NetOpus: Oktober Juli 20082009 Thema: Beveiliging Opslag Rubriek: Focus Serie Titel: vCloud De queeste als belofte naar alternatieve software Auteur: Bram Marcel Dons Beelen Pagina’s: xx 40 - xx 43
vCloud als belofte VMware biedt wolken op maat De huidige, deels verouderde IT-infrastructuur, de economische crisis en het toenemende succes van virtualisatie hebben bij ondernemingen niet alleen geleid tot een toenemende belangstelling voor cloud computing, maar ook voor verwarring rond het fenomeen. Voor een onderneming is het dan ook van primair belang om allereerst te doorgronden wat cloud computing precies is en in welke vorm en situatie het de onderneming kan helpen om een IT-infrastructuur te creëren die beter aansluit bij het dynamische businessmodel van morgen. Bram Dons
S
impel gezegd, cloud of utility computing is het gebruikmaken van een softwaregebaseerde netwerkinfrastructuur waarbij gebruikers on-demand toegang hebben tot gedeelde opslagbronnen (cpu, netwerk en opslag), de zogenoemde resourcepools. Die kunnen zich intern binnen de onderneming bevinden of daarbuiten op een third party-hostingfaciliteit (zogenoemde off-promise clouds). Beide huisvestingsmethoden staan bekend als internal en external clouds. Internal cloud, on-promise cloud, utility computing en autonomic computing - de begrippen refereren allemaal aan hetzelfde concept: het gemeenschappelijk gebruikmaken van gedeelde computerbronnen om beter de huidige en toekomstige applicaties en werkbelastingen te kunnen ondersteunen.
Internal cloud Architectonisch gezien verschilt een internal cloud niet veel van een gevirtualiseerde scale-out infrastructuur. Beide bestaan uit een verzameling commodity x86-servers die via een grid-engine of virtuele infrastructuur op basis van hypervisors zijn gekoppeld. Hoewel servervirtualisatie een essentieel onderdeel uitmaakt van de infrastructuur die nodig is voor cloud computing, moet er nog een aanzienlijke basisinfrastructuur en technologie
aan worden toegevoegd voordat het een cloud computing-omgeving kan worden genoemd. Als men veronderstelt dat een internal cloud veel meer is dan wat veel leveranciers de ‘volgende generatie datacenterarchitectuur’ noemen, utility computing of welke naam men daarvoor heeft bedacht, het mag allemaal.
Ontbrekende compatibiliteit De meeste van de huidige cloud computing-oplossingen kennen ernstige tekortkomingen, want de meeste applicatieplatformen zijn propriëtair van aard. Daardoor moeten applicaties bij de overgang van een traditionele naar een cloud-computing-architectuur op grote schaal worden herschreven. Daarnaast ontbreekt vaak de mogelijkheid om naar een andere provider over te stappen wanneer bijvoorbeeld de overeengekomen SLA’s niet worden gehaald. Er ontstaan lange wachttijden bij de overgang naar een nieuwe omgeving, doordat deze opnieuw moet worden geconfigureerd. De afwezigheid van standaardisatie tussen cloud computing-platformen creëert onnodige complexiteit en resulteert in hoge overstapkosten. Elke leverancier van een cloud-model houdt er zijn eigen applicatiemodel op na, waarvan er veel propriëtair van aard is en bovendien is gebaseerd op een ‘verticaal geïntegreerd’ stack wat de keuze van platform
beperkt. IT-leveranciers worden zich langzamerhand steeds meer bewust dat de gebruiker van vandaag de dag, op welk onderdeel binnen de IT-omgeving dan ook, niet langer wil worden geconfronteerd met een vendor lock-in, maar vrijheid van keuze wil. Veel bestaande cloud-technologieën bieden geen volledige compatibiliteit met bestaande applicaties. Sommige compute-clouds in het publieke domein hebben de compatibiliteit opgeofferd ten gunste van een betere schaalbaarheid en de ondersteuning van bepaalde features. Hierdoor moet vaak een applicatie geheel of gedeeltelijk worden herschreven. Als gevolg van het ontwerp maken de meeste external cloud-leveranciers van een multi-tenancy compute-omgeving gebruik. IT-beheerders worden daarmee gedwongen om zelf maar een juiste balans te zoeken tussen de mate van beveiliging van een internal, dedicated infrastructuur en die van een shared external cloud-omgeving.
