フルスタック クラウド ネットワーク テクノロジーにおける VPC/VBC の概要

1. 機能

具体的な技術的詳細を紹介する前に、まず 2 種類の基本的なネットワークによってどのような機能が強化されるかを理解しましょう。

私たちに与えることができる

1-VPC

1.1 独立したネットワーク空間と優れたセキュリティ機能

VPC はユーザーに専用のネットワーク スペースを提供し、異なる VPC は論理的に分離されます。アプリケーションが外部とやり取りする必要がない場合は、この安全なネットワーク スペースを使用して、クラウド上で完全に非表示にすることができます。アプリケーションが外部と対話する必要がある場合は、アプリケーションを部分的に公開するさまざまな方法を選択できます。露出面を減らすことで、セキュリティ保護コストを大幅に削減し、アプリケーションのセキュリティを向上させることができます。

1.2 柔軟なネットワーク範囲と優れた拡張機能

VPC は、データセンター全体にわたるオーバーレイ ネットワーキング機能を提供できます。 VPC にデプロイされたアプリケーションは複数のデータセンターに簡単に拡張できるため、異なる物理環境によって生じる差異を遮断できます。データセンター ベースの拡大に応じて、VPC ネットワークの範囲も動的に拡張できます。

1.3 自律的なネットワーク定義、優れたカスタマイズ機能

ユーザーは、相互の影響を心配することなく、独自のネットワーク空間内で必要に応じてネットワークおよびセキュリティ機能をカスタマイズできます。これにより、ユーザーの多様なニーズを満たすだけでなく、誤操作による他のユーザーへの影響も回避できます。

しかし、どんな技術的手段にも欠点はあります。上記の機能を提供する一方で、このネットワーク モデルにはいくつかの欠点もあります。このモデルを使用する場合の学習コストが高いことです。分離により統一的な管理が不便になる。 VPC に出入りするにはネットワーク層で NAT が必要であり、トラフィックの追跡などには役立ちません。ただし、メリットはデメリットを上回ります。主流のクラウド プラットフォームはすべて、ユーザーがクラウド ネットワークを使用する基本的な方法として VPC を使用しています。

2-VBC

2.1.相互接続されたネットワーク、リソースの便利な管理

VBC ネットワーク アドレスはイントラネット内で完全に相互接続されているため、さまざまな統合管理ツールでリソースを管理するのに便利です。

2.2.ネットワーク全体のルートのアドレス、スムーズなトラフィック追跡

VBC ネットワークに出入りするときにアドレス変換は不要であり、これはトラフィックの追跡や問題のトラブルシューティングに非常に役立ちます。

2.3.フラットネットワーク、学習コストが低い

ネットワークの観点から見ると、このネットワーキング方法は、従来のネットワークとほぼ同じエクスペリエンスをユーザーに提供し、ユーザーの学習と使用にかかるコストを大幅に削減します。

同様に、VBC ネットワークにも、主にセキュリティと保護の面で欠点があります。完全に相互接続されたネットワークであるため、クラウド上のアプリケーション システムは広範囲に公開されており、セキュリティ保護にも課題が生じます。クラウド ファイアウォールや ACL ポリシーなどの従来のセキュリティ対策では、大規模で動的に拡張するクラウド ネットワークを管理することはできません。この点に関して、フルスタック クラウドでは、この問題を解決するためにクラウド セキュリティに適した技術的手段も導入されていますが、この記事ではこれについては説明しません。

2. 技術的ソリューション

2 つのネットワーク方式のそれぞれの機能を理解した後、それぞれの特定の技術ソリューションをさらに分析します。 2 つのネットワークは実装の考え方が同じであり、以下に簡単に説明します。

ソフトウェア定義ネットワーク

ソフトウェアがすべてを定義するクラウド環境では、ネットワークも例外ではありません。その実装方法は主にSDNの考え方に従います。 SDN（ソフトウェア定義ネットワーク）の主な考え方は、サウスバウンド プロトコルを通じて管理プレーンと転送プレーンを分離することです。この設計には 2 つの利点があります。1 つ目は、複数の転送プレーンを集中管理しながら、それらの違いを隠すことができることです。 2 つ目は、障害が発生したときに管理プレーンと転送プレーンが相互に影響を及ぼさないようにできることです。

SDN を実装するには、制御方法に応じて主に 2 つの方法があります。以下の2つの方法を紹介します。

1. 統合管理プレーンは、ネットワークを制御するために、すべての転送ルールの計画、管理、発行を担当します。転送プレーンは転送ルールを受信し、ルールに従ってデータ パケットを転送します。これの利点は、管理プレーンがネットワーク内のすべてのトラフィック転送パスに関する完全な情報を持っているため、トラフィックの追跡が容易になることです。欠点は、この管理脳が機能しなくなると、すべての転送プレーンが制御を失い、簡単に世界的なリスクが発生する可能性があることです。

