Прошедший 29 июня форум «Сети без границ» был посвящен решениям для корпоративных сетей, а состоявшийся 21 июля форум DataCenter Design&Deploy — разработкам в области центров обработки данных (ЦОДов). И хотя это разные направления, за которые отвечают разные подразделения Cisco, некоторые важные тенденции их развития — общие.

Активное лето Cisco

Как отметил, выступая на форуме «Сети без границ», Андрей Кузьмич, директор по технологиям Cisco в регионе Россия и СНГ, многие новые бизнес-идеи сегодня часто реализуются через приложения, поэтому тот, кто быстрее разрабатывает и развертывает новые приложения, выигрывает на рынке. Ключевой в новых условиях цифровой трансформации становится возможность поддержки изменений. «Чем больше изменений (в день) готова обеспечить ваша ИТ-среда, тем эффективнее она сможет поддерживать бизнес», — подчеркнул специалист Cisco.

В Cisco выделяют три ключевых требования к ИТ-инфраструктуре цифровой эпохи. Первое — это уже упомянутая поддержка внедрения инноваций, для чего необходима высокая скорость перераспределения текущих и развертывания новых ресурсов. Второе — уменьшение затрат и сложности эксплуатации, что может быть достигнуто посредством автоматизации рутинных операций и реакции на нештатные ситуации. Наконец, третье — снижение рисков, обеспечиваемое динамической защитой от угроз в реальном времени. Ясно, что все эти требования распространяются и на сеть, которая является важной частью ИТ-инфраструктуры.

Для эффективного решения этих задач необходим ряд ключевых технологий: автоматизация, виртуализация и сетевая аналитика. Все они в полной мере используются в новой архитектуре для корпоративных сетей Digital Network Architecture (DNA), представленной на форуме «Сети без границ».

Технология виртуализации как средство для более эффективного использования ресурсов применяется все шире, в том числе в сетевых решениях. Особенность подхода, которого придерживается Cisco, — рассмотрение физической и виртуальной инфраструктуры как единого целого. «Если полагаться исключительно на виртуализацию, то надо предусматривать аппаратные ресурсы с большим запасом», — поясняет Андрей Кузьмич. В таком случае, чтобы обеспечить все «пожелания» уровня виртуализации, аппаратная база должна обладать избыточными (в идеале — бесконечными) характеристиками: производительность, пропускная способность и пр. Очевидно, что такой подход существенно повышает затраты на физическую инфраструктуру, что не всегда оправданно.

В арсенале Cisco уже достаточно давно присутствуют различные виртуализированные сетевые инфраструктурные компоненты, включая виртуальный маршрутизатор (ISRv), межсетевой экран (ASAv), контроллер WLAN (vWLC), оптимизатор WAN (vWAAS). В соответствии с концепцией Enterprise NFV, необходимые элементы (сетевые функции) могут быть в считанные минуты развернуты на подходящей аппаратной платформе, в том числе на сервере UCS или маршрутизаторе ISR 4000. Осенью 2016 года появится новая платформа для виртуализированных сетевых функций — Cisco ENCS. Фактически новинка будет представлять собой сервер, оптимизированный для выполнения сетевых задач. В частности, он будет содержать встроенный 8-портовый коммутатор локальной сети и дополнительный аппаратный модуль шифрования, предусматривать возможность установки модуля LTE и пр.

Другим важным условием для реализации новых требований к ИТ является автоматизация как процедур эксплуатации сети, так и взаимодействия ИТ с бизнесом. Последнее на данный момент, как считают в Cisco, практически не автоматизировано и сильно забюрократизировано. Необходимость автоматизация назрела не только в кампусных и территориально распределенных сетях, но и в сетях ЦОДов. Более того, именно в ЦОДах, с учетом огромного числа сконцентрированного в одном месте оборудования, высочайших требований к надежности и оперативности развертывания сервисов, потребность в автоматизации возникает в первую очередь.

Как отмечает инженер-консультант Cisco Александр Скороходов, исторически сетевым администраторам приходилось выполнять все необходимые настройки вручную. Однако в условиях, когда число сетевых сущностей (узлов, портов, адресов, виртуальных сетей…) стремительно увеличивается, равно как и темпы изменений, такой подход к администрированию делает сеть тормозом развития ИТ. Отсюда — необходимость внедрения средств автоматизации и механизмов программируемости сети.

При автоматизации процедур, связанных с сетями, ключевая роль отводится контроллерам программно определяемых сетей (SDN). Если для сетей центров обработки данных компания уже достаточно давно предлагает контроллеры SDN (APIC), то первый коммерческий контроллер для корпоративных сетей (APIC-EM, enterprise module) она выпустила только в ноябре 2015 года. Этот продукт, являющийся одним из ключевых элементов архитектуры DNA, предназначен как для кампусных, так и для территориально распределенных (WAN) сетей.

Контроллер EPIC-EM предусматривает два способа выполнения задач, связанных с сетью: как традиционный для ИТ, так и удобный для бизнеса инновационный способ управления на основе правил, который часто именуют Fast IT. Таким образом обеспечивается возможность реализации бимодальной (гибридной) архитектуры ИТ (см. рис. 1). Новый способ управления означает переход от настройки всех деталей на каждом сетевом устройстве (микроменеджмент) к декларативному подходу к управлению на уровне всей сети. При этом эксперт компании определяет общие правила использования сетевых ресурсов, политику, которая применяется для создания модели нового приложения. При развертывании последнего происходит автоматическая конфигурация всей инфраструктуры в соответствии с определенной политикой.

Рис. 1. Компоненты гибридной ИТ-инфраструктуры
Рис. 1. Компоненты гибридной ИТ-инфраструктуры

 

Как и положено контроллеру, APIC-EM обеспечивает взаимодействие c внешними приложениями (через северные прикладные интерфейсы REST API), но при этом он предлагает и встроенные сервисы, которые, по утверждению экспертов Cisco, реализуют 80% базовых задач автоматизации. Это, в частности, сервисы по автоматическому развертыванию новых сетевых устройств (Network Plug and Play), территориально распределенной сети (IWAN), алгоритмов обеспечения качества обслуживания (EasyQoS) и пр. Сервис EasyQoS позволяет, например, динамически выделить необходимые для соблюдения QoS ресурсы на время голосового или видеовызова.

Сетевая аналитика предполагает использование встроенных в сетевое оборудование функций по анализу трафика для различных целей. Одна из них — обеспечение безопасности. Дмитрий Казаков, системный инженер Cisco, предлагает задействовать сеть как сенсор и средство контроля. Традиционно компании применяют наложенные средства безопасности, устанавливаемые по периметру. Сегодня этого недостаточно. Рано или поздно злоумышленники преодолевают периметр, все чаще атаки инициируются из внутренней сети, с компьютеров сотрудников, поэтому, считает специалист Cisco, очень важно контролировать, что происходит внутри периметра сети. Для этого и надо использовать возможности сети, потому как «поставить отдельную систему предотвращения вторжений IPS на каждое устройство доступа — никаких денег не хватит».

Одно из предлагаемых Cisco решений — система StealthWatch — анализирует трафик на основе данных NetFlow (для устройств, не поддерживающих этот протокол, предлагается сенсор StealthWatch FlowSensor). Она позволяет осуществлять мониторинг выполнения политики безопасности, проводить аудит всех переговоров между хостами, идентифицировать в сети бизнес-критичные приложения и сервисы, выявлять аномальное сетевое поведение. Примером такого поведения может служить, например, ситуация, когда устройство с МАС-адресом принтера начинает активно запрашивать доступ к важному приложению. Это явный признак того, что злоумышленник использует этот адрес для атаки.

Другое решение, использующее сеть как средство контроля, — TrustSec. Его суть в том, что трафик маркируется специальными метками, чтобы его можно было фильтровать на любом сетевом устройстве. Это дает возможность реализовать эффективную сегментацию сети, причем политика безопасности для разных классов трафика (групп пользователей, устройств и пр.) может задаваться централизованно, а применяться динамически и автоматически (по требованию) в любом месте сети.

Система сетевой аналитики для ЦОДов — Cisco Tetration — отображает картину взаимодействия приложений. Основными источниками информации для нее служат сетевые сенсоры, встроенные в ряд новых моделей коммутаторов Nexus, а также программные сенсоры, устанавливаемые на невиртуализированные хосты или виртуальные машины (см. рис. 2). Кроме того, система Tetration способна задействовать различные метаданные из других источников.

Рис. 2. Архитектура системы Cisco Tetration
Рис. 2. Архитектура системы Cisco Tetration

 

Эксперты Cisco именуют Tetration не иначе как «машина времени», поскольку она позволяет заглянуть в прошлое и заново «прокрутить» интересующее событие в ЦОДе, а также запланировать изменения на будущее и посмотреть, как они повлияют на работу других систем и ЦОДа в целом. И конечно, Tetration дает возможность в реальном времени видеть все происходящее в ЦОДе в данный момент.

На конференции DataCenter Design&Deploy речь шла не только о сетевых решениях, но и о других компонентах ИТ-инфраструктуры. Более того, как отметил Филипп Пуц, менеджер по продажам решений Cisco для ЦОДов, одной из тенденций в области ЦОДов является желание заказчиков покупать комплексные (интегрированные) решения. В качестве таких решений Cisco предлагает как широкий набор разработанных с партнерами конвергентных решений (FlexPod, Vblock, VSPEX, VersaStack, UCP Select, UCSO, BigData CPA), так и свою новинку этого года — гиперконвергентную систему HyperFlex. Последняя состоит из универсальных узлов, реализующих как вычислительные функции, так и функции хранения данных и обеспечения сетевого взаимодействия (подробнее о HyperFlex см. материал «Гиперконвергенция ради экономии» в апрельском номере «Журнала сетевых решений/LAN» за 2016 год).

Другой важной тенденцией в области ЦОДов Филипп Пуц называет необходимость эффективной поддержки, наряду с традиционными приложениями, приложений нового поколения, изначально спроектированных «под облако» и использующих технологии контейнеров и микросервисов. По сути, речь идет о реализации уже упомянутой концепции бимодальных ИТ. При этом если традиционным бизнес-критичным приложениям, как правило, требуется отказоустойчивая инфраструктура, то новые приложения (системы Больших Данных, аналитика, онлайн-игры…) часто проектируются в расчете на продолжение работы при отказе одного из аппаратных узлов.

И еще одно важное замечание. Практики часто довольно настороженно относятся к новым тенденциям, проявляя максимальный консерватизм. Но в облачную эру ситуация меняется. Если ИТ-отдел не способен оперативно реализовывать запросы бизнес-подразделений, то те будут искать возможность решить свои задачи «на стороне», например в публичных облаках. А теперь представьте, к чему может привести хранение документов, скажем, в публичном хранилище, не обеспечивающем необходимые меры безопасности?! А за потерю важных данных будет отвечать «айтишник». Так что не стоит раздражать бизнес своей медлительностью и неповоротливостью, а то и работу можно потерять…

Купить номер с этой статьей в PDF