Por diskuti VXLAN-enirejojn, ni devas unue diskuti VXLAN mem. Rememoru, ke tradiciaj VLAN-oj (Virtualaj Lokaj Retoj) uzas 12-bitajn VLAN-identigilojn por dividi retojn, subtenante ĝis 4096 logikajn retojn. Ĉi tio funkcias bone por malgrandaj retoj, sed en modernaj datumcentroj, kun iliaj miloj da virtualaj maŝinoj, ujoj kaj plurluantaj medioj, VLAN-oj estas nesufiĉaj. VXLAN naskiĝis, difinita de la Interreta Inĝeniera Speciala Grupo (IETF) en RFC 7348. Ĝia celo estas etendi la elsendan domajnon de Tavolo 2 (Eterreto) super Tavolo 3 (IP) retoj uzante UDP-tunelojn.
Simple dirite, VXLAN enkapsuligas Eterretajn kadrojn ene de UDP-pakaĵoj kaj aldonas 24-bitan VXLAN-Retan Identigilon (VNI), teorie subtenante 16 milionojn da virtualaj retoj. Tio estas kvazaŭ doni al ĉiu virtuala reto "identigilon", permesante al ili moviĝi libere sur la fizika reto sen interrompi unu la alian. La kerna komponanto de VXLAN estas la VXLAN-Tunela Finpunkto (VTEP), kiu respondecas pri la enkapsuligo kaj malkapsuligo de pakaĵoj. VTEP povas esti programara (kiel ekzemple Open vSwitch) aŭ aparatara (kiel ekzemple la ASIC-ĉipo sur la ŝaltilo).
Kial VXLAN estas tiel populara? Ĉar ĝi perfekte kongruas kun la bezonoj de nuba komputado kaj SDN (Software-Defined Networking - Programar-Difinita Retigado). En publikaj nuboj kiel AWS kaj Azure, VXLAN ebligas senjuntan etendon de la virtualaj retoj de luantoj. En privataj datencentroj, ĝi subtenas kovrajn retarkitekturojn kiel VMware NSX aŭ Cisco ACI. Imagu datencentron kun miloj da serviloj, ĉiu funkciigante dekojn da VM-oj (Virtualaj Maŝinoj). VXLAN permesas al ĉi tiuj VM-oj percepti sin kiel parton de la sama Tavolo-2 reto, certigante glatan transdonon de ARP-elsendoj kaj DHCP-petoj.
Tamen, VXLAN ne estas panaceo. Funkciigi sur L3-reto postulas L2-al-L3-konverton, kaj jen kie la enirejo eniras. La VXLAN-enirejo konektas la virtualan reton VXLAN kun eksteraj retoj (kiel tradiciaj VLAN-oj aŭ IP-vojigaj retoj), certigante datenfluojn de la virtuala mondo al la reala mondo. La plusenda mekanismo estas la koro kaj animo de la enirejo, determinante kiel pakaĵoj estas prilaboritaj, senditaj kaj distribuitaj.
La plusenda procezo de VXLAN estas kiel delikata baleto, kie ĉiu paŝo de fonto al celloko estas proksime ligita. Ni analizu ĝin paŝon post paŝo.
Unue, pakaĵeto estas sendita de la fonta gastiganto (kiel ekzemple virtuala maŝino). Ĉi tio estas norma Eterreta kadro enhavanta la fontan MAC-adreson, celan MAC-adreson, VLAN-etikedon (se ekzistas), kaj utilan ŝarĝon. Ricevinte ĉi tiun kadron, la fonta VTEP kontrolas la celan MAC-adreson. Se la cela MAC-adreso estas en ĝia MAC-tabelo (akirita per lernado aŭ inundado), ĝi scias al kiu fora VTEP plusendi la pakaĵeton.
La enkapsuliga procezo estas decida: la VTEP aldonas VXLAN-kaplinion (inkluzive de la VNI, flagoj, ktp.), poste eksteran UDP-kaplinion (kun fonta haveno bazita sur haŝo de la interna kadro kaj fiksa cela haveno de 4789), IP-kaplinion (kun la fonta IP-adreso de la loka VTEP kaj la cela IP-adreso de la malproksima VTEP), kaj fine eksteran Eterretan kaplinion. La tuta pakaĵeto nun aperas kiel UDP/IP-pakaĵeto, aspektas kiel normala trafiko, kaj povas esti sendita sur la L3-reto.
