CC BY
40
14 декабря 2011 r. 23:47
БЕЗОПАСНОСТЬ
ЦОД следующего поколения
Александр Зейников,
Компания LSI
Где ЦОД сейчас и что
с ним будет завтра
В части первой настоящей статьи д/ы рах> брали рыночные факторы, определяющие эео ПКХИЮ ЦОДов следующею поколения. В этой статье мы балее подробно осветим особенности архитектуры, необходимой для построение новых ЦОДэв, чтобы они были основаны на "единой, упрощенной и .««логичной структуре".
Оптимизация подуровня сети
Когда ЦОДы были впервые внедрены в ти личном предприятии, смысл их существования сводился к обеспечению доступа большого количества конечных пользователей к относительно малому количеству общеизвестных централизованных приложений. Эти приложения включали в себя корпоративную электронную почту, ввод данных для учета, поддержку записи, отслеживание технических неполадок у кли^ емтов, контроль XI инвентаризацией и др. V этих гриложений было Две ТОЧКИ СОГфИКОСНО-вения они все основывались на примит»«ной модели взаимодействия "команда-ответ", а данные, с которыми они имели дело были только текстовыми, и, таким образом не нужд ались в высокой пропускной способности сети
В результате архитектура сети ЦОД была в большей степени примипвной и основывалась на оборудовании Уровня 2 (12) - коммутации и Уровня 3 (13) — маршрутизации, и хорошо подходила под базовые требования обычного оператора связи или предприятия Эго строение сети было более чем достаточно для обеспечения работы минимально интерактувгых и в большинстве своем текстовых устаревших приложений, типичных для того времени.
Однако, для сегодняшнего трафию, насыщенного мутьтимедийными донгами, зла архитектура становится “бутылоч»«4м горлышком" и приводит к низкокачественному и неэффективному использованию доступных транспортных сетей и коммутационное о оборудования. Также эго отрицательно влияет на мобильность вирту
альных машин — функции, критически важной для обеспечения доступности разгонных динамически пред оставляемых гриложений и сервисов. Результатом использовавня этой д алеко не идеальной архитектуры сети становится повышения операционных и капитальных издержек и энергопотребления, что не отвечает принципов построения ЦОДа следующего поколения.
Итак, как будет выглядеть подуровень сети в парадигме ЦОДов следующего поколения?
Единая структура
В наше время типичный сервер, помещенный в стойке ЦОДа, оснащен деумя-тремя прожорливыми в плане энергопотребления адаптерами, соединяющимися в отдельные сегменты структуры сети д ля обеспечения передачи донных по сети (Ethernet), хранения денных (Fixe Channel) и кластеризации (InfiniBand или проприетарные коннекторы). Требования к соединениям в этих трех сегментах д овольно сильно различаются - если сетевое соединение вполне толерантно к потере пакетов или высокой ло-тентности, соединение для хранения данных не мажет позволить себе потерю пакетов, а соед инение д ля кластеризации обязано обеспечить коммунмсаиио между процессами с мннималь-ными задержками Эти разрозненные структуры привели к образованно феномена "роспоп-эания сети" "network sprawf, когд а десятки тысяч кабелей соединяют тысячи серверов и устройств СХД посредством сотен коммутаторов, маршрутизаторов и устройств. факторы ведут к повышению операционных и капитальных издержек при обеспечении функционирования таких структур.
Развитие 10-гиабитного Efveme* и усигвня отрасли в деле добавления расширенных возможностей к Ehemel- протоколу, чтобы удовлетворить потребности соединений! СЭД и кластеризации приведут к конвергенции сетевых структур и консолидации их в единой структуре, основанной на Ebemet. Это структура предоставит легкий доступ к ресурсам хранения и обработки донных, которые она поддерживает. С точки зрения чисто физинеских ресурсов, эта структура позволит добиться снижения операционных издержек и энергопотребления вви
ду консолидации ресурсов, таких, как ад аптеры кабели и коммутаторы в рамках ЦОДр следующего поколения.
