Интервью

Александр Шибаев: Сети переезжают в облака

ИТ в банках
мобильная версия
, Текст: Наталья Рудычева

В Банке России на стенде в рамках работ по использованию технологии программно-определяемых сетей было протестировано решение на базе VMware NSX. О том, какие возможности дает использование этой технологии и как ее развитие может отразиться на ИТ-рынке в целом, в интервью CNews рассказал Александр Шибаев, заместитель директора межрегионального центра обработки информации Банка России.

CNews: Насколько широко используется виртуализация в Банке России? Чем была вызвана необходимость модернизации инфраструктуры и рассмотрения технологии программно-определяемых сетей?

Александр Шибаев: Системы виртуализации в Банке России были внедрены много лет назад. Благодаря им обеспечивается высокая эффективность использования серверной инфраструктуры, а сроки и стоимость развертывания решений существенно снизились. 

Но процесс перевода систем, размещенных на собственных физических серверах, в виртуальную среду не завершен, есть вопросы. Создать виртуальный сервер достаточно просто – это займет часы или минуты, развертывание физического сервера и приложений, включая процесс приобретения – месяцы. Это привычная фаза Infrastructure as a Service (IaaS). Однако надо решить еще две трудные задачи. Во-первых, предоставить платформу для развертывания устанавливаемых/перемещаемых приложений. Во-вторых, создать и настроить виртуальные сети в среде виртуализации в связке с физическими сетями.

Решение первой задачи (ее можно рассматривать, как создание Platform as a Service, PaaS) занимает столько времени и сил, что «съедает» преимущества быстрого первоначального развертывания виртуальных машин. Здесь требуется стратегический переход организации на идеологию PaaS. Ведь на самом деле IaaS — это реализация в 21 веке подхода из века двадцатого — «ресурсы с общим доступом» (share). Было дисковое пространство, выделяемое на каком-то сервере для группы пользователей, появилась виртуальная машина, созданная на каком-то сервере для группы пользователей. Бизнес-подразделениям нужно от ИТ не это. Бизнесу нужна платформа для развертывания приложений, а не «инкубатор» для создания виртуальных серверов. Выбор бизнес-платформы — это трудная стратегическая задача, и ее решение требует совместных усилий «озадачивающих» и «обслуживающих» подразделений в организации. Результатом решения задачи будет окончательный переход от понятия «сервер» к понятию «сервис». Но эта тема требует отдельного обсуждения.

Александр Шибаев: Процесс перевода систем Банка России, размещенных на собственных физических серверах, в виртуальную среду не завершен, есть вопросы

Решение второй задачи полностью находится в зоне компетенции и ответственности ИТ-подразделений и подразделений ИБ. В виртуальной среде требуется создать собственную инфраструктуру для информационных систем, которая включает в себя как серверы, которые раньше были физическими, так и сети. В таких больших организациях как наша за ЛВС отвечает одно подразделение, за серверы — другое. Однако в виртуальной среде, по сути, внутри физического сервера, администратор серверов вынужден заниматься не своим делом — создавать виртуальные сети. Администратор ЛВС вроде бы не причем — сервер-то к ЛВС подключен и в нужные сегменты прописан.

Есть и еще одна сторона этого вопроса. Виртуальный и физический мир взаимодействуют между собой. Граница между ними — сетевой порт сервера. До него действуют физические правила, а после — виртуальные. Правила должны быть согласованы, но как?


Александр Шибаев: Серверная виртуализация за последние два-три года продвинулась существенно дальше, чем виртуализация ЛВС. Особенность заключается в слове «сеть»

Идея виртуализации сетевых функций в классическую облачную модель не входит. На мой взгляд, серверная виртуализация за последние два-три года продвинулась существенно дальше, чем виртуализация ЛВС. Особенность заключается в слове «сеть». Сервер может выполнять свою функцию самостоятельно, коммутатор — нет. При покупке сетевого устройства вы на самом деле покупаете кусочек сетевого мозга — ваше устройство соединяется со многими тысячами других устройств, которые работают по сложнейшим алгоритмам маршрутизации, переключения, выбора и оптимизации маршрутов, контроля петель и т.д. и т.п. Вы же видите только порты, к которым подключены сетевые кабели. В зависимости от типа сетевого оборудования и его места в сети, вы можете просто подключить сетевые кабели — дальше «мозг» разберется; или вам необходимо сделать сложную настройку оборудования. А через 2-3 года вы вдруг узнаете, что потребовавшаяся важная сетевая функция не поддерживается оборудованием и надо приобретать новое. Производитель продает/зарабатывает, вы проектируете/модернизируете по ночам и выходным. И тратите, тратите, тратите. Деньги, время, нервы…

Еще несколько лет назад казалось, что по-другому и быть не может. Но резкое увеличение производительности серверов позволило выполнять специализированные сетевые вычисления на серверах стандартной архитектуры. Сообщество OpenStack не могло не обратить внимание, что в облаке требуется не просто типовой виртуальный коммутатор, а наличие полнофункциональной виртуальной сети, на уровне виртуального L2. Возникла идея виртуализовать сетевые функции, то есть отделить «сетевой мозг» коммутатора от панели, в которую подключают кабель. В результате ЛВС будет состоять из двух технологических частей: сетевой контроллер — приложение, развернутое на физическом или, допустим, виртуальном сервере, которое создает и управляет всей сетевой архитектурой, и коммутатор, получающий таблицу коммутации от сетевого контроллера и умеющий быстро коммутировать трафик с порта на порт. Это и есть программно-определяемая сеть (SDN).

Что это дает пользователю? Возможность приобрести ровно те сетевые функции, которые вам необходимы, и реализовать их в сетевом контроллере. Возможность выбирать существенно более дешевые, чем имеющиеся сейчас на рынке «умные» коммутаторы, устройства, которое с оптимальным для вас соотношением цена/производительность будет коммутировать пакеты по портам. А через год вы добавите потребовавшуюся функцию в ваш сетевой контроллер. Ситуация меняется: производитель ЛВС-оборудования продает меньше железа, вы нервничаете — все-таки новаторская технология, — но тратите меньше денег и времени. 

CNews: Расскажите подробнее о тестировании, проведенном на стенде в Банке России.

Александр Шибаев: По моим оценкам, около 90% ИКТ-ресурсов Банка России может быть перенесено в виртуальную среду, доступ к которой получат все подразделения. Естественно, перенос предполагает централизацию вычислительных ресурсов. Это приведет к перераспределению материальных затрат и изменит требования к ИТ-подразделениям. Поэтому необходимо выработать шаги не только по техническому обеспечению окончательного перехода в виртуальную среду, но и по смягчению последствий такого перехода с организационной точки зрения.

«Классические» физические ЛВС не исчезнут, но за концепцией SDN, я считаю, будущее. И задачи по созданию полнофункциональных сетей в среде виртуализации надо решать уже сейчас. На стенде мы развернули решение VMware NSX. Это программная реализация сетевой архитектуры в виртуальной среде. Работы на стенде дают серьезную пищу для размышлений о смене «распределенной» парадигмы развития ИКТ-инфраструктуры и переходе от набора серверов к созданию централизованного центра обработки данных. 

Изложу вкратце суть тестирования. VMware NSX устанавливается практически автоматически с базовой виртуальной машины, поэтому одно из достоинств решения — простота и скорость развертывания при наличии в организации фермы виртуальных серверов.


Александр Шибаев: «Классические» физические ЛВС не исчезнут, но за концепцией SDN будущее

Установленный NSX сразу нашел и прорисовал распределенную между хост-серверами виртуальную сеть, построенную с применением виртуальных сетевых коммутаторов, маршрутизаторов и межсетевых экранов. Виртуальные сервера при этом были объединены в группы с балансировкой нагрузки. Продукт оказался прост в использования и пригоден для оперативного конфигурирования сетевых сегментов различных топологий. Применение в виртуальной среде распределенного межсетевого экрана позволило выполнить большую часть требований документов по информационной безопасности. Использование таких компонентов как балансировщики сетевой нагрузки, обеспечивает возможность построения отказоустойчивых и катастрофоустойчивых решений на уровне сети виртуальной инфраструктуры. Это потенциально упрощает и ускоряет реализацию требований существующих и вновь развертываемых автоматизированным систем в части обеспечения высокого уровня доступности.

В процессе тестирования была проверена возможность VMware NSX обеспечивать сетевые сервисы и динамически изменять топологию сети. Мы убедились в простоте и эффективности управления сетевой инфраструктурой из единой консоли управления.  Существующая возможность делегировать права на создание сетевых сегментов сотрудникам других подразделений (таких как подразделение разработки и тестирования) в нашем случае не пригодилась.

VMware NSX имеет возможность оптимизации маршрутизации трафика между виртуальными серверами внутри каждого из хост-серверов виртуальной среды, что было подтверждено при замере объема трафика между хост-серверами во время обмена данными. Это способствует снижению нагрузки на сетевое коммутационное оборудование, что немаловажно при внедрении данного решения в существующую ИТ-инфраструктуру организации.

И, наконец, сетевая основа продукта — это технология (протокол) VXLAN, позволяющая осуществить построение виртуальных сетевых сегментов (L2-сегментов) на базе существующей IP-сети (L3-сети). Благодаря этому мы объединили две удаленные площадки межу собой и создали распределенную виртуальную сеть поверх уже существующей сетевой инфраструктуры без изменения топологии физической сети.

В будущем планируется тестирование технологии VXLAN, а также проверка возможности построения распределенных сетей усложненной топологии с использованием протоколов междоменной и внутридоменной маршрутизации.

Должен подчеркнуть, что использование NSX в некоторых случаях не укладывается в рамки действующих регламентов по созданию и эксплуатации локальных вычислительных сетей и сетевой безопасности. Но и правила полетов на воздушных шарах не могли быть применены в родившейся авиации. Правила требуется развивать и пересматривать. Внедрение решения сетевой виртуализации VMware потребует затрат, но одновременно предоставляет и широкие возможности. 

CNews: Какие решения вы рассматривали? Почему выбор пал на VMware NSX?

Александр Шибаев: Логично рассмотреть две концепции: продление физической ЛВС в виртуальную среду и, как противоположность, создание в виртуальной среде полноценной сетевой инфраструктуры. Второй подход, на мой взгляд, гораздо более интересен. Он предоставляет недостающий инструментарий для полной и окончательной реализации концепции облачных вычислений, когда в виртуальную среду переносятся все ресурсы организации, организованы виртуальные места персонала, все это объединено в безопасной и управляемой сетевой инфраструктуре, а на рабочих столах остались только терминалы для отображения результатов облачных вычислений. Высокопроизводительная сеть доступа становится не нужна, все оборудование размещается в ЦОДе, администрирование, безопасность, предоставление сервисов централизовано. Это идея и цель облачных технологий.

Первый подход — развитие сетевой технологии в век виртуализации. Парадигма Cisco – если вам нужно продлить сеть в виртуальную среду, возьмите виртуальный коммутатор. Его настройку сможет сделать сетевой администратор в привычном ему интерфейсе программы управления. Виртуальные устройства, которые будут изображены на единой сетевой карте, не будут по своей функциональности отличаться от физических. Таким образом, при реализации этого подхода сетевая идеология остается неизменной, администрирование серверов и сетей осуществляется раздельно. Но такой подход обеспечивает большую преемственность технических решений, сетевая инфраструктура остается отдельной от облака и универсальной. Правда, универсальность в данном случае означает, что нужной специальной функции не окажется, затраты не снизились. Мы просто отложили принципиальное решение «на потом». 


Александр Шибаев: Создание в виртуальной среде полноценной сетевой инфраструктуры предоставляет недостающий инструментарий для полной и окончательной реализации концепции облачных вычислений

На стенде установка виртуальных коммутаторов в виртуальной среде по трудоемкости практически не отличалась от замены коммутаторов в шкафу в коммуникационной комнате, только отсоединение/подключение сетевого кабеля заменено на клик мышки. Существенно, что для получения всех преимуществ продления физической ЛВС в виртуальную среду требуется использование сетевых коммутаторов определенной серии или даже модели. При этом использование ряда сетевых функций может потребовать замены оборудования. Остается нерешенным вопрос, зачем поддерживать высокопроизводительную сеть доступа, если все пути ведут в ЦОД и там же сосредоточена обработка? Думаю, что разумнее «облегчить» рабочее место пользователя. А для терминалов сеть начинается со входа в облако, даже если терминал и ЦОД на разных континентах. Какой тогда должна быть локальная сеть? Смотри подход два.

Концепция облака предполагает предоставление сервиса конечному пользователю. Однако одновременное сосуществование физической и виртуальной инфраструктуры рождает требование: для предоставления сервиса «подготовка аналитического отчета» необходимо открыть порт 1188 и протокол http на межсетевом экране. Звучит нелепо? ЛВС должна предоставлять сервис, а не порт. А сервис, чтобы быть непрерывным, должен не зависеть от железа, т.е. должен быть виртуальным.

VMware NSX, виртуализировав серверы, предлагает виртуализировать сеть — перейти от слов «подключение, коммутация, IP-адрес» к слову «сервис». Например, с помощью распределенного межсетевого экрана NSX можно для любого пользователя или информационного ресурса устанавливать правила доступа на основе понятных и простых критериев в графическом интерфейсе. Переход от защиты сегментов, адресов, портов к защите приложений — одно из преимуществ перехода на программно-определяемые сети. В случае же перевода пользователей на виртуальные рабочие места, сеть вообще перейдет в облако, в котором все правила взаимодействия между системами в сетевой части обеспечиваются как облачный сервис. Таким образом, и ресурсы, и сетевая инфраструктура, и сетевые политики, и решения по информационной безопасности будут находиться в одном виртуальном пространстве. 

CNews: Потребует ли реализация подобного проекта организационных изменений? Каких?

Александр Шибаев: Существует мнение, что развитие технологий виртуализации приведет к тому, что продавцы лицензий на ПО, базы данных, железо постепенно начнут терять рынок. Зачем покупать решение, если его можно получить из облака, как сервис? 

Чем в таком случае будут заниматься ИТ-департаменты, которые раньше писали ТЗ, создавали и обслуживали сети и автоматизированные системы и, на самом деле, были покупателями у вендоров? Они должны измениться, в гораздо большей степени создавать, чем покупать, стать эффективнее, что, в данном случае, является синонимом «сократиться численно». Сегодня эта мысль с трудом воспринимается ИТ-сообществом. При этом все с удовольствием приводят примеры, всего лишь за год ставшие «хрестоматийными», про сервисы такси, аренды квартир, интернет-магазины. А у этих сервисов нет ни своих такси, ни квартир, ни складов с товарами, ни самих товаров. Есть свои «айтишники». 


Александр Шибаев: ИТ-департамент должен готовиться к преобразованиям, рассматривать облачные сервисы внешних провайдеров, создавать облачную платформу в организации

Вектор спроса на персонал быстро меняет ориентацию с администраторов на разработчиков. Например, в нашей организации для эксплуатации нескольких сотен серверов и рабочих станций существовал отдел из 15 человек. После виртуализации большей части серверов оказалось достаточно двух сотрудников и договора на техподдержку. Конечно, мы перепрофилировали специалистов, но и их количество сократилось. С внедрением SDN в подобной ситуации окажутся и сетевые администраторы. Их место должны занять люди, которые смогут не настраивать сетевое оборудование по правилам, а разрабатывать правила для вновь создаваемых сетевых сервисов.

Что произойдет дальше? Организации будут продолжать пересматривать свои ИТ-бюджеты, причем, в сторону сокращения. На этом фоне, во-первых, придется провести серьезную ревизию состава ИТ-подразделений, состава автоматизированных систем, состава серверов. Во-вторых, требования бизнеса не уменьшатся. Что делать? ИТ-департамент должен начать готовиться к преобразованиям. Рассматривать облачные сервисы внешних провайдеров, создавать облачную платформу в организации. Стратегически надо определить архитектуру будущих систем уже сейчас. Стратегия, на мой взгляд, может быть только одна — система виртуализации с фундаментом из информационной безопасности. Не защищать же виртуальные системы по отдельности!

И снова горький прогноз — после переезда в облако стоимость того или иного сервиса станет максимально прозрачна, и бизнес сможет в полной мере оценить, готов ли он платить за его использование. А это, как показывает опыт, чаще всего также приводит к сокращению ИТ-расходов.

Таким образом, в ближайшие годы нас ждет схлопывание ИТ-бюджетов, централизация вычислительных мощностей и доступа к ним, а также перевод в облака тех функций, которые кажутся сейчас непереводимыми — например, сетевых. И это мировой тренд — переход от доступа к ресурсу, размещенному по определенному IP-адресу, к доступу к определенному типу информации. А прокладывать информационные маршруты в облаках гораздо быстрее научатся программные сети, чем физические коммутаторы.