ИТ-портал компании «Инфосистемы Джет»

Сетевая виртуализация как предчувствие

Сетевая виртуализация как предчувствие

Последние 10 лет в ИТ торжествует виртуализация – подход, позволяющий гибко распоряжаться ресурсами оборудования, превращая «статичные» физические серверы и системы хранения в универсальный и эффективно используемый вычислительный ресурс. Базис вычислительной виртуализации – это программный посредник между x86 «железом» и программным обеспечением (гипервизор), обеспечивающий распределение пула ресурсов физического сервера между виртуальными машинами.

По очень похожему сценарию идет сейчас очередной виток виртуализации в сетях передачи данных[1]. Коммутаторы и обеспечиваемая ими среда передачи данных рассматриваются как пул ресурсов определенной емкости (underlay). Основным ресурсом underlay-сети является ее пропускная способность. Организацию требуемых приложениям сетевых сервисов предлагается реализовать путем создания туннелей[2] поверх физической инфраструктуры (overlay).

На практике тема сетевой виртуализации также оказывается тесно переплетена с другими популярными тенденциями, такими как SDN, NFV, Overlay Networks. При этом все они получают свое применение и место в общей картине:

  • overlay – метод организации связности с помощью туннеля поверх физической сети;
  • NFV – предпочтительный способ организации сервисов в виртуализованной сети;
  • SDN – подход к управлению компонентами за счет использования программных контроллеров.

В случае сетевой виртуализации, при необходимости изменить сетевую связность, никаких изменений в физическую сеть (underlay) не вносится. Вместо этого с помощью программного или аппаратного шлюза создается или изменяется сетевой туннель на уровне overlay.

Применение overlay-виртуализации имеет ряд преимуществ перед традиционными сетевыми технологиями:

  • решение работает на базе любой физической сети любого производителя, устраивающей по критериям надежности и производительности;
  • к физической сети предъявляются достаточно простые функциональные требования, которые сводятся к надежности и предоставлению IP-связности;
  • решение позволяет достаточно просто распространить границы сети до портов виртуальных машин за счет встраивания функционала overlay-шлюза в виртуальный коммутатор[3];
  • функциональность управления реализована в ПО контроллера, которое функционирует на виртуальных машинах и гипервизорах и может быть модернизировано с выходом новой версии. С аппаратным обеспечением всегда есть ограничения на новый функционал.

Безусловно, идея overlay-сетей не есть идеальное решение. Приглядевшись, можно отметить в концепции несколько минусов. Во-первых, необходимость использовать ресурсы CPU сервера для организации туннелей[4]. В случае недостатка ресурсов CPU производительность передачи данных может быть значительно ниже ожидаемой, этот вопрос сложно поддается прогнозированию и управлению. Во-вторых, траблшутинг необходимо вести на уровне как физической сети, так и overlay. В-третьих, автоматизация процесса подключения в overlay виртуальных машин, как правило, требует интеграции сетевого контроллера с менеджером виртуальной инфраструктуры (VMware Vcenter/Openstack/Cloudstack). Его в инфраструктуре может и не быть, также не исключен вопрос совместимости версий. Без этой интеграции сеть и среды виртуализации придется настраивать отдельно, что на современном этапе развития инженерной мысли значительно снижает ценность такого решения (т.к. увеличивает OPEX, time-to-market и т.д). И наконец, задачи интеграции overlay-сети с традиционной сетью и аппаратными устройствами, не поддерживающими overlay, требуют отдельных шлюзов VXLAN/VLAN (физических или виртуальных).

Наблюдая такую заманчивую и местами противоречивую картину, тем более интересно оценить практическую реализацию этой концепции. В течение последних 5 месяцев мы в нашем Центре сетевых решений проводили тестирование продукта сетевой виртуализации Nuage компании Nuage Networks (принадлежит Nokia).

Облачный Nuage [5]

Nuage – это решение для программного управления динамично изменяемыми виртуализованными сетевыми инфраструктурами. С точки зрения архитектуры это набор управляющих виртуальных машин, компонентов, встраиваемых в популярные гипервизоры (поддерживаются KVM/XEN, ESXi, Hyper-V), и программных или аппаратных шлюзов на границе сети.

