《Cloud Native Data Center Network》读书笔记-7
第九章 数据中心边缘
9.1 问题
Clos与外部的连接
为什么需要进行外部连接?
连接到外部世界的带宽需求是什么?
数据中心网络将连接到什么上游设备?
穿越内外部世界的交通需要哪些服务?
9.2 连接模型
9.2.1 为什么需要进行外部链接?
第一、连接到外部世界就是其他人访问您的应用程序的方式。第二、是连接到访问云中数据中心的那部分。第三个原因是,您正在连接到外部世界来获取数据,例如运行一个web爬虫,然后由在数据中心内运行的应用程序执行该操作。
9.2.2 对外部连接性的带宽要求
高带宽容量是现代数据中心网络与过去不同的一种方式。
与外部组织的连接很少要求大多数组织有那么多的带宽。因此,大多数企业面向互联网的路由器的容量远低于网络的内部网络容量。
9.2.3 连接Clos拓扑到外部世界
图9-1显示了连接两层Clos拓扑到外部世界的最常见方法。
图9-1 连接一个两层关闭到外部世界
最小部署单位是两个B-Leaf,以避免单点故障。每个B-Leaf要么连接到单个互联网路由器,要么更常见的是,连接到一对互联网路由器,这样单个链路故障就不会使B-Leaf无用。
一个更大的网络,如一个三层的Clos网络,遵循一个类似的模型,连接到Super Spine而不是Spine,如图9-2所示。
图9-2 连接一个三层Clos到外部世界
在非常大的网络中,如果Spine的数量超过了B-Leaf的端口数,就不可能将B-Leaf与所有Spine连接起来。在这种情况下,将向网络中添加另一层交换机,以减轻此问题。
将Clos拓扑连接到外部世界的最后一个方案是避免B-Leaf。相反,这些Spine连接到互联网路由器。图9-3显示了这种变化。该模型用于非常小的网络,或用于南北流量与东西流量接近相同的网络。
图9-3 通过Spine连接关闭到外部世界
9.2.4 在边缘路由
如果使用BGP作为Clos路由协议,那么在发布路线到外部世界之前,边界也会剥离私有的ASN1
9.2.5 服务
B-Leaf也是串接各种网络服务的好地方,如防火墙和负载平衡器,以控制从外部世界到数据中心的访问。防火墙通常部署在边界Leaf上,以确保只有内部和外部网络之间的授权通信流量。如图9-4中的砖墙所示。
图9-4 通过防火墙连接关闭到外部世界
图9-4显示了使用两个VRF的B-Leaf,内部网络的绿色VRF(由较浅的线所示),以及外部网络的黑色VRF。Spine和非B-Leaf不需要知道vrf的使用。就他们而言,他们使用默认VRF与Leaf通信。类似地,互联网路由器也不需要知道关于通过B-Leaf使用vrf的任何情况。B-Leaf通过BGP(或OSPF或IS-IS)学习路由,它将通过内部网络学习的路由放在绿色VRF中,并将通过互联网路由器(通常只是默认路由)学习的路由放在灰色VRF中。
防火墙连接到B-Leaf,如图所示。B-Leaf有两个(或多个)到防火墙的接口。这些接口不需要是物理链接,但可以通过单个物理链接作为VLAN标签来创建多个逻辑接口。在这种情况下,VLAN标签就是所谓的L3子接口。边框左侧将这两个接口标记为属于不同的vrf。在我们的示例中,一个属于黑色VRF,另一个属于绿色VRF(用较浅的线表示)。防火墙有两个BGP会话:一个在绿色子接口上,另一个在黑色子接口上。
防火墙,如Spine和普通Leaf,仍然不知道vrf。防火墙只是通过黑色链接重新发布通过绿色链接到BGP会话所学习的路线,反之亦然。因此,边界路由器通过互联网路由器学习到的默认路由通过黑色链路发送到防火墙。防火墙在绿色链接BGP会话上重新读取此操作。从内部网络到外部网络的流量来看,流量现在自动流经防火墙。
为了进一步说明这一点,让我们跟踪从服务器到互联网的流量:
1、从连接到L1的服务器发送到外部世界的流量到达L1,因为这是它们的默认网关。
2、L1看到该路由与默认路由相匹配,并根据它使用包头构建的散列将包发送到其中一个Spine,如第5章所述。
3、如前一步所述,Spine根据散列将数据包传递到其中一个B-Leaf上。
4、B-Leaf将数据包从绿色(或颜色较浅的)链接发送到防火墙,因为这是默认路由的输出接口。
5、数据包因此到达了防火墙。如果没有授权将该数据包传送到外部世界,则防火墙将丢弃该数据包。
6、如果防火墙认为数据包对传递有效,则它将通过黑色链路路由数据包(正如它从那里学习默认路由的位置)。
7、包现在被送回B-Leaf,但这次是通过黑色链接,在黑色VRF。
8、B-Leaf向上查找路由,但这次是黑色VRF,并将数据包补丁到互联网路由器。
对于从互联网路由器到内部网络工作的数据包,这个过程是反向的。在这种情况下,黑色VRF具有指向防火墙的内部网络的路由。只有当防火墙授权数据包时,它才会通过绿色(或颜色较浅的)链接将数据包送回B-Leaf。
