Norėdami aptarti VXLAN šliuzus, pirmiausia turime aptarti patį VXLAN. Prisiminkime, kad tradiciniai VLAN (virtualūs vietiniai tinklai) naudoja 12 bitų VLAN ID tinklams padalinti, palaikydami iki 4096 loginių tinklų. Tai puikiai veikia mažuose tinkluose, tačiau šiuolaikiniuose duomenų centruose, kuriuose yra tūkstančiai virtualių mašinų, konteinerių ir daugiafunkcinių aplinkų, VLAN nepakanka. VXLAN gimė, jį apibrėžė Interneto inžinerijos darbo grupė (IETF) RFC 7348. Jo tikslas – išplėsti 2 sluoksnio (Ethernet) transliavimo domeną per 3 sluoksnio (IP) tinklus naudojant UDP tunelius.
Paprastai tariant, VXLAN įkapsuliuoja Ethernet kadrus UDP paketuose ir prideda 24 bitų VXLAN tinklo identifikatorių (VNI), teoriškai palaikydamas 16 milijonų virtualių tinklų. Tai tarsi kiekvienam virtualiam tinklui suteikiama „tapatybės kortelė“, leidžianti jiems laisvai judėti fiziniame tinkle netrukdant vienas kitam. Pagrindinis VXLAN komponentas yra VXLAN tunelio galinis taškas (VTEP), atsakingas už paketų įkapsuliavimą ir iškapsuliavimą. VTEP gali būti programinė įranga (pvz., „Open vSwitch“) arba aparatinė įranga (pvz., ASIC lustas komutatoriuje).
Kodėl VXLAN toks populiarus? Nes jis puikiai atitinka debesų kompiuterijos ir SDN (programinės įrangos apibrėžtų tinklų) poreikius. Viešuosiuose debesyse, tokiuose kaip AWS ir Azure, VXLAN leidžia sklandžiai išplėsti nuomininkų virtualius tinklus. Privačiuose duomenų centruose jis palaiko perdangos tinklo architektūras, tokias kaip VMware NSX arba Cisco ACI. Įsivaizduokite duomenų centrą su tūkstančiais serverių, kurių kiekviename veikia dešimtys virtualių mašinų (VM). VXLAN leidžia šioms VM suvokti save kaip to paties 2 lygio tinklo dalį, užtikrinant sklandų ARP transliacijų ir DHCP užklausų perdavimą.
Tačiau VXLAN nėra panacėja. Veikimas L3 tinkle reikalauja L2 konvertavimo į L3, ir čia praverčia šliuzas. VXLAN šliuzas jungia virtualų VXLAN tinklą su išoriniais tinklais (pvz., tradiciniais VLAN arba IP maršrutizavimo tinklais), užtikrindamas duomenų srautus iš virtualaus pasaulio į realų pasaulį. Persiuntimo mechanizmas yra šliuzo širdis ir siela, nustatanti, kaip paketai apdorojami, nukreipiami ir paskirstomi.
VXLAN persiuntimo procesas yra tarsi subtilus baletas, kuriame kiekvienas žingsnis nuo šaltinio iki paskirties vietos yra glaudžiai susijęs. Panagrinėkime jį žingsnis po žingsnio.
Pirmiausia iš šaltinio mazgo (pvz., virtualios mašinos) siunčiamas paketas. Tai standartinis Ethernet kadras, kuriame yra šaltinio MAC adresas, paskirties MAC adresas, VLAN žymė (jei yra) ir naudingoji apkrova. Gavęs šį kadrą, šaltinio VTEP patikrina paskirties MAC adresą. Jei paskirties MAC adresas yra jo MAC lentelėje (gautas mokymosi arba perkrovimo būdu), jis žino, kuriam nuotoliniam VTEP persiųsti paketą.
Inkapsuliavimo procesas yra labai svarbus: VTEP prideda VXLAN antraštę (įskaitant VNI, vėliavėles ir pan.), tada išorinę UDP antraštę (su šaltinio prievadu, pagrįstu vidinio kadro maišos funkcija, ir fiksuotu paskirties prievadu – 4789), IP antraštę (su vietinio VTEP šaltinio IP adresu ir nuotolinio VTEP paskirties IP adresu) ir galiausiai išorinę Ethernet antraštę. Visas paketas dabar rodomas kaip UDP/IP paketas, atrodo kaip įprastas srautas ir gali būti nukreipiamas L3 tinkle.
