VXLAN şlüzlərini müzakirə etmək üçün əvvəlcə VXLAN-ın özünü müzakirə etməliyik. Xatırladaq ki, ənənəvi VLAN-lar (Virtual Lokal Şəbəkələr) 4096-ya qədər məntiqi şəbəkəni dəstəkləyən şəbəkələri bölmək üçün 12 bitlik VLAN ID-lərindən istifadə edir. Bu kiçik şəbəkələr üçün yaxşı işləyir, lakin minlərlə virtual maşın, konteyner və çox kirayəçi mühiti olan müasir məlumat mərkəzlərində VLAN-lar kifayət deyil. VXLAN RFC 7348-də İnternet Mühəndisliyi İşçi Qrupu (IETF) tərəfindən müəyyən edilmişdir. Onun məqsədi UDP tunellərindən istifadə edərək Layer 2 (Ethernet) yayım domenini Layer 3 (IP) şəbəkələri üzərində genişləndirməkdir.
Sadəcə olaraq, VXLAN UDP paketləri daxilində Ethernet çərçivələrini əhatə edir və nəzəri cəhətdən 16 milyon virtual şəbəkəni dəstəkləyən 24 bitlik VXLAN Şəbəkə İdentifikatoru (VNI) əlavə edir. Bu, hər bir virtual şəbəkəyə “şəxsiyyət vəsiqəsi” vermək, onların bir-birinə müdaxilə etmədən fiziki şəbəkədə sərbəst hərəkət etməsinə bənzəyir. VXLAN-ın əsas komponenti paketlərin inkapsulyasiyasına və dekapsulasiyasına cavabdeh olan VXLAN Tunel Son Nöqtəsidir (VTEP). VTEP proqram təminatı (məsələn, Open vSwitch) və ya aparat (keçiddəki ASIC çipi kimi) ola bilər.
VXLAN niyə bu qədər populyardır? Çünki o, bulud hesablamaları və SDN (Proqram Təminatlı Şəbəkə) ehtiyaclarına mükəmməl uyğun gəlir. AWS və Azure kimi ictimai buludlarda VXLAN icarəçilərin virtual şəbəkələrinin problemsiz genişləndirilməsinə imkan verir. Şəxsi məlumat mərkəzlərində, VMware NSX və ya Cisco ACI kimi üst-üstə düşən şəbəkə arxitekturalarını dəstəkləyir. Təsəvvür edin ki, hər biri onlarla VM (Virtual Maşınlar) işləyən minlərlə serveri olan bir məlumat mərkəzi. VXLAN bu VM-lərə ARP yayımlarının və DHCP sorğularının rahat ötürülməsini təmin edərək, özlərini eyni Layer 2 şəbəkəsinin bir hissəsi kimi qəbul etməyə imkan verir.
Bununla belə, VXLAN panacea deyil. L3 şəbəkəsində işləmək üçün L2-dən L3-ə çevrilmə tələb olunur ki, bu da şlüzün daxil olduğu yerdir. VXLAN şlüzü VXLAN virtual şəbəkəsini xarici şəbəkələrlə (məsələn, ənənəvi VLAN və ya IP marşrutlaşdırma şəbəkələri) birləşdirərək virtual dünyadan real dünyaya məlumat axınını təmin edir. Göndərmə mexanizmi paketlərin necə işləndiyini, yönləndirildiyini və paylandığını təyin edən şlüzün ürəyi və ruhudur.
VXLAN ötürülməsi prosesi mənbədən təyinat yerinə qədər hər bir addım sıx bağlı olan incə bir balet kimidir. Gəlin onu addım-addım parçalayaq.
Əvvəlcə mənbə hostdan paket göndərilir (məsələn, VM). Bu, mənbə MAC ünvanını, təyinat MAC ünvanını, VLAN etiketini (əgər varsa) və faydalı yükü ehtiva edən standart Ethernet çərçivəsidir. Bu çərçivəni aldıqdan sonra mənbə VTEP təyinat MAC ünvanını yoxlayır. Əgər təyinat MAC ünvanı MAC cədvəlindədirsə (öyrənmə və ya daşqın yolu ilə əldə edilir), o, paketin hansı uzaq VTEP-ə yönləndiriləcəyini bilir.
İnkapsulyasiya prosesi çox vacibdir: VTEP VXLAN başlığını (VNI, bayraqlar və s. daxil olmaqla), daha sonra xarici UDP başlığını (daxili çərçivənin heşinə əsaslanan mənbə portu və 4789 sabit təyinat portu ilə), IP başlığını (yerli VTEP-nin mənbə IP ünvanı ilə) və uzaqdan VTEP-in son IP ünvanını əlavə edir. başlıq. Bütün paket indi UDP/IP paketi kimi görünür, normal trafikə bənzəyir və L3 şəbəkəsində yönləndirilə bilər.
Fiziki şəbəkədə paket təyinat VTEP-ə çatana qədər marşrutlaşdırıcı və ya keçid tərəfindən yönləndirilir. Təyinat VTEP xarici başlığı ayırır, VNI uyğunluğunu təmin etmək üçün VXLAN başlığını yoxlayır və sonra daxili Ethernet çərçivəsini təyinat hostuna çatdırır. Əgər paket naməlum unicast, broadcast və ya multicast (BUM) trafikidirsə, VTEP multicast qruplarına və ya unicast header replikasiyasına (HER) əsaslanaraq seldən istifadə edərək paketi bütün müvafiq VTEP-lərə təkrarlayır.
Göndərmə prinsipinin əsası idarəetmə müstəvisi ilə məlumat müstəvisinin ayrılmasıdır. İdarəetmə təyyarəsi MAC və IP xəritələrini öyrənmək üçün Ethernet VPN (EVPN) və ya Flood and Learn mexanizmindən istifadə edir. EVPN BGP protokoluna əsaslanır və VTEP-lərə MAC-VRF (Virtual Marşrutlaşdırma və Yönləndirmə) və IP-VRF kimi marşrutlaşdırma məlumatlarını mübadilə etməyə imkan verir. Məlumat təyyarəsi səmərəli ötürmə üçün VXLAN tunellərindən istifadə edərək faktiki yönləndirməyə cavabdehdir.
Bununla belə, faktiki yerləşdirmələrdə ötürmə səmərəliliyi performansa birbaşa təsir göstərir. Ənənəvi daşqınlar, xüsusən də böyük şəbəkələrdə asanlıqla yayım fırtınalarına səbəb ola bilər. Bu, şlüzün optimallaşdırılması ehtiyacına gətirib çıxarır: şlüzlər təkcə daxili və xarici şəbəkələri birləşdirmir, həm də proxy ARP agentləri kimi fəaliyyət göstərir, marşrut sızmalarını idarə edir və ən qısa ötürmə yollarını təmin edir.
Mərkəzləşdirilmiş VXLAN Gateway
Mərkəzləşdirilmiş VXLAN şlüzü, həmçinin mərkəzləşdirilmiş şlüz və ya L3 şlüz də adlanır, adətən məlumat mərkəzinin kənarında və ya əsas qatında yerləşdirilir. O, bütün VNI və ya cross-subnet trafikinin keçməli olduğu mərkəzi mərkəz rolunu oynayır.
Prinsipcə, mərkəzləşdirilmiş şlüz bütün VXLAN şəbəkələri üçün Layer 3 marşrutlaşdırma xidmətlərini təmin edən standart şlüz kimi çıxış edir. İki VNI-i nəzərdən keçirin: VNI 10000 (alt şəbəkə 10.1.1.0/24) və VNI 20000 (alt şəbəkə 10.2.1.0/24). VNI 10000-də VM A VNI 20000-də VM B-yə daxil olmaq istəyirsə, paket əvvəlcə yerli VTEP-ə çatır. Yerli VTEP təyinat IP ünvanının yerli alt şəbəkədə olmadığını aşkar edir və onu mərkəzləşdirilmiş şlüzə yönləndirir. Şlüz paketi dekapsullaşdırır, marşrut qərarını verir və sonra paketi təyinat VNI-yə tunelə yenidən kapsullaşdırır.
Üstünlüklər göz qabağındadır:
○ Sadə idarəetməBütün marşrutlaşdırma konfiqurasiyaları bir və ya iki cihazda mərkəzləşdirilmişdir, bu da operatorlara bütün şəbəkəni əhatə etmək üçün yalnız bir neçə şlüz saxlamağa imkan verir. Bu yanaşma kiçik və orta ölçülü məlumat mərkəzləri və ya VXLAN-ı ilk dəfə yerləşdirən mühitlər üçün uyğundur.
○Resurs səmərəliŞlüzlər adətən böyük miqdarda trafiki idarə etməyə qadir olan yüksək performanslı aparatdır (məsələn, Cisco Nexus 9000 və ya Arista 7050). İdarəetmə müstəvisi mərkəzləşdirilmişdir, NSX Manager kimi SDN nəzarətçiləri ilə inteqrasiyanı asanlaşdırır.
○Güclü təhlükəsizlik nəzarətiTrafik şlüzdən keçməlidir, ACL (Access Control Lists), firewall və NAT-ın həyata keçirilməsini asanlaşdırmalıdır. Mərkəzləşdirilmiş şlüzün kirayəçi trafikini asanlıqla təcrid edə biləcəyi çox kirayəçili bir ssenari təsəvvür edin.
Ancaq çatışmazlıqları nəzərdən qaçırmaq olmaz:
○ Tək uğursuzluq nöqtəsiŞluz uğursuz olarsa, bütün şəbəkə üzrə L3 rabitəsi iflic olur. VRRP (Virtual Router Redundancy Protocol) ehtiyat üçün istifadə oluna bilsə də, yenə də risklər daşıyır.
○Performans darboğazıBütün şərq-qərb trafiki (serverlər arasında əlaqə) şlüzdən yan keçməlidir, nəticədə suboptimal yol yaranır. Məsələn, 1000 qovşaqlı klasterdə şlüzün ötürmə qabiliyyəti 100 Gbit/s olarsa, pik saatlarda sıxlığın baş verməsi ehtimalı var.
○Zəif ölçeklenebilirlikŞəbəkə miqyası böyüdükcə şlüz yükü eksponent olaraq artır. Real dünya nümunəsində mən mərkəzləşdirilmiş şlüzdən istifadə edən maliyyə məlumat mərkəzini gördüm. Əvvəlcə rəvan işləyirdi, lakin VM-lərin sayı iki dəfə artdıqdan sonra gecikmə mikrosaniyələrdən millisaniyələrə qədər artdı.
Tətbiq Ssenarisi: Müəssisə şəxsi buludları və ya sınaq şəbəkələri kimi yüksək idarəetmə sadəliyi tələb edən mühitlər üçün uyğundur. Cisco-nun ACI arxitekturasında əsas şlüzlərin səmərəli işləməsini təmin etmək üçün çox vaxt yarpaq-onurğa topologiyası ilə birlikdə mərkəzləşdirilmiş modeldən istifadə edilir.
Paylanmış VXLAN Gateway
Paylanmış VXLAN şlüzü, həmçinin paylanmış şlüz və ya hər hansı bir yayım şlüzü kimi tanınan şluz funksionallığını hər bir yarpaq keçidinə və ya hipervizor VTEP-ə yükləyir. Hər bir VTEP yerli alt şəbəkə üçün L3 yönləndirməsini idarə edən yerli şlüz kimi çıxış edir.
