Whitepaper
Virtuální datové centrum a jeho dopad na infrastrukturu sítě Náročnější požadavky – nižší rozpočet: toto dilema v současné době řeší stále více podnikových úseků IT, jež na druhé straně musí navíc zvýšit pružnost a spolehlivost služeb, které ve svých datových centrech nabízejí. Zároveň musí udržet nebo dokonce zvýšit současnou úroveň zabezpečení. Podle odborných odhadů se více než 80% rozpočtu IT organizací vynakládá na údržbu stávajících prostředí aplikací v datovém centru. Tato skutečnost vede k intenzivní snaze o snížení celkových nákladů na vlastnictví (TCO) v této oblasti – například optimalizací hostingu datových center s pomocí serverů a konsolidace úložné kapacity a snížením nákladů na investice inteligentním návrhem a lepším využitím prostředků. Náklady datových center na elektrickou energii a chlazení také exponenciálně stoupají, a v mnoha prostředích dokonce převyšují náklady na hardware. Kromě toho stoupající náklady na energie obracejí větší pozornost k „zeleným“ aktivitám datových center. A právě z tohoto důvodu, a také kvůli vyšší flexibilitě a možnosti zjednodušené administrativy apod., jsou nasazovány virtualizační technologie. Souhrnně lze říci, že cílem je zvýšit výkonnost a efektivnost serverů a úložné kapacity. Bohužel debata o virtualizaci serverových systémů často ignoruje potenciální problémy, jako je bezpečnost a dopad na infrastrukturu sítě (vždyť je přece možné všechno řídit „virtuálně“). Nakonec jsou to však právě tyto problémy, na kterých se světy, které musí koordinovaně spolupracovat, setkají. Samotná otázka, kdo provádí konfiguraci (virtuálních) přepínačů, v sobě skrývá stejně výbušný potenciál jako otázka kladená v minulosti – zda „vyhraje“ hlas nebo data. Technologie hypervizorů a integrované funkce virtuálního přepínače kladou správcům tradičních sítí a bezpečnosti následující otázky: - Kdo je odpovědný za dohled nad bezpečností hypervizoru nových softwarových aplikací, patch managementu nebo jiných aplikací? - Kdo je odpovědný za konfiguraci virtuálních přepínačů na hostitelích koordinovaných s fyzickou infrastrukturou sítě a jejími zabezpečovacími mechanismy (firewall, VLAN, seznamy přístupů, VRF atd.), aby nevznikaly mezery v zabezpečení? - Kdo je odpovědný za správu změn na serveru a na straně sítě? Jak je vůbec možné rozpoznat a sledovat virtuální stroje (VM) v rámci infrastruktury (v důsledku požadavků na dodržování předpisů a za účelem odstraňování závad)? - Kdo je odpovědný za plánování kapacity fyzické infrastruktury, aby zajistila dostatečnou šířku pásma ve všech kombinacích virtuálního stroje/hostitele? Vždyť z počátku není komunikace mezi virtuálními stroji na stejném hostiteli viditelná. Dále stojí za zmínku, že integrované přepínače virtualizačních řešení, které jsou na trhu k dostání, nelze považovat za „vyspělé“ – a to jak z hlediska funkcí, tak z hlediska stability. Kromě toho zkušení síťoví
technici stojí před otázkou, jaký vliv mají tyto softwarové komponenty na výkon a monitoring. A jak se má kvantifikovat odpovídající vliv na hostitele při aktivaci dalších funkcí (pokud vůbec existují).
Není možné, aby administrátor sítě virtuální přepínače skrýval, ale měl by v návaznosti na ně nakonfigurovat svoji provozní koncepci a integrovat je, aniž by na ně přenášel příliš mnoho funkcí. Tím došlo ke zvýšení provozních nákladů i zbytečné složitosti, což by mohlo vést k nežádoucím důsledkům. Jeden přístup, praktikovaný významným výrobcem sítí, spočívá v náhradě virtuálního přepínače svým vlastním, aby byl stejný vzhled „příkazové řádky (CLI)“ a současně se „zjednodušila“ konfigurace. Tento přístup však vede k tomu, že je zákazník naprosto závislý na kombinaci síťové a virtualizační technologie dodavatele. A ze zkušenosti víme, že to není žádoucí. Problém, který se v této souvislosti stále a stále vyskytuje, jsou například tzv. „zámky verzí“. V případě, že partner nestačí včas upgradovat, může pak zjistit, že z důvodů kompatibility nemůže novou verzi nainstalovat ani používat. Naprosto jiný přístup má například společnost Enterasys, divize síťových a bezpečnostních produktů společnosti Siemens Enterprise Communications. U tohoto přístupu tvoří integrace prostřednictvím systémů správy jednu variantu. Podle další varianty je primárním cílem nezávislost na virtualizační technologii. Můžeme si to ilustrovat na následujících příkladech. První varianta doporučuje minimalizovat úroveň integrace: každý nový virtuální stroj je oddělen zabezpečovacími mechanismy na úrovni virtuálního přepínače, jako jsou odděleny chráněné porty nebo soukromé sítě VLAN (dostupné v produktu vSphere 4.0) administrátorem serveru, a veškerou specifikací sítě VLAN, seznamů přístupů, kvality služby, atd. Takzvané zásady (policy) se realizují síťovou infrastrukturou. Výhodou této varianty je, že „složitější“ konfiguraci je třeba ve skutečnosti použít pouze v jednom místě.
Enterasys Whitepaper
Stránka 2
Infrastruktura sítě a její správa by měly tuto konfiguraci dynamicky svázat s identitou virtuálního stroje (MAC adresou, IP, jménem hostitele nebo digitálním certifikátem na virtuálním stroji), aby při „přemístění“ virtuálního stroje z důvodů redundance nebo sdílení pracovní zátěže nebyl ze strany administrátora sítě nutný vůbec žádný zásah. K tomu musí být komponenty síťové infrastruktury speciálně navrženy. Uveďme si příklad. Řada přepínačů S od společnosti Enterasys podporuje různé profily u jednoho virtuálního stroje a rovněž tak na port v odpovídajících proporcích. Profily jsou dynamicky přiřazeny příslušnému virtuálnímu stroji poté, co byl na tomto portu virtuální stroj identifikován a/nebo autentizován. To pak umožňuje sledování virtuálního stroje. Za tímto účelem se používají základní technologie řízení přístupu do sítě (NAC - Network Access Control), například detekce nových koncových bodů, jejich identifikace a autentizace, a posléze i autorizace.
Enterasys Whitepaper
Stránka 3
Další varianta spočívá v integraci poskytovatelů virtualizace a jejich správy, např. XENCenter a vCenter, prostřednictvím stávajících rozhraní API. V tomto případě se pro výměnu a synchronizaci dat mezi virtuálním strojem a systémy pro správu sítě používají webové služby prostřednictvím XML. Systém pro správu virtuálních strojů obdrží v reálném čase od systému pro správu sítě stav, přidělený profil a umístění (na kterém fyzickém portu přepínače je virtuální stroj umístěn) virtuálního stroje. Díky tomu má administrátor serveru kompletní přehled o všech významných parametrech. Kromě toho, při generování nových virtuálních strojů a při jejich přidělování do sítě VLAN na úrovni VM/virtuálních přepínačů, jsou tyto informace automaticky synchronizovány do systému pro správu sítě, kde jsou svázány s profily konkrétní sítě. To znamená, že síťový administrátor nepotřebuje zasahovat, přestože má přímý přístup ke všem datům virtuálního stroje. To je nesmírně důležité například při odstraňování závad, plánování kapacity a při jakémkoli reportování (o dodržování předpisů), které bude potřeba provádět.
V návaznosti na funkce rozhraní API je možné tuto koncepci rozšířit a přepsat konfiguraci virtuálního přepínače znovu ze systému pro správu sítě – podle toho, kdo má mít celkovou konfiguraci pod kontrolou. V prostředí virtualizovaného serveru je třeba věnovat zvláštní pozornost plánování kapacit a/nebo monitorování šířky pásma, které se používá v aktuálním i historickém hledisku. V důsledku potenciálního přesunu serverových prostředků na nové nebo málo používané hostitele se může celý profil provozu v datovém centru náhle změnit. Síťový administrátor si toho musí být vědom a měl by se na to náležitě
Enterasys Whitepaper
Stránka 4
vybavit. Z tohoto hlediska má nejvyšší prioritu transparentnost. To znamená, že statistické údaje o provozu na jednotlivých virtuálních strojích by se měly shromažďovat s použitím přesných technologií, jako je např. Netflow, a měly by být na požádání k dispozici. Díky tomu je možné zjišťovat trendy a předpovídat modely chování. Údaje o síťovém provozu jsou především užitečné pro detekci útoků na infrastrukturu virtuálních strojů. Zde je klíčovým slovem analýza chování sítě (NBA - Network Behaviour Analysis). Ve spojení se systémem pro monitorování bezpečnosti (nejnovější generace) má tedy z hlediska bezpečnosti administrátor sítě pod kontrolou celé datové centrum i aplikace, které jsou v něm k dispozici. Z toho vyplývá, že použitím webových služeb a koncepcí správy na architektuře SOA lze značně zjednodušit hosting virtuálního prostředí datového centra a dosáhnout vysokého stupně automatizace. A to zase umožňuje potenciální snížení provozních nákladů a v souvislosti s hostingem zaručuje bezpečnost a transparentnost.
Autor: Markus Nispel, viceprezident architektury řešení u společnosti Enterasys, divize pro sítě a zabezpečení společnosti Siemens Enterprise Communications GmbH & Co KG
Kontaktujte nás Pro více informací nás navštivte na webových stránkách www.enterasys.com
© 2007 Enterasys Networks, Inc. Všechna práva rezervována. Enterasys je registrovanou obchodní značkou. Secure Networks je obchodní značka Enterasys Networks. Všechny ostatní produkty nebo služby zde odkazované jsou identifikovatelné obchodními značkami či servisními značkami příslušných společností či organizací. Upozornění: Enterasys Networks si vyhrazuje právo měnit specifikace bez předchozího upozornění. Prosím kontaktujte obchodního zástupce či partnera pro potvrzení aktuálního stavu. 08/10
Enterasys Whitepaper
Stránka 5
