VXLAN-lüüside arutamiseks peame kõigepealt arutama VXLAN-i ennast. Tuletame meelde, et traditsioonilised VLAN-id (virtuaalsed kohtvõrgud) kasutavad võrkude jagamiseks 12-bitiseid VLAN-i ID-sid, toetades kuni 4096 loogilist võrku. See toimib hästi väikeste võrkude puhul, kuid tänapäevastes andmekeskustes, kus on tuhandeid virtuaalseid masinaid, konteinereid ja mitme üürnikuga keskkondi, on VLAN-id ebapiisavad. VXLAN sündis ja selle defineeris Internet Engineering Task Force (IETF) RFC 7348-s. Selle eesmärk on laiendada 2. kihi (Etherneti) leviedastuse domeeni 3. kihi (IP) võrkudele UDP-tunnelite abil.
Lihtsamalt öeldes kapseldab VXLAN Etherneti kaadrid UDP pakettidesse ja lisab 24-bitise VXLAN võrgu identifikaatori (VNI), mis teoreetiliselt toetab 16 miljonit virtuaalset võrku. See on nagu iga virtuaalse võrgu "identiteedikaardi" andmine, mis võimaldab neil füüsilises võrgus vabalt liikuda ilma üksteist segamata. VXLAN-i põhikomponent on VXLAN tunneli lõpp-punkt (VTEP), mis vastutab pakettide kapseldamise ja dekapseldamise eest. VTEP võib olla tarkvaraline (näiteks Open vSwitch) või riistvaraline (näiteks lüliti ASIC-kiip).
Miks on VXLAN nii populaarne? Sest see sobib ideaalselt pilvandmetöötluse ja SDN-i (tarkvarapõhise võrgustamise) vajadustega. Avalikes pilvedes nagu AWS ja Azure võimaldab VXLAN rentnike virtuaalsete võrkude sujuvat laiendamist. Privaatsetes andmekeskustes toetab see kattevõrgu arhitektuure nagu VMware NSX või Cisco ACI. Kujutage ette andmekeskust tuhandete serveritega, millest igaühel töötab kümneid virtuaalmasinaid (VM-e). VXLAN võimaldab neil virtuaalmasinatel tajuda end sama 2. kihi võrgu osana, tagades ARP-saadete ja DHCP-päringute sujuva edastamise.
VXLAN pole aga imerohi. L3-võrgus töötamine nõuab L2-lt L3-le teisendamist ja siin tulebki mängu lüüs. VXLAN-lüüs ühendab VXLAN-i virtuaalse võrgu väliste võrkudega (näiteks traditsiooniliste VLAN-ide või IP-marsruutimisvõrkudega), tagades andmevoo virtuaalmaailmast reaalmaailma. Edastusmehhanism on lüüsi süda ja hing, mis määrab, kuidas pakette töödeldakse, marsruutitakse ja levitatakse.
VXLAN-i edastusprotsess on nagu õrn ballett, kus iga samm allikast sihtkohta on tihedalt seotud. Vaatleme seda samm-sammult.
Esmalt saadetakse lähtehostilt (näiteks virtuaalmasinalt) pakett. See on standardne Etherneti kaader, mis sisaldab lähte MAC-aadressi, sihtkoha MAC-aadressi, VLAN-silti (kui see on olemas) ja kasulikku koormust. Selle kaadri vastuvõtmisel kontrollib lähte-VTEP sihtkoha MAC-aadressi. Kui sihtkoha MAC-aadress on selle MAC-tabelis (saadud õppimise või üleujutuse teel), teab see, millisele kaug-VTEP-ile pakett edastada.
Kapseldamisprotsess on ülioluline: VTEP lisab VXLAN-päise (sh VNI, lipud jne), seejärel välise UDP-päise (lähtepordiga, mis põhineb sisemise kaadri räsil, ja fikseeritud sihtpordiga 4789), IP-päise (kohaliku VTEP lähte-IP-aadressiga ja kaug-VTEP siht-IP-aadressiga) ning lõpuks välise Etherneti-päise. Kogu pakett kuvatakse nüüd UDP/IP-paketina, näeb välja nagu tavaline liiklus ja seda saab marsruutida L3-võrgus.
