Монолит-«кирпич» и скорость отклика на потребности рынка
В какой-то момент начали появляться узкоспециализированные монолитные «кирпичи», такие как маршрутизаторы. Потом к ним присоединились фаерволы, системы обнаружения и предотвращения вторжений, оптимизаторы трафика, балансировщики нагрузки и т.д. Функции управления и администрирования были заключены (пожизненно) в стенах этих монолитных «кирпичей», а за выполнение главной функции отвечал специализированный аппаратный асик.
У асиков длительный цикл проектирования и производства. Их создание — процесс сложный, а значит, дорогой и долгий. Именно поэтому скорость отклика вендоров на потребности рынка очень низкая.
Что нужно сделать, чтобы асик научился работать с новым протоколом вроде VXLAN? Правильно, его нужно выбросить на помойку и разработать новый. Если рынок дозрел до какой-нибудь новой услуги, ему остается только успокоиться, сесть на скамейку и ждать в очереди, когда производители разработают и произведут нужный ему асик.
Когда же новое устройство готово, его можно заказать с поставкой через 6–8 недель. В итоге стойки на узлах связи забиты узкоспециализированными монолитными «кирпичами». Почему так получается? Ответ прост — не почему. Так исторически сложилось.
Эволюция слепа и бессмысленна, а будущее знать невозможно. Зато можно изучать прошлое. Изучать и извлекать уроки, а потом революционно исправлять накопленные эволюционные ошибки.
Акционеры Intel и Гарри Поттер
Есть такая компания Intel. И у нее есть акционеры. Как известно, слово «акционер» происходит от заклинания «Акцио!» (все читали Гарри Поттера?), которое означает «принеси мне это волшебным способом». И если Гарри Поттер, например, в битве с драконом на Кубке трех волшебников использовал заклинание «Акцио метла!», то акционеры Intel взмахивали волшебными палочками и произносили «Акцио деньги за сетевое оборудование!». И деньги действительно летели по воздуху, но почему-то в сторону производителей традиционных монолитных «кирпичей». Не иначе, их магия была сильнее.
Процессоры Intel общего назначения были достаточно мощные, но злой и любопытный волшебник Linux заглядывал во все пакеты, поступающие с сетевой карты, и так замедлял работу, что конкурировать с вендорами специализированных асиков было невозможно.
В скором времени акционеры Intel потребовали от своих домовых эльфов-программистов придумать какое-нибудь суперзаклинание, позволяющее, если не перенаправить денежный поток, то хотя бы организовать ручеек сетевых денег, вытекающий из традиционной полноводной реки в их сторону. Так появилось могущественное заклинание «DPDK».
Злой Linux сдался, перестал заглядывать в чужие пакеты и разрешил реализацию сетевых функций на процессорах с архитектурой х86. И понеслась…
Программисты всех захавают
В мире Гарри Поттера домовые эльфы обладали огромной магической мощью. В нашем мире тоже. Они умеют воссоздавать реальные штуки в виртуальном пространстве. Например, вместо реального школьного учителя из костей и мяса, который работает в реальной школе из кирпича и штукатурки, они могут наколдовать виртуального учителя в мониторе, который работает в виртуальной интернет-школе. Вместо реальных музыкальных инструментов из дерева, нейлона и слоновьей кости они могут сделать мощные профессиональные музыкальные студии, существующие на экране монитора.
Также они могут сделать виртуальный маршрутизатор, виртуальный фаервол, виртуальную систему IDS/IPS, балансировщик нагрузки и оптимизатор трафика, используя самый обычный сервер на самом обычном процессоре.
Глядя на их могущество, схемотехники и разработчики чипсетов (которые, безусловно, тоже волшебники) разводят руками и задумываются о переквалификации в управдомы, потому что программисты могут практически все. Причем быстро, прививая миру новый революционный подход: отказ от реального, аппаратного мышления, сдвиг мышления в сторону абстракции, от устройств к их функциям. И плодятся программисты тоже быстро. И скоро захватят мир…
NFV и «белые коробки»
Оказалось, что все виртуальные сетевые сервисы теперь можно поместить в разные виртуальные машины на одном совершенно обычном сервере, который в разы дешевле россыпи традиционных узкоспециализированных «кирпичей». Технологию виртуализации реальных сетевых элементов программным кодом назвали NFV (Network Functions Virtualization).
Далее стали появляться производители такого неспециализированного оборудования, «заточенного» под выполнение сетевых функций. Такие устройства стали называть «белыми коробками» (white boxes), потому что белый — цвет чистоты и невинности: на этих устройствах нет специализированной сетевой операционной системы и виртуальных сетевых функций — можно заливать любую. Иначе говоря, в отличие от прежних монолитных решений процессор делает один производитель, все устройство целиком — другой, операционную систему — третий, а некоторые дополнительные сетевые функции — четвертый с пятым.
Даже внутри одного устройства появляется сразу несколько полей для конкуренции, которая потребителям всегда на руку, потому что заставляет производителей снижать цены. Не нравится операционная система, не надо покупать новое устройства — достаточно установить операционную систему конкурирующего вендора. Очень удобно.
Что нам еще дает технология NFV? Как минимум вот что:
- Увеличение скорости вывода на рынок новых услуг. Теперь не нужно тратить время на разработку новой архитектуры и нового чипсета, изготовление и поверхностный монтаж печатных плат. Стоит просто добавить на существующий сервер новую виртуальную машину с новым софтом и сразу можно пользоваться.
- Снижение рисков воздействия на ранее реализованные функции. Новые приложения и услуги добавляются легко и непринужденно, не мешая существующим.
- Снижение стоимости владения и обслуживания. Содержать один сервер однозначно выгоднее, чем целую стойку из специализированных устройств с разными архитектурами и операционными системами (кстати, штата инженеров это тоже касается).
- Не нужно ждать традиционные 6–8 недель. Достаточно скачать софт.
Плюсы и минусы автомобильных трансмиссий
Говорят, на съемках одного из фильмов про Бонда приключился конфуз: оказалось, что Дэниел Крэйг не может вести Aston Martin, потому что не умеет водить машины с ручной коробкой передач. Просто его никогда не интересовало, как устроена трансмиссия. Пусть автомат думает, что и куда переключать, а Крэйг — не инженер-механик, а актер, его интересует только, как доехать из одной точки в другую, его главная задача — знать, куда именно он хочет доехать. Как передачи переключаются, ему без разницы. Работать должны роботы, человек создан для творчества.
В сетях существует аналогичный подход, который называется SDN — программно-определяемая сеть (Software Defined Network). Если NFV отделяет сетевые функции от аппаратной части, суть SDN в отделении плоскости управления от плоскости передачи данных. Мозг (управление) отдельно, мышцы (передача данных) отдельно. Мышцы должны быть сильными, а мозгу это без надобности — у него другая задача. Значит, их можно разнести по разным телам. Так давайте оставим функцию передачи данных шлюзам, а функцию управления шлюзами вынесем на внешний, полностью программный сервер управления, который сам будет решать, какую «передачу» включить в данный момент, и командовать своим подчиненным, как именно это сделать. SDN как раз и позволяет отказаться от высокоинтеллектуальных традиционных устройств в пользу более простых и, соответственно, дешевых шлюзов и управлять сетью как единой экосистемой.
SD-WAN in da house!
Возьмем, к примеру, распределенную корпоративную сеть (WAN). Здесь мы можем одновременно использовать NFV и SDN, которые в сумме дают нам SD-WAN — программно-определяемую распределенную сеть. NFV позволит нам поставить в каждом филиале одну-единственную «белую коробку», которая будет реализовывать все необходимые сетевые функции. А контроллер SDN, живущий в публичном или частном облаке, будет всеми этими коробками удаленно интеллектуально управлять.
Больше не нужно отправлять квалифицированных инженеров по городам и весям, где они будут последовательно конфигурировать все монолитные кирпичи. Достаточно подключить NFV-устройства к питанию и каналам связи, и SDN-контроллер сам передаст им всем необходимые конфигурации, которые сам же и создаст, причем совершенно не важно, как именно он это сделает. Нам важно лишь то, что сделает он это на всех устройствах одновременно и практически мгновенно.
В мире SD-WAN такой подход называется Zero Touch Provisioning: после подключения шлюза к питанию и каналам связи он автоматически подключается к контроллеру и получает от него необходимую конфигурацию. Конфигурация создается не квалифицированным инженером, а самим контроллером. Задача администратора — только управление высокоуровневыми политиками, по которым контроллер самостоятельно создает и загружает необходимые конфигурации для всех устройств сети (в том числе при необходимости создает защищенные туннели IPSec-VPN). Помимо этого контроллер обеспечивает постоянный мониторинг состояния шлюзов и подключенных к ним каналов, а также интеллектуальную маршрутизацию приложений.
Преимущества SD-WAN
Какие еще преимущества дает нам SD-WAN?
Снижение CAPEX:
- модель ценообразования по подписке;
- отсутствие привязки к конкретному производителю (вендор-лок);
- возможность использования бюджетных шлюзов без операционной системы;
- гипермасштабируемость (можно наращивать производительность и пропускную способность по мере роста).
Снижение OPEX:
- рутинные операции выполняются гораздо быстрее или автоматически;
- снижение значения человеческого фактора за счет автоматизации;
- быстрое внедрение, обновление, расширение, централизованное управление и устранение неисправностей;
- возможность снижения требований к квалификации обслуживающего персонала;
- возможность отказа от штата сетевых специалистов, привязанных к конкретным узлам распределенной сети;
- использование гибридных каналов связи (MPLS-VPN, Ethernet, LTE и т.п.);
- возможность сегментирования сети для задания различных политик и прав доступа.
Основные потребители
Мы говорим «возможность сегментирования сети для задания различных политик и прав доступа», подразумеваем — «операторы связи». SD-WAN поддерживает true multitenancy, что делает его операторским решением, а точнее — операторской услугой. Времена, когда клиенты заказывали, скажем, «канал 2 Мб/с», уходят в прошлое. Очень скоро вместо каналов клиенты массово начнут требовать наборы определенных сетевых услуг и наличие личного кабинета для самостоятельного изменения их перечня. Тут без SD-WAN не обойтись. Операторы, имеющие в портфеле такие услуги, заодно смогут предложить клиентам аутсорсинговое управление их распределенными сетями, как это уже делают такие компании, как, например, AT&T, Verizon и China Telecom.
«Занимайтесь бизнесом, а ваша сеть — наша забота» — вот возможный лозунг большинства операторов ближайшего будущего. С таким подходом оператору больше не страшны никакие переезды клиентских офисов: куда бы клиент ни переехал, он все равно будет пользоваться услугой управления своей распределенной сетью, отток клиентов существенно уменьшится. Раз так, можно смело предлагать ему и свои облачные услуги, повышая ARPU.
С другой стороны, как не все данные можно хранить в облаке, так и не к каждой сети можно подпустить оператора. В этом случае все преимущества SD-WAN могут быть доступны любой распределенной компании единолично. Все надежно, безопасно, удобно, все под контролем, и никакой зависимости от оператора.
Да здравствует свобода!