© 1995-2021 Компания «Инфосистемы Джет»
Особенности и плюсы сетевой виртуализации на примере Nuage
Сетевые решения

Последние 10 лет в ИТ торжествует виртуализация – подход, позволяющий гибко распоряжаться ресурсами оборудования, превращая «статичные» физические серверы и системы хранения в универсальный и эффективно используемый вычислительный ресурс.

Сетевые решения Обзор

Сетевая виртуализация как предчувствие

20.05.2016

Посетителей: 116

Просмотров: 99

Время просмотра: 1.4 мин.

Последние 10 лет в ИТ торжествует виртуализация – подход, позволяющий гибко распоряжаться ресурсами оборудования, превращая «статичные» физические серверы и системы хранения в универсальный и эффективно используемый вычислительный ресурс. Базис вычислительной виртуализации – это программный посредник между x86 железом и программным обеспечением (гипервизор), обеспечивающий распределение пула ресурсов физического сервера между виртуальными машинами.

 

 

По очень похожему сценарию идет сейчас очередной виток виртуализации в сетях передачи данных1Строго говоря, сетевая виртуализация – не очень молодая тема. Основное понятие современных сетей – VLAN, технология появилась в стандарте IEEE 802.1q в 1998 году. Но, конечно, сетевой виртуализации далеко до вычислительной, которая ведет историю от мейнфреймов IBM 60-х годов прошлого века.. Коммутаторы и обеспечиваемая ими среда передачи данных рассматриваются как пул ресурсов определенной емкости (underlay). Основным ресурсом underlay-сети является ее пропускная способность. Организацию требуемых приложениям сетевых сервисов предлагается реализовать путем создания туннелей2Под организацией туннеля здесь и далее понимается создание упорядоченного потока данных «точка-точка» между двумя узлами. Поток данных «вкладывается» внутрь IP-пакетов, поэтому в качестве среды для туннеля может выступать практически любая маршрутизируемая IP-сеть. В качестве технологии туннелирования в настоящее время чаще всего используют VXLAN, помимо этого, существуют NVGRE и GENEVE. поверх физической инфраструктуры (overlay).

 

На практике тема сетевой виртуализации также оказывается тесно переплетена с другими популярными тенденциями, такими как SDN, NFV, Overlay Networks. При этом все они получают свое применение и место в общей картине:

 

  • overlay – метод организации связности с помощью туннеля поверх физической сети;
  • NFV – предпочтительный способ организации сервисов в виртуализованной сети;
  • SDN – подход к управлению компонентами за счет использования программных контроллеров.

В случае сетевой виртуализации при необходимости изменить сетевую связность никаких изменений в физическую сеть (underlay) не вносится. Вместо этого с помощью программного или аппаратного шлюза создается или изменяется сетевой туннель на уровне overlay.

 

Применение overlay-виртуализации имеет ряд преимуществ перед традиционными сетевыми технологиями:

 

  • решение работает на базе любой физической сети любого производителя, устраивающей по критериям надежности и производительности;
  • к физической сети предъявляются достаточно простые функциональные требования, которые сводятся к надежности и предоставлению IP-связности;
  • решение позволяет достаточно просто распространить границы сети до портов виртуальных машин за счет встраивания функционала overlay-шлюза в виртуальный коммутатор3В частности, openvswitch поддерживает эту функциональность достаточно давно.;
  • функциональность управления реализована в ПО контроллера, которое функционирует на виртуальных машинах и гипервизорах и может быть модернизировано с выходом новой версии. С аппаратным обеспечением всегда есть ограничения на новый функционал.

 

Безусловно, идея overlay-сетей не есть идеальное решение. Приглядевшись, можно отметить в концепции несколько минусов. Во-первых, необходимость использовать ресурсы CPU сервера для организации туннелей4Именно по этой причине в современных сетевых адаптерах реализуют аппаратную поддержку функционала VXLAN offloading. В частности, эти функции присутствуют в адаптерах Mellanox ConnectX-3/4.. В случае недостатка ресурсов CPU производительность передачи данных может быть значительно ниже ожидаемой, этот вопрос сложно поддается прогнозированию и управлению. Во-вторых, траблшутинг необходимо вести на уровне как физической сети, так и overlay. В-третьих, автоматизация процесса подключения в overlay виртуальных машин, как правило, требует интеграции сетевого контроллера с менеджером виртуальной инфраструктуры (VMware Vcenter/Openstack/Cloudstack). Его в инфраструктуре может и не быть, также не исключен вопрос совместимости версий. Без этой интеграции сеть и среды виртуализации придется настраивать отдельно, что на современном этапе развития инженерной мысли значительно снижает ценность такого решения (т.к. увеличивает OPEX, time-to-market и т.д). И наконец, задачи интеграции overlay-сети с традиционной сетью и аппаратными устройствами, не поддерживающими overlay, требуют отдельных шлюзов VXLAN/VLAN (физических или виртуальных).

 

Наблюдая такую заманчивую и местами противоречивую картину, тем более интересно оценить практическую реализацию этой концепции. В течение последних 5 месяцев мы в нашем Центре сетевых решений проводили тестирование продукта сетевой виртуализации Nuage компании Nuage Networks (принадлежит Nokia).

 

Облачный Nuage5Nuage – фр. «облако». В данном случае это намеренная тавтология.

 

Nuage – это решение для программного управления динамично изменяемыми виртуализованными сетевыми инфраструктурами. С точки зрения архитектуры это набор управляющих виртуальных машин, компонентов, встраиваемых в популярные гипервизоры (поддерживаются KVM/XEN, ESXi, Hyper-V), и программных или аппаратных шлюзов на границе сети.

 

Решение работает поверх практически любой маршрутизируемой сети передачи данных, что особенно важно, т.к. маршрутизируемая сеть гораздо лучше масштабируется и позволяет ограничивать сегмент, в котором наблюдается отказ или проблема. Благодаря возможности функционирования поверх маршрутизируемой сети решается проблема организации стыков между ЦОДами. В классическом варианте для объединения ЦОДов6Например, на базе модульных коммутаторов Cisco Nexus серии 7000 и технологии Cisco OTV, которую они поддерживают. При этом коммутаторы нужно ставить на обе площадки, а стоимость одного такого решения может быть выше 1 млн долларов. применяют достаточно сложный и дорогой сетевой узел. В случае Nuage достаточно организовать каналы связи между площадками, настроить маршрутизацию, установить резервные контроллеры Nuage на вторую площадку и настроить гипервизоры. Никакого специального решения, по сути, не требуется, ведь туннелю все равно, куда именно устанавливать соединение – на соседний хост или в другой ЦОД. При этом значительно упрощаются объединение не только двух, но и большего количества ЦОДов, организация выносов участков своей инфраструктуры на другие площадки (например, на площадки заказчиков) и т.д. С overlay все это теперь не требует каких-то особых, дорогостоящих решений, при условии разумных требований к производительности.

 

С точки зрения сетевого функционала Nuage на уровне виртуальных коммутаторов поддерживает:

 

  • L2 связность между любыми компонентами, организацию коммутируемых сегментов, аналогичных VLAN;
  • L3 связность и распределенную маршрутизацию на разных хостах;
  • stateless-фильтрацию трафика между любыми компонентами сети;
  • построение цепочки сервисов, позволяющее включать различные сервисы в обработку трафика практически на ходу;
  • интеграцию с виртуализованными NFV-сервисами, представленными в виде отдельных виртуальных машин, такими как межсетевой экран, NAT, балансировка нагрузки, proxy7В ходе тестирования мы включали в цепочку сервисов Jet Toolbar и демонстрировали заказчикам возможность добавления контекстной рекламы практически «на лету»., IPS/IDS и т.д.
  • перенаправление и ограничение трафика (policing).

 

Высокий уровень безопасности достигается за счет наличия модели изоляции и разграничения доступа к ресурсам, созданной в лучших традициях облачного подхода. Другими словами, если какому-то пользователю предоставлен доступ к части инфраструктуры (виртуальные машины, порты, зоны безопасности), то его действия не могут существенно затронуть соседние элементы инфраструктуры. Максимум, чего сможет добиться такой пользователь, – загрузить предоставленные ему ресурсы большим объемом трафика. Но возможность ограничить предоставляемые пользователю ресурсы как виртуальных машин, так и сети, не позволит загрузить инфраструктуру настолько, чтобы сделать невозможной работу других приложений, а уж тем более повлиять на сетевую связность в смежных сегментах. Также реализованная модель разграничения доступа позволяет предоставить доступ к ключевым участкам сети службе ИБ для контроля правил, разрешающих хождение определенных видов трафика.

 

Благодаря удобному, логичному и тиражируемому подходу к управлению сетевой инфраструктурой появляется возможность существенно изменить ИТ-архитектуру: вместо централизованного подхода к маршрутизации, безопасности, предоставлению сервисов имеет место организация «контейнеров» (tenant) из связанных сетевых сегментов для каждого отдельного приложения (или набора однотипных приложений) со своими правилами обработки трафика между сегментами. Приложение может иметь стандартную (2-Tier, 3-Tier) или значительно более сложную структуру, никаких ограничений на логику в системе не накладывается.

 

Создание «контейнера» в Nuage начинается с создания его шаблона с помощью графического web-интерфейса путем добавления различных компонентов, таких как подсеть, зона безопасности, сервис и т.д., и задания связей между ними.

 

Рисунок 1. Сетевая инфраструктура приложения в интерфейсе Nuage

 

Затем на основе шаблона создается конкретный экземпляр сетевой инфраструктуры для приложения. Причем из одного шаблона можно быстро создать множество экземпляров контейнеров для приложений, имеющих сходную структуру. Изменение шаблона автоматически меняет структуру всех контейнеров, которые были созданы на его основе, что позволяет централизованно вносить корректировки в уже работающую инфраструктуру. В системе предусмотрен API для создания шаблонов, их развертывания, управления работой системы. Это позволяет обеспечить интеграцию Nuage с другими системами или написать собственные скрипты для автоматизации элементарных действий.

 

При необходимости обеспечить высокую (более 10 Гбит/с) производительность передачи данных или подключить к сети специализированное устройство Nuage может управлять работой аппаратных VXLAN-шлюзов, реализованных в современных коммутаторах (поддерживаются маршрутизаторы Alcatel-Lucent, White Box коммутаторы с Cumulus Linux, есть возможность управления сетями Arista и HP через контроллеры соответствующих производителей).

 

Управление виртуализованной сетью в Nuage сильно отличается от обычного подхода к настройке сетевого оборудования. В Nuage overlay-сеть управляется из web-интерфейса, оператору не требуются знания каких-либо особенностей настройки «железа» или навыки программирования. При этом нужно хорошо понимать логику работы приложения, направления потоков и типов трафика, знать требования к его обработке, ИБ-требования и т.д. Во всем этом должен разбираться администратор приложения, для которого Nuage предоставляет все средства для подготовки, тестирования, создания и тиражирования необходимой приложениям сетевой инфраструктуры. Привлечение сетевого инженера для настройки сети в этом случае совершенно необязательно, т.к. из процедуры развертывания исключается настройка сетевого оборудования, а проектирование в простых случаях может сводиться к созданию блок-схем, причем в самом интерфейсе Nuage.

 

В нашей лаборатории функционирует стенд с Nuage в связке с VMware Vcenter, мы также тестировали вариант в связке с Openstack. Кроме того, мы регулярно проводим выездные демонстрации функционала решения для заказчиков.

 

В результате управление инфраструктурой ЦОДа может оперативно и безопасно осуществлять один инженер – администратор приложения. Он знает, какие именно связность и сервисы необходимы его приложениям, и может обеспечить их самостоятельно, на базе предоставленного ему в управление пула ресурсов и интерфейса Nuage. Нет необходимости привлекать персонал профильных сетевых подразделений, описывать постановку задачи, формировать запрос, ждать его выполнения, проверять результат. В итоге кардинально сокращается время развертывания новых при ложений и внесения изменений в инфраструктуру.

 

Неслучайно типичное применение Nuage – это организация управления инфраструктурой тестовых сред для разработчиков приложений.

 

За пределами ЦОДов

 

Если добрая половина наших сетевых проектов связана с ЦОДами, то вторая половина – с филиальными сетями наших заказчиков. У Nuage есть решение для организации программно-управляемого WAN (тот самый SD-WAN). Вместо стандартной схемы с установкой маршрутизаторов на площадках заказчиков Nuage предлагает устанавливать небольшие устройства с сетевыми портами, х86 процессором, гипервизором и ПО Nuage.

 

После подключения к оператору на удаленной площадке это устройство автоматически подключится к контроллеру Nuage в ЦОДе, получит от него конфигурацию и далее будет функционировать под управлением центрального узла. Этот подход значительно снижает время развертывания филиальных сетей.

 

Для удовлетворения требований российских регуляторов производитель ведет работу по созданию функционала шифрования по стандартам ГОСТ и межсетевого экранирования для своих устройств в следующих релизах ПО. Это позволит значительно расширить сферу применения решений Nuage и еще более снизить стоимость развертывания филиальных сетей.

Уведомления об обновлении тем – в вашей почте

Обзор SDN-решений: Cisco ACI, VMware NSX и Nuage VSP

SDN – наверняка вы слышите этот термин не в первый раз. Интерес компаний к теме программно-определяемых сетей неуклонно растёт, у ИТ-специалистов уже складывается понимание концепции SDN.

Когда с SDN жить хорошо

Рассматриваются нюансы использования технологии SDN, виды сетевых коммутаторов с поддержкой протокола OpenFlow

Что будет после коронавируса?

Как пандемия COVID-19 повлияла на цифровизацию бизнеса? Почему могут исчезнуть офисные здания? Каким ИТ-направлениям нужно уделять особое внимание в ближайшие годы?

Естественный отбор Дарвина, или тернистый путь развития дата-центров

Вопрос создания и эксплуатации программно-определяемых ЦОД (Software-Defined Data Center) сегодня в первую очередь заботит крупных провайдеров ИТ-услуг

Что дают SDN-контроллеры операторам связи

Для начала отметим, что использование подходов SDN в магистральных сетях операторов связи не является чем-то особенным или революционным.

Тенденции развития облачных дата-центров

В последние 10–15 лет технологии дата-центров (DC) быстро развивались, рос объем их коммерческого использования.

Традиционный подход к сети скоро изживет себя

О состоянии и перспективах технологий SDN на российском рынке

Диалектика виртуальных сетей – Cisco ACI vs Vmware NSX

Технологии виртуализации сетей от Cisco и VMware – что выбрать?

Возможна ли ядерная война внутри отдельно взятого ЦОДа?

В 1957 г. СССР запустил первый искусственный спутник Земли, наглядно продемонстрировав всему миру свои способности в доставке ядерных боеголовок на любые расстояния.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня