VXLAN atebideei buruz hitz egiteko, lehenik VXLAN bera aztertu behar dugu. Gogoratu ohiko VLANek (Sare Lokal Birtualak) 12 biteko VLAN IDak erabiltzen dituztela sareak banatzeko, 4096 sare logiko arte onartuz. Honek ondo funtzionatzen du sare txikientzat, baina datu-zentro modernoetan, milaka makina birtual, edukiontzi eta maizter anitzeko ingurunerekin, VLANak ez dira nahikoak. VXLAN jaio zen, Internet Engineering Task Force (IETF) erakundeak RFC 7348an definitu zuena. Bere helburua 2. geruzako (Ethernet) emisio-domeinua 3. geruzako (IP) sareen gainetik zabaltzea da, UDP tunelak erabiliz.
Laburbilduz, VXLANek Ethernet markoak UDP paketeen barruan kapsulatzen ditu eta 24 biteko VXLAN Sare Identifikatzaile (VNI) bat gehitzen die, teorian 16 milioi sare birtual onartzen dituena. Sare birtual bakoitzari "nortasun txartela" ematea bezala da, sare fisikoan libreki mugitzeko aukera emanez, elkarri oztopatu gabe. VXLANen osagai nagusia VXLAN Tunnel End Point (VTEP) da, paketeak kapsulatzeaz eta deskapsulatzeaz arduratzen dena. VTEP softwarea (Open vSwitch adibidez) edo hardwarea (switcherreko ASIC txipa adibidez) izan daiteke.
Zergatik da VXLAN hain ezaguna? Hodeiko konputazioaren eta SDNren (Software-Defined Networking) beharrekin ezin hobeto bat datorrelako. AWS eta Azure bezalako hodei publikoetan, VXLANek maizterren sare birtualen hedapen ezin hobea ahalbidetzen du. Datu-zentro pribatuetan, VMware NSX edo Cisco ACI bezalako gainjarritako sare-arkitekturak onartzen ditu. Imajinatu milaka zerbitzari dituen datu-zentro bat, bakoitzak dozenaka VM (Makina Birtual) exekutatzen dituela. VXLANek VM hauei 2. geruzako sare beraren parte gisa hautematen uzten die, ARP emisioen eta DHCP eskaeren transmisio leuna bermatuz.
Hala ere, VXLAN ez da panazea. L3 sare batean funtzionatzeak L2-L3 bihurketa behar du, eta horretan sartzen da atebidea. VXLAN atebideak VXLAN sare birtuala kanpoko sareekin konektatzen du (VLAN tradizionalak edo IP bideratze sareak, adibidez), mundu birtualetik mundu errealera datuak igarotzea bermatuz. Birbidaltze mekanismoa atebidearen bihotza eta arima da, paketeak nola prozesatzen, bideratzen eta banatzen diren zehazten baitu.
VXLAN birbidaltze prozesua ballet delikatu baten antzekoa da, iturritik helmugara doan urrats bakoitza estuki lotuta dagoelarik. Azter dezagun pausoz pauso.
Lehenik eta behin, pakete bat bidaltzen da iturburu-ostalariak (adibidez, VM batek). Ethernet marko estandar bat da, iturburuko MAC helbidea, helmugako MAC helbidea, VLAN etiketa (baldin badago) eta karga dituena. Marko hau jasotzean, iturburuko VTEPak helmugako MAC helbidea egiaztatzen du. Helmugako MAC helbidea bere MAC taulan badago (ikaskuntza edo uholde bidez lortua), badaki zein urruneko VTEPri birbidali behar dion paketea.
Kapsulazio prozesua funtsezkoa da: VTEP-ak VXLAN goiburu bat gehitzen du (VNI, banderak eta abar barne), ondoren kanpoko UDP goiburu bat (barneko markoaren hash batean oinarritutako iturburu-ataka batekin eta 4789 helmuga-ataka finko batekin), IP goiburu bat (tokiko VTEP-aren iturburu-IP helbidearekin eta urruneko VTEP-aren helmuga-IP helbidearekin) eta azkenik kanpoko Ethernet goiburu bat. Pakete osoa orain UDP/IP pakete gisa agertzen da, trafiko normala dirudi eta L3 sarean bideratu daiteke.
Sare fisikoan, paketea bideratzaile edo etengailu batek birbidaltzen du helmugako VTEP puntura iritsi arte. Helmugako VTEP puntuak kanpoko goiburua kentzen du, VXLAN goiburua egiaztatzen du VNI bat datorrela ziurtatzeko, eta ondoren barneko Ethernet markoa helmugako ostalariari bidaltzen dio. Paketea unicast, broadcast edo multicast (BUM) trafiko ezezaguna bada, VTEP puntuak paketea VTEP puntu garrantzitsu guztietara erreplikatzen du uholdea erabiliz, multicast taldeetan edo unicast goiburuaren erreplikazioan (HER) oinarrituta.
Birbidaltze-printzipioaren muina kontrol-planoaren eta datu-planoaren bereizketa da. Kontrol-planoak Ethernet VPN (EVPN) edo Flood and Learn mekanismoa erabiltzen du MAC eta IP mapaketak ikasteko. EVPN BGP protokoloan oinarritzen da eta VTEPrei bideratze-informazioa trukatzeko aukera ematen die, hala nola MAC-VRF (Bideratze eta Birbidaltze Birtuala) eta IP-VRF. Datu-planoa da benetako birbidaltzeaz arduratzen dena, VXLAN tunelak erabiliz transmisio eraginkorra lortzeko.
Hala ere, benetako inplementazioetan, birbidaltze-eraginkortasunak zuzenean eragiten dio errendimenduari. Ohiko uholdeek erraz sor ditzakete emisio-ekaitzak, batez ere sare handietan. Horrek pasabideen optimizazioaren beharra dakar: pasabideek ez dituzte barneko eta kanpoko sareak konektatzen bakarrik, baita proxy ARP agente gisa ere jokatzen dute, ibilbide-ihesak kudeatzen dituzte eta birbidaltze-bide laburrenak bermatzen dituzte.
VXLAN atebide zentralizatua
VXLAN atebide zentralizatu bat, atebide zentralizatu edo L3 atebide ere deitua, normalean datu-zentro baten ertzean edo nukleo-geruzan zabaltzen da. Gune zentral gisa jokatzen du, eta bertatik igaro behar da VNI gurutzatuaren edo azpisare gurutzatuaren trafiko guztia.
Printzipioz, atebide zentralizatu batek lehenetsitako atebide gisa jokatzen du, 3. geruzako bideratze zerbitzuak eskainiz VXLAN sare guztietarako. Demagun bi VNI: VNI 10000 (10.1.1.0/24 azpisarea) eta VNI 20000 (10.2.1.0/24 azpisarea). VNI 10000ko A VM-ak VNI 20000ko B VM-ra sartu nahi badu, paketea lehenik tokiko VTEP-era iristen da. Tokiko VTEP-ak detektatzen du helmugako IP helbidea ez dagoela tokiko azpisarean eta atebide zentralizatura birbidaltzen du. Atebideak paketea deskapsulatzen du, bideratze erabakia hartzen du eta, ondoren, paketea berriro kapsulatzen du helmugako VNI-rako tunel batean.
Abantailak nabariak dira:
○ Kudeaketa errazaBideratze konfigurazio guztiak gailu batean edo bitan zentralizatzen dira, operadoreek sare osoa estaltzeko atebide gutxi batzuk bakarrik mantendu ahal izateko. Ikuspegi hau egokia da datu-zentro txiki eta ertainentzat edo VXLAN lehen aldiz ezartzen duten inguruneentzat.
○Baliabideen eraginkortasunaPasabideak normalean errendimendu handiko hardwarea dira (Cisco Nexus 9000 edo Arista 7050 bezalakoak), trafiko kopuru handiak kudeatzeko gai direnak. Kontrol-planoa zentralizatuta dago, NSX Manager bezalako SDN kontrolatzaileekin integrazioa erraztuz.
○Segurtasun kontrol sendoaTrafikoa atebidetik igaro behar da, ACLen (Sarbide Kontrol Zerrenden), suebakien eta NATen ezarpena erraztuz. Imajinatu maizter anitzeko eszenatoki bat, non atebide zentralizatu batek maizterren trafikoa erraz isolatu dezakeen.
Baina ezin dira gabeziak alde batera utzi:
○ Akats-puntu bakarraPasabidea huts egiten badu, sare osoko L3 komunikazioa geldiarazi egiten da. VRRP (Virtual Router Redundancy Protocol) erredundantziarako erabil daitekeen arren, arriskuak ditu oraindik.