2. 制御はプロトコルの自己組織化を通じて実現されます。利点としては、リソースの消費が少なく、1 つのネットワークと 1 つのコントロール プレーンを使用でき、障害の範囲を制御できることが挙げられます。欠点は、ネットワーク パス データが不足しているため、トラフィックを追跡するのが不便なことです。

2 つの方法の長所と短所を総合的に検討した結果、全体的な技術的リスクを回避するために 2 番目の技術的ソリューションを採用し、他の技術的手段を使用してトラフィック パス情報を解決することにしました。以下に、コントロール プレーンと転送プレーンの詳細な説明を示します。

サービス モデルを継続的に革新し、品質の最適化に重点を置きます。サービスプロセス中にオーナーの声に常に耳を傾けることでのみ、オーナーのニーズと期待をタイムリーに理解することができます。当社は、調和のとれた温かい不動産サービス関係を確立するために、複数のコミュニケーション チャネルを構築しました。

（１）操縦面：

EVPN (イーサネット VPN) は、BGP プロトコルを拡張して集中型 BGP EVPN ルーティングを新たに定義し、制御ネットワークにルートを公開することで自動 VTEP 検出とホスト アドレス学習を実装します。

コントロール プレーンでは、クラウド ネットワーク環境への適応性を高めるために、多くのコントロールの最適化も行いました。​

最適化1: 完全にカバーされた内部統制ネットワーク:

VPC/VBC ネットワークがクラ​​ウド プラットフォーム上のすべてのコンピューティング リソースをカバーできるようにするために、ルーティング情報の送信と配信を容易にする内部制御プライベート ネットワークをソフトウェア レベルで実装しました。

最適化2: 独立したソフトルーティングプロセッサ:

サーバー リソースを最大限に活用するには、各サーバー上で異なるユーザーの仮想リソースが実行されるため、各サーバーのルーティング スペースが互いに分離されていることを確認する必要があります。 Linux カーネル分離テクノロジーを使用して、異なるユーザーのネットワークに独立したルーティング プロセッサを作成し、異なるネットワークに属するリソースが互いに影響を与えることなく同じサーバー上でルーティング情報を処理できるようにします。

（２）転送側：

Linux ブリッジは、カーネル層で純粋なソフトウェアで実装された仮想スイッチです。この仮想スイッチにさまざまな種類の仮想ネットワーク カードをバインドして、仮想コンピューティング リソースをネットワークに接続できます。

転送効率を向上させるために、多くの改善も行いました。

最適化1: インテリジェントなパケット処理:

クラウド ネットワーク転送プレーンは、ネットワークにオーバーレイを使用します。このネットワーク方式では、データ パケットに対して多数のカプセル化/カプセル化解除操作が実行され、サーバーのコンピューティング リソースが占有され、CPU リソースの浪費だけでなく転送効率も低下します。この問題を解決するために、フルスタック クラウドではスマート ネットワーク カードを使用してデータ パケットを処理します。これにより、CPU リソースを占有せずにデータ パケットのカプセル化/カプセル化解除が可能になり、ネットワーク パフォーマンスも向上します。

最適化2: インテリジェントなパス選択:

ルーティングの最適化により、2 つのコンピューティング ノード間の通信パスが大幅に短縮され、ネットワーク パフォーマンスが向上します。

3. 技術的な実装

2 つのネットワークの制御原理は同じです。唯一の違いは、ネットワーク内のアドレスを物理ネットワークに通知する必要があるかどうかです。以下では、2 つのネットワークの実装方法について統一的に紹介します。

1-コントロールサーフェス

コントロール プレーンは EVPN を使用し、MPBGP プロトコルを通じて BGP EVPN ルーティングを定義します。フルスタック クラウド コントロール プレーンでは、主に次の 2 種類の拡張ルーティングが使用されます。

