Устройство сети в Yandex Cloud

Сеть в Yandex Cloud можно условно разделить на две большие части:

• Физическая сеть — это аппаратная сеть внутри центров обработки данных (ЦОД), транспортная сеть между ЦОД и в местах подключения к внешним сетям и интернету. Физическую сеть часто называют термином Underlay.

• Виртуальная сеть — работает поверх физической сетевой инфраструктуры. Сервисы виртуальной сети Virtual Private Cloud (VPC) предоставляют пользователю:

  • IP-связность между облачными ресурсами.
  • Доступ облачных ресурсов к интернету.

  Виртуальную сеть часто называют термином Overlay. В одном каталоге ресурсов может быть создана одна или несколько виртуальных сетей. Виртуальные сети изолированы друг от друга, даже если они находятся в одном каталоге ресурсов.

Ниже приведено краткое описание устройства физической сети и виртуальной сети в Yandex Cloud. Больше информации об устройстве сети можно найти в разделе дополнительные материалы.

Физическая сеть в Yandex CloudФизическая сеть в Yandex Cloud

Физическую сеть в Yandex Cloud можно представить следующим образом:

Один из основных компонентов физической сети — транспортная сеть Yandex Cloud.

К транспортной сети подключаются:

• ЦОД (зоны доступности) Yandex Cloud.
• Точки присутствия (Point of Presence или PoP). На точках присутствия размещается сетевое оборудование транспортной сети. На отдельных точках присутствия организуются подключения к внешним сетям и интернету (Internet Peering). На отдельных точках присутствия клиентам Yandex Cloud предоставляется возможность организовать IP-связность между своими ресурсами в собственной инфраструктуре и облачными ресурсами и публичным сервисам Yandex Cloud с помощью услуги Yandex Cloud Interconnect.

Транспортная сеть Yandex Cloud состоит из двух уровней:

• Уровень оптической сети DWDM. Оборудование оптического спектрального уплотнения (DWDM) обеспечивает подключение оборудования уровня пакетной сети IP/MPLS. С помощью DWDM-оборудования транспортная сеть может легко наращивать свою емкость (полосу пропускания) до десятков терабит.
• Уровень пакетной сети IP/MPLS. Обеспечивает IPv4-связность между зонами доступности и точками присутствия (Underlay и Overlay), а также обеспечивает сетевой транспорт для работы всех сервисов Yandex Cloud.

Зоны доступности связаны между собой через транспортную сеть Yandex Cloud. К узлам транспортной сети подключаются и точки присутствия, на которых организуется сетевое взаимодействие с другими сетями, в том числе с интернетом. Транспортная сеть обеспечивает отказоустойчивую передачу трафика между зонами доступности и точками присутствия.

Трафик во внешний мир от облачных ресурсов во всех зонах доступности примерно равномерно распределяется по всем точкам присутствия.

Трафик из внешнего мира к облачным ресурсам примерно равномерно распределяется по всем зонам доступности Yandex Cloud.

Все зоны доступности равнозначны — они обеспечивают одинаковую сетевую связность, то есть, одну и ту же скорость и пропускную способность. Задержки при передаче трафика от одного внешнего ресурса до облачных ресурсов в разных зонах доступности могут незначительно отличаться.

Виртуальная сеть в Yandex CloudВиртуальная сеть в Yandex Cloud

Виртуальная сеть в Yandex Cloud состоит из набора сетевых функций сервиса Virtual Private Cloud и предоставляет пользователям следующие возможности:

• Организация сетевого взаимодействия между облачными ресурсами.
• Организация сетевого взаимодействия между облачными ресурсами и интернетом.
• Дополнительные сетевые функции по обработке трафика (CloudGate).

Виртуальная сеть в Yandex Cloud построена на основе избранных компонентов проекта OpenContrail, который потом был переименован в Tungsten Fabric.

Виртуальную сеть в Yandex Cloud можно представить следующим образом:

В архитектуре виртуальной сети Yandex Cloud можно выделить следующие основные компоненты:

VRouterVRouter

VRouter — обработчик сетевого трафика. Работает на каждом физическом сервере Yandex Cloud. Выступает для всех объектов в подсети в виде шлюза по умолчанию (первый IP-адрес в подсети (x.x.x.1)). Обеспечивает обработку сетевого трафика всех виртуальных машин, работающих на сервере. Передача трафика (forwarding) осуществляется в соответствии с таблицей коммутации (flows table), записи в которой программируются с помощью другого компонента виртуальной сети — VRouter-agent. Для передачи трафика через Underlay используется технология туннелирования трафика MPLS over UDP.

VRouter обеспечивает работу функции One-to-one NAT для публичных IP-адресов ВМ.

VRouter обеспечивает работу групп безопасности (SG) для всех виртуальных машин физического сервера, на котором он запущен.

VRouter-agentVRouter-agent

VRouter-agent — вспомогательный компонент для обработки трафика. Работает совместно с VRouter и программирует таблицу коммутации сетевых потоков (flows) на сервере. Таблица коммутации определяет правила передачи трафика для того или иного IP-префикса. VRouter-agent обеспечивает ВМ на сервере работу следующих протоколов и функций:

• Сервис метаданных ВМ, доступный только внутри ВМ по IP-адресу 169.254.169.254.
• Cлужба DNS. Обрабатывает трафик DNS на втором IP-адресе в облачной подсети (x.x.x.2).
• Протокол ICMP.

CloudGateCloudGate

CloudGate — группы сервисных ВМ в каждой зоне доступности, которые обеспечивают IP-взаимодействие между физической и виртуальной сетями, а также предоставляют дополнительные сетевые функции:

• NAT-шлюз (NAT-GW).
• Сетевой балансировщик нагрузки (NLB).
• Cloud Interconnect (CIC).

Каждая сетевая функция в составе компонента CloudGate работает на отдельной группе сервисных виртуальных машин внутри Yandex Cloud.

Виды сетевого взаимодействияВиды сетевого взаимодействия

ЦОД напрямую соотносятся с зонами доступности Yandex Cloud.

На схеме выше показаны основные виды сетевого взаимодействия ВМ в виртуальной сети Yandex Cloud:

Трафик между ВМ в одной зоне доступностиТрафик между ВМ в одной зоне доступности

Трафик от ВМ VM-A1 до ВМ VM-A2 в зоне доступности A будет передаваться по пути:

1. VM-A1 → VRouter на Server-A1.
2. Server-A1 → Server-A2 (внутри зоны доступности A).
3. VRouter на Server-A2 → VM-A2.

Трафик между ВМ в разных зонах доступностиТрафик между ВМ в разных зонах доступности

Трафик от ВМ VM-A2 в зоне доступности А до ВМ VM-B1 в зоне доступности B будет передаваться по пути:

1. VM-A2 → VRouter на Server-A2.
2. Server-A2 → Граничное сетевое оборудование транспортной сети зоны доступности А.
3. Граничное сетевое оборудование транспортной сети зоны доступности А → граничное сетевое оборудование транспортной сети зоны доступности B.
4. Граничное сетевое оборудование зоны доступности B → Server-B1.
5. VRouter на Server-B1 → VM-B1.

Трафик от ВМ в интернет через NAT-шлюзТрафик от ВМ в интернет через NAT-шлюз

Трафик от ВМ VM-A1 в Интернет через NAT-шлюз будет передаваться по пути:

1. VM-A1 → VRouter на Server-A1.
2. Server-A1 → функция NAT-GW компонента CloudGate (по внутренней сети зоны доступности A).
3. NAT-GW → граничное сетевое оборудование зоны доступности A.
4. Граничное сетевое оборудование в зоне доступности A → сетевое оборудования на точке присутствия, где организовано подключение к внешним сетям и интернету.

ОграниченияОграничения

1. Сейчас для организации сетевой связности в виртуальной сети Yandex Cloud можно использовать только протокол IPv4. Протокол IPv6 не поддерживается.
2. Виртуальная сеть в Yandex Cloud работает на третьем уровне модели OSI (L3), поэтому работа сетевых технологий второго уровня модели OSI (L2) сильно ограничена:
   1. Ответы на ARP-запросы от VRouter (шлюза по умолчанию) всегда будут приходить от одного и того же фиксированного MAC-адреса.
   2. Для сетевого взаимодействия используется только Unicast транспорт, Multicast транспорт не поддерживается.
   3. Сетевые протоколы, которые требуют использования одного виртуального IP-адреса (VIP) между ВМ, такие как, HSRP, VRRP, GLBP и подобные не поддерживаются.

Дополнительные материалыДополнительные материалы

• Как устроена сетевая инфраструктура в Yandex Cloud (2019).
• Как устроен сервис Virtual Private Cloud в Yandex Cloud (2020).