eng
TS_pub
technospheramag
technospheramag
ТЕХНОСФЕРА_РИЦ
В корпоративном и операторском сегментах происходит кардинальная смена подходов к построению сетей на основе конвергенции двух основных технологий, SDN и NFV.
Тенденции и тренды
Говоря о тенденциях рынка информационных технологий, прежде всего необходимо отметить значительное увеличение мобильности и более высокую степень виртуализации физического оборудования вместе с резким увеличением доходов от этих технологий. По оценке IDC, в ближайшие несколько лет темпы роста рынка в области конвергентных систем, когда большая часть инфраструктуры строится именно за счет виртуализации, будут значительно выше, нежели темпы роста рынка физического оборудования. По данным Gartner, в 2005 году лишь около 5% ресурсов центров обработки данных (ЦОД) были виртуализированы, а в 2014 году этот показатель превысил 70%. Аналитики IDC прогнозируют, что спрос на публичные облачные услуги в мире приблизится уже в 2016 году к 100 млрд. долл. США; совокупный рынок сетевого оборудования, серверов и внешних систем хранения данных будет расти в ближайшие пять лет среднегодовым темпом 0,1%, тогда как использование конвергентных систем сетевого оборудования, серверов и внешних СХД в виде виртуализированных сетевых сервисов (NFV) – с CAGR 19,6%.
Один из важнейших трендов – высокие темпы роста объема передаваемых данных, что приводит к сокращению доходности традиционного бизнеса в телекоме. Так, по данным МТС, в 2014 году объем переданных данных на одного абонента в сетях фиксированного широкополосного доступа в интернет вырос вдвое. Это связано с увеличением спроса на "тяжелый" медиаконтент, в частности потоковое видео. Не стоит также забывать про эффекты, которые появляются в связи с использованием новых технологий в области мультимедиа (например, использование 3D-видео кратно увеличивает объем передаваемых данных).
Другой важный тренд в контексте конвергенции SDN&NFV-технологий – рост числа центров обработки данных (ЦОД). Так, по оценке IDC, общее количество ЦОД в мире к 2018 году вырастет до 8,6 млн. Наиболее популярной услугой в ЦОД является колокация (co-location) – размещение у провайдера серверов и систем хранения данных клиента. В России насчитывается около 80 операторов ЦОД, при этом почти все они сконцентрированы в Москве и ее окрестностях или в Санкт-Петербурге. Более половины запросов на колокацию приходится от российских финансовых учреждений, включая банки, которые пользуются дата-центрами для резервирования. Как правило, банки арендуют 10–15 стоек, которых вполне достаточно для резервного хранения критических данных. В число важных клиентов ЦОД также входят интернет-магазины и различные проекты, специализирующиеся на электронной коммерции и контенте. Однако в последнее время одной из главнейших тенденций на рынке ЦОД становится изменение структуры предоставляемых сервис-провайдерами услуг. Так, облачные сервисы заняли уже четверть рынка услуг ЦОД. Постепенно это приведет к снижению доли услуг от колокации и хостинга в портфеле сервис-провайдеров, примерно до 50% (сейчас – 70%), и активная трансформация придется уже на ближайшие пару лет.
В этих условиях телеком-операторы будут вынуждены менять используемую бизнес-модель. В этом контексте нельзя не отметить очень интересное интервью миллиардера Михаила Фридмана журналу Forbes. По мнению М.Фридмана, если телеком не изменит свою бизнес-модель как держателя "трубы", через которую прокачивается большой объем траффика, то в относительно коротком будущем он столкнется со значительными экономическими проблемами. Например, уже сейчас Google и Apple пытаются разными технологическими способами потеснить операторов связи. Их основная идея состоит в том, чтобы брать деньги не за коннект, а за рекламу – условно говоря, за работу с клиентами, которые у них имеются. Люди не хотят платить за доступ к "трубе", поэтому тот же Google берет деньги не с пользователей, а с рекламодателей – за то, что обладает персональными данными своих пользователей.
Ни для кого не секрет, что банки нуждаются в информации о благонадежности своих заемщиков. Объединение информации, которая есть у мобильных операторов, с информацией в ритейле, – это для банков "золотое дно" с точки зрения бизнеса, и именно в этом направлении бизнес и должен развиваться. Этим путем в недалеком прошлом пошли Verizon и AT&T, которые создали соответствующие дочерние компании для предоставления сервиса по работе с анонимизированными данными своих клиентов (Precision Market Insights и AdWorkds соответственно). Компании, нуждающиеся в подобных данных, получают к ним доступ и могут проводить статистическую и аналитическую обработку. Как уже было сказано, общий тренд на сегодняшний день – рост объема трафика. При этом клиенты ожидают, что плата будет снижаться или, как минимум, не будет расти – и в результате сокращения доходности возникает острая необходимость менять модель бизнеса.
В нынешних условиях наиболее доходными форматами для бизнеса становятся конвергенция данных и сервисов. Для этого необходимы технологии, которые позволят менять состав и расположение сервисов внутри сети, динамично управлять потоками данных, обеспечивать пользователю возможность унифицированного доступа к сервисам независимо от его географического местоположения, используемого им оборудования или способа подключения к сети, – лишь при условии достаточной пропускной способности канала. Главным фактором успеха ИТ-бизнеса становится скорость адаптации компании к динамическим изменениям рынка. Цель данной статьи – показать синергию технологий SDN и NFV: то, как под их влиянием происходит конвергенция в ИКТ-инфраструктуре, и те возможности, которые при этом открываются.
