บทนำ
Communication Domain คือฟีเจอร์บน Sangfor SCP ที่ช่วยให้เครือข่ายของ Resource Pool หลายตัว (ซึ่งอาจอยู่คนละ Cluster หรือคนละ Data Center) เชื่อมต่อกันเป็น Layer 2 Subnet ผืนเดียวกัน ผ่าน VXLAN Overlay Technology ทำให้ VM ใน Resource Pool A สามารถสื่อสารกับ VM ใน Resource Pool B ได้โดยตรงที่ Layer 2 โดยไม่ต้องผ่าน Routing
ทำไมถึงต้องใช้ Communication Domain?
- เมื่อองค์กรมีหลาย HCI Cluster (เช่น Cluster ที่สำนักงานใหญ่ และ Cluster ที่ DR Site) และต้องการให้ VM ข้าม Cluster สื่อสารกันได้เสมือนอยู่ใน LAN เดียวกัน โดย VM จะสื่อสารผ่าน Virtual Switch ที่เชื่อมกันด้วย VXLAN Tunnel ระหว่าง Cluster (Virtual Switch นี้ไม่ได้ต่อตรงกับ Physical Edge — แต่เนื่องจาก VM สามารถข้าม L2 ไปหา Virtual Router ของอีกฝั่งได้ผ่าน VXLAN จึงสามารถออกสู่ภายนอกผ่าน Edge ของอีก Cluster ได้ โดย Router แต่ละตัวจะต่อ Edge ได้เฉพาะของ Cluster ตัวเองเท่านั้น)
- รองรับการ Deploy บริการขนาดใหญ่ที่ต้องใช้ Resource จากหลาย Cluster
- จัดการ Network Topology แบบรวมศูนย์ผ่าน SCP แทนที่จะต้องตั้งค่าแยกทีละ HCI
แนวคิดหลักด้านเครือข่าย (Networking Concepts)
1. L2 Connectivity ผ่าน VXLAN
Communication Domain ใช้ VXLAN (Virtual Extensible LAN) เพื่อสร้าง Overlay Network เชื่อมต่อ Resource Pool ต่าง ๆ เข้าด้วยกัน ทำให้ VM ใน VPC Subnet เดียวกันสามารถสื่อสารกันได้ที่ Layer 2 แม้จะอยู่คนละ Cluster ก็ตาม
ตัวอย่าง: VM1 ใน Resource Pool A (Subnet 10.0.1.0/24) สามารถ ping ไปยัง VM2 ใน Resource Pool B (Subnet เดียวกัน 10.0.1.0/24) ได้โดยตรง เพราะ VXLAN ทำให้เห็นเป็น L2 Segment เดียวกัน
2. VPC Gateway — ต้องมีทุก Resource Pool
VPC Gateway คือ Physical Egress ที่ทำหน้าที่เป็นทางออกของ VPC Subnet ไปยังเครือข่ายภายนอก (North-South Traffic) แต่ละ Resource Pool ต้องมี VPC Gateway เป็นของตัวเอง เนื่องจาก:
- Physical Egress ผูกกับ Physical Switch/NIC ของ Cluster นั้น ๆ ไม่สามารถแชร์ข้าม Cluster ได้
- การตั้งค่า VPC Gateway ทำที่ Networking > Network Deployment > VPC Gateway โดยเลือก Resource Pool และกำหนด VPC Outgoing Interface
- Physical Egress 1 ตัว ผูกได้กับ VPC Egress เพียง 1 ตัว และ VPC Egress หลายตัวไม่สามารถผูกกับ Physical Egress ตัวเดียวกันได้
3. Network Node — เฉพาะ Node ที่กำหนดเท่านั้นที่รัน Virtual Router
ใน Communication Domain scenario มีข้อจำกัดสำคัญ:
- Physical Egress และ Virtual Router ผูกได้เฉพาะกับ Network Node เท่านั้น
- ตั้งค่าที่ Topology > Network Node Settings เลือก Host แล้วคลิก Enable เพื่อกำหนดเป็น Network Node
- โดยค่าเริ่มต้น ทุก Node จะเป็น Network Node แต่สามารถ Disable ได้ (Node ที่ไม่ใช่ Network Node จะไม่สามารถรัน Virtual Router ได้)
4. East-West vs North-South Traffic
- East-West (ภายใน Communication Domain): VM ใน VPC Subnet เดียวกันข้าม Resource Pool สื่อสารกันผ่าน VXLAN ที่ Layer 2 ได้โดยตรง ไม่ต้องผ่าน Router
- North-South (ออกสู่ภายนอก): Traffic ที่ต้องออกอินเทอร์เน็ตหรือเครือข่ายภายนอกจะผ่าน Virtual Router > Physical Egress ของ Resource Pool นั้น ๆ
- ข้อจำกัด: VM ใน Resource Pool A ไม่สามารถใช้ Physical Egress (Edge) ของ Resource Pool B ได้ — ต้องออกผ่าน Edge ของ Resource Pool ที่ VM นั้นอยู่เท่านั้น เนื่องจากต้องผ่าน L3 Routing ซึ่งผูกกับ Network Node และ Physical Egress ของ Cluster นั้น
5. VPC vs Classic Network ใน Communication Domain
- VPC: เหมาะกับ scenario ที่ต้องการ Network Isolation สูง Tenant สามารถใช้ Subnet ได้อิสระโดยไม่ต้องกังวลเรื่อง IP ซ้ำกัน (SCP 6.7.0+ รองรับ 10 VPC ต่อ Tenant ใน Communication Domain เดียวกัน)
- Classic Network: เหมาะกับ scenario ที่ต้องการสื่อสารตรงระหว่าง Tenant กับ Tenant หรือกับ Physical Environment จะสร้าง Egress Switch อัตโนมัติ เชื่อมต่อกับ Physical Egress, Router, NFV ได้
ส่วนประกอบของ Communication Domain
- Main Controller: Resource Pool ที่ทำหน้าที่จัดการ Network Resource ทั้งหมดภายใน Communication Domain ต้องกำหนด 4 Controller IP (3 IP สำหรับ Network Control Node + 1 Virtual IP) ทุก IP ต้องอยู่ใน Network Segment เดียวกับ Management Interface
- Backup Location: Resource Pool ที่สำรองข้อมูล Network Resource Configuration ของ Main Controller เพื่อรองรับ Disaster Recovery (optional แต่แนะนำให้ตั้งค่า)
- Common Resource Pools: Resource Pool อื่น ๆ ที่เข้าร่วม Communication Domain (Stretched Cluster สามารถเข้าร่วมได้เฉพาะในฐานะ Common Resource Pool เท่านั้น)
ข้อกำหนดเบื้องต้น
- SCP เวอร์ชัน 6.7.0 ขึ้นไป และ HCI ที่เชื่อมต่อต้องเป็นเวอร์ชัน 6.7.0 ขึ้นไปเช่นกัน
- Resource Pool แต่ละตัวต้องมีอย่างน้อย 3 Node จึงจะเข้าร่วม Communication Domain ได้ (เช่น ถ้ามี 2 Site ต้องมี Cluster ละ 3 Node ขึ้นไป รวมอย่างน้อย 6 Node)
- Cluster ที่ต้องการเพิ่มเข้า Communication Domain ต้องถูกเพิ่มเป็น Resource Pool บน SCP แล้ว
- ไม่รองรับ NAT Deployment ระหว่าง HCI Cluster ที่จะเข้าร่วม Communication Domain
- Management Interface ของแต่ละ Resource Pool ต้อง Reachable ถึงกัน
- VXLAN (Overlay Network Interface) ของแต่ละ Resource Pool ต้อง Reachable ถึงกัน
- Data Communication IP Pool ของ Resource Pool ที่จะเข้าร่วม ต้องอยู่คนละ Network Segment (หากอยู่ Segment เดียวกัน ต้องแก้ไขก่อน)
ขั้นตอนการตั้งค่า
- เข้าสู่ระบบ SCP Platform แล้วไปที่ Networking > Network Deployment > Communication Domains และคลิก Configure Now
-
กรอกข้อมูลพื้นฐานของ Communication Domain:
- Name: ชื่อ Communication Domain