Prinsip daha çevikdir: hər bir VTEP Anycast mexanizmindən istifadə edərək standart şlüz kimi eyni virtual IP (VIP) ilə konfiqurasiya edilir. VM-lər tərəfindən göndərilən çarpaz alt şəbəkə paketləri mərkəzi nöqtədən keçmədən birbaşa yerli VTEP-ə yönləndirilir. EVPN burada xüsusilə faydalıdır: BGP EVPN vasitəsilə VTEP uzaq hostların marşrutlarını öyrənir və ARP daşqının qarşısını almaq üçün MAC/IP bağlamasından istifadə edir.
Məsələn, VM A (10.1.1.10) VM B-yə (10.2.1.10) daxil olmaq istəyir. VM A-nın defolt şlüzü yerli VTEP-in VIP-idir (10.1.1.1). Yerli VTEP təyinat alt şəbəkəsinə istiqamətləndirir, VXLAN paketini əhatə edir və onu birbaşa VM B-nin VTEP-inə göndərir. Bu proses yolu və gecikməni minimuma endirir.
Üstünlüklər:
○ Yüksək miqyaslılıqŞluz funksionallığının hər bir node üçün paylanması şəbəkə ölçüsünü artırır və bu, daha böyük şəbəkələr üçün faydalıdır. Google Cloud kimi böyük bulud provayderləri milyonlarla VM-ni dəstəkləmək üçün oxşar mexanizmdən istifadə edirlər.
○Üstün performansDarboğazların qarşısını almaq üçün şərq-qərb trafiki yerli olaraq emal edilir. Test məlumatları göstərir ki, paylanmış rejimdə ötürmə qabiliyyəti 30%-50% arta bilər.
○Arızanın tez bərpasıTək VTEP uğursuzluğu yalnız yerli hosta təsir edir və digər qovşaqları təsirsiz qoyur. EVPN-in sürətli yaxınlaşması ilə birlikdə bərpa müddəti saniyələrdir.
○Resurslardan yaxşı istifadəAparat sürətləndirilməsi üçün mövcud Leaf keçid ASIC çipindən istifadə edin, ötürmə sürətləri Tbps səviyyəsinə çatır.
Mənfi cəhətləri nələrdir?
○ Kompleks konfiqurasiyaHər bir VTEP marşrutlaşdırma, EVPN və digər funksiyaların konfiqurasiyasını tələb edir və ilkin yerləşdirməni vaxt aparan edir. Əməliyyat qrupu BGP və SDN ilə tanış olmalıdır.
○Yüksək avadanlıq tələbləriPaylanmış şlüz: Bütün keçidlər paylanmış şlüzləri dəstəkləmir; Broadcom Trident və ya Tomahawk çipləri tələb olunur. Proqram təminatının tətbiqi (KVM-də OVS kimi) aparat kimi yaxşı performans göstərmir.
○Ardıcıllıq ProblemləriPaylanmış o deməkdir ki, dövlət sinxronizasiyası EVPN-ə əsaslanır. BGP sessiyası dəyişərsə, bu, marşrutlaşdırıcı qara dəliyə səbəb ola bilər.
Tətbiq Ssenarisi: Hipermiqyaslı məlumat mərkəzləri və ya ictimai buludlar üçün mükəmməldir. VMware NSX-T-nin paylanmış marşrutlaşdırıcısı tipik bir nümunədir. Kubernetes ilə birlikdə konteyner şəbəkəsini mükəmməl şəkildə dəstəkləyir.
Mərkəzləşdirilmiş VxLAN Gateway və Paylanmış VxLAN Gateway
İndi kulminasiya nöqtəsinə: hansı daha yaxşıdır? Cavab "bu, asılıdır" dır, lakin biz sizi inandırmaq üçün məlumatları və nümunələri dərindən öyrənməliyik.