○Errendimenduaren oztopoaEkialde-mendebalde trafiko guztiak (zerbitzarien arteko komunikazioa) pasabidea saihestu behar du, eta ondorioz bide ez-optimoa sortzen da. Adibidez, 1000 nodoko kluster batean, pasabidearen banda-zabalera 100 Gbps bada, litekeena da pilaketak gertatzea puntako orduetan.
○Eskalagarritasun eskasaSarearen eskala handitzen den heinean, pasabidearen karga esponentzialki handitzen da. Benetako munduko adibide batean, finantza-datu-zentro bat ikusi dut pasabide zentralizatu bat erabiltzen. Hasieran, ondo funtzionatzen zuen, baina VM kopurua bikoiztu ondoren, latentzia mikrosegundoetatik milisegundoetara igo zen.
Aplikazio-eszenatokia: Kudeaketa-sinpletasun handia behar duten inguruneetarako egokia, hala nola enpresen hodei pribatuak edo proba-sareak. Ciscoren ACI arkitekturak askotan eredu zentralizatu bat erabiltzen du, hosto-bizkarrezur topologia batekin konbinatuta, nukleo-atebideen funtzionamendu eraginkorra bermatzeko.
Banatutako VXLAN atebidea
VXLAN atebide banatu batek, atebide banatu edo anycast atebide gisa ere ezaguna, atebidearen funtzionaltasuna hosto-switch edo hiperbisore VTEP bakoitzera deskargatzen du. VTEP bakoitzak atebide lokal gisa jokatzen du, azpisare lokalerako L3 birbidalketa kudeatzen du.
Printzipioa malguagoa da: VTEP bakoitza lehenetsitako atebidearen IP birtual (VIP) berarekin konfiguratzen da, Anycast mekanismoa erabiliz. VMek bidalitako azpisare gurutzatuko paketeak zuzenean bideratzen dira tokiko VTEP-era, puntu zentral batetik igaro beharrik gabe. EVPN bereziki erabilgarria da hemen: BGP EVPN bidez, VTEP-ak urruneko ostalarien ibilbideak ikasten ditu eta MAC/IP lotura erabiltzen du ARP uholdeak saihesteko.
Adibidez, A VM-ak (10.1.1.10) B VM-ra (10.2.1.10) sartu nahi du. A VM-aren lehenetsitako atebidea tokiko VTEP-aren VIP-a da (10.1.1.1). Tokiko VTEP-ak helburuko azpisareraino bideratzen du, VXLAN paketea kapsulatzen du eta zuzenean B VM-aren VTEP-era bidaltzen du. Prozesu honek bidea eta latentzia minimizatzen ditu.
Abantaila nabarmenak:
○ Eskalagarritasun handiaPasabide funtzionalitatea nodo guztietara banatzea sarearen tamaina handitzen du, eta hori onuragarria da sare handiagoentzat. Google Cloud bezalako hodei hornitzaile handiek antzeko mekanismo bat erabiltzen dute milioika VM onartzeko.
○Errendimendu bikainaEkialde-mendebaldeko trafikoa tokian bertan prozesatzen da oztopoak saihesteko. Proben datuek erakusten dute errendimendua % 30-% 50 handitu daitekeela banatutako moduan.
○Akatsen berreskurapen azkarraVTEP akats bakar batek tokiko ostalari bakarrik eragiten dio, beste nodoak eraginik gabe utziz. EVPNren konbergentzia azkarrarekin batera, berreskuratze denbora segundotan da.
○Baliabideen erabilera ona.Erabili dagoen Leaf etengailu ASIC txipa hardware azeleraziorako, birbidaltze-tasak Tbps mailara iritsiz.
Zeintzuk dira desabantailak?
○ Konfigurazio konplexuaVTEP bakoitzak bideratze, EVPN eta beste ezaugarri batzuen konfigurazioa eskatzen du, hasierako hedapena denbora asko eskatzen duena. Operazio-taldeak BGP eta SDN ezagutu behar ditu.
○Hardware eskakizun handiakAtebide banatua: Ez dute etengailu guztiek atebide banatuak onartzen; Broadcom Trident edo Tomahawk txipak behar dira. Software inplementazioak (KVM-n OVS bezalakoak) ez dira hardwareak bezain ondo funtzionatzen.