En la fizika reto, la pakaĵeto estas plusendita de enkursigilo aŭ ŝaltilo ĝis ĝi atingas la celan VTEP-on. La cela VTEP forigas la eksteran kaplinion, kontrolas la VXLAN-kaplinion por certigi, ke la VNI-kongruas, kaj poste liveras la internan Eterretan kadron al la cela gastiganto. Se la pakaĵeto estas nekonata unidissenda, elsenda aŭ multdissenda (BUM) trafiko, la VTEP replikas la pakaĵeton al ĉiuj koncernaj VTEP-oj uzante inundadon, fidante je multdissendaj grupoj aŭ unidissenda kaplinio-replikado (HER).
La kerno de la plusenda principo estas la apartigo de la stira ebeno kaj la daten-ebeno. La stira ebeno uzas Ethernet VPN (EVPN) aŭ la Inundo-kaj-Lernado-mekanismon por lerni MAC kaj IP-mapojn. EVPN baziĝas sur la BGP-protokolo kaj permesas al VTEP-oj interŝanĝi vojigajn informojn, kiel ekzemple MAC-VRF (Virtuala Vojigo kaj Plusendado) kaj IP-VRF. La daten-ebeno respondecas pri la fakta plusendado, uzante VXLAN-tunelojn por efika dissendo.
Tamen, en faktaj deplojoj, plusenda efikeco rekte influas rendimenton. Tradicia inundado povas facile kaŭzi elsendajn ŝtormojn, precipe en grandaj retoj. Tio kondukas al la bezono de enireja optimumigo: enirejoj ne nur konektas internajn kaj eksterajn retojn, sed ankaŭ agas kiel vic-ARP-agentoj, traktas itinerlikojn kaj certigas la plej mallongajn plusendajn vojojn.
Centraligita VXLAN-Enirejo
Centralizita VXLAN-enirejo, ankaŭ nomata centralizita enirejo aŭ L3-enirejo, estas tipe deplojita ĉe la rando aŭ kerna tavolo de datumcentro. Ĝi funkcias kiel centra nabo, tra kiu ĉiu trans-VNI aŭ trans-subreta trafiko devas pasi.
Principe, centralizita enirejo funkcias kiel la defaŭlta enirejo, provizante Tavolo-3-vojigajn servojn por ĉiuj VXLAN-retoj. Konsideru du VNI-ojn: VNI 10000 (subreto 10.1.1.0/24) kaj VNI 20000 (subreto 10.2.1.0/24). Se VM A en VNI 10000 volas aliri VM B en VNI 20000, la pakaĵeto unue atingas la lokan VTEP. La loka VTEP detektas, ke la cela IP-adreso ne estas sur la loka subreto kaj plusendas ĝin al la centralizita enirejo. La enirejo malkapsuligas la pakaĵeton, faras vojigan decidon, kaj poste rekapsuligas la pakaĵeton en tunelon al la cela VNI.
La avantaĝoj estas evidentaj:
○ Simpla administradoĈiuj agordoj de vojigo estas centralizitaj sur unu aŭ du aparatoj, permesante al funkciigistoj konservi nur kelkajn enirejojn por kovri la tutan reton. Ĉi tiu aliro taŭgas por malgrandaj kaj mezgrandaj datumcentroj aŭ medioj, kiuj deplojas VXLAN por la unua fojo.
○Rimedo-efikaEnirejoj estas tipe alt-efikeca aparataro (kiel ekzemple Cisco Nexus 9000 aŭ Arista 7050) kapabla pritrakti grandegajn kvantojn da trafiko. La stir-ebeno estas centralizita, faciligante integriĝon kun SDN-regiloj kiel ekzemple NSX Manager.
○Forta sekureca kontroloTrafiko devas pasi tra la enirejo, faciligante la efektivigon de ACL-oj (Alirkontrolaj Listoj), fajromuroj kaj NAT. Imagu plurluantan scenaron, kie centralizita enirejo povas facile izoli luantan trafikon.
