在已往,數(shù)據(jù)中心內(nèi)流量轉(zhuǎn)發(fā)很簡樸。某個(gè)IP會(huì)和別的的IP通信。IP地點(diǎn)屬于結(jié)點(diǎn)主機(jī)或虛擬機(jī),結(jié)點(diǎn)之間相互互換信息。IP地點(diǎn)間的通道就是數(shù)據(jù)中心互換機(jī),以及路由表和橋接表中的條目。
假如工程師需要辦理兩個(gè)IP結(jié)點(diǎn)之間機(jī)能低下或奇怪的現(xiàn)象,好的出發(fā)點(diǎn)是通過查抄這些表中構(gòu)建的兩者間路徑。等開銷多路徑和多機(jī)鏈路聚合增加了進(jìn)程的巨大性,但總的來說,運(yùn)營商可以找出任何數(shù)據(jù)中心會(huì)話顛末簡直切路徑。
端點(diǎn)之間的流量很是簡樸。網(wǎng)絡(luò)地點(diǎn)轉(zhuǎn)換、加密或地道都很少呈現(xiàn)。這類成果往往位于數(shù)據(jù)中心界線,與可信的界線外設(shè)備舉辦通信。需求簡樸的時(shí)代,業(yè)務(wù)也很簡樸。
現(xiàn)代數(shù)據(jù)中心
跟著業(yè)務(wù)需求的改變,現(xiàn)代數(shù)據(jù)中心看起來有所差異。曾經(jīng)相對簡樸的數(shù)據(jù)中心此刻已成為應(yīng)用措施運(yùn)行的統(tǒng)一基本架構(gòu)平臺。數(shù)據(jù)中心作為一個(gè)整體運(yùn)行;它成為了應(yīng)用措施交付的引擎。
越來越多基本架構(gòu)對開拓人員和應(yīng)用措施是透明的。抱負(fù)的現(xiàn)代基本設(shè)施是開拓人員在其上部署應(yīng)用措施的抽象。資源池是按需分派的,開拓人員不消擔(dān)憂基本設(shè)施。相反基本設(shè)施需要存眷應(yīng)用措施。
現(xiàn)代數(shù)據(jù)中心同樣還認(rèn)真以漫衍式處理懲罰方法的安詳性,團(tuán)結(jié)協(xié)更換態(tài)增加與移除事情負(fù)載。流量不再被推送到中央物理防火墻來實(shí)施安詳計(jì)策。相反,構(gòu)建中央安詳計(jì)策,并將計(jì)策打點(diǎn)器安裝到受計(jì)策影響的部門主機(jī)、虛擬機(jī)或容器上。沒有基本設(shè)施查抄點(diǎn),也沒有某些神秘的路由要求來加強(qiáng)此類計(jì)策。
在更高層,我們一直在描寫私有云架構(gòu)。以這種方法抽象物理基本設(shè)施,為更簡樸的與公有云協(xié)作。因此,殽雜云架構(gòu)越來越受接待,期望公有云的事情負(fù)載與私有云一樣擁有溝通的安詳性和毗連性。
層級
跟著殽雜云架組成為新的尺度,需要著重存眷這些趨勢對網(wǎng)絡(luò)的影響。數(shù)據(jù)中心不再像一個(gè)IP地點(diǎn)與另一個(gè)IP地點(diǎn)通信那樣簡樸,路由表和橋接表在呈現(xiàn)妨礙時(shí)沒有太大的浸染。
提供現(xiàn)代數(shù)據(jù)中心機(jī)動(dòng)性的基本設(shè)施機(jī)制依賴于巨大的網(wǎng)絡(luò)。敦促這種巨大性的是事情負(fù)載斷絕的需求,處事計(jì)策實(shí)施與安詳需求。因此,現(xiàn)代數(shù)據(jù)中心看起來更像一個(gè)多層蛋糕,而不是大量IP地點(diǎn)。
在蛋糕的底部是底層網(wǎng)絡(luò)。這個(gè)網(wǎng)絡(luò)是所有其他網(wǎng)絡(luò)的基本。同樣也是普通網(wǎng)絡(luò)工程師看起來最普遍的網(wǎng)絡(luò)。當(dāng)他們查察路由和橋接表,就便是看到了底層網(wǎng)絡(luò)——數(shù)據(jù)中心的基本。
然而,底層自己不能提供殽雜云所需的一切。一個(gè)日益增長的需求是斷絕,稱為多租戶。租戶可以是應(yīng)用措施、業(yè)務(wù)單元或客戶。
租戶的流量通過虛擬可擴(kuò)展LAN(VXLAN)封裝技能與其他流量斷絕。來自某個(gè)段的流量被封裝在VXLAN包中,在該包裝器通過網(wǎng)絡(luò)遞送,并在另一側(cè)被解封裝。 VXLAN是第二層——包圍在我們的基本底層之上。
VXLAN不只提供流量斷絕,并且也可以用于路由通過網(wǎng)絡(luò)上的特定路徑的流量。假設(shè)數(shù)據(jù)中心需要通過特定防火墻和負(fù)載平衡器轉(zhuǎn)發(fā)流量。在現(xiàn)代網(wǎng)絡(luò)中,防火墻和負(fù)載均衡器大概作為虛擬化網(wǎng)絡(luò)成果存在,大概駐留在數(shù)據(jù)中心的任那里所。要將流量準(zhǔn)確地路由到需要去的處所,VXLAN封裝可用于將流量流從設(shè)備到設(shè)備舉辦地道傳輸,直到遍歷所有必須的設(shè)備。
防火墻法則在我們的疊加層和底層蛋糕中形成另一層。中央計(jì)策打點(diǎn)器給每一臺主機(jī)寫入防火墻法則。每個(gè)主機(jī)最終都有本身的一組法則集,用于節(jié)制收支設(shè)備的轉(zhuǎn)發(fā)。這被稱為微分段,這是確保可擴(kuò)展數(shù)據(jù)中心安詳?shù)膶?shí)用要領(lǐng)。
增加網(wǎng)絡(luò)巨大性的另一個(gè)問題是容器。容器網(wǎng)絡(luò)是一種新興的技能,由定名空間、署理處事器和網(wǎng)絡(luò)地點(diǎn)轉(zhuǎn)換來節(jié)制,以使容器可以或許彼此通信以及與外部負(fù)載(另一層)通信。
運(yùn)營商的煩惱
這種巨大性對網(wǎng)絡(luò)運(yùn)營商是潛在的問題。大大都網(wǎng)絡(luò)問題都與毗連或機(jī)能有關(guān)。兩個(gè)端點(diǎn)理論上可以毗連,但不能是一種問題。而兩個(gè)端點(diǎn)能毗連,但不能按預(yù)期快速通信,是差異的問題。
利用數(shù)據(jù)包緩步要領(lǐng)解除毗連問題。從一個(gè)網(wǎng)絡(luò)設(shè)備到另一個(gè)網(wǎng)絡(luò)設(shè)備,遵循數(shù)據(jù)包達(dá)到其目標(biāo)地所經(jīng)的路徑。當(dāng)實(shí)際IP端點(diǎn)(底層)是已知的時(shí),功效是可以直接判定的。
在現(xiàn)代數(shù)據(jù)中心中,底層用于傳輸VXLAN或其他包圍包。最重要的是,我們添加了防火墻法則,然后也大概添加網(wǎng)絡(luò)地點(diǎn)轉(zhuǎn)換或署理處事;數(shù)據(jù)包行走變得越發(fā)堅(jiān)苦并布滿細(xì)微不同。為診斷毗連問題,運(yùn)營商需要知道分組容器、虛擬機(jī)或裸機(jī)主機(jī)的源和目標(biāo)地——打點(diǎn)該分組的防火墻計(jì)策、分組封裝與要遵循的處事鏈。