Fiziniame tinkle paketą persiunčia maršrutizatorius arba komutatorius, kol jis pasiekia paskirties VTEP. Paskirties VTEP pašalina išorinę antraštę, patikrina VXLAN antraštę, kad įsitikintų, jog VNI sutampa, ir tada perduoda vidinį Ethernet kadrą paskirties pagrindiniam kompiuteriui. Jei paketas yra nežinomas vienaadresio, transliavimo arba daugiaadresio perdavimo (BUM) srautas, VTEP replikuoja paketą visiems atitinkamiems VTEP, naudodamas perteklių, remdamasis daugiaadresio perdavimo grupėmis arba vienaadresio antraštės replikacija (HER).
Peradresavimo principo esmė yra valdymo plokštumos ir duomenų plokštumos atskyrimas. Valdymo plokštuma naudoja Ethernet VPN (EVPN) arba „Flood and Learn“ mechanizmą, kad išmoktų MAC ir IP adresų susiejimus. EVPN yra pagrįstas BGP protokolu ir leidžia VTEP keistis maršruto informacija, pvz., MAC-VRF (virtualus maršrutizavimas ir persiuntimas) ir IP-VRF. Duomenų plokštuma yra atsakinga už faktinį persiuntimą, naudojant VXLAN tunelius efektyviam perdavimui.
Tačiau realiame diegime persiuntimo efektyvumas tiesiogiai veikia našumą. Tradiciniai perkrovimai gali lengvai sukelti transliavimo audras, ypač dideliuose tinkluose. Dėl to reikia optimizuoti šliuzus: šliuzai ne tik jungia vidinius ir išorinius tinklus, bet ir veikia kaip ARP tarpiniai agentai, tvarko maršrutų nutekėjimus ir užtikrina trumpiausius persiuntimo kelius.
Centralizuotas VXLAN šliuzas
Centralizuotas VXLAN šliuzas, dar vadinamas centralizuotais šliuzais arba L3 šliuzais, paprastai diegiamas duomenų centro kraštiniame arba pagrindiniame sluoksnyje. Jis veikia kaip centrinis mazgas, per kurį turi praeiti visas srautas tarp VNI arba tarp potinklių.
Iš principo centralizuotas šliuzas veikia kaip numatytasis šliuzas, teikiantis 3 lygio maršrutizavimo paslaugas visiems VXLAN tinklams. Panagrinėkime du VNI: VNI 10000 (potinklis 10.1.1.0/24) ir VNI 20000 (potinklis 10.2.1.0/24). Jei VM A, esanti VNI 10000, nori pasiekti VM B, esančią VNI 20000, paketas pirmiausia pasiekia vietinį VTEP. Vietinis VTEP aptinka, kad paskirties IP adreso nėra vietiniame potinklyje, ir persiunčia jį į centralizuotą šliuzą. Šliuzas dekapsuliuoja paketą, priima maršruto parinkimo sprendimą ir tada vėl įkapsuliuoja paketą į tunelį, vedantį į paskirties VNI.
Privalumai akivaizdūs:
○ Paprastas valdymasVisos maršrutizavimo konfigūracijos yra centralizuotos viename ar dviejuose įrenginiuose, todėl operatoriai gali palaikyti tik kelis šliuzus, kad aprėptų visą tinklą. Šis metodas tinka mažiems ir vidutinio dydžio duomenų centrams arba aplinkoms, kuriose VXLAN diegiamas pirmą kartą.
○Efektyvus išteklių naudojimasŠliuzai paprastai yra didelio našumo aparatinė įranga (pvz., „Cisco Nexus 9000“ arba „Arista 7050“), galinti apdoroti didžiulius srautus. Valdymo plokštuma yra centralizuota, todėl juos lengva integruoti su SDN valdikliais, tokiais kaip „NSX Manager“.
○Griežta saugumo kontrolėSrautas turi praeiti per šliuzą, o tai palengvina ACL (prieigos kontrolės sąrašų), užkardų ir NAT įdiegimą. Įsivaizduokite kelių nuomininkų scenarijų, kuriame centralizuotas šliuzas gali lengvai izoliuoti nuomininkų srautą.
Tačiau negalima ignoruoti ir trūkumų:
○ Vieno taško gedimasJei šliuzas sugenda, L3 ryšys visame tinkle yra paralyžiuotas. Nors VRRP (virtualaus maršrutizatoriaus perteklinio ryšio protokolas) gali būti naudojamas perteklinei saugai užtikrinti, jis vis tiek kelia pavojų.
