Идея облаков известна уже давно, однако потребовалось время, чтобы технологии доросли до уровня, позволяющего реализовать ее в полной мере. Но главное даже не технологии — пользователи лишь сейчас ментально доросли до того, чтобы использовать ИТ в виде сервисов. В качестве пользователей здесь понимаются не конечные потребители (бухгалтеры, инженеры, врачи и т. п.), которым неважно, как организована ИТ-инфраструктура предприятия, — речь идет о системных администраторах, начальниках ИТ-отделов, директорах по ИТ, руководителях предприятий и собственниках бизнеса. В их задачи входит обеспечение выполнения необходимого для бизнеса комплекса прикладных программ, а именно: предоставление гарантий должного уровня производительности, доступности и безопасности. Кроме этого важны и организационные вопросы — ресурсы ИТ являются дорогостоящим активом, для создания и поддержания которого требуются значительные капиталовложения и немалые операционные затраты. Облака позволяют по-новому подойти к ИТ-инфраструктуре с организационной точки зрения.

Частное облако подразумевает увеличение первоначальных капиталовложений с последующей экономией текущих затрат, публичное облако подразумевает снижение первоначальных капиталовложений за счет аутсорсинга ИТ-инфраструктуры, а гибридное предусматривает одновременное снижение как капиталовложений, так и текущих расходов. ИТ-инфраструктура предприятия, организованная по облачному принципу, может быть сведена к необходимому минимуму для обеспечения требующейся вычислительной мощности, а программные коннекторы позволяют связать частное облако с ресурсами облачного провайдера, которые будут задействоваться только по мере необходимости, например в периоды пиковых нагрузок.

Обязательными характеристиками облаков являются: самообслуживание по требованию, универсальный доступ по сети, пулы ресурсов, эластичность и учет потребления. Пулы ресурсов и эластичность обеспечиваются за счет виртуализации — серверы, хранилища, сети представляют собой абстрактные виртуальные объекты, передаваемые потребителям по запросу, причем их количество, типы, характеристики могут быть далеки от параметров физических объектов, на которых данные виртуальные объекты моделируются. Для самообслуживания по требованию необходимо программное определение виртуальных объектов, а это означает, что их характеристики могут быть в заданных пределах сконфигурированы самим потребителем через предоставленные ему интерфейсы (GUI, Web, CLI и т. п.) или управляющими программами через соответствующие вызовы API. Также через соответствующие интерфейсы выполняются базовые операции создания, удаления объекта, его старта или остановки. Для защиты вычислительных ресурсов от непомерного захвата служат учет потребления и задаваемые администратором облака ограничения либо ценовая стратегия.

 

Рис. 1. Структура программно-определяемого ЦОД
Рис. 1. Структура программно-определяемого ЦОД

 

В общем случае для выполнения всех этих требований недостаточно возможностей традиционных статических ЦОД — процесс предоставления облачных услуг требует введения нового уровня абстракции виртуальных объектов. Группа совокупно создаваемых, эксплуатируемых и администрируемых виртуальных машин представляет собой виртуальный ЦОД, все компоненты которого задаются программно, динамически в процессе работы. Таким образом, реальная облачная инфраструктура может быть построена только на базе программно-определяемого ЦОД (Software Defined Datacenter, SDDC), обладающего следующими характеристиками: вся инфраструктура ЦОД полностью виртуальна; компоненты инфраструктуры предоставляются потребителю в виде сервисов, а процесс их доставки абстрагирован от их физического воплощения; управление ЦОД полностью автоматизировано. Иначе говоря, SDDC — это больше автоматизации и меньше управления (рис. 1), а полностью сконфигурированный и готовый к эксплуатации SDDC, необходимый для решения возникшей бизнес-задачи, может быть развернут за минуты из готового шаблона, тогда как на развертывание традиционного виртуализированного ЦОД может потребоваться несколько дней, а физического ЦОД — несколько недель или даже месяцев. Так же быстро, ставший ненужным, SDDC может быть ликвидирован.

До недавнего времени решения по виртуализации сетевых компонентов, таких как коммутаторы, маршрутизаторы, шлюзы VPN, межсетевые экраны, системы обнаружения или предотвращения вторжений, балансировщики нагрузки, явно не дотягивали по уровню автоматизации и гибкости конфигурации до виртуализированных вычислений и хранилищ.

 

Рис. 2. Стек решений для SDDC
Рис. 2. Стек решений для SDDC

 

Компания VMware представила полный стек решений для построения SDDC (рис. 2) при соблюдении необходимых требований к эффективности, адаптивности и надежности. VMware vCloud Suite — интегрированный пакет, объединяющий элементы управления облачной инфраструктурой и платформу для поддержки программных центров обработки данных. В состав vCloud Suite входят: решение по виртуализации, службы программно-определяемого ЦОД, инициализации на основе политик, средства аварийного восстановления, управления приложениями и процессами. Программные продукты, входящие в vCloud Suite, могут быть приобретены по отдельности и скомбинированы потребителем в желательную конфигурацию.

Центральный компонент vCloud Suite — обновленная версия платформы виртуализации vSphere 5.1 Enterprise Plus, облегчающая перенос в облака уже существующих ЦОД и создающая основу для совместимых публичных облаков. Один из ключевых компонентов vCloud Suite — новый продукт vCloud Networking and Security (vCNS), который продолжает линейку продуктов vShield, объединяя в  себе  функции создания программно-конфигурируемых сетей (Software Defined Network, SDN) и программно-конфигурируемой сетевой безопасности (Software Defined Security, SDSec). Целью разработки vCNS было улучшение эффективности программного управления сетевыми функциями, увеличение гибкости и расширяемости для быстрого реагирования на изменяющиеся потребности бизнеса. Основные компоненты и функции vCNS:

  • Edge — шлюз, предоставляющий эффективные сервисы безопасности для периметра виртуального ЦОД и выполняющий функции маршрутизатора, межсетевого экрана, NAT, DHCP, VPN и балансировщика нагрузки.
  • App — компонент логической сегментации, предназначенный для изоляции критических приложений внутри виртуального ЦОД. App позволяет создавать эластичные логические зоны доверия, защищенные от сетевых угроз.
  • VXLAN — технология и одноименный протокол, лежащие в основе эластичных расширяемых виртуальных ЦОД. Технология позволяет работать с пулами вычислительных ресурсов из несмежных кластеров или физических ЦОД. В отличие от VLAN, в VXLAN могут объединяться ресурсы, разделенные сетью 3-го уровня. При этом виртуальные машины будут сохранять связность 2-го уровня. Это обеспечивается созданием туннеля 2-го уровня поверх сети 3-го уровня. Также VXLAN снимает ограничение на максимально возможное число виртуальных сетей (4096), что обеспечивает для SDDC практически неограниченные возможности масштабирования.
  • Data Security — компонент для определения утечки конфиденциальных или чувствительных данных в виртуальной среде.
  • vCloud Ecosystem Framework — набор API, предназначенный для интеграции сетевых продуктов и продуктов безопасности в облачные среды от VMware.
  • Администрирование и создание отчетов — vCNS обеспечивает тесную интеграцию с vCenter Server и с другими продуктами vCloud Suite, в частности, с vCloud Director и vCenter Operations Management Suite для централизованного администрирования сетевых операций, журналирования, создания отчетов и учета потребления сетевых ресурсов.

vCloud Director представляет собой управляющую систему для реализации самообслуживания в облачной среде. Он координирует инициализацию служб программно-определяемого ЦОД в виде готовых шаблонов виртуальных ЦОД. Решение vCloud Director имеет встроенные программные средства обеспечения безопасности и управления ресурсами, автоматически применяемые для реализации предварительно настроенных ИТ-политик.

vCloud Connector, использующий API-интерфейс vCloud, предназначен для объединения частных и публичных облаков на платформе vSphere. Он обеспечивает единообразие управления через графический интерфейс vCloud Director.

vCenter Site Recovery Manager — решение по управлению аварийным восстановлением ЦОД, реализующее компонент программно-определяемой доступности для SDDC. Менеджер предоставляет удобную, надежную и экономичную защиту от аварий для всех виртуализированных приложений. Site Recovery Manager может использовать как гибкий и экономичный программный компонент vSphere Replication, так и встроенные средства репликации систем хранения для централизованного управления планами восстановления, тестирования без прерывания работы и автоматизации процессов восстановления и переноса

vFabric Application Director — это средство инициализации приложений, обеспечивающее автоматическое развертывание и выделение ресурсов в режиме самообслуживания, а также оптимизацию выполнения операций с прикладным ПО в гибридных облачных средах. При помощи этого продукта может быть реализована полноценная облачная схема предоставления ПО как услуги (Software as a Service, SaaS).

vCenter Operations Management Suite обеспечивает автоматизированное управление процессами с помощью запатентованных средств аналитики и комплексного подхода к управлению производительностью, ресурсами и конфигурациями. Этот инструмент предоставляет ИТ-отделам интеллектуальные средства принятия решений и визуализации для контроля уровней обслуживания, оптимального использования ресурсов и обеспечения соответствия конфигураций нормативным требованиям в динамичных виртуальных и облачных средах.

Дальнейшее развитие концепции SDN в компании VMware связывают с технологией ОpenFlow, изначально разработанной компанией Nicira, вошедшей в состав VMware, а сейчас поддерживаемой консорциумом Open Network Foundation. Программно-конфигурируемые сети позволяют отделить уровень управления от уровня данных и сосредоточить управление на специализированных виртуальных устройствах — контроллерах OpenFlow. С целью обеспечения отказоустойчивости несколько контроллеров могут быть объединены в управляющий кластер и располагаться на различных хостах vSphere.

Технология OpenFlow поддерживается не только виртуальными, но и аппаратными коммутаторами различных производителей: Cisco, Juniper, HP, IBM и NEC. Таким образом, концепция SDN может быть расширена и на физическую сетевую инфраструктуру, при помощи которой обеспечивается функционирование виртуальных сетей. Теоретически это должно повысить производительность и масштабируемость сетей, например за счет оптимальной маршрутизации сетевых пакетов или отбрасывания нежелательных пакетов в непосредственной близости от их источника.

Сейчас поддержка OpenFlow реализована в решении Nicira Network Virtualization Platform (NVP), абстрагирующем виртуальную машину от существующей сети. Вся логика сети возлагается на распределенный кластер управления NVP, а физическая сеть трансформируется в простой пул совокупной пропускной способности. Это дает возможность программно создавать и конфигурировать десятки тысяч изолированных виртуальных сетей для соединения рабочих нагрузок множества арендаторов облака.

Коммутатор Open vSwitch (OVS), который в NVP реализует уровень данных, может быть развернут в виде виртуального устройства на каждом из гипервизоров в кластере в одной из двух форм. В первой он выполняет функции коммутатора уровня 2, управляемого через кластер NVP, во второй — функции NVP-шлюза, соединяющего программно-управляемые сети с унаследованными VLAN, с Интернетом, а также образующего туннель с удаленными физическими ЦОД.

Еще одной разработкой Nicira стал протокол Stateless Transport Tunneling (STT), который в будущем может дополнить VXLAN. Одним из его преимуществ является использование распределенного уровня управления OpenFlow, а следовательно, более корректная работа с виртуальными машинами, перемещающимися между хостами vSphere. Другое преимущество — снижение нагрузки на хост vSphere за счет использования аппаратных возможностей современных сетевых адаптеров TCP Segmentation Offload (TSO), а также поддержка механизмов управления качеством обслуживания.

После завершения полной интеграции разработок Nicira в vCloud Suite клиенты смогут создавать резерв пропускной способности поверх любой сетевой инфраструктуры, с помощью которого они могут легко поддерживать десятки тысяч отдельных виртуальных сетей. Кроме того, компания VMware планирует и дальше придерживаться принципов открытого ПО, в частности, будет продолжена работа над виртуальным коммутатором OVS, объединяющим физические сети и различные гипервизоры, а также над открытыми платформами создания расширяемых приложений (Open Extensibility Framework) для предоставления услуг в соответствии с бизнес-политиками любой системы управления облаками. Это позволит компаниям и поставщикам услуг создать наиболее гибкие топологические схемы сетей, охватывающие любую облачную среду.

VMware также планирует сделать следующий шаг по направлению к программно-определяемым системам хранения, разрабатывая проект распределенного хранилища (Distributed Storage), которое позволит объединить различные физические ресурсы хранения (DAS, NAS, SAN) в единое виртуальное пространство хранения данных, охватывающее все хосты в кластере без необходимости привязки конкретных систем хранения к определенным хостам. Эта концепция открывает широкие возможности для программного управления хранилищами, предоставляя следующие преимущества: теоретически неограниченная масштабируемость, наличие чисто вычислительных узлов в кластере без локального хранилища, управление политиками хранения данных (Storage Policy Based Management, SPBM) для задания таких характеристик хранилища, как производительность и доступность в форме профилей, передаваемых затем на уровень распределенного хранилища для выбора наиболее подходящего места расположения файлов виртуальных машин с целью удовлетворения возникающих потребностей.

Сергей Лукьянов (slukyanov@vmware.com) — консультант по решениям компании VMware (Москва).