Sed la mankojn oni ne povas ignori:
○ Ununura punkto de fiaskoSe la enirejo paneas, L3-komunikado tra la tuta reto paraliziĝas. Kvankam VRRP (Virtual Router Redundancy Protocol) povas esti uzata por redundo, ĝi tamen portas riskojn.
○Efikeco-proplempunktoĈiu orient-okcidenta trafiko (komunikado inter serviloj) devas preteriri la enirejon, rezultante en suboptimala vojo. Ekzemple, en 1000-noda areto, se la bendlarĝo de la enirejo estas 100 Gbps, ŝtopiĝo verŝajne okazos dum pinthoroj.
○Malbona skalebloDum la skalo de la reto kreskas, la ŝarĝo de la enirejo pliiĝas eksponente. En real-monda ekzemplo, mi vidis financan datumcentron uzantan centralizitan enirejon. Komence, ĝi funkciis glate, sed post kiam la nombro de virtualaj maŝinoj duobliĝis, la latenteco eksplodis de mikrosekundoj al milisekundoj.
Aplika Scenaro: Taŭga por medioj postulantaj altan simplecon de administrado, kiel ekzemple entreprenaj privataj nuboj aŭ testaj retoj. La ACI-arkitekturo de Cisco ofte uzas centralizitan modelon, kombinitan kun foli-spina topologio, por certigi efikan funkciadon de kernaj enirejoj.
Distribuita VXLAN-Enirejo
Distribuita VXLAN-enirejo, ankaŭ konata kiel distribuita enirejo aŭ ajnrolantaro-enirejo, malŝarĝas enirejfunkciecon al ĉiu foliŝaltilo aŭ hipervizoro VTEP. Ĉiu VTEP funkcias kiel loka enirejo, pritraktante L3-plusendadon por la loka subreto.
La principo estas pli fleksebla: ĉiu VTEP estas agordita kun la sama virtuala IP-adreso (VIP) kiel la defaŭlta enirejo, uzante la mekanismon Anycast. Trans-subretaj pakaĵoj senditaj de virtualaj maŝinoj estas rekte senditaj sur la lokan VTEP, sen devi trairi centran punkton. EVPN estas aparte utila ĉi tie: per BGP EVPN, la VTEP lernas la itinerojn de malproksimaj gastigantoj kaj uzas MAC/IP-ligadon por eviti ARP-inundadon.
Ekzemple, VM A (10.1.1.10) volas aliri VM B (10.2.1.10). La defaŭlta enirejo de VM A estas la VIP de la loka VTEP (10.1.1.1). La loka VTEP direktas sin al la cela subreto, enkapsuligas la VXLAN-pakaĵeton, kaj sendas ĝin rekte al la VTEP de VM B. Ĉi tiu procezo minimumigas la vojon kaj latentecon.
Elstaraj Avantaĝoj:
○ Alta skaleblecoDistribui enirejajn funkciojn al ĉiu nodo pligrandigas la retgrandecon, kio utilas por pli grandaj retoj. Grandaj nubprovizantoj kiel Google Cloud uzas similan mekanismon por subteni milionojn da virtualaj maŝinoj.
○Supera efikecoOrient-okcidenta trafiko estas prilaborata loke por eviti proplempunktojn. Testdatumoj montras, ke la trairo povas pliiĝi je 30%-50% en distribuita reĝimo.
○Rapida erarreakiroUnuopa VTEP-fiasko influas nur la lokan gastiganton, lasante aliajn nodojn netuŝitaj. Kombinite kun la rapida konverĝo de EVPN, la resaniĝtempo estas en sekundoj.
○Bona uzo de rimedojUtiligu la ekzistantan Leaf-ŝaltilan ASIC-peceton por aparatara akcelo, kun plusendaj rapidoj atingantaj la nivelon de Tbps.
Kiuj estas la malavantaĝoj?
○ Kompleksa konfiguracioĈiu VTEP postulas agordon de vojigo, EVPN, kaj aliaj funkcioj, kio faras la komencan deplojon tempopostula. La operacia teamo devas koni BGP kaj SDN.
