Маршрутизатор

Маршрутизаторы используются для организации обмена трафиком между подсетями. В VK Cloud есть два типа маршрутизаторов:

• Стандартный маршрутизатор предназначен для маршрутизации трафика между подсетями VK Cloud, и для предоставления доступа к внешней сети из таких подсетей.

  Также он маршрутизирует трафик между подсетями VK Cloud и удаленной площадкой, если используется VPN-туннель.

• Продвинутый маршрутизатор предназначен для маршрутизации трафика между подсетями VK Cloud и подсетями на удаленной площадке.

  Он используется, если между VK Cloud и удаленной площадкой создан сетевой стык с помощью сервиса Cloud Direct Connect.

  Для работы продвинутого маршрутизатора необходим Sprut SDN. При этом к такому маршрутизатору можно подключить любые подсети VK Cloud, вне зависимости от того, к какому SDN эти подсети принадлежат.

В одной подсети VK Cloud можно использовать разные типы маршрутизаторов.

• Маршрутизация трафика между подсетями VK Cloud.

  В качестве шлюза по умолчанию (default gateway) в любой подсети, подключенной к маршрутизатору, используется специальный порт OpenStack для устройства INTERFACE_DISTRIBUTED. Этот порт — интерфейс маршрутизатора в подсети, и ему назначается IP-адрес, указанный в настройках подсети в качестве адреса шлюза.

  Также можно настроить статическую маршрутизацию. Например, направить трафик к виртуальной машине, которая выполняет роль выделенного файервола или другого сетевого устройства.

• Предоставление доступа из подсетей VK Cloud во внешнюю сеть.

  Подключенный к внешней сети маршрутизатор предоставляет для подсетей дополнительные возможности:

  • Доступ в интернет для порта OpenStack в подсети.

    Например, можно предоставить доступ в интернет для виртуальной машины, чтобы она могла получать обновления. При этом доступа к этой виртуальной машине из интернета не будет.

    Чтобы порт получил доступ в интернет, приватный IP-адрес порта транслируется в публичный IP-адрес маршрутизатора с помощью механизма Source NAT (SNAT). Трансляция выполняется через выделенный интерфейс маршрутизатора в подсети — специальный порт SNAT, которому назначается случайный IP-адрес из пула адресов для DHCP.

  • Возможность назначить плавающий IP-адрес (floating IP) порту OpenStack в подсети.

    Если порту OpenStack назначен плавающий IP-адрес, то такой порт не только получает доступ в интернет, но и становится доступен из интернета. Например, можно назначить публичный IP-адрес на порт, закрепленный за виртуальной машиной, чтобы подключаться к ней из интернета через SSH.

    Для обеспечения доступа в интернет и из интернета приватный IP-адрес порта транслируется в плавающий IP-адрес с помощью механизма 1-to-1 NAT.

  • Организация VPN-туннеля между сетями в проектах с SDN Neutron.

    Это позволяет создать защищенный канал для управления инфраструктурой VK Cloud или передачи данных между сетью компании и сетями VK Cloud.

• Подключение к сетевому стыку между VK Cloud и удаленной площадкой.

  Такой стык организуется с помощью сервиса Cloud Direct Connect. После подключения и настройки сервиса в проект VK Cloud будет добавлена новая подсеть. Параметры этой подсети могут быть заданы вами или телеком-провайдером. Эта подсеть и является сетевым стыком, поэтому продвинутый маршрутизатор должен иметь настроенный интерфейс в этой подсети.

• Маршрутизация трафика между подсетями VK Cloud и подсетями на удаленной площадке.

  Для маршрутизации трафика можно использовать как статическую маршрутизацию, так и динамическую маршрутизацию с помощью BGP.

  При организации BGP-пиринга (BGP peering) между продвинутым маршрутизатором и удаленным маршрутизатором на площадке действуют следующие правила:

  • BGP-пиринг должен выполняться поверх сетевого стыка Direct Connect.
  • Допустимо использовать только приватные номера автономных систем (Autonomous System Number, ASN) из диапазона 64512–65534.
  • Со стороны и продвинутого, и удаленного маршрутизатора допустимо анонсировать только префиксы приватных подсетей, которые не маршрутизируются в интернете.

  Также на стороне продвинутого маршрутизатора заданы следующие значения таймеров BGP:

  • Hold-таймер: 240 секунд.
  • Keepalive-таймер: 80 секунд (hold-таймер / 3).

• Организация VPN-туннеля между удаленными сетями и сетями в проектах с SDN Sprut.

  VPN-туннели в проектах с SDN Sprut создаются на базе продвинутого маршрутизатора.

• Поддержка резервирования для обеспечения отказоустойчивости.

  Продвинутые маршрутизаторы поддерживают протокол VRRP. Поэтому можно настроить несколько маршрутизаторов и VRRP для обеспечения отказоустойчивости. При выходе из строя одного или нескольких маршрутизаторов, оставшиеся маршрутизаторы продолжат обрабатывать трафик, поступающий на IP-адрес, указанный в качестве адреса шлюза по умолчанию при настройке VRRP.