Podívejme se tedy blíže na tyto specifické nároky spojené s budováním datových sítí, a to jak u řešení pro více zákazníků, která používají typicky poskytovatelé služeb, tak zejména u privátního cloudu, tedy řešení, které si pro sebe staví nebo nechá stavět jeden zákazník.

Nejprve si musíme uvědomit, jak se obecně liší cloudové prostředí od prostředí normálního datového centra. Pokud se podíváme pod pokličku cloudu, vždy najdeme několik stejných stavebních kamenů, ze kterých se řešení skládá. Ve zkratce se dá říci, že cloud rovná se virtulizace plus automatizace procesů a obchodní prezentace služeb.

Specifika virtuální infrastruktury

Virtualizace se prolíná celým infrastrukturním prostředím a její vliv na síťovou část infrastruktury je značný. Serverová virtualizační infrastruktura zpravidla nabízí vlastní integrované softwarové řešení přepínačů, které nemá shodné vlastnosti s fyzickými prvky. Ve virtuálních serverech můžeme provozovat formou virtuálních zařízení síťové prvky, které byly tradičně k dispozici jako fyzická zařízení (firewally, akcelerátory, sondy). Jsou zde však topologicky v jiné pozici, než na kterou jsme byli zvyklí v tradičním modelu, kdy síťová inteligence byla součástí agregační vrstvy datového centra. Nemají stejný výkon, zato jich můžeme provozovat více. To vše činí celkovou síťovou architekturu spíše složitější, i když by virtualizace měla teoreticky přinést zjednodušení.

Důvody složitosti jsou v podstatě dva. Kromě fyzických zařízení máme i softwarové prvky, o které se musíme starat, spravujeme tedy větší počet zařízení. Zařízení jsou navíc často od různých výrobců – například fyzický switch od tradičního výrobce hardwaru a softwarový switch od producenta hypervisoru – spravují se tedy jinými prostředky a mají různé vlastnosti.

Změny s přidanou hodnotou

Fyzický port už nestačí pro identifikaci a klasifikaci provozu. Bezpečnost nebo kvality služby na síti musíme zajistit jinými prostředky. Buď přistoupíme na změnu síťové architektury, snížíme granularitu identifikace virtuálních serverů na identifikaci podle příslušnosti k zóně (většinou VLAN nebo privátní VLAN), nebo můžeme použít i ve virtualizační vrstvě síťový prvek, byť softwarový, který emuluje vlastnosti hardwaru, na nějž jsme zvyklí, a který nám zajistí konzistentní prostředí. Další možností je použít standardu IEEE 802.1Qbh, který mimo jiné dovoluje připojit každý virtuální ethernetový port virtuálního serveru přímo k hardwarovému switchi, a chová se tak zcela jako v prostředí fyzickém. V každém případě je vhodné použít řešení, které spolupracuje se správou hypervisoru a je možné ho využít pro klasifikaci provozu i dalších metadat virtualizační platformy, jako je například příslušnost virtuálního serveru k aplikaci, typ a verze operačního systému, přímá identifikace virtuálního stroje a podobně. Virtualizace nám dává nové možnosti a je škoda jich nevyužít.

Další změnu můžeme pozorovat v nárocích na škálovatelnost. Za jedním síťovým portem fyzického serveru, kde nám bohatě stačila gigabitová kapacita, se najednou skrývají desítky virtuálních strojů. Desetigigabitový ethernet se stává normou. Na trhu jsou také servery s on-board síťovými rozhraními se čtyřicetigigabitovým ethernetem. Stejné technologie se musí uplatnit i v celé síti. Při těchto propustnostech, které reálně dokážeme využít a jejichž pořízení není levné, je důležité, abychom byli schopni využít veškerou dostupnou kapacitu sítě, kterou jsme si pořídili.

Proto dnešní sítě v datových centrech upouští od řízení L2 topologie pomocí tradičního protokolu Spanning Tree nebo některých z jeho novějších vylepšení, jako je například Rapid Spanning Tree, blokujících redundantní okruhy, které by způsobily v síti uzavřené smyčky. Nové sítě zpravidla využívají hvězdicové topologie s využitím tzv. multichassis etherchannel, kdy redundantní okruhy spojujeme do etherchannelu, který z logického hlediska vypadá jako jeden okruh a kdy fyzické okruhy končí ve více fyzických zařízeních. Nejnovější technologie je založená na standardu TRILL, kdy řízení L2 sítě obstarává místo Spanning Tree protokol ISIS známý jako směrovací protokol na L3 a kde nejsou prakticky žádná topologická omezení.

Virtualizace serverů umožňuje přesouvat virtuální stroje mezi fyzickými servery za provozu a optimalizovat tak běh aplikací na fyzické infrastruktuře. Bylo by dobré mít takovou možnost i mezi datovými centry – často pořizujeme duplicitní záložní systémy do jiné lokality, tak proč jich nevyužít aktivně? Stávajícím virtualizačním platformám však musíme ze síťové stránky věci předstírat, že se jedná o datové centrum jedno, což v praxi vede na propojení datových center na L2, čemuž se síťoví architekti snaží tradičně vyhnout již kvůli zmiňovanému protokolu Spanning Tree. Zde máme na výběr několik nových technologií – již zmiňovaný standard TRILL, speciálně pro tento účel navrhovaný standard OTV (Overlay Transport Virtualization, L2 transport nad L3 infrastrukturou) a například i novou technologii transportu L2 nad L3 sítí VXLAN, která navíc nabízí velký počet virtuálních sítí (přes šestnáct milionů), což ocení zejména poskytovatelé služeb. Pro optimální směrování provozu do správného datového centra pak můžeme použít další standard LISP (Location Identity Separation Protocol).

Virtualizace serverů tedy s sebou přinesla řadu nových přístupů ke stavbě sítí a nových technologií, které můžeme použít pro řešení příslušných problematik. Jak se ale na sítích projevily další požadavky při stavbě cloudových řešení? Největší změny probíhají a ještě budou probíhat nepochybně v oblasti správy sítí. Veškeré služby v cloudových řešeních putují k uživatelům prostřednictvím sítí. Můžeme virtualizovat aplikace, servery, desktopy, dokonce některá síťová zařízení, ale sítě v datovém centru a transportní sítě ve fyzické podobě se nezbavíme. Při zavedení nové služby nebo nového zákazníka musíme správně nastavit i jeho síťové prostředí – optimální začlenění do datového centra, přidělení virtuální sítě, zprovoznění VPN, mapování na zákazníkovu virtuální síť MPLS a další. 

Softwarově definované sítě

V oblasti správy dnes můžeme pozorovat několik trendů. Velkým tématem jsou takzvané softwarově definované sítě – SDN (software defined networks), které vyžadují možnost ovládání sítě do značné úrovně detailu pomocí definovaného API. Nejznámější realizací myšlenky SDN je standard OpenFlow, na kterém se podílejí snad všechny firmy, které v oblasti datových sítí něco znamenají, spolu s producenty hypervisorů a velkými poskytovateli služeb. Standard vyžaduje přístup k nízké úrovni hardwaru a definuje protokol, jak tento hardware programovat, nicméně cloudové řešení bude nejspíše z praktických důvodů využívat programování sítě prostřednictvím takzvaného řadiče, který pak prezentuje vyšší úroveň API správě cloudu. Jiným přístupem k SDN je nabídnout pro stávající zařízení otevřená API vyšší úrovně přímo a relativně jednoduchým způsobem tak s těmito zařízeními komunikovat. To je podle mého názoru praktičtější přístup, už proto, že staví na existujících a odladěných technologiích a umožňuje stejný princip správy nejen routerů a switchů, ale i firewallů, loadbalancerů a dalších.

Jak je vidět, cloud a jeho technologické základy a principy fungování vynucují značné inovace a jejich rychlé zavádění do praxe. Některé zmiňované technologie a standardy budou vhodné pro jednoho uživatele, jiné pro jiného, málokdo si je ale může dovolit ignorovat. Je dobré být na novinky připraven.

Martin Diviš
Autor působí jako systémový inženýr ve společnosti Cisco.