איך הופכים ענן לסקלאבילי? הכירו את טכנולוגיית NVGRE

מחשוב ענן במבט טכני: הכירו את הטכנולוגיה שתעטוף נתונים (Encapsulation) כדי לאפשר אבטחת מידע מירבית וסקלאביליות Network Virtualization using Generic Routing Encapsulation – NVGRE.

קרדיט תמונה: Shutterstock

קרדיט תמונה: Shutterstock

הפוסט נכתב על ידי בריאן קלף, כתב בכיר של טכנולוגיה במלאנוקס

במהלך השנים האחרונות, צמח מחשוב הענן בקצב אדיר, וההוצאות הכלל-עולמיות על שירותי IT בענן גדלו פי שלוש מאז 2008 וצפויות להגיע מעל ל- 100 מליארד דולרים ב- 2014. באופן ספציפי יותר, תשתית כשירות (IaaS) היא המגזר בעל צמיחה המהירה ביותר של שוק שירותי הענן הציבורי, שגדל מעל 45% בשנת 2012 לבד. IaaS מאפשר לדיירים (Tenants) רבים שימוש משותף במשאבי מערכת ובתשתית, אשר משפר את ניצול החומרה, ובכך מפחית את העלות של תשתית ה-IT- הן בזמן היישום ובעתיד. מחשוב ענן מספק גם מידה של זריזות המפשטת את תהליך ניהול ה-IT, מספק שליטה נוספת על נתונים קנייניים, ומשפר את חווית משתמש הקצה.

תחום ה-IaaS במחשוב ענן מבוסס על הרעיון של השתתפות דיירים מרובים בתשתית הענן, המתאפשרת בעיקר על ידי וירטואליזצית שרתים. IaaS מציע את היתרונות הנוספים הבאים לצרכנים שלו:

  • מאפשר למחלקת ה-IT בחברה להתמקד במיומנויות ליבה במקום בהרכבת ותחזוק תשתית הרשת.
  • מאפשר סקלאביליות דינמית של שירותי תשתית המבוססת על דרישות השימוש.
  • מפחית את עלויות ההשקעה מראש, ומגביל את העלויות השוטפות לעלויות תפעול בלבד.
  • מספק גישה לתשתית מכל מקום בעולם.

ספקי IaaS צריכים לתמוך בדיירים מרובים על תשתית מרכז הנתונים שלהם, ולכן נוצר הצורך לבודד כל דייר בתוך הרשת כדי לספק את רמות האבטחה ובידוד התנועה אשר תשתית עצמאית מספקת. בדרך כלל הושגו הדרישות האלה באמצעות השימוש ברשתות VLAN, שמחלקות את הרשת לישויות רשת וירטואליות כדי לספק אבטחה ובקרת תעבורה ברשת. ככל שהביקוש לשירותי ענן ממשיך לגדול, צרכנים גדולים רבים כבר לא מסתפקים במה שהפתרונות הבסיסיים מסוגלים לתת. לדוגמא, השימוש ב- VLAN מוגבל ל- 4,096 ישויות (VLAN IDs), אשר, בהתחשב בצמיחה האדירה ברשתות מבוססות ענן, הוא רחוק מלהוות סגמנטציה מספקת. מציאת פתרון סקלאבילי הפכה להיות הכרח.

כיצד פותרים את הבעיות הללו?

קיימים מספר פתרונות לטיפול בבעיות אלה, כל אחד עם יתרונות וחסרונות משלו. טכנולוגיות כגון ריבוי VLANs (הידועה בשםQ-in-Q) או MAC-in-MAC מנסות לטפל בבעית הסקלאביליות על ידי הכפלת מספר מזהי ה- VLAN או כתובות ה- MAC הניתנים לשמוש. אבל, טכנולוגיות מסוג זה נשארות בתחום שכבת הרשת השנייה (Layer 2 או L2), מה שאומר שיש אתגרים גלומים בהרחבה למספר גבוה של ישויות. לדוגמא, פרוטוקולי רשת כמו Spanning Tree – STP או Rapid Spanning Tree – RTSP, או Multiple Spanning Tree – MSTP משמשים בדרך כלל כדי למנוע לולאות, אבל חצי מהקשרים ב- “עץ” שמורים (stand-by) לכישלונות קישוריות. כתוצאה מכך, מבנה הרשת נותר מסורבל.

אתגר נוסף בשימוש במזהי VLAN או כתובות MAC נוספים נובע מהצורך בשינויי תצורה בתשתית ה- Layer-2 הקיימת, אשר מסבך את נדידת המכונות הווירטואליות (VMs) ועומסי העבודה משרת לשרת בתחום הווירטואלי.

