Yandex Cloud глазами инженера VMware
Рассказываем о сходствах и различиях Yandex Cloud и VMware Cloud Director, их ресурсных и организационных моделях, а также подходах к отказоустойчивости. Статья будет полезна опытным специалистам, выбирающим решение для своих задач.
Платформа виртуализации VMware Cloud Director — популярное решение для создания частных облаков. Миграция из такой системы в публичное облако — сложный инженерный проект из‑за разницы между платформами и зависимости информационной инфраструктуры от VMware.
Статья поможет инженерам, имеющим опыт работы с VMware, разобраться в архитектурных сходствах и различиях платформ VMware Cloud Director и Yandex Cloud.
Что делать, если нет возможности работать с VMware
Продукты и инструменты VMware Cloud Director используют для решения задач, связанных с серверной виртуализацией. Но сложности с приобретением новых подписок и обновлением ПО заставляют бизнес искать альтернативы. В частности переходить на локальные решения или облачную платформу.
Для IT‑специалистов, которые отвечают за внедрение и управление средами VMware, публичное облако часто остаётся «чёрным ящиком» — его архитектура, модель отказоустойчивости, подходы к обеспечению безопасности и разграничение прав доступа требуют подробного изучения.
Чтобы разобраться, как облако поможет решить инфраструктурные задачи, изучим технологии, инструменты и принципы работы Yandex Cloud по сравнению с VMware Cloud Director.
Рассмотрим следующие ключевые аспекты платформ Yandex Cloud и VMware Cloud Director:
-
ресурсная модель и роли;
-
вычислительная инфраструктура;
-
организация отказоустойчивости;
-
хранение данных;
-
сетевая архитектура;
-
инструменты управления, мониторинга и биллинга.
О ресурсной модели и роли
В мультитенантной архитектуре (multi‑tenancy) одно программное обеспечение обслуживает нескольких клиентов (тенантов), обеспечивая каждому изолированную среду для данных и настроек.
Решение для создания виртуальных центров обработки данных на базе физической инфраструктуры.
Система управления учётными записями и доступом в сетях с Windows.
Стандарт для обмена аутентификационной и авторизационной информацией между системами, который позволяет пользователям входить в разные приложения или системы, используя одни и те же учётные данные.
VMware использует мультитенантный подход в Cloud Director, который служит основой для предоставления облачных услуг.
Каждый заказчик платформы VMware Cloud Director получает изолированный контейнер ресурсов в рамках логических границ безопасности. При этом Cloud Director выступает в роли абстрактного слоя, скрывающего уровень кластеров физических серверов VMware ESXi и дата‑центры, в которых они размещены.
В Cloud Director есть встроенная система управления пользователями (Identity Provider) с собственными ролями и правами доступа, которая позволяет интегрироваться с Active Directory через стандарт SAML. Это помогает организовать единый вход (SSO), где инициатором аутентификации выступает сам сервис.
При создании ресурса в Yandex Cloud, будь то виртуальная машина, диск или сеть, пользователь указывает каталог для хранения, который обязательно привязан к конкретному облаку. Все облака принадлежат изолированным друг от друга организациям, поэтому взаимодействие между ресурсами пользователей через средства Yandex Cloud исключены.
Архитектура платформы Yandex Cloud, ресурсная модель. Каталоги имеют плоскую структуру, поэтому их вложенность не поддерживается
Сравнение ресурсных и ролевых моделей VMware и Yandex Cloud
Разница с VDC в том, что облако никак не привязано к конкретной зоне доступности и являет собой логическую геораспределённую организационную единицу.
В отличие от VMware в сценарии multi‑folder она может быть доступна в пределах одного облака.
В Yandex Cloud каталог является контейнером ресурсов, выполняющим функцию их размещения и изоляции, но не предполагающим управление сервисами как единой сущностью.
Ресурсная модель
|
VMware |
Yandex Cloud |
||
|
Название ресурса |
Назначение |
Название ресурса |
Назначение |
|
Organizations Группа пользователей и ресурсов для управления |
Корневой контейнер для администрирования пользователей, групп, федераций удостоверений и вычислительных ресурсов |
Организация Управление пользователями и сервисами |
Как и Organizations в VMware, является корневым контейнером для управления субъектами, каталогами и сервисами |
|
Virtual Datacenters (VDC) Виртуальное пространство для размещения систем |
Изолированная среда, где пользователь может выделять ресурсы, разворачивать, хранить и эксплуатировать системы. Структурно VDC — дочерний контейнер в организации. Один VDC равен соответствующему инстансу vCenter Server |
Облако (Cloud) Виртуальное пространство для хранения и работы систем |
Ближайший аналог VDC в Yandex Cloud. Это дочерний контейнер относительно организации |
|
Organization Networks Сеть для связи ресурсов внутри организации |
Сеть доступна только определённой организации и всем её приложениям. При необходимости сети можно делать публичными |
Virtual Private Cloud Изолированная сеть для ресурсов внутри компании |
Сеть создаётся в конкретной организации на уровне каталогов |
|
vApp Контейнер для запуска нескольких связанных приложений |
Дочерний от VDC контейнер, содержащий одну или несколько виртуальных машин, работающих вместе как единый стек взаимосвязанных приложений |
Каталог (Folder) Группа виртуальных машин или сервисов |
Ближайший аналог контейнера. Также для управления порядком запуска группы виртуальных машин в Yandex Cloud есть сервис Instance Groups, но такое сравнение справедливо только в контексте управления логикой запуска виртуальной машины |
Ролевая модель
|
VMware |
Yandex Cloud |
||
|
Названия ролей |
Назначение |
Названия ролей |
Назначение |
|
Organization Administrator, Catalog Author, Console Access Only, Defer to Identity Provider, vApp Author, vApp User, Kubernetes Cluster Author |
|
Примитивные роли (admin, editor, viewer и auditor). Сервисные роли (service.resources.role) |
Примитивные роли (admin, editor, viewer и auditor):
Сервисные роли (service.resources.role): роли для автоматизации задач и управления сервисами (например, запуск виртуальных машин, управление сетью) |
Описание ресурсно‑ролевой модели — в нашей документации.