Снижение количества уровней
сетевой архитектуры
Сегодняшние ЦОДы построен* на основе трехуровневой архитектуры (уровень коммутации — L2 уровень маршрутизации — L3), разработанной для корпоративных и операторских сетей. Это привычное оборудование использует принципы "масштабкрования вверх" (увеличение количества физических устройств) и протоколы, которые не позволяют обеспечивать масштабируемость такого уровня, чтобы отвечать растущим потребностям ЦОДов следующего поколения. Проблемы масштабирования протокола контроля сети ведут к неразумному использованию ресурсов сети (соеди нение, коммутатор, сеть), применению топологий, ограничивающих возможности сети (типа сети VLAN второго уровня и подсети третьего уровня), а также перегруженности жестко иерархических архитектур - все это в совокупности значительно ограничивает мобильность виртуальных машин, а следовательно, и способность перемещать нагрузки и динаминески обеспечивать работу приложений Таким образом, эти проблемы влияот не только на производительность, опуская ее до неприемлемого уровня и энергопотребление, но и на то, как наиболее важные мероприятия по оптимизации работы сети могут использовать выгод ы виртуализации вычислений и хранилищ донных
В течение последних лет мы были свидетелями развития производства коммерческие полупроводниковых технологий для Etbemel-ксм-мутацни второго и третьего уровня. В дальней шем эти решения буду должны отвечать уникальным потребностям ЦОДов следующего поколения и внедрить такие конструктивные улучшения как балансировка нагрузки при кмого-адресной передаче данных, активное управление писовой нагрузкой и сетевые топологи* способные масштабироваться "вширь", что значительно оптимизирует использование ресурсов на уровнях соединения, коммутации и сети
Сложность протокола уровня управления
40
T-Comm, Информационная безопасность 2011
сети и проприетарные вмедре»*1Я д олжны будут отстугмть, чтобы д ать д орогу новым открытым и /масштабируемым протоколам управлении, которые могут быть д аже отделены от уровня данное Уровень управления должен иметь возможность масштабироваться до десятков тысяч йодов. позволяя осуществлять простую мигра-1»*о виртуальных машин в реальном времени в масштабе всего ЦОДа
Все эти нововведения в уровне донных и уровне управления позволят создать крупные одноуровневые сетевые архитектуры типа 12 в масштабе всего ЦОДа Это называется сниже-»*ия количества уровней сети ига 'уплощение сети* внутри ЦОДа, что позволяет добиться большей экономичности ЦОДа, полностью перестроив сеть ЦОД
Распределенные интеллектуальные устройства на границе сети
Как и обычный пр*^1*4п коммутации 12/13, различные "интеллектуальные" устройства (устройства балсмсираеки нагрузки, обеспечения безопасности ускорения работы приложений и т-п.) в ЦОДе тсжже поддерживают архитектуры с масштабированием "вверх" и становятся серьезными преградами в масштабировании сети Эти устройства “перекрывают кислород" на некоторых участках сети и подавляют возможности миграции виртуальных машин в рамках ЦОДа
Такие реше**ы (устройства баланоровки нагрузки; обеспечения безопасности - аутентификации шифрования контроля доступа, предотвращения вторжений; ускорения работы приложений) должны интегрироваться в архитектуру виртуализированного ЦОДа Они должны поддержуеатъ мобильных пользователей мобигъдое виртуальные машины и дюио-мугиеские конфигурац ии сети. Вместо испальэо-ватя закрытых проприетарных аппаратных внедрег*ий, ЦОДы обратятся к варианту использования этих решений на программном уровне на обычных серверах на грат»че крупной "уплощенной" сети что позволит обеспечивать эффектувное масштабирова*не "вшурь".
Энергетически пропорциональные сети
Традиционное сетевое оборудование не было создано для формирования сценариев использования энергии Для многих лидирую щих в отрасли коммутаторов и маршрутизато-
ров работа на гмковом іределе электроснабжения — не ред кость, даже при условии пониженной нагрузки. На уровне сети операторы ЦОДов не имеют должной степени контроля для орган иэсж**и маршрутизации трафика по подсетям, чтобы оптимизировать энергопотребление во время низкой степени использования сервисов ЦОДа.
ЦОД ы следующего поколения требуют использования техники организации сети тосим образом, чтоб учесть тенденции потребления электроэнергии и пропорционироеания энергопотребления на всех уровнях устройств, на пряжения, компонентов, плат, систем ПО и управлена сети Это позволит добиться сущест венной экономии электроэнергии и соответствующей экономии в ппаие охлаждения, а также предоставит операторам ЦОД ов контроль над способами оптимизации энергопотребления всего ЦОДа и их подходящим применением при использовании сервисов ЦОДр.
Сеть ЦОД следующего поколения
Сеть ЦОД следующего поколения будет имел» "единую упрощенную экологичную" структуру. Она поможет избавиться от эффекта "расползания" сети и дополнительных расходов на управление разрозненными структурами передачи данных хранении дамых и кластеризации. Она будет основываться на простых в использовании энергетически пропорциональных коммутаторах, которые позволят создавать крупьые, уплощенные топологии, способные масштабироваться до десятков тысяч нодов и обеспечивать мобильность виртуальных машин.
