Hinter den Kulissen von VPC
Die folgenden Informationen stellen ein detailliertes konzeptionelles Bild der Ereignisse "hinter dem Vorhang" im VPC-Netz dar. Hier erfahren Sie, wie Sie Netzisolation, Adresspräfixe, Quellenadressen für Cloud-Serviceendpunkte, Datenpaketflüsse, den Lebenszyklus für externe IP-Adressen und den Zugriff auf die Classic-Infrastruktur nutzen können. Es wird erwartet, dass Leser einen gewissen Hintergrund zum Thema Netze aufweisen.
Netzisolation
Die VPC-Netzisolation findet auf drei Ebenen statt:
-
Hypervisor - Die Virtual Server-Instanzen werden durch den Hypervisor isoliert. Eine Virtual Server-Instanz kann andere Virtual Server-Instanzen, die von demselben Hypervisor gehostet werden, nicht direkt erreichen, wenn sie nicht zu derselben VPC gehören.
-
Netz - Die Isolation findet auf Netzebene unter Verwendung von VNIs (Virtual network identifiers, virtuelle Netz-IDs) statt. Diese IDs werden jedem Teilnetz zugeordnet und auf den Gültigkeitsbereich einer einzelnen Zone eingegrenzt. Eine VNI wird zu allen Datenpaketen hinzugefügt, die in einer beliebigen Zone der VPC entweder vom Hypervisor aus eintreffen (wenn sie von einer Virtual Server-Instanz gesendet wurden) oder aus der Cloud eintreffen (wenn sie von der impliziten Routingfunktion gesendet wurden).
Bei einem Paket, das eine Zone verlässt, wird die VNI abgeschnitten. Wenn das Paket mit Eingang über die implizite Routing-Funktion seine Zielzone erreicht, fügt der implizite Router immer die richtige VNI für diese Zone hinzu.
-
Router – Implizite Routerfunktion stellt für jede VPC eine Isolation bereit, indem eine Funktion für virtuelles Routing (VRF) und ein VPN mit MPLS (Multi-Protocol Label Switching) im Cloud-Backbone bereitgestellt werden. Die virtuelle Routing-Funktion der einzelnen VPC-Instanzen hat eine eindeutige Kennung und diese Isolation ermöglicht es, dass jede VPC-Instanz Zugriff auf eine eigene Kopie des IPv4-Adressbereichs hat. Die VPNs mit MLPS ermöglichen die Föderierung aller Edge-Systeme der Cloud: Klassische Infrastruktur, Direct Link und VPC.
Adresspräfixe
Adresspräfixe sind die Übersichtsinformationen, die von der impliziten Routing-Funktion einer VPC verwendet werden, um eine Virtuelle Zielserverinstanz zu lokalisieren, unabhängig von der Verfügbarkeitszone, in der sich die virtuelle Zielserverinstanz befindet. Die primäre Funktion von Adresspräfixen ist die Optimierung des Routings im MPLS-VPN, wobei anormale Routingfälle vermieden werden. Alle Teilnetze innerhalb einer VPC müssen in einem Adresspräfix enthalten sein, damit alle virtuellen Serverinstanzen, die sich in der VPC befinden, von allen anderen virtuellen Serverinstanzen in der VPC erreichbar sind.
Quellenadressen für Cloud-Serviceendpunkte
Quellenadressen von Cloud-Serviceendpunkten sind die IP-Adressen, die eine Kombination aus VPC und Zone außerhalb der VPC angeben. Eine Quellenadresse wird beispielsweise verwendet, wenn ein Service außerhalb der VPC über einen Cloud-Serviceendpunkt aufgerufen wird. Die IP-Adresse der virtuellen Serverinstanz wird durch eine IPv4-Adresse ersetzt, die Quellenadresse, die die VPC für den Cloud-Serviceendpunkt identifiziert. Details finden Sie im folgenden Diagramm:

Die Quellenadresse des Cloud-Service-Endpunkts im Diagramm lautet "VPC-Adresse". Diese Adresse liegt außerhalb des Bereichs der Kunden-VPC und kollidiert daher nicht mit den Kunden-VSI-Adressen.
Datenpaketfluss und der implizite Router
In einer VPC-Instanz werden sechs verschiedene Typen von Paketdatenflüssen für Virtual Server-Instanzen ausgeführt. In aufsteigender Reihenfolge der Komplexität lauten diese Datenflüsse wie folgt:
- Teilnetzintern, hostintern (gleicher Hypervisor)
- Teilnetzintern, zwischen Hosts erfolgend
- Zwischen Teilnetzen, Zonenintern
- Zwischen Teilnetzen, zwischen Zonen
- Zu Services außerhalb der VPC-Instanz erfolgend (für IaaS- oder CSE-Zugriff)
- Außerhalb der VPC-Instanz im Internet erfolgend (für Internetzugriff)
Teilnetzinterne, hostinterne Datenflüsse - Dies sind die einfachsten Datenpakete. Der Paketfluss erfolgt zwischen den Virtual Server-Instanzen auf dem Hypervisor und keine Pakete verlassen den Hypervisor.
