Сетевая подсистема (Network)

VMware Cloud Director

Yandex Cloud

На этом уровне расположены как распределенные компоненты — маршрутизатор NSX, так и сосредоточенные компоненты (работающие на выделенных узлах) — NSX Edge (виртуальные машины или bare-metal-серверы, которые обеспечивают высокопроизводительный стык оверлейной NSX-сети с физической сетью ЦОД).

Аналогичный подход к построению SDN используется в Yandex Cloud: внутри каждого гипервизора есть компоненты vRouter, которые занимаются маршрутизацией и обработкой сетевых пакетов, также есть cloud-gateway-компоненты, которые стыкуют SDN облака с внешним миром.

Основные различия заключаются в технологиях оверлейной инкапсуляции и обеспечении связности системных компонентов решения между собой.

Если в NSX-T используется инкапсуляция Geneve, то в Yandex Cloud — инкапсуляция MPLSoverUDP.

Оба подхода позволяют обеспечивать гранулярную балансировку сетевого трафика на уровне транспорта, а также при необходимости «расширять» заголовок для передачи дополнительной служебной информации на уровне транспорта (телеметрия, трассировка).

VMware Cloud Director

Yandex Cloud

Control Plane и Management Plane NSX-T располагаются на узлах кластера NSX-T Manager (3 узла). На каждом узле запускаются процессы Control и Management Plane, и все переменные состояния системы хранятся в CorfuDB.

Control Plane и Management Plane в Yandex Cloud реализованы на разных узлах (в отличие от NSX-T). Кластер контроллеров может включать в себя более трех нод.

VMware Cloud Director

Yandex Cloud

Транспортные зоны NSX (TZ) определяют границы работы сетевых сегментов (VLAN и программных оверлеев).

Транспортная зона может включать несколько типов кластеров vSphere.

В NSX-T транспортные зоны могут быть оверлейными или VLAN-based.

В Yandex Cloud на уровне SDN аналогом NSX-T транспортной зоны оверлейного типа может являться зона доступности (AZ). Уровень L2 внутри каждой зоны доступности уникален и не «растягивается» между другими зонами.

Транспортной зоны типа VLAN в Yandex Cloud нет. Все хосты, в том числе «выделенные» (dedicated), виртуализованы, поэтому для подключения облачных нагрузок можно использовать оверлейные сегменты.

Логический коммутатор, созданный в транспортной зоне (TZ), будет работать на всех узлах виртуализованной инфраструктуры, которые добавлены как транспортные ноды в данную TZ. Аналогично LR (распределенный логический маршрутизатор), связанный с логическими коммутаторами в этой TZ, создаст экземпляр LR на каждом из узлов виртуализации, прикрепленных к транспортной зоне.

VMware Cloud Director

Yandex Cloud

В случае с NSX-T речь идет именно о виртуальном коммутаторе, который работает в ядре каждого гипервизора. Он предоставляет виртуальные порты для подключения виртуальной машины к сетевой инфраструктуре через uplink — физические интерфейсы хоста. Реализует оверлейную инкапсуляцию Geneve.

В инфраструктуре NSX-T поддерживается multicast (L2/L3) и VRRP/HSRP.

Аналогом в Yandex Cloud является компонента vRouter — виртуальный маршрутизатор, который также работает в ядре гипервизора каждого хоста и реализует похожие функции с инкапсуляцией MPLSoverUDP (обеспечивает высокую энтропию исходящих потоков и гранулярную балансировку потоков трафика, а также потенциальную возможность использовать расширяемые заголовки для трассировки пакетов и сбора телеметрии).

Отличием vRouter от N-VDS является встроенная маршрутизация между всеми виртуальными портами, даже формально находящимися внутри одного сабнета. В N-VDS трафик группы портов, находящихся в одном сабнете, не маршрутизируется.

В связи с этим внутри Yandex Cloud не поддерживаются такие протоколы, как VRRP/HSRP, а также multicast (L2/L3).

VMware Cloud Director

Yandex Cloud

Все хосты NSX-T-фабрики сначала инициируются как транспортные ноды. На них устанавливаются необходимые программные компоненты для последующей настройки и мониторинга со стороны NSX-T Manager.

Для распределенной маршрутизации трафика внутри NSX-T инфраструктуры используется LR — логический маршрутизатор, который имеет сложную внутреннюю архитектуру:

• компонента Tier1-GW — тенантная составляющая;

• компонента Tier0-GW — межтенантная составляющая (провайдерская).

Tier1-GW и Tier0-GW имеют распределенную часть, DR (distributed router), и сервисную часть, SR (service router). DR находится на всех транспортных нодах внутри выбранной транспортной зоны, SR — только на Edge-нодах (стыковочные узлы: виртуальные или bare metal) выбранной транспортной зоны.

В Yandex Cloud аналогом DR (distributed router) в компонентах Tier0-GW и Tier1-GW является маршрутизирующий модуль vRouter, который работает на всех хостах облака.

Пограничные шлюзы реализованы в виде выделенных виртуальных машин, внутри которых нет составляющей распределенного маршрутизатора. В этом смысле архитектура SDN Yandex Cloud больше похожа на архитектуру NSX-v for Sphere.

VMware Cloud Director

Yandex Cloud

В NSX-T есть возможность использовать выделенные кластеры под определенный класс нагрузок.

Для высокопроизводительного стыка с внешним миром в NSX-T есть возможность использовать кластеры Bare Metal Edge.

Для того чтобы снять с гостевой ВМ нагрузку, связанную с обработкой сетевого трафика в NSX-T, вы можете реализовать оффлоад оверлейной инкапсуляции с использованием технологий SR-IOV/DPU/SmartNICs.

В Yandex Cloud можно использовать выделенные виртуализованные хосты.

Также есть возможность настроить программно-ускоренную сеть для распределения нагрузки.

VMware Cloud Director

Yandex Cloud

В NSX-T для балансировки нагрузки можно использовать либо встроенный L7-балансировщик, либо VMware NSX Advanced Load Balancer (AVI).

Оба варианта позволяют реализовать балансировку трафика на уровнях L4 и L7.

В Yandex Cloud есть возможность использовать отдельно балансировщик уровня L4 — Network Load Balancer (NLB) и L7 — Application Load Balancer (ALB).

Сервис балансировки трафика на уровне приложения (ALB) также может играть роль ingress в Managed K8s (аналогично NSX-T Basic / Advanced Load Balancer).

VMware Cloud Director

Yandex Cloud

В NSX-T нет встроенных средств защиты от DDoS-атак. Данные сервисы подключаются отдельно.

Для решения задач микросегментации и защиты от внутренних атак в NSX-T есть набор средств под названием NSX-T Security, куда входят NSX-T Distributed FW (Application-Layer Gateway + L7-фильтрация), distributed IDS и Malware prevention.

Для обеспечения защиты периметра в NSX-T есть встроенный Gateway Firewall, который настраивается на NSX-T Edge. Это не Next-Generation Firewall, но он может осуществлять FQDN-анализ и URL-фильтрацию.

В Yandex Cloud есть средства защиты от DDoS-атак — DDoS Protection и Smart Web Security.

Также вы можете подключить Security Groups разграничения сетевого доступа, которые обеспечивают L4-statefull-фильтрацию трафика на уровне гипервизора, при этом за всеми сетевыми интерфейсами виртуальных машин в облаке может быть настроен свой собственный L4-Firewall.

Аналога distributed IDS и distributed Malware Protection в Yandex Cloud на данный момент нет, в качестве альтернативы можно использовать специализированные пользовательские ВМ из маркетплейса, но в таком случае необходима сегментация сети.