Устройство сети в Yandex Cloud
Сеть в Yandex Cloud можно условно разделить на две большие части:
-
Физическая сеть — это аппаратная сеть внутри центров обработки данных (ЦОД), транспортная сеть между ЦОД и в местах подключения к внешним сетям и интернету. Физическую сеть часто называют термином Underlay.
-
Виртуальная сеть — работает поверх физической сетевой инфраструктуры. Сервисы виртуальной сети Virtual Private Cloud (VPC) предоставляют пользователю:
- IP-связность между облачными ресурсами.
- Доступ облачных ресурсов к интернету.
Виртуальную сеть часто называют термином Overlay. В одном каталоге ресурсов может быть создана одна или несколько виртуальных сетей. Виртуальные сети изолированы друг от друга, даже если они находятся в одном каталоге ресурсов.
Ниже приведено краткое описание устройства физической сети и виртуальной сети в Yandex Cloud. Больше информации об устройстве сети можно найти в разделе дополнительные материалы.
Физическая сеть в Yandex Cloud
Физическую сеть в Yandex Cloud можно представить следующим образом:
Один из основных компонентов физической сети — транспортная сеть Yandex Cloud.
К транспортной сети подключаются:
- ЦОД (зоны доступности) Yandex Cloud.
- Точки присутствия (Point of Presence или PoP). На точках присутствия размещается сетевое оборудование транспортной сети. На отдельных точках присутствия организуются подключения к внешним сетям и интернету (Internet Peering). На отдельных точках присутствия клиентам Yandex Cloud предоставляется возможность организовать IP-связность между своими ресурсами в собственной инфраструктуре и облачными ресурсами и публичным сервисам Yandex Cloud с помощью услуги Yandex Cloud Interconnect.
Транспортная сеть Yandex Cloud состоит из двух уровней:
- Уровень оптической сети DWDM. Оборудование оптического спектрального уплотнения (DWDM
) обеспечивает подключение оборудования уровня пакетной сети IP/MPLS. С помощью DWDM-оборудования транспортная сеть может легко наращивать свою емкость (полосу пропускания) до десятков терабит. - Уровень пакетной сети IP/MPLS. Обеспечивает IPv4-связность между зонами доступности и точками присутствия (Underlay и Overlay), а также обеспечивает сетевой транспорт для работы всех сервисов Yandex Cloud.
Зоны доступности связаны между собой через транспортную сеть Yandex Cloud. К узлам транспортной сети подключаются и точки присутствия, на которых организуется сетевое взаимодействие с другими сетями, в том числе с интернетом. Транспортная сеть обеспечивает отказоустойчивую передачу трафика между зонами доступности и точками присутствия.
Трафик во внешний мир от облачных ресурсов во всех зонах доступности примерно равномерно распределяется по всем точкам присутствия.
Трафик из внешнего мира к облачным ресурсам примерно равномерно распределяется по всем зонам доступности Yandex Cloud.
Все зоны доступности равнозначны — они обеспечивают одинаковую сетевую связность, то есть, одну и ту же скорость и пропускную способность. Задержки при передаче трафика от одного внешнего ресурса до облачных ресурсов в разных зонах доступности могут незначительно отличаться.
Виртуальная сеть в Yandex Cloud
Виртуальная сеть в Yandex Cloud состоит из набора сетевых функций сервиса Virtual Private Cloud и предоставляет пользователям следующие возможности:
- Организация сетевого взаимодействия между облачными ресурсами.
- Организация сетевого взаимодействия между облачными ресурсами и интернетом.
- Дополнительные сетевые функции по обработке трафика (CloudGate).
Виртуальная сеть в Yandex Cloud построена на основе избранных компонентов проекта OpenContrail, который потом был переименован в Tungsten Fabric
Виртуальную сеть в Yandex Cloud можно представить следующим образом:
В архитектуре виртуальной сети Yandex Cloud можно выделить следующие основные компоненты:
VRouter
VRouter — обработчик сетевого трафика. Работает на каждом физическом сервере Yandex Cloud. Выступает для всех объектов в подсети в виде шлюза по умолчанию (первый IP-адрес в подсети (x.x.x.1
)). Обеспечивает обработку сетевого трафика всех виртуальных машин, работающих на сервере. Передача трафика (forwarding) осуществляется в соответствии с таблицей коммутации (flows table), записи в которой программируются с помощью другого компонента виртуальной сети — VRouter-agent. Для передачи трафика через Underlay используется технология туннелирования трафика MPLS over UDP
VRouter обеспечивает работу функции One-to-one NAT для публичных IP-адресов ВМ.
VRouter обеспечивает работу групп безопасности (SG) для всех виртуальных машин физического сервера, на котором он запущен.
VRouter-agent
VRouter-agent — вспомогательный компонент для обработки трафика. Работает совместно с VRouter и программирует таблицу коммутации сетевых потоков (flows) на сервере. Таблица коммутации определяет правила передачи трафика для того или иного IP-префикса. VRouter-agent обеспечивает ВМ на сервере работу следующих протоколов и функций:
- Сервис метаданных ВМ, доступный только внутри ВМ по IP-адресу
169.254.169.254
. - Cлужба DNS. Обрабатывает трафик DNS на втором IP-адресе в облачной подсети (
x.x.x.2
). - Протокол ICMP.
CloudGate
CloudGate — группы сервисных ВМ в каждой зоне доступности, которые обеспечивают IP-взаимодействие между физической и виртуальной сетями, а также предоставляют дополнительные сетевые функции:
Каждая сетевая функция в составе компонента CloudGate работает на отдельной группе сервисных виртуальных машин внутри Yandex Cloud.
Примечание
Группы сервисных виртуальных машин для всех сетевых функций CloudGate развернуты в каждой зоне доступности. На схеме выше для упрощения понимания представлено расположение элементов CloudGate в рамках одной зоны доступности.
Виды сетевого взаимодействия
ЦОД напрямую соотносятся с зонами доступности Yandex Cloud.
На схеме выше показаны основные виды сетевого взаимодействия ВМ в виртуальной сети Yandex Cloud:
Трафик между ВМ в одной зоне доступности
Трафик от ВМ VM-A1
до ВМ VM-A2
в зоне доступности A будет передаваться по пути:
VM-A1
→VRouter на Server-A1
.Server-A1
→Server-A2
(внутри зоны доступности A).VRouter на Server-A2
→VM-A2
.
Трафик между ВМ в разных зонах доступности
Трафик от ВМ VM-A2
в зоне доступности А до ВМ VM-B1
в зоне доступности B будет передаваться по пути:
VM-A2
→VRouter на Server-A2
.Server-A2
→ Граничное сетевое оборудование транспортной сети зоны доступности А.- Граничное сетевое оборудование транспортной сети зоны доступности А → граничное сетевое оборудование транспортной сети зоны доступности B.
- Граничное сетевое оборудование зоны доступности B →
Server-B1
. VRouter на Server-B1
→VM-B1
.
Трафик от ВМ в интернет через NAT-шлюз
Трафик от ВМ VM-A1
в Интернет через NAT-шлюз будет передаваться по пути:
VM-A1
→VRouter на Server-A1
.Server-A1
→ функцияNAT-GW
компонента CloudGate (по внутренней сети зоны доступности A).NAT-GW
→ граничное сетевое оборудование зоны доступности A.- Граничное сетевое оборудование в зоне доступности A → сетевое оборудования на точке присутствия, где организовано подключение к внешним сетям и интернету.
Ограничения
- Сейчас для организации сетевой связности в виртуальной сети Yandex Cloud можно использовать только протокол IPv4. Протокол IPv6 не поддерживается.
- Виртуальная сеть в Yandex Cloud работает на третьем уровне модели OSI (L3), поэтому работа сетевых технологий второго уровня модели OSI (L2) сильно ограничена:
- Ответы на ARP-запросы от VRouter (шлюза по умолчанию) всегда будут приходить от одного и того же фиксированного MAC-адреса.
- Для сетевого взаимодействия используется только
Unicast
транспорт,Multicast
транспорт не поддерживается. - Сетевые протоколы, которые требуют использования одного виртуального IP-адреса (VIP) между ВМ, такие как, HSRP, VRRP, GLBP и подобные не поддерживаются.