Решение работает поверх практически любой маршрутизируемой сети передачи данных, что особенно важно, т.к. маршрутизируемая сеть гораздо лучше масштабируется и позволяет ограничивать сегмент, в котором наблюдается отказ или проблема. Благодаря возможности функционирования поверх маршрутизируемой сети решается проблема организации стыков между ЦОДами. В классическом варианте для объединения ЦОДов[6] применяют достаточно сложный и дорогой сетевой узел. В случае Nuage достаточно организовать каналы связи между площадками, настроить маршрутизацию, установить резервные контроллеры Nuage на вторую площадку и настроить гипервизоры. Никакого специального решения, по сути, не требуется, ведь туннелю все равно, куда именно устанавливать соединение – на соседний хост или в другой ЦОД. При этом значительно упрощаются объединение не только двух, но и большего количества ЦОДов, организация выносов участков своей инфраструктуры на другие площадки (например, на площадки заказчиков) и т.д. С overlay все это теперь не требует каких-то особых, дорогостоящих решений, при условии разумных требований к производительности.

С точки зрения сетевого функционала Nuage на уровне виртуальных коммутаторов поддерживает:

  • L2 связность между любыми компонентами, организацию коммутируемых сегментов, аналогичных VLAN;
  • L3 связность и распределенную маршрутизацию на разных хостах;
  • stateless-фильтрацию трафика между любыми компонентами сети;
  • построение цепочки сервисов, позволяющее включать различные сервисы в обработку трафика практически на ходу;
  • интеграцию с виртуализованными NFV-сервисами, представленными в виде отдельных виртуальных машин, такими как межсетевой экран, NAT, балансировка нагрузки, proxy[7], IPS/IDS и т.д.
  • перенаправление и ограничение трафика (policing).

Высокий уровень безопасности достигается за счет наличия модели изоляции и разграничения доступа к ресурсам, созданной в лучших традициях облачного подхода. Другими словами, если какому-то пользователю предоставлен доступ к части инфраструктуры (виртуальные машины, порты, зоны безопасности), то его действия не могут существенно затронуть соседние элементы инфраструктуры. Максимум, чего сможет добиться такой пользователь, – загрузить предоставленные ему ресурсы большим объемом трафика. Но возможность ограничить предоставляемые пользователю ресурсы как виртуальных машин, так и сети, не позволит загрузить инфраструктуру настолько, чтобы сделать невозможной работу других приложений, а уж тем более повлиять на сетевую связность в смежных сегментах. Также реализованная модель разграничения доступа позволяет предоставить доступ к ключевым участкам сети службе ИБ для контроля правил, разрешающих хождение определенных видов трафика.

Благодаря удобному, логичному и тиражируемому подходу к управлению сетевой инфраструктурой появляется возможность существенно изменить ИТ-архитектуру: вместо централизованного подхода к маршрутизации, безопасности, предоставлению сервисов имеет место организация «контейнеров» (tenant) из связанных сетевых сегментов для каждого отдельного приложения (или набора однотипных приложений) со своими правилами обработки трафика между сегментами. Приложение может иметь стандартную (2-Tier, 3-Tier) или значительно более сложную структуру, никаких ограничений на логику в системе не накладывается.

Создание «контейнера» в Nuage начинается с создания его шаблона с помощью графического web-интерфейса путем добавления различных компонентов, таких как подсеть, зона безопасности, сервис и т.д., и задания связей между ними.

Рис. 1. Сетевая инфраструктура приложения в интерфейсе Nuage

Затем на основе шаблона создается конкретный экземпляр сетевой инфраструктуры для приложения. Причем из одного шаблона можно быстро создать множество экземпляров контейнеров для приложений, имеющих сходную структуру. Изменение шаблона автоматически меняет структуру всех контейнеров, которые были созданы на его основе, что позволяет централизованно вносить корректировки в уже работающую инфраструктуру. В системе предусмотрен API для создания шаблонов, их развертывания, управления работой системы. Это позволяет обеспечить интеграцию Nuage с другими системами или написать собственные скрипты для автоматизации элементарных действий.

При необходимости обеспечить высокую (более 10 Гбит/с) производительность передачи данных или подключить к сети специализированное устройство Nuage может управлять работой аппаратных VXLAN-шлюзов, реализованных в современных коммутаторах (поддерживаются маршрутизаторы Alcatel-Lucent, White Box коммутаторы с Cumulus Linux, есть возможность управления сетями Arista и HP через контроллеры соответствующих производителей).

Управление виртуализованной сетью в Nuage сильно отличается от обычного подхода к настройке сетевого оборудования. В Nuage overlay-сеть управляется из web-интерфейса, оператору не требуются знания каких-либо особенностей настройки «железа» или навыки программирования. При этом нужно хорошо понимать логику работы приложения, направления потоков и типов трафика, знать требования к его обработке, ИБ-требования и т.д. Во всем этом должен разбираться администратор приложения, для которого Nuage предоставляет все средства для подготовки, тестирования, создания и тиражирования необходимой приложениям сетевой инфраструктуры. Привлечение сетевого инженера для настройки сети в этом случае совершенно необязательно, т.к. из процедуры развертывания исключается настройка сетевого оборудования, а проектирование в простых случаях может сводиться к созданию блок-схем, причем в самом интерфейсе Nuage.

В нашей лаборатории функционирует стенд с Nuage в связке с VMware Vcenter, мы также тестировали вариант в связке с Openstack. Кроме того, мы регулярно проводим выездные демонстрации функционала решения для заказчиков.

В результате управление инфраструктурой ЦОДа может оперативно и безопасно осуществлять один инженер – администратор приложения. Он знает, какие именно связность и сервисы необходимы его приложениям, и может обеспечить их самостоятельно, на базе предоставленного ему в управление пула ресурсов и интерфейса Nuage. Нет необходимости привлекать персонал профильных сетевых подразделений, описывать постановку задачи, формировать запрос, ждать его выполнения, проверять результат. В итоге кардинально сокращается время развертывания новых при ложений и внесения изменений в инфраструктуру.

Неслучайно типичное применение Nuage – это организация управления инфраструктурой тестовых сред для разработчиков приложений.

За пределами ЦОДов

Если добрая половина наших сетевых проектов связана с ЦОДами, то вторая половина – с филиальными сетями наших заказчиков. У Nuage есть решение для организации программно-управляемого WAN (тот самый SD-WAN). Вместо стандартной схемы с установкой маршрутизаторов на площадках заказчиков Nuage предлагает устанавливать небольшие устройства с сетевыми портами, х86 процессором, гипервизором и ПО Nuage.

После подключения к оператору на удаленной площадке это устройство автоматически подключится к контроллеру Nuage в ЦОДе, получит от него конфигурацию и далее будет функционировать под управлением центрального узла. Этот подход значительно снижает время развертывания филиальных сетей.

Для удовлетворения требований российских регуляторов производитель ведет работу по созданию функционала шифрования по стандартам ГОСТ и межсетевого экранирования для своих устройств в следующих релизах ПО. Это позволит значительно расширить сферу применения решений Nuage и еще более снизить стоимость развертывания филиальных сетей.


[1] Строго говоря, сетевая виртуализация – не очень молодая тема. Основное понятие современных сетей – VLAN, технология появилась в стандарте IEEE 802.1q в 1998 году. Но, конечно, сетевой виртуализации далеко до вычислительной, которая ведет историю от мейнфреймов IBM 60-х годов прошлого века.

[2] Под организацией туннеля здесь и далее понимается создание упорядоченного потока данных «точка-точка» между двумя узлами. Поток данных «вкладывается» внутрь IP-пакетов, поэтому в качестве среды для туннеля может выступать практически любая маршрутизируемая IP-сеть. В качестве технологии туннелирования в настоящее время чаще всего используют VXLAN, помимо этого, существуют NVGRE и GENEVE.

[3] В частности, openvswitch поддерживает эту функциональность достаточно давно.

[4] Именно по этой причине в современных сетевых адаптерах реализуют аппаратную поддержку функционала VXLAN offloading. В частности, эти функции присутствуют в адаптерах Mellanox ConnectX-3/4.

[5] Nuage – фр. «облако». В данном случае это намеренная тавтология.

[6] Например, на базе модульных коммутаторов Cisco Nexus серии 7000 и технологии Cisco OTV, которую они поддерживают. При этом коммутаторы нужно ставить на обе площадки, а стоимость одного такого решения может быть выше 1 млн долларов.

[7] В ходе тестирования мы включали в цепочку сервисов Jet Toolbar и демонстрировали заказчикам возможность добавления контекстной рекламы практически «на лету».

Вернуться к списку статей
Оставьте комментарий
Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: journal@jet.su