Два подхода к построению SDN

Эдуард Фокин, ведущий консультант по SDN-решениям, компания «Инфосистемы Джет»
Эдуард Фокин, ведущий консультант по SDN-решениям, компания «Инфосистемы Джет»

 Сегодня информационные технологии являются мощным вспомогательным инструментом современного бизнеса. В условиях рыночной экономики требования к ИТ-инфраструктуре растут с огромной скоростью, и соответствовать им становится все сложнее. Эффективные информационные системы компании – это ее конкурентные преимущества. Однако нередко приходится сталкиваться с ситуацией, когда сеть передачи данных тормозит развитие ИТ-инфраструктуры. Мир вычислительных комплексов уже пережил революцию в виде явления виртуализации (75% всех x86 в мире виртуализированы – Gartner, 2015), управление серверами и СХД практически везде автоматизировано. Сети же продолжают жить по старинке. Настройка сети для нового сервиса или приложения в большинстве компаний сегодня занимает от нескольких часов до пары дней. Сеть облачной инфраструктуры для сетевиков обычно остается темным пятном и в случае проблем в виртуальной среде может стать источником головной боли. Да и классические подходы к построению сетей ЦОД имеют множество архитектурных ограничений. Например, чтобы обеспечить фильтрацию трафика между двумя виртуальными машинами на одном гипервизоре чаще всего приходится «заворачивать» трафик через аппаратный межсетевой экран, расположенный где-нибудь в ядре сети. Вам это знакомо? Эффективными сегодняшние сети ЦОД подавляющего числа компаний назвать сложно.

Одним из способов решения обозначенных проблем может стать использование технологии программно-определяемой сетей (SDN). В чем же ее преимущество?

Посмотрим на сеть современного дата-центра. Она состоит из множества мультивендорных устройств – коммутаторов, маршрутизаторов, межсетевых экранов и др. Каждое устройство имеет свой интерфейс управления и логику. Согласитесь, администрировать такую архитектуру неудобно и трудозатратно. SDN предлагает другой подход. Основной принцип состоит в том, чтобы перенести весь интеллектуальный функционал с устройств в выделенный компонент – SDN-контроллер, а оборудованию оставить только прямую задачу – передачу пакетов. При этом взаимодействие между контроллером и оборудованием обеспечивается с помощью API и по открытым протоколам, функции control-plane и forwarding-plane между устройствами разделены, управление осуществляется централизованно.

Сегодня все больше производителей оборудования предлагают решения в области SDN. Их можно разделить на две группы в зависимости от подхода, которого они придерживаются при создании продуктов.

Одни вендоры являются сторонниками классической модели построения. Среди них производители SDN-контроллеров с открытым кодом Floodlight Controller, Ryu SDN Framework и OpenDaylight (последний, кстати, является самым популярным на сегодняшний день, разрабатывается с 2013 г., многие строят именно на нем свои коммерческие решения); коммерческие решения – HP, Brocade, Huawei, Big Switch Networks, Dell, Mellanox Technologies. С некоторыми оговорками в эту категорию можно отнести и Cisco ACI.

Суть классического подхода состоит в том, что SDN-контроллер непосредственно программирует устройства сетевой фабрики, т. е. аппаратные коммутаторы. Чаще всего для этой задачи используется протокол OpenFlow. Теперь коммутаторы при обработке трафика оперируют понятием «flow» – это отдельное сетевое соединение, последовательность сетевых пакетов с идентичными значениями заголовков. При получении пакета коммутатор по определенным полям определяет идентификатор flow и обрабатывает пакет в соответствии с forwarding table (FIB). Таблицу FIB при этом формирует SDN-контроллер. Если соединение новое, коммутатор отправляет пакет SDN-контроллеру и получает в ответ правило обработки данного flow. Никакой обработки протоколов динамической маршрутизации, arp или mac-learning теперь не происходит.

Какие преимущества дает такой подход? По замыслу разработчиков, такая архитектура позволит упростить используемые в сети устройства до функционала коммутаторов. Считается, что аппаратная часть составляет 40% стоимости коммутатора, а 60% – это поддержка и софт. То есть можно сэкономить на оборудовании. Существенно упрощается и становится более гибким процесс управления сетью: мы переходим от настроек VLAN, портов и прочих «винтиков» к верхнеуровневому управлению – определяем логические топологии и политики взаимодействия сетевых сегментов, приложений и пользователей. А за счет того, что решение об обработке пакетов теперь принимает не каждое устройство, а SDN-контроллер централизованно, трафик в сетевой фабрике может распределяться более эффективно.

