《Cloud Native Data Center Networking》(云原生数据中心网络设计)读书笔记 -- 07数据中心的边缘

本章将帮助你回答以下问题

  • 可以用哪些方式将 Clos 拓扑连接到外部网终?
  • 边缘部署路由协议的最佳实践是什么?
  • 企业应如何处理混合云中的连接?

连接模型

为什么要连接到外部世界?

数据中心连接到外部世界的原因很多。如果你要对外提供某种服务(例如搜索服务广告推荐系统或内容发布),那么只有连接到外部网络上,其他人才能访问你的应用另一个越来越常见的场景是数据中心的一部分部署在云中,因此需要外部连接来访问这部分内容。第三个原因是需要连接到外部以获取数据,例如运行 Web 爬虫程序抓取数据,然后由数据中心内运行的应用程序对其进行操作(例如,构建搜索索引或为机器学习模型提供训练数据)

外部连接的带宽要求

数据中心内部的带宽可能非常大。在一个采用二层 Clos 拓扑的数据中心中,假如包含四个spine 交换机和 16个leaf交换机,leaf和spine 之间采用 100GbE 连接,
则leaf之间的连接为 400GbE,而每个 spine 交换机需要处理的带宽为 1.6 Tbps(16x 100GbE)。在更大的网络中,例如有 32 个或者 64 个 leaf 交换机的网络中,spine 需要处理的带宽会更高 (3.2 或 6.4 Tbps) 。由于每个 leaf 都连接到四个或更多的 spine 上,因此数据中心网络的总带宽容最可以轻松超过 10 Tbps。高带宽容量是现代数据中心网络区别于传统数据中心的一个重要特征。

将Clos拓扑连接到外部世界

图 9-1 展示了将两层 Clos 拓扑连接到外部世界的最常见的方法。图中引入了一种新的 leaf 交换机,称为 border leaf交换机,有时也称为出口 leaf 交换机。该交换机与其他 leaf 交换机相似,唯一的不同之处在于,它并不连接内部的服务器,而是连接到面向 Internet 的路由器,然后再通过这些路由器连接到外部的世界。

Border Leaf 交换机的数量取决于网络内部流量带宽和外部流量带宽之间的收敛比。最少需要两个 Border Leaf 交换机,以避免单点故障。每个 Border Leaf 交换机都会连接到一个 Internet路由器上,不过更常见的是连接到一对 Internet 路由器上,这样单条链路故障不会导致一台 Border Leaf 交换机失效。

Border Leaf 交换机会连接到所有spine交换机。

二层Clos连接到外部世界

image-20240516231948547

三层Clos连接到外部世界

image-20240516232340909

使用spine交换机将Clos拓扑连接到外部世界

image-20240821233807020

服务

Border Leaf 节点还可以用于放置各种网络服务(例如防火墙和负载均衡器),以对外部世界到数据中心的访问进行控制。防火墙通常部署在 Border Leaf 节点上,以保只有授权的流量才能在内部和外部网络之间通过。在图 9-4 中画出的砖墙就是防火墙。

图9-4 中的 Border Leaf交换机使用了两个 VRF,其中绿色的 VRF 用于内部网络,黑色的 VRF 用于外部网络。spine 交换机和非 Border Leaf 交换机不需要关注这种VRF 的用法,它们使用缺省的VRF 相互通信以及与 Border Leaf 交换机通信。Internet 路由器也不需要了解 Border Leaf 交换机是如何使用 VRF的。

Border Leaf交换机通过 BGP,OSPF 或者 IS-IS 学习路由,并将通过内部网络学习得到的路由放在绿色的VRF中,通过 Internet 路由器学习得到的路由 (通常是默认路由)则放在黑色的VRF中。

防火墙连接到 Border Leaf 交换机上。Border Leaf 交换机有两个或更多网络接口连接到防火墙。这些接口不必是物理链路,而可以是在一条物理链路上通过不同的 VLAN标签创建多个逻辑接口。在这种情况下,VLAN标签就是所谓的L3子接口。Border Leaf交换机将两个接口标记为属于不同的VRF。在我们的示例中,一个属于黑色的VRF,另一个属于绿色的VRF。防火墙有两个 BGP 会话:一个在绿色子接口上,另一个在黑色子接口上。

image-20240516233452034

和spine 交换机以及常规的 leaf 交换机一样,防火墙也不知道 VRF。防火墙只是将通过绿色链接学习得到的路由重新发布到黑色链接上的BGP 会话,反之亦然。因此Border Leaf通过Internet路由器学习得到的默认路由会通过黑色链接发送到防火墙,防火墙通过绿色链接上的 BGP 会话重新发布该路由。从内部网络穿越到外部网络的流量的角度来看,流量现在自动流过了防火墙。

跟踪分析从服务器到 Internet 的流量:

1)连接到 L1 的服务器上发往外部世界的流量到达 L1,因为 L1 是这些服务器的缺省网关。

2)L1 看到路由与默认路由匹配,根据数据包头计算得到的哈希值选择一个 spine交换机进行发送。

3)和上一步骤一样,spine 根据哈希将数据包传递到其中一个 Border Leaf。

4)Border Leaf将数据包通过绿色的链接发送到防火墙,因为这是默认路由的出向接口。

5)数据包到达防火墙。如果该数据包未被授权转发到外部,则防火墙会丢弃该数据包。

6)如果防火墙认为该数据包是合法的,那么它将通过黑色链接路由该数据包 (从黑色链接学习得到的默认路由)

7)现在数据包被转发回 Border Leaf,但这一次是通过黑色 VRF 中的黑色链接传送的。

8)Border Leaf在黑色VRF中查找路由,这一次将数据包分发到了Internet路由器上

从互联网路由器到内部网络的数据包的处理与此过程相反。在这种情况下,黑色VRF 具有到内部网络的路由,该路由将数据包发向防火墙。只有防火墙允许了数据包,它才会通过绿色链接将数据包传送回 Border Leaf。

如果还有类似负载均衡器之类的其他服务,那么也可以通过类似的方式将它们连接起来,流量先从防火墙到负载均衡器,然后再进入内部或外部。

混合云连接

混合云的定义是由企业的本地服务器和云服务供应商的服务器一起组成的数据中心。这两组服务器彼此之间可以透明地通信,就像在一个本地数据中心中一样。

在公有云中运行服务的最常见模式是采用 VPC (Virtual Private Cloud,虚拟私有云)实例。一个 VPC 内包含多个通过 L3 网络连接的计算节点。如同目前为止我们讨论过的那些云原生数据中心网络一样,VPC 内的连接是纯粹的 L3。我没有听说有任何云服务供应商在 VPC 内提供L2 连接。此外也不能在 VPC 内使用多播或广播。VPC 内也不运行任何路由协议。

每个 VPC 中包含一个或多个子网。每个 VPC 都有一个虚拟的私有路由器 (在某些云解决方案中称为虚拟私有网关) ,该路由器提供子网之间的路由,并控制从外部对VPC的访问。VPC 可以通过 NAT 来访问Internet,或提供外部可以访问的IP地址。这些IP 地址通过网关路由到内部的终端上。每个 VPC 也可以通过同一网关与其他VPC 通信。一个 VPN 也可以通过这个网关和其他的 VPN 进行通信。

从外部连接到 VPC 有两种方法: 要么使用 VPN,要么直接通过路由连接到云服务提供商。

第二种方法有两种变体:

  • 一种是客户网络直接挂接到云服务供应商的网络上
  • 一种是云服务供应商提供一个连接到客户本地数据中心的 WAN 连接。

图 9-5展示了这些将本地数据中心连接到 VPC 的方法。

image-20240517002437717

基于 VPN的连接

这是最常见的选择,但灵活性也最差。由于需要对流量进行加/解密,和经过Internet 的不稳定性,导致这种方式的容量和性能不高。通常选择它的理由是因为它比其他两者更便宜。

直接连接

如果你需要在本地站点和 VPC 之间传输大量数据,或者点对点的 VPN 连接不能满足复杂的网络需求,则建议使用此选项。不同的云服务提供商使用了不同的术语来描述这种服务。AWS 将其称为 DirectConnect,Microsoft Azure 将其称为 ExpressRoute,而Google 则称为 Cloud Inter-connect。云服务供应商要么直接与本地客户网络互连,要么通过运营商的 WAN 链路互连,例如采用点对点以太网 (例如 QinQ)或者 MPLS VPN 连接。

所有的这些选项,包括点对点以太网连接的方式,都只提供本地数据中心和 VPC之间的路由连接。因此无论是在 VPC 内还是 VPC 和本地数据中心之间的连接都是L3连接。

image-20240517002737854

考虑图 9-6 所示的例子,一家企业在纽约和旧金山两地均设有办公室,这两处办公室分别在云服务供应商的东海岸和西海岸地区有对应的 VPC 实例。纽约和旧金山数据中心路由器的路由表中同时存在到这两个 VPC 的路由。当从纽约的办公室访问东海岸 VPC时,你会希望数据包不采用图中所示的经过西海岸 VPC的较长路径而是采用较短的直接到东海岸 VPC 的路径。在这种情况下,BGP 允许你通过 route-map 进行各种策略决策。

所有云服务供应商都允许采用 BGP 来通告私有和公网IP 地址。BGP 使用了私有ASN来建立对等会话,并且这是一个外部 BGP 多跳会话。如果在 VPC 和本地数据中心中同时运行了IPv4和IPv6,则需要为IPv4和IPv6分别创建单独的BGP会话。目前所有云服务供应商都是这样处理的。当从云服务供应商的网络直接连接到客户的本地数据中心时,会在面向 Internet 的路由器上建立 BGP 对等会话。

他们还会阻止将VPC网关作为到Internet的中转站点。换句话说,通过这些对等会话,VPC网关可以通过本地数据中心访问 Internet,特别是在本地路由器通告了默认路由的情况下。但是本地数据中心无法使用云作为访问 Internet 的中转站。

为了能够快速检测故障,云服务供应商还建议在互连链路运行 BFD

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/52227.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

35岁程序员转行大模型:如何把握行业机遇与个人发展

对于一位35岁的程序员想要转行到大模型领域,这是一个很好的时机,因为人工智能和大模型技术正在快速发展,并且有着广泛的应用前景。以下是一些具体的步骤和建议,可以帮助您顺利地完成这一转变: 基础知识学习 数学基础&a…

科技在日常生活中的革新

在科技日新月异的今天,‌我们的生活正经历着前所未有的变革。‌从智能家居到可穿戴设备,‌科技已经渗透到我们生活的每一个角落,‌深刻地影响着我们的生活方式和社会经济的发展。‌ 智能家居系统的出现,‌无疑是科技改变生活的典…

[鹏城杯 2022]简单的php

题目源代码 <?phpshow_source(__FILE__); $code $_GET[code]; if(strlen($code) > 80 or preg_match(/[A-Za-z0-9]|\|"||\ |,|\.|-|\||\/|\\|<|>|\$|\?|\^|&|\|/is,$code)){die( Hello); }else if(; preg_replace(/[^\s\(\)]?\((?R)?\)/, , $code…

深度剖析C++string(上篇)

目录 前言 1.C string类 2.string类中的常见构造 3.string类对象的容量操作 4.. string类对象的访问及遍历操作 5. auto和范围for(补充&#xff09; auto关键字 范围for 结束语 前言 C语言我们学习了字符串和字符串的相关函数&#xff0c;在C语言中&#xff0c;字符串是…

10 Java数据结构:包装类、数组(Array工具类)、ArrayList

文章目录 前言一、包装类1、Integer&#xff08;1&#xff09;基本用法&#xff08;2&#xff09;JDK5前的包装类用法&#xff08;了解即可&#xff0c;能更好帮助我们理解下面的自动装箱和自动拆箱机制&#xff09;&#xff08;3&#xff09;自动装箱与自动拆箱机制 --- 导致&…

【学习笔记】Day 21

一、进度概述 1、机器学习常识19-22&#xff0c;以及相关代码复现 二、详情 19、矩阵分解 矩阵分解是一个纯数学问题&#xff0c;但当给矩阵赋予现实意义后&#xff0c;矩阵分解就成为了使用数学应对机器学习问题的一类典型而巧妙的方法。 在线性回归分析中&#xff…

esp32c3 luaos

提示&#xff1a;文章写完后&#xff0c;目录可以自动生成&#xff0c;如何生成可参考右边的帮助文档 文章目录 前言一、介绍二、相关介绍2.1helloworld——2.2任务框架2.3消息传递 与消息订阅2.4uart2.5二进制数据/c结构体的打包与解析2.6 zbuffer库2.8 uart 485 数据解析2.9 …

缓存实现方式

缓存是一个常见的话题&#xff0c;因为它对于提高应用程序性能至关重要。缓存是一种存储数据的临时地方&#xff0c;以便快速访问数据&#xff0c;减少对原始数据源&#xff08;如数据库或文件系统&#xff09;的访问次数&#xff0c;从而提高应用程序的响应速度和吞吐量。 Jav…

如何应对突发技术故障和危机:开发团队的应急策略

开发团队如何应对突发的技术故障和危机&#xff1f; 在数字化时代&#xff0c;软件服务的稳定性对于企业至关重要。然而&#xff0c;即使是大型平台&#xff0c;如网易云音乐&#xff0c;也可能遇到突发的技术故障。网页端出现502 Bad Gateway 报错&#xff0c;且App也无法正常…

如何在VMware ESXI中创建Linux虚拟机并实现异地SSH远程访问

目录 ⛳️推荐 前言 1. 在VMware ESXI中创建Ubuntu虚拟机 2. Ubuntu开启SSH远程服务 3. 安装Cpolar工具 4. 使用SSH客户端远程访问Ubuntu 5. 固定TCP公网地址 ⛳️推荐 前些天发现了一个巨牛的人工智能学习网站&#xff0c;通俗易懂&#xff0c;风趣幽默&#xff0c;忍不…

重塑“我店”平台:绿色积分引领的数字消费新纪元

在数字化转型的洪流中&#xff0c;“我店”平台凭借其创新的绿色积分体系异军突起&#xff0c;成为市场中的璀璨新星。本文将深度剖析“我店”的运营模式、市场效应及其如何通过绿色积分机制开创消费新潮流。 一、崛起之路与市场震撼力 自2021年盛夏在上海启航以来&#xff0c…

ffmpeg读取时长、读取视频格式

ffmpeg读取时长、读取视频格式 ffmpeg读取时长ffmpeg读取视频格式 ffmpeg读取时长 命令命令介绍具体用法ffmpeg -i查看视频时长ffmpeg -i 视频链接 or 视频路径 2>&1 | grep Duration ffmpeg读取视频格式 命令命令介绍具体用法ffmpeg -i查看视频时长ffmpeg -i 视频链接…

Java CompletableFuture:你真的了解它吗?

文章目录 1 什么是 CompletableFuture&#xff1f;2 如何正确使用 CompletableFuture 对象&#xff1f;3 如何结合回调函数处理异步任务结果&#xff1f;4 如何组合并处理多个 CompletableFuture&#xff1f; 1 什么是 CompletableFuture&#xff1f; CompletableFuture 是 Ja…

<数据集>商品条形码识别数据集<目标检测>

数据集格式&#xff1a;VOCYOLO格式 图片数量&#xff1a;3748张 标注数量(xml文件个数)&#xff1a;3748 标注数量(txt文件个数)&#xff1a;3748 标注类别数&#xff1a;1 标注类别名称&#xff1a;[Barcode] 序号类别名称图片数框数1Barcode37484086 使用标注工具&am…

探索Qotom Q51251OPS迷你电脑:功能与广泛应用

Qotom Q51251 OPS&#xff08;开放可插拔规范&#xff09;迷你电脑是一款设计紧凑且功能强大的设备&#xff0c;旨在满足不同领域的多样化需求。基于英特尔Core i5-12450H Alder Lake H处理器&#xff0c;这款设备不仅具备出色的计算性能&#xff0c;还提供了丰富的连接选项&am…

【MySQL】数据库基础(库的操作)

目录 一、MySQL安装、连接、修改密码操作 二、库的操作 2.1 创建数据库 2.2 字符集和校验规则 2.3 操控数据库 2.4 修改数据库 2.5 删除数据库 2.6 数据库的备份和恢复 2.7 查看连接情况 前情提要&#xff1a; 我的服务器操作系统是Ubuntu20.04&#xff0c;安装的是M…

【好书推荐】值得深读的EMC参考书籍

以下排序不分先后&#xff0c;都是好书&#xff01; 书名&#xff1a;Electromagnetic Compatibility Engineering 作者&#xff1a;Henry W. Ott 这本书的讨论重点放在了经济高效的EMC设计上&#xff0c;并将数学的数量和复杂度保持在最低限度&#xff0c;辅以 250 多个带有…

Jenkins汉化配置详解

Window安装构建神器Jenkins Window安装构建神器Jenkins详细教程-CSDN博客DevOps&#xff0c;CI&#xff0c;CD&#xff0c;自动化简单介绍选择其他需要和Jenkins一起安装的服务&#xff0c;点击Next。https://blog.csdn.net/qq_37237487/article/details/141299623 登录进入J…

什么是BOM,有哪些分类?

一、什么是BOM&#xff1f; BOM是物料清单的缩写&#xff0c;也称为产品结构表或产品结构树。 BOM的作用主要是通过计算机辅助企业生产管理&#xff0c;使计算机能够识别企业所制造的产品构成和所有要涉及的物料。 在制造业中&#xff0c;BOM是一份详细记录制造某个产品时所…

cdr工具介绍之刻刀工具

在日常的生活当中&#xff0c;在很多时候我们会遇到各种各样的难题&#xff0c;但软件cdr他就是一个神奇的存在&#xff0c;因为他能帮助我们解决很多专业方面的的知识。尽管他的内容相比较其他的一些设计软件而言相对于较为少&#xff0c;但是他确实一个非常适合于平常的工作学…