О вычислительной инфраструктуре
Гипервизор типа 1+ работает поверх операционной системы, но использует аппаратную виртуализацию для прямого взаимодействия с оборудованием, сочетая черты гипервизоров первого и второго типов.
ESXi устанавливается напрямую на физический сервер и управляет виртуальными машинами, обеспечивая их работу без необходимости в традиционной операционной системе.
QEMU (Quick EMUlator) эмулирует оборудование, а KVM (Kernel‑based Virtual Machine) использует аппаратную виртуализацию в Linux, превращая операционную систему в полноценный гипервизор.
Свободная лицензия на ПО, которая позволяет использовать, изменять и распространять программы. Главное условие — любые изменения или улучшения этих программ должны распространяться под той же лицензией, чтобы они оставались открытыми и свободными для всех.
Технология, используемая в виртуализации, которая позволяет гипервизору перераспределять оперативную память между виртуальными машинами. Если одной машине нужно больше памяти, гипервизор может временно забрать часть памяти у другой машины, чтобы оптимизировать использование ресурсов на хосте.
При таком подходе управление и настройка IT‑инфраструктуры, такой как серверы, сети и базы данных, выполняются с помощью программного кода и автоматизированных скриптов вместо ручных действий. Это позволяет быстро и последовательно развёртывать, обновлять и масштабировать инфраструктуру.
Инструмент для управления инфраструктурой как кодом (IaC), позволяющий описывать, развёртывать и управлять ресурсами как в облаке, так и на локальных серверах с помощью конфигурационных файлов, написанных на языке HCL (HashiCorp Configuration Language).
Инструмент, который расширяет возможности Kubernetes, позволяя управлять не только контейнерами, но и инфраструктурой как кодом (IaC), интегрируя её с различными облачными провайдерами и сервисами.
Сравнивая стек вычислительной инфраструктуры у Cloud Director и Yandex Cloud, можно найти множество технологических и функциональных сходств.
Обе платформы используют гипервизоры типа 1+ собственной разработки: у VMware это ESXi, а в Yandex Cloud — гипервизор на базе QEMU/KVM с лицензией GPL v2. Подход к работе гипервизоров схож на обеих платформах. Например, обе поддерживают живую миграцию, позволяющую переносить виртуальные машины не останавливая их. Но в VMware есть Memory Ballooning для оптимизации памяти, чего нет в Yandex Cloud.
Для управления виртуальными машинами в VMware нужно установить VMware Tools. В Yandex Cloud доступно множество инструментов, и пользователь сам выбирает, какое ПО использовать для интеграции. Консольное подключение к виртуальным машинам VMware происходит через web‑интерфейс или приложение VMware Remote Console (VMRC), а в Yandex Cloud — через серийную консоль.
Обе платформы поддерживают подход «Инфраструктура как код» (IaC) с использованием Terraform и CrossPlane. Но у VMware используется синхронное API, а у Yandex Cloud — асинхронное, что позволяет развёртывать ресурсы параллельно, не дожидаясь завершения операций с текущим объектом.
Сравнение элементов вычислительной инфраструктуры
Параметр определяет, сколько виртуальных процессоров (vCPU) может быть назначено одному физическому ядру на сервере.
Параметр устанавливает максимальное количество виртуальных процессоров (vCPU) для всего кластера хостов. Он задаёт общий лимит на использование vCPU в пределах кластера, что помогает эффективно распределять вычислительные ресурсы между виртуальными машинами.
Переподписка в соотношении 1:10 означает, что на одно физическое ядро можно назначить до десяти виртуальных процессоров (vCPU). Это позволяет запускать больше виртуальных машин на том же оборудовании, но есть риск снижения производительности, если все виртуальные процессоры одновременно начнут активно использовать ресурсы.
Реальный объём выделенной памяти на гипервизоре и в облаках может определяться динамически в зависимости от суммы настроек и обладать свойством переподписки.
Виртуальной машине доступна вся выделенная память в эксклюзивном режиме, она не используется другими виртуальными машинами на том же хосте.
Платформа виртуализации серверов от VMware, включающая гипервизор ESXi и управляющее ПО vCenter Server. Она позволяет создавать и управлять виртуальными машинами, объединять физические серверы в кластеры и обеспечивает высокую доступность, отказоустойчивость и масштабируемость инфраструктуры.
Эти правила определяют размещение виртуальных машин (ВМ) на хостах в виртуализированных средах. Правило Affinity закрепляет определённые ВМ на одном хосте, что может улучшить производительность и снизить задержки. Правило Anti‑Affinity, наоборот, распределяет ВМ на разных хостах, чтобы повысить отказоустойчивость и минимизировать риски при сбое одного из хостов.
Архитектура компьютерных систем, при которой процессоры имеют неравномерный доступ к различным областям оперативной памяти. В NUMA каждая группа процессоров, обычно расположенная на одном физическом сокете, имеет свою локальную область памяти, к которой она может обращаться быстрее, чем к памяти, подключённой к другим сокетам.
vNUMA — это виртуализированная версия NUMA, которая предоставляет виртуальным машинам информацию о топологии процессора и памяти. Это помогает гостевым ОС оптимально использовать ресурсы.
Агент устанавливается на виртуальные машины в Yandex Cloud для сбора и отправки метрик операционной системы в сервисы мониторинга и логирования Yandex Cloud. Он помогает отслеживать производительность и состояние виртуальных машин в реальном времени.
Интегрирует управление доступом к виртуальным машинам с учётными записями пользователей в Yandex Identity and Access Management (IAM). Он позволяет управлять доступом по SSH к виртуальным машинам на основе ролей и политик безопасности, заданных в Yandex Cloud.
Стандартный последовательный порт на компьютере, используемый для передачи данных между устройствами и системой.
|
VMware |
Yandex Cloud |
|
Гипервизор |
|
|
Гипервизор первого типа ESXi:
|
Гибридный гипервизор QEMU/KVM используется для эмуляции аппаратного обеспечения различных платформ и распространяется по лицензии GPL v2 |
|
Переподписка по ядрам |
|
|
Управлять переподпиской можно через настройки политик самого хоста как в рамках кластера, так и на уровне одного физического ядра с помощью изменения параметров MaxVCPUsPerCore и MaxVCPUsPerCluster. Допускается переподписка в соотношении 1:10 |
Управление переподпиской по vCPU доступно для ВМ с конфигурацией до 4 ядер включительно. По умолчанию для таких ВМ предоставляется переподписка 1:1 |
|
Переподписка по памяти |
|
|
Применяется сложная система аллокации памяти, использующая понятия лимита (Limit) и механизм Memory Ballooning |
Работает без переподписки и Memory Ballooning |
|
Живая миграция виртуальных машин |
|
|
vMotion в vSphere позволяет быстро мигрировать рабочие нагрузки с одного сервера на другой без простоев. Настройка правил Affinity и Anti‑Affinity поддерживает живую миграцию по отдельным хостам, что усложняет администрирование |
Механизм динамической миграции позволяет перемещать запущенные виртуальные машины между физическими серверами без их остановки, перезагрузки и изменения параметров. Время паузы — менее 10 секунд |
|
Топология NUMA |
|
|
Позволяет гостевой ОС сообщать виртуальным машинам топологию NUMA для широких машин |
Аналог vNUMA отсутствует. При создании и редактировании виртуальных машин используются статически заданные конфигурации CPU и RAM |
|
Компоненты интеграции |
|
|
VMware Tools — набор драйверов синтетических устройств и служб для гостевых операционных систем. PowerCLI — инструмент для автоматизации и управления VMware через командную строку |
Компоненты интеграции опциональны, из них доступны: Yandex Unified Agent, агент сброса пароля администратора Windows, Yandex Cloud Backup Agent и OSLogin |
|
Консольное подключение к ВМ |
|
|
Доступ к консоли возможен через web‑интерфейс или приложение VMware Remote Console (VMRC) |
Только серийная консоль для локального доступа к ВМ. Для Windows это Special Administration Console через порт COM2 |
|
Инфраструктура как код (IaC) |
|
|
Terraform и CrossPlane. CrossPlane работает на базе VMware Tanzu Application Platform — контейнерной оркестрации поверх ESXi. Используется синхронное API. |
Terraform и CrossPlane с асинхронным API |
Более подробная информация — в документации.
Подборка полезных статей из документации про стек
-
Гостевые службы для взаимодействия с внешними сервисами облака: Yandex Unified Agent для поставки метрик гостевой ОС в Cloud Monitoring
-
Yandex Cloud Backup Agent — агент Cloud Backup, обеспечивающий консистентность резервной копии
-
OSLogin — агент для доступа по SSH в контексте пользователя IAM
Об отказоустойчивости и аварийном восстановлении
В виртуализированных средах HA обеспечивает автоматическое переключение на резервные ресурсы, что позволяет поддерживать непрерывность работы приложений и сервисов.
