VXLAN դարպասները քննարկելու համար նախ պետք է քննարկենք VXLAN-ը։ Հիշենք, որ ավանդական VLAN-ները (վիրտուալ տեղական ցանցեր) օգտագործում են 12-բիթանոց VLAN ID-ներ՝ ցանցերը բաժանելու համար, աջակցելով մինչև 4096 տրամաբանական ցանցեր։ Սա լավ է աշխատում փոքր ցանցերի համար, բայց ժամանակակից տվյալների կենտրոններում՝ իրենց հազարավոր վիրտուալ մեքենաներով, կոնտեյներներով և բազմավարձակալ միջավայրերով, VLAN-ները բավարար չեն։ VXLAN-ը ծնվել է, սահմանվելով Ինտերնետային ճարտարագիտության աշխատանքային խմբի (IETF) կողմից RFC 7348-ում։ Դրա նպատակն է ընդլայնել 2-րդ մակարդակի (Ethernet) հեռարձակման տիրույթը 3-րդ մակարդակի (IP) ցանցերի վրա՝ օգտագործելով UDP թունելներ։
Պարզ ասած, VXLAN-ը ներառում է Ethernet շրջանակները UDP փաթեթների մեջ և ավելացնում է 24-բիթանոց VXLAN ցանցի նույնականացուցիչ (VNI), որը տեսականորեն աջակցում է 16 միլիոն վիրտուալ ցանցերի: Սա նման է յուրաքանչյուր վիրտուալ ցանցին «նույնականացման քարտ» տալուն, որը թույլ է տալիս նրանց ազատորեն շարժվել ֆիզիկական ցանցում՝ առանց միմյանց խանգարելու: VXLAN-ի հիմնական բաղադրիչը VXLAN թունելի վերջնակետն է (VTEP), որը պատասխանատու է փաթեթների ներառումի և ապակապսուլացման համար: VTEP-ը կարող է լինել ծրագրային (օրինակ՝ Open vSwitch) կամ սարքային (օրինակ՝ անջատիչի վրա գտնվող ASIC չիպը):
Ինչո՞ւ է VXLAN-ը այդքան տարածված։ Որովհետև այն կատարելապես համապատասխանում է ամպային հաշվարկների և SDN-ի (ծրագրային ապահովման կողմից սահմանված ցանցային) կարիքներին։ AWS-ի և Azure-ի նման հանրային ամպերում VXLAN-ը հնարավորություն է տալիս անխափան ընդլայնել վարձակալների վիրտուալ ցանցերը։ Մասնավոր տվյալների կենտրոններում այն աջակցում է VMware NSX-ի կամ Cisco ACI-ի նման վերադրվող ցանցային ճարտարապետություններին։ Պատկերացրեք տվյալների կենտրոն՝ հազարավոր սերվերներով, որոնցից յուրաքանչյուրն աշխատում է տասնյակ վիրտուալ մեքենաներով (VM): VXLAN-ը թույլ է տալիս այս վիրտուալ մեքենաներին ընկալել իրենց որպես նույն 2-րդ մակարդակի ցանցի մաս՝ ապահովելով ARP հեռարձակումների և DHCP հարցումների անխափան փոխանցումը։
Սակայն VXLAN-ը համապարփակ լուծում չէ։ L3 ցանցում աշխատելը պահանջում է L2-ից L3 փոխակերպում, որտեղ էլ գործի է դրվում դարպասը։ VXLAN դարպասը VXLAN վիրտուալ ցանցը կապում է արտաքին ցանցերի հետ (օրինակ՝ ավանդական VLAN-ներ կամ IP երթուղային ցանցեր), ապահովելով տվյալների հոսքերը վիրտուալ աշխարհից իրական աշխարհ։ Փոխանցման մեխանիզմը դարպասի սիրտն ու հոգին է, որը որոշում է, թե ինչպես են փաթեթները մշակվում, ուղղորդվում և բաշխվում։
VXLAN-ի վերահասցեավորման գործընթացը նման է նուրբ բալետի, որտեղ աղբյուրից մինչև նպատակակետ յուրաքանչյուր քայլը սերտորեն կապված է միմյանց հետ։ Եկեք այն վերլուծենք քայլ առ քայլ։
Նախ, փաթեթն ուղարկվում է սկզբնաղբյուր հոսթից (օրինակ՝ վիրտուալ մեքենա): Սա ստանդարտ Ethernet շրջանակ է, որը պարունակում է սկզբնաղբյուրի MAC հասցեն, նպատակակետի MAC հասցեն, VLAN թեգը (եթե կա) և օգտակար բեռնվածությունը: Այս շրջանակը ստանալուց հետո սկզբնաղբյուրի VTEP-ը ստուգում է նպատակակետի MAC հասցեն: Եթե նպատակակետի MAC հասցեն գտնվում է իր MAC աղյուսակում (ստացված ուսուցման կամ ջրհեղեղի միջոցով), այն գիտի, թե որ հեռակա VTEP-ին է պետք ուղարկել փաթեթը:
Ինկապսուլյացիայի գործընթացը կարևոր է. VTEP-ը ավելացնում է VXLAN վերնագիր (ներառյալ VNI-ն, դրոշները և այլն), ապա արտաքին UDP վերնագիր (ներքին շրջանակի հեշի վրա հիմնված աղբյուրի միացքով և 4789 ֆիքսված նպատակակետի միացքով), IP վերնագիր (տեղական VTEP-ի աղբյուրի IP հասցեով և հեռակա VTEP-ի նպատակակետի IP հասցեով) և վերջապես արտաքին Ethernet վերնագիր: Ամբողջ փաթեթն այժմ երևում է որպես UDP/IP փաթեթ, նման է սովորական երթևեկության և կարող է ուղղորդվել L3 ցանցով:
Ֆիզիկական ցանցում փաթեթը փոխանցվում է ռաութերի կամ կոմուտատորի միջոցով մինչև նպատակակետ VTEP-ին հասնելը: Նպատակակետ VTEP-ը հեռացնում է արտաքին վերնագիրը, ստուգում է VXLAN վերնագիրը՝ համոզվելու համար, որ VNI-ն համապատասխանում է, ապա ներքին Ethernet շրջանակը մատակարարում է նպատակակետ հոսթին: Եթե փաթեթը անհայտ միասփյուռ, հեռարձակվող կամ բազմասփյուռ (BUM) տրաֆիկ է, VTEP-ը կրկնօրինակում է փաթեթը բոլոր համապատասխան VTEP-ներին՝ օգտագործելով ջրհեղեղ, հիմնվելով բազմասփյուռ խմբերի կամ միասփյուռ վերնագրի կրկնօրինակման (HER) վրա:
Փոխանցման սկզբունքի միջուկը կառավարման և տվյալների հարթությունների բաժանումն է: Կառավարման հարթությունն օգտագործում է Ethernet VPN (EVPN) կամ Flood and Learn մեխանիզմը՝ MAC և IP քարտեզագրումները սովորելու համար: EVPN-ը հիմնված է BGP արձանագրության վրա և թույլ է տալիս VTEP-ներին փոխանակել երթուղային տեղեկատվություն, ինչպիսիք են MAC-VRF (Վիրտուալ երթուղային և վերահասցեավորում) և IP-VRF: Տվյալների հարթությունը պատասխանատու է իրական վերահասցեավորման համար՝ օգտագործելով VXLAN թունելներ՝ արդյունավետ փոխանցման համար:
Սակայն, իրական տեղակայումների դեպքում, փոխանցման արդյունավետությունը անմիջականորեն ազդում է կատարողականի վրա: Ավանդական ջրհեղեղները կարող են հեշտությամբ առաջացնել հեռարձակման փոթորիկներ, հատկապես մեծ ցանցերում: Սա հանգեցնում է դարպասների օպտիմալացման անհրաժեշտության. դարպասները ոչ միայն միացնում են ներքին և արտաքին ցանցերը, այլև գործում են որպես ARP պրոքսի գործակալներ, կարգավորում են երթուղիների արտահոսքերը և ապահովում են ամենակարճ փոխանցման ուղիները:
Կենտրոնացված VXLAN դարպաս
Կենտրոնացված VXLAN դարպասը, որը կոչվում է նաև կենտրոնացված դարպաս կամ L3 դարպաս, սովորաբար տեղակայված է տվյալների կենտրոնի եզրային կամ հիմնական շերտում: Այն գործում է որպես կենտրոնական հանգույց, որի միջով պետք է անցնի VNI-ի կամ ենթացանցերի միջև ամբողջ խաչաձև երթևեկությունը:
Սկզբունքորեն, կենտրոնացված դարպասը գործում է որպես լռելյայն դարպաս՝ ապահովելով 3-րդ մակարդակի երթուղայնացման ծառայություններ բոլոր VXLAN ցանցերի համար: Դիտարկենք երկու VNI՝ VNI 10000 (ենթացանց 10.1.1.0/24) և VNI 20000 (ենթացանց 10.2.1.0/24): Եթե VNI 10000-ի VM A-ն ցանկանում է մուտք գործել VNI 20000-ի VM B-ին, փաթեթը նախ հասնում է տեղական VTEP-ին: Տեղական VTEP-ն հայտնաբերում է, որ նպատակակետի IP հասցեն տեղական ենթացանցում չէ և այն վերահասցեագրում է կենտրոնացված դարպասին: Դարպասը ապակապսուլացնում է փաթեթը, կայացնում երթուղայնացման որոշում, ապա վերափաթեթավորում է փաթեթը թունելի մեջ՝ դեպի նպատակակետի VNI:
Առավելությունները ակնհայտ են.