Performans baxımından paylanmış sistemlər açıq şəkildə üstündür. Tipik bir məlumat mərkəzi etalonunda (Spirent test avadanlığı əsasında) mərkəzləşdirilmiş şlüzün orta gecikmə müddəti 150μs, paylanmış sisteminki isə cəmi 50μs idi. Keçirmə qabiliyyəti baxımından paylanmış sistemlər asanlıqla xətt sürətinin ötürülməsinə nail ola bilər, çünki onlar Onurğa Yarpağı Bərabər Qiymətli Çox Yollu (ECMP) marşrutlaşdırmadan istifadə edirlər.
Ölçeklenebilirlik başqa bir döyüş meydanıdır. Mərkəzləşdirilmiş şəbəkələr 100-500 qovşağı olan şəbəkələr üçün uyğundur; bu miqyasdan kənarda paylanmış şəbəkələr üstünlük qazanır. Məsələn, Alibaba Cloud-u götürək. Onların VPC (Virtual Şəxsi Bulud) dünya üzrə milyonlarla istifadəçini dəstəkləmək üçün paylanmış VXLAN şlüzlərindən istifadə edir, tək regionda gecikmə müddəti 1 ms-dən azdır. Mərkəzləşdirilmiş yanaşma çoxdan çökmüş olardı.
Bəs xərc? Mərkəzləşdirilmiş həll yalnız bir neçə yüksək səviyyəli şlüz tələb edən daha aşağı ilkin investisiya təklif edir. Paylanmış həll bütün yarpaq qovşaqlarının VXLAN yüklənməsini dəstəkləməsini tələb edir ki, bu da daha yüksək avadanlıq yeniləmə xərclərinə səbəb olur. Bununla belə, Ansible kimi avtomatlaşdırma vasitələri toplu konfiqurasiyanı aktivləşdirdiyi üçün uzunmüddətli perspektivdə paylanmış həll daha az istismar və təmir xərcləri təklif edir.
Təhlükəsizlik və etibarlılıq: Mərkəzləşdirilmiş sistemlər mərkəzləşdirilmiş mühafizəni asanlaşdırır, lakin tək hücum nöqtələri üçün yüksək risk yaradır. Paylanmış sistemlər daha davamlıdır, lakin DDoS hücumlarının qarşısını almaq üçün möhkəm idarəetmə təyyarəsi tələb edir.
Real həyat nümunəsi: Bir e-ticarət şirkəti öz saytını qurmaq üçün mərkəzləşdirilmiş VXLAN-dan istifadə etdi. Pik dövrlərdə şlüz CPU istifadəsi 90%-ə yüksəldi və bu, gecikmə ilə bağlı istifadəçilərin şikayətlərinə səbəb oldu. Paylanmış modelə keçid problemi həll etdi və şirkətə miqyasını asanlıqla ikiqat artırmağa imkan verdi. Əksinə, kiçik bir bank mərkəzləşdirilmiş modeldə israr etdi, çünki uyğunluq auditlərinə üstünlük verdilər və mərkəzləşdirilmiş idarəetməni asanlaşdırdılar.
Ümumiyyətlə, həddindən artıq şəbəkə performansı və miqyası axtarırsınızsa, paylanmış yanaşma getmək üçün yoldur. Büdcəniz məhduddursa və idarəetmə komandanızda təcrübə yoxdursa, mərkəzləşdirilmiş yanaşma daha praktikdir. Gələcəkdə 5G və kənar hesablamanın yüksəlişi ilə paylanmış şəbəkələr daha populyarlaşacaq, lakin mərkəzləşdirilmiş şəbəkələr filialların qarşılıqlı əlaqəsi kimi xüsusi ssenarilərdə hələ də dəyərli olacaq.
Mylinking™ Şəbəkə Paket BrokerləriVxLAN, VLAN, GRE, MPLS Başlıq Soyulmasını dəstəkləyir
Orijinal məlumat paketində soyulmuş və ötürülən çıxış VxLAN, VLAN, GRE, MPLS başlığını dəstəkləyir.
Göndərmə vaxtı: 09 oktyabr 2025-ci il
