Наряду с необходимостью пересмотра архитектурных основ сетей, форум также показал возрастающее значение Ethernet как универсальной сетевой технологии для все более широкого круга применений.
Виртуализация информационных систем, рост популярности облачных вычислений и повышение мобильности пользователей стремительно меняют требования к сетевым инфраструктурам. Алексей Стребулаев, ведущий системный инженер компании NEC, характеризует текущую ситуацию в сетевой отрасли как «критическую и революционную». По его мнению, технологии «родом из семидесятых» еще работают, но тормозят дальнейшее развитие сетей и функционирующих в них приложений. Доминирующие на рынке закрытые проприетарные решения представляют для приложений «черные ящики», а совместимость решений разных производителей обеспечивается в лучшем случае на уровне интерфейсов.
SDN КАК СПАСИТЕЛЬ?
Ряд экспертов в качестве едва ли не универсального рецепта устранения всех вскрывшихся в сетях проблем называют переход к архитектуре программно определяемых сетей — Software-Defined Networking (подробнее об этой архитектуре см. статью автора «SDN: кому и зачем это надо?» в декабрьском номере «Журнала сетевых решений/LAN» за 2012 год). По прогнозу IDC, в 2016 году объем рынка SDN достигнет 3,7 млрд долларов, причем 670 млн принесут приложения для SDN.
Если говорить об SDN в разрезе конкретных технических решений, то сегодня они неразрывно связаны с протоколом OpenFlow, обеспечивающим взаимодействие между управляющим контроллером и коммутаторами. Как отмечает Алексей Стребулаев, OpenFlow позволяет перенести логику работы сети на уровень приложений, а возможность программирования потоков дает возможность создать по-настоящему виртуальную сеть.
Компания NEC — один из лидеров в области SDN. Она одной из первых, более трех лет назад, предложила полное SDN-решение P-Flow, содержащее контроллер и коммутаторы. В активе NEC — ряд коммерческих инсталляций SDN, в первую очередь в японских компаниях. В частности, такое решение развернуто в распределенном ЦОД сервис-провайдера NTT Communications, в корпоративном ЦОД Nippon Express, в сети госпиталя Kanazawa University Hospital, более 100 сетей SDN находятся на стадии тестирования или на этапе пилотных проектов.
По состоянию на октябрь 2013 года, один контроллер P-Flow способен поддерживать до 200 сетевых элементов (коммутаторов) и до 10 млн потоков в сети, осуществляя управление ими в режиме реального времени. Как сообщил Алексей Стребулаев, на саммите Open Networking в апреле 2013 года в США контроллер NEC был публично протестирован на совместимость с большим числом «нижележащих» коммутаторов ведущих производителей, включая устройства Arista 7050, Brocade MLXe, Dell S4810, Extreme Summit X670, а также с коммутаторами на платформе Intel Open Network Platform и программными коммутаторами NEC, функционирующими в среде Windows Server 2012. А на прошедшей в октябре выставке Interop было продемонстрировано его взаимодействие с «вышележащими» системами управления, безопасности и оптимизации работы сети. Следует заметить, что NEC не только развивает свой (коммерческий) контроллер, но и предоставила свои разработки в качестве основы для открытого контроллера Trema, распространяемого на условиях GPL.
.png "Рисунок 1. Классическая задача контроллера SDN — управление потоками.") |
| Рисунок 1. Классическая задача контроллера SDN — управление потоками. |
Классическая задача контроллера SDN — управление потоками (см. Рисунок 1). Однако в решении NEC, как подчеркивает Алексей Стребулаев, контроллер — это полноценная сетевая ОС, позволяющая реализовать множество других функций, в частности организовать Ethernet-фабрику и наложенные виртуальные сети. Подход NEC предусматривает и частичную миграцию сети на технологию P-Flow (SDN). При этом одна часть сети не затрагивается (остается построенной по традиционной трехуровневой архитектуре), а другая — преобразуется в «плоскую» фабрику, обеспечивающую свободное перемещение физических хостов и виртуальных машин (ВМ) внутри виртуального пространства на уровне L3 (см. Рисунок 2). Для подключения фрагмента SDN к существующей сети достаточно изменить настройки одного из коммутаторов L3.
.png "Рисунок 2. Частичный перевод сети на технологию SDN P-Flow.") |
| Рисунок 2. Частичный перевод сети на технологию SDN P-Flow. |
Будучи крупной многопрофильной компанией, NEC никогда не входила в число лидеров в области сетевого оборудования IP/Ethernet, а ее высокая активность в отношении SDN — это шанс стать таковой. Компании, специализирующиеся на сетевых технологиях, тоже имеют SDN на своих маркетинговых «знаменах», однако гораздо более осторожны в отношении целесообразности внедрения соответствующих решений в данный момент. Большинство их представителей указывают на очень ограниченные функциональные возможности стандартного протокола OpenFlow, отсутствие стандартизованных механизмов резервирования контроллера и ряд других проблем и рекомендуют отложить решение о внедрении SDN на несколько лет.
СНАЧАЛА ФАБРИКА, ПОТОМ SDN
Если NEC рассматривает организацию Ethernet-фабрики в качестве одной из возможностей архитектуры SDN, то другие производители подходят к этому вопросу иначе. Так, в компании Brocade считают, что для построения надежной и высокопроизводительной сетевой фабрики не стоит ждать, когда SDN достигнет зрелости, более того, наличие такой фабрики — условие для внедрения SDN в будущем. Позицию компании выражает название доклада Фрэнка Колмела, ее директора по продажам в регионе «EMEA Восток»: «Ethernet-фабрики — логичный путь к SDN». Подчеркивая, что Ethernet-фабрики Brocade уже используют более 2000 ее клиентов, он считает, что в будущем развертывание на базе фабрик решений SDN позволит упростить управление и эффективно виртуализировать сетевые функции (NFV).
С точки зрения Brocade фабрика — это неотъемлемая часть виртуального распределенного коммутатора (Virtual Cluster Switching, VCS). Ключевыми характеристиками фабрики Василий Солдатов, системный инженер Brocade, называет отказ от протокола STP и поддержание в активном режиме всех имеющихся каналов связи — в режиме балансировки трафика могут быть задействованы сразу несколько маршрутов с одинаковой стоимостью (то есть с одинаковым числом транзитных узлов). Фабрика поддерживает абсолютно любую физическую топологию, обеспечивает автоматическое обнаружение устройств и позволяет управлять всей сетью как одним коммутатором.
Важной задачей является интеграция фабрики с виртуальными средами, например для обеспечения автоматического переноса настроек при переезде виртуальных машин. В решении Brocade она реализуется с помощью механизма автоматического распределения профилей портов (Automatic Migration of Port Profiles, AMPP). Профили настраиваются централизованно и содержат параметры безопасности, качества обслуживания (QoS), принадлежности к VLAN, настройки FCoE и т. д. Они «привязываются» к МАС-адресам виртуальных машин, которые предоставляют гипервизоры, и распределяются по сетевым устройствам. В случае переезда ВМ, когда ее МАС-адрес появляется в другом месте сети, установленный там коммутатор фиксирует его и активирует соответствующий профиль. Таким образом настройки сети автоматически следуют за виртуальными машинами.
Пример внедрения фабрики от Brocade представил на Ethernet-форуме Игорь Ульянченко, начальник отдела управления конфигурацией департамента программного обеспечения и информационных технологий ОАО «АТС». Эта компания — коммерческий оператор оптового рынка электроэнергии — располагает тремя площадками в Москве (два ЦОД и офис), связанными оптическим кольцом со спектральным уплотнением CWDM. ИТ-инфраструктура компании насчитывает более 150 физических серверов, на которых функционирует более 1500 виртуальных машин и 100 информационных систем.
До недавнего времени сетевая инфраструктура АТС строилась по классической иерархической архитектуре с использованием оборудования нескольких производителей, включая Cisco, Juniper, и Brocade. При этом специалистам компании регулярно приходилось сталкиваться с известными проблемами протокола STP, широковещательными «штормами», а также со сложностями внесения изменений в гетерогенную инфраструктуру. До конца 2013 года в обоих ЦОД будет осуществлен переход на фабрики Brocade, что должно обеспечить быструю сходимость сети (протокол TRILL вместо STP), высокую скорость и хорошую балансировку каналов (10GbE). Хотя в сети хранения данных компания будет и дальше использовать технологию Fibre Channel, но дополнительно планируется задействовать и конвергентные возможности Ethernet-фабрики (FCoE). Кроме того, в качестве преимуществ внедрения фабрики Игорь Ульянченко отмечает встроенные средства интеграции с vSphere, обеспечение микросекундных задержек для MPP-кластеров и зарезервированное терминирование L3-маршрутов непосредственно на коммутаторах фабрики.
На данный момент АТС реализует концепцию распределенного ЦОД по модели «основной — резервный», однако через пару лет намерена осуществить полное зеркалирование площадок с нулевым временем восстановления в случае катастрофы (сейчас на восстановление работы требуется несколько секунд). В планах на 2015 год намечено и внедрение технологии SDN, но пока детали этого проекта не раскрываются.
ПРЕИМУЩЕСТВА SDN БЕЗ SDN
Одной из основных задач SDN большинство экспертов называют упрощение и автоматизацию управления сложными сетевыми инфраструктурами. Однако для этого необязательно ждать готовности технологии SDN, поскольку данные задачи можно уже сегодня успешно решать и другими средствами. Например, компания Allied Telesis показала на Ethernet-форуме работу своей технологии Allied Telesis Management Framework (AMF), которая позволяет управлять сетью коммутаторов как одним устройством. В частности, она обеспечивает управление группой устройств c единой консоли и автоматическое восстановление работоспособности сети при подключении резервного коммутатора без его предварительной настройки взамен вышедшего из строя (Zero-Touch Auto-Recovery).
Запатентованный протокол AMF был специально разработан с целью упрощения эксплуатации сети и сокращения расходов на обслуживающий персонал. Ключевым звеном решения является управляющий коммутатор, который используется как файловый сервер для хранения копий файлов конфигураций и микропрограммного кода для устройств в сети AMF. В целом технология AMF предполагает выделение и централизацию плоскости управления, а потому ее идеология схожа с принципами SDN. Более того, специалисты Allied Telesis предусматривают возможность в будущем интеграции систем AMF с решениями SDN.
ВНИМАНИЕ — SDN-ПРИЛОЖЕНИЯМ
В арсенале HP уже имеется около 50 моделей коммутаторов с поддержкой OpenFlow, а также контроллер, но тем не менее представители этой компании тоже не советуют спешить с полномасштабным внедрением данной технологии. По мнению Дамира Артыкова, руководителя группы технических консультантов отдела сетевых решений НР в России, такое внедрение можно запланировать на 2016 год. Но это не значит, что пока про SDN следует забыть. Как считает специалист HP, уже сейчас можно развертывать пилотные зоны, установив контроллер для тестирования приложения SDN.
В HP полагают, что именно расширение числа и функциональности приложений SDN (см. Рисунок 3) будет в наибольшей степени способствовать развитию рынка SDN. Осенью 2013 года компания представила набор SDN Developer Kit, который должен облегчить разработку новых приложений. Кроме того, HP выступила с инициативой создания магазина SDN App Store, и этот проект уже поддержали такие компании, как VMware, Microsoft, SAP, Citrix, ShoreTel, F5, Riverbed, Mitel, Radware и др.
.png "Рисунок 3. Место приложений в иерархической структуре SDN.") |
| Рисунок 3. Место приложений в иерархической структуре SDN. |
Дамир Артыков приводит примеры приложений, которые уже успешно применяются заказчиками HP в рамках архитектуры SDN. Так, контент-провайдер HBO, обслуживающий более 150 млн абонентов, использует написанное HP приложение по безопасности, которое, в частности, обеспечивает предотвращение вторжений. А лаборатория CERN самостоятельно написала и активно использует в своей сети приложение для балансировки нагрузки.
Одной из проблем SDN, как полагают в HP, является наличие разрыва между двумя существующими параллельно экосистемами SDN: одна — для аппаратной инфраструктуры, другая — для программной (виртуальной). Этот разрыв проявляется, в частности, в том, что настройки виртуальной среды могут отображаться на настройки физической среды с задержкой и не всегда адекватно.
Для устранения этого разрыва поставщики, традиционно занимающиеся аппаратными коммутаторами, активно сотрудничают с ведущими разработчиками виртуальных сред, в первую очередь с VMware. Так, многие компании заявляют о совместимости своих продуктов с контроллером VMware NSX, который стал дальнейшим развитием соответствующей разработки Nicira. Но как утверждают в компании HP, именно она готова предложить наиболее полное решение по интеграции с платформой NSX (сейчас осуществляется его бета-тестирование, коммерческий продукт ожидается в начале 2014 года). В частности, будет обеспечено взаимодействие контроллеров VMware NSX и HP Virtual Application Networks (VAN) SDN с предоставлением API в направлении запад — восток (см. Рисунок 4). Поддержка технологии VXLAN в коммутаторах расширит виртуализацию сетей до физических серверов; наряду с этим средствами HP, интегрированными с VMware vCenter, будет обеспечено общее управление физической и виртуальной средами.
.png "Рисунок 4. Интеграция SDN-решений HP с платформой VMware NSX.") |
| Рисунок 4. Интеграция SDN-решений HP с платформой VMware NSX. |
В ближайшем будущем сети будут состоять как из традиционных (аппаратных) коммутаторов, так и из виртуальных (программных). «Журнал сетевых решений/LAN» уже не раз анализировал плюсы и минусы обоих типов сетевых элементов, а также решения по выносу трафика виртуальных машин из сервера наружу для обработки его традиционными коммутаторами (см., например, статью автора «Сеть и виртуализация. Часть I» в февральском номере журнала за 2013 год). Одним из основных недостатков программных коммутаторов является их низкая производительность.
Как отмечает Александр Шалимов, старший программист-разработчик ЦПИКС, производительность наиболее популярного коммутатора Open vSwitch (он используется в OpenStack, а также в решениях VMware) при передаче трафика между виртуальными машинами, а также между ВМ и физическими интерфейсами составляет около 300 тыс. пакетов в секунду, чего недостаточно для многих приложений. Главная причина столь низкой производительности — прохождение трафика через сетевой стек Linux.
На «Ethernet-форуме – 2013» ЦПИКС совместно с Intel представили решение, которое до 10 раз повышает производительность коммутатора Open vSwitch (см. Таблицу 1). Оно реализовано с помощью набора библиотек и драйверов Intel Data Plane Development Kit (DPDK), обеспечивающего быструю обработку пакетов на платформах Intel. В частности, это решение не требует прерываний процессора для копирования пакетов в оперативную память. Кроме того, DPDK предоставляет возможность «привязать» разные задачи к отдельным ядрам процессора: например, одно ядро может заниматься шифрованием трафика, другое — его анализом и т. д.
| Open vSwitch | Open vSwitch + DPDK | |
|---|---|---|
| PHY-to-PHY | 1,1 Мбит/с | 10 Мбит/с |
| PHY-to-PHY | 0,3 Мбит/с | 4 Мбит/с |
| VN-to-VM | 0,3 Мбит/с | 2 Мбит/с |
Как отмечает Вадим Сухомлинов, руководитель направления стратегического развития бизнеса Intel в России и других странах СНГ, подобные решения «открывают дверь» виртуализации сетевых функций (NFV). Речь идет о реализации функций, которые традиционно выполняются специализированными устройствами (межсетевые экраны, балансировщики нагрузки и пр.), в виде приложений в виртуализированной среде. Для эффективной работы таких приложений очень важно, чтобы можно было быстро получить пакеты — без заметных задержек на прохождение через стек ОС, гипервизор и прочие программные компоненты.
ВИРТУАЛИЗАЦИЯ СЕТИ: НЕ ЗАПУТАЙТЕСЬ В ТЕРМИНАХ!
Тема «виртуализация сети» обширна и многогранна: это и уже обсуждаемая выше виртуализация сетевых функций, и виртуализация каналов связи, и виртуализация сетевых устройств, и т. д. При этом зачастую разные компании применяют совершенно разные и плохо согласующиеся термины для описания схожих технологий и решений.
.png "Рисунок 5. Виртуализация сетевых устройств по схеме N:1 означает формирование из нескольких физических устройств (коммутаторов) одного логического.") |
| Рисунок 5. Виртуализация сетевых устройств по схеме N:1 означает формирование из нескольких физических устройств (коммутаторов) одного логического. |
Например, говоря о виртуализации сетевых устройств, специалисты HP оперируют понятиями виртуализация N:1 и 1:N. Первый вариант означает не что иное, как формирование из нескольких физических устройств (коммутаторов) одного логического (см. Рисунок 5) — соответствующее решение в HP называют Intelligent Resilient Framework (IRF). По сути, это и есть распределенная виртуальная фабрика с единым управлением, активным использованием всех каналов связи в режиме балансировки нагрузки и временем восстановления менее 50 мс. Просто термин «фабрика» представители HP употребляют значительно реже, чем, скажем, специалисты Brocade.
.png "Рисунок 6. Виртуализация сетевых устройств по схеме 1:N означает формирование на базе одного физического устройства (коммутатора) нескольких логических устройств.") |
| Рисунок 6. Виртуализация сетевых устройств по схеме 1:N означает формирование на базе одного физического устройства (коммутатора) нескольких логических устройств. |
Второй вариант означает обратную ситуацию: на базе одного физического устройства (коммутатора) формируется несколько логических устройств, например для разных отделов предприятия (см. Рисунок 6). Эти логические устройства в HP называют контекстами, а саму технологию — Multitenant Device Context (MDC). При использовании этой технологии реализуется полная изоляция ресурсов: каждый контекст получает свои физические порты, свои ресурсы процессора, памяти и дискового пространства, а перезагрузка одного контекста никак не повлияет на работу других. Использование MDC позволяет изящно решить множество задач — например, в одном физическом коммутаторе объединить функции ядра и агрегации (с сохранением логического разделения этих уровней) или реализовать различные зоны безопасности.
Интересную возможность представляет совместное использование IRF и MDC, позволяющее извлечь преимущества из обеих технологий. Например, объединение двух физических коммутаторов в фабрику IRF позволяет получить отказоустойчивую высокопроизводительную платформу, которую потом можно «нарезать» на нужное число контекстов, чем достигается высокий уровень гибкости (см. Рисунок 7).
.png "Рисунок 7. Пример совместного использования IRF и MDC.") |
| Рисунок 7. Пример совместного использования IRF и MDC. |
ЗА ПРЕДЕЛАМИ ЦОД
Фабрики и новые технологии виртуализации сетей в первую очередь востребованы в ЦОД с их высокими требованиями к производительности, отказоустойчивости и поддержке миграции виртуальных машин. И подобные решения имеются у всех основных производителей, включая такие компании, как Cisco Systems и Extreme Networks. Однако на Ethernet-форуме представители этих компаний сделали акценты на других применениях технологии Ethernet.
Так, Сергей Гусаков, технический директор московского офиса Extreme Networks, привлек внимание аудитории к стандартам Audio Video Bridging (AVB), где определяется использование сети Ethernet для подключения широкого круга профессионального аудиовизуального (AV) оборудования. Обычно для решения этой задачи используют специальные дорогие кабели и коммутационное оборудование, однако теперь можно использовать обычную витую пару и относительно дешевые коммутаторы Ethernet. Это открывает широкие возможности использования Ethernet для подключения AV-оборудования конференц-залов, вещательных студий, различных аудиторий, стадионов и других объектов. Extreme Networks одной из первых реализовала поддержку AVB, которая сегодня обеспечена во всех современных коммутаторах семейства Summit, а в скором времени появится и на устройствах BlackDiamond.
Специалист Extreme Networks также указал на все более широкое использование Ethernet в системах безопасности, в том числе для подключения IP-видеокамер, систем хранения и обработки видео. Ранее в области видеонаблюдения также господствовали аналоговые камеры и дорогостоящая (проприетарная) проводка, однако теперь на рынке начинают доминировать цифровые IP-системы, а использование открытых сетевых стандартов расширяет возможности выбора отдельных элементов. А разного рода фирменные ноу-хау только повышают удобство эксплуатации и эффективность работы системы. Например, благодаря использованию технологии CLEAR-Flow коммутаторы Extreme Networks способны самостоятельно зафиксировать отсутствие трафика от видеокамеры, «сделать вывод» о том, что она «зависла», и автоматически перезагрузить ее (по PoE). Таким образом неполадка будет оперативно устранена, причем это не потребует вмешательства администратора.
Сама технология CLEAR-Flow может эффективно использоваться для решения множества задач. Одно из принципиальных ограничений большинства существующих методов мониторинга трафика и управления им заключается в том, что они не встроены непосредственно в инфраструктурное оборудование. Обычно коммутатор отправляет трафик, его образцы или сводку по трафику на удаленное устройство управления. При этом на станцию управления пересылается масса данных, которые не представляют никакого интереса. Разработчики CLEAR-Flow выбрали принципиально иной подход, возложив задачу по изучению трафика на сами коммутаторы Ethernet.
Если обычные коммутаторы просто читают адрес отправителя и получателя пакета и отправляют его по соответствующему пути, то коммутаторы с поддержкой CLEAR-Flow способны более внимательно изучать трафик. Если окажется, что трафик соответствует определенному (администратором) критерию, коммутатор немедленно выполнит заданное действие и только в наиболее сложных случаях отправит копию трафика на внешний анализатор.
Компания Cisco, у которой свое особое отношение к SDN (см., например, статью автора «Cisco и SDN» в февральском номере «Журнала сетевых решений/LAN» за 2013 год), выбрала для рассмотрения на Ethernet-форуме тематику беспроводных сетей и концепцию BYOD. Как отметила Юлия Андрианова, менеджер по развитию бизнеса беспроводных технологий компании Cisco, общее повышение мобильности людей меняет требования, предъявляемые к ИТ-инфраструктуре, а BYOD в России — уже реальность. По ее мнению, повсеместное присутствие беспроводных сетей дает новые возможности монетизации систем Wi-Fi различными отраслями — в частности, позволяет накапливать бизнес-аналитику передвижения пользователей и предоставлять релевантные сообщения на мобильные терминалы.
Следует отметить, что точки доступа Wi-Fi относятся к числу продуктов, производство которых налажено Cisco в России. В мае 2013 года был начат выпуск в России точек доступа WAP 2600, что, как отмечают в компании, позволило существенно повысить продажи соответствующих решений. В планах компании — также наладить выпуск точек доступа Cisco Aironet 1600 и Aironet 3600 (см. подробнее материал Сергея Орлова «Cisco расширяет производство в России» в этом номере).
При этом точки доступа, пожалуй, единственный компонент инфраструктуры Wi-Fi от Cisco, который не подвергся виртуализации. Установка виртуальных контроллеров в ЦОД оператора и использование централизованной системы управления позволяют эффективно реализовывать различные модели — например, по предоставлению управляемой инфраструктуры Wi-Fi, управляемых сервисов BYOD или услуг с учетом местонахождения пользователя. (Подробнее об этом см. статью автора «WNaaS не догонишь» в предыдущем номере журнала.)
Прошедший Ethernet-форум показал, что сетевая инфраструктура должна не только стать более производительной и отказоустойчивой, но и быть способна экономически эффективно поддерживать множество новых процедур: от миграции виртуальных машин до безопасности в режиме BYOD. Технологии для этого разработаны, но им предстоит пройти еще нелегкий путь совершенствования и стандартизации.
Александр Барсков — ведущий редактор «Журнала сетевых решений/LAN». С ним можно связаться по адресу: ab@lanmag.ru.