VXLAN კარიბჭეების განსახილველად, ჯერ თავად VXLAN უნდა განვიხილოთ. გავიხსენოთ, რომ ტრადიციული VLAN-ები (ვირტუალური ლოკალური ქსელები) ქსელების გასაყოფად იყენებენ 12-ბიტიან VLAN ID-ებს, რომლებიც მხარს უჭერენ 4096-მდე ლოგიკურ ქსელს. ეს კარგად მუშაობს მცირე ქსელებისთვის, მაგრამ თანამედროვე მონაცემთა ცენტრებში, ათასობით ვირტუალური მანქანით, კონტეინერითა და მრავალმოიჯარე გარემოთი, VLAN-ები არასაკმარისია. VXLAN დაიბადა ინტერნეტ ინჟინერიის სამუშაო ჯგუფის (IETF) მიერ RFC 7348-ში განსაზღვრული სახით. მისი მიზანია მე-2 დონის (Ethernet) მაუწყებლობის დომენის გაფართოება მე-3 დონის (IP) ქსელებზე UDP გვირაბების გამოყენებით.
მარტივად რომ ვთქვათ, VXLAN ახდენს Ethernet ჩარჩოების ინკაფსულაციას UDP პაკეტებში და ამატებს 24-ბიტიან VXLAN ქსელის იდენტიფიკატორს (VNI), რაც თეორიულად მხარს უჭერს 16 მილიონ ვირტუალურ ქსელს. ეს ჰგავს თითოეული ვირტუალური ქსელისთვის „საიდენტიფიკაციო ბარათის“ მინიჭებას, რაც მათ საშუალებას აძლევს თავისუფლად იმოძრაონ ფიზიკურ ქსელში ერთმანეთთან ჩარევის გარეშე. VXLAN-ის ძირითადი კომპონენტია VXLAN გვირაბის ბოლო წერტილი (VTEP), რომელიც პასუხისმგებელია პაკეტების ინკაფსულაციასა და დეკაფსულაციაზე. VTEP შეიძლება იყოს პროგრამული უზრუნველყოფა (მაგალითად, Open vSwitch) ან აპარატურა (მაგალითად, კომუტატორზე არსებული ASIC ჩიპი).
რატომ არის VXLAN ასეთი პოპულარული? იმიტომ, რომ ის იდეალურად ერწყმის ღრუბლოვანი ტექნოლოგიებისა და SDN-ის (პროგრამულად განსაზღვრული ქსელური სისტემები) საჭიროებებს. საჯარო ღრუბლებში, როგორიცაა AWS და Azure, VXLAN საშუალებას იძლევა მოიჯარეების ვირტუალური ქსელების შეუფერხებლად გაფართოების. კერძო მონაცემთა ცენტრებში ის მხარს უჭერს ისეთ გადაფარვის ქსელურ არქიტექტურებს, როგორიცაა VMware NSX ან Cisco ACI. წარმოიდგინეთ მონაცემთა ცენტრი ათასობით სერვერით, რომელთაგან თითოეული ათობით ვირტუალურ მანქანას (ვირტუალურ მანქანას) მართავს. VXLAN საშუალებას აძლევს ამ ვირტუალურ აპარატებს, აღიქვან საკუთარი თავი ერთი და იგივე მე-2 დონის ქსელის ნაწილად, რაც უზრუნველყოფს ARP მაუწყებლობისა და DHCP მოთხოვნების შეუფერხებელ გადაცემას.
თუმცა, VXLAN პანაცეა არ არის. L3 ქსელზე მუშაობა მოითხოვს L2-დან L3-ზე გადაყვანას, რაც სწორედ აქ ერთვება კარიბჭე. VXLAN კარიბჭე აკავშირებს VXLAN ვირტუალურ ქსელს გარე ქსელებთან (მაგალითად, ტრადიციულ VLAN-ებთან ან IP მარშრუტიზაციის ქსელებთან), რაც უზრუნველყოფს მონაცემთა ნაკადს ვირტუალური სამყაროდან რეალურ სამყაროში. გადამისამართების მექანიზმი კარიბჭის გული და სულია, რომელიც განსაზღვრავს, თუ როგორ ხდება პაკეტების დამუშავება, მარშრუტიზაცია და გავრცელება.