Füüsilises võrgus edastab ruuter või kommutaator paketti, kuni see jõuab sihtkoha VTEP-i. Sihtkoha VTEP eemaldab välise päise, kontrollib VXLAN-päist, et veenduda VNI sobivuses, ja seejärel edastab sisemise Etherneti kaadri sihtkoha hostile. Kui pakett on tundmatu unicast-, broadcast- või multicast-liiklus (BUM), replikeerib VTEP paketi kõigile asjakohastele VTEP-idele üleujutuse abil, tuginedes multicast-rühmadele või unicast-päise replikatsioonile (HER).
Edastamistasandi tuumaks on juhtimistasandi ja andmetasandi eraldamine. Juhttasandil kasutatakse MAC- ja IP-kaardistuste õppimiseks Ethernet VPN-i (EVPN) või Flood and Learn mehhanismi. EVPN põhineb BGP protokollil ja võimaldab VTEP-idel vahetada marsruutimisteavet, näiteks MAC-VRF (virtuaalne marsruutimine ja edastamine) ja IP-VRF. Andmetasandil toimub tegelik edastamine, kasutades tõhusa edastuse tagamiseks VXLAN-tunneleid.
Tegelikkuses mõjutab edastamise efektiivsus aga otseselt jõudlust. Traditsiooniline üleujutus võib kergesti põhjustada leviedastuse torme, eriti suurtes võrkudes. See tingib vajaduse lüüsi optimeerimise järele: lüüsid mitte ainult ei ühenda sisemisi ja väliseid võrke, vaid toimivad ka ARP-agentidena, haldavad marsruudilekkeid ja tagavad lühimad edastusteed.
Tsentraliseeritud VXLAN-lüüs
Tsentraliseeritud VXLAN-lüüs, mida nimetatakse ka tsentraliseeritud lüüsiks või L3-lüüsiks, paigutatakse tavaliselt andmekeskuse serva- või põhikihile. See toimib keskse jaoturina, mille kaudu peab läbima kogu VNI-de või alamvõrkude vaheline liiklus.
Põhimõtteliselt toimib tsentraliseeritud värav vaikeväravana, pakkudes 3. kihi marsruutimisteenuseid kõigile VXLAN-võrkudele. Vaatleme kahte VNI-d: VNI 10000 (alamvõrk 10.1.1.0/24) ja VNI 20000 (alamvõrk 10.2.1.0/24). Kui virtuaalmasin A VNI-s 10000 soovib juurde pääseda virtuaalmasinale B VNI-s 20000, jõuab pakett kõigepealt kohalikku VTEP-i. Kohalik VTEP tuvastab, et sihtkoha IP-aadress ei asu kohalikus alamvõrgus ja edastab selle tsentraliseeritud lüüsile. Värav dekapseldab paketi, teeb marsruutimisotsuse ja seejärel kapseldab paketi uuesti tunnelisse sihtkoha VNI-sse.
Eelised on ilmsed:
○ Lihtne haldamineKõik marsruutimiskonfiguratsioonid on tsentraliseeritud ühele või kahele seadmele, mis võimaldab operaatoritel kogu võrgu katmiseks hallata vaid mõnda väravat. See lähenemisviis sobib väikestele ja keskmise suurusega andmekeskustele või keskkondadele, mis juurutavad VXLAN-i esmakordselt.
○RessursitõhusVäravad on tavaliselt suure jõudlusega riistvara (näiteks Cisco Nexus 9000 või Arista 7050), mis on võimeline käsitlema tohutul hulgal liiklust. Juhtimistasand on tsentraliseeritud, mis hõlbustab integreerimist SDN-kontrolleritega, näiteks NSX Manageriga.
○Tugev turvakontrollLiiklus peab läbima lüüsi, mis hõlbustab ACL-ide (pääsuloendite), tulemüüride ja NAT-i rakendamist. Kujutage ette mitme üürnikuga stsenaariumi, kus tsentraliseeritud lüüs saab üürniku liikluse hõlpsalt isoleerida.
Kuid puudusi ei saa ignoreerida:
○ Ühekordne rikeKui värav rikki läheb, halvatakse kogu võrgu L3-side. Kuigi VRRP-d (Virtual Router Redundancy Protocol) saab koondamise tagamiseks kasutada, kaasnevad sellega siiski riskid.
○Jõudluse kitsaskohtKogu ida-lääne suunaline liiklus (serverite vaheline side) peab lüüsist mööduma, mille tulemuseks on mitteoptimaalne tee. Näiteks 1000-sõlmelises klastris, kui lüüsi ribalaius on 100 Gbps, on tipptundidel tõenäoline ummistus.
○Halb skaleeritavusVõrgu ulatuse kasvades suureneb lüüsi koormus eksponentsiaalselt. Reaalses näites olen näinud finantsandmekeskust, mis kasutab tsentraliseeritud väravat. Alguses töötas see sujuvalt, kuid pärast virtuaalmasinate arvu kahekordistumist tõusis latentsusaeg mikrosekunditest millisekunditeni.
Rakendusstsenaarium: Sobib keskkondadele, mis nõuavad suurt halduslihtsust, näiteks ettevõtte privaatpilvedele või testvõrkudele. Cisco ACI arhitektuur kasutab sageli tsentraliseeritud mudelit koos lehe-selgroog topoloogiaga, et tagada põhilüüside tõhus toimimine.
Hajutatud VXLAN-lüüs
Hajutatud VXLAN-lüüs, tuntud ka kui hajutatud lüüs või anycast-lüüs, suunab lüüsi funktsionaalsuse igale lehelülitile või hüperviisori VTEP-le. Iga VTEP toimib kohaliku lüüsina, hallates kohaliku alamvõrgu L3-edasisuunamist.
Põhimõte on paindlikum: iga VTEP konfigureeritakse sama virtuaalse IP-aadressiga (VIP) kui vaikevärav, kasutades Anycasti mehhanismi. VM-ide saadetud alamvõrkudeülesed paketid suunatakse otse kohalikule VTEP-ile, ilma et need peaksid läbima keskset punkti. EVPN on siin eriti kasulik: BGP EVPN kaudu õpib VTEP tundma kaugmasinate marsruute ja kasutab MAC/IP sidumist, et vältida ARP üleujutust.
Näiteks soovib VM A (10.1.1.10) juurde pääseda VM-ile B (10.2.1.10). VM A vaikevärav on kohaliku VTEP (10.1.1.1) VIP. Kohalik VTEP suunab paketi sihtalamvõrku, kapseldab VXLAN-paketi ja saadab selle otse VM B VTEP-ile. See protsess minimeerib teed ja latentsust.
Silmapaistvad eelised:
○ Suur skaleeritavusVärava funktsionaalsuse jagamine igale sõlmele suurendab võrgu suurust, mis on kasulik suuremate võrkude puhul. Suured pilveteenuse pakkujad, näiteks Google Cloud, kasutavad sarnast mehhanismi miljonite virtuaalmasinate toetamiseks.
○Suurepärane jõudlusIda-lääne suunalist liiklust töödeldakse kitsaskohtade vältimiseks lokaalselt. Testiandmed näitavad, et hajutatud režiimis võib läbilaskevõime suureneda 30–50%.
○Kiire rikke taastamineÜks VTEP tõrge mõjutab ainult kohalikku hosti, jättes teised sõlmed puutumata. Koos EVPN kiire konvergentsiga on taastumisaeg sekundites.
○Ressursside hea kasutamineKasutage riistvarakiirenduseks olemasolevat Leaf lüliti ASIC-kiipi, mille edastuskiirus ulatub Tbps tasemele.
Millised on puudused?
○ Kompleksne konfiguratsioonIga VTEP nõuab marsruutimise, EVPN-i ja muude funktsioonide konfigureerimist, mis muudab esialgse juurutamise aeganõudvaks. Operatsioonide meeskond peab olema tuttav BGP ja SDN-iga.
○Kõrged riistvaranõudedHajutatud lüüs: Kõik lülitid ei toeta hajutatud lüüse; vaja on Broadcom Tridenti või Tomahawki kiipe. Tarkvaralised implementatsioonid (näiteks OVS KVM-il) ei tööta nii hästi kui riistvaralised.
○Järjepidevuse väljakutsedHajutatud tähendab, et oleku sünkroniseerimine tugineb EVPN-ile. Kui BGP seanss kõikub, võib see põhjustada marsruutimise musta augu.
Rakendusstsenaarium: Ideaalne hüperskaala andmekeskuste või avalike pilvede jaoks. Tüüpiline näide on VMware NSX-T hajutatud ruuter. Koos Kubernetesega toetab see sujuvalt konteinervõrgustamist.
Tsentraliseeritud VxLAN-lüüs vs. hajutatud VxLAN-lüüs
Nüüd kulminatsiooni juurde: kumb on parem? Vastus on "see oleneb olukorrast", aga teie veenmiseks peame süvenema andmetesse ja juhtumiuuringutesse.
Jõudluse seisukohast edestavad hajutatud süsteemid selgelt teisi. Tüüpilises andmekeskuse võrdlusuuringus (Spirendi testseadmete põhjal) oli tsentraliseeritud lüüsi keskmine latentsusaeg 150 μs, samas kui hajutatud süsteemil oli see vaid 50 μs. Läbilaskevõime osas suudavad hajutatud süsteemid hõlpsalt saavutada liinikiirusega edasisuunamist, kuna nad kasutavad Spine-Leaf Equal Cost Multi-Path (ECMP) marsruutimist.
Skaleeritavus on järjekordne lahinguväli. Tsentraliseeritud võrgud sobivad 100–500 sõlmega võrkude jaoks; sellest ulatusest kaugemal saavutavad hajutatud võrgud ülekaalu. Võtke näiteks Alibaba Cloud. Nende VPC (virtuaalne privaatpilv) kasutab hajutatud VXLAN-lüüsi, et toetada miljoneid kasutajaid kogu maailmas, ühe piirkonna latentsusega alla 1 ms. Tsentraliseeritud lähenemisviis oleks ammu kokku kukkunud.
Aga kuidas on lood kuludega? Tsentraliseeritud lahendus pakub väiksemat alginvesteeringut, nõudes vaid mõnda tipptasemel väravat. Hajutatud lahendus nõuab, et kõik lehesõlmed toetaksid VXLAN-i koormuse mahavõtmist, mis toob kaasa suuremad riistvara uuendamise kulud. Pikas perspektiivis pakub hajutatud lahendus aga madalamaid käitamise ja hooldamise kulusid, kuna automatiseerimistööriistad, näiteks Ansible, võimaldavad partiikonfiguratsiooni.
Turvalisus ja töökindlus: Tsentraliseeritud süsteemid hõlbustavad tsentraliseeritud kaitset, kuid kujutavad endast suurt ohtu üksikute rünnakupunktide tekkeks. Hajutatud süsteemid on vastupidavamad, kuid vajavad DDoS-rünnakute vältimiseks tugevat juhtimistasandit.
Reaalse maailma juhtumiuuring: e-kaubanduse ettevõte kasutas oma veebisaidi loomiseks tsentraliseeritud VXLAN-i. Tipptundidel tõusis lüüsi protsessori kasutus 90%-ni, mis viis kasutajate kaebusteni latentsuse üle. Üleminek hajutatud mudelile lahendas probleemi, võimaldades ettevõttel oma ulatust hõlpsalt kahekordistada. Seevastu üks väikepank nõudis tsentraliseeritud mudelit, kuna nad seadsid esikohale vastavusauditid ja leidsid, et tsentraliseeritud haldamine on lihtsam.
Üldiselt, kui otsite äärmist võrgu jõudlust ja ulatust, on hajutatud lähenemisviis õige tee. Kui teie eelarve on piiratud ja juhtimismeeskonnal napib kogemusi, on tsentraliseeritud lähenemisviis praktilisem. Tulevikus, 5G ja servandmetöötluse levikuga, muutuvad hajutatud võrgud populaarsemaks, kuid tsentraliseeritud võrgud on siiski väärtuslikud teatud olukordades, näiteks harukontorite ühendamisel.
Mylinking™ võrgupaketi vahendajadToetab VxLAN-i, VLAN-i, GRE-i ja MPLS-i päise eemaldamist
Toetatud on VxLAN-i, VLAN-i, GRE ja MPLS-i päise eemaldamine algsest andmepaketist ja edastatud väljundist.
Postituse aeg: 09.10.2025