如果存在其他服务,如负载平衡器,它们可以以类似的方式链接,从防火墙到负载平衡器,然后再到内部或外部。
9.3 混合云连接
数据中心的一个上升趋势是混合云。混合云被定义为在企业的内部部署服务器和云提供商的服务器之间分配一个数据中心。许多企业使用混合云模型来入云,或将业务的某些部分转移到云中。
在公共云中运行服务的最常见的模型是虚拟私有云(VPC)实例。一个VPC由通过一个L3网络连接的多个计算节点组成。VPC内的连接性纯粹是L3。用户是无法知道云内的L2层网络,也不能在VPC内使用组播或广播。VPC也不运行路由协议。
每个VPC都包含一个或多个子网。每个VPC都有一个虚拟私有路由器(在一些云解决方案中称为虚拟私有网关),它在子网之间路由,并控制从外部世界对VPC的访问。
从外部连接到VPC涉及到使用VPN或与适当的云服务提供商的直接路由连接。第二种选项有两个不同的选项:一种是客户的网络与云服务提供商的网络进行配置,另一种是云提供商提供到客户的本地数据中心的直接广域网连接。图9-5显示了将内部部署数据中心连接到VPC的这些方法。
图9-5 连接到VPC的方式
亚马逊、微软和谷歌都提供了与这三种方法大致相同的解决方案:基于vpn的连接和基于配置的直接连接,以及通过广域网的直接连接。以下条件可帮助选择要使用哪个选项:
基于VPN的连接
这是最常见的选项,但也是最不灵活的选项,由于流量的加密/解密和穿越互联网的可变性,它不是高容量或高性能。之所以选择它,通常是因为它比其他两种都便宜。
直连
如果您需要在本地站点和VPC之间传输大量数据,或者您的连接矩阵比点对点VPN所能提供的更复杂,则建议使用此选项。不同的云服务提供商使用不同的术语来描述该服务。AWS称之为直接连接,Microsoft Azure称之为快递路由,谷歌称之为云互连。所有云服务提供商都支持通过配置或通过服务提供商的WAN连接的直接连接,如点对点以太网(例如,通过Q-in-Q)或MPLS VPN连接。
所有的选项,包括提供点对点以太网连接的选项,都只支持内部部署数据中心和VPC之间的路由连接。因此,所有的连接都是L3,在vpc内部和vpc之间和内部部署数据中心之间。
直接连接选项允许从50Mbps到10Gbps的互连链路带宽,有些甚至支持100Gbps的互连支持。点对点以太网连接用于1Gbps或更多的带宽,而当带宽要求低于此时,仍然使用基于MPLS VPN的直接连接选项,以证明需要直接连接。
当使用VPN(a)如图9-5所示时,将在内部部署路由器和VPC网关之间建立一个IPsec隧道。在此网络上设置路由协议。在图9-5(b)和©中,都支持将一个或多个802.1QVLAN虚拟接口与VPC网关对等。每个云服务提供商都有一组规则,当连接是直接的,而不是通过VPN时,都需要遵循这些规则。例如,Azure总是需要冗余连接,而AWS需要。
我检查过的所有云服务提供商都使用BGP来建立内部部署数据中心和VPC之间的连接。这是因为BGP是跨管理边界通信路由信息的默认协议。在这种情况下,BGP的一个关键优势是它支持通信路由策略信息。例如,这些信息用于影响遵循从本地数据中心到VPC的最佳路径的路由。
考虑一下图9-6所示的示例。一家企业在纽约和SFO地区都设有办事处,在云服务提供商的东海岸和西海岸地区也设有相应的VPC实例。两个vpc的路由都显示在纽约和SFO数据中心路由器的路由表中。你想要确保的是,从纽约办公室到东海岸VPC的数据包不会采用图中所示的更长的路径,而是更短的直接路径。BGP允许您通过路线图进行这类决策决策。
图9-6 具有直接连接模型的非最优路由场景
所有云服务提供商都允许您通过BGP会话发布私有和公共IP地址。BGP在对等会话中使用私有的asn,而使用的BGP的版本是一个外部BGP(eBGP)多跳会话。2如果您在VPC和内部部署数据中心中运行IPv4和IPv6,则需要单独使用BGP会话,一个用于IPv4,一个用于IPv6。目前所有云服务提供商都是如此。当从云提供商的网络直接运行到客户的内部部署数据中心时,BGP对视发生在面向互联网的路由器上。
它们还防止使用VPC网关作为到达互联网的工具。换句话说,有了这些产品,VPC网关可以使用内部部署数据中心来访问互联网,特别是当本地路由器发布默认路由时。但是内部数据中心不能使用云作为到达互联网的工具。
为了启用快速故障检测,云服务提供商还建议您通过互连链路运行BFD。
《Cloud Native Data Center Network》读书笔记-7相关推荐
- 读书笔记:《德鲁克管理思想精要》- 2
<德鲁克管理思想精要> 美 . 彼复 . 德鲁克 著 李维安 王世权 刘金岩 译 <The Essential Drucker>The Best of Six ...
- 读书笔记:《德鲁克管理思想精要》- 4
<德鲁克管理思想精要> 美 . 彼复 . 德鲁克 著 李维安 王世权 刘金岩 译 <The Essential Drucker>The Best of Six ...
- 读书笔记:《德鲁克管理思想精要》- 6
<德鲁克管理思想精要> 美 . 彼复 . 德鲁克 著 李维安 王世权 刘金岩 译 <The Essential Drucker>The Best of Six ...
- 读书笔记:《德鲁克管理思想精要》- 7
<德鲁克管理思想精要> 美 . 彼复 . 德鲁克 著 李维安 王世权 刘金岩 译 <The Essential Drucker>The Best of Six ...
- 读书笔记:《德鲁克管理思想精要》- 5
<德鲁克管理思想精要> 美 . 彼复 . 德鲁克 著 李维安 王世权 刘金岩 译 <The Essential Drucker>The Best of Six ...
- 读书笔记:《德鲁克管理思想精要》- 1
<德鲁克管理思想精要> 美 . 彼复 . 德鲁克 著 李维安 王世权 刘金岩 译 <The Essential Drucker>The Best of Six ...
- 读书笔记:《德鲁克管理思想精要》- 3
<德鲁克管理思想精要> 美 . 彼复 . 德鲁克 著 李维安 王世权 刘金岩 译 <The Essential Drucker>The Best of Six ...
- 读书笔记:《德鲁克管理思想精要》- 8 汇总
<德鲁克管理思想精要> 美 . 彼复 . 德鲁克 著 李维安 王世权 刘金岩 译 <The Essential Drucker>The Best of Six ...
- 图书推荐:德鲁克管理思想精要(珍藏版)
本书是德鲁克历年作品的精简摘编版本,目的是为了解决"德鲁克的书这么多",到底应该从哪里看起的问题.可以作为中等快餐作品来阅读. 本书分为三个部分:管理篇,个人篇,社会篇.本人是从& ...
- 彼得-德鲁克管理思想分享与理解
l l <彼得认为:>企业的目的不在自身,而必须存在于企业本身之外,必须存在于社会之中,这就是造就客户 <朝晖理解:>企业是社会经济活动的一个点,一个环节.作为企业的领导者必须 ...
最新文章
- Elgg网站迁移指南
- gmock学习02---编写自己的Matcher与如何让编译器识别被mock的重载函数
- 编程之美2.1 求二进制中1的个数
- python读取excel-Python Pandas读取修改excel操作攻略
- Android 3.0 r1中文API文档(104) —— ViewTreeObserver
- java 漏洞挖掘_Apache Tika命令注入漏洞挖掘
- 数组字符串转化成数组与eval函数
- 使用bakefile编译C工程代码
- Silverlight 2 学习笔记之事件的重复绑定问题
- arduino秒退解决方法
- CentOS导入CA证书
- PLC培训班一般多少钱?
- (vant新手坑)引入Vant组件并改变其样式
- Wallpaper Engine开机黑屏、休眠黑屏、不显示壁纸解决方法
- 小米5s 小米6 MIUI 系统 删除温控 破解限制
- Excel如何将某个特定值变为空值
- 前后端离线开发相关软件下载地址大全
- csp2021-09-4 收集卡牌
- 某音漂亮小姐姐视频合集一键下载,想看就看!
- python读写磁盘扇区数据有什么用_18-55.在Windows中,能够自动修复文件系统错误、扫描并尝试恢复坏扇区的操作是( )_学小易找答案...