VXLAN გადამისამართების პროცესი ნატიფ ბალეტს ჰგავს, სადაც წყაროდან დანიშნულების ადგილამდე თითოეული ნაბიჯი მჭიდროდაა დაკავშირებული. მოდით, ეტაპობრივად განვიხილოთ ეს.
პირველ რიგში, პაკეტი იგზავნება წყაროს ჰოსტიდან (მაგალითად, ვირტუალური მანქანიდან). ეს არის სტანდარტული Ethernet ჩარჩო, რომელიც შეიცავს წყაროს MAC მისამართს, დანიშნულების MAC მისამართს, VLAN ტეგს (ასეთის არსებობის შემთხვევაში) და დატვირთვას. ამ ჩარჩოს მიღების შემდეგ, წყაროს VTEP ამოწმებს დანიშნულების MAC მისამართს. თუ დანიშნულების MAC მისამართი მის MAC ცხრილშია (მიღებული სწავლის ან დატბორვის გზით), მან იცის, რომელ დისტანციურ VTEP-ზე გადააგზავნოს პაკეტი.
ინკაფსულაციის პროცესი უმნიშვნელოვანესია: VTEP ამატებს VXLAN ჰედერს (მათ შორის VNI-ს, ფლაგებს და ა.შ.), შემდეგ გარე UDP ჰედერს (წყაროს პორტით, რომელიც დაფუძნებულია შიდა ჩარჩოს ჰეშზე და ფიქსირებული დანიშნულების პორტი 4789), IP ჰედერს (ადგილობრივი VTEP-ის წყაროს IP მისამართით და დისტანციური VTEP-ის დანიშნულების IP მისამართით) და ბოლოს გარე Ethernet ჰედერს. მთელი პაკეტი ახლა UDP/IP პაკეტის სახით ჩნდება, ნორმალურ ტრაფიკს ჰგავს და მისი მარშრუტიზაცია შესაძლებელია L3 ქსელში.
ფიზიკურ ქსელში პაკეტი გადამისამართდება როუტერის ან კომუტატორის მიერ დანიშნულების VTEP-მდე მიღწევამდე. დანიშნულების VTEP აშორებს გარე ჰედერს, ამოწმებს VXLAN ჰედერს, რათა დარწმუნდეს, რომ VNI ემთხვევა და შემდეგ შიდა Ethernet ჩარჩოს აწვდის დანიშნულების ჰოსტს. თუ პაკეტი უცნობია unicast, broadcast ან multicast (BUM) ტრაფიკით, VTEP ახდენს პაკეტის კოპირებას ყველა შესაბამის VTEP-ზე flooding-ის გამოყენებით, multicast ჯგუფების ან unicast ჰედერის რეპლიკაციის (HER) საფუძველზე.
გადამისამართების პრინციპის ბირთვი მართვისა და მონაცემთა სიბრტყის გამიჯვნაა. მართვის სიბრტყე იყენებს Ethernet VPN-ს (EVPN) ან Flood and Learn მექანიზმს MAC და IP შესაბამისობების შესასწავლად. EVPN ეფუძნება BGP პროტოკოლს და საშუალებას აძლევს VTEP-ებს გაცვალონ მარშრუტიზაციის ინფორმაცია, როგორიცაა MAC-VRF (ვირტუალური მარშრუტიზაცია და გადამისამართება) და IP-VRF. მონაცემთა სიბრტყე პასუხისმგებელია ფაქტობრივ გადამისამართებაზე, ეფექტური გადაცემისთვის VXLAN გვირაბების გამოყენებით.
