技術動向と現在のSDNデータセンターソリューション

5月31日にモスクワで開催されたKaspersky LabおよびHUAWEIと共同開催した「ビジネス向けクラウドソリューションの共同セキュリティ」フォーラムから引き続き資料を公開しています。 HUAWEIのSergei Aksenovによるレポート「データセンター向けの技術動向と現在のSDNソリューション」









同僚、こんにちは。 私の名前はセルゲイ・アクセノフです。私はHuaweiの代表であり、Huaweiではネットワークソリューションの方向性の開発を担当しています。

私の今日のトピックは、データネットワーク、ネットワークインフラストラクチャに関するものです。 そして、実際に顧客のインフラストラクチャに実装され始めた、少し前に生じた新しいトレンドは、実際には、ソフトウェア定義のインフラストラクチャであるSDNです。













実際、今日のイベントは完全にクラウドテクノロジーに捧げられており、たとえ2、3年前に開催された会議を見たとしても、特にクラウド向けのデータ伝送ネットワークは、一種の基盤としての単なる補助要素と見なされますが、仮想化プラットフォーム、クラウドテクノロジーは常に最前線にあります。 しかし今日、SDNソリューションは実際にはクラウドの不可欠な部分です。 SDNソリューションは、機能、コスト、そして最も重要な機能の点で完全に適切になりました。 そして今日、過去5〜6年にわたって適用されてきた従来のソリューションは、すでに初歩的なように見えます。つまり、本当に遅れています。 そして、SDNソリューションは、業界が向かっている場所、業界が向かっている場所です。 しかし、私も、クラウドのすべての利点などについて長い間語りませんが、IDCレポートを見ると、2020年までに企業インフラストラクチャの約50％が完全にクラウドに移行されます。 今日、顧客と、エンタープライズ市場の顧客とコミュニケーションをとることで、主なモデルはまだバイモーダルなアプローチであることがわかります。 したがって、顧客が既に何らかのインフラストラクチャを所有している場合、かなりの資金が投資され、このインフラストラクチャの使用を単に放棄すると、すべてをレールに移すのはすべて間違っており、おそらく困難です。 したがって、バイモーダルアプローチは、それらのアプリケーション、実際には独自の従来のインフラストラクチャ上に存在したサービス、それらは動作し続けますが、もちろん、会社が今すぐ起動するか、今すぐ起動するいくつかの新しいアプリケーションですクラウドを使用してより適切に実装されています。 同時に、それがあった形式のデータ伝送ネットワークは、これらは従来の技術であり、スイッチングおよびルーティングは事実上過去10年間にわたって実質的に変更されていません。つまり、いくつかの一般的なものに基づいていましたが、もちろん小さな改善がありました、変更など。 しかし、SDNの登場により、状況は劇的に変化し始めています。









まず、従来のネットワークについて説明しましょう。なぜ実際に悪いのでしょうか。 従来のネットワークは、ネットワークインフラストラクチャを管理する静的で断片的なアプローチを暗示していました。 つまり、たとえば、10から20のラックで構成されるデータセンターがあり、各ラックにはコンピューティングリソースのサーバーを接続するための一対のトップオブスイッチがあり、従来のアプローチでは、まず、これらのデバイスのうち、特別な注意が必要なものは、静的な構成が必要です。 同時に、ある種の集中化の観点からは、インフラストラクチャの状態を評価できる監視または制御システムが存在しないか、または存在していましたが、集中化された統合管理の観点からは柔軟性がありませんでした。 繰り返しますが、従来のインフラストラクチャはアジャイルではありません。 アジャイルの原則、実際に何らかの新しいサービス、ある種の新しいサービスを開始する計画を立てるとき、それに応じてそれを解決し、開発します。開発中に、他の変更が必要であることがわかり、開発段階で変更します。 その後、本稼働でサービスを開始します。つまり、お客様でサービスをテストします。本稼働でサービスを開始すると、他の変更が必要であることを理解します。 つまり、インフラストラクチャーには絶え間ない適応性、絶え間ない変化があります。 したがって、従来のソリューションでは、原則として、ネットワークの観点からこれを許可しませんでした。たとえば、些細な状況で、新しい1Cリリースをテストして、これがすべて発生するようにするには、特定のプロパティを持つ何らかの種類の仮想マシンを展開する必要があるため、特定のオペレーティングシステムで。 コンピューティングリソースの観点から見ると、すべてが単純明快です。つまり、この仮想マシンを作成し、必要なプロパティを付与するだけで、すべてが5〜10分で自動的に機能し始めます。 ただし、データ伝送ネットワークの観点からは、ネットワーク管理者、その都度ネットワークエンジニアが関与する必要があります。ネットワーク管理者は、ネットワーク機器、特定の各ポートで特定の構成を手動で行い、仮想マシンに構成を提供します。 繰り返しになりますが、今日、クラウドインフラストラクチャについて言えば、多くのお客様は商用クラウドまたは独自のプライベートクラウドのいずれかに興味を持っています。 しかし同時に、地理的に分散している必要があります。つまり、このソリューションはアクティブ-アクティブです。データセンターの1つでソフトウェアまたはハードウェアの障害が発生し、アプリケーションやサービスの動作に影響を与えません。 したがって、あるデータセンターから別のデータセンターに移動する仮想マシンには注意が必要です。 つまり、従来のデータ転送ネットワークについて話している場合、当然ながら、ある物理データセンターから別のデータセンターに移動する仮想マシンは、まずアドレス指定を維持し、その上にあったセキュリティポリシールールを保持することを許可しませんこれらの一定の動きに割り当てられます。









お客様に見られるもう1つの問題は、常にITインフラストラクチャをサポートする特定の運用サービスです。 さらに、この運用サービスは常に2つのキャンプに分かれています。 最初の陣営はデータ伝送を完全に担当するネットワークエンジニアであり、2番目の陣営はいわゆるITリソース、コンピューティングインフラストラクチャ、データストレージシステムを担当する人々です。 それらの間には、それぞれそのような厳しい分水界があり、コンポーネントの独立した制御を取得し、問題が発生した場合、障害が発生した場合に取得します。 トラブルシューティング、問題の根本原因の特定、修正にはかなりの時間がかかります。同時に、問題が発生した側とそれを誰が修正すべきかを理解することは非常に困難です。 ここで、データネットワークが本当に初歩的な状況になります。それは、新しいサービスを即座に導入することを許可せず、本格的なアジャイルアプローチに切り替えることができない基盤です。



これらのソリューションと今日のSDN市場にある問題を見ると、絶対にすべてのネットワークベンダーが大規模であるため、競合他社のHuaweiは既製のSDNコンセプトを提供しています。 つまり、集中管理、自動化、コンピューティングリソースとの緊密な統合を可能にする垂直的に構築されたインフラストラクチャです。 しかし、エンドカスタマーを見ると、エンドカスタマーは、各ベンダーが独自のソリューションを提供しているという単純な理由、つまり、スイッチを購入し、SDNコントローラーを購入するという現在の状況に非常に不満を感じています。そのようなハイパーバイザーでのみ。 さらに、顧客の観点から、ICT-インフラストラクチャ、IT-インフラストラクチャは多様化する必要があります。つまり、複数のベンダーで構築する必要がありますが、コントローラーまたはネットワーク機器、サーバー、ストレージは異なるメーカーのものです。 つまり、これはほとんどすべての顧客が今日行きたいモデルです。 したがって、この問題は今日本当に存在しますが、Huaweiは戦略を見た場合、よりオープンなSDNソリューションをリリースしようとしています。









ここで、パートナーのエコシステムがあることを引き続き示します。これらはそれぞれ仮想化プラットフォームとネットワーク機器プラットフォームの最大の開発者であり、オープンインフラストラクチャのイデオロギーに従います。つまり、これらはソリューションを使用する機器のみを使用するように顧客を拘束しないオープンソフトウェアインターフェースですSDN









Huaweiが提供するソリューションは、Huawei Cloud Fabricと呼ばれ、クラウドファクトリーまたはプログラマブルファクトリーです。 建築の観点から見ると、この写真は原則として、すべてが非常にシンプルで理解しやすく、おそらく論理的であることを示しています。 一方には、データ伝送ネットワークがあります。これらは物理デバイス、ハードウェアサーバーを接続するポート、サーバーを保持している上に、アプリケーションレイヤーとクラウドプラットフォームがあります。 ここでは、主要な要素が表示されます。これはSDNコントローラーと呼ばれ、Huaweiの観点ではアジャイルコントローラーです。 これは、一方では仮想化プラットフォームと通信するためのサザンインターフェイスを備えたオーケストレーターであり、他方では、仮想化プラットフォームと通信するためのノーザンインターフェイスと、ネットワーク層、つまり通常のネットワークスイッチと通信するためのサザンインターフェイスを備えています。 これは、ネットワークデバイスのプログラミングに使用される従来のオープンフロープロトコルです。 そして、このソリューションの3つの主要な方向、3つの主要な方向性があります-シンプル-シンプル、弾力性-柔軟、オープン-オープンなインフラストラクチャです。 プラスとは何ですか。









主な利点は、この最も簡単なシナリオについて話し合ったとき、新しい1Cリリースをテストする必要があることです。すぐに本番環境で起動することはできません。何らかのテスト環境を展開し、仮想マシンを作成し、次に、アジャイルコントローラーにあるグラフィカルインターフェイスを使用してプロパティを設定し、ネットワークの観点から発生する必要があるすべての構成を完全に自動化して設定します。 つまり、毎回この仮想マシンの特定のスイッチに移動して、セキュリティポリシーのルール、サービス品質ポリシーを設定する必要はありません。 グラフィカルインターフェイスでこの仮想マシンのアイコンを条件付きで作成するだけで、特定のプロパティが付与され、これらのプロパティは絶対に自動的に移動します。



今日のイベントの重要なテーマはセキュリティです。 また、ここでは、データの侵害、外部攻撃、その他の脅威に関してセキュリティについて説明しました。 しかし、潜んでいるもう1つの脅威は、業務を行う非専門家の脅威です。 つまり、データ伝送ネットワークまたは仮想化の観点から見たいくつかの誤ったアクションにより、ビジネスも苦しむ可能性があります。つまり、ビジネスプロセスを確保するために必要な、ある種の仮想マシンが切断されます。









また、SDNが優れているのは、第一に、一元化された統合管理の可能性があり、インフラストラクチャの仕組みを完全に理解するための分析用の完全なダッシュボードがあるからです。 そして、ある時点で設定の観点から何らかのミスや問題を犯した場合、これらはすべて簡単かつ迅速に排除できます。 さらに、自動化された構成を持っているという事実により、ここでは手作業、つまりコマンドラインからの実際の作業が最小限に抑えられます。つまり、このエラーの誤った構成の可能性はほぼ最小限に抑えられます。



クラウドソリューションであろうとエンタープライズインフラストラクチャであろうと、最新のネットワークソリューションのもう1つのプラスは、HuaweiがENP-イーサネットプロセッサと呼ぶ完全に新しいネットワークプロセッサがあることです。 これらは完全にプログラム可能なソリューションであり、まず、従来のASICに比べてパフォーマンスが大幅に向上しますが、一方で、完全にプログラム可能です。 つまり、今日、残念ながらSDNは最後までまだ標準化されていません。つまり、RFCがいくつかあり、ベンダーやメーカーがソリューションをリリースしようとするIE標準がいくつかありますが、それにもかかわらず、標準化の最終バージョンはまだありません登場しました。 したがって、これらのENPプロセッサも優れています。なぜなら、今日このようなプロセッサを備えた機器をすでに購入しているため、エンドカスタマーとしての投資保護が得られるからです。 つまり、このネットワークプロセッサのファームウェアを変更するだけで十分であり、新しいタイプのプロトコルをオンザフライでサポートでき、新しいタイプのテクノロジーが登場します。 従来のASIC、従来のネットワークプロセッサは、これを原則として許可していませんでした。



SDNの大きなプラスは、集中管理と統合管理について話すとき、追加の利点として、追加のプラスとして、分析と予測を収集する機会を得られることです。 つまり、何らかの方法で、トラフィックの送信方法を制御し、インフラストラクチャの各セグメントで何が起こっているかを理解する特定の中心点、特定の知性があります。 これにより、ネットワークインフラストラクチャで発生していることに関する統計情報を蓄積でき、ある時点で外部攻撃が発生したり、DDoSまたは何らかの内部エクスプロイトの場合に非標準のパターントラフィックが発生した場合、SDNコントローラーはそれについてまた通知します。 彼はモジュールの1つとして中央セキュリティモジュールを持っています。これはビッグデータモジュールで、ネットワークファクトリ内を通過するすべてのトラフィックに関するログインを実際に保存します。つまり、各スイッチはこの情報を収集する何らかのエージェントとして機能します。 また、ネットワークレベルで、セキュリティに関して何が起きているかを制御することもできます。









既存のSDNソリューションを見ると、おそらく今日のSDNが構築されている3つのタイプのアーキテクチャにそれらを分割できます。 最初のオプションは、おそらく多くの顧客のインフラストラクチャで現在最も広く使用されているオプションです。 少し前に、たとえば、データセンターが構築されました。つまり、ネットワークインフラストラクチャ、コンピューティングインフラストラクチャに多額の資金が投資されましたが、今ではそのような顧客は、ネットワークが本当にインフラストラクチャをより柔軟に管理し、提供することができないブレーキであるという結論に達します新しいアプリケーションとサービス。 したがって、彼はSDNが必要であること、プログラマビリティが必要であること、集中管理が必要であることを理解していますが、ネットワークを変更することは望みません。つまり、ネットワークに資金を投資し、ネットワーク機器が稼働中であり、それを変更する理由です。 ここでの唯一の方法は、オーバーレイネットワークを構築することです。つまり、その従来のデータネットワークの上に、オーバーレイデータネットワークを作成し、このオーバーレイネットワークをソフトウェアを使用して作成します。 つまり、ハイパーバイザーで作成できる仮想キャンドルを使用するか、仮想マシンの内部から実行される単純に重ね合わせたソフトウェアを使用します。 つまり、単純に接続を提供する従来のネットワークの上にあり、自動構成と自動プロビジョニングを提供する論理ネットワークを作成します。



提供される2番目のオプションは、Huaweiおよび他のネットワークベンダーが実際に提供するオプションです。 このソリューションは、ハードウェアスイッチをインストールするという事実に基づいています。ハードウェアスイッチは、完全なプログラマビリティをサポートしています。つまり、前述したように、各ハードウェアを個別に構成する必要はありません。 集中コントローラで動作する新世代のプログラマブルスイッチを配置しました。



3番目のオプションは、このようなハイブリッドオプションです。 また、このプログラマビリティをサポートできる新しいスイッチをインストールします。また、既存のデータセンターに仮想スイッチを配置し、サーバー上で同じ場所でスピンすることで、比較的完全なソリューションを実現します。









SDNのもう1つの大きな利点は、データチャネルをより効率的に利用できるようになったことです。



これらのアクティブ-アクティブソリューション、災害復旧ソリューションについて言えば、同じデータセンター内にすべてのコンピューティングリソースがなく、地理的多様性がある場合、ここではデータセンター間のリンクのコストも重要です。親愛なるもの。 従来のソリューションについて話し合ったとき、そこで評価すること、データチャネルがどのように使用されているか、どれくらい忙しいかについて包括的な評価を得るのは困難でした。 SDNモデルに到達すると、何らかの方法でコントローラーが表示されます。つまり、データ伝送チャネルの負荷に関する情報を受信します。 これにより、ロード、より効率的な利用、ロードバランシング、つまりロードバランシングが可能になります。 したがって、通信チャネルの負荷をより均等に分散でき、場合によっては、今日存在する幅広いチャネルを放棄し、以前に持っていたチャネルをより効率的に使用できることも理解できます。



ハードウェアリソースの観点から、Huaweiはここでスイッチの全ラインナップを提供しており、現在では約120のスイッチが変更されています。









この行はCloudEngineと呼ばれます。 ここで、観察されている主な傾向は25ギガビット接続の傾向です。つまり、サーバー機器の製造業者のロードマップを見ると、10ギガバイトでは不十分であり、40ギガバイトは非常に高価であると満場一致で述べています。 25ギガビットは黄金の平均です。 実際、そうです。 25ギガビットポートのコストを見ると、今日ではすでに10ギガビットインターフェイスのコストと完全に同等です。 したがって、今日の現代のデータセンターはアクセスです。つまり、25ギガビットサーバーを接続し、実際に100ギガビット（25プラス100）でトップオブラックスイッチをネットワークコアに接続します。これは、すべての現代のデータセンターを構築する公式です。









エコシステムといえば。 先ほど述べたように、Huaweiにとって、SDN戦略の重要な分野の1つはオープンインフラストラクチャの構築です。 私たちが所有権のない独自のソリューションを提供し、顧客に伝えるとき、私たちの機器だけを購入し、あなたが持っているものをすべて捨てます。これは実際にはオープンなインフラストラクチャです。



ここでは、さまざまな方向のパートナーが表示されます。 クラウドプラットフォーム、仮想化プラットフォームについて話すと、ここでvmwareおよびmicrosoftの認定に合格し、openstackと完全に連携し、独自のハイパーバイザーであるフュージョンスフィアがあり、SDNコントローラーも同様に相互作用します。











他にもいくつかのオープンソースソリューションがあります。たとえば、Puppetを使用すると、プログラマビリティの点で完全に自由になりますが、ここではネットワークエンジニアの高い資格が必要になります。実際、ほとんどの場合はプログラマでさえあるはずです。 この決定は第一人者のためです。 平均的な顧客にとって、推奨される解決策は、アイコンとテンプレートを使用してネットワークインフラストラクチャ全体を制御する明確なグラフィカルインターフェイスを備えたコントローラーを使用することです。 つまり、コンソール、ネットワーク機器のコマンドラインに移動して、そこに何かを設定する必要さえありません。









そして、SDNの見通しについて言えば、今日、冒頭で述べたように、SDNは、ほぼ7〜8年前に生じた長期にわたるトピックから、実際に有効なソリューションにすでに変わっています。 IDCが提供する予測を見ると、2020年までに、大規模な商業データセンターの約95％がSDNテクノロジーを使用して構築されます。 ファーウェイはこの市場に非常に満足しています。つまり、データセンター向けのネットワーク機器の供給量は年々70％増加しています。 そして、彼らはさまざまな国で私たちにできることの例を示しています。



ロシアについて少し話すと、ここで最大のSDN実装はSberbankです。実際、これは開発者が直接使用するデータセンターの1つです。 そこに、彼らはある種の新しい仮想インフラストラクチャを作成し、新しい開発をテストするために、可能な限り迅速にオンザフライで必要でした。 実装されている2番目のSDNプロジェクトは、NSPK（国民の支払いカードシステム）です。 ご存じの場合、これらはMIR支払いカードであり、現在ではすべての州の従業員に配布されています。 実際、これらはアクティブ-アクティブモードで動作する2つのデータセンターです。つまり、仮想マシンは完全にスムーズで、これらのデータセンター間をシームレスに移動できます。 ここでは、CloudEngineラインを使用して、インフラストラクチャ全体がHuawei機器上に構築されています。



同僚、ここでソフトウェア定義ネットワークのツアーを終了します。「今日何が起きているのですか？」

質問に対する回答

ワールドデータセンターデータセンターは、私たちの領土にありますか？

もちろんです。 これは完全にインフラストラクチャです。 中央銀行はこのトピックを監督しています。つまり、すべては郊外にあります。



しかし、原則として、仮想化サービス、クラウドソリューションは中国にありますか？

いいえ、見てください、これらはHuaweiが提供するソリューションであり、コントローラであり、すべて完成品として販売されており、すべてローカルのデータセンターに置かれています。 Huawei自体はクラウドリソースを提供していません。パートナーのRUVDS、実際にはパートナーのすべてのサービスと連携しています。



SDN、アジャイルコントローラー、コントローラーを、スイッチが提供するエージェントデータを強化するものに接続することは可能ですか？

いい質問ですね。 今日、アジャイルコントローラーであるSDNは、最初に機器を制御するために一元化され、開発、自動化、構成のプロビジョニング、およびコンピューティングリソースとの緊密な統合が行われています。 次のステップは本当にビッグデータです。これは、さまざまな外部ソース（攻撃、ウイルス対策など）と統合でき、そこからすべてを制御できるときです。 現在、アジャイルコントローラーのフレームワークにはこれがありませんが、アジャイルコントローラーと統合する独自のファイアウォール、次世代デバイスがあります。 これにより、バンドルはそのようなハードウェアおよびソフトウェアソリューションを提供できます。



つまり、SDNコントローラーはこれらのファイアウォールにいくつかのルールをプッシュしますか、それともそこからデータを受信できますか？

彼はここまでしかルールをプッシュしません。 つまり、たとえば、仮想マシンAは仮想マシンBと対話し、DPI、どの種類のトラフィックがそこで回転しているのかという観点からの詳細な分析を渡す必要があり、アジャイルコントローラーはこのポリシーをネットワークセキュリティデバイスに拡張するだけであり、この分析はそこで行われます。



ご清聴ありがとうございました！