บทนำ
Sangfor SCP (Sangfor Cloud Platform) มีระบบ Software-Defined Networking (SDN) ที่ออกแบบมาเพื่อสร้างสภาพแวดล้อมเครือข่ายเสมือนที่รองรับ Multi-Tenant ได้อย่างยืดหยุ่นและปลอดภัย โดยใช้องค์ประกอบหลักได้แก่ Virtual Switch, Virtual Router, Edge Port (Physical Egress), Network Node และ NFV Devices ทำงานร่วมกันเพื่อจำลองโครงสร้างเครือข่ายจริงทั้งหมดในรูปแบบ virtualization ผู้ดูแลระบบสามารถออกแบบ network topology, กำหนด routing policy, ควบคุม access control และเชื่อมต่อกับ physical network ภายนอกได้ทั้งหมดผ่าน SCP management console
องค์ประกอบหลักของ Virtual Networking
Virtual Switch
Virtual Switch เป็นอุปกรณ์เครือข่ายเสมือนที่ทำหน้าที่เหมือน physical switch ใช้สำหรับเชื่อมต่อ VM, Virtual Router และ NFV devices เข้าด้วยกันในระดับ Layer 2 สามารถสร้างได้จากเมนู Resource Center > Virtual Switches โดยแต่ละ virtual switch สามารถกำหนด Network Type ได้หลายประเภท ได้แก่
- Management Network — สำหรับการจัดการ node และ platform
- Virtual Machine Network — สำหรับ traffic ของ VM ทั่วไป
- Virtual Storage Network — สำหรับ storage replication traffic
- External Storage Network — สำหรับเชื่อมต่อกับ external storage
- Overlay Network (VXLAN) — สำหรับ overlay tunnel ข้าม cluster
- aDesk Communication Network — สำหรับ VDI desktop communication
นอกจากนี้ยังสามารถ Merge virtual switches หลายตัวเข้าด้วยกันเพื่อรวม port group ให้อยู่ภายใต้ switch เดียวกันได้
Virtual Router
Virtual Router ทำหน้าที่ routing ระหว่าง subnet ภายใน VPC หรือ Classic Network โดย router จะ run บน Network Node เท่านั้น ความสามารถหลักของ Virtual Router ได้แก่
- Subnet Management — สร้างและจัดการ subnet ที่เชื่อมต่อกับ router
- Static Route — กำหนด routing table สำหรับ traffic ที่ต้องการส่งไปยัง destination ที่กำหนด
- ACL (Access Control List) — ควบคุม traffic ที่ผ่าน router ด้วย permit/deny rule
- DNS Server — กำหนด DNS server สำหรับ VM ที่อยู่ภายใต้ router
- Internal DNS — ตั้งค่า internal domain name resolution ภายใน VPC
Edge Port (Physical Egress)
Edge Port คือจุดเชื่อมต่อระหว่าง virtual network กับ physical network ภายนอก ใช้สำหรับให้ VM สามารถสื่อสารกับ network ภายนอก SCP ได้ Edge Port ถูกนำไปใช้งานใน gateway ประเภทต่าง ๆ ได้แก่
- VPC Gateway — เชื่อมต่อ VPC กับ physical network
- Shared Services Gateway — ให้บริการ shared resources ข้าม tenant
- Direct Connect Gateway — เชื่อมต่อ VPC กับ physical network โดยตรงผ่าน dedicated link
Edge Port จะเชื่อมต่อกับ virtual switch ที่ตั้งค่า Network Type เป็น External เพื่อ bridge traffic ออกสู่ physical network
Network Node
Network Node คือ node ที่ถูก mark ให้สามารถ run Virtual Router และให้บริการ Physical Egress ได้ โดย default ทุก node ใน cluster จะเป็น Network Node อยู่แล้ว แต่ผู้ดูแลระบบสามารถเปลี่ยนแปลงได้จากหน้า Topology สิ่งสำคัญคือ node ที่ไม่ได้ถูก mark เป็น Network Node จะไม่สามารถ run Virtual Router ได้ ดังนั้นควรตรวจสอบ Network Node Settings ก่อนสร้าง Virtual Router เสมอ
NFV (Network Function Virtualization)
SCP รองรับการ deploy อุปกรณ์ security เสมือนในรูปแบบ NFV ซึ่งทำงานภายใน virtual network ได้โดยตรง ประกอบด้วย
- vNGAF — Virtual Firewall สำหรับ traffic inspection และ security policy enforcement
- SSL VPN — ให้บริการ remote access VPN สำหรับผู้ใช้งานภายนอก
- vAD (Virtual Application Delivery) — ให้บริการ load balancing สำหรับกระจาย traffic ไปยัง backend server
Network Deployment Models
VPC (Virtual Private Cloud)
VPC เหมาะสำหรับ scenario ที่ต้องการ network isolation สูง แต่ละ tenant สามารถใช้ subnet range ได้อย่างอิสระโดยไม่ต้องกังวลเรื่อง IP conflict กับ tenant อื่น เนื่องจาก VPC แต่ละตัวมี network space แยกจากกันอย่างสมบูรณ์ ตั้งแต่ SCP 6.7.0 เป็นต้นไป สามารถสร้างได้สูงสุด 10 VPC ต่อ tenant ในแต่ละ Network Domain โดย Physical Egress 1 ตัวสามารถผูกกับ VPC Egress ได้เพียง 1 ตัวเท่านั้น การสื่อสารระหว่าง VPC กับภายนอกต้องผ่าน VPC Gateway เสมอ
Classic Network
Classic Network เหมาะสำหรับ scenario ที่ต้องการสื่อสารตรงระหว่าง tenant กับ tenant อื่น หรือระหว่าง virtual environment กับ physical environment โดย VM และ NFV devices สามารถสื่อสารกับภายนอกผ่าน Classic Network Outgoing Interface ได้โดยตรง โมเดลนี้เหมาะกับองค์กรที่ต้องการความเรียบง่ายในการ deploy และไม่จำเป็นต้องแยก network space ระหว่าง tenant
Communication Domain
Communication Domain ใช้สำหรับเชื่อมต่อ Resource Pool หลายแห่งให้เป็น Layer 2 network เดียวกันด้วย VXLAN overlay technology ทำให้ VM ที่อยู่คนละ cluster สามารถสื่อสารกันได้เสมือนอยู่ใน broadcast domain เดียวกัน ซึ่งเป็นพื้นฐานสำหรับ cross-cluster deployment เช่น VM migration ข้าม site หรือ disaster recovery
Traffic Flow
East-West Traffic (VM-to-VM ใน subnet เดียวกัน)
เมื่อ VM สื่อสารกับ VM อื่นที่อยู่ใน subnet เดียวกัน traffic จะถูกส่งผ่าน Virtual Switch โดยตรงโดยไม่ต้องผ่าน Virtual Router ทำให้มี latency ต่ำและ throughput สูง
North-South Traffic (VM ออก Internet/Physical Network)
เมื่อ VM ต้องการสื่อสารกับ network ภายนอก traffic จะไหลตามเส้นทาง: VM → Virtual Router → Physical Edge → Physical Network โดย Virtual Router จะทำหน้าที่ routing และ ACL enforcement ก่อนส่ง traffic ออกผ่าน Edge Port
Cross-Cluster Traffic (Communication Domain)
เมื่อ VM ต้องการสื่อสารกับ VM ใน Resource Pool อื่น traffic จะถูก encapsulate ด้วย VXLAN tunnel: VM → VXLAN Tunnel → VM อีก Resource Pool ทำให้สามารถขยาย Layer 2 network ข้าม physical site ได้
หมายเหตุสำคัญ
- ตั้งค่า Network Node Settings ได้จากเมนู Networking > Topology โดยคลิกที่ node แล้วเลือก Mark/Unmark เป็น Network Node
- ตั้งแต่ SCP 6.7.30 เป็นต้นไป ระบบจะมี Security Baseline Policy ที่บล็อก public network traffic เป็น default ผู้ดูแลระบบต้องสร้าง ACL rule เพิ่มเติมเพื่ออนุญาต traffic ที่ต้องการ
- สามารถดู Network Topology แบบ visual ได้จากเมนู Networking > Topology ซึ่งใช้หลักการ "What you draw is what you get" สามารถลาก drop องค์ประกอบต่าง ๆ เพื่อออกแบบ topology ได้
บทความที่เกี่ยวข้อง
- Virtual Router บน SCP — การสร้างและจัดการ routing ภายใน VPC
- Virtual Switch บน SCP — การสร้างและกำหนดค่า virtual switch
- Edge Port (Physical Egress) — การเชื่อมต่อ virtual network กับ physical network
- NFV Devices บน SCP — การ deploy vNGAF, SSL VPN และ vAD
- Communication Domain — การเชื่อมต่อ Resource Pool ด้วย VXLAN overlay
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น