Teilnetzinterne, zwischen Hosts erfolgende Datenflüsse - Diese Datenflüsse beinhalten Pakete, die den Hypervisor verlassen. Jedes Paket wird mit der korrekten VNI versehen, damit die Datenisolation gewährleistet ist. Die Datenflüsse werden dann an den Zielhypervisor gesendet, der die Virtual Server-Zielinstanz hostet. Der Zielhypervisor entfernt die VNI und leitet das Datenpaket an die Virtual Server-Zielinstanz weiter.
Teilnetzübergreifende, zoneninterne Datenflüsse - Diese Datenflüsse beinhalten Pakete, von denen die implizite Routerfunktion der VPC verwendet wird, die alle in der VPC erstellten Teilnetze miteinander verbindet. Sie leitet das Datenpaket an den richtigen Zielhypervisor weiter. Wenn sich der Zielhypervisor vom Quellenhypervisor unterscheidet, wird das Datenpaket mit der richtigen VNI versehen und an den Zielhypervisor gesendet. Dort wird die VNI entfernt und das Datenpaket an die Virtual Server-Zielinstanz weitergeleitet. (Diese letzten Schritte sind dieselben wie für den vorherigen Datenflusstyp beschrieben.)
Teilnetzübergreifende, zonenübergreifende Datenflüsse - Bei diesen Datenflüssen entfernt die implizite Routerfunktion die VNI und leitet das Paket im MPLS-VPN der VPC für die Übertragung über den Cloud-Backbone weiter. In der Zielzone markiert die implizite Routerfunktion das Datenpaket mit der entsprechenden VNI. Anschließend wird das Paket an den Zielhypervisor weitergeleitet, wo die VNI wieder entfernt wird, damit das Datenpaket an die Virtual Server-Zielinstanz weitergeleitet werden kann.
Datenflüsse für VPC-externe Services - Pakete, die für IaaS-Services oder für IBM Cloud Service Endpoint (CSE) bestimmt sind, verwenden die implizite Routerfunktion der VPC. Sie verwenden außerdem eine Funktion für die Netzadressenumsetzung (Network Address Translation, NAT). Die Umsetzungsfunktion ersetzt die Adresse der Virtual Server-Instanz durch eine IPv4-Adresse, die die VPC für den angeforderten IaaS- oder CSE-Service angibt.
Datenflüsse für das VPC-externe Internet - Pakete, die für das Internet bestimmt sind, sind die komplexesten Daten. Diese Datenflüsse nutzen nicht nur die implizite Routerfunktion der VPC, sondern stützen sich außerdem auf eine der beiden NAT-Funktionen des impliziten Routers.
- Eine explizite Eins-zu-viele-Netzadressenumsetzung über eine öffentliche Gatewayfunktion, die alle mit ihr verbundenen Teilnetze bedient.
- Eine Eins-zu-eins-NAT-Funktion, die einzelnen Virtual Server-Instanzen zugeordnet wird.
Nach der NAT-Umsetzung leitet der implizite Router diese für das Internet bestimmten Pakete an das Internet weiter, wobei das Cloud-Backbone verwendet wird.
Lebenszyklus von externen IP-Adressen, die öffentlichen Gateway-Funktionen zugeordnet sind
Da sowohl externe IP-Adressen als auch PGWs an eine Verfügbarkeitszone gebunden sind. Eine öffentliche Gatewayfunktion kann nur eine einzige externe IP-Adresse besitzen. Diese externe IP-Adresse hat folgenden Lebenszyklus:
- Die externe IP-Adresse wird zugeordnet, wenn das öffentliche Gateway erstellt wird.
- Die externe IP-Adresse wird freigegeben, wenn das öffentliche Gateway gelöscht wird.
Klassischer Zugriff
Die Funktion des klassischen Zugriffs für VPC erreicht, in dem die VRF-ID aus dem IBM Cloud®-Konto für die klassische Infrastruktur als VRF-ID für VPC verwendet wird. Diese Implementierung ermöglicht es der impliziten VPC-Routerfunktion, demselben mit MPLS ausgestatteten VPN beizutreten, das auch vom Konto der klassischen Infrastruktur verwendet wird. Die VPC erhält somit den Zugriff auf klassische Ressourcen und alle anderen Elemente, die über vorhandene Direct-Link-Verbindungen erreicht werden können.