sexta-feira, 24 de fevereiro de 2017

VXLAN - Virtual Extensible LAN

Expansão dos Datacenters:

Devido a expansão e mobilidade dos Datacenters, surgiu a necessidade de estender as VLANs através ou além dos DCs, utilizando assim os recursos mais eficientes, considerando VMs que poderão estar alocadas em inumeras localizações físicas distintas, atribuíndo para estas VMs a habilidade de mover-se entre diferentes localizações sob-demanda.

Devido esses cenários fez-se necessário a implantação de tecnologias de sobreposição (overlay). Essa tecnologia tornou-se muito popular devido às suas capacidades de conectividade no espaço lógico a partir da infra-estrutura de rede física.

A rede física tornou-se efetivamente um backplane usado para transportar o tráfego de overlay .

A sobreposição de rede virtual é uma forma de virtualização de rede que cria uma camada virtual de  rede em cima de uma infra-estrutura de rede física.

As técnicas de sobreposição(overlay) ou encapsulamento essencialmente servem para criar uma topologia virtual (ou link virtual) em cima de uma topologia física, adicionando outra camada de encapsulamento para o tráfego original.

Na sobreposição das redes virtuais com produtos como NSX (VMware) trabalham com o encapsulamento de tráfego sendo executado pelo Edge da rede, que na maioria das vezes é o switch virtual que reside no hipervisor dos hosts.

O efeito de dissociação ajuda a resolver muitos dos desafios que os DC tradicionais estão enfrentando hoje em dia tais como:
  • Implementação ágil e rápida de aplicativos: 
    • O design tradicional de redes representa um gargalo de rollout da nova aplicação no ritmo que as empresas estão exigindo. O tempo necessário para provisionar a rede e Infra-estrutura em apoio de um novo aplicativo muitas vezes é contado em dias, se não semanas.
  • Mobilidade de carga de trabalho: 
    • A virtualização computacional permite a mobilidade de cargas de trabalho virtuais em diferentes servidores físicos conectado à rede do data center. Em projetos tradicionais de datacenters, isso requer estender os domínios L2 (VLANs) em toda a infra-estrutura de rede do data center, afetando a escalabilidade global e potencialmente comprometendo a resiliência geral do projeto.
  • Multi-tenancy de grande escala: 
    • O uso de VLANs como um meio de criar redes isoladas limita a 4094 o máximo de tenants que podem ser suportados. Esse número, embora possa parecer grande para implantações corporativas típicas, está se tornando um grave gargalo para a maioria dos provedores de nuvem.
Existem diferentes protocolos de encapsulamento que estão disponíveis para a sobreposição virtual, como VXLAN, STT e NVGRE. As diferenças tecnológicas são pequenas entre os três protocolos e a escolha de qual protocolo deverá ser utilizado para a implementação dependerá do produto que será adotado para a solução.

A solução Virtual Extensible LAN (VXLAN) tornou-se a tecnologia de sobreposição padrão, e utilizada por vários fornecedores. VXLAN foi desenvolvido pela VMware em conjunto com Arista, Broadcom, Cisco, Citrix, Red Hat e outros.

Implantando VXLAN disponibiliza a construção de redes lógicas que proporcionam adjacência L2 entre cargas de trabalho, sem o problema e escalabilidade encontradas com as tecnologias tradicionais da camada 2.

VXLAN: (Virtual Extensive LAN)


VXLAN é uma tecnologia de Ethernet sobre IP, no qual o frame original é encapsulado em um pacote UDP e entregue sobre uma rede de transporte, esta tecnologia prove a habilidade de estender a rede layer 2  através dos limites da rede layer 3 e utilizam a capacidade através de clusters.

Figura 1:;Vxlan Encapsulation
    Encapsular o quadro Ethernet original em um pacote UDP aumenta o tamanho do pacote IP. Por esta razão, o aumento da MTU para um mínimo de 1600 bytes é recomendado para todas as interfaces na infra-estrutura física que irá transportar o quadro. O MTU para os uplinks VDS dos hosts ESXi o encapsulamento VXLAN é aumentado automaticamente quando preparando o host para o VXLAN (a partir da interface de usuário do Gerenciador NSX).

     Recursos da  VXLAN:
    • Permite criar uma rede lógica para as VMs através de diferentes redes.
    • O MTU requirido é o minimo de 1600 bytes para suportar IPv4 e IPv6
    • O tráfego é encapsulado e exposto para o cabeçalho VXLAN pelo Virtual Tunnel end Point (VTEP).
    • Expande o numero de segmentos lógicos de 4094 para mais de 16 milhões;
    • ID da VXLAN é conhecido como VNI (VXLAN network identifier);
    • Aparece transparente para as VMs;
    • Adiciona 50 bytes ao frame original;
    • Vxlan utiliza o protocolo UDP e a porta 8742;
    Observação: A infra-estrutura de rede física deve ser configurada para suportar pelo menos 1550 bytes de MTU.
    • Benefícios:
      • É escalável mutitenance atraves do DC;
      • Fornece habilidade para configurar redes L2 sobre a infraestrutura L3;
      • Os Switches Lógicos atravessam pelos de hosts físicos e switches de rede;
    O modo de agregação recomendado para o tráfego VXLAN para hosts ESXi é o LACP. Fornece a utilização suficiente de ambos os links e redução do tempo de fail-over. Ele oferece a simplicidade de configuração VTEP e solução de problemas.

    VXLAN consiste dos seguintes componentes:

    VTEP: VXLAN Tunnel end Point 
    • Os VTEPs são responsáveis por encapsular e des-encapsular o tráfego de redes VXLAN. Cada host tem um ou dois VTEPs. Eles são atribuídos uma porta VMkernel que se conecta a uma VLAN específica que a sobreposição (VXLAN) irá operar.
    • Por que ter mais de um VTEP em um host? Uma razão é o equilíbrio de carga do seu tráfego VXLAN sobre vários pNICs.
    • Seu host deve ter no mínimo dois uplinks, e eles podem ser conectados ao mesmo switch ou dividir entre switches, LACP pode estar em uso ou não, e todos estes determinam como você vai configurar a sua Política de Teaming.
    • O VTEP pode tanto ser implementado como um módulo de software em um Switch Virtual, em um Servidor ou em um Switch Top-of-Rack (ToR). Uma interface VTEP é vinculada a um endereço IP único e pode ser considerada equivalente a uma interface loopback.
      • Os VTEPs são responsáveis pela encapsulação e descapsulação de cabeçalhos VXLAN;
      • VTEP é uma interface VMKernel que encapsula o frame Ethernet original com o cabeçalho VXLAN;
      • A função do VTEP é encapsular o tráfego da VM dentro de um IP header para enviar através de uma rede IP;
      • NSX oferece  funcionalidade Hardware VTEP com vários parceiros;
      • Hardware VTEP em contexto com VMware NSX referencia switches fisicas ou roteadores com capacidade de VXLAN;
      • É uma entidade que encapsula o frame ethernet em um VXLAN Frame ou expoe um VXLAN frame e encaminha o Frame Etherne
      • É o VMkernel interface que serve como  um endpoint para encapsular o trafego ou expor o trafego VXLAN;
      • Não suporta fragmentação;
      • Usando VTEP o VXLAN aumenta a escalabilidade de componentes de rede;
      • Cada rede VXLAN é uma rede logica isolada;
      • Transporte Zone define o membro ou VTEPS de cada VXLAN overlay pode incluir ESXi hosts de diferentes VMware vSphere Clusters;
      • Um único cluster pode ser parte de múltiplos transport zones;
    Controlador de Plataforma de Virtualização de Rede (NVP):
    • NVP Controller é o controlador de rede para gerenciar componentes da nuvem. 
    • O protocolo OVSDB é o protocolo usado para comunicação entre VTEPs e o controlador. 
    • As funções de nível superior do NVP são:
      • Fornecer uma GUI para criar gateways de serviços.
      • Gerencie os VTEPs .
      • Vincula a porta ea VLAN;
      • Instalar túneis VTEP;
      • Distribuir os VTEPs para MAC vinculativo a todos os VTEPs relevantes;
      • Fornecer uma interface para a orquestração em nuvem no gerenciamento de data centers em nuvem.
    VXLAN GATEWAYS:
    • Uma das maneiras de permitir a conexão entre VXLAN e uma VLAN tradicional é através de um equipamento (virtual ou não) chamado de VXLAN Gateway.
    • Os Gateways VXLAN atuam como os VTEPs que encapsulam e desencapsulam cabeçalhos VXLAN.
      • Os papéis e responsabilidades do Gateway são:
      • Conecta-se ao cliente NVP com base na configuração do usuário;
      • Anuncia as portas voltadas para o sul do VXLAN para o cliente NVP;
      • Cria redes lógicas baseadas em mensagens do NVP;
      • Cria túneis para VTEPs com base em mensagens do NVP;
      • Vincula a porta e a VLAN a redes lógicas baseadas em mensagens do NVP;
      • Vincula MACs ao VTEP e à rede lógica baseada em mensagens do NVP;
      • Anuncia MACs aprendidos em portas compatíveis com VXLAN voltadas para o sul para o cliente NVP.
    VXLAN Frame Walk
    • VM1 envia o quadro(frame) l2 para o VTEP local
    • VTEP adiciona o VXLAN, UDP e IP header
    • Transporte fisico encaminha como um pacote IP regular
    • Destination Hypervisor VTEP de-encapsulates Frame
    • L2 Frame encaminha para a VM2
    VXLAN LIF:
    • VLXAN  LIFs é um tipo de conexão ascendente mais comum. O Roteamento Lógico funciona com segmentos de chave lógica VXLAN. O primeiro encaminhamento de salto é tratado no host e o tráfego é roteado para a VXLAN correspondente. Se necessário, ele é encapsulado para seguir através da rede de transporte para chegar ao destino em outro host.
    • Uma instância designada não é necessária no caso de VXLAN LIFs. O próximo roteador de salto é geralmente uma VM dentro da zona de transporte - como um Gateway de Serviços de Borda NSX. Recomenda-se que o roteamento lógico distribuído alavanque VXLAN LIFs, pois eles funcionam melhor com esse recurso. Um VXLAN LIF pode abrangir todos os VDS na zona de transporte.
    • Há três casos de uso nos quais as interfaces LIF podem ser configuradas. Existem três configurações de interface LIF internas para uplink:
      • VXLAN para VXLAN
      • VXLAN para VLAN
      • VLAN para VLAN
    VLAN LIF
    • Nem todas as redes exigem ou têm conectividade VXLAN em todos os lugares. O DLR pode ter um uplink que se conecta a grupos de portas VLAN. O primeiro hop de roteamento é tratado no host, em seguida, roteados em um segmento VLAN. Deve haver uma ID de VLAN associada ao dvPortGroup.
    •  A VLAN 0 não é suportada. VLAN LIFs requerem uma instância designada.
    • VLAN LIF geralmente introduzem algumas limitações de projeto em uma rede. Uma consideração de design de um PortGroup por switch distribuído virtual pode limitar este tipo de ligação ascendente e só pode haver um VDS. A mesma VLAN deve abranger todos os hosts no VDS. Isso não se dimensiona à medida que a Virtualização de Rede procura reduzir o consumo de VLANs.
    VXLAN Overlay Tunnel:
    • Quando VMs em diferentes hosts comunicam, um VXLAN overlay é estabelecido entre VTEP em ambos os hosts;
    Figura 2: Vxlan Overlay

    VTEP Proxy:
    • É um VTEP que encaminha o tráfego VXLAN do segmento local para outro VTEP em um segmento remoto. É usado em Unicast Tunnel End Point (UTEP) e multicast Tunnel End Poit (MTEP);
    VXLAN Number Identifier:
    • O range de VNI começa em 5000 e varia até 16,7 milhões. Atualmente, há um limite de 10.000 VNIs devido à limitação vCenter de 10.000 dvPortGroups.
    • VNI é 24-bit number que é adicionado ao quadro VXLAN;
    • VNI único segmento que identifica  para qual quadro ethernet pertence;
    • Múltiplos VNIs podem existir no mesmo trasporte zone;
    • NSX for vSphere inicia com VNI 5000;
    VXLAN Protocol:
    • Configura limites de overlay em transporte entre os hosts ESXi.
    Transport Zone:
    • Por padrão, o Modo de Replicação do switch lógico é determinado pelo modo configurado na Zona de Transporte;
    • Todos os clusters da mesma transporte zone compartilham a mesma VNI;
    • Um ou mais vDS podem ser parte do mesmo transporte zone.
    • Um transporte Zone pode conter múltiplos clusters e um cluster pode ser parte de múltiplos transport zones;
    Figura 3: Transport Zone
    Range dos Segmentos de rede / VNI (VXLAN NUMBER IDENTIFIER):
    • O intervalo do pool dos IDs dos segmentos são configurado durante a e preparação do cluster de host. 
    • Os IDs VNI são alocados a partir deste pool e um ID é alocado por Chave Lógica.
    • O pool ID começa em 5000.
    • Se você fez um intervalo de exemplo de 5000-5999 você poderia provisionar 1000 switches lógicos dentro do intervalo.

    Modos de replicação

    Quando duas VMs conectadas a diferentes hosts ESXi precisam se comunicar diretamente, o tráfego unicast VXLAN-encapsulated é trocado entre o VTEP e o endereço IP associados aos seus hipervisores associados. O Tráfego originado por uma VM também pode precisar ser enviado para todas as outras VMs pertencentes ao mesmo switch lógico. As instâncias específicas deste tipo de tráfego L2 incluem transmissão,Unicast e multicast. Estes tipos de tráfego multi-destino refere-se ao uso do acrônimo BUM (Broadcast, Unknown Unicast, Multicast).

    Em cada um desses cenários, o tráfego originado por um determinado host ESXi deve ser replicado para o controle remoto múltiplo.

    O NSX suporta três modos de replicação diferentes para habilitar a comunicação multi-destino em VXLAN com suporte a switches lógicos:
    1. Multicast
    2. Unicast 
    3. Híbrido
    Por padrão, um switch lógico herda sua replicação em modo de Zona de Transporte, embora este comportamento possa ser substituído ao Nível do switch lógico.
    A compreensão do conceito de "segmento VTEP" é importante para discussão dos modos de replicação.


    MODO MULTICAST:

    Requer IGMP para a topologia de camada 2 e multicasting routing para a topologia de camada 3.
    Multicast é visto frequentemente em cenários de upgrade de VMware vCloud Networking e Security
    Quando o modo de replicação Multicast é escolhido para um determinado switch Lógico, o NSX depende da capacidade de multicast L2 / L3 nativa da rede física para garantir que o tráfego multidestino encapsulado em VXLAN seja enviado a todos os VTEPs. O modo de multicast é o processo para tratar o tráfego BUM especificado pelo projecto IETF do VXLAN e não alavanca nenhum dos melhoramentos introduzidos pelo NSX com a introdução dos clusters do controlador. Esse comportamento não alavanca o desacoplamento de redes físicas e lógicas, uma vez que a comunicação no espaço lógico é baseada na configuração de multicast necessária na infra-estrutura de rede física.

    Neste modo, um endereço IP multicast deve ser associado a cada segmento VXLAN L2 definido. A capacidade de multicast L2 é usada para replicar o tráfego para todos os VTEPs no segmento local (ou seja, endereços IP VTEP que fazem parte da mesma sub-rede IP). Além disso, o IGMP snooping deve ser configurado nos switches físicos para otimizar a entrega de tráfego multicast L2. Para garantir que o tráfego multicast também seja entregue aos VTEPs em uma sub-rede diferente do VTEP de origem, o administrador de rede deve configurar o PIM e ativar o roteamento multicast L3.


    Figura 4: Mulicast Mode

    O segmento VXLAN 5001 está associado ao grupo multicast 239.1.1.1. Quando a primeira VM está conectada ao switch lógico, o hipervisor ESXi que hospeda a VM gera uma mensagem de junção IGMP para notificar a infra-estrutura física que está interessada em receber tráfego multicast enviado para esse grupo específico.
    Como resultado das junções IGMP enviadas pelo ESXi1-ESXi-3, o estado multicast é armazenado na rede física para garantir a entrega de quadros multicast enviados para o destino 239.1.1.1. Neste exemplo, o ESXi-4 não envia a junção IGMP porque não hospeda nenhum receptor ativo (isto é, VMs conectadas ao segmento VXLAN 5001).

    Figura 5: Multicast Mode

    Processo de comunição da Vxlan em modo Multicast
    1. VM1 gera um quadro BUM.
    2. ESXi-1 VXLAN - encapsula o quadro original. O endereço IP de destino no cabeçalho IP externo é definido como 239.1.1.1 e o pacote multicast é enviado para a rede física. Nesse caso, o ESXi-1 atua como uma fonte para o fluxo multicast 239.1.1.1.
    3. O comutador L2 que recebe a estrutura multicast e executa replicação. Onde IGMP snooping está configurado no switch, ele será capaz de replicar o quadro para as interfaces relevantes conectar a ESXi-2 e ao roteador L3. Se o IGMP snooping não estiver ativado ou suportado, o switch L2 trata o quadro como um pacote de broadcast L2 e o replica para todas as interfaces pertencentes à mesma VLAN da porta onde o pacote foi recebido.
    4. O roteador L3 executa a replicação multicast L3 e envia o pacote para a sub-rede de transporte B.
    5. O parâmetro L2 comporta-se de forma semelhante ao que foi discutido no passo 3 e replica o enquadramento.
    6. ESXi-2 e ESXI-3 decapsulate os pacotes recebidos VXLAN, expondo os quadros Ethernet originais que são entregues a VM2 e VM3.

    Ao configurar o modo multicast, deve ser feito aconsideração sobre como realizar o mapeamento entre segmentos VXLAN e grupos multicast.
    MODO UNICAST:

    Todo o trafego é replicado pelo VTEP;
    No mesmo segmento o trafego é replicado pelo VTEP de origem;
    Em um segmento de VXLAN remoto o NSX controller instace seleciona o proxy VTEP.

    O modo unicast representa a abordagem oposta do modo multicast, em que a dissociação de redes lógicas e físicas é totalmente alcançada. No modo unicast, os hosts ESXi no domínio NSX são divididos em grupos separados (isto é, segmentos VTEP) com base na sub-rede IP das interfaces VTEP. Um host ESXi em cada segmento VTEP é selecionado para desempenhar o papel de Unicast Tunnel End Point (UTEP). O UTEP é responsável pela replicação de tráfego de destino múltiplo recebido de hypervisors ESXi que hospedam VMs em diferentes segmentos VTEP. Ele distribui esse tráfego para todos os hosts ESXi dentro de seu próprio segmento (isto é, hosts cujos VTEPs pertencem à mesma sub-rede da interface VTEP do UTEP).
    Para otimizar o comportamento de replicação, cada UTEP somente replicará o tráfego para hosts ESXi em um segmento local que tenha pelo menos uma VM ativamente conectada à rede lógica onde o tráfego de destino múltiplo é destinado. Da mesma forma, o tráfego só será enviado pelo ESXi de origem para os UTEP remotos se houver pelo menos uma VM ativa conectada a um host ESXi nesse segmento remoto.

    Figura 6: Unicast Mode


    Processo de comunição da Vxlan em modo Unicast
    1. VM1 gera um quadro BUM para ser enviada para cada VM conectada ao Switch Lógico 5001. Nesse caso, não há necessidade de especificar um grupo multicast associado a este segmento VXLAN.
    2. ESXi 1 referencia a sua tabela VTEP local. Esta tabela é preenchida com a informação recebida através da comunicação do plano de controle com os nós do controlador. A verificação valida a necessidade de replicar o pacote para o outro VTEP pertencente ao segmento local, ESXi2, bem como para a parte UTEP de segmentos remotos, ESXi3. A cópia unicast enviada para o UTEP tem um bit específico definido no cabeçalho VXLAN - o "REPLICATE_LOCALLY" bit - como uma indicação para o UTEP que este quadro é proveniente de um segmento VTEP remoto e pode precisar ser replicado localmente.
    3. O UTEP recebe o quadro, faz referência à tabela VTEP local e o replica a todos os hosts ESXi que fazem parte do segmento VTEP local com pelo menos uma VM conectada ao VXLAN 5001. Neste exemplo, isso é simplesmente ESXi-4 

    O modo de replicação em modo unicast não requer configuração explícita na rede física para permitir a distribuição de tráfego VXLAN de destino múltiplo. Este modo pode ser usado para ambientes de pequeno a médio porte onde o tráfego BUM não é alto e NSX é implantado em uma topologia L2 onde todos os VTEPs estão na mesma sub-rede. O modo Unicast também se adapta bem às topologias L3 onde os limites UTEP podem ser claramente identificados (por exemplo, cada rack L3 tem sua própria sub-rede VTEP). A carga crescente da replicação BUM é gerenciada espalhando a carga entre todos os hosts participantes.


    MODO HYBRIDO:

    É uma replicação local que e descarregada na rede física e faz replicação remota através de unicast;

    Hybrid mode usa IGMP layer 2 multicast para descarregar a replicação local para a rede física;

    Replicação remota usa proxies unicast, assim multicast routing não é necessário

    O modo híbrido oferece simplicidade operacional semelhante ao modo unicast - a configuração de roteamento de multicast IP não é necessária na rede física - enquanto aproveita a capacidade de multicast L2 de switches físicos.
    No modo híbrido, o [M] TEP usa L2 [M] ulticast para replicar os quadros BUM localmente, enquanto o [U] TEP alavanca quadros [U] nicast.

    Figura 7 : Hybrid Mode
    Processo de comunição da Vxlan em modo Hibrido:
    1. VM1 gera um quadro BUM que deve ser replicado para todas as VMs que fazem parte da VXLAN 5001. O grupo multicast 239.1.1.1 deve ser associado ao segmento VXLAN, uma vez que o encapsulamento multicast é realizado para a replicação de tráfego local.
    2. ESXi1 encapsula o quadro em um pacote multicast endereçado ao grupo 239.1.1.1. A configuração de multicast de Camada 2 na rede física é alavancada para garantir que a estrutura VXLAN seja entregue a todos os VTEPs no segmento VTEP local. No modo híbrido, os hosts ESXi enviam uma junção IGMP quando há VMs locais interessadas em receber tráfego de destino múltiplo. Como o PIM não é necessário, é altamente recomendável definir um querler IGMP por VLAN para garantir a entrega multicast L2 bem-sucedida e evitar o comportamento não determinístico. Quando o IGMP snooping está ativado, mas não há nenhuma definição de quermer IGMP, alguns switches Ethernet vão recorrer à inundação do tráfego multicast na VLAN, enquanto outros irão soltá-lo. Consulte a documentação fornecida pelo fornecedor de sua preferência.
    3. Ao mesmo tempo ESXi-1 olha para a tabela VTEP local e determina a necessidade de replicar o pacote para a parte MTEP de segmentos remotos, neste caso ESXi3. A cópia unicast é enviada para o MTEP com o bit correspondente definido no cabeçalho VXLAN como uma indicação para o MTEP que este quadro é proveniente de um segmento VTEP remoto e precisa ser reinjectado localmente na rede.
    4. O MTEP cria um pacote multicast e envia para a rede física onde será replicado pela infra-estrutura de comutação L2 local.
    O modo híbrido permite a implantação do NSX em grandes topologias L2, ajudando a multicast de escala na camada 2 com a simplicidade de unicast. Ele também permite a escala em topologias L3 leafspine sem exigir que o PIM encaminhe multicast (estrutura BUM) além dos limites ToR da camada 3 enquanto ainda permite a replicação multicast em switch físico.
    Para a replicação de camada 2 BUM. Em suma, o modo híbrido aborda o requisito para a replicação BUM no design em grande escala, independentemente da topologia de underlay.

    Segmentação

    VXLAN suporta a segmentação para criar várias redes virtuais diferentes. Esta capacidade de segmentação é projetada na especificação VXLAN com VXLAN ID no cabeçalho VXLAN. O campo é chamado VXLAN Network Identifier ou VNID ou VNI e tem 24 bits de comprimento. Daí, teoricamente, fornece mais de 16 milhões de identificações únicas.

    Na prática, o VNI é usado para criar uma camada de camada 2 lógica nas topologias de rede virtualizadas. Se a VLAN é usada para criar a camada lógica 2 (domínio broadcast) na rede "tradicional", a VNI é usada para criar a camada 2 da rede lógica (domínio broadcast) na rede de sobreposição virtual. Um ou vários VNIs que estão inter-conectados formam uma topologia de rede virtual. Cada topologia de rede virtual pode ser usada para suportar aplicativos para uma unidade de negócios, departamento ou inquilino em um ambiente em nuvem.
    Postado por às
    Marcadores:

    Nenhum comentário:

    Postar um comentário

    Deixe seu comentário!

    Assinar: Postar comentários (Atom)