Eisen cloud-omgeving Ondernemingen willen alleen profiteren van de voordelen van cloud computing mits deze aan bepaalde voorwaarden voldoet. Ze willen een oplossing die non-disruptive is, zodat van bestaande applicaties kan worden gebruikgemaakt zonder de noodzaak ze te moeten herschrijven en tegelijkertijd de mogelijkheid hebben om nieuwe applicatie architecturen te kunnen toevoegen. Anders gezegd, ondernemingen willen een praktisch probleemloos overgangspad van hun traditionele naar een cloud computing-infrastructuur die ze een maximale keus biedt uit bestaande en nieuwe applicaties. Voor de lange termijn wil men de garantie
De queeste naar alternatieve vCloud alssoftware belofte ••Focus Serie
Afbeelding 1. Componenten van de private cloud (bron: VMware)
dat men niet is gevangen in een propriëtaire cloud-oplossing. Deze oplossing moet enterprise-ready zijn en beheerders de volledige controle bieden over de serviceniveaus van de business waarvoor ze verantwoordelijk zijn. Ze willen vrijheid van keus hebben en gevrijwaard zijn van elke lock-in van een applicatie, besturingssysteem of hardware-architectuur. Kortom, het zijn nogal wat eisen die worden gesteld en de vraag is welke leveranciers van cloud computing-software daaraan op dit moment al kunnen tegemoetkomen. Een oplossing die aan alle eisen voldoet, moet een oplossing zijn die de cloud naar de onderneming brengt in plaats van de onderneming te dwingen haar complete IT-infrastructuur naar een propriëtaire externe cloud over te zetten. De oplossing is om een intern datacenter naar een private cloud over te zetten die – optioneel - op een veilige manier kan worden gekoppeld aan externe cloudservices. Bij VMware denken ze daarvoor de oplossing te hebben gevonden door het interne datacenter te laten fungeren met de eigenschappen van een cloud. De IT-afdeling kan gebruikers bedienen op basis van ‘zelfbediening’ van de juiste services; ze worden van de juiste hoeveelheid systeemcapaciteit voorzien en hebben de mogelijkheid om
het gebruik van resources door te berekenen aan een businessunit. Applicaties hoeven niet te worden herschreven en de interne gebruikers hoeven niet langer te weten hoe de onderliggende technologieën werken die door een bepaalde service worden geboden. Het eind vorig jaar aangekondigde VMware vCloud moet dit alles gaan mogelijk maken. VMware ziet een private cloud als een hybrid cloud die een veilige cloud computing-omgeving biedt waarin de computing-capaciteit van zowel de interne als externe cloud samenwerkt en als een utility kan worden aangeboden. De private cloud omvat drie componenten: cloud operating system; management model en federation services (zie Afbeelding 1). We zullen ze hierna afzonderlijk bespreken.
Cloud operating system Aan de basis van de private cloud staat het cloud operating system, een nieuwe categorie software die speciaal is ontworpen om grote verzamelingen computerbronnen binnen een infrastructuur te bundelen. Cpu’s, opslag en netwerken, samen vormen ze een flexibele en dynamische operationele omgeving. In tegenstelling tot een traditioneel besturingssysteem dat een enkel systeem beheert, bundelt een cloud operating system de complete
infrastructuur tot een enkelvoudige, krachtige compute plant. Daarbinnen kunnen bronnen snel en dynamisch aan elke applicatie worden toegewezen, op elk moment wanneer dat nodig is. Het vSphere cloud-OS ondersteunt een tweetal zaken: infrastructurele en application-services. De application-services voorzien in een ingebouwde service voor de besturing van alle applicaties met betrekking tot availability, security en scalability. De availability-services maken het de IT-beheerder mogelijk om applicaties in verschillende beschikbaarheidniveaus in te delen. In tegenstelling tot de traditionele IT-omgeving is daarvoor geen complexe redundante hardware of clustering-software meer nodig. VMware VMotion en VMware Storage VMotion kunnen de geplande downtime als gevolg van gepland onderhoud aan servers of storage zo goed als elimineren. Ongeplande downtime is met High Availability (HA), Data Recovery en de nieuwe geavanceerde VMware Fault Tolerance-technologie (FT) te minimaliseren. De architectuur van het netwerk- en internet-gebaseerde cloud-OS, zowel internal als external, maakt dat een goede beveiliging natuurlijk ook van cruciaal belang is. Met behulp van de Security Services kan een applicatie, onafhankelijk waar deze binnen de cloud draait, van het juiste beveiligingsniveau worden voorzien. De nieuwe VMware vShield Zones vereenvoudigen de beveiliging van applicaties in een shared omgeving door de security-policy’s op applicatieniveau te regelen, waarbij de trust en de netwerksegmentatie van gebruikers alsmede de bescherming van gevoelige data blijven gehandhaafd.