○Našumo kliūtisVisas rytų-vakarų krypties srautas (ryšys tarp serverių) turi apeiti šliuzą, todėl kelias nėra optimalus. Pavyzdžiui, 1000 mazgų klasteryje, jei šliuzo pralaidumas yra 100 Gbps, piko valandomis greičiausiai susidarys perkrova.
○Prastas mastelio keitimasDidėjant tinklo mastui, šliuzo apkrova didėja eksponentiškai. Kaip realaus pasaulio pavyzdį mačiau finansinį duomenų centrą, naudojantį centralizuotus šliuzus. Iš pradžių viskas veikė sklandžiai, tačiau padvigubėjus virtualių mašinų skaičiui, delsa išaugo nuo mikrosekundžių iki milisekundžių.
Taikymo scenarijus: Tinka aplinkoms, kurioms reikalingas didelis valdymo paprastumas, pvz., įmonių privatiems debesims arba testavimo tinklams. „Cisco“ ACI architektūra dažnai naudoja centralizuotą modelį kartu su lapų-stuburo topologija, siekiant užtikrinti efektyvų pagrindinių šliuzų veikimą.
Paskirstytas VXLAN šliuzas
Paskirstytasis VXLAN šliuzas, dar žinomas kaip paskirstytasis šliuzas arba „anycast“ šliuzas, perkelia šliuzo funkcijas į kiekvieną lapų komutatorių arba hipervizorių VTEP. Kiekvienas VTEP veikia kaip vietinis šliuzas, tvarkantis L3 peradresavimą vietiniam potinkliui.
Principas yra lankstesnis: kiekvienas VTEP konfigūruojamas su tuo pačiu virtualiu IP adresu (VIP) kaip ir numatytasis šliuzas, naudojant „Anycast“ mechanizmą. VM siunčiami tarptinkliniai paketai nukreipiami tiesiai į vietinį VTEP, nereikia eiti per centrinį tašką. EVPN čia yra ypač naudingas: per BGP EVPN VTEP sužino nuotolinių kompiuterių maršrutus ir naudoja MAC/IP susiejimą, kad išvengtų ARP perpildymo.
Pavyzdžiui, VM A (10.1.1.10) nori pasiekti VM B (10.2.1.10). VM A numatytasis šliuzas yra vietinio VTEP (10.1.1.1) VIP. Vietinis VTEP nukreipia į paskirties potinklį, įkapsuliuoja VXLAN paketą ir siunčia jį tiesiai į VM B VTEP. Šis procesas sumažina kelią ir delsą.
Išskirtiniai privalumai:
○ Didelis mastelio keitimasŠliuzo funkcijų paskirstymas kiekvienam mazgui padidina tinklo dydį, o tai naudinga didesniems tinklams. Dideli debesijos paslaugų teikėjai, tokie kaip „Google Cloud“, naudoja panašų mechanizmą milijonams virtualių mašinų palaikyti.
○Puikus našumasRytų–vakarų krypties srautas apdorojamas vietoje, siekiant išvengti kliūčių. Bandymų duomenys rodo, kad paskirstytuoju režimu pralaidumas gali padidėti 30–50 %.
○Greitas gedimų atkūrimasVienas VTEP gedimas paveikia tik vietinį pagrindinį kompiuterį, o kiti mazgai nepaveikiami. Dėl greito EVPN konvergavimo atkūrimo laikas yra vos kelios sekundės.
○Geras išteklių panaudojimasNaudokite esamą „Leaf“ komutatoriaus ASIC lustą aparatinei įrangai spartinti, kai persiuntimo greitis siekia Tbps lygį.
Kokie trūkumai?
○ Sudėtinga konfigūracijaKiekvienam VTEP reikia sukonfigūruoti maršrutizavimą, EVPN ir kitas funkcijas, todėl pradinis diegimas užima daug laiko. Operacijų komanda turi būti susipažinusi su BGP ir SDN.
○Dideli aparatinės įrangos reikalavimaiPaskirstytasis šliuzas: Ne visi komutatoriai palaiko paskirstytuosius šliuzus; reikalingi „Broadcom Trident“ arba „Tomahawk“ lustai. Programinės įrangos diegimas (pvz., OVS KVM sistemoje) neveikia taip gerai, kaip aparatinė įranga.