Технологии SDN и NFV
SDN и NFV имеют много общего: относятся к технологиям компьютерных сетей нового поколения, могут сосуществовать в одной сетевой среде, имеют много общих характеристик и компонентов. При всем при этом SDN и NFV возникли независимо друг от друга в разных отраслях ИКТ-индустрии. Технология SDN относится к области ИТ и прежде всего стала применяться в центрах обработки данных, для виртуализации сетевого ресурса в ЦОД. Технология NFV зародилась в телекоме, ее инициировали и активно развивают телефонные компании, операторы связи и провайдеры доступа (например, Telefonica, Deutsche Telecom, AT&T). Подобным компаниям чрезвычайно интересна возможность использовать вместо дорогостоящих программно-аппаратных "middlebox" недорогие виртуальные машины (ВМ) на обычных серверах в ЦОД. Это позволяет "увести" такие сервисы как BRAS, Firewall, IMS, DPI, CDN в облако и, при наличии облачной платформы, сделать эти сервисы управляемыми и масштабируемыми. Таким образом, исторически технологии SDN и NFV развивались параллельно, безотносительно особенностей и возможностей друг друга. SDN – это управление, стек сетевых протоколов, пересмотр принципов управления сетью. NFV – это сокращение ROI, маркетинг, бизнес и архитектура, скорость ввода новых сервисов, дифференциация клиентов. Оба подхода нацелены на то, чтобы уменьшить сложность сети, обеспечить масштабируемость и автоматизацию управления, повысить эффективность использования физической инфраструктуры сетей за счет виртуализации, упростить развертывание, автоматизировать администрирование и снизить OPEX и CAPEX.
Если раньше телеком-операторы не рассматривали ЦОДы как актуальную для себя область, то сейчас все они, включая российских, запускают пилоты по использованию SDN и NFV и рассматривают эти технологии как взаимодополняющие. Существуют три варианта их совместного использования: NFV на базе SDN, когда SDN управляет размещением, взаимодействием, взаимоувязыванием (chaining) виртуализированных функций; SDN на базе NFV, где SDN является виртуализированным сервисом в тенанте (multi-tenant – многопользовательская вычислительная среда); SDN+NFV, когда две области взаимодополняют и существуют в самых разных комбинациях.
Контроллер управления ресурсами можно запустить на обычном сервере, но мы можем также виртуализировать функциональность управления SDN коммутаторами, поместить в облако, в результате чего получим симбиоз SDN и NFV. В случае с NFV на базе SDN, контроллер SDN используют для управления ресурсами физической инфраструктуры и платформы виртуализации.
Сейчас для того чтобы настроить географически распределенную развитую инфраструктуру с VPN, необходимо использовать MPLS, соответствующим образом настроить оборудование и иметь очень квалифицированный персонал. Представьте себе сеть оператора, который предоставляет услуги организации VPN уровня L2 для предприятий. В настоящее время эту услугу реализуют с помощью решения MPLS/VPLS, для чего необходимо сначала спроектировать виртуальную сеть, потом настроить все сетевые устройства. Такая задача требует серьезной квалификации персонала и времени. Мы можем виртуализировать функцию проектирования VPLS-туннелей с помощью несложного графического интерфейса, а настройку коммутаторов моментально произведет обычный SDN-контроллер. В этом случае мы можем создавать целые цепочки сервисов для различного вида трафика. Мы встраиваем мощный сервер с платформой поддержки и управления виртуализированными сервисами (NFV) в инфраструктуру сети, управляемой SDN-контроллером. Это позволяет управлять цепочками сервисов не только проактивно, но и реактивно, динамически (рис.1).
Для SDN на базе NFV, где SDN используется как виртуализированный сервис, ярким примером является тенант, который представляет собой виртуализированную инфраструктуру крупного предприятия. Естественное желание CIO такого предприятия – иметь контроль над политикой маршрутизации, над безопасностью трафика в таком сервисе. В этом случае вполне реально разместить контроллер с соответствующей системой приложений на одну из виртуальных машин, и он будет управлять виртуализированной сетью данного тенанта. Если CIO предприятия не хочет брать на себя всю головную боль, связанную с поддержкой работы контроллера, то он может запросить контроллер, как отдельно стоящий виртуализированный сервис, и подключить свой тенант к этой функции. При этом спецификация политики маршрутизации и администрирования сети будет исходными данными, а ее реализацией уже занимается контроллер.
Наконец, третий случай – SDN в сочетании с NFV (рис.2), когда внутри ЦОД можно использовать первый или второй сценарий, но это будет уже географически распределенная среда с единым уровнем оркестрации. При этом владельцу тенанта, конечному пользователю, все равно, где и как (если это облачная среда) реализуется тот или иной сервис.
Таким образом, создается сеть ЦОДов, на которых работают виртуализированные сервисы под управлением единого оркестратора, управляющего всеми ресурсами как единой средой.
Следует отметить, что сейчас активно разрабаты-ваются подходы, позволяющие объединить сеть ЦОДов, которые находятся под управлением разных облачных платформ. Пользователю такой инфраструктуры нужно каждый раз заботиться, как перенести свои приложения с одного гипервизора на другой или, как в случае OpenStack, для перехода с одной версии на другую нужно проделать огромную работу, чтобы перенести свои приложения. Не нужно думать, что это единая среда, которая работает на единой физической инфраструктуре. Это может быть географически распределенная сеть ЦОДов, поверх которой есть облачные платформы и уровень оркестрации, заставляющий выполнять нужные функции по управлению локальной инфраструктурой в интересах задаваемых пользователем задач.
Что касается применения NFV для ЦОД операторов и технологии OTT (over the top), то поставщики таких сервисов оттесняют телеком-операторов от своих клиентов, так как через веб-сервер запускают нужные им сервисы и используют инфраструктуру, которую обслуживает и поддерживает оператор, работающий как "труба". Вместе с тем, переход на NFV позволяет интегрировать услуги сторонних поставщиков в сеть, перенести услугу из сторонних дата-центров в ЦОД оператора и тем самым повысить его доходы. Возможно, произойдет передел рынка, в ходе которого клиенты будут постепенно переходить в ЦОДы операторов из классических дата-центров, построенных по бизнес-модели IaaS.