Nieuw beheermodel Om IT als een service in een private cloud, internal of external, te kunnen aanbieden is een nieuw beheermodel nodig. In plaats van een focus op de componenten van de onderliggende infrastructuur richt het nieuwe beheermodel zich op de eigenschappen van een bepaalde service. De private cloud
vereist een service-gedreven beheermodel. Dit stelt IT-beheer in staat om de geboden service, met betrekking tot de mate van beschikbaarheid en veiligheid, aan zakelijke gebruikers en eigenaren van applicaties inzichtelijk te maken. Het verschaft gebruikers de mogelijkheid om op eenvoudige wijze een bepaalde service aan te vragen met het gewenste serviceniveau en van deze services gebruik te maken, zonder dat deze kennis hoeven te hebben van alle intrinsieke eigenschappen van de onderliggende infrastructuur. Tegelijkertijd moet dit nieuwe type SLAgedreven beheermodel de wensen van de gebruiker kunnen vertalen naar voor het systeem begrijpelijke instructies, zodat IT de onderliggende systeembronnen op een dynamische wijze en hoge mate van automatiseringsgraad kan beheren.
vCenter CapacityIQ De hiervoor geschetste gebruikerseisen voor een zelfbedieningsbeheermodel is door VMware binnen het nieuwe vCenter geïmplementeerd onder de naam Self Service Management-infrastructuur. De VMware vCenter Suite kent een SLA-driven beheermodel waarin de beschikbaarheid, beveiliging en prestaties constant door het cloud-OS worden vergeleken met een door de gebruiker gespecificeerde SLA. Het beheermodel bestaat uit een aantal services: vCenter CapacityIQ, AppSpeed, ConfigControl, Lifecycle Manager, Lab Manager, Stage Manager en Chargeback. Een aantal daarvan waren onder de vorige versie van vCenter al beschikbaar, waaronder chargeback. Sommige zijn of worden daaraan later dit jaar nog door VMware toegevoegd, waaronder Lab Manager, ConfigControl en CapacityIQ. Een aantal van deze services is van eminent belang om een zo hoog mogelijk profijt te kunnen trekken uit een cloud computingomgeving. Eén van de daarvoor noodzakelijke services is de CapacityIQ-service (dit jaar beschikbaar). Een andere is Chargeback. Met de laatstgenoemde service kan een onderneming het ge-
bruik van virtuele bronnen binnen een cloud computing-omgeving aan de eindgebruiker doorberekenen. Zoals bekend voorziet virtualisatie in een gedeelde dynamische omgeving, wat het mogelijk maakt om beter en efficiënter van de beschikbare computerbronnen gebruik te kunnen maken. De vraag is alleen hoe een Afbeelding 2. Kerncomponenten cloud operating system van gebruiker hierVMware (bron: VMware) van optimaal kan gebruikmaken in een constant veranderende omgeving, levering van de juiste capaciteit op het die bestaat uit verschillende gedeelde juiste moment helpt om op dat moment computerbronnen en applicaties waar- onnodige kosten uit te stellen en voorvan de capaciteit als gevolg van de vraag komt dat de vraag naar meer capacicontinu slinkt of uitdijt. teit te kort schiet. CapacityIQ bewaakt vCenter CapacityIQ biedt daartoe de en analyseert continu de capaciteitsmogelijkheid door vraag en aanbod van vraag op verschillende niveaus: virtuele computerbronnen zo efficiënt en voor- machine, host, cluster en datacenter. spelbaar mogelijk op elkaar af te stem- Op basis van historische consumptie men. Op basis van een ‘wat als’-analyse patronen laat CapacityIQ de trends brengt het van tevoren de effecten van zien en voorspelt het de huidige en een capaciteitsverandering in beeld. toekomstige capaciteitsbehoeften. Op Door de uitwerking van een aantal sce- die manier kan de benodigde capaciteit nario’s, die tot bepaalde uitkomsten altijd op het juiste moment beschikbaar kunnen leiden, wordt de beheerder in zijn en worden SLA’s beter nageleefd. staat gesteld om de planning, aankoop vCenter Chargeback en toewijzing van de benodigde capaciteit uit te voeren. Want het bepalen van Chargeback is een eenvoudig, flexide juiste capaciteit die een applicatie bel en accuraat model om de kosten nodig heeft, is in een virtuele omgeving te meten in een shared IT-servicesvoor de beheerder nog steeds een las- omgeving. Het verbetert de gebruikstige zaak. Als gevolg daarvan worden de graad van bronnen en beslissingen met benodigde bronnen voor virtuele machi- betrekking tot accurate toewijzingen op basis van werkelijke kosten van gevirnes vaak over- of onderbemeten. CapacityIQ helpt nu de beheerder om tualiseerde werkbelastingen. Het helpt snel elke overbemeten, actieve of niet- eindgebruikers bij het maken van een actieve vm in het datacenter te detec- weloverwogen besluit bij service levels teren. Door vm’s op de juiste manier door een beter inzicht te verschaffen in in te zetten is op een veilige manier de daaraan verbonden kosten. Chargeelke ongebruikte capaciteit in te zet- back maakt van een database gebruik ten om daarmee verspilling van capa- waarin de kosten en het gebruik worciteit (en dus kosten) tegen te gaan. De den opgeslagen die het van de vCen-