○Nuoseklumo iššūkiaiPaskirstytas reiškia, kad būsenos sinchronizavimas priklauso nuo EVPN. Jei BGP sesija svyruoja, gali atsirasti maršruto parinkimo juodoji skylė.
Taikymo scenarijus: Puikiai tinka hiperskalės duomenų centrams arba viešiesiems debesims. Tipiškas pavyzdys – „VMware NSX-T“ paskirstytas maršrutizatorius. Kartu su „Kubernetes“ jis sklandžiai palaiko konteinerių tinklus.
Centralizuotas VxLAN šliuzas ir paskirstytas VxLAN šliuzas
O dabar apie kulminaciją: kuris geresnis? Atsakymas yra „priklauso nuo situacijos“, bet norėdami jus įtikinti, turime gilintis į duomenis ir atvejų tyrimus.
Našumo požiūriu, paskirstytos sistemos akivaizdžiai pranoksta kitus. Tipiškame duomenų centro etaloniniame teste (remiantis „Spirent“ bandymų įranga) vidutinė centralizuoto šliuzo delsa buvo 150 μs, o paskirstytos sistemos – tik 50 μs. Kalbant apie pralaidumą, paskirstytos sistemos gali lengvai pasiekti linijinio greičio persiuntimą, nes jos naudoja „Spine-Leaf“ vienodos kainos kelių maršrutų parinkimą (ECMP).
Mastelio keitimas yra dar vienas mūšio laukas. Centralizuoti tinklai tinka tinklams su 100–500 mazgų; peržengus šį mastą, paskirstyti tinklai įgyja pranašumą. Pavyzdžiui, „Alibaba Cloud“. Jų VPC (virtualus privatus debesis) naudoja paskirstytus VXLAN šliuzus, kad aptarnautų milijonus vartotojų visame pasaulyje, o vieno regiono delsa yra mažesnė nei 1 ms. Centralizuotas požiūris jau seniai būtų žlugęs.
O kaip dėl kainos? Centralizuotas sprendimas siūlo mažesnes pradines investicijas, nes reikia tik kelių aukštos klasės šliuzų. Paskirstytas sprendimas reikalauja, kad visi lapų mazgai palaikytų VXLAN apkrovos mažinimą, todėl padidėja aparatinės įrangos atnaujinimo išlaidos. Tačiau ilgainiui paskirstytas sprendimas siūlo mažesnes eksploatavimo ir priežiūros išlaidas, nes automatizavimo įrankiai, tokie kaip „Ansible“, leidžia konfigūruoti paketiniu būdu.
Saugumas ir patikimumas: Centralizuotos sistemos palengvina centralizuotą apsaugą, tačiau kelia didelę pavienių atakų riziką. Paskirstytos sistemos yra atsparesnės, tačiau joms reikalinga patikima valdymo plokštuma, kad būtų išvengta DDoS atakų.
Realaus atvejo analizė: el. prekybos įmonė savo svetainei kurti naudojo centralizuotą VXLAN. Piko metu šliuzo procesoriaus apkrovimas išaugdavo iki 90 %, todėl vartotojai skundėsi delsa. Perėjimas prie paskirstyto modelio išsprendė problemą ir leido įmonei lengvai padvigubinti savo veiklos mastą. Priešingai, mažas bankas reikalavo centralizuoto modelio, nes teikė pirmenybę atitikties auditams ir manė, kad centralizuotas valdymas yra lengvesnis.
Apskritai, jei ieškote itin didelio tinklo našumo ir masto, paskirstytas metodas yra tinkamas pasirinkimas. Jei jūsų biudžetas ribotas, o valdymo komandai trūksta patirties, centralizuotas metodas yra praktiškesnis. Ateityje, populiarėjant 5G ir periferiniams skaičiavimams, paskirstyti tinklai taps populiaresni, tačiau centralizuoti tinklai vis tiek bus vertingi specifiniuose scenarijuose, pavyzdžiui, sujungiant filialus.
„Mylinking™“ tinklo paketų tarpininkaiPalaiko VxLAN, VLAN, GRE, MPLS antraštės nuėmimą
Palaikoma VxLAN, VLAN, GRE, MPLS antraštė, pašalinta iš originalaus duomenų paketo ir persiųstos išvesties.
Įrašo laikas: 2025-10-09