Процесс создания и поддержания копий данных на нескольких системах для обеспечения их доступности и отказоустойчивости.
Обе платформы — VMware и Yandex Cloud — обеспечивают высокую доступность (High Availability, HA), что гарантирует надёжность работы и защиту от единичных предсказуемых сбоев. Они отслеживают состояние компонентов, обнаруживают отказы и автоматически перезапускают ресурсы на резервных узлах, обеспечивая непрерывность работы.
В случае отказа одного из серверов виртуализации размещённые на нём виртуальные машины перезапустятся на другом аналогичном оборудовании. Время недоступности при этом будет примерно равно времени перезагрузки виртуальных машин. Механизм HA предполагает наличие общего хранилища данных, пула вычислительных ресурсов и оркестратора, который определяет, на каком из узлов кластера нужно запустить виртуальные машины.
VMware Cloud Director и Yandex Cloud обеспечивают высокий уровень отказоустойчивости и схожи по архитектуре. Но Yandex Cloud в отличие от VMware не требует дополнительных модулей или настроек для использования реплицирования.
Сравнение возможностей отказоустойчивости и аварийного восстановления
Подсистема хранения данных в Yandex Cloud, которая предоставляет виртуальные диски для виртуальных машин. NBS хранит данные в виде блоков на удалённых серверах, обеспечивая высокую производительность, отказоустойчивость и гибкость при управлении дисками.
Кластер серверов, расположенных в разных географических точках, обычно в пределах одного города или региона, который обеспечивает высокую доступность и отказоустойчивость.
|
VMware |
Yandex Cloud |
|
Datastore — это общее хранилище для кластера, расположенное в сети хранения данных или в общем файловом хранилище, доступное для всех узлов кластера |
Сетевое и серверное оборудование размещается в трёх распределённых дата‑центрах (зонах доступности), на которых работает базовая инфраструктура платформы: виртуальные сети, машины и сетевые блочные хранилища |
|
Узлы кластера — это гипервизоры ESXi, управляемые планировщиком vSphere vCenter |
Каждая зона изолирована от аппаратных и программных сбоев в других зонах доступности |
|
Независимый кластер vSphere использует отдельные ресурсы хранения для datastore |
Нагрузку распределяет планировщик. Он определяет, на каком из тысяч облачных хостов запустить нагрузку или куда её перенести в случае сбоя |
|
Резервный ЦОД полностью независим |
Есть возможность контролировать уровень отказоустойчивости оборудования, объединяя виртуальные машины в группы размещения |
|
Синхронизация данных между хранилищами datastore происходит на уровне систем хранения и обычно в асинхронном режиме |
Снимки дисков позволяют восстановить данные в случае сбоя |
|
Оркестраторы — Veeam DR или Cloud Availability |
Диски виртуальных машин создаются и работают в подсистеме Network Block Storage (NBS), обеспечивающей работу распределённой системы хранения данных (СХД) внутри зоны доступности |
|
Возможен «растянутый» metro‑кластер с синхронной репликацией данных между площадками на уровне СХД |
Об отказоустойчивости Yandex Cloud, зонах доступности и сравнительной характеристике — в документации.
О дисках и сетевом хранилище
У платформы VMware диски виртуальных машин представлены в виде файлов различных форматов: VMDK, VHD или RAW. Они могут находиться в любом совместимом хранилище: на локальных дисках, в сетях хранения, в файловых хранилищах и в программно‑определяемой СХД VSAN.
VSAN — программно‑распределённая система хранения данных на базе стандартного или гиперконвергентного серверного оборудования. Это отдельный продукт VMware, который требует лицензирования и квалифицированной поддержки.
Yandex Cloud использует программную СХД Network Block Store (NBS). Это служба сетевых дисков для виртуальных машин, которую можно концептуально сравнить с VSAN. Виртуальный диск ВМ состоит из блоков размещения, каждый из которых представляет собой область на физических дисках. Специальные механизмы защиты, репликации и троттлинга предотвращают ситуацию, когда высокая нагрузка на один клиентский диск начинает снижать производительность других дисков на том же хосте.
Также отличаются механизмы создания снимков дисков и копий данных: VMware не создаёт полную копию данных диска виртуальной машины, а лишь перенаправляет новые записи в отдельный файл (COW). В Yandex Cloud снимок представляет собой копию файловой системы диска на определённый момент времени, которая хранится в безопасном масштабируемом хранилище Yandex Object Storage.
Сравнение дисковых подсистем
Набор технологий и механизмов, которые позволяют управлять производительностью и приоритетом доступа к системе хранения данных (СХД).