თუმცა, რეალურ განლაგებებში, გადამისამართების ეფექტურობა პირდაპირ გავლენას ახდენს მუშაობაზე. ტრადიციულმა წყალდიდობამ შეიძლება ადვილად გამოიწვიოს სამაუწყებლო შტორმები, განსაკუთრებით დიდ ქსელებში. ეს იწვევს კარიბჭის ოპტიმიზაციის საჭიროებას: კარიბჭეები არა მხოლოდ აკავშირებენ შიდა და გარე ქსელებს, არამედ მოქმედებენ როგორც პროქსი ARP აგენტები, ამუშავებენ მარშრუტის გაჟონვას და უზრუნველყოფენ უმოკლეს გადამისამართების გზებს.
ცენტრალიზებული VXLAN Gateway
ცენტრალიზებული VXLAN კარიბჭე, რომელსაც ასევე ცენტრალიზებულ ან L3 კარიბჭეს უწოდებენ, როგორც წესი, განლაგებულია მონაცემთა ცენტრის კიდეზე ან ძირითად ფენაზე. ის ცენტრალური ჰაბის როლს ასრულებს, რომლის მეშვეობითაც უნდა გაიაროს VNI-ის ან ქსელებს შორის ტრაფიკი.
პრინციპში, ცენტრალიზებული კარიბჭე მოქმედებს როგორც ნაგულისხმევი კარიბჭე, რომელიც უზრუნველყოფს მე-3 დონის მარშრუტიზაციის სერვისებს ყველა VXLAN ქსელისთვის. განვიხილოთ ორი VNI: VNI 10000 (ქვექსელი 10.1.1.0/24) და VNI 20000 (ქვექსელი 10.2.1.0/24). თუ VNI 10000-ში VM A-ს სურს წვდომა VNI 20000-ში VM B-ზე, პაკეტი ჯერ ლოკალურ VTEP-ს მიაღწევს. ლოკალური VTEP აღმოაჩენს, რომ დანიშნულების IP მისამართი არ არის ლოკალურ ქვექსელში და გადააგზავნის მას ცენტრალიზებულ კარიბჭესთან. კარიბჭე ახშობს პაკეტს, იღებს მარშრუტიზაციის გადაწყვეტილებას და შემდეგ ხელახლა ათავსებს პაკეტს გვირაბში დანიშნულების VNI-მდე.
უპირატესობები აშკარაა:
○ მარტივი მართვაყველა მარშრუტიზაციის კონფიგურაცია ცენტრალიზებულია ერთ ან ორ მოწყობილობაზე, რაც ოპერატორებს საშუალებას აძლევს, მთელი ქსელის დასაფარად მხოლოდ რამდენიმე კარიბჭე შეინარჩუნონ. ეს მიდგომა შესაფერისია მცირე და საშუალო ზომის მონაცემთა ცენტრებისთვის ან გარემოსთვის, სადაც VXLAN პირველად გამოიყენება.
○რესურსების ეფექტურობაკარიბჭეები, როგორც წესი, მაღალი ხარისხის აპარატურაა (მაგალითად, Cisco Nexus 9000 ან Arista 7050), რომელსაც შეუძლია დიდი რაოდენობით ტრაფიკის დამუშავება. მართვის სიბრტყე ცენტრალიზებულია, რაც ხელს უწყობს SDN კონტროლერებთან, როგორიცაა NSX Manager, ინტეგრაციას.
○ძლიერი უსაფრთხოების კონტროლიტრაფიკი უნდა გაიაროს კარიბჭის გავლით, რაც ხელს შეუწყობს ACL-ების (წვდომის კონტროლის სიები), firewall-ების და NAT-ის იმპლემენტაციას. წარმოიდგინეთ მრავალმოიჯარეიანი სცენარი, სადაც ცენტრალიზებულ კარიბჭეს შეუძლია მარტივად იზოლირება გაუწიოს მოიჯარეთა ტრაფიკს.
მაგრამ ნაკლოვანებების იგნორირება შეუძლებელია:
○ წარუმატებლობის ერთი წერტილითუ კარიბჭე ვერ ფუნქციონირებს, მთელ ქსელში L3 კომუნიკაცია პარალიზდება. მიუხედავად იმისა, რომ VRRP (ვირტუალური როუტერის სარეზერვო პროტოკოლი) შეიძლება გამოყენებულ იქნას სარეზერვო ასლისთვის, ის მაინც რისკებს შეიცავს.