Data Center Evolution
Что важно, такая архитектура наделит операторов ЦОДов возможностями контроля которыми сейчас обладают сетевые протоколы, обеспечивая операторов способностями применять маршрутизацию трафика на основе установленных политик и управлять энергопотреблением сети. Конечным эффектом ситуации станет коммодеэсл*ия (что это?) подуровня сети, что существенно снизит стоимость впадения, одновременно обеспечивая инновации технологий на более высоком уровне.
Примеры внедрения практик
следующего поколения
Пример реализации философии сетей ЦОД следующего поколения — Monsoon от Microsoft. Monsoon — смешанная архитектура, основанная на недорогих устройствах второго уровня. Масштабуруемость достигается за счет модификации источника маршрутизации, осуществляемой на уровне утравления, и выполнения мультиапресной маршрутизации на уровне донных Эта медаль использует технику, известную как \fafcanl Load Balancing. Она была разработана в Университете Стэнфорд для создания логической, полностью смешанной тополопии в масштабе крупной магистральной сети, призванной маршрутизировать данные из источника к точке назначения, используя при этом не белее двух интервалов связи Архитектура использует простую технологий баланс>ровки нагрузки в масштабе сети и способна поддерживать все вилы сетевых топо-лопй
EJaslic Ссхтрсйе Cloud от Amazon, упомянутая ранее в одной из секций этой статьи имеет
. Мопошпк ««И.ГЕШМ
Computef5torageTNc * Comput# twofk Conmodill;jlion
» OAS - NAS - SAN
Рис. 1. Эволюций ЦОДов
' Compute VlituallMlon Storage NAS/SAN Convergence
сілшс ШВШвШйй
Т-Comm, Информационная безопасность 2011
41
Компании Junipef Networks и Onlive обеспечат постоянный доступ к любому приложению из любой точки и для любого устройства
Компания kniper Networks и компанія Onlive, Inc., объявили о заключении стратегунеасого партнерства Juniper станет эксклюзивным провайдером сетевой инфраструктуры Onlive Кроме того, обе компании планируют совместную разработку "облачное" услуг для доставки мультимедийного контента на мобильные, ностопьиіе и презентациейые устройства
При поддержке Juniper Nefworks, компания Onlive сможет предоставить пользователям и кор-
порат>«ным клиентам негревзойовиную производительность, беэопаоность, надежность и гибкость, как в физических, так и в актуальных средах С иатопь-эоваиием технологий мгновенной випеокомгрес-сии от Onlive и клиента JunorfS) Pulse компании Juniper Networks, робота с удаленными приложениями и устройствами, буд» то PC, Мае, iPad, планшет на базе Ancko*d, телевизор или монпор с подоер*-кей технологии Onlive, будет неотличима от работы в локальней сети
Onlive уже интегр*ровала в свою сеть ВЬете»-коммутторы серии ЕХ, универсальные гра^^ые ЗО-марирутизатсры серии MX и сервисные шлюзы серии SRX от Juniper Networks, которые обеспечивают высокую произвоогтельность, надежность и безопасность- Для упэвлетверения ростуших потребностей своей‘облачной’' инфраструктуры компания Onlive также планірует внедрить.
• Решение Juniper Networks Qfabric™ — в качестве эксклюзивного провайдера сетевой инфраструктуры ЦОД для Onlive компоню Xmiper будет полностью контролировать соаданіе и обеспечение вир-туализированных центров обработки д анных Onlive в Калифорнии, Техасе и {Цэджинии, а также значительно улучікг осорость работы, масштабируемость и эффектувностъ ЦОДов
• Junoe Puke — простое в использовании, ком-плекоюе решение, состоящее из клиента безопасного удаленного доступа для мобильных устройств, системы безопооиости мобильна устройств, а также комплекса применяемых политик и методов управления устройствами
В резутътате стратео^еасого партнерства компаній Juniper Networks и Onlive займутся совместной разработкой сервисов и многофункциональных приложений под управлением среды Junoe Piise. Onlive выхсм*нт за рамки игровой индустрии, осваивает новые сегменты рыжа и платформы, в частности, корпоративные системы
Игроеые Сервисы Onlive обеспечивают доступ пользователей к ирам с практически любого устройства, устраняя необходимость дорогостоящих консолей или мощных ПК. К 2012 г. сервисы Onlive будут доступны д ля большинства устройств, поддер-адваюиих службы потокового еиа&овоелроиэведе-мив, например Netftoc Сетевая инфраструктура Juniper позволит Onlive обеспечить высочайший уровен моаитабирования, сохранив при этом необходимую для игр произеодотегъность
штатную технологию эластичной батюнаров-ки нагрузки Elastic bad Balancing, и является еще сдоим примером такой модели. Elastic Load Balancing автомап+нески распределяет входящий трафик по множеству логических инстанций Amazon ЕС2.