Позволяет гипервизору ESXi напрямую использовать функции систем хранения данных (СХД). VAAI оптимизирует работу с дисковыми ресурсами, снижая нагрузку на гипервизор и улучшая общую производительность системы.
|
VMware |
Yandex Cloud |
|
Управление производительностью дисков |
|
|
Для обеспечения минимальной производительности отдельных хранилищ datastore используются различные механизмы, такие как storage QoS. Если один из клиентов VMware сильно нагружает дисковую подсистему, его данные могут быть перенесены в отдельное хранилище datastore с выделенным контроллером и дисками СХД |
Гибкое управление нагрузкой на диски исключает влияние на производительность соседних дисков, когда нагрузка на диск виртуальной машины одного клиента снижает производительность диска ВМ другого клиента на том же хосте. Параметры троттлинга зависят от типа и размера дисков: чем больше блоков размещения выделено диску, тем выше его производительность. Подробности об уровне производительности дисков можно найти в документации |
|
Снимки дисков |
|
|
VMware не обеспечивает полную копию данных, а лишь перенаправляет новые записи в отдельный файл (COW), который сохраняет исходные данные и позволяет откатиться к ним при необходимости. Снимок создаётся мгновенно и не занимает место в СХД. VMware также предоставляет специализированное API (VAAI) для работы с СХД, которое поддерживает создание снимков на аппаратном уровне |
Снимок диска в Yandex Cloud представляет собой копию файловой системы на определённый момент времени. После создания снимок сохраняется в Yandex Object Storage, что делает его открытым в любой зоне доступности. Снимок не привязан к исходному диску и может использоваться независимо |
|
Резервное копирование |
|
|
Целостность данных и управление резервными копиями выполняют системы резервного копирования (СРК), которые работают поверх технологий виртуализации, таких как снимки VMware. Для корректной записи данных в файловой системе ВМ используется специальное ПО (агент). VMware не рекомендует использовать снимки дисков вместо резервных копий, так как они связаны с диском ВМ и не обеспечивают полную целостность данных |
Yandex Cloud предоставляет встроенные возможности для хранения данных:
|
Ещё больше подробностей про хранение данных в Yandex Cloud — в сравнительной таблице.
О сетевой архитектуре
Сетевая платформа предназначена для создания программно‑определяемых сетей (SDN) в облачных и мультиоблачных средах. Позволяет отделить сетевые функции от физической инфраструктуры, обеспечивая гибкость, повышенную безопасность и автоматизацию управления сетью.
Метод сетевой виртуализации, при котором данные одного сетевого протокола, например Ethernet, упаковываются в другой протокол, например UDP, для передачи по существующей физической сети.
Сетевой протокол инкапсуляции, используемый для виртуализации сетей. Он позволяет создавать оверлейные сети, абстрагированные от физической инфраструктуры, что облегчает управление сетевыми ресурсами в облачных и виртуализированных средах.
Технология объединяет MPLS и UDP для улучшения передачи данных. MPLS ускоряет маршрутизацию с помощью меток, обходя традиционные маршруты и снижая задержки.
VMware и Yandex Cloud используют собственные сетевые архитектуры. Сеть NSX‑T, применяемую в VMware, можно изучить в дизайн‑гайде, а устройство сети Yandex Cloud описано в документации.
У обеих платформ сеть разделена на три уровня: Data Plane, Control Plane и Management Plane. Data Plane похож у обеих систем, поскольку содержит компоненты на уровне гипервизора и соединительные элементы: NSX‑T Edge в VMware и Cloud Gateway в Yandex Cloud.
В VMware уровни Control Plane и Management Plane NSX‑T размещены в узлах кластера NSX‑T Manager, тогда как в Yandex Cloud они реализованы в разных узлах. При этом кластер контроллеров в Yandex Cloud может включать более трёх нод, что отличает его от NSX‑T.
В NSX‑T для оверлейной инкапсуляции используют протокол GENEVE, а в Yandex Cloud — MPLSoverUDP. В VMware NSX транспортные зоны (TZ) определяют границы сетевых сегментов, таких как VLAN и программные оверлеи, в то время как в Yandex Cloud аналог NSX‑T на уровне SDN — это облачная зона доступности (AZ).
Сравнение сетевой архитектуры
Распределённая база данных, разработанная для хранения данных в масштабируемых системах с низкой задержкой.
Метод точного распределения сетевого трафика между ресурсами, такими как серверы или маршруты, с учётом множества параметров. В сетевой виртуализации с использованием протокола GENEVE позволяет эффективнее распределять нагрузку, учитывая IP‑адреса, порты, типы данных и другие характеристики трафика.
|
VMware |
Yandex Cloud |
|
Сетевая архитектура VMware NSX‑T состоит из трёх уровней:
|
Сеть в Yandex Cloud условно делится на две основные части:
Сервисы виртуальной сети Virtual Private Cloud (VPC) предоставляют пользователям IP‑связь между облачными ресурсами и доступ к интернету. Сетевая архитектура Yandex Cloud также состоит из трёх уровней, как и в VMware: Data Plane, Control Plane, Management Plane |
|
Data Plane |
|
|
В VMware на уровне Data Plane есть распределённые компоненты, работающие на уровне гипервизора каждого хоста, и сосредоточенные — шлюзы, которые обеспечивают стыковку виртуальной сети с внешними сетями (NSX‑T Edge) |
В Yandex Cloud есть компоненты vRouter внутри каждого гипервизора, которые занимаются маршрутизацией и обработкой сетевых пакетов. Также присутствуют компоненты Cloud Gateway, которые соединяют SDN-облака с внешними сетями |
|
Control Plane и Management Plane |
|
|
В VMware NSX‑T-уровни Control Plane и Management Plane размещены в узлах кластера NSX‑T Manager, состоящего из трёх узлов. В каждом из этих узлов запускаются процессы, отвечающие за control и management plane, а все переменные состояния системы сохраняются в базе данных CorfuDB |
В Yandex Cloud уровни Control Plane и Management Plane реализованы в разных узлах в отличие от NSX‑T. Кластер контроллеров может включать более трёх нод. Над уровнем Management Plane расположен CMP (Cloud Management Platform) — уровень облачной оркестрации, который позволяет создать частное облако на базе программно‑определяемой зоны доступности |
|
Технологии оверлейной инкапсуляции и обеспечения связности системных компонентов |
|
|
В NSX‑T используется инкапсуляция GENEVE, которая позволяет обеспечить гранулярную балансировку сетевого трафика на транспортном уровне |
В Yandex Cloud используется инкапсуляция MPLSoverUDP, которая позволяет обеспечить гранулярную балансировку сетевого трафика на транспортном уровне |
|
Транспортные зоны и узлы |
|
|
Транспортные зоны VMware NSX (TZ) определяют границы работы сетевых сегментов, таких как VLAN и программные оверлеи. Транспортная зона может охватывать несколько типов кластеров vSphere, включая вычислительные кластеры и кластеры Edge, которые используются в качестве сервисных узлов и для стыковки с внешними сетями |
В Yandex Cloud на уровне SDN аналогом транспортной зоны оверлейного типа в NSX‑T может быть облачная зона доступности (AZ). Транспортной зоны типа VLAN в Yandex Cloud нет, так как все хосты, включая выделенные (dedicated), уже виртуализованы. Для подключения облачных нагрузок используются оверлейные сегменты. Логический коммутатор, созданный в транспортной зоне (TZ), работает на всех узлах виртуализированной инфраструктуры, которые добавлены в эту TZ как транспортные ноды. Аналогично связанный с логическими коммутаторами распределённый логический маршрутизатор (LR) создаёт экземпляр в каждом узле виртуализации, прикреплённом к данной транспортной зоне |
Подробная сравнительная таблица — в документации.
Метод передачи данных, который на уровне L2 доставляет пакеты всем подписанным устройствам в одной локальной сети, а на уровне L3 позволяет пересылать данные между подсетями через маршрутизаторы.
Технология используется для изменения сетевых адресов в заголовках IP‑пакетов при их прохождении через маршрутизатор или другое сетевое устройство.
Сервис или устройство, которое выполняет NAT для исходящего трафика (egress) из частной сети в публичный интернет.
Сетевой балансировщик нагрузки работает на 4-м уровне сетевой модели OSI. При этом балансировщик использует технологии, работающие на 3-м уровне для ускорения обработки пакетов.
Балансировщик нагрузки, работающий на уровне приложений (уровень 7 модели OSI). Анализирует содержимое запросов: URL, заголовки HTTP, cookies и данные сеансов, распределяя трафик между серверами на основе этой информации.
В базовых компонентах сетевой архитектуры платформ Cloud Director и Yandex Cloud также есть сходства и различия.
Виртуальный коммутатор на обеих платформах работает в ядре гипервизора. Но, в отличие от Yandex Cloud, VMware поддерживает multicast (L2/L3) и протоколы VRRP/HSRP.
Сервисная нода VMware устроена сложнее, имеет встроенный коммутатор. Помимо маршрутизации она поддерживает NAT, VPN, FireWall, базовую балансировку нагрузки и DHCP‑сервер.
В пограничных нодах Cloud Gateway в Yandex Cloud коммутатора нет, поэтому NAT реализуется на хосте — с использованием сервиса egress NAT GW — или на дополнительной пользовательской ВМ.
Обе платформы предоставляют функции сетевой балансировки через дополнительные сервисы, решают задачи микросегментации и поддерживают мультитенантность для изолированного доступа пользователей.
Yandex Cloud разделяет балансировку на уровнях L4 (NLB) и L7 (ALB), в то время как у VMware такого разграничения нет.
Кроме того, Yandex Cloud диагностирует сетевые проблемы пользователей и помогает поддерживать IaaS‑инфраструктуру, тогда как VMware оставляет эту задачу на усмотрение пользователей.
Сравнение базовых элементов и компонентов сетевой архитектуры платформ
Тенантная составляющая относится к управлению и разделению ресурсов между различными тенантами (арендаторами) в облачной среде. Тенант — это отдельный пользователь (или организация), который использует изолированные части общей инфраструктуры, такие как вычислительные мощности, хранилище и сеть.
