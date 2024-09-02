VMware Yandex Cloud

Виртуальный коммутатор

Виртуальный коммутатор работает в ядре каждого гипервизора и предоставляет виртуальные порты для подключения виртуальных машин к сетевой инфраструктуре через физические интерфейсы хоста. Трафик между портами в одном сабнете не маршрутизируется. Поддерживаются multicast (L2/L3) и протоколы VRRP/HSRP vRouter (виртуальный маршрутизатор) работает в ядре гипервизора каждого хоста и выполняет схожие функции, используя инкапсуляцию MPLSoverUDP. Он обеспечивает маршрутизацию между всеми виртуальными портами, даже если они находятся в одном сабнете. Но vRouter не поддерживает протоколы VRRP/HSRP и multicast (L2/L3)

Распределённый маршрутизатор внутри SDN‑фабрик

Все хосты фабрики NSX‑T сначала инициализируются как транспортные ноды, на которые устанавливаются программные компоненты для настройки и мониторинга. Для распределённой маршрутизации трафика используется логический маршрутизатор (LR), состоящий из двух компонентов: Tier1‑GW: отвечает за тенантную составляющую

Tier0‑GW: выполняет межтенантные функции (провайдерская часть) Каждый из компонентов Tier1‑GW и Tier0‑GW состоит из двух частей: DR (distributed router) — распределённый маршрутизатор, работающий на всех транспортных нодах внутри транспортной зоны

SR (service router) — сервисная часть, которая располагается только на Edge‑нодах (виртуальных или bare metal) выбранной транспортной зоны Аналог DR‑компоненты Tier0‑GW/Tier1‑GW в NSX‑T — это маршрутизирующий модуль vRouter, который работает на всех хостах облака. Пограничные шлюзы реализованы в виде выделенных виртуальных машин, которые не содержат распределённого маршрутизатора. Таким образом, архитектура SDN Yandex Cloud больше напоминает архитектуру NSX‑v for vSphere

Сервисные ноды

Внутри виртуальной машины NSX‑T Edge находится собственный виртуальный коммутатор с аплинками и внутренними портами. Edge‑нода выполняет не только маршрутизацию трафика, но и сервисные функции: NAT, VPN, FireWall, базовую балансировку нагрузки и DHCP‑сервера. NAT в NSX‑T реализуется внутри SR‑компоненты Tier0‑GW или Tier1‑GW на Edge‑ноде (виртуальной машине или bare metal) Пограничные ноды Cloud Gateway — это выделенные виртуальные машины без встроенного виртуального коммутатора. NAT реализуется непосредственно в гипервизоре хоста, где размещена виртуальная машина с присвоенным «белым» IP‑адресом. Внутри хоста работает распределённый NAT по схеме 1‑to‑1. Кроме того, NAT можно централизовать, развернув сервис egress NAT GW (для доступа из облака) или выделенную пользовательскую виртуальную машину с функцией NAT

Балансировка нагрузки

В NSX‑T для балансировки нагрузки можно использовать либо встроенный L7‑балансировщик, либо VMware NSX Advanced Load Balancer (AVI) В Yandex Cloud можно использовать сервис сетевой балансировки Yandex Network Load Balancer и сервис балансировки на уровне приложения Yandex Application Load Balancer

Безопасность и микросегментация

В NSX‑T таких встроенных инструментов нет. Для решения задач микросегментации и защиты от внутренних атак в NSX‑T существует набор средств NSX‑T Security. Он включает NSX‑T DFW, который обеспечивает фильтрацию на уровне приложений (ALG) и L7, а также распределённую систему обнаружения вторжений (distributed IDS) и средства предотвращения вредоносного ПО (Malware prevention) В Yandex Cloud есть средства защиты от DDoS‑атак. Security Group обеспечивает фильтрацию трафика L4 stateful на уровне гипервизора. У каждого сетевого интерфейса виртуальной машины в облаке может быть свой L4‑firewall. Аналогов Distributed IDS и Malware Protection сейчас нет, но есть возможность подключения дополнительного ПО из маркетплейса

Сетевая диагностика

В NSX‑T можно использовать встроенный инструмент Traceflow, который не только проверяет целостность виртуальных каналов, но и проводит комплексную диагностику data plane с помощью кастомного сетевого пакета Диагностика сетевых проблем в облаке остаётся на стороне команды Yandex Cloud, которая использует собственные разработки. Для оперативной проверки настроек клиенты могут воспользоваться картой облачной сети, которая отображает связность объектов внутри облака

Мультитенантность и разделение ответственности