○Altaj aparatarpostulojDistribuita enirejo: Ne ĉiuj ŝaltiloj subtenas distribuitajn enirejojn; Broadcom Trident aŭ Tomahawk-blatoj estas necesaj. Programaraj efektivigoj (kiel OVS sur KVM) ne funkcias tiel bone kiel aparataro.
○Konsistencaj DefiojDistribuita signifas, ke stata sinkronigado dependas de EVPN. Se la BGP-sesio fluktuas, ĝi povas kaŭzi nigran truon de vojigo.
Aplika Scenaro: Perfekta por hiperskalaj datumcentroj aŭ publikaj nuboj. La distribuita enkursigilo de VMware NSX-T estas tipa ekzemplo. Kombinita kun Kubernetes, ĝi senprobleme subtenas kontenerajn retojn.
Centralizita VxLAN-Enirejo kontraŭ Distribuita VxLAN-Enirejo
Nun al la kulmino: kiu estas pli bona? La respondo estas "ĝi dependas", sed ni devas profunde esplori la datumojn kaj kazesplorojn por konvinki vin.
El la perspektivo de rendimento, distribuitaj sistemoj klare superas la atendojn. En tipa datumcentra komparnormo (bazita sur Spirent-testekipaĵo), la averaĝa latenteco de centralizita enirejo estis 150μs, dum tiu de distribuita sistemo estis nur 50μs. Rilate al trairo, distribuitaj sistemoj povas facile atingi lini-rapidecan plusendadon ĉar ili utiligas Spine-Leaf Equal Cost Multi-Path (ECMP) vojigon.
Skalebleco estas alia batalkampo. Centralizitaj retoj taŭgas por retoj kun 100-500 nodoj; preter ĉi tiu skalo, distribuitaj retoj akiras la superecon. Prenu Alibaba Cloud, ekzemple. Ilia VPC (Virtuala Privata Nubo) uzas distribuitajn VXLAN-enirejojn por subteni milionojn da uzantoj tutmonde, kun unu-regiona latenteco sub 1ms. Centralizita aliro jam delonge kolapsintus.
Kio pri kosto? Centralizita solvo ofertas pli malaltan komencan investon, postulante nur kelkajn altkvalitajn enirejojn. Distribuita solvo postulas, ke ĉiuj foliaj nodoj subtenu VXLAN-malŝarĝon, kio kondukas al pli altaj kostoj por ĝisdatigo de aparataro. Tamen, longtempe, distribuita solvo ofertas pli malaltajn kostojn de funkciigo kaj bontenado, ĉar aŭtomatigaj iloj kiel Ansible ebligas agordon per aroj.
Sekureco kaj fidindeco: Centralizitaj sistemoj faciligas centralizitan protekton sed prezentas altan riskon de unuopaj atakpunktoj. Distribuitaj sistemoj estas pli rezistemaj sed postulas fortikan kontrolplanon por malhelpi DDoS-atakojn.
Real-monda kazesploro: retkomerca kompanio uzis centralizitan VXLAN por konstrui sian retejon. Dum pintaj periodoj, la CPU-uzado de la enirejo altiĝis ĝis 90%, kio kaŭzis plendojn de uzantoj pri latenteco. Ŝanĝo al distribuita modelo solvis la problemon, permesante al la kompanio facile duobligi sian skalon. Male, malgranda banko insistis pri centralizita modelo ĉar ili prioritatigis plenumajn reviziojn kaj trovis centralizitan administradon pli facila.
Ĝenerale, se vi serĉas ekstreman ret-rendimenton kaj skalon, distribuita aliro estas la ĝusta vojo. Se via buĝeto estas limigita kaj via administra teamo mankas sperton, centralizita aliro estas pli praktika. Estonte, kun la kresko de 5G kaj randa komputado, distribuitaj retoj fariĝos pli popularaj, sed centralizitaj retoj ankoraŭ estos valoraj en specifaj scenaroj, kiel ekzemple interkonekto de filioj.
Mylinking™ Retaj Pakaĵaj Perantojsubteno VxLAN, VLAN, GRE, MPLS-kap-forigo
Subtenis la VxLAN, VLAN, GRE, MPLS-kapliniojn forigitajn en la originala datenpakaĵo kaj plusenditajn eligojn.
Afiŝtempo: 9-a de oktobro 2025