Часть логического маршрутизатора в NSX‑T, которая выполняет распределённую маршрутизацию трафика на каждом хосте в сети. DR маршрутизирует пакеты прямо на гипервизоре, что улучшает производительность и снижает задержки, так как пакеты не нужно отправлять на центральный маршрутизатор.
Логические маршрутизаторы в архитектуре NSX‑T. Tier0‑GW (Tier‑0 Gateway) управляет трафиком между виртуальными сетями и внешними сетями, такими как интернет или другие дата‑центры. Tier1‑GW (Tier‑1 Gateway) управляет трафиком внутри виртуальной сети, соединяя её с Tier‑0 и обеспечивая маршрутизацию между виртуальными машинами.
Сетевая виртуализационная платформа от VMware, которая позволяет создавать программно‑определяемые сети (SDN) и управлять ими.
Распределённая система обнаружения вторжений, которая анализирует сетевой трафик и активность в нескольких узлах (хостах) сети для выявления подозрительных действий или атак.
Система защиты, которая обнаруживает, предотвращает и устраняет вредоносное программное обеспечение на устройствах и в сетях.
|
VMware |
Yandex Cloud |
|
Виртуальный коммутатор |
|
|
Виртуальный коммутатор работает в ядре каждого гипервизора и предоставляет виртуальные порты для подключения виртуальных машин к сетевой инфраструктуре через физические интерфейсы хоста. Трафик между портами в одном сабнете не маршрутизируется. Поддерживаются multicast (L2/L3) и протоколы VRRP/HSRP |
vRouter (виртуальный маршрутизатор) работает в ядре гипервизора каждого хоста и выполняет схожие функции, используя инкапсуляцию MPLSoverUDP. Он обеспечивает маршрутизацию между всеми виртуальными портами, даже если они находятся в одном сабнете. Но vRouter не поддерживает протоколы VRRP/HSRP и multicast (L2/L3) |
|
Распределённый маршрутизатор внутри SDN‑фабрик |
|
|
Все хосты фабрики NSX‑T сначала инициализируются как транспортные ноды, на которые устанавливаются программные компоненты для настройки и мониторинга. Для распределённой маршрутизации трафика используется логический маршрутизатор (LR), состоящий из двух компонентов:
Каждый из компонентов Tier1‑GW и Tier0‑GW состоит из двух частей:
|
Аналог DR‑компоненты Tier0‑GW/Tier1‑GW в NSX‑T — это маршрутизирующий модуль vRouter, который работает на всех хостах облака. Пограничные шлюзы реализованы в виде выделенных виртуальных машин, которые не содержат распределённого маршрутизатора. Таким образом, архитектура SDN Yandex Cloud больше напоминает архитектуру NSX‑v for vSphere |
|
Сервисные ноды |
|
|
Внутри виртуальной машины NSX‑T Edge находится собственный виртуальный коммутатор с аплинками и внутренними портами. Edge‑нода выполняет не только маршрутизацию трафика, но и сервисные функции: NAT, VPN, FireWall, базовую балансировку нагрузки и DHCP‑сервера. NAT в NSX‑T реализуется внутри SR‑компоненты Tier0‑GW или Tier1‑GW на Edge‑ноде (виртуальной машине или bare metal) |
Пограничные ноды Cloud Gateway — это выделенные виртуальные машины без встроенного виртуального коммутатора. NAT реализуется непосредственно в гипервизоре хоста, где размещена виртуальная машина с присвоенным «белым» IP‑адресом. Внутри хоста работает распределённый NAT по схеме 1‑to‑1. Кроме того, NAT можно централизовать, развернув сервис egress NAT GW (для доступа из облака) или выделенную пользовательскую виртуальную машину с функцией NAT |
|
Балансировка нагрузки |
|
|
В NSX‑T для балансировки нагрузки можно использовать либо встроенный L7‑балансировщик, либо VMware NSX Advanced Load Balancer (AVI) |
В Yandex Cloud можно использовать сервис сетевой балансировки Yandex Network Load Balancer и сервис балансировки на уровне приложения Yandex Application Load Balancer |
|
Безопасность и микросегментация |
|
|
В NSX‑T таких встроенных инструментов нет. Для решения задач микросегментации и защиты от внутренних атак в NSX‑T существует набор средств NSX‑T Security. Он включает NSX‑T DFW, который обеспечивает фильтрацию на уровне приложений (ALG) и L7, а также распределённую систему обнаружения вторжений (distributed IDS) и средства предотвращения вредоносного ПО (Malware prevention) |
В Yandex Cloud есть средства защиты от DDoS‑атак. Security Group обеспечивает фильтрацию трафика L4 stateful на уровне гипервизора. У каждого сетевого интерфейса виртуальной машины в облаке может быть свой L4‑firewall. Аналогов Distributed IDS и Malware Protection сейчас нет, но есть возможность подключения дополнительного ПО из маркетплейса |
|
Сетевая диагностика |
|
|
В NSX‑T можно использовать встроенный инструмент Traceflow, который не только проверяет целостность виртуальных каналов, но и проводит комплексную диагностику data plane с помощью кастомного сетевого пакета |
Диагностика сетевых проблем в облаке остаётся на стороне команды Yandex Cloud, которая использует собственные разработки. Для оперативной проверки настроек клиенты могут воспользоваться картой облачной сети, которая отображает связность объектов внутри облака |
|
Мультитенантность и разделение ответственности |
|
|
NSX‑T включает элементы встроенной сквозной мультитенантности, начиная с уровня Management Plane и до уровня Data Plane. NSX‑Manager позволяет реализовать ролевой доступ, предоставляя разным командам права на работу с различными сетевыми сущностями |
Yandex Cloud, как публичное облако, изначально создавалось мультитенантным «из коробки». Поддержка IaaS‑инфраструктуры возлагается на команду Yandex Cloud. Но в зависимости от типа используемого сервиса (например, SaaS), ответственность за обеспечение безопасности, отказоустойчивости и дополнительное обслуживание делится между провайдером и клиентом |
Подробнее о сравнении — в документации.