○ Պարզ կառավարումԲոլոր երթուղային կարգավորումները կենտրոնացված են մեկ կամ երկու սարքերի վրա, ինչը թույլ է տալիս օպերատորներին պահպանել միայն մի քանի դարպասներ՝ ամբողջ ցանցը ծածկելու համար: Այս մոտեցումը հարմար է փոքր և միջին տվյալների կենտրոնների կամ միջավայրերի համար, որոնք առաջին անգամ են տեղակայում VXLAN-ը:
○Ռեսուրսների արդյունավետությունԴարպասները սովորաբար բարձր արդյունավետությամբ սարքավորումներ են (օրինակ՝ Cisco Nexus 9000 կամ Arista 7050), որոնք կարող են մշակել մեծ քանակությամբ երթևեկություն: Կառավարման հարթակը կենտրոնացված է, ինչը հեշտացնում է ինտեգրումը SDN կառավարիչների հետ, ինչպիսին է NSX Manager-ը:
○Անվտանգության ուժեղ վերահսկողությունԵրթևեկությունը պետք է անցնի դարպասի միջով, ինչը հեշտացնում է ACL-ների (մուտքի վերահսկման ցուցակներ), firewall-ների և NAT-ի ներդրումը: Պատկերացրեք բազմավարձակալության սցենար, որտեղ կենտրոնացված դարպասը կարող է հեշտությամբ մեկուսացնել վարձակալների երթևեկությունը:
Բայց թերությունները չեն կարող անտեսվել.
○ Միակ ձախողման կետԵթե դարպասը խափանվի, L3 կապը ամբողջ ցանցում կաթվածահար կլինի: Չնայած VRRP-ն (Վիրտուալ Ռոուտերի Լրացուցիչության Պրոտոկոլ) կարող է օգտագործվել լրացուցիչության համար, այն դեռևս ռիսկեր է պարունակում:
○Արդյունավետության խոչընդոտԱրևելք-արևմուտք ուղղությամբ ամբողջ երթևեկությունը (սերվերների միջև հաղորդակցությունը) պետք է շրջանցի դարպասը, ինչը հանգեցնում է ոչ օպտիմալ ուղու: Օրինակ, 1000 հանգույցներից բաղկացած կլաստերում, եթե դարպասի թողունակությունը 100 Գբ/վ է, գերբեռնվածությունը, հավանաբար, կառաջանա գագաթնակետային ժամերին:
○Վատ մասշտաբայնությունՑանցի մասշտաբի աճին զուգընթաց, դարպասների ծանրաբեռնվածությունը էքսպոնենցիալ կերպով աճում է։ Իրական աշխարհի օրինակում ես տեսել եմ ֆինանսական տվյալների կենտրոն, որն օգտագործում էր կենտրոնացված դարպաս։ Սկզբում այն աշխատում էր սահուն, բայց երբ վիրտուալ մեքենաների թիվը կրկնապատկվեց, լատենտությունը միկրովայրկյաններից կտրուկ աճեց մինչև միլիվայրկյաններ։
Կիրառման սցենար. Հարմար է բարձր կառավարման պարզություն պահանջող միջավայրերի համար, ինչպիսիք են ձեռնարկությունների մասնավոր ամպերը կամ փորձարկման ցանցերը: Cisco-ի ACI ճարտարապետությունը հաճախ օգտագործում է կենտրոնացված մոդել՝ զուգորդված տերևաձև ողնաշարի տոպոլոգիայի հետ՝ հիմնական դարպասների արդյունավետ գործունեությունն ապահովելու համար:
Բաշխված VXLAN դարպաս
Բաշխված VXLAN դարպասը, որը հայտնի է նաև որպես բաշխված դարպաս կամ anycast դարպաս, դարպասի ֆունկցիոնալությունը փոխանցում է յուրաքանչյուր տերևային կոմուտատորին կամ հիպերվիզոր VTEP-ին: Յուրաքանչյուր VTEP գործում է որպես տեղական դարպաս, որը կարգավորում է L3 վերահասցեավորումը տեղական ենթացանցի համար:
Սկզբունքն ավելի ճկուն է. յուրաքանչյուր VTEP կարգավորված է նույն վիրտուալ IP-ով (VIP), ինչ լռելյայն դարպասը՝ օգտագործելով Anycast մեխանիզմը: Վիրտուալ մեքենաների կողմից ուղարկված խաչաձև ենթացանցային փաթեթները ուղղորդվում են անմիջապես տեղական VTEP-ի վրա՝ առանց կենտրոնական կետով անցնելու անհրաժեշտության: EVPN-ը հատկապես օգտակար է այստեղ. BGP EVPN-ի միջոցով VTEP-ը սովորում է հեռակա հոսթերի երթուղիները և օգտագործում է MAC/IP կապ՝ ARP ջրհեղեղից խուսափելու համար:
Օրինակ, VM A-ն (10.1.1.10) ցանկանում է մուտք գործել VM B (10.2.1.10): VM A-ի լռելյայն դարպասը տեղական VTEP-ի (10.1.1.1) VIP-ն է: Տեղական VTEP-ը ուղղորդվում է դեպի նպատակակետային ենթացանց, փաթեթավորում է VXLAN փաթեթը և ուղարկում այն անմիջապես VM B-ի VTEP-ին: Այս գործընթացը նվազագույնի է հասցնում ուղին և լատենտությունը:
Բացառիկ առավելություններ՝
○ Բարձր մասշտաբայնությունԳեյթբորդի ֆունկցիոնալությունը յուրաքանչյուր հանգույցին բաշխելը մեծացնում է ցանցի չափը, ինչը օգտակար է ավելի մեծ ցանցերի համար: Google Cloud-ի նման խոշոր ամպային մատակարարները նմանատիպ մեխանիզմ են օգտագործում միլիոնավոր վիրտուալ մեքենաներին աջակցելու համար:
○Գերազանց կատարողականությունԱրևելք-արևմուտք երթևեկությունը մշակվում է տեղում՝ խցանումներից խուսափելու համար: Փորձարկման տվյալները ցույց են տալիս, որ բաշխված ռեժիմում թողունակությունը կարող է աճել 30%-50%-ով:
○Արագ սխալի վերականգնումՄեկ VTEP ձախողումը ազդում է միայն տեղական հոսթի վրա՝ մյուս հանգույցները թողնելով անփոփոխ։ EVPN-ի արագ կոնվերգենցիայի հետ մեկտեղ, վերականգնման ժամանակը վայրկյաններով է։
○Ռեսուրսների լավ օգտագործումՕգտագործեք առկա Leaf switch ASIC չիպը ապարատային արագացման համար, որի դեպքում փոխանցման արագությունը կհասնի Tbps մակարդակի։
Որո՞նք են թերությունները։
○ Բարդ կոնֆիգուրացիաՅուրաքանչյուր VTEP պահանջում է երթուղայնացման, EVPN-ի և այլ գործառույթների կարգավորում, ինչը սկզբնական տեղակայումը դարձնում է ժամանակատար։ Գործառնական թիմը պետք է ծանոթ լինի BGP-ին և SDN-ին։
○Բարձր ապարատային պահանջներԲաշխված դարպաս. Ոչ բոլոր կոմուտատորներն են աջակցում բաշխված դարպասներին. անհրաժեշտ են Broadcom Trident կամ Tomahawk չիպեր: Ծրագրային ապահովումը (օրինակ՝ OVS-ը KVM-ի վրա) այնքան լավ չի աշխատում, որքան սարքավորումը:
○Հետևողականության մարտահրավերներԲաշխված նշանակում է, որ վիճակի համաժամեցումը հիմնված է EVPN-ի վրա: Եթե BGP սեսիան տատանվում է, դա կարող է առաջացնել երթուղավորման սև խոռոչ:
Կիրառման սցենար. Հիանալի է գերմասշտաբային տվյալների կենտրոնների կամ հանրային ամպերի համար: VMware NSX-T-ի բաշխված ռաութերը բնորոշ օրինակ է: Kubernetes-ի հետ համատեղ, այն անխափանորեն աջակցում է կոնտեյներային ցանցին:
Կենտրոնացված VxLAN դարպաս ընդդեմ բաշխված VxLAN դարպասի
Հիմա անցնենք կուլմինացիային. որն է ավելի լավը։ Պատասխանը՝ «կախված է», բայց մենք պետք է խորանանք տվյալների և դեպքերի ուսումնասիրությունների մեջ՝ ձեզ համոզելու համար։
