Устройство сети в Yandex Cloud

Сеть в Yandex Cloud можно условно разделить на две большие части:

• Физическая сеть — это аппаратная сеть внутри центров обработки данных (ЦОД) и в местах подключения к внешним сетям и интернету. Физическую сеть часто называют термином Underlay.

• Виртуальная сеть — работает поверх физической сетевой инфраструктуры. Сервисы виртуальной сети Virtual Private Cloud (VPC) предоставляют пользователю:

  • IP-связность между облачными ресурсами.
  • Доступ облачных ресурсов к интернету.

  Виртуальную сеть часто называют термином Overlay. В одном каталоге ресурсов может быть создана одна или несколько виртуальных сетей. Виртуальные сети изолированы друг от друга, даже если они находятся в одном каталоге ресурсов.

Ниже приведено краткое описание устройства физической сети и виртуальной сети в Yandex Cloud. Больше информации об устройстве сети можно найти в разделе дополнительные материалы.

Физическая сеть в Yandex CloudФизическая сеть в Yandex Cloud

Транспортная сеть Yandex Cloud состоит из пакетной сети IP/MPLS. Она обеспечивает сетевой транспорт для работы всех сервисов Yandex Cloud.

Виртуальная сеть в Yandex CloudВиртуальная сеть в Yandex Cloud

Виртуальная сеть в Yandex Cloud состоит из набора сетевых функций сервиса Virtual Private Cloud и предоставляет пользователям следующие возможности:

• Организация сетевого взаимодействия между облачными ресурсами.
• Организация сетевого взаимодействия между облачными ресурсами и интернетом.
• Дополнительные сетевые функции по обработке трафика (CloudGate).

Виртуальная сеть в Yandex Cloud построена на основе избранных компонентов проекта OpenContrail, который потом был переименован в Tungsten Fabric.

В архитектуре виртуальной сети Yandex Cloud можно выделить следующие основные компоненты:

VRouterVRouter

VRouter — обработчик сетевого трафика. Работает на каждом физическом сервере Yandex Cloud. Выступает для всех объектов в подсети в виде шлюза по умолчанию (первый IP-адрес в подсети (x.x.x.1)). Обеспечивает обработку сетевого трафика всех виртуальных машин, работающих на сервере. Передача трафика (forwarding) осуществляется в соответствии с таблицей коммутации (flows table), записи в которой программируются с помощью другого компонента виртуальной сети — VRouter-agent. Для передачи трафика через Underlay используется технология туннелирования трафика MPLS over UDP.

VRouter обеспечивает работу функции One-to-one NAT для публичных IP-адресов ВМ.

VRouter обеспечивает работу групп безопасности (SG) для всех виртуальных машин физического сервера, на котором он запущен.

VRouter-agentVRouter-agent

VRouter-agent — вспомогательный компонент для обработки трафика. Работает совместно с VRouter и программирует таблицу коммутации сетевых потоков (flows) на сервере. Таблица коммутации определяет правила передачи трафика для того или иного IP-префикса. VRouter-agent обеспечивает ВМ на сервере работу следующих протоколов и функций:

• Сервис метаданных ВМ, доступный только внутри ВМ по IP-адресу 169.254.169.254.
• Cлужба DNS. Обрабатывает трафик DNS на втором IP-адресе в облачной подсети (x.x.x.2).
• Протокол ICMP.

CloudGateCloudGate

CloudGate — группы сервисных ВМ, которые обеспечивают IP-взаимодействие между физической и виртуальной сетями, а также предоставляют дополнительные сетевые функции:

• NAT-шлюз (NAT-GW).
• Сетевой балансировщик нагрузки (NLB).

Каждая сетевая функция в составе компонента CloudGate работает на отдельной группе сервисных виртуальных машин внутри Yandex Cloud.

Виды сетевого взаимодействияВиды сетевого взаимодействия

Трафик между ВМ в одной зоне доступностиТрафик между ВМ в одной зоне доступности

Трафик от ВМ VM-A1 до ВМ VM-A2 в зоне доступности A будет передаваться по пути:

1. VM-A1 → VRouter на Server-A1.
2. Server-A1 → Server-A2 (внутри зоны доступности A).
3. VRouter на Server-A2 → VM-A2.

Трафик от ВМ в интернет через NAT-шлюзТрафик от ВМ в интернет через NAT-шлюз

Трафик от ВМ VM-A1 в Интернет через NAT-шлюз будет передаваться по пути:

1. VM-A1 → VRouter на Server-A1.
2. Server-A1 → функция NAT-GW компонента CloudGate (по внутренней сети зоны доступности A).
3. NAT-GW → граничное сетевое оборудование зоны доступности A.
4. Граничное сетевое оборудование в зоне доступности A → сетевое оборудования на точке присутствия, где организовано подключение к внешним сетям и интернету.

ОграниченияОграничения

1. Сейчас для организации сетевой связности в виртуальной сети Yandex Cloud можно использовать только протокол IPv4. Протокол IPv6 не поддерживается.
2. Виртуальная сеть в Yandex Cloud работает на третьем уровне модели OSI (L3), поэтому работа сетевых технологий второго уровня модели OSI (L2) сильно ограничена:
   1. Ответы на ARP-запросы от VRouter (шлюза по умолчанию) всегда будут приходить от одного и того же фиксированного MAC-адреса.
   2. Для сетевого взаимодействия используется только Unicast транспорт, Multicast транспорт не поддерживается.
   3. Сетевые протоколы, которые требуют использования одного виртуального IP-адреса (VIP) между ВМ, такие как, HSRP, VRRP, GLBP и подобные не поддерживаются.

Примеры использованияПримеры использования

• Архитектура и защита базового интернет-сервиса
• Маршрутизация через NAT-инстанс
• Настройки DHCP для работы с корпоративным DNS-сервером
• Организация доступа через Cloud Interconnect к облачным сетям, размещенным за NGFW