Üretim trafiği çoğu zaman DNS ile başlar ama sonuçta IP adreslerine akar. Bu yüzden VIP yönetimi yalnızca "bir adrese bind et" seviyesinde ele alınırsa gerçek ağ topolojisi eksik kalır. VLAN, LACP, Bridge, V-ETH, V-ETH(peer), namespace, IPv6 ve cluster failover davranışı birlikte düşünülmediğinde VIP çalışıyor görünür ama trafik beklenen yoldan gelmeyebilir.
Çok VLAN'lı yapılarda sorun daha da belirgindir. Operatör önce ağ tarafında VLAN oluşturur, sonra Bond veya Bridge ilişkilerini düzenler, ardından ADC tarafında VIP tanımlar. Bu parçalar ayrı ayrı yönetildiğinde VLAN tag hatası, MTU uyumsuzluğu, yanlış üst arayüz seçimi veya eksik gateway kontrolü "VIP ayakta ama trafik yok" durumuna yol açar.
Klasik VIP geçiş yaklaşımı da her senaryoda yeterli değildir. Düğüm çalışıyor görünebilir, VRRP peer iletişimi devam edebilir, fakat ilgili link düşmüş veya gateway erişilemez hale gelmiş olabilir. Bu durumda VIP canlı görünen ama upstream'e ulaşamayan cihazda kalırsa failover gerçekleşmez ve servis kesintisi yaşanır.
Doğru model, VIP'i fiziksel cihaza değil cluster'a bağlamalıdır. Arayüz tipi, üst arayüz ilişkisi, VLAN veya Bond yapısı, IPv4/IPv6 adresleri, MASTER/BACKUP rolü ve VIP geçiş yöntemi aynı konfigürasyon modelinde birlikte tanımlanmalıdır.
TR7 VIP ve IP Senaryoları bu ihtiyacı karşılar: VIP'leri ağ topolojisi, cluster sahipliği ve link/gateway farkındalığıyla birlikte yönetilebilir hale getirir.
TR7, VIP yönetimini arayüz modeli, VIP iletişimi, MASTER/BACKUP dağıtımı ve çok katmanlı arayüz kompozisyonu üzerine kurar.
Fiziksel, VLAN, Bond, LACP, V-ETH, V-ETH(peer) ve Bridge arayüzleri aynı konfigürasyon yaklaşımıyla tanımlanır. Her tip için yalnızca ilgili seçenekler gösterilir; operatör yanlış alana yanlış ağ parametresi yazmak zorunda kalmaz.
Her arayüz için VIP iletişimi tanımlanır ve cluster içi düğümler bu adresler üzerinden eşleşir. VIP tek düğüme sabitlenmez; cluster rolüne göre aktif düğümde sahiplenilir.
VIP'ler master ve backup listeleriyle ayrıştırılır. Active-Active senaryolarda bir düğüm master VIP'leri, diğer düğüm backup VIP'leri taşıyabilir ve arıza durumunda tüm VIP'ler sağlam düğümde birleşebilir.
VLAN üst arayüzü, Bond üyeleri, Bridge üyeleri ve sanal arayüz ilişkileri aynı ağaç içinde tanımlanır. Bond üzerinde VLAN, Bridge üzerinde V-ETH veya namespace'e bağlı V-ETH(peer) gibi gerçek topolojiler tek modelde temsil edilir.
VIP ve IP Senaryoları, fiziksel ve sanal ağ yapısını cluster-aware VIP yönetimiyle birleştirir.
TR7; Fiziksel, VLAN, Bond, LACP, V-ETH, V-ETH(peer) ve Bridge arayüz tiplerini destekler. Fiziksel arayüz, VLAN sub-arayüz, Bond, LACP, Bridge, sanal Ethernet ve sanal Ethernet çifti aynı ağ modeline dahil edilebilir. Bu yapı, ADC'nin yalnızca IP atayan bir katman değil, ağ topolojisini anlayan bir yönetim noktası olmasını sağlar. Operatör, üretim ortamındaki gerçek ağ düzenini TR7 arayüzünden yönetir.
TR7, IPv4 ve IPv6 adres ailelerini VIP yönetiminde birlikte ele alır. Aynı servis veya arayüz için v4 ve v6 adresleri paralel çalıştırılabilir. Gateway sağlık kontrolleri de adres ailesine göre ayrıştırılabilir. Bu yaklaşım, IPv6 geçişini ayrı bir proje gibi değil, mevcut VIP yönetiminin doğal uzantısı olarak ele alır.
VLAN arayüzleri üst Fiziksel, Bond veya LACP arayüzüne bağlanarak tanımlanabilir. Her VLAN üzerinde ayrı subnet ve ayrı VIP seti çalıştırılabilir. Bu özellikle servis sağlayıcı, çok kiracılı ve segmentasyon gerektiren yapılarda önemlidir. Aynı fiziksel bağlantı üzerinden farklı müşteri veya güvenlik bölgeleri ayrıştırılır.
Bond ve LACP arayüzleri birden fazla fiziksel portu tek mantıksal arayüz olarak kullanmaya izin verir. Bond active-backup gibi yedeklilik senaryoları için, LACP ise 802.3ad link aggregation için kullanılır. Production VIP'ler bu mantıksal arayüzler üzerinde konumlandırılarak tek port veya tek bağlantı arızasına karşı daha dayanıklı hale getirilebilir. VLAN katmanı da Bond veya LACP üzerinde çalıştırılarak esnek topolojiler kurulabilir.
