11

VXLAN и VMware NSX: виртуальные сети поверх физичесих сетей в ЦОД

В этом году виртуальным локальным сетям VLAN исполняется уже 25 лет. Долгое время после своего появления эта технология управления узлами сети оправдывала себя целиком и полностью. Правда, сейчас возможностей VLAN уже явно не хватает, поскольку технология имеет свои ограничения. Одно из них — домены второго уровня ограничены на примерно 4000 VLAN, при физической невозможности переноса виртуальных машин через условные границы L2.

Тем не менее, появились гибридные технологии, позволяющие убрать это ограничение. Речь идет о трех основных протоколах создания оверлейных сетей. Протоколы — VXLAN, NVGRE и STT, и они являются довольно схожими по принципу организации. Главным элементом в любом из протоколов является виртуальный коммутатор, с базой в виде гипервизора. А нужные туннели терминируются в виртуальных узлах общей сети. Таким образом, подобные технологии делают возможным создание логических L2-сетей на основе L3-сетей. Чем же отличаются эти протоколы? Главное отличие — это способы инкапсуляции трафика, применяемые в VXLAN, NVGRE и STT. Кроме того, у каждого протокола — собственный разработчик, это VXLAN для VXLAN, Microsoft NVGRE и Nicira для STT. По некоторыми причинам VXLAN и NVGRE более распространены, чем STT.

Поскольку принцип построения сетей на основе первых двух протоколв немного схожи, то и говорить можно только об одном из них, в качестве предмета для обсуждения возьмем VXLAN.

Для расширения возможностей VLAN здесь используется несолько приемов. Во-первых, идентифицируется виртуальная машина в VXLAN сетях с использованием двух параметров: это MAC-адрес машины, а также VNI — VXLAN Network Identifier. Второй параметр имеет 24-битный формат, поэтому количество возможных виртуальных сетей с использованием VXLAN возрастает до 16 миллионов. Этого хватит на ближайшие пару сотен лет.

Архитектура виртуальной сети такого типа выглядит следующим образом:

155da48f811c4565b99fb25e4bc0eaa9

В качестве контроллера вычислительных ресурсов используется Nova, которй передает основное управление плагину Neutron в случае создания сети. Этот плагин используется для создания виртиуальных свитчей, а также построения пространства имен с дальнейшим управлением сетью.

В самом начале организации подобных сетей виртуальный свитч из гипервизора не использовался в качестве коммутатора, да и сетевого устройства вообще. Он использовался в качестве управляемой контрольной панели, которая управлялась при помощи ПО. Такая панель позволяла подключать сетевые порты виртуальных серверов к реальным физическим портам реальных же серверов. Но если соединить такие порты виртуальными тоннелями, используя VXLAN, то вполне можно получить целиком и полностью управляемую сетевую структуру, которая обеспечивает полное взаимодействие виртуальных серверов.

Ну, а для того, чтобы организовать собственную сеть из виртуальных тоннелей, было предложено элегантное решение, VMware NSX.

dhsrjreytkt

Новая платформа, предложенная в прошлом году, состоит из таких компонентов:

  • Controller Cluster — это система, которая состоит из виртуальных и физических машин, с 3 машинами в минимальной конфигурации. Такая система обеспечивает построение виртуальной сети. Машины же могут работать в так называемом кластере высокой доступности. Сервера собирают команды от компонентов сети VMware vCloud или OpenStack. Что касается главного кластера, то он осуществляет управление такими объектами, как vSwitches и Gateways. Все это определяет построение и структуру сети с возможностью анализа потока трафика, а также определяет конфигурацию сетевых компонентов;
  • Hypervisor vSwitches (NSX Virtual Switches) это сетевые виртуальные коммутаторы, которые управляются Controller Cluster, отвечая за работу с трафиком виртуальных машин;
    Gateways — главные компоненты, которые используются для соединения как виртуальных, так и физических сетей. Эти компоненты отвечают, в основном, за сервисы типа IP routing, MPLS, NAT, Firewall, VPN, Load Balancing.
  • NSX Manager — способ управления виртуальными сетями дата-центра, эта система управления взаимодействует Controller Cluster.

Положительными моментамии для использования такого решения являются следующие:

  • возможность проведения автоматизации сетей для SDDC;
  • воспроизведение сетевого обслуживания на уровнях L2/L3 и сервисах L4-L7;
  • не нужно вносить никакие изменения в приложение;
  • обеспечение масштабируемой распределенной маршрутизацией с возможостью разделения сетевых ресурсов;
  • беспроблемная интеграция обеспечения сетевой безопасности приложений.
  • И действительно, подобное решение позволяет обеспечить:

    • открытую и легкопрограммируемую архитектуру с развернутой экосистемой;
    • обширные возможности для автоматизации физической и виртуальной сетей;
    • основную точка управления виртуальной и физической сетевой инфраструктурой.

    Все это позволяет использовать решение в очень крупных дата-центрах, с обеспечением поддержки высокой эффективности сетей, подключения виртуальных сетей и снижения операционных затрат.

    comments powered by Disqus