10 сентября 2020 Время чтения: 8 минут

Как использовать сетевые настройки кластера виртуализации в VMmanager

Александр Гришин

Александр Гришин

Менеджер по продукту VMmanager

ISPSystem

Сеть — ключевой элемент в IT-инфраструктуре. Она передаёт данные между виртуальными и физическими объектами и объединяет их в рабочую систему. Неправильно выбранный тип настройки сети, ошибка в настройке кластеров, узлов и виртуальных машин может сильно усложнить работу ИТ-отдела в будущем: увеличить трудозатраты, поставить под угрозу бесперебойность, сделать невозможным масштабирование. Поэтому в шестой версии платформы VMmanager мы упростили работу с сетями. Предлагаем несколько готовых вариантов настройки:

  • Коммутация
  • Маршрутизация
  • IP-fabric

Эти решения покрывают большинство рабочих задач.

Сетевые настройки реализованы на уровне кластера. Гомогенность сетевых настроек на кластерах обеспечивает максимальную автоматизацию процессов. Это помогает избежать непредвиденных ошибок, которые могут повлиять на бизнес-процессы компании.

Три типа сетевых настроек в VMmanager: Коммутация, Маршрутизация, IP-fabric

Коммутация

Самая легкая в использовании схема хорошо подходит для построения небольшой IT-инфраструктуры на собственном или арендованном в ДЦ железе. В этой схеме вновь созданные ВМ ведут себя так, словно они напрямую подключены к сети. Сеть видит, что каждая ВМ имеет собственный MAC-адрес. Это работает как виртуальный неуправляемый коммутатор, который соединяет все ВМ в сеть с серверами. Фактически мы имеем один или два linux-bridge для всех виртуальных машин на сервере. В VMmanager IP-адреса присваиваются на весь кластер, поэтому в дальнейшем ими удобно управлять в разделе Сети.

Чтобы использовать настройку, достаточно создать новый кластер и в разделе Тип настройки сети выбрать режим Коммутация.

Давайте рассмотрим три кейса, для которых лучше всего подходит настройка сети Коммутация

Кластер с подключением по белым IP-адресам

Сетевая конфигурация Коммутация подходит для кластера с подключением по белым IP-адресам. И виртуальные машины, и гипервизор получают прозрачный доступ к внешней сети, которая подключена через физический сетевой адаптер узла. Эта схема самая популярная, потому что позволяет организовать простой доступ к виртуальным машинам как к обычным узлам локальной сети.

Предположим, мы арендуем в московском дата-центре несколько пустых серверов. Доступ к ним осуществляется по белому IP-адресу. Для начала работы необходимо:

  • добавить серверы в платформу,
  • объединить в один кластер с настройкой в VMmanager Коммутация,
  • завести выданный пул IP-адресов для ВМ в панели управления.

Все действия на серверах VMmanager выполнит сам.

Подключение по белым адресам — кластер под виртуализацию на арендованных серверах, в московском дата-центре

Кластер с изолированной сетью

В этом кейсе несколько серверов находятся на территории компании: за стеной в соседнем кабинете. Для таких случаев тоже хорошо подходит настройка сети Коммутация.

Сетевой инженер подключил серверы ко внутренней сети. В то же время для виртуальной машины предполагается использование белых IP-адресов. Данная конфигурация требует наличие как минимум двух сетевых интерфейсов на серверах и предусматривает изоляцию гипервизора от внешней сети и виртуальных машин.

Когда полезно использовать кластер с изолированной сетью

  • При виртуализации пограничных устройства, например, шлюза.
  • Если виртуальные машины находятся вне доверенной сети, а доступ к гипервизору должен быть закрыт согласно правилам компании.

Не обязательно отдавать белый IP-адрес на сетевой интерфейс ноды — схема будет работать и без настроенного TCP/IP на белом интерфейсе сервера. ВМ на узле будут доступны из интернета по собственному IP-адресу. Это позволяет экономить IP-адреса. Доступ по VNC к виртуальным машинам осуществляется в такой схеме через noVNC прямо из VMmanager за счет проксирования через мастер-узел.

Как работает приватная сеть в VMmanager

Изолированная сеть — кластер под хостинг из серверов на своем оборудовании

Кластер виртуализации под собственные проекты

В этом кейсе схема подключения практически идентична предыдущему примеру. Отличие в необходимости создать кластер с двумя интерфейсами. При добавлении серверов в такой кластер VMmanager сам просканирует все физические интерфейсы и предложит выбрать, какой из них добавить в основную, а какой — в дополнительную сеть. После этого можно создавать виртуальные машины, включенные в одну или обе сети сразу. Это удобно для организации внутренних сервисов, для которых нужно гибко настроить доступ пользователей.

Как настроить основную и дополнительную сеть

Кластер под собственные проекты из серверов на своей инфраструктуре

Тип сетевой настройки Коммутация позволяет легко сконфигурировать сеть, не настраивая сетевое оборудование. Подходит для своей или арендованной инфраструктуры среднего размера. Не подходит для серверов арендованных в ДЦ Hetzner, myLoc или OVH.

Уровень сложности: лёгкий

Маршрутизация

Тип сетей Маршрутизация можно использовать если:

  • вы арендовали серверы в ДЦ и не имеете доступа к сетевому оборудованию;
  • маршрутизация IP-адресов на ноду осуществляется по /32 маске;
  • на портах сетевого оборудования используется технология port-security, которая позволяет отбрасывать пакеты с неизвестных mac-адресов.

Подобную конфигурацию можно встретить в дата-центрах Hetzner, myLoc, OVH и других, для которых разрабатывалась эта настройка.

Особенность настройки Маршрутизация:

  • маршрутизация на ноде;
  • из-за маршрутизации по /32 маске, IP-адреса привязываются к конкретной ноде;
  • в кластере запрещена живая миграция.

Подробнее о Маршрутизации

Маршрутизация — кластер под виртуализацию на арендованных серверах

Тип настройки сети Маршрутизация работает из коробки в таких дата-центрах, как Hetzner и OVH. В собственной инфраструктуре она требует предварительно настроенной вручную маршрутизации на оборудовании.

Уровень сложности: лёгкий

IP-fabric

С помощью IP-fabric можно поднять кластер виртуальных машин с белыми IP-адресами поверх серой локальной сети организации.

Особенности IP-fabric

  • Отсутствие linux-bridge на гипервизоре.
  • Виртуальные машины получают IP-адреса с маской /32.
  • Шлюзом по умолчанию для каждой виртуальной машины является отдельный виртуальный интерфейс.
  • Узлы выступают в роли маршрутизаторов.
  • Обмен iBGP маршрутами между физическим сервером и соседними маршрутизаторами (route reflectors).
  • Маршруты до виртуальных машин обновляются в реальном времени с помощью протокола iBGP.
  • Белые IP-адреса размещаются поверх инфраструктурной серой сети.

Алгоритм работы IP-fabric

  • Создание виртуальной машины на узле через libvirt.
  • Настройка маршрутизации на узле и конфигурирование сервиса bird.
  • Bird анонсирует через iBGP новый маршрут до виртуальной машины в сторону Route reflector.
  • Route reflector передаёт этот маршрут по iBGP дальше на Core Gateway.
  • Core Gateway получает информацию о маршруте до новой виртуальной машины и может обрабатывать её трафик в обоих направлениях.

IP-fabric позволяет мигрировать виртуальную машину вместе с её IP-адресом на другой узел. При живой миграции виртуальная машина недоступна 3-5 секунд. Route reflector-ы не обязательно принимают участие в маршрутизации трафика. Они могут являться BGP-посредниками между узлами и Core-Gateway-ем. Таким образом, в качестве RR можно использовать как простые физические серверы с Bird на борту, так и маршрутизатор.

IP-fabric — кластер под виртуализацию на своей инфраструктуре в Санкт-Петербурге

Преимущества IP-fabric:

  • снижение служебного и широковещательного трафика,
  • экономия IP-адресов,
  • изоляция виртуальных машин,
  • нет привязки IP-адресов к узлам.

Чтобы использовать эту схему, создайте новый кластер с типом настройки сети IP-fabric. Укажите IP и MAC адрес шлюза для ВМ или оставите сгенерированные нами по умолчанию. Затем введите строку BGP-комьюнити, значение автономной системы и параметры для настройки BGP-сессий (их можно получить у вашего сетевого инженера). Для обмена маршрутами между нодой и сетевым оборудованием на узлах гипервизора мы используем преднастроенный сервис Bird.

Подробнее об IP-fabric

Настройка кластера IP-fabric в интерфейсе

Настройку сети IP-fabric можно использовать в маленьком тестовом проекте. Для этого нужна лишь возможность настраивать BGP сессии на стороне Core Gateway.

Настройки сети IP-fabric подходит для собственного ДЦ. Она требует предварительно настроенного обмена BGP маршрутами на сетевом оборудовании и работает только с СentOS 8.

Уровень сложности: средний

Какие планы

В четвертом квартале 2020 мы планируем добавить в VMmanager поддержку еще одной схемы сети. В ней реализуем поддержку агрегированных trunk-port интерфейсов на узле с приземлением VLAN на виртуальной машине.

А как вы настраиваете сети в своих проектах?


Получить демо

Рекомендуем использовать VMmanager в связке с DCImanager, чтобы настраивать физические сети и управления VLAN на сетевом и серверном оборудовании.