- Description: คำอธิบาย (optional)
- Resource Pools: เลือก Resource Pool ที่ต้องการเพิ่มเข้า Communication Domain (ต้องเลือกอย่างน้อย 2 Resource Pool)
จากนั้นคลิก Next
- ตั้งค่า Controller:
- เลือก Primary Controller — Resource Pool ที่จะทำหน้าที่เป็น Main Controller
- กำหนด Controller IP จำนวน 4 IP (กรอกทีละบรรทัด):
- IP ที่ 1-3: IP ของ Network Control Node (3 Node)
- IP ที่ 4: Virtual IP สำหรับ High Availability
- กำหนด Netmask (เช่น 255.255.255.0)
- เลือก Backup Resource Pool (optional แต่แนะนำ) และกำหนด Controller IP เช่นเดียวกัน
-
ตรวจสอบ Data Communication IP Pool (VXLAN IP) ของแต่ละ Resource Pool:
- หาก IP Pool ของ Resource Pool ทั้งสองอยู่ คนละ Network Segment → คลิก Next ได้เลย
- หาก IP Pool อยู่ Network Segment เดียวกัน → ไม่สามารถสร้าง Communication Domain ได้ ต้องคลิก Edit เพื่อเปลี่ยน IP ของ Resource Pool ตัวใดตัวหนึ่งให้อยู่คนละ Segment ก่อน
คำเตือน: การแก้ไข Data Communication IP จะส่งผลต่อ East-West Traffic ของ VM ชั่วคราว
- คลิก OK เพื่อยืนยันการสร้าง Communication Domain
- หลังสร้างเสร็จ กลับไปที่รายการ Communication Domain → คลิก Edit → แท็บ IP Address For VXLAN Interfaces เพื่อตั้งค่า VXLAN IP Pool เพิ่มเติม ให้ครอบคลุมทุก Physical Node
การจัดการ Communication Domain
หลังจากสร้าง Communication Domain แล้ว สามารถจัดการเพิ่มเติมได้โดยคลิก More ที่รายการ Communication Domain:
- New Resource Pool: เพิ่ม Resource Pool อิสระเข้าร่วม Communication Domain ในภายหลัง
-
Advanced:
- Overlay Network Interface (VXLAN): เปลี่ยน Port สำหรับ VXLAN Communication (ค่าเริ่มต้น: 8472)
- High Performance Mode: เมื่อเปิดใช้งาน MTU จะเปลี่ยนเป็น 1600 ต้องเปิด Jumbo Frame บน Physical Switch ด้วย มิฉะนั้นจะเกิด Network Failure
- Delete: ลบ Communication Domain ได้เมื่อเหลือเฉพาะ Main Controller เท่านั้น หลังลบแล้ว Network Configuration ของ Cluster ทั้งหมดจะถูกลบ แต่ Storage และ VM Configuration จะยังคงอยู่
ตัวอย่าง Scenario: Traffic Flow ใน Communication Domain
Scenario: มี 2 Resource Pool (Cluster A และ Cluster B) อยู่ใน Communication Domain เดียวกัน Tenant สร้าง VPC Subnet 10.0.1.0/24
| Traffic Type | ตัวอย่าง | เส้นทาง |
|---|---|---|
| East-West (L2) | VM1 (10.0.1.10, Cluster A) → VM2 (10.0.1.20, Cluster B) | สื่อสารผ่าน VXLAN Overlay โดยตรง ไม่ต้องผ่าน Router เพราะอยู่ Subnet เดียวกัน |
| North-South | VM1 (10.0.1.10, Cluster A) → Internet | VM1 → Virtual Router (Network Node, Cluster A) → Physical Egress (Edge, Cluster A) → Internet |
| Cross-Edge (ไม่ได้) | VM1 (Cluster A) → Edge ของ Cluster B | ไม่สามารถทำได้ — VM ต้องออกผ่าน Edge ของ Cluster ที่ตัวเองอยู่เท่านั้น เนื่องจาก Virtual Router และ Physical Egress ผูกกับ Network Node ของแต่ละ Resource Pool |
การตั้งค่า VPC Gateway สำหรับ Communication Domain
เนื่องจากแต่ละ Resource Pool ต้องมี VPC Gateway เป็นของตัวเอง ต้องตั้งค่าดังนี้:
- ไปที่ Networking > Network Deployment > VPC Gateway
- คลิก Add VPC Gateway
- เลือก Resource Pool (เช่น Cluster_A)
- เลือก VPC Gateway (Physical Egress Interface)
- กำหนด VLAN (optional)
- เลือก Set to Default → Enable (ถ้าต้องการให้เป็น Default Gateway เมื่อสร้าง VPC)
- คลิก OK
- ทำซ้ำสำหรับทุก Resource Pool ใน Communication Domain (เช่น Cluster_B, Cluster_C)
สำคัญ: หากไม่ตั้งค่า VPC Gateway สำหรับ Resource Pool ใด VM ใน Resource Pool นั้นจะสื่อสารได้เฉพาะ East-West (L2 ภายใน Communication Domain) แต่จะ ไม่สามารถออกอินเทอร์เน็ตหรือเครือข่ายภายนอกได้
การตั้งค่า Network Node
ใน Communication Domain scenario ต้องกำหนด Network Node ให้ถูกต้อง:
- ไปที่ Topology page คลิก Network Node Settings
- เลือก Resource Pool จากเมนูด้านซ้าย
- เลือก Host ที่ต้องการกำหนดเป็น Network Node แล้วคลิก Enable
หมายเหตุ: เฉพาะ Network Node เท่านั้นที่สามารถ:
- รัน Virtual Router
- ให้บริการ Physical Egress สำหรับ VPC
- Host ที่ไม่ได้เป็น Network Node จะไม่สามารถรัน Virtual Router ได้
การแก้ไขปัญหา
หากเกิด Exception ใน Resource Pool ภายใน Communication Domain:
- เลื่อนเมาส์ไปที่สัญลักษณ์ Exception (ไอคอนสีเหลือง/แดง) เพื่อดูรายละเอียด
- คลิก Repair Now เพื่อให้ระบบ Retry จากจุดที่เกิด Failure
- สถานการณ์ที่ Repair ได้:
- Active/Standby Switch Failure
- Controller IP Modification Failure
- Resource Pool Addition Failure
การทดสอบ Connectivity: ใช้เครื่องมือ Test Connectivity บนหน้า Topology เพื่อตรวจสอบว่า VM ข้าม Resource Pool สามารถสื่อสารกันได้:
- ไปที่ Topology > Test Connectivity
- เลือก Resource Pool, Source VM และ Destination VM/IP
- คลิก Start เพื่อทดสอบ
หมายเหตุสำคัญ
- หลังเพิ่ม Resource Pool เข้า Communication Domain แล้ว Network Topology จะไม่แสดงบน HCI อีกต่อไป ต้องดูและแก้ไขผ่าน SCP เท่านั้น
- Distributed Firewall Policy ของ HCI จะใช้งานไม่ได้หลังเข้าร่วม Communication Domain
- เมื่อจะนำ Resource Pool ออกจาก Communication Domain ต้อง Disconnect NIC ของ VM และ NFV Device ทั้งหมดก่อน
- การเปลี่ยน VXLAN IP Pool จะทำให้ Service ขัดข้องชั่วคราว
- SCP 6.7.30 ขึ้นไป จะมี Security Baseline Policy ที่ Block Public Network Traffic โดยค่าเริ่มต้น — ต้องสร้าง ACL Rule เพื่อ Allow Traffic ที่ต้องการ
- ACL ของ High-Risk Port สามารถแก้ไขได้โดย Administrator เท่านั้น Tenant ไม่สามารถแก้ไขได้
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น