Благодаря Elastic Load Balancing, входящей трофи может распределяться по множеству инстанций ЕС2 с образованием сдоой или не-сколыоих зон достугеиостн Процесс Elastic Load Balancing автоматически масштабируется в ответ на входящий трафик приложений Это позволяет выявить инстанции “незд оровой" нагруэ-ки Если это случилось, ЕС2 прекращает маршрутизацию трафика в эти инстанции и перерос пределяет трафик по другим инстанциям
Одни их недавних примеров внедрения философии ЦОДа нового поколения — проект Стэцдфордекого Университета OpenFlow. Этот открытый стандарт был создан в качестве надстройки для ряда коммерческих коммутаторов, маршрутизаторов и точек беспроводного доступа, и предоставляет стандортиз^рованньеи API, который позволяет исследователям проводить ехълы в сети без необходимости д ля венд оров открывать проприетарные технологии, реализованные в сетевых устройствах. Этот интересный проюкол использует возможности существующих устаревших сетей
В традиционных сетевых архитектурах переадресация пакетов и мершрутиэации высокого уровня обычно происходят на сдоом и том же сетевом устройстве. При испогъэоеанин OpenFlow эти функции отделены друг от друга. Путь передачи доеных наход ится на коммутаторе, а выбор решения маршрутизации проис-хедот отд ельно на другом сервере. Результатом становится 'разделение труда* и повышенная эффективность обработки д анных.
Будущее ЦОДов следующего
поколения
1ак что же все вышеперечисленное может дать развивающейся отрасли ЦОДов и, что так же важно, тем кто хочет воспользоваться выгодами внедрении следующего поколения?
Первый элемент, на который нужно обратить внимание — это трехступенчатая эвагеодог среды, возникшая как ответ на растущие потребности рынка Эволюция подуровня вычис пений, включающая в себя виртуализацию серверов и введение в эксплуатацию мобильных актуальных машин, пред ставляет собой пер-
вый уровен. эволкх**н и сейчас это уже свершившийся факт. Следующим шагом станет глобализация и виртуализация ресурсов хранения донных — функциональная конвергенция SAN и NAS. Последняя стад ия, которая все ещё не осуществлена и обуславливающая собой успех д вух остальных стад ий — это эволюция подуровня сети
В то время как сеть развивается, отказываясь от иерхтржинеской модели взаимосвязи множества сетей, тесно объединенных для обработки корпоративного трафика и переходя к более интегрированной, одноуровневой модели сети, можно будет набнэдать снижение издержек, что станет возможно благодаря консолидации ресурсов ЦОД ов и более низкому энергопотреблению. Также расширятся возможности подключений, которые будут включать в себя Fibre Channel over Ethernet (FCoE) и традиционный высокоскоростной гиабитный и десятииабитный Ethernet, оптимально подходящие д ля потребностей мультимедийного кон-
Ь итоге, так ксж эта модель становится нормой для соединений между ресурсами ЦОДа, вскоре выгоды от ее использования будут очевидными:
• Возможность просто и эффективно внедрять облачнее сервисы и приложения и управлять и«и
• Значительная экономия достигаемая за счет более активного использования ВЬете! как первоочередного метода доступа к СХД
• Существенно более высокая производительность сети возможная благодаря более высокой операционной эффективности сети и пониженной лагенлности между ресурсами сети и
езд
• Поддержка веб-сервисов, сервисно-ориентированных архитектурных моделей и сред приложений МеЬ 2.0
• Расширенная поддержка мобильности краеугольного камня предоставления контента в течение ближайших лет
• Зкологинесхие вьгады
ЦОД следующего поколения — это не просто опционально доступный сценарий, не голая теория. Он настоящий, он уже существует и развивается Обратите внимание: это меняет правила игры для всех поставщиков в области технологий вычислительного, сетевого подуровня и подуровня донных ЦОДа.
42
T-Comm, Информационная безопасность 2011