Արդյունավետության տեսանկյունից, բաշխված համակարգերը հստակորեն գերազանցում են իրենց ցուցանիշները: Տիպիկ տվյալների կենտրոնի չափանիշում (հիմնված Spirent թեստավորման սարքավորումների վրա), կենտրոնացված դարպասի միջին լատենտությունը կազմել է 150 մկվրկ, մինչդեռ բաշխված համակարգինը՝ ընդամենը 50 մկվրկ: Թողունակության առումով, բաշխված համակարգերը կարող են հեշտությամբ հասնել գծային արագության վերահասցեավորման, քանի որ օգտագործում են Spine-Leaf Equal Cost Multi-Path (ECMP) երթուղայնացումը:
Մասշտաբայնությունը մեկ այլ մարտադաշտ է: Կենտրոնացված ցանցերը հարմար են 100-500 հանգույց ունեցող ցանցերի համար. այս մասշտաբից այն կողմ բաշխված ցանցերը առավելություն են ստանում: Վերցրեք, օրինակ, Alibaba Cloud-ը: Նրանց VPC-ն (Virtual Private Cloud) օգտագործում է բաշխված VXLAN դարպասներ՝ ամբողջ աշխարհում միլիոնավոր օգտատերերի աջակցելու համար՝ 1 մվ-ից պակաս մեկ տարածաշրջանի լատենտությամբ: Կենտրոնացված մոտեցումը վաղուց կփլուզվեր:
Իսկ արժեքի մասին ի՞նչ կասեք։ Կենտրոնացված լուծումն առաջարկում է ավելի ցածր սկզբնական ներդրում՝ պահանջելով միայն մի քանի բարձրակարգ դարպասներ։ Բաշխված լուծումը պահանջում է, որ բոլոր տերևային հանգույցները աջակցեն VXLAN-ի բեռնաթափմանը, ինչը հանգեցնում է սարքավորումների արդիականացման ավելի բարձր ծախսերի։ Այնուամենայնիվ, երկարաժամկետ հեռանկարում բաշխված լուծումն առաջարկում է ավելի ցածր շահագործման և պահպանման ծախսեր, քանի որ ավտոմատացման գործիքները, ինչպիսին է Ansible-ը, հնարավորություն են տալիս խմբաքանակային կարգավորման։
Անվտանգություն և հուսալիություն. Կենտրոնացված համակարգերը նպաստում են կենտրոնացված պաշտպանությանը, բայց ներկայացնում են հարձակման մեկ կետի բարձր ռիսկ: Բաշխված համակարգերն ավելի դիմացկուն են, բայց պահանջում են հզոր կառավարման համակարգ՝ DDoS հարձակումները կանխելու համար:
Իրական աշխարհի դեպքի ուսումնասիրություն. Էլեկտրոնային առևտրի ընկերությունը իր կայքը կառուցելու համար օգտագործել է կենտրոնացված VXLAN: Գագաթնակետային ժամանակահատվածներում դարպասի CPU-ի օգտագործումը աճել է մինչև 90%, ինչը հանգեցրել է օգտատերերի բողոքներին ուշացման վերաբերյալ: Բաշխված մոդելին անցումը լուծեց խնդիրը՝ թույլ տալով ընկերությանը հեշտությամբ կրկնապատկել իր մասշտաբը: Եվ հակառակը, մի փոքր բանկ պնդում էր կենտրոնացված մոդելի վրա, քանի որ նրանք առաջնահերթություն էին տալիս համապատասխանության աուդիտներին և կենտրոնացված կառավարումն ավելի հեշտ էին համարում:
Ընդհանուր առմամբ, եթե դուք փնտրում եք ծայրահեղ ցանցային կատարողականություն և մասշտաբ, բաշխված մոտեցումը լավագույն տարբերակն է: Եթե ձեր բյուջեն սահմանափակ է, և ձեր կառավարման թիմը փորձ չունի, կենտրոնացված մոտեցումն ավելի գործնական է: Ապագայում՝ 5G-ի և եզրային հաշվարկների զարգացման հետ մեկտեղ, բաշխված ցանցերը կդառնան ավելի տարածված, բայց կենտրոնացված ցանցերը դեռևս արժեքավոր կլինեն որոշակի իրավիճակներում, ինչպիսիք են մասնաճյուղերի միջև փոխկապակցվածությունը:
Mylinking™ ցանցային փաթեթային բրոքերներԱջակցում է VxLAN, VLAN, GRE, MPLS վերնագրերի շերտազատմանը
Աջակցվել է VxLAN, VLAN, GRE, MPLS վերնագիրը՝ հեռացված սկզբնական տվյալների փաթեթից և վերահասցեավորված ելքից։
Հրապարակման ժամանակը. Հոկտեմբեր-09-2025