В мобильных сетях SDN обеспечивает оптимизацию радиочастотного ресурса, оптимизацию в зависимости от объекта (подвижного либо стационарного), возможность размещения ресурса именно там, где он востребован, кэширование информации, application aware QoS, балансировку нагрузки, цепочки сервисов и т.п. За оптимизацию трафика, проходящего в транспортной сети LTE, среди прочего, отвечает вошедшая в стандарт LTE технология S1-Flex, которая помогает распределять нагрузку в сети и резервировать ее ресурсы. Интерфейс S1 служит для соединения базовой станции (БС) с обслуживающим шлюзом сети LTE (SGW, Serving Gateway) и узлом поддержки мобильности (MME, Mobility Management Entity). Наконец, БС сети LTE самостоятельно выполняют ранее не свойственные им функции предварительного сжатия информации, а также ее шифрования. Соответственно, возросли требования к безопасности таких БС.
Пакетное ядро (EPC) – та часть мобильной сети, которая, вероятно, будет виртуализирована в ближайшем будущем, благодаря, с одной стороны, своей плоской (IP) структуре и необходимости в дополнительной гибкости и масштабируемости – с другой. Ядро сети более централизовано, чем сеть радиодоступа, поэтому его проще модернизировать, им управлять и виртуализировать. Ядро любой сотовой сети – набор ключевых технических элементов, систем и управляющих ими программных решений. К ядру подсоединены внешние элементы сети, такие, например, как сеть радиодоступа (сеть базовых станций, RAN) или магистральные каналы связи. Аббревиатура, которая заменяет специалистам понятие "архитектура ядра сети LTE", – SAE (System Architecture Evolution). Ядро сети 4G LTE, по сравнению с сетями предыдущих поколений, претерпело существенные изменения, при этом организация ядра существенно упростилась. Прежде всего это создание инфраструктуры MVNO (Mobile Virtual Network Operator), когда в сети происходит эволюция EPC в 4G, которая привела к возможности поддерживать там большое количество важных сервисов, связанных с возможностью размещения ресурсов, кэшированием информации, оптимизацией распределения радиочастотного ресурса и т.п. Самое главное – больше не нужны для этого специально выделенные аппаратные возможности. Достаточно базовой станции – некой антенны с небольшими дополнениями, которая имеет транспортную сеть связи к облачной инфраструктуре, где и реализуется вся логика, вся обработка соответствующих данных и реализация соответствующих сервисов. Все придет к тому, что гаджеты станут лишь графическим интерфейсом с очень хорошим высокоскоростным сетевым интерфейсом, а вся обработка переместится в облако – в ЦОД, к которому устройства будут подключаться автоматически.
В области транспортных сетей также наблюдается большой прогресс. Прежде всего это оптические транспортные сети (OTN, Optical Transport Network), которые позволяют осуществлять эффективную виртуализацию на уровне L2. Эффективным оказалось применение технологии OTN и для дефрагментации лямбд – частот на оптоволокне. По данным компании Siena, применение данной техники для оптимизации лямбд на основе оптической коммутации в тех точках, где оптический сигнал преобразуется в электрический и потом происходит обратное преобразование, позволяет высвободить до 40% емкости оптической сети. На текущий момент оператору сети, чтобы соединить точки А и Б на территории России, необходима минимум неделя для прохождения заявки, настройки и коммутации соответствующего оборудования, нахождения нужной лямбды и т.д. С помощью SDN это может сделать оператор за графическим интерфейсом, и тогда сам клиент может установить запрос через соответствующий портал – и через относительно небольшое время получить доступ к соответствующей линии связи.
Сегодня в транспортных сетях мы имеем иерархию сетей, начиная от уровня L1, включая оптические сети, до уровня L3 с IP-сетью, и SDN контроллер должен управлять согласовано на каждом из этих уровней. По-хорошему, выстраивая маршрут, мы должны просматривать все эти три уровня и учитывать оптимизацию на каждом из них. Для этого на контроллере необходимо иметь соответствующее приложение. В чем разница между контроллерами для ЦОДа, для региональной и для локальной сети? Первое – это быстродействие. Понятно, что для ЦОДа контроллер должен быть максимально быстрым, чтобы случайно не пропустить никакого события по приходу пакета. Если вы работаете в региональной сети, то это уже не так важно. Там частота событий совершенно другая, но там очень важен проактивный режим работы. Частота смены правил при этом не так велика. Другой аспект – состав приложений, тех сервисов, которые должен поддерживать контроллер: для ЦОДа это будет один состав, для локальной, региональной или корпоративной сети – другой.
Безопасность в SDN-сетях
Особое внимание требует безопасность SDN, поскольку эти сети имеют две особенности, делающие их особо привлекательными для киберпреступников, и довольно непривычными для менее подготовленных сетевых администраторов. Первая – возможность управлять сетью с помощью программного обеспечения (часто имеющего уязвимости), вторая – централизованное управление сетью из контроллера. Таким образом, любой, у кого есть доступ к серверам, хранящим в себе управляющее программное обеспечение, может потенциально контролировать всю сеть.
Рассмотрим основные атаки, которые специфичны для SDN-сетей. В плоскости данных это вопросы атак с использованием вредоносного кода, DDoS-атаки, атаки сетевых устройств внутри сети, вредоносные устройства в сети и уязвимости программного обеспечения (неустойчивость кода к внешним воздействиям и код с уязвимостями). В плоскости управления требуется обеспечить управление авторизацией доступа для сетей приложений, настроить аутентификацию доступа приложений на плоскость данных. При этом сеть должна обслуживать требования бизнес-приложений, а способы обеспечения безопасности определяет логика данных приложений. В каналах связи OpenFlow, где используются протоколы SSL/TLS, которые не являются обязательными, происходит аутентификация между контроллерами и OpenFlow-устройствами, и поддерживается насыщенность канала. На уровне контроллера необходимо исключить возможность его компрометации (не позволить атакующим управлять сетью): обеспечить целостность контроллера и строгий механизм аутентификации доступа к нему, предотвратить DDoS-атаки на контроллер и исключить внедрение в него нежелательной информации. Компрометация OpenFlow-коммутатора – очень большая проблема. Взять, например, вокзал, аэропорт или бизнес-центр. Понятно, что с точки зрения традиционной инфраструктуры нельзя в общедоступных местах выставить роутер, поскольку компрометация роутера приведет к компрометации всей сети. В подобных случаях SDN сеть оказывается очень полезной: можно расставить очень простые компактные OpenFlow-коммутаторы где угодно, а интеллект при этом "спрятать" в комнате под жестким административным контролем.
В свое время был проведен эксперимент с контроллерами OpenDayLight, Floodlight, Beacon и Pox, на которых запустили одинаковые приложения: одно провоцировало утечку памяти, другое пыталось получить доступ к структурам данных, с которыми работал контроллер, третье – запускало спонтанный выход из системы. В результате все четыре контроллера рухнули. Это говорит о том, что, если в контроллере не уделяется внимание изоляции приложений друг от друга, так, чтобы каждое работало в своем sandbox’e, – жди проблем. На самом деле даже в SDN проблемы с аутентификацией, авторизацией и аккаунтингом до конца еще не решены, и здесь предстоит еще многое сделать.
Конвергентные сети и сети информации
Что касается будущих трендов, то здесь следует отметить конвергентные сети. Нам знакомы мультисервисные сети, где основной фокус сделан на единую транспортную среду с гибкими механизмами управления качеством сервиса. В конвергентных сетях, которые активно развиваются на базе SDN/NFV, речь идет не столько об оптимизации и качестве сервиса (хотя и об этом тоже), сколько об умении динамически менять сервисы в сети. Яркий пример – Skype, при работе с которым совершенно не важно, с какой платформы вы туда заходите. Вам всегда будут доступны все сервисы независимо от того, в какой инфраструктуре вы при этом находитесь. Помимо организации удобного пользовательского интерфейса, современные конвергентные сети должны реализовать сразу несколько уровней функционирования инфраструктуры. Среди них обязательно должна присутствовать система обеспечения безопасности коммуникаций, надежная сеть передачи данных, широкий набор коммуникационных сервисов, которые обеспечивают адекватную коммутацию для разных типов данных на разных уровнях. В дополнение к этому конвергентная сеть должна включать в себя адаптивных клиентов, способных обращаться к сервисам и приложениям (ПК, сетевые компоненты), а также единую платформу управления всем этим перечнем приложений, аппаратных средств и каналов передачи данных.
Следует помнить, что даже с решением обозначенных проблем (построением OpenFlow-коммутаторов и контроллеров, написанием приложений для них, реализацией виртуальных сервисов), развитие не прекратится. Есть очень перспективное направление – сеть информации.
На сегодняшний день сеть рассматривается как взаимодействие двух устройств с уникальным адресом, в то время как информацию мы черпаем через поисковики. В СИ объектом адресации являются не устройства, а данные, информация. SDN тут чрезвычайно удобен, поскольку в таких сетях есть центр логической централизации – контроллер, который видит, когда, где и какие данные были размещены. Если есть запрос к данным, то это позволяет определить, где они, так как запрос на их размещение проходил через устройство. Такая сеть должна удовлетворять ряду требований: открывать доступ к названным ресурсам, а не хостам; обеспечивать масштабируемое распределение через репликацию и кэширование; предоставлять контроль разрешающей способности маршрутизации и доступа. В информационных сетях информацию можно сделать общедоступной; можно подписаться на интересующую информацию и получить доступ к ней; можно бороться с неконсистентностью, избыточностью информации, когда такая проблема возникает.
Перспективы отрасли
Ни для кого не секрет, что на международном уровне сейчас идет борьба за управление интернетом. На сегодняшний день интернет как техническая система де-факто находится не под управлением международного сообщества. Нужно создавать сети как федерацию сетей, когда есть их совокупность, но при этом каждая сеть имеет возможность объявлять что-то общедоступным, создавать правила использования ресурсами. Основным вопросом тут будет организация IXP – Internet Exchange Point. BGP устарел, в нем назрело много изменений. При этом IXP – это большой сложный коммутатор уровня L2, который сейчас управляется вручную. Было бы удобно управлять им как SDN-сетью, когда каждая информационная система, имея соответствующие изолированные друг от друга приложения, могла бы настраивать коммутатор в соответствии со своими потребностями.
Самое главное – SDN и NFV позволяют осуществлять динамическое обеспечение услуг, среди которых: предоставление пропускной способности по требованию, расширение возможности управления пользователем виртуальными сетями, эластичная пропускная способность, учитывающая "взрывной" трафик, оптимизация качества обслуживания сервисов в режиме реального времени и в зависимости от контекста, быстрое развертывание и конфигурирование информационных ресурсов предприятия, возможность быстрой кастомизации сервиса, федерация динамических виртуальных сетей от разных операторов. Эти технологии также позволяют расширять перечень предоставляемых услуг, добавляя контекстную оптимизацию качества сервисов в режиме реального времени, сервисы безопасности (firewall, IPS, IDS и безопасность конечных пользователей), IaaS (вычисление, хранение и "рабочий стол" как сервис), сетевые функции как сервис (vIMS и vEPC), связанность подключенного предприятия (SD-VPN и виртуальные CPE-сервисы).
Очевидно, что конвергенция SDN и NFV оказала значительное влияние на всю отрасль ИТ, позволяя значительно ускорить темпы ее развития. Сейчас наиболее важно, насколько быстро та или иная компания может адаптировать себя, свою инфраструктуру и свои бизнес-процессы под требования рынка. Интересное мнение по этому поводу высказал председатель правления Сбербанка Герман Греф. "Самый главный вызов сейчас, на мой взгляд, – скорость изменений и управления ими, – считает он. – Очевидно, что если ты меняешься медленнее, чем среда, то не можешь не отставать. И отставание очень быстро накапливается. Только раньше речь шла о квартальном или полугодичном цикле, а сейчас – о ежедневном". По словам Г.Грефа, ежегодно команда топ-менеджеров Сбербанка семь-восемь дней проводит в Стэнфорде, где днем они учатся на специально подготовленной для них программе, а по вечерам встречаются с финтех-стартапами или крупными компаниями. С подобными визитами они уже посетили и Apple, и Google. "Если раньше, когда мы приезжали, мало что менялось, то сейчас каждый раз чувство, что прошло года три. Скорость изменений просто колоссальная", – подчеркнул Г.Греф.
Технологии SDN и NFV прекрасно позволяют отвечать потребностям быстроменяющегося рынка. Притом что эти подходы не зависят друг от друга, SDN делает использование NFV более привлекательным, и наоборот. В то время как SDN осуществляет автоматизацию сети, позволяя на основе политики сети принимать решения, какой трафик и как будет проходить через сеть, NFV фокусируется на услугах сети и обеспечивает удовлетворение возможностей сети той виртуализированной среде, в которой эта сеть находится. Таким образом, использование этих двух подходов позволяет идти в ногу с инновациями в области ИТ. ■
Говоря о тенденциях рынка информационных технологий, прежде всего необходимо отметить значительное увеличение мобильности и более высокую степень виртуализации физического оборудования вместе с резким увеличением доходов от этих технологий. По оценке IDC, в ближайшие несколько лет темпы роста рынка в области конвергентных систем, когда большая часть инфраструктуры строится именно за счет виртуализации, будут значительно выше, нежели темпы роста рынка физического оборудования. По данным Gartner, в 2005 году лишь около 5% ресурсов центров обработки данных (ЦОД) были виртуализированы, а в 2014 году этот показатель превысил 70%. Аналитики IDC прогнозируют, что спрос на публичные облачные услуги в мире приблизится уже в 2016 году к 100 млрд. долл. США; совокупный рынок сетевого оборудования, серверов и внешних систем хранения данных будет расти в ближайшие пять лет среднегодовым темпом 0,1%, тогда как использование конвергентных систем сетевого оборудования, серверов и внешних СХД в виде виртуализированных сетевых сервисов (NFV) – с CAGR 19,6%.
Один из важнейших трендов – высокие темпы роста объема передаваемых данных, что приводит к сокращению доходности традиционного бизнеса в телекоме. Так, по данным МТС, в 2014 году объем переданных данных на одного абонента в сетях фиксированного широкополосного доступа в интернет вырос вдвое. Это связано с увеличением спроса на "тяжелый" медиаконтент, в частности потоковое видео. Не стоит также забывать про эффекты, которые появляются в связи с использованием новых технологий в области мультимедиа (например, использование 3D-видео кратно увеличивает объем передаваемых данных).
Другой важный тренд в контексте конвергенции SDN&NFV-технологий – рост числа центров обработки данных (ЦОД). Так, по оценке IDC, общее количество ЦОД в мире к 2018 году вырастет до 8,6 млн. Наиболее популярной услугой в ЦОД является колокация (co-location) – размещение у провайдера серверов и систем хранения данных клиента. В России насчитывается около 80 операторов ЦОД, при этом почти все они сконцентрированы в Москве и ее окрестностях или в Санкт-Петербурге. Более половины запросов на колокацию приходится от российских финансовых учреждений, включая банки, которые пользуются дата-центрами для резервирования. Как правило, банки арендуют 10–15 стоек, которых вполне достаточно для резервного хранения критических данных. В число важных клиентов ЦОД также входят интернет-магазины и различные проекты, специализирующиеся на электронной коммерции и контенте. Однако в последнее время одной из главнейших тенденций на рынке ЦОД становится изменение структуры предоставляемых сервис-провайдерами услуг. Так, облачные сервисы заняли уже четверть рынка услуг ЦОД. Постепенно это приведет к снижению доли услуг от колокации и хостинга в портфеле сервис-провайдеров, примерно до 50% (сейчас – 70%), и активная трансформация придется уже на ближайшие пару лет.
В этих условиях телеком-операторы будут вынуждены менять используемую бизнес-модель. В этом контексте нельзя не отметить очень интересное интервью миллиардера Михаила Фридмана журналу Forbes. По мнению М.Фридмана, если телеком не изменит свою бизнес-модель как держателя "трубы", через которую прокачивается большой объем траффика, то в относительно коротком будущем он столкнется со значительными экономическими проблемами. Например, уже сейчас Google и Apple пытаются разными технологическими способами потеснить операторов связи. Их основная идея состоит в том, чтобы брать деньги не за коннект, а за рекламу – условно говоря, за работу с клиентами, которые у них имеются. Люди не хотят платить за доступ к "трубе", поэтому тот же Google берет деньги не с пользователей, а с рекламодателей – за то, что обладает персональными данными своих пользователей.
Ни для кого не секрет, что банки нуждаются в информации о благонадежности своих заемщиков. Объединение информации, которая есть у мобильных операторов, с информацией в ритейле, – это для банков "золотое дно" с точки зрения бизнеса, и именно в этом направлении бизнес и должен развиваться. Этим путем в недалеком прошлом пошли Verizon и AT&T, которые создали соответствующие дочерние компании для предоставления сервиса по работе с анонимизированными данными своих клиентов (Precision Market Insights и AdWorkds соответственно). Компании, нуждающиеся в подобных данных, получают к ним доступ и могут проводить статистическую и аналитическую обработку. Как уже было сказано, общий тренд на сегодняшний день – рост объема трафика. При этом клиенты ожидают, что плата будет снижаться или, как минимум, не будет расти – и в результате сокращения доходности возникает острая необходимость менять модель бизнеса.
В нынешних условиях наиболее доходными форматами для бизнеса становятся конвергенция данных и сервисов. Для этого необходимы технологии, которые позволят менять состав и расположение сервисов внутри сети, динамично управлять потоками данных, обеспечивать пользователю возможность унифицированного доступа к сервисам независимо от его географического местоположения, используемого им оборудования или способа подключения к сети, – лишь при условии достаточной пропускной способности канала. Главным фактором успеха ИТ-бизнеса становится скорость адаптации компании к динамическим изменениям рынка. Цель данной статьи – показать синергию технологий SDN и NFV: то, как под их влиянием происходит конвергенция в ИКТ-инфраструктуре, и те возможности, которые при этом открываются.
Технологии SDN и NFV
SDN и NFV имеют много общего: относятся к технологиям компьютерных сетей нового поколения, могут сосуществовать в одной сетевой среде, имеют много общих характеристик и компонентов. При всем при этом SDN и NFV возникли независимо друг от друга в разных отраслях ИКТ-индустрии. Технология SDN относится к области ИТ и прежде всего стала применяться в центрах обработки данных, для виртуализации сетевого ресурса в ЦОД. Технология NFV зародилась в телекоме, ее инициировали и активно развивают телефонные компании, операторы связи и провайдеры доступа (например, Telefonica, Deutsche Telecom, AT&T). Подобным компаниям чрезвычайно интересна возможность использовать вместо дорогостоящих программно-аппаратных "middlebox" недорогие виртуальные машины (ВМ) на обычных серверах в ЦОД. Это позволяет "увести" такие сервисы как BRAS, Firewall, IMS, DPI, CDN в облако и, при наличии облачной платформы, сделать эти сервисы управляемыми и масштабируемыми. Таким образом, исторически технологии SDN и NFV развивались параллельно, безотносительно особенностей и возможностей друг друга. SDN – это управление, стек сетевых протоколов, пересмотр принципов управления сетью. NFV – это сокращение ROI, маркетинг, бизнес и архитектура, скорость ввода новых сервисов, дифференциация клиентов. Оба подхода нацелены на то, чтобы уменьшить сложность сети, обеспечить масштабируемость и автоматизацию управления, повысить эффективность использования физической инфраструктуры сетей за счет виртуализации, упростить развертывание, автоматизировать администрирование и снизить OPEX и CAPEX.
Если раньше телеком-операторы не рассматривали ЦОДы как актуальную для себя область, то сейчас все они, включая российских, запускают пилоты по использованию SDN и NFV и рассматривают эти технологии как взаимодополняющие. Существуют три варианта их совместного использования: NFV на базе SDN, когда SDN управляет размещением, взаимодействием, взаимоувязыванием (chaining) виртуализированных функций; SDN на базе NFV, где SDN является виртуализированным сервисом в тенанте (multi-tenant – многопользовательская вычислительная среда); SDN+NFV, когда две области взаимодополняют и существуют в самых разных комбинациях.
Контроллер управления ресурсами можно запустить на обычном сервере, но мы можем также виртуализировать функциональность управления SDN коммутаторами, поместить в облако, в результате чего получим симбиоз SDN и NFV. В случае с NFV на базе SDN, контроллер SDN используют для управления ресурсами физической инфраструктуры и платформы виртуализации.
Сейчас для того чтобы настроить географически распределенную развитую инфраструктуру с VPN, необходимо использовать MPLS, соответствующим образом настроить оборудование и иметь очень квалифицированный персонал. Представьте себе сеть оператора, который предоставляет услуги организации VPN уровня L2 для предприятий. В настоящее время эту услугу реализуют с помощью решения MPLS/VPLS, для чего необходимо сначала спроектировать виртуальную сеть, потом настроить все сетевые устройства. Такая задача требует серьезной квалификации персонала и времени. Мы можем виртуализировать функцию проектирования VPLS-туннелей с помощью несложного графического интерфейса, а настройку коммутаторов моментально произведет обычный SDN-контроллер. В этом случае мы можем создавать целые цепочки сервисов для различного вида трафика. Мы встраиваем мощный сервер с платформой поддержки и управления виртуализированными сервисами (NFV) в инфраструктуру сети, управляемой SDN-контроллером. Это позволяет управлять цепочками сервисов не только проактивно, но и реактивно, динамически (рис.1).
Для SDN на базе NFV, где SDN используется как виртуализированный сервис, ярким примером является тенант, который представляет собой виртуализированную инфраструктуру крупного предприятия. Естественное желание CIO такого предприятия – иметь контроль над политикой маршрутизации, над безопасностью трафика в таком сервисе. В этом случае вполне реально разместить контроллер с соответствующей системой приложений на одну из виртуальных машин, и он будет управлять виртуализированной сетью данного тенанта. Если CIO предприятия не хочет брать на себя всю головную боль, связанную с поддержкой работы контроллера, то он может запросить контроллер, как отдельно стоящий виртуализированный сервис, и подключить свой тенант к этой функции. При этом спецификация политики маршрутизации и администрирования сети будет исходными данными, а ее реализацией уже занимается контроллер.
Наконец, третий случай – SDN в сочетании с NFV (рис.2), когда внутри ЦОД можно использовать первый или второй сценарий, но это будет уже географически распределенная среда с единым уровнем оркестрации. При этом владельцу тенанта, конечному пользователю, все равно, где и как (если это облачная среда) реализуется тот или иной сервис.
Таким образом, создается сеть ЦОДов, на которых работают виртуализированные сервисы под управлением единого оркестратора, управляющего всеми ресурсами как единой средой.
Следует отметить, что сейчас активно разрабаты-ваются подходы, позволяющие объединить сеть ЦОДов, которые находятся под управлением разных облачных платформ. Пользователю такой инфраструктуры нужно каждый раз заботиться, как перенести свои приложения с одного гипервизора на другой или, как в случае OpenStack, для перехода с одной версии на другую нужно проделать огромную работу, чтобы перенести свои приложения. Не нужно думать, что это единая среда, которая работает на единой физической инфраструктуре. Это может быть географически распределенная сеть ЦОДов, поверх которой есть облачные платформы и уровень оркестрации, заставляющий выполнять нужные функции по управлению локальной инфраструктурой в интересах задаваемых пользователем задач.
Что касается применения NFV для ЦОД операторов и технологии OTT (over the top), то поставщики таких сервисов оттесняют телеком-операторов от своих клиентов, так как через веб-сервер запускают нужные им сервисы и используют инфраструктуру, которую обслуживает и поддерживает оператор, работающий как "труба". Вместе с тем, переход на NFV позволяет интегрировать услуги сторонних поставщиков в сеть, перенести услугу из сторонних дата-центров в ЦОД оператора и тем самым повысить его доходы. Возможно, произойдет передел рынка, в ходе которого клиенты будут постепенно переходить в ЦОДы операторов из классических дата-центров, построенных по бизнес-модели IaaS.
В мобильных сетях SDN обеспечивает оптимизацию радиочастотного ресурса, оптимизацию в зависимости от объекта (подвижного либо стационарного), возможность размещения ресурса именно там, где он востребован, кэширование информации, application aware QoS, балансировку нагрузки, цепочки сервисов и т.п. За оптимизацию трафика, проходящего в транспортной сети LTE, среди прочего, отвечает вошедшая в стандарт LTE технология S1-Flex, которая помогает распределять нагрузку в сети и резервировать ее ресурсы. Интерфейс S1 служит для соединения базовой станции (БС) с обслуживающим шлюзом сети LTE (SGW, Serving Gateway) и узлом поддержки мобильности (MME, Mobility Management Entity). Наконец, БС сети LTE самостоятельно выполняют ранее не свойственные им функции предварительного сжатия информации, а также ее шифрования. Соответственно, возросли требования к безопасности таких БС.
Пакетное ядро (EPC) – та часть мобильной сети, которая, вероятно, будет виртуализирована в ближайшем будущем, благодаря, с одной стороны, своей плоской (IP) структуре и необходимости в дополнительной гибкости и масштабируемости – с другой. Ядро сети более централизовано, чем сеть радиодоступа, поэтому его проще модернизировать, им управлять и виртуализировать. Ядро любой сотовой сети – набор ключевых технических элементов, систем и управляющих ими программных решений. К ядру подсоединены внешние элементы сети, такие, например, как сеть радиодоступа (сеть базовых станций, RAN) или магистральные каналы связи. Аббревиатура, которая заменяет специалистам понятие "архитектура ядра сети LTE", – SAE (System Architecture Evolution). Ядро сети 4G LTE, по сравнению с сетями предыдущих поколений, претерпело существенные изменения, при этом организация ядра существенно упростилась. Прежде всего это создание инфраструктуры MVNO (Mobile Virtual Network Operator), когда в сети происходит эволюция EPC в 4G, которая привела к возможности поддерживать там большое количество важных сервисов, связанных с возможностью размещения ресурсов, кэшированием информации, оптимизацией распределения радиочастотного ресурса и т.п. Самое главное – больше не нужны для этого специально выделенные аппаратные возможности. Достаточно базовой станции – некой антенны с небольшими дополнениями, которая имеет транспортную сеть связи к облачной инфраструктуре, где и реализуется вся логика, вся обработка соответствующих данных и реализация соответствующих сервисов. Все придет к тому, что гаджеты станут лишь графическим интерфейсом с очень хорошим высокоскоростным сетевым интерфейсом, а вся обработка переместится в облако – в ЦОД, к которому устройства будут подключаться автоматически.
В области транспортных сетей также наблюдается большой прогресс. Прежде всего это оптические транспортные сети (OTN, Optical Transport Network), которые позволяют осуществлять эффективную виртуализацию на уровне L2. Эффективным оказалось применение технологии OTN и для дефрагментации лямбд – частот на оптоволокне. По данным компании Siena, применение данной техники для оптимизации лямбд на основе оптической коммутации в тех точках, где оптический сигнал преобразуется в электрический и потом происходит обратное преобразование, позволяет высвободить до 40% емкости оптической сети. На текущий момент оператору сети, чтобы соединить точки А и Б на территории России, необходима минимум неделя для прохождения заявки, настройки и коммутации соответствующего оборудования, нахождения нужной лямбды и т.д. С помощью SDN это может сделать оператор за графическим интерфейсом, и тогда сам клиент может установить запрос через соответствующий портал – и через относительно небольшое время получить доступ к соответствующей линии связи.
Сегодня в транспортных сетях мы имеем иерархию сетей, начиная от уровня L1, включая оптические сети, до уровня L3 с IP-сетью, и SDN контроллер должен управлять согласовано на каждом из этих уровней. По-хорошему, выстраивая маршрут, мы должны просматривать все эти три уровня и учитывать оптимизацию на каждом из них. Для этого на контроллере необходимо иметь соответствующее приложение. В чем разница между контроллерами для ЦОДа, для региональной и для локальной сети? Первое – это быстродействие. Понятно, что для ЦОДа контроллер должен быть максимально быстрым, чтобы случайно не пропустить никакого события по приходу пакета. Если вы работаете в региональной сети, то это уже не так важно. Там частота событий совершенно другая, но там очень важен проактивный режим работы. Частота смены правил при этом не так велика. Другой аспект – состав приложений, тех сервисов, которые должен поддерживать контроллер: для ЦОДа это будет один состав, для локальной, региональной или корпоративной сети – другой.
Безопасность в SDN-сетях
Особое внимание требует безопасность SDN, поскольку эти сети имеют две особенности, делающие их особо привлекательными для киберпреступников, и довольно непривычными для менее подготовленных сетевых администраторов. Первая – возможность управлять сетью с помощью программного обеспечения (часто имеющего уязвимости), вторая – централизованное управление сетью из контроллера. Таким образом, любой, у кого есть доступ к серверам, хранящим в себе управляющее программное обеспечение, может потенциально контролировать всю сеть.
Рассмотрим основные атаки, которые специфичны для SDN-сетей. В плоскости данных это вопросы атак с использованием вредоносного кода, DDoS-атаки, атаки сетевых устройств внутри сети, вредоносные устройства в сети и уязвимости программного обеспечения (неустойчивость кода к внешним воздействиям и код с уязвимостями). В плоскости управления требуется обеспечить управление авторизацией доступа для сетей приложений, настроить аутентификацию доступа приложений на плоскость данных. При этом сеть должна обслуживать требования бизнес-приложений, а способы обеспечения безопасности определяет логика данных приложений. В каналах связи OpenFlow, где используются протоколы SSL/TLS, которые не являются обязательными, происходит аутентификация между контроллерами и OpenFlow-устройствами, и поддерживается насыщенность канала. На уровне контроллера необходимо исключить возможность его компрометации (не позволить атакующим управлять сетью): обеспечить целостность контроллера и строгий механизм аутентификации доступа к нему, предотвратить DDoS-атаки на контроллер и исключить внедрение в него нежелательной информации. Компрометация OpenFlow-коммутатора – очень большая проблема. Взять, например, вокзал, аэропорт или бизнес-центр. Понятно, что с точки зрения традиционной инфраструктуры нельзя в общедоступных местах выставить роутер, поскольку компрометация роутера приведет к компрометации всей сети. В подобных случаях SDN сеть оказывается очень полезной: можно расставить очень простые компактные OpenFlow-коммутаторы где угодно, а интеллект при этом "спрятать" в комнате под жестким административным контролем.
В свое время был проведен эксперимент с контроллерами OpenDayLight, Floodlight, Beacon и Pox, на которых запустили одинаковые приложения: одно провоцировало утечку памяти, другое пыталось получить доступ к структурам данных, с которыми работал контроллер, третье – запускало спонтанный выход из системы. В результате все четыре контроллера рухнули. Это говорит о том, что, если в контроллере не уделяется внимание изоляции приложений друг от друга, так, чтобы каждое работало в своем sandbox’e, – жди проблем. На самом деле даже в SDN проблемы с аутентификацией, авторизацией и аккаунтингом до конца еще не решены, и здесь предстоит еще многое сделать.
Конвергентные сети и сети информации
Что касается будущих трендов, то здесь следует отметить конвергентные сети. Нам знакомы мультисервисные сети, где основной фокус сделан на единую транспортную среду с гибкими механизмами управления качеством сервиса. В конвергентных сетях, которые активно развиваются на базе SDN/NFV, речь идет не столько об оптимизации и качестве сервиса (хотя и об этом тоже), сколько об умении динамически менять сервисы в сети. Яркий пример – Skype, при работе с которым совершенно не важно, с какой платформы вы туда заходите. Вам всегда будут доступны все сервисы независимо от того, в какой инфраструктуре вы при этом находитесь. Помимо организации удобного пользовательского интерфейса, современные конвергентные сети должны реализовать сразу несколько уровней функционирования инфраструктуры. Среди них обязательно должна присутствовать система обеспечения безопасности коммуникаций, надежная сеть передачи данных, широкий набор коммуникационных сервисов, которые обеспечивают адекватную коммутацию для разных типов данных на разных уровнях. В дополнение к этому конвергентная сеть должна включать в себя адаптивных клиентов, способных обращаться к сервисам и приложениям (ПК, сетевые компоненты), а также единую платформу управления всем этим перечнем приложений, аппаратных средств и каналов передачи данных.
Следует помнить, что даже с решением обозначенных проблем (построением OpenFlow-коммутаторов и контроллеров, написанием приложений для них, реализацией виртуальных сервисов), развитие не прекратится. Есть очень перспективное направление – сеть информации.
На сегодняшний день сеть рассматривается как взаимодействие двух устройств с уникальным адресом, в то время как информацию мы черпаем через поисковики. В СИ объектом адресации являются не устройства, а данные, информация. SDN тут чрезвычайно удобен, поскольку в таких сетях есть центр логической централизации – контроллер, который видит, когда, где и какие данные были размещены. Если есть запрос к данным, то это позволяет определить, где они, так как запрос на их размещение проходил через устройство. Такая сеть должна удовлетворять ряду требований: открывать доступ к названным ресурсам, а не хостам; обеспечивать масштабируемое распределение через репликацию и кэширование; предоставлять контроль разрешающей способности маршрутизации и доступа. В информационных сетях информацию можно сделать общедоступной; можно подписаться на интересующую информацию и получить доступ к ней; можно бороться с неконсистентностью, избыточностью информации, когда такая проблема возникает.
Перспективы отрасли
Ни для кого не секрет, что на международном уровне сейчас идет борьба за управление интернетом. На сегодