Co je to SDx a jak do tohoto konceptu zapadá SDDC

Podívejme se nejprve na princip SDx. Pokud je zapotřebí něco v tradičních datových centrech konfigurovat, je nutné každý komunikační prvek nastavovat samostatně, zařízení po zařízení tak aby bylo dosaženo požadované funkcionality celku. U SDx (softwarově definovaný přístup) se vše provádí z jednoho centrálního bodu - orchestrátoru. Do něj se zadají pravidla, která má daná síť splnit. A centrálně řízený orchestrátor jednotlivé prvky nakonfiguruje. Takto je možné přistupovat například k routingu a přes SD-WAN orchestrátor konfigurovat, spravovat a optimalizovat přenosové trasy i mezi kontinenty. Anebo je možné SDA orchestrátor využít k optimalizaci a nastavování uživatelských přístupů, v LAN sítích, klidně i ve více geografických lokalitách.

V případě datových center orchestrátor umožňuje automatizovat konfiguraci jednotlivých komunikačních prvků v prostředí, které obsahuje jednu, ale I více lokalit (distribuční DC). Případně část datového centra může být v cloud computingu různých poskytovatelů. U SDx je také podstatné, že v něm je oddělena trasa pro konfiguraci a pro data. Ve starším legacy světě toto neexistovalo. Jednoduše řečeno, v SDx světě jsou poprvé konfigurační vrstvy oddělené od přenosných vrstev. Toto vše se děje z jednoho místa. Tím pádem je jedno, kolik zařízení se v dané síti nachází.

Úvod do legacy DC světa

Pokud se buduje datové centrum a má být k němu postavena jednoduchá webová aplikace s nějakými logickými prvky, bude první vrstva aplikace frontendová, ke které se připojují uživatelé z internetu. Samotné zpracovávání zařizuje ve většině případů druhá vrstva, tedy backend. Ta zpracovává požadavky z frontendu a využívá vstupy z databázové vrstvy. Na každou z těchto vrstev jsou kladeny trochu jiné požadavky. U databáze jsou vyžadovány jiné nároky z oblasti zabezpečení, protože do ní mají přístup jen důvěryhodné systémy. Naopak frontend je otevřený do internetu. Zde je nutné bezpečnostní přístup řešit úplně jinak.

Aby byl v tradičním datacentru obsah ochráněn, je nutné data zabezpečit, aby komunikace, která na frontend přichází, byla za síťovým firewallem, za aplikačním firewallem a za nějakým balancerem. Do cesty je tak nutné postavit tři hardwarové síťové prvky. Ve standardním světě se nastavují příslušné síťové prvky, a IP adresy tak, aby pakety mohly přes tyto tři prvky procházet. Tím lze zakázat, aby uživatel přes internet tyto tři prvky obešel a rovnou se dostal na frontendový server.

Rozdíl mezi legacy a SDx světem

V SDx světě jednoduše řečeno není zapotřebí konfigurovat jednotlivé prvky. Ukažme si to na příkladu ostrovů v oceánu. Každý ostrov je častí aplikace. Existuje ostrov frontend a ostrov databáze. Firma se nyní rozhodne aplikaci aktualizovat a přidat další ostrov - backend. I na něm je potřeba vše zabezpečit – firewall, loadbalancer atd. Nejprve se musí zrušit staré plavební trasy a vybudovat nové. Jak na to? Z jednoho místa z orchestrátoru je nutné zařídit, aby lodička neplula cestou internet-frontend a následně frontend-databáze. Toho se docílí tak, že trasa frontend-databáze se zruší a přes orchestrátor lodičce sdělí, že do databáze nebude plout přímo, ale nejprve zamíří na ostrov backend. A z něj se vybuduje další trasa do databáze. V případě velkého množství uživatelů orchestrátor dokáže měnit velikost lodičky, aby dokázala přivést všechny (dynamické přidávání zdrojů, serverů a kontejnerů). Možná se zdá, že je to jednoduchý proces, ale pokud se dostaneme na úroveň reálné konfigurace síťových prvků tak je to velký zásah do života daného datacentra.

Ve světě SDx se daná cesta buduje softwarově. Orchestrátoru se zdají příkazy, že mají být cesty takto pozměněny a orchestrátor plošně provede rekonfiguraci po jednotlivých prvcích. Administrátor přitom vůbec nemusí fyzicky do datacentra chodit, nic ručně konfigurovat, provádět změny v kabeláži, či měnit síťové vrstvy nebo IP adresaci, směrování v síti atd. V SDx se i na komunikační trasy přistupuje z pohledu aplikace. S tím souvisí otázka geografického umístění datových center.

Vzdálená datová centra spolu komunikují efektivněji

Uveďme si další příklad - zákazník si vybuduje datové centrum a má ho na jednom místě. Pokud v něm má kritické informace, může přijít povodeň či jiná živelná pohroma a nastane problém - přijde o své jediné datacentrum a o všechny informace v něm. V takovém případě zákazník pro jistotu většinou buduje dvě či více datacenter, která jsou geograficky oddělená. Vzdálenost zde nehraje roli. Je jedno, zda jsou od sebe 10 či 50 kilometrů. Pokud tak dojde například k živelné pohromě a datacentrum „zhasne“, potom je zapotřebí v reálném čase přepnout na službu v druhém datacentru. Toto není problém, ale otázkou je, co bude s daty?

U klasických datových center se mezi databázemi budují samostatné datové trasy. Databáze fungují obrazně v jedné síti a mohou se synchronně replikovat. V SDx světě není vyžadováno přímé propojení mezi dvojicí datových center, využít lze jakýkoliv transport, který je k dispozici. Může to být internet, MPLS atd., takže datová centra lze propojit takovým způsobem, jako by byla umístěná v jedné síti. Druhé datové centrum přitom může být cloudové, takže softwarově definované datové centrum a způsob, jakým se konfiguruje prostřednictvím orchestrátoru, dokáže zabezpečit i propojení geograficky vzdálených datových center. A to vše jednoduše přes běžnou IP síť.

Jaká je budoucnost?

Vlastní datová centra byla dříve neefektivními monstry, která vyžadovala práci řady odborníků. Byla navíc velmi nákladná, takže si je mohli dovolit jen korporace, státní instituce či armáda. To se postupem let měnilo. Nástup virtualizace serverů někdy na přelomu tisíciletí byl přelomový a datová centra si mohly dovolit i menší subjekty. V následujících desítkách let nebude výjimkou, aby jeden IT specialista obstarával klidně tisíce serverů najednou. Na to si ale budeme muset ještě chvíli počkat.

Martin Kyrc Autor je systémový inženýr pro síťová řešení a bezpečnost společnosti SOITRON.

Roman Panenka Autor je systémový inženýr pro síťová řešení a bezpečnost společnosti SOITRON.