mac/ip ルーティング (タイプ 2): ホスト MAC アドレス、ホスト ARP、ホスト ルーティング情報を通知するために使用されます。

包括的マルチキャスト ルーティング (タイプ 3): vtep 自動検出と vxlan トンネルの動的確立に使用されます。

コントロール プレーン構造の概略図を図 1 に示します。黒と青は論理的に分離された 2 つのネットワークを表しています。

図1

ネットワークマネージャー

ネットワーク マネージャーは各コンピューティング ノードの物理マシン上で実行され、次の 2 つの機能を持ちます。

• リフレクタとの BGP ネイバー関係を維持し、このマシン上の VM の IP アドレスと VTEP 情報をアナウンスする役割を担います。各仮想マシンが作成/移行されると、その仮想マシンが配置されているコンピューティング ノードは、その場所情報を通知するためにタイプ 2 ルートを送信します。物理サーバー上のネットワークに分散ルータがない場合、分散ルータが作成され、type3 ルーティングが送信され、vtep 情報がアドバタイズされて vxlan ネットワークが完成します。
• MPBGP で運ばれるルーティング情報を受信し、それがどのネットワークに属しているかを分析し、ルーティング テーブルとネイバー テーブルの形式で対応するネットワークの分散ルーティング名前空間に書き込みます。

ネットワークリフレクター

各ネットワークには、ネットワーク内のすべてのマネージャーに BGP ルートを同期するためのリフレクタのペアがあります。リフレクタを導入すると、BGP ネイバーの数を効果的に減らすことができます。 VBC シナリオでは、受信したルーティング情報はルーティング マネージャーにも同期され、物理ネットワークへのルーティングが通知されます。

物理ネットワークアドレス広告

VBC タイプのネットワークのみを物理ネットワークに同期してルーティングする必要があります。ルートは、プラットフォームの統合ルーティング コントローラを介して物理スイッチに同期されます。フルスタック クラウド ネットワークは完全に動的なルーティング ネットワークであるため、仮想マシンのオフラインや移行などの操作も物理ネットワークに動的に同期できます。概略図を図2に示します。

図2

コンピューティングノード上のリフレクタは、ルーティング情報を管理ノードのルーティングマネージャに同期し、ルーティングマネージャは受信したルーティング情報をフィルタリングして統合し、物理スイッチに同期することで、vbc アドレスの通知が完了します。​

2-転送プレーン

以下では、VBC を例にして転送プレーンを紹介します (図中のアドレスはすべて実際のアドレスではありません)

図3

物理ネットワーク

図 3 に示すように、2 つの仮想マシンは同じ VBC ネットワーク セグメント内にあります。同一ネットワークセグメント内で通信する場合、レイヤー2通信は分散ルータのFDB（フォワードデータベース）テーブルをチェックし、検索結果に従ってVXLANポートB1を介してターゲットDVRにトラフィックを直接転送します。レイヤー3通信の場合は、デフォルトルートを経由して物理ネットワークのポートc1から直接送信されます。

VPC は 3 層ネットワークをサポートしているため、転送プレーンはより複雑です。ネットワーク セグメント間で通信する場合、宛先アドレスが同じ VPC 内にある場合、トラフィックは vxlan カプセル化を通じて分散ルータから分散ルータに直接送信されます。同じ VPC でない場合は、処理のためにデフォルトの VPC ゲートウェイに渡されます。

図4

VPC ゲートウェイ

VPC は独立した閉じたネットワーク環境です。ユーザーがサービスを公開する必要がある場合は、IP アドレスをマップする必要があります。これを行う 1 つの方法は、VPC ゲートウェイを使用してアドレスをマッピングすることです。 VPC ゲートウェイにはデュアル ネットワーク カードがあり、ページ構成を使用して、VPC ネットワークの内部サービスを VBC ネットワークにアクセス可能なサービスにマッピングできます。図 4 に示すように (図内のアドレスは実際のアドレスではありません)、VPC ゲートウェイには 2 つのネットワーク カードがあり、1 つは VBC ネットワークに接続され、もう 1 つは VPC ネットワークに接続されます。 VPC ゲートウェイで NAT ルールを設定することで、VBC: 100.168.0.10:12345 から VPC: 192.168.10.10:80 にサービスをマッピングできます。

要約する

この記事では、まず 2 種類のフルスタック クラウド ネットワーキングによってもたらされる機能を紹介し、次に実装のための技術的ソリューションを分析し、最後にいくつかの技術的な実装について簡単に紹介します。この記事を通じて、フルスタック クラウド ネットワーキングについて皆様に概要をご理解いただければ幸いです。スペースの制限により、技術的な詳細についてはあまり説明しません。

10年以上の発展を経て、クラウドコンピューティング技術は徐々に成熟し、国も「第14次5カ年計画」でデジタルインフラの戦略的方向性を提案しました。クラウドの利用とクラウドへの移行は、情報技術の発展において避けられないトレンドです。しかし、クラウド化の過程では、変化の痛みを経験することは避けられません。私たちは外部の要求に応え、経験を向上させることにこだわります。内部的に技術を強化し、制御性と安定性を向上させることで、総合的な実力を高め、金融テクノロジーの優れた基盤を構築します。