Тем не менее у такого подхода есть и свои минусы. Централизация управления – это не только удобство, но и ограничение. Контроллер в данном случае является еще и точкой отказа. Особенность технологии такова, что если сетевое оборудование теряет связь с контроллером, сеть фактически перестает работать. Вторая проблема – аппаратные ограничения существующего оборудования. Ранее коммутаторы были рассчитаны на таблицы mac-адресов сравнительно небольшого объема. Теперь же им необходимо хранить в памяти записи для каждого сетевого соединения. В будущем производители чипсетов анонсируют модификации с достаточной памятью, но пока проблема актуальна. Еще одно узкое место – низкопроизводительный CPU на коммутаторе. Ограничением с точки зрения архитектуры является факт, что сеть с использованием OpenFlow не может эффективно растягиваться между двумя физическими площадками. И самое главное: нужно понимать, что при построении такой сетевой фабрики, скорее всего, придется заменить существующие коммутаторы.

Вендоров, «исповедующих» другой подход к построению SDN, несколько меньше, чем первых. Их подход к реализации технологии состоит в управлении не физическими устройствами сетевой фабрики, а программными агентами (виртуальными маршрутизаторами), которые устанавливаются на гипервизоры заказчика. Сетевой трафик обрабатывается виртуальными маршрутизаторами и при передаче «запаковывается» в дополнительный IP-заголовок, фактически строится новая «виртуальная» сеть поверх существующей физической сети. А для сопряжения этой наложенной сети с классической Ethernet-сетью используются выделенные устройства – шлюзы. Такой подход ориентирован на среду с высокой степенью виртуализации серверов. Лидерами здесь являются VMware NSX и Nuage VSP. Среди других – MidoNet, PLUMgrid ONS, Juniper Contrail. Особо стоит отметить Open vSwitch – виртуальный роутер, который инсталлируется на гипервизоры. Он пишется открытым сообществом, но практически все вендоры используют его модификации в своих overlay-решениях SDN.

Основным преимуществом такой реализации является то, что наложенная сеть может быть развернута поверх имеющейся, существующая сетевая фабрика остается статичной, и ее конфигурация в процессе эксплуатации не меняется. Таким образом, все, что требуется от имеющегося сетевого оборудования, – это IP-связность и высокая производительность. Еще одно важное преимущество этого подхода – переход к распределенной модели коммутации/маршрутизации/FW. Теперь для предоставления сетевых сервисов нет необходимости прогонять пакет через всю сеть, точкой применения политик и правил маршрутизации является порт виртуального коммутатора, т. е. обработка сетевых пакетов происходит максимально близко к их источнику. За счет инкапсуляции трафика в туннели мы можем строить распределенную сетевую фабрику между несколькими физическими площадками, при этом есть возможность обеспечить связность для виртуальных машин на втором уровне, даже поверх L3 каналов. Кроме того, подход с overlay-сетями позволяет сегментировать сеть как угодно – по приложениям, департаментам или заказчикам (если вы оператор связи).

Правда, и здесь не обойтись без минусов. Придется принять то, что ваша сеть фактически трансформируется в две, и администрировать такую инфраструктуру будет сложнее. Локализация проблем в overlay-сети требует больших усилий, чем раньше. Для решения этой проблемы производители развивают функционал мониторинга и диагностики проблем СПД.

Но рекомендовать какое-то одно конкретное решение для всех нельзя – каждый случай нужно рассматривать с разных сторон, понимать задачи, которые заказчик пытается решить. Например, при построении сети ЦОД с нуля многие отдают предпочтение Cisco ACI – проверенному временем вендору, уровень доверия к которому очень высок. Но если вы не готовы поменять все сетевое оборудование, имеет смысл рассматривать overlay-решения. Здесь можно выбирать между реализациями от эксперта мира виртуализации компании VMware и «гуру» сетевых технологий Nuage Networks (до недавнего времени компания принадлежала Alcatel Lucent и строила свое решение с использованием весьма успешных наработок в части оборудования операторских сетей). Как и следовало ожидать, сильной стороной VMware NSX является максимальная интеграция с инфраструктурой виртуализации VMware, в то время как Nuage VSP позиционируется как более универсальное решение, совместимое со всеми существующими сегодня типами гипервизоров. Кроме того, Nuage уже вышел за пределы ЦОД – они предлагают использовать SDN и для построения распределенной корпоративной сети.

В последнее время в России  мы видим  рост интереса заказчиков к SDN. Сейчас компании активно присматриваются к существующим решениям, пытаются понять их преимущества и недостатки, многие уже тестируют различные продукты. Отсутствие большого количества внедрений SDN в России обусловлено тем, что заказчики видят в переходе на новый подход соответствующие риски. В таких случаях рекомендуем начинать знакомство с SDN с пилотных проектов. Или же на первом этапе рассматривать внедрение для части инфраструктуры и отдельных информационных систем.

Поделиться:
Спецпроект

Форум «ИТОПК-2020» оценил потенциал господдержки

Подробнее
Спецпроект

Напряженный трафик или Современные требования к инфраструктуре ЦОД

Подробнее

Подпишитесь
на нашу рассылку