Bridge, VM veya container tabanlı ağ arka düzlemlerinde köprüleme davranışı için kullanılabilir. V-ETH, MAC sanal Ethernet arayüzü olarak sanallaştırma ortamlarına uyum sağlar. V-ETH(peer) ise namespace ve container izolasyonu için sanal Ethernet çifti oluşturur. Bu destek, TR7'nin yalnızca fiziksel appliance değil, sanal ve on-prem bulut mimarilerinde de esnek çalışmasını sağlar.
VIP'ler tek bir düğümün yerel IP listesi gibi değil, cluster'a ait servis adresleri olarak yönetilir. Her arayüz için VIP iletişimi ve VIP nesneleri tanımlanır. Failover olduğunda VIP sahipliği diğer düğüme geçebilir. Bu model, bakım ve arıza senaryolarında servis adreslerinin korunmasını sağlar.
TR7 her VIP için dört geçiş yöntemi sunar: Sadece VRRP, TR7 link kontrolü, TR7 gateway kontrolü ve TR7 link ve gateway kontrolü. Sadece VRRP klasik protokol davranışını kullanır; TR7 link kontrolü fiziksel arayüz carrier durumunu izler; TR7 gateway kontrolü upstream erişilebilirliğini kontrol eder; TR7 link ve gateway kontrolü iki sinyali birlikte değerlendirir. Bu sayede kritik VIP'ler yalnızca cihaz canlılığına değil, gerçek ağ erişilebilirliğine göre taşınabilir. Standart kurulumlarda özel izleme betikleri gerektiren bu davranış TR7 arayüzünden politika seçimi olarak sunulur.
Master VIP listesi ve backup VIP listesi ayrı tutulur. Active-Active yapıda bir grup VIP bir düğümde, diğer grup VIP eş düğümde aktif olabilir. Bir düğüm düşerse sağlam düğüm her iki VIP setini de sahiplenir. Böylece iki cihaz yalnızca bekleyen yedek olarak değil, canlı trafik taşıyan aktif kaynaklar olarak kullanılabilir.
VIP yönetimi; arayüz hiyerarşisi, VRRP slotları, unicast iletişim, namespace, zone ve gateway kontrolleriyle birlikte planlanır.
VLAN, Bond, LACP, Bridge, V-ETH ve V-ETH(peer) ilişkileri üst arayüz ve üye arayüz alanlarıyla tanımlanır. Bu sayede Bond üzerinde VLAN, Bridge içinde V-ETH veya namespace'e bağlı V-ETH(peer) gibi kompozisyonlar modellenebilir. Operasyon ekipleri ağ yapısını parça parça değil, bağımlılıklarıyla birlikte yönetir.
Her arayüz için MASTER ve BACKUP olmak üzere 2 VRRP slotu üretilebilir. Active-Active senaryoda bu ayrım VIP dağıtımının temelini oluşturur. virtual_router_id değerleri otomatik atanarak aynı subnet içinde çakışma riski azaltılır.
TR7, VRRP peer iletişiminde unicast yaklaşımı kullanabilir. Bu, multicast trafiğin filtrelendiği modern veri merkezi ağlarında daha öngörülebilir bir davranış sağlar. unicast_src_ip ve unicast_peer bilgileriyle eş düğüm iletişimi açık biçimde tanımlanır.
Her arayüz için gateway erişilebilirliği sağlık kontrolüyle izlenebilir. IPv4 ve IPv6 aileleri ayrı ayrı kontrol edilebilir. Gateway erişimi kaybolduğunda VIP geçiş yöntemi TR7 gateway kontrolü veya TR7 link ve gateway kontrolü ise failover kararı bu sinyali dikkate alır.
VIP'ler namespace ve zone bağlamıyla ilişkilendirilebilir. Bu yapı çok kiracılı veya çok bölgeli yapılarda VIP sahipliğini daha net tanımlar. Her tenant veya zone için ayrı ağ izolasyonu ve ayrı VIP yönetimi kurgulanabilir.
VIP failover olduğunda gratuitous ARP ile ağ tarafındaki MAC tabloları güncellenir. Bu, L2 seviyesinde trafiğin yeni aktif düğüme yönelmesini hızlandırır. Özellikle aynı subnet içindeki VIP geçişlerinde servis kesinti süresini azaltmaya yardımcı olur.
Telekom ekipleri trunk port üzerinde çok sayıda VLAN tanımlayarak her müşteri veya servis segmenti için ayrı VIP seti çalıştırabilir. Tek fiziksel bağlantı üzerinde çoklu subnet ve çoklu müşteri ayrımı yönetilebilir.
Operasyon ekipleri birden fazla fiziksel portu LACP arayüzünde birleştirip production VIP'leri bu mantıksal arayüz üzerinde konumlandırabilir. Bağlantı arızası veya kapasite ihtiyacında servis sürekliliği güçlenir.
Büyük yapılarda VIP'lerin bir kısmı bir düğümde, diğer kısmı eş düğümde aktif çalıştırılabilir. Böylece iki cihaz da canlı trafik taşır; arıza durumunda sağlam düğüm tüm VIP setini sahiplenir.
Çok kiracılı ortamlarda her tenant ayrı namespace içinde konumlandırılabilir. VIP'ler ilgili namespace'e ait olacak şekilde tanımlanır ve kiracı trafiği ağ düzleminde ayrıştırılır.
7 arayüz tipi, 4 failover yöntemi ve cluster-wide VIP sahipliği. Kendi ortamınızda canlı bir kurulumda gezdirelim.