Об инструментах управления, биллинге и мониторинге
Готовая полнофункциональная облачная платформа Yandex Cloud предоставляет более широкие возможности управления, мониторинга и биллинга по сравнению с решением от VMware.
Клиенты Yandex Cloud получают встроенные сервисы для сбора, хранения и отображения метрик виртуализации. Они позволяют измерять и прогнозировать потребление ресурсов, поддерживая модели оплаты Pay As You Go и постоплатную модель.
Сравнение инструментов управления, биллинга и мониторинга
|
VMware |
Yandex Cloud |
|
Инструменты управления |
|
|
Синхронное API усложняет распараллеливание и многопоточность через PowerShell Runspaces. Поддерживается работа через Terraform |
Асинхронное API позволяет распараллеливать развёртывание, не дожидаясь завершения операций с текущим объектом. Также поддерживается работа через Terraform |
|
Средства мониторинга |
|
|
Мониторинг представлен встроенными метриками виртуальных машин и расширенными возможностями через инструменты vRealize. Эти инструменты включают APM (Application Performance Monitoring), аналитику и рекомендации по оптимизации инфраструктуры |
Мониторинг облачной платформы позволяет собирать, хранить и отображать метрики, настраивать алерты и отправлять уведомления. Сервис Yandex Monitoring поддерживает интеграцию с Prometheus. Для сбора, анализа и хранения логов используется подсистема Yandex Cloud Logging с возможностью выгрузки логов в бакет Yandex Object Storage |
|
Биллинг |
|
|
Встроенная система биллинга отсутствует, поэтому каждый облачный провайдер или пользователь виртуализации от VMware выбирает стороннее решение |
Биллинг в Yandex Cloud позволяет измерять потребление ресурсов по модели Pay As You Go или постоплатной модели. Детализированную информацию о расходах можно просматривать в консоли облака или выгружать во внешние системы для анализа |
О возможностях управления, мониторинга и биллинга в Yandex Cloud — в документации.
Какое решение подойдёт для ваших задач: Yandex Cloud или VMware
Обе платформы — Yandex Cloud и VMware Cloud Director — предлагают решения для виртуализации и управления инфраструктурой, но с разными акцентами. Yandex Cloud предлагает гибкость и масштабируемость в публичном облаке, VMware делает акцент на частные облака с глубокой интеграцией в корпоративные системы.
Как выбрать платформу:
-
Yandex Cloud предлагает более 60 готовых сервисов, которые помогут решить широкий спектр задач клиентов. Платформа подходит для тех, кто ищет гибкость, масштабируемость и доступ к новейшим технологиям в безопасном публичном облаке.
-
VMware больше подходит для задач, требующих полного контроля и высокой степени кастомизации в частной облачной среде. Платформа позволяет клиентам самостоятельно управлять всеми аспектами инфраструктуры.
Yandex Cloud предлагает встроенные сервисы для управления, мониторинга и биллинга, обеспечивая гибкость и масштабируемость с минимальными затратами. Эта платформа подходит компаниям, которые хотят использовать стабильную и безопасную инфраструктуру для развития высоконагруженных систем и внедрения инноваций, а также стремятся быстро адаптироваться к изменениям.
VMware Cloud Director предоставляет строгий уровень контроля и кастомизации, что делает её удобной для компаний имеющих инфраструктуру, базирующуюся на VMware. Но для мониторинга и биллинга потребуются дополнительные решения, что увеличивает затраты.
Чтобы протестировать платформу Yandex Cloud, воспользуйтесь стартовым грантом и оцените её возможности самостоятельно.
Подробнее об архитектуре и возможностях платформы Yandex Cloud читайте в документации.
В этой статье мы расскажем:
- Что делать, если нет возможности работать с VMware
- О ресурсной модели и роли
- О вычислительной инфраструктуре
- Об отказоустойчивости и аварийном восстановлении
- О дисках и сетевом хранилище
- О сетевой архитектуре
- Об инструментах управления, биллинге и мониторинге
- Какое решение подойдёт для ваших задач: Yandex Cloud или VMware