткае аднаўленне пасля няспраўнасціАдзін збой VTEP уплывае толькі на лакальны хост, пакідаючы іншыя вузлы незакранутымі. У спалучэнні з хуткай канвергенцыяй EVPN час аднаўлення складае некалькі секунд.
○Добрае выкарыстанне рэсурсаўВыкарыстоўваць існуючы ASIC-чып камутатара Leaf для апаратнага паскарэння, прычым хуткасць перасылкі дасягае ўзроўню Tbps.
Якія недахопы?
○ Складаная канфігурацыяКожны VTEP патрабуе канфігурацыі маршрутызацыі, EVPN і іншых функцый, што робіць пачатковае разгортванне працаёмкім. Аперацыйная каманда павінна быць знаёмая з BGP і SDN.
○Высокія патрабаванні да абсталяванняРазмеркаваны шлюз: Не ўсе камутатары падтрымліваюць размеркаваныя шлюзы; патрабуюцца чыпы Broadcom Trident або Tomahawk. Праграмныя рэалізацыі (напрыклад, OVS на KVM) працуюць не так добра, як апаратнае забеспячэнне.
○Праблемы з паслядоўнасцюРазмеркаваны азначае, што сінхранізацыя станаў абапіраецца на EVPN. Калі сесія BGP вагаецца, гэта можа прывесці да чорнай дзіркі маршрутызацыі.
Сцэнар прымянення: Ідэальна падыходзіць для гіпермаштабных цэнтраў апрацоўкі дадзеных або публічных аблокаў. Размеркаваны маршрутызатар VMware NSX-T — тыповы прыклад. У спалучэнні з Kubernetes ён бездакорна падтрымлівае кантэйнерныя сеткі.
Цэнтралізаваны шлюз VxLAN супраць размеркаванага шлюза VxLAN
А цяпер пяройдзем да кульмінацыі: што лепш? Адказ — «гэта залежыць ад сітуацыі», але каб пераканаць вас, нам трэба будзе глыбока вывучыць дадзеныя і тэматычныя даследаванні.
З пункту гледжання прадукцыйнасці, размеркаваныя сістэмы відавочна пераўзыходзяць іх. У тыповым бенчмарку цэнтра апрацоўкі дадзеных (на аснове тэставага абсталявання Spirent) сярэдняя затрымка цэнтралізаванага шлюза складала 150 мкс, у той час як у размеркаванай сістэмы — усяго 50 мкс. Што тычыцца прапускной здольнасці, размеркаваныя сістэмы могуць лёгка дасягнуць пераадрасацыі з лінейнай хуткасцю, бо яны выкарыстоўваюць маршрутызацыю Spine-Leaf Equal Cost Multi-Path (ECMP).
Маштабаванасць — яшчэ адно поле бою. Цэнтралізаваныя сеткі падыходзяць для сетак са 100-500 вузламі; пры больш высокім узроўні перавагу атрымліваюць размеркаваныя сеткі. Возьмем, да прыкладу, Alibaba Cloud. Іх VPC (віртуальнае прыватнае воблака) выкарыстоўвае размеркаваныя шлюзы VXLAN для падтрымкі мільёнаў карыстальнікаў па ўсім свеце з затрымкай у адным рэгіёне менш за 1 мс. Цэнтралізаваны падыход даўно б праваліўся.
А як наконт кошту? Цэнтралізаванае рашэнне прапануе меншыя першапачатковыя інвестыцыі, патрабуючы толькі некалькіх высокапрадукцыйных шлюзаў. Размеркаванае рашэнне патрабуе, каб усе канчатковыя вузлы падтрымлівалі разгрузку VXLAN, што прыводзіць да больш высокіх выдаткаў на мадэрнізацыю абсталявання. Аднак у доўгатэрміновай перспектыве размеркаванае рашэнне прапануе больш нізкія выдаткі на эксплуатацыю і абслугоўванне, паколькі інструменты аўтаматызацыі, такія як Ansible, дазваляюць пакетную канфігурацыю.
Бяспека і надзейнасць: Цэнтралізаваныя сістэмы забяспечваюць цэнтралізаваную абарону, але ствараюць высокую рызыку атакі з аднаго боку. Размеркаваныя сістэмы больш устойлівыя, але патрабуюць надзейнай плоскасці кіравання для прадухілення DDoS-атак.
Рэальны прыклад з практыкі: кампанія электроннай камерцыі выкарыстоўвала цэнтралізаваную сетку VXLAN для стварэння свайго сайта. У перыяды пікавай нагрузкі загрузка працэсара шлюза ўзрастала да 90%, што прыводзіла да скаргаў карыстальнікаў на затрымку. Пераход на размеркаваную мадэль вырашыў праблему, дазволіўшы кампаніі лёгка падвоіць маштаб. І наадварот, невялікі банк настойваў на цэнтралізаванай мадэлі, таму што яны аддавалі прыярытэт аўдытам адпаведнасці і лічылі цэнтралізаванае кіраванне прасцейшым.
Увогуле, калі вам патрэбна экстрэмальная прадукцыйнасць і маштабаванне сеткі, размеркаваны падыход — гэта тое, што вам трэба. Калі ваш бюджэт абмежаваны, а вашай кіраўнічай камандзе не хапае вопыту, цэнтралізаваны падыход з'яўляецца больш практычным. У будучыні, з ростам папулярнасці 5G і перыферыйных вылічэнняў, размеркаваныя сеткі стануць больш папулярнымі, але цэнтралізаваныя сеткі ўсё яшчэ будуць каштоўнымі ў пэўных сцэнарыях, такіх як узаемасувязь філіялаў.
Брокеры сеткавых пакетаў Mylinking™падтрымка VxLAN, VLAN, GRE, выдаленне загалоўкаў MPLS
Падтрымліваліся загалоўкі VxLAN, VLAN, GRE, MPLS, якія выдаляліся з зыходнага пакета дадзеных і перасылаліся на вывад.
Час публікацыі: 09 кастрычніка 2025 г.