De queeste naar alternatieve vCloud alssoftware belofte ••Focus Serie
werkt immers flexibel, dynamisch en is continu onderhevig aan veranderingen. Virtualisatie introduceert continu nieuwe entiteiten, relaties en acties, die niet alleen allemaal moeten worden bestuurd en beheerd, maar ook vragen om betere manieren van automatisering en het omgaan met Afbeelding 3. vCenter Infrastucture Management (bron: VMware) verandering van configuraties. ter Server heeft verkregen. Doordat Voor beheer van een dynamische virtuChargeback nauw is geïntegreerd met ele omgeving heeft VMware de vCenvSphere Client, heeft de gebruiker via ter ConfigControl ontwikkeld, die dit de webinterface op eenvoudige wijze jaar beschikbaar komt. ConfigControl toegang tot beheer en rapportage van detecteert automatisch configuraties, de kostenstructuur. afhankelijkheden en compliance van Chargeback ondersteunt drie ver- de virtuele IT-infrastructuur. Mogelijke schillende kostenmodellen: fixed, problemen die uitval kunnen veroorallocation- en utilization-based. Het zaken, worden vroegtijdig aan het licht fixed kostenmodel specificeert per gebracht. Voor geplande downtime vm instance-kosten als vloerruimte, worden afhankelijkheden tussen virtustroom/koeling, software of admini- ele bronnen aan de gebruiker zichtbaar stratieve overhead. Het allocation- gemaakt. Door automatische controle, gebaseerde model specificeert de onder meer van de compliance van variabele kosten per vm op basis van complexe configuraties, en beheer kan toegewezen bronnen, zoals de hoeveel- de beheerder sneller inspelen op veranheid geheugen, cpu of opslag gereser- deringen. Daarbij behoudt de beheerder veerd voor een vm door vCenter Server. de volledige controle over de virtuele Tot slot worden de variabele kosten omgeving. Behalve deze fraaie beloften, per vm bij het utilization-gebaseerde die te lezen zijn op de enkele VMwaremodel bepaald op basis van actueel webpagina, zijn er verder nog weinig gebruikte bronnen, waaronder gemid- details bekend over deze service. delde hoeveelheid geheugen-, disk- en vCenter AppSpeed cpu-gebruik, alsmede netwerk- en disk-i/o. De kostenmodellen kunnen in AppSpeed biedt een service voor preseen template worden gecombineerd, tatiebeheer en service level-rapportage wat het makkelijk maakt om met een voor applicaties die op vm’s draaien. eenvoudig chargeback-model te starten Het analyseert het dataverkeer tusop basis van bepaalde organisatorische sen eindgebruikers, webapplicaties en back-end-servers. AppSpeed kan worvereisten. Het overzicht en de controle behouden den gebruikt om de prestaties van een over een virtuele omgeving (en dus applicatie voor en na de migratie naar straks de cloud computing-omgeving) een virtuele omgeving te meten. Hiervormt één van de grootste uitdagingen mee kan worden aangetoond dat virvoor IT-beheer. De virtuele omgeving tualisatie geen negatieve invloed heeft
op de prestaties van de applicaties (een onderwerp dat al dan niet terecht nogal eens ter sprake komt bij de migratie naar een virtuele omgeving). AppSpeed onderzoekt de packets tussen de verschillende tiers van een multitierapplicatie die tussen virtual switches op de VMware ESX-hosts stromen. Dit gebeurt onopgemerkt zonder dat van agents, code-insertie of de creatie van synthetische transacties hoeft te worden gebruikgemaakt. AppSpeed verzamelt relevante gebruiksinformatie en laat deze aan de beheerder zien, waaronder transacties en hits. Dit verschaft de beheerder het nodige inzicht waarmee hij beter kan inspelen op veranderingen in het gebruik en de toename van prestaties van de applicatie. AppSpeed ontdekt applicaties en elementen automatisch en brengt ze in beeld op basis van de volgende protocollen: webapplicaties (.Net, J2EE, php enzovoort), http, https; Microsoft Exchange (rpc); databases (MySQL, SQL Server en Oracle).
vCloud API VMware werkt samen met talrijke hosting- en serviceproviders om de vCloud compatibel te maken met bestaande externe cloud-infrastructuren. Het ultieme doel is om een gecombineerde infrastructuur te creëren waarbij het niet langer nodig is om de bestaande applicaties te herschrijven en een infrastructuur te creëren die future-proofed is, zodat nieuw te ontwikkelen applicaties ook in de toekomst zonder problemen binnen de cloud kunnen worden geïntegreerd. VMware heeft daartoe de vCloud API ontwikkeld voor de ondersteuning van interoperabiliteit tussen clouds en onsite datacenters. Met de api kunnen nieuwe services worden ontwikkeld, al naar gelang de keuze van de gebruiker. De aantrekkelijkheid van vCloud is dat applicaties op basis van verschillende programmeertalen (Java, C, C++) en op verschillende besturingssystemen (Windows, Solaris en Unix) binnen een vm kunnen draaien. Dit is mogelijk in een datacenter, corporate cloud of een
cloud op basis van een serviceprovider en wel op een drietal manieren: een applicatie die draait binnen een vm, als virtuele appliance en als vApp. Met AppSpeed zijn SLA’s te monitoren op basis van applicatieprestaties en -transacties. Het bewaakt latency en foutdrempels bij transacties. Bij overschrijding daarvan wordt een event gegenereerd. Onder meer de volgende prestatie-indicatoren worden bewaakt: gemiddelde latency, gemiddelde doorvoer, foutpercentage, uitvoeringstijd, totaal aantal fouten, hits en doorvoer. Tot slot kent AppSpeed een voorziening voor root cause-analyse waarmee een component die verantwoordelijk is voor een prestatieprobleem, snel tot op transactieniveau kan worden geïdentificeerd. Tevens laat AppSpeed een verband zien tussen de verschillende elementen van de IT-omgeving (infrastructuur, netwerk en applicatie) die een vertraging opleveren.
vCloud de oplossing? De dagen van de toenemende gelaagdheid, complexe, hard-coded en verspreide traditionele IT-infrastructuur lijken geteld. De huidige infrastructuur kost een doorsneeonderneming meer dan veertig procent van het IT-budget, alleen al aan onderhoud van de infrastructuur, en dertig procent voor applicaties. Aan de andere kant wordt de complexiteit vaak als een groot nadeel gezien van de huidige IT-infrastructuur. De vraag is echter of virtualisatie en cloud computing de complexiteit van de IT-infrastructuur zullen terugdringen. Want de praktijk laat inmiddels al zien dat dit absoluut niet het geval zal zijn met de brede invoering van virtualisatie, en die complexiteit zal met de invoering van cloud computing alleen nog maar toenemen! In ieder geval wordt het steeds aannemelijker dat de traditionele ITinfrastructuur de komende jaren geleidelijk gaat veranderen naar een cloud computing-architectuur. Afhankelijk van de toepassing zullen er verschillende typen cloud computing-omgevingen
Afbeelding 4. vCenter Capacity IQ (bron: VMware)
ontstaan. Onafhankelijk van het type cloud computing zal virtualisatie van alle computerbronnen aan de basis staan voor alle implementaties van een cloud computing-infrastructuur. Niet alleen is VMware de grootste speler op de virtualisatiemarkt, ook heeft het bedrijf met zijn virtualisatietechnologie een grote voorsprong op de concurrentie. Dat blijkt ook weer uit het in het voorjaar uitgebrachte vCenter. Door in te spelen op de wens van gebruikers van een ‘open omgeving’ is VMware de samenwerking
aangegaan met honderden serviceproviders, hosted IT-services en softwareontwikkelaars. In tegenstelling tot andere virtualisatie-oplossingen biedt vCloud namelijk de mogelijkheid om de bestaande infrastructuur te implementeren in de nieuwe cloud computingomgeving en deze te combineren met andere virtuele omgevingen. Maar goed, de ontwikkeling van vCloud is nog volop gaande en de komende jaren zal blijken in hoeverre alle beloften van VMware worden waargemaakt. «
