SDN-опыт

19 июня 2015
3

Недавно мы провели пилотное тестирование технологии SDN (Software Defined Networking) в выделенном сегменте сети.

Прежде всего – причины, по которым мы этим занялись. В большой организации ЛВС - это то, что всегда «жмет»: сегмент не тот, портов не хватает, нужный протокол данное устройство не поддерживает и так далее. Эта не проходящая зависимость от ЛВС не приятна. А ЛВС так просто, как сервер, не поменяешь – это всегда достаточно масштабная и дорогая работа.

В существующих локальных вычислительных сетях управление сетью, т.е. маршрутизация и передача данных от порта на порт, т.е. коммутация, осуществляется одним сетевым устройством. Это специализированные быстрые и, практически, «искусственно-интеллектуальные» вычислители. Умные сетевые устройства в вашей сети содержат уникальное know-how производителя – программно-аппаратный симбиоз, позволяющий строить и перестраивать маршруты, выявлять петли, организовывать сегменты и т.д. и т.п. И это все за миллисекунды, передавая при этом гигабайты!

Рост производительности серверов стандартной архитектуры и усилия программистского сообщества позволил отделить «программную сетевую часть» от «аппаратной». Так родилась концепция SDN. SDN предусматривает передачу управляющих функций маршрутизации, центральному серверу - т.н. контроллеру (control plane). Коммутаторы (уровень передачи данных data plane) связаны с контроллером по протоколу Open Flow, получают от контроллера таблицы коммутации и коммутируют трафик с порта на порт.

Таким образом, мы берем коммутатор и сервер стандартной архитектуры, на сервере устанавливаем «мозги» - разработанное в нашей стране ПО, и получаем собственную локальную сеть. Оказывается, что кажущаяся абсолютно нерешаемой задача создания ЛВС на отечественных разработках, решается!

В рамках концепции SDN строительство сети можно рассматривать как задачу программистскую. Мы можем выбрать по нашему усмотрению ПО для управления коммутаторами, поддерживающее открытые протоколы и предоставляющее только те сетевые функции, интерфейсы и протоколы, которые нам нужны. Очевидно, что для файрвола, запрещающего ненужные функции, просто нет места!

Есть и более глобальная причина: задача импортозамещения.

Программу управления сетью может написать российская фирма или мы сами на основе открытых кодов. Основа SDN – программный коммутатор, который пересылает между портами некие данные, пользуясь таблицей, в которой определен порядок этих взаимодействий, таким образом заменяя традиционную распределенную модель маршрутизации на централизованную. Соответственно и процесс управления сетью, включающий создание маршрутов, является ни чем иным как программированием сети в целом.

Что мы выяснили, поэксперементировав с SDN? От простого к сложному.

Масштаб: стало понятно, что при желании всю нашу сеть во всей ее сложности можно перевести на эту технологию. Быстродействие и управляемость: достаточно высокие. При достаточно простых условиях тестирования и учитывая отсутствие в технологии SDN необходимости пересчета маршрутов, т.к. все определяется заранее и централизовано, задержек не выявлено. Но в целом пока нельзя сказать, что SDN точно лучше, чем стандартный маршрутизатор со множеством функций.

Безопасность – явный плюс. Сейчас мы всячески боремся с возможностями компьютера и возможностями сети. Закрываем порты, закрываем что-то в bios, запрещаем лишние протоколы и т.п. Если у нас применяется SDN, то у нас разрешены и могут существовать в сети только заданные нами протоколы.

Уже есть российские продукты для программно-определяемых сетей, но степень их готовности еще недостаточна для корпоративного клиента, не так вышколено и эргономично выглядит, как у привычных нам продуктов западных вендоров. В целом построение SDN сильно напоминает покупку квартиры в полуготовом состоянии.

Все, что мы делаем последние 10 лет в области сетевой инфраструктуры, утверждено вендорами. За нас кто-то уже все продумал, от закупки до обучения и эксплуатации. Администратор превращен в оператора, и это удобно – зона контролируемых действий четко определена.

Сейчас заместить всю технологию производства и предоставления услуг по созданию сетей, предлагаемую мировыми вендорами, разработчики SDN пока не могут, но наработки уже есть.

В качестве перспективной архитектуры была рассмотрена модель Clos-fat-tree. Современные ЛВС на физическом уровне основываются, в основном, на этой архитектуре. Для отказоустойчивости и повышения производительности используется L2 ECMP – передача трафика одновременно по нескольким путям на канальном (Ethernet) уровне.

Эта архитектура в эталонном варианте является трехуровневой и состоит из ядра, агрегации и доступа. В отличие от традиционной трёхуровневой иерархической архитектуры c агрегированием трафика на каждом уровне, здесь агрегирования трафика не происходит и обмен трафиком между любыми конечными элементами происходит без сужения полосы в сети. Второе существенное отличие clos-fat-tree архитектуры — это распределённое ядро (spine & leaf), состоящее из множества однотипных коммутаторов. Использование такого ядра позволяет, существенно удешевить развёртывание и эксплуатацию ЛВС, т.к. коммутаторы достаточно простые, недорогие и унифицированные.

Реализация архитектуры Clos-fat-tree с использованием технологии SDN инвариантна к применяемой сетевой архитектуре и используемому АСО, единственным требованием к АСО является поддержка протокола взаимодействия с ПО управления сетью. Отраслевым стандартом этого протокола на данный момент является протокол OpenFlow.

Преимущества технологии SDN, которые могут быть использованы в сети нашей организации:

1) все сетевые сервисы реализуются централизованным ПО, выполняющемся на компьютерах архитектуры x86. Развитие и обновление такого ПО осуществляется намного быстрее и дешевле, чем характерное для классических сетевых технологий обновление ПО множества различных сетевых устройств;

2) быстрая реализация и внедрение новых сетевых сервисов, исходя из предъявляемых требований со стороны функциональных заказчиков;

3) высокая степень масштабируемости сетевых сервисов в точном соответствии изменяющимся потребностям бизнеса;

4) возможность настройки потоков данных в соответствии с корпоративными политиками, при этом любое сетевое взаимодействие между конечными устройствами, не разрешённое явным образом, неосуществимо;

5) возможность создания виртуальной сети для каждой прикладной системы;

6) более простое и дешёвое оборудование по сравнению с типичным оборудованием вендоров;

7) для создания ЛВС любого размера достаточно не более четырёх моделей коммутаторов. Каждая единица оборудования для включения в сеть настраивается идентично: одинаковая конфигурация, одинаковые настройки интерфейсов управления и ИБ

8) один элемент, влияющий на сетевую топологию – это отказоустойчивый кластер «контроллеров программно-конфигурируемых сетей».

Важное человеческое изменение: надо доверить администратору то, что у него отняли и уже давно с него спрашиваем в рамках жестко заданных процедур. Надо доверить принятие решений, передать принятие решения от вендора собственному администратору.

Мы можем выбрать быстрый коммутатор и самую лучшую программу управления, но что это означает для вашей организации, надо подумать. Кто-то внутри вашей организации должен этим озадачиться и выбрать точно «ваш размер»: выше или ниже быстродействие, меньше или больше управляемость. Вы выбираете свой собственный уровень организации работы – от опоры на вендора к опоре, в основном, на собственные силы. Одновременно вы можете попасть в зависимость от администратора так же, как на заре компьютеризации, в девяностые годы. С другой стороны, как говорил Стив Джобс «мы берем толковых людей на работу не для того, чтобы говорить им, что делать, а что бы они сказали, что делать нам».

При этом надо понимать, что, как и с приходом облаков, устоявшийся порядок неминуемо изменится. Те сотрудники, которые отлично знают действующие сети, не совсем применимы в новой идеологии. По большому счету, им придется искать новые применения.

Наиболее общее соображение: разбираться с SDN точно уже нужно. Все российские операторы уже заняты испытаниями этих сетей. Каждому хочется иметь кусочек независимости.

3219
Поделиться
Коментарии: 3
  • Илья Козлов
    Рейтинг: 60
    ООО «Агрохолдинг «Энергомера»
    Исполнительный директор
    06.07.2015 15:34

    Лично у меня возникают серьезные сомнения в надежности и стабильности работы SDN сети в достаточно крупной организации имеющей филиалы и соответственно достаточно сложную архитектуру сети.
    Ведь кроме "отказоустойчивого кластера «контроллеров программно-конфигурируемых сетей»" необходим будет такой же "отказоустойчивый" сотрудник, который будет "програмировать" сеть.

  • Евгений Панин
    Рейтинг: 10
    Нанософт
    Директор по ИТ
    09.07.2015 14:00

    да, преимущества не очевидны.
    централизация чревата, кстати, катастрофическим нарастанием трафика. умные коммутаторы не пропускают пакеты за пределы своего сегмента и не "мусорят" по другим подсетям, а в случае SDN им, видимо, придётся мусорить

  • Сергей Аблаев
    Рейтинг: 10
    Ф-л "МЕГАМАРТ" АО "Дикси ЮГ"
    Руководитель отдела развития ИТ
    12.07.2015 13:07

    Соглашусь с уже приведенными "минусами" в комментариях.
    Плюс от себя - что касается:
    >>"Важное человеческое изменение: надо доверить администратору то, что у него отняли и уже давно с него спрашиваем в рамках жестко заданных процедур. Надо доверить принятие решений, передать принятие решения от вендора собственному администратору."

    Администратор - не сможет принять обоснованное с точки зрения бизнеса решение, в силу недостаточности его понимания бизнеса. В итоге компания может сделаться еще менее конкурентоспособной по сравнению с мировым уровнем

Предметная область
Отрасль
Управление