○შესრულების შეფერხებააღმოსავლეთ-დასავლეთის მიმართულებით მიმდინარე ყველა ტრაფიკი (სერვერებს შორის კომუნიკაცია) უნდა გვერდს უვლიდეს კარიბჭეს, რაც არაოპტიმალურ გზას ქმნის. მაგალითად, 1000 კვანძიან კლასტერში, თუ კარიბჭის გამტარუნარიანობა 100 გბიტ/წმ-ია, პიკის საათებში, სავარაუდოდ, შეგუბება მოხდება.
○ცუდი მასშტაბირებაქსელის მასშტაბის ზრდასთან ერთად, კარიბჭის დატვირთვა ექსპონენციალურად იზრდება. რეალურ მაგალითში, მე ვნახე ფინანსური მონაცემთა ცენტრი, რომელიც იყენებდა ცენტრალიზებულ კარიბჭეს. თავდაპირველად, ის შეუფერხებლად მუშაობდა, მაგრამ მას შემდეგ, რაც ვირტუალური მანქანებს რაოდენობა გაორმაგდა, შეყოვნება მიკროწამებიდან მილიწამებამდე გაიზარდა.
გამოყენების სცენარი: შესაფერისია გარემოსთვის, რომელიც მოითხოვს მართვის მაღალ სიმარტივეს, როგორიცაა საწარმოს კერძო ღრუბლები ან სატესტო ქსელები. Cisco-ს ACI არქიტექტურა ხშირად იყენებს ცენტრალიზებულ მოდელს, რომელიც შერწყმულია ფოთლოვანი ხერხემლის ტოპოლოგიასთან, ძირითადი კარიბჭეების ეფექტური ფუნქციონირების უზრუნველსაყოფად.
განაწილებული VXLAN კარიბჭე
განაწილებული VXLAN კარიბჭე, ასევე ცნობილი როგორც განაწილებული კარიბჭე ან anycast კარიბჭე, გადასცემს კარიბჭის ფუნქციონალს თითოეულ ფოთლოვან კომუტატორს ან ჰიპერვიზორს VTEP. თითოეული VTEP მოქმედებს როგორც ლოკალური კარიბჭე, რომელიც ახორციელებს L3 გადამისამართებას ლოკალური ქვექსელისთვის.
პრინციპი უფრო მოქნილია: თითოეული VTEP კონფიგურირებულია იმავე ვირტუალური IP-ით (VIP), როგორც ნაგულისხმევი კარიბჭე, Anycast მექანიზმის გამოყენებით. ვირტუალური მანქანების მიერ გაგზავნილი ქსელ-ჯვარედინი პაკეტები პირდაპირ ლოკალურ VTEP-ზე გადამისამართდება, ცენტრალური წერტილის გავლის გარეშე. EVPN განსაკუთრებით სასარგებლოა აქ: BGP EVPN-ის მეშვეობით, VTEP სწავლობს დისტანციური ჰოსტების მარშრუტებს და იყენებს MAC/IP შეკავშირებას ARP დატბორვის თავიდან ასაცილებლად.
მაგალითად, VM A (10.1.1.10)-ს სურს VM B-ზე (10.2.1.10) წვდომა. VM A-ს ნაგულისხმევი კარიბჭე არის ლოკალური VTEP-ის (10.1.1.1) VIP. ლოკალური VTEP მიმართულია დანიშნულების ქვექსელისკენ, ახდენს VXLAN პაკეტის ინკაფსულაციას და პირდაპირ აგზავნის VM B-ს VTEP-ში. ეს პროცესი ამცირებს გზას და შეყოვნებას.
გამორჩეული უპირატესობები:
○ მაღალი მასშტაბირებაკარიბჭის ფუნქციონალის თითოეულ კვანძზე განაწილება ზრდის ქსელის ზომას, რაც სასარგებლოა უფრო დიდი ქსელებისთვის. ისეთი მსხვილი ღრუბლოვანი პროვაიდერები, როგორიცაა Google Cloud, მსგავს მექანიზმს იყენებენ მილიონობით ვირტუალური მანქანის მხარდასაჭერად.
○უმაღლესი შესრულებააღმოსავლეთ-დასავლეთის ტრაფიკი ადგილობრივად მუშავდება შეფერხებების თავიდან ასაცილებლად. ტესტირების მონაცემები აჩვენებს, რომ განაწილებულ რეჟიმში გამტარუნარიანობა შეიძლება გაიზარდოს 30%-50%-ით.
○სწრაფი გაუმართაობის აღდგენაVTEP-ის ერთი ჩავარდნა მხოლოდ ლოკალურ ჰოსტზე მოქმედებს, სხვა კვანძები კი უცვლელი რჩება. EVPN-ის სწრაფ კონვერგენციასთან ერთად, აღდგენის დრო წამებშია.
○რესურსების კარგი გამოყენებააპარატურული აჩქარებისთვის გამოიყენეთ არსებული Leaf switch ASIC ჩიპი, რომლის გადამისამართების სიჩქარეც Tbps დონეს მიაღწევს.
რა არის ნაკლოვანებები?
○ რთული კონფიგურაციათითოეული VTEP მოითხოვს მარშრუტიზაციის, EVPN-ის და სხვა ფუნქციების კონფიგურაციას, რაც საწყის განლაგებას დიდ დროს მოითხოვს. ოპერაციების გუნდმა უნდა იცოდეს BGP და SDN.
○მაღალი აპარატურული მოთხოვნებიგანაწილებული კარიბჭე: ყველა კომუტატორი არ უჭერს მხარს განაწილებულ კარიბჭეებს; საჭიროა Broadcom Trident-ის ან Tomahawk-ის ჩიპები. პროგრამული უზრუნველყოფის იმპლემენტაციები (მაგალითად, OVS KVM-ზე) არ მუშაობს ისე კარგად, როგორც აპარატურა.
○თანმიმდევრულობის გამოწვევებიგანაწილებული ნიშნავს, რომ მდგომარეობის სინქრონიზაცია დამოკიდებულია EVPN-ზე. თუ BGP სესია მერყეობს, ამან შეიძლება გამოიწვიოს მარშრუტიზაციის შავი ხვრელი.
გამოყენების სცენარი: იდეალურია ჰიპერმასშტაბიანი მონაცემთა ცენტრებისთვის ან საჯარო ღრუბლებისთვის. VMware NSX-T-ის განაწილებული როუტერი ამის ტიპიური მაგალითია. Kubernetes-თან ერთად, ის შეუფერხებლად უჭერს მხარს კონტეინერულ ქსელებს.
ცენტრალიზებული VxLAN Gateway vs. განაწილებული VxLAN Gateway
ახლა კი კულმინაციაზე გადავიდეთ: რომელია უკეთესი? პასუხია „დამოკიდებულია“, მაგრამ თქვენს დასარწმუნებლად მონაცემებსა და შემთხვევების შესწავლას ღრმად უნდა ჩავუღრმავდეთ.
შესრულების თვალსაზრისით, განაწილებული სისტემები აშკარად აჯობებენ. ტიპურ მონაცემთა ცენტრის ტესტში (Spirent-ის სატესტო აღჭურვილობაზე დაყრდნობით), ცენტრალიზებული კარიბჭის საშუალო შეყოვნება იყო 150μs, ხოლო განაწილებული სისტემის - მხოლოდ 50μs. გამტარუნარიანობის თვალსაზრისით, განაწილებულ სისტემებს შეუძლიათ მარტივად მიაღწიონ ხაზის სიჩქარის გადამისამართებას, რადგან ისინი იყენებენ Spine-Leaf Equal Cost Multi-Path (ECMP) მარშრუტიზაციას.
მასშტაბირება კიდევ ერთი ბრძოლის ველია. ცენტრალიზებული ქსელები შესაფერისია 100-500 კვანძის მქონე ქსელებისთვის; ამ მასშტაბის მიღმა, განაწილებული ქსელები უპირატესობას იძენენ. მაგალითად, ავიღოთ Alibaba Cloud. მათი VPC (ვირტუალური კერძო ღრუბელი) იყენებს განაწილებულ VXLAN კარიბჭეებს მთელ მსოფლიოში მილიონობით მომხმარებლის მხარდასაჭერად, ერთრეგიონში 1 მილიწამზე ნაკლები შეყოვნებით. ცენტრალიზებული მიდგომა დიდი ხნის წინ ჩავარდებოდა.
რაც შეეხება ხარჯებს? ცენტრალიზებული გადაწყვეტა უფრო დაბალ საწყის ინვესტიციას გვთავაზობს, რაც მხოლოდ რამდენიმე მაღალი კლასის კარიბჭეს მოითხოვს. განაწილებული გადაწყვეტა მოითხოვს, რომ ყველა ფოთლოვანი კვანძი მხარს უჭერდეს VXLAN-ის განტვირთვას, რაც იწვევს აპარატურის განახლების უფრო მაღალ ხარჯებს. თუმცა, გრძელვადიან პერსპექტივაში, განაწილებული გადაწყვეტა უფრო დაბალ ექსპლუატაციისა და მოვლა-შენახვის ხარჯებს გვთავაზობს, რადგან ავტომატიზაციის ინსტრუმენტები, როგორიცაა Ansible, საშუალებას იძლევა პაკეტური კონფიგურაციის.
უსაფრთხოება და საიმედოობა: ცენტრალიზებული სისტემები ხელს უწყობენ ცენტრალიზებულ დაცვას, მაგრამ ქმნიან შეტევის ერთი წერტილის მაღალ რისკს. განაწილებული სისტემები უფრო მდგრადია, მაგრამ DDoS შეტევების თავიდან ასაცილებლად საჭიროებენ ძლიერ საკონტროლო სისტემას.
რეალური შემთხვევის შესწავლა: ელექტრონული კომერციის კომპანიამ საიტის შესაქმნელად ცენტრალიზებული VXLAN გამოიყენა. პიკის საათებში, გეითვეის პროცესორის გამოყენება 90%-მდე გაიზარდა, რამაც მომხმარებლების საჩივრები შეყოვნებასთან დაკავშირებით გამოიწვია. განაწილებულ მოდელზე გადასვლამ პრობლემა მოაგვარა, რამაც კომპანიას მასშტაბის გაორმაგების საშუალება მისცა. პირიქით, პატარა ბანკმა ცენტრალიზებულ მოდელზე დაჟინებით მოითხოვა, რადგან ისინი პრიორიტეტს ანიჭებდნენ შესაბამისობის აუდიტს და ცენტრალიზებულ მართვას უფრო ადვილად თვლიდნენ.
ზოგადად, თუ ქსელის ექსტრემალური მუშაობისა და მასშტაბის მიღწევას ეძებთ, განაწილებული მიდგომა საუკეთესო გამოსავალია. თუ თქვენი ბიუჯეტი შეზღუდულია და თქვენს მენეჯმენტ გუნდს გამოცდილება აკლია, ცენტრალიზებული მიდგომა უფრო პრაქტიკულია. მომავალში, 5G-სა და Edge Computing-ის განვითარებასთან ერთად, განაწილებული ქსელები უფრო პოპულარული გახდება, მაგრამ ცენტრალიზებული ქსელები მაინც ღირებული იქნება კონკრეტულ სცენარებში, როგორიცაა ფილიალების ურთიერთდაკავშირება.
Mylinking™ ქსელური პაკეტების ბროკერებიVxLAN, VLAN, GRE, MPLS ჰედერის მოცილების მხარდაჭერა
მხარდაჭერილი იყო VxLAN, VLAN, GRE, MPLS ჰედერი, რომელიც ამოღებული იყო ორიგინალ მონაცემთა პაკეტიდან და გადამისამართებული გამომავალი.
გამოქვეყნების დრო: 2025 წლის 9 ოქტომბერი