כפי שמודגם באיור 1, גישה הנותנת מענה מוצלח לאתגרים אלה היא ליצור רשת וירטואלית שמעבירה נתונים על פני תשתית ה- Layer 3 הקיימת. סכימת מעטפת Layer-2 וירטואלית (Layer-2 Virtual Overlay Scheme) בונה רשת L2 וירטואלית על גבי מספר תתי-רשתות L3 באמצעות מנהרות GRE בין מכונות וירטואליות (VMs), הפועלות ברשתות נפרדות ובו בזמן פועלות כאילו הן מחוברות לאותה תת-רשת L2. על ידי הוספת סכימת Overlay L2 וירטואלית זו על גבי רשת L3, מנהלי הרשת יכולים להרחיב את השירותים מבוססי הענן שלהם מבלי להגדיר מחדש או להוסיף לתשתית הקיימת באופן משמעותי.

Fig1_new

איור 1 – וירטואליזצית רשת ללא ועם רשת מעטפת (Overlay Network)

 

טכנולוגית NVGRE

על מנת שלרשת Overlay יהיה כל שימוש, יש צורך בטכנולוגיה שתעטוף נתונים (Encapsulation) באופן המאפשר להם מנהור לתוך L2 ותנועה על פני L3. טכנולוגיה מובילה המספקת אנקפסולציה זו, ומטרתה לפתור גם את בעיות האבטחה והסקלאביליות נקראת Network Virtualization using Generic Routing Encapsulation – NVGRE. טכנולוגית NVGRE מספקת פתרון למתיחת רשת L2 מעל רשת IP וירטואלית ב-L3.

איור 2 – אנקפסולצית NVGRE

איור 2 – אנקפסולצית NVGRE

המושג NVGRE מבוסס על אנקפסולציה חדשה לתעבורת VM שבה נוצרת מנהרה לתעבורת VM באמצעות פרוטוקול GRE לניתוב. כפי שמראה איור 2, NVGRE עוטפת את תעבורת ה- VM ב- L2 (אית’רנט) עם כותרות MAC ו- IP חדשות, ומוסיפה כותרת NVGRE הכוללת מזהה רשת דייר (Tenant Network Identifier או TNI) – מזהה בן 24 סיביות המרחיב באופן קיצוני את מרחב הכתובות של ה- VLANs מ- 4,094 מגזרים עד ל- 16.7 מיליון מזהים זמינים, ובכך נפתרת סוגיית הסקלאביליות.

האנקפסולציה בנויה מהמרכיבים הבאים:

  • כתובת MAC חיצונית, המספקת את כתובות היעד והמקור הפיזיות של Hypervisors או של נתבי ביניים של L3.
  • כתובת 802.1q אופציונלית המספקת סימון נוסף לתעבורת NVGRE על הרשת המקומית (LAN).
  • כתובות IP חיצוניות, המהוות את כתובות ה- IP שהוקצו ל- hypervisors המתקשרים מעל L3.
  • כותרת GRE המציינת את ה- TNI. כל TNI משויך למנהרת GRE ספציפית המזהה את תת-הרשת הווירטואלית הייחודית של הדייר בתוך הענן.

תהליך הוספת האנקפסולציה והסרת האנקפסולציה (Decapsulation) מתבצע בתוך Hypervisor, המחבר את המכונות הווירטואליות עם רשת ה-IP. ולכן, ה- Hypervisor מבטיח שהמכונות הווירטואליות עצמן כלל אינן מודעות לפרוטוקול GRE שיושם כדי לתקשר ביניהן.

Multicasting הוא יתרון נוסף של העברת הודעות באמצעות L3, בניגוד ל- L2 המציע שידור (Broadcasting) בלבד. ה-Hypervisor קובע אם המכונות הווירטואליות המתקשרות נמצאות באותה קבוצת Multicast ובכך קובע אם נדרש שידור Unicast או IP Multicast. ה- Hypervisor מסוגל להבדיל בין רשתות לוגיות אינדיבידואליות ולזהות מכונות וירטואליות חדשות שצריך לשייכן לקבוצות multicast.

NVGRE הוא באמת פתרון היברידי המשלב את היתרונות של L2, כגון היכולת להעביר את המיקום של מכונות וירטואליות על מנת למקסם את היעילות של מרכז הנתונים, כאשר יכולת ההרחבה מושגת על ידי תעבורה באמצעות L3.
בהתחשב ביכולתה לענות על האתגרים של קיבוץ VLANs באמצעות פתרון וירטואליזציה, פתרון NVGRE נחשב לטכנולוגיה אידיאלית עבור מנהלי רשת העובדים בסביבת מחשוב ענן.

האתגר הנסתר של NVGRE

למרות שטכנולוגית NVGRE פותרת בעיות סקלאביליות ואבטחה, ולמרות שהיא עושה זאת בעלות כספית קטנה מאוד, יש שתי בעיות עיקריות שיכולות להשפיע על ביצועי IaaS:

  • ברשת Layer-2 מסורתית, מתקבל חסכון גדול למדי בעיבוד באמצעות Offloads של מעבד. עם זאת, בהתקנת NVGRE, יכולות התרת העומסים הקלאסיות של כרטיס רשת (NIC), כגון Checksum Offloading ו- Large Segmentation Offloading – LSO, לא ניתנות לשימוש יותר כי ההודעות הפנימיות אינן נגישות יותר עקב השכבה הנוספת של אנקפסולציה. אי לכך, משאבי מעבד נוספים נדרשים לבצע משימות שבעבר טופלו ביעילות רבה יותר על ידי כרטיס הרשת הקיים.
  • NVGRE מגבילה את היכולת להשתמש ב- Receive Side Scaling (או RSS) כדי להפיץ את התעבורה על פני מספר רב של ליבות המבוססות על ההודעות הפנימיות; כלומר יש ירידה חמורה ברוחב הפס. הרעה בלתי צפויה זו בביצועים והעלייה בתקורות המעבד מקזזות באופן משמעותי את היתרונות הרבים של שימוש ב- NVGRE.
איור 3 – כרטיס רשת Mellanox ConnectX-3 Pro משיג תפוקה מקסימלית ל- NVGRE

איור 3 – כרטיס רשת Mellanox ConnectX-3 Pro משיג תפוקה מקסימלית ל- NVGRE

כיצד פותרים את אתגר הביצועים?

בעוד טכנולוגית NVGRE מציעה יתרונות משמעותיים במונחים של סקלאביליות ואבטחה של רשתות וירטואליות, אין ערך נוסף אמיתי ליתרונות אלה אלא אם כן NVGRE משמרת את זמינותו של המעבד ושיעור דומה של תפוקה. עם זאת, מפני ש- NVGRE משתמשת בשכבת אנקפסולציה נוספת, נדרשת כתוצאה רמה גבוהה של שימוש ב-CPU ונמנע מ- offloads מסורתיים מלהפחית עומסי עבודה. גם התפוקה מושפעת תוצאה לא מכוונת ומצערת זו.

על מנת של- NVGRE יהיה ערך אמיתי, תקורת המעבד שהיא מיצרת חייבת להתבטל. ניתן לבטל תקורה זו על ידי תמיכה בכל offloads החומרה הקיימים בבקרי הרשת. זה כולל:

  • מתן אפשרות לבדיקת checksum שתבוצע בכותרות (headers) החיצוניות וגם הפנימיות
  • ביצוע LSO
  • טיפול ב- Netqueue כדי להבטיח שתעבורת מכונות וירטואליות מתחלקת בין ליבות ה- CPU השונות בצורה היעילה ביותר

קרדיט תמונה: 3d Concepts cloud computing devices / Shutterstock.com

הכתבה בחסות מלאנוקס

מרכזי הנתונים הווירטואליים של היום סובלים ממחסור בסקלאביליות ואבטחה, המגבילים את היכולת לבנות רשת מבוססת ענן בקנה מידה גדול. טכנולוגית NVGRE נועדה לפתור אתגרים אלה בעלות נמוכה על ידי אפשור רשת overlay וירטואלית בעזרת תתי-רשתות L3 ללא צורך להגדיר מחדש או להוסיף לרשת L2. בעוד NVGRE היא צעד בכיוון הנכון, ישנם אתגרי ביצועים בלתי צפויים שנוצרים מאובדן offloads קיימים בחומרה של כרטיס הרשת המעמיסים בחזרה את המעבד, וגם מחוסר תאימות עם RSS. על מנת לנצל את מלוא הפוטנציאל של NVGRE, ישנו צורך בחומרה שיכולה לתת מענה כמו שצריך לאתגרי ביצועים אלה. מלאנוקס טכנולוגיות היא החברה הראשונה והיחידה המספקת כרטיסי רשת הפותרים את בעיות הביצועים של NVGRE. הכרטיסים המבוססים על שבב בקר רשת ה- ConnectX®-3 Pro תומכים בטכנולוגית NVGRE ומסוגלים לאפשר את כל ה- offloads הקיימים והפצת כל תעבורת RSS, ולהשיג את התפוקה המקסימלית מטכנולוגית NVGRE.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

2 תגובות על "איך הופכים ענן לסקלאבילי? הכירו את טכנולוגיית NVGRE"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
איליה
Guest

הבעיה המרכזית עם הפתרון הזה הוא יצירת overhead לא סביר של תעבורה מיותרת. אם מדובר על יצירת L2 על גבי WAN, זה עלול להיות יקר מאוד במונחי רוחב פס, במיוחד אם מדובר על פקטות קטנות סטייל סטרימינג או טלפוניה.

האני
Guest

טכנולוגית ה- overlay משמשת באופן טיפוסי בתוך מרכז הנתונים, ובדרך כלל יש הרבה headroom עם זמינות ברוחב הפס במיוחד כאשר מדובר ברשתות 40 ו- 56 גיגהביט. מחוץ למרכז הנתונים (למשל לכיוון WAN), תעבורת הנתונים היא בדרך כלל decapsulated כלומר ללא overlay. ישנם גם מקרים של שמוש בתעבורה שהיא encapsulated מעל WAN, כמו בעננים היברידיים שבהם ניתן להעביר מכונות וירטואליות של אותו דייר ממרכז נתונים אחד למרכז אחר ולשתף משאבים. יש הרבה ערך מוסף לשימוש ברשתות overlay במקרים אלה, וקבלת ההטבות כרוכה במחיר תקורה נוספת. אז הגמישות קיימת שם לכל מקרה שימוש.

wpDiscuz

תגיות לכתבה: