Nếu bạn từng nghe tới VXLAN, SD-WAN, hoặc thắc mắc vì sao Container trong Kubernetes có thể “nói chuyện” với nhau dù chạy trên các server vật lý khác nhau, thì câu trả lời nằm ở một khái niệm: Overlay Network. Đây là công nghệ nền tảng giúp ngành mạng thoát khỏi giới hạn của phần cứng, mở ra khả năng mở rộng gần như vô hạn cho các hệ thống mạng hiện đại. Bài viết này sẽ giải thích Overlay Network là gì theo cách dễ hiểu nhất, kể cả khi bạn không có nền tảng kỹ thuật sâu về mạng.
Overlay Network là gì?
Overlay Network, tạm dịch là Mạng chồng hoặc Mạng ảo, là một mạng máy tính được xây dựng “phía trên” một mạng vật lý đã tồn tại sẵn, gọi là Underlay Network. Nói một cách hình dung, nếu Underlay Network là hệ thống đường sá, cầu cống thật ngoài đời, thì Overlay Network giống như những tuyến xe buýt được vẽ ra dựa trên hệ thống đường đó, có lộ trình, điểm dừng và logic vận hành riêng, nhưng vẫn phải đi trên con đường vật lý có sẵn.
Về nguyên lý hoạt động, các gói tin của mạng Overlay không di chuyển trực tiếp như bình thường. Chúng được đóng gói, hay Encapsulation, bên trong các gói tin của mạng Underlay. Nhờ cách này, dữ liệu có thể di chuyển an toàn qua hạ tầng vật lý mà không cần thay đổi bất kỳ thứ gì trong cấu trúc định tuyến gốc của Underlay. Hệ thống switch, router vật lý phía dưới hoàn toàn không cần biết đến sự tồn tại của các mạng logic đang chạy bên trên nó, chúng chỉ đơn giản là chuyển tiếp gói tin như mọi khi.
Phân biệt Underlay Network và Overlay Network
Trong các kiến trúc mạng hiện đại như SDN, VXLAN hay Kubernetes Networking, hai khái niệm Underlay Network và Overlay Network thường xuất hiện cùng nhau. Có thể hiểu đơn giản rằng Underlay là hạ tầng mạng vật lý thực sự chịu trách nhiệm vận chuyển dữ liệu, trong khi Overlay là lớp mạng ảo được xây dựng phía trên để cung cấp khả năng quản lý và mở rộng linh hoạt hơn.
Sự kết hợp giữa hai lớp mạng này chính là nền tảng giúp các hệ thống Cloud và Data Center hiện đại vận hành hiệu quả.
| Tiêu chí | Underlay Network (Mạng nền) | Overlay Network (Mạng ảo) |
| Bản chất | Bao gồm các thành phần mạng vật lý như Switch, Router, cáp mạng và thiết bị truyền dẫn. | Là lớp mạng logic được tạo ra trên hạ tầng vật lý thông qua các cơ chế đóng gói dữ liệu (Encapsulation). |
| Vai trò | Chịu trách nhiệm vận chuyển gói tin từ điểm này đến điểm khác trong hạ tầng mạng. | Cung cấp các chức năng mạng ảo như IP, Subnet, VLAN hoặc kết nối giữa các máy chủ và máy ảo. |
| Độ linh hoạt | Thấp hơn do việc thay đổi cấu hình thường liên quan đến phần cứng hoặc thiết bị mạng vật lý. | Rất linh hoạt, có thể tạo mới hoặc thay đổi cấu trúc mạng chỉ bằng phần mềm mà không cần can thiệp hạ tầng vật lý. |
| Giao thức phổ biến | OSPF, BGP, IS-IS, ECMP. | VXLAN, NVGRE, GENEVE, GRE. |
| Khả năng mở rộng | Bị giới hạn bởi kiến trúc vật lý và số lượng VLAN truyền thống. | Dễ dàng mở rộng lên hàng nghìn hoặc hàng triệu mạng logic khác nhau. |
| Mức độ quản trị | Quản trị viên phải cấu hình trực tiếp trên Switch và Router. | Có thể quản lý tập trung thông qua SDN Controller hoặc nền tảng Cloud. |
| Ví dụ thực tế | Hệ thống Spine-Leaf trong Data Center, mạng LAN doanh nghiệp. | Mạng VXLAN trong VMware NSX, Kubernetes CNI, OpenStack Neutron hoặc AWS VPC. |
Cơ chế hoạt động: Phép thuật của Tunneling và Encapsulation
Trái tim của mọi công nghệ Overlay Network nằm ở hai quy trình: đóng gói và mở gói dữ liệu, kết hợp với khái niệm tunnel, tức đường hầm logic kết nối hai điểm trong mạng.
1. Quy trình Encapsulation – Đóng gói dữ liệu
Khi một gói tin được tạo ra trong mạng Overlay, nó mang theo thông tin định tuyến riêng của mạng ảo, ví dụ địa chỉ IP nguồn và đích trong mạng logic đó. Trước khi gói tin này có thể di chuyển qua hạ tầng vật lý, hệ thống sẽ “bọc” toàn bộ gói tin gốc này vào trong một header mới. Header mới này chứa thông tin định tuyến của mạng Underlay, cho phép thiết bị vật lý nhận diện và chuyển tiếp gói tin đến đúng đích, dù chúng hoàn toàn không hiểu nội dung bên trong là gì. Đây giống như việc bạn gửi một lá thư riêng tư vào trong một thùng carton có ghi địa chỉ giao hàng rõ ràng, nhân viên vận chuyển chỉ cần đọc địa chỉ trên thùng, không cần biết bên trong là gì.
2. Quy trình Decapsulation – Mở gói dữ liệu
Khi gói tin đã được đóng gói đến được điểm cuối của đường hầm, hệ thống tại đó sẽ thực hiện quy trình ngược lại: bóc tách lớp Header vừa được thêm vào ở bước Encapsulation. Sau khi lớp vỏ bọc này được loại bỏ, gói tin trở về đúng nguyên trạng ban đầu của nó trong mạng Overlay, sẵn sàng được chuyển tiếp đến đích cuối cùng trong mạng logic. Toàn bộ quá trình đóng và mở gói này diễn ra cực nhanh, gần như trong suốt đối với người dùng cuối.
3. Vai trò của VTEP
Trong các hệ thống sử dụng VXLAN, điểm bắt đầu và kết thúc của quá trình đóng gói, mở gói này được gọi là VTEP, viết tắt của VXLAN Tunnel End Point. Có thể hiểu đơn giản VTEP chính là “cổng ra vào” của mạng Overlay. Mỗi khi dữ liệu cần rời khỏi mạng ảo để đi qua hạ tầng vật lý, nó phải đi qua một VTEP để được đóng gói. Khi đến nơi, một VTEP khác sẽ tiếp nhận và mở gói để trả dữ liệu về trạng thái gốc. VTEP có thể được triển khai dưới dạng phần mềm trên Hypervisor ảo hóa, hoặc được tích hợp cứng vào các switch vật lý chuyên dụng tùy theo kiến trúc hệ thống.
Tại sao Overlay Network lại thay đổi cuộc chơi công nghệ?
Sự xuất hiện của Overlay Network không chỉ là một cải tiến nhỏ, mà thực sự đã thay đổi cách các trung tâm dữ liệu và hệ thống mạng được thiết kế trong hơn một thập kỷ qua.
1. Vượt qua giới hạn của VLAN
Công nghệ VLAN truyền thống sử dụng trường định danh 12-bit, do đó chỉ hỗ trợ tối đa khoảng 4094 phân đoạn mạng khả dụng trên thực tế. Giới hạn này từng là một bài toán đau đầu với các trung tâm dữ liệu lớn hoặc môi trường nhiều khách hàng thuê chung hạ tầng, vì 4096 mạng riêng biệt là quá ít để đáp ứng nhu cầu phân vùng ở quy mô lớn.
VXLAN ra đời như một giải pháp, sử dụng trường định danh mạng 24-bit (VNID), giúp tăng khả năng mở rộng lên khoảng 16 triệu mạng logic, đồng thời cho phép các mạng Layer 2 mở rộng liền mạch qua các ranh giới Layer 3. Đây là bước nhảy về quy mô có ý nghĩa sống còn đối với các nhà cung cấp dịch vụ đám mây và data center vận hành hàng nghìn khách hàng cùng lúc.
2. Tính di động của máy ảo và container
Một trong những giá trị thực tế lớn nhất của Overlay Network là khả năng di động. Một máy ảo (VM) hoặc container đang chạy trên một server vật lý hoàn toàn có thể được di chuyển sang một server vật lý khác, có thể đặt ở một rack khác hoặc thậm chí một trung tâm dữ liệu khác, mà vẫn giữ nguyên địa chỉ IP của nó. Điều này có được là vì địa chỉ IP đó tồn tại trong không gian logic của mạng Overlay, hoàn toàn độc lập với vị trí vật lý nơi máy ảo đang chạy. Đây chính là nền tảng giúp các tính năng như live migration, tự động mở rộng tài nguyên (Auto-scaling), hay khôi phục sau thảm họa trở nên khả thi mà không làm gián đoạn kết nối của ứng dụng.
3. Độc lập với phần cứng bên dưới
Vì toàn bộ logic của mạng Overlay được đóng gói gọn trong các gói tin Underlay, các thiết bị mạng vật lý nằm giữa đường truyền hoàn toàn không cần phải “hiểu” cấu trúc mạng logic đang chạy bên trên. Switch và Router vật lý chỉ cần làm đúng một việc: chuyển gói tin đến đúng địa chỉ IP đích trong Underlay. Nhờ tính độc lập này, doanh nghiệp có thể thay đổi, mở rộng hoặc tái cấu trúc mạng logic của mình hoàn toàn bằng phần mềm, không cần đầu tư hay thay thế phần cứng mạng đang sử dụng.
Các giao thức Overlay Network phổ biến
Hiện nay có ba giao thức Overlay được sử dụng rộng rãi nhất trong các môi trường doanh nghiệp và data center.
1. VXLAN
VXLAN, viết tắt của Virtual Extensible LAN, là giao thức Overlay phổ biến nhất hiện nay, đặc biệt trong các trung tâm dữ liệu hiện đại. VXLAN đóng gói khung Ethernet gốc vào trong gói UDP, sử dụng trường VNI 24-bit để định danh từng phân đoạn mạng riêng biệt. Giao thức này được hầu hết các hãng thiết bị mạng lớn hỗ trợ và là lựa chọn mặc định trong nhiều giải pháp SDN thương mại.
2. NVGRE
NVGRE là giải pháp Overlay Network do Microsoft phát triển, phục vụ chủ yếu cho nhu cầu ảo hóa mạng trong môi trường Windows Server và hệ sinh thái Hyper-V. Về nguyên lý, NVGRE cũng dựa trên cơ chế đóng gói tương tự VXLAN, nhưng sử dụng giao thức GRE (Generic Routing Encapsulation) thay vì UDP để vận chuyển dữ liệu qua hạ tầng vật lý.
3. GENEVE
GENEVE là giao thức Overlay thế hệ mới, được thiết kế với mục tiêu thay thế các giao thức cũ như VXLAN và NVGRE trong dài hạn. Điểm mạnh của GENEVE nằm ở tính linh hoạt: thay vì có một cấu trúc header cố định, GENEVE cho phép mở rộng thêm các trường metadata tùy chỉnh trong header, giúp giao thức này thích ứng tốt hơn với các nhu cầu mới phát sinh trong môi trường mạng phức tạp, mà không cần phải thiết kế lại từ đầu.
Ứng dụng thực tế của Overlay Network
Overlay Network không phải là một khái niệm lý thuyết xa vời, mà đang vận hành âm thầm phía sau rất nhiều hệ thống công nghệ mà chúng ta sử dụng hàng ngày.
Trong lĩnh vực ảo hóa trung tâm dữ liệu và SDN (Software-Defined Networking), Overlay Network là thành phần cốt lõi của các giải pháp lớn như VMware NSX hay Cisco ACI. Các nền tảng này cho phép quản trị viên tạo, thay đổi, xóa bỏ hàng nghìn mạng logic chỉ bằng giao diện phần mềm, thay vì phải cấu hình tay trên từng switch vật lý.
Trong hệ sinh thái Kubernetes, Overlay Network chính là cơ chế giúp các Pod giao tiếp được với nhau, dù chúng có thể đang chạy trên các node vật lý hoàn toàn khác nhau trong cùng một cluster. Việc này được thực hiện thông qua các CNI (Container Network Interface) như Calico hoặc Flannel, vốn đều dựa trên nguyên lý đóng gói và tunnel của Overlay Network để tạo ra một không gian mạng phẳng, thống nhất cho toàn bộ Cluster.
Trong lĩnh vực kết nối doanh nghiệp, SD-WAN sử dụng Overlay Network để kết nối các văn phòng chi nhánh với nhau thông qua một mạng ảo an toàn được xây dựng ngay trên hạ tầng Internet công cộng. Nhờ vậy, doanh nghiệp không cần phải thuê các đường truyền chuyên dụng đắt đỏ như MPLS truyền thống, mà vẫn đảm bảo được tính bảo mật và độ tin cậy cho dữ liệu truyền giữa các chi nhánh.
Thách thức và nhược điểm của Overlay Network
Dù mang lại nhiều lợi ích vượt trội, Overlay Network cũng tồn tại những hạn chế mà bất kỳ kỹ sư mạng nào cũng cần lưu ý trước khi triển khai.
1. Overhead do việc đóng gói
Việc thêm một lớp header mới vào mỗi gói tin trong quá trình Encapsulation đồng nghĩa với việc kích thước tổng thể của gói tin sẽ tăng lên. Nếu không được cấu hình cẩn thận, vấn đề này có thể dẫn đến lỗi phân mảnh MTU (MTU fragmentation), khiến gói tin bị cắt nhỏ hoặc bị loại bỏ khi vượt quá kích thước tối đa cho phép trên đường truyền, gây ảnh hưởng đến hiệu năng và độ ổn định của hệ thống.
2. Độ phức tạp trong vận hành
So với một mạng vật lý đơn thuần, việc quản lý và xử lý sự cố trên một hệ thống có cả Overlay và Underlay phức tạp hơn đáng kể. Khi xảy ra lỗi, kỹ sư mạng phải xác định được vấn đề nằm ở lớp logic (Overlay) hay lớp vật lý (Underlay), điều này yêu cầu kiến thức chuyên sâu và công cụ giám sát phù hợp cho cả hai lớp mạng.
3. Yêu cầu cao về hiệu năng xử lý
Quá trình đóng gói và mở gói liên tục, đặc biệt ở tốc độ cao trong các trung tâm dữ liệu lớn, đòi hỏi năng lực xử lý đáng kể từ CPU hoặc các chip chuyên dụng ASIC. Nếu hạ tầng phần cứng không đủ mạnh để xử lý khối lượng Encapsulation và Decapsulation ở quy mô lớn, hiệu năng tổng thể của mạng có thể bị ảnh hưởng, dẫn đến độ trễ tăng cao hoặc giảm băng thông thực tế.
Tóm lại, Overlay Network là lớp mạng logic được xây dựng trên nền tảng mạng vật lý Underlay, sử dụng cơ chế đóng gói và mở gói để tạo ra các đường hầm vận chuyển dữ liệu độc lập với cấu trúc vật lý bên dưới. Nhờ khả năng vượt qua giới hạn của VLAN truyền thống, hỗ trợ tính di động cho máy ảo và container, cùng sự độc lập với phần cứng, Overlay Network đã trở thành nền tảng không thể thiếu của các trung tâm dữ liệu hiện đại, hệ thống Kubernetes, và giải pháp SD-WAN. Tuy vẫn còn những thách thức về hiệu năng và độ phức tạp vận hành, nhưng với tốc độ phát triển của hạ tầng phần cứng hiện nay, Overlay Network chắc chắn sẽ tiếp tục là xu hướng chủ đạo trong thiết kế mạng những năm tới.
