Сейчас все больше сотрудников работает не в центральных офисах предприятий, а в филиалах, дома или в дороге. В результате слияний образуются новые организации с распределенными филиалами и инфраструктурами ИТ, требующими постоянного контроля. Необходимостьсоответствия законодательным требованиям (сompliance), оптимизация процессов ИТ и финансовые проблемы вынуждают предприятия заняться централизацией ИТ. Однако консолидация серверов в основном ЦОД зачастую приводит к тому, что сотрудникам во внешних филиалах приходится сохранять свои файлы Word, Excel и PowerPoint не локально, как прежде, а на высокодоступных серверных фермах. Пропускная способность глобальных сетей пока не может сравниться со скоростями в сетях локальных, и в результате приложения работают медленно.
МНОГО НЕ ЗНАЧИТ ДОСТАТОЧНО
При недостаточно быстром доступе к данным или замедленной реакции приложений проблему обычно пытаются решить путем увеличения пропускной способности сети или установки контроллеров WOC для ускорения работы всего соединения между центральным офисом и филиалами. Однако на практике оба варианта либо малоэффективны, либо приводят к нежелательным последствиям. Ведь если не знать, какие приложения на самом деле передаются по соединению глобальной сети и в каком объеме, то не ясно, что же подвергается ускорению.
В самом худшем случае сотрудники смогут порадоваться более быстрой работе своих личных приложений, а злоумышленники, запустившие шпионское программное обеспечение (spyware), — увеличению скорости передачи своей добычи. В то же время действительно важные приложения будут реагировать так же медленно и по-прежнему раздражать пользователей. Избежать такого сценария развития событий и увеличить скорость доступа к нужным приложениям через глобальную сеть помогает создание сети доставки приложений (Application Delivery Network, ADN), многообразие задач которой можно объединить в три основные группы: прозрачность, ускорение и безопасность (см. Рисунок 1).
Прежде чем предпринимать меры для ускорения работы приложений, компания должна реализовать круглосуточный контроль приложений, работающих через глобальную сеть, с тем чтобы установить степень их эффективности. По этой причине ADN должна обеспечить прозрачность событий в сети, для чего необходимо проанализировать все пакеты в трафике глобальной сети вплоть до прикладного уровня и на первом этапе найти нужное приложение. Простого сопоставления портов и приложений на четвертом уровне недостаточно, поскольку, например, порт 80, обычно открытый в брандмауэрах, используется многочисленными приложениями.
Благодаря надежной идентификации приложений сетевые администраторы получат возможность увидеть, что вообще происходит в их глобальной сети. На следующем этапе ADN заботится о прозрачности в поведении приложения. Для этого функции мониторинга предоставляют информацию о задержках (Delay), разнице во времени прохождения (Jitter), потере пакетов и пропускной способности каждого потока данных. Только так можно установить, документально зафиксировать и постоянно проверять соглашения об уровне сервиса (Service Level Agreement, SLA), а также выявить причины их нарушения.
ПРОЗРАЧНОСТЬ ПЛЮС УСКОРЕНИЕ
Когда предприятие знает, какой объем трафика генерируется определенными приложениями, оно может принять компетентные решения по поводу наиболее подходящих мер для ускорения действительно важных приложений. Выбор во многом зависит от конкретной ситуации. К примеру, если многочисленные сеансы FTP или объемные вложения в электронные письма требуют слишком много пропускной способности клиента Citrix, то одно только задание соответствующего приоритета для трафика ICA или RDP может обеспечить лучшую скорость реакции терминального клиента. Если же сотрудники филиала ведут частные беседы через Skype или кто-то слишком активно скачивает файлы mp3 из одноранговых сетей (Peer-to-Peer), то блокировка этих приложений освободит место в полосе пропускания узкой линии глобальной сети.
По завершении приоритизации всех желательных приложений и изоляции нежелательных наступает второй этап, когда более высокую скорость работы приложений помогают обеспечить технологии ускорения. Прежде всего следует уделить внимание протоколу TCP. Помимо стандартных функций оптимизации, таких как масштабирование окна передачи (Windows Scaling, RFC 1323) или избирательные подтверждения TCP (TCP Selective Acknowledgements, RFC2018), большим потенциалом ускорения обладает реакция на потерю пакетов. Значительно сократить последствия потери пакетов может ADN — благодаря мерам, опирающимся на RFC 3649 «Высокоростной ТСР для больших окон при перезрузках» (Highspeed TCP for Large Congestion Windows) и на исследовательскую работу Тома Келли «Масштабируемый TCP: улучшенная производительность в высокоскоростных глобальных сетях» («Scalable TCP: Improving Performance in Highspeed Wide Area Networks», см. http://www.deneholme.net/tom/scalable).
Кроме того, общему ускорению приложений способствуют сжатие полезной нагрузки пакетов и кэширование пакетных данных на уровне байтов (Byte Caching). Для того чтобы эти функции можно было предоставлять без изменения самих приложений, соответствующие WOC на обоих концах соединения глобальной сети работают в качестве прозрачных посредников, даже если некоторые производители не используют этот термин.
ВЫДЕЛЕННЫЕ ПОСРЕДНИКИ
В то время как прозрачные посредники ускоряют трафик TCP на уровне пакетов, выделенные посредники для наиболее распространенных протоколов предоставляют гораздо большие возможности. К примеру, протокол CIFS компании Microsoft очень «болтлив» — бесчисленные запросы и подтверждения во время открытия и сохранения файла порождают огромное количество служебной информации (Overhead). Посредник CIFS в сети ADN способен свести «разговорчивость» этого протокола к необходимому минимуму, что сразу же приводит к ускорению процессов сохранения и загрузки. Кроме того, выделенные посредники способны осуществлять промежуточное сохранение объектов и целых файлов и одновременно отвечают за то, чтобы локальные копии всегда были синхронны с оригиналом. Причем по глобальной сети передаются не файлы, а только внесенные в них изменения.
Третий функциональный блок ADN – безопасность. В настоящее время многие предприятия связывают свои филиалы с центральным офисом посредством виртуальных частных сетей (Virtual Private Network, VPN), однако все же представляется нелогичным направлять легитимный трафик Internet через глобальную сеть в центральный офис, вместо того чтобы на месте вывести его на просторы сети Web. Предпосылкой для этого является наличие в филиалах таких же механизмов безопасности, как и на центральном шлюзе: фильтров нежелательных URL и содержимого, а также защиты от вирусов и шпионского программного обеспечения. Одновременно ADN должна ускорять и внешние корпоративные приложения на базе Web, такие как Webex или Sales force.com, даже если коммуникация в них зашифрована с помощью SSL. Надо отметить, что ADN предоставляет все необходимые функции для централизованного администрирования и децентрализованной реализации.
ЗАКЛЮЧЕНИЕ
Сращивание функций прозрачности, ускорения и безопасности в единую сеть доставки приложений приносит множество преимуществ по сравнению с соответствующими «островными» решениями. Однако техническое слияние этих функций требует основательного переосмысления организации структур ИТ крупных предприятий, где за функционирование глобальной сети и ее безопасность, как правило, отвечают разные структуры. Руководители отделов ИТ обязаны обеспечить организационное слияние того, что технически и так уже объединено.
Мартин Вальцер — технический менеджер компании Blue Coat в регионе Германия-Австрия-Швейцария и в Восточной Европе.
© ITP Verlag
Рисунок 1. Три элемента сети доставки приложений: прозрачность, ускорение и безопасность.