○Koherentzia erronkakBanatuak esan nahi du egoeraren sinkronizazioa EVPN-n oinarritzen dela. BGP saioa gorabehera egiten badu, bideratze-zulo beltz bat sor dezake.
Aplikazioaren eszenatokia: Ezin hobea hipereskalako datu-zentroetarako edo hodei publikoetarako. VMware NSX-T-ren banatutako bideratzailea adibide tipikoa da. Kubernetesekin konbinatuta, edukiontzien sarea ezin hobeto onartzen du.
VxLAN atebide zentralizatua vs. VxLAN atebide banatua
Orain, gailurra jo dezagun: zein da hobea? Erantzuna "egoeraren araberakoa da", baina datuetan eta kasu-azterketetan sakondu behar dugu zu konbentzitzeko.
Errendimenduaren ikuspuntutik, banatutako sistemek errendimendu hobea dute argi eta garbi. Datu-zentro tipiko batean (Spirent proba-ekipoetan oinarrituta), zentralizatutako atebide baten batez besteko latentzia 150 μs-koa zen, eta banatutako sistema batena, berriz, 50 μs-koa baino ez. Errendimenduari dagokionez, banatutako sistemek erraz lor dezakete linea-abiaduraren birbidalketa, Spine-Leaf Equal Cost Multi-Path (ECMP) bideratzea erabiltzen baitute.
Eskalagarritasuna beste gudu-zelai bat da. Sare zentralizatuak 100-500 nodo dituzten sareetarako egokiak dira; eskala horretatik aurrera, sare banatuek hartzen dute nagusitasuna. Adibidez, hartu Alibaba Cloud. Haien VPC-ak (Virtual Private Cloud) VXLAN atebide banatuak erabiltzen ditu mundu osoko milioika erabiltzaile onartzeko, eskualde bakarreko latentzia 1ms-tik beherakoa izanik. Ikuspegi zentralizatu bat aspaldi eroriko zen.
Eta kostuari dagokionez? Soluzio zentralizatu batek hasierako inbertsio txikiagoa eskaintzen du, goi-mailako atebide gutxi batzuk baino ez ditu behar. Soluzio banatu batek hosto-nodo guztiek VXLAN deskargatzea onartzen dute, eta horrek hardwarearen eguneratze-kostu handiagoak dakartza. Hala ere, epe luzera, soluzio banatu batek O&M kostu txikiagoak eskaintzen ditu, Ansible bezalako automatizazio-tresnek konfigurazio multzokatua ahalbidetzen baitute.
Segurtasuna eta fidagarritasuna: Sistema zentralizatuek babes zentralizatua errazten dute, baina eraso puntu bakarren arrisku handia dakarte. Sistema banatuak erresilienteagoak dira, baina kontrol-plano sendo bat behar dute DDoS erasoak saihesteko.
Benetako kasu-azterketa bat: Merkataritza elektronikoko enpresa batek VXLAN zentralizatua erabili zuen bere webgunea eraikitzeko. Puntako aldietan, pasabidearen CPUaren erabilera % 90era igo zen, eta horrek erabiltzaileen latentziari buruzko kexak eragin zituen. Eredu banatu batera aldatzeak arazoa konpondu zuen, eta enpresak bere eskala erraz bikoiztea ahalbidetu zion. Alderantziz, banku txiki batek eredu zentralizatu bat nahiago izan zuen, betetze-ikuskapenak lehenesten zituztelako eta kudeaketa zentralizatua errazagoa zelakoan.
Oro har, sarearen errendimendu eta eskala handia bilatzen baduzu, ikuspegi banatua da bidea. Zure aurrekontua mugatua bada eta zure kudeaketa taldeak esperientziarik ez badu, ikuspegi zentralizatua praktikoagoa da. Etorkizunean, 5G eta edge computing-aren gorakadarekin, sare banatuak ezagunagoak izango dira, baina sare zentralizatuak baliotsuak izango dira oraindik ere egoera zehatzetan, hala nola sukurtsalen interkonexioan.
Mylinking™ Sareko Paketeen BrokerrakVxLAN, VLAN, GRE, MPLS goiburuen kentzea onartzen du
Jatorrizko datu-paketean kendutako VxLAN, VLAN, GRE eta MPLS goiburua onartzen da eta irteera birbidali.
Argitaratze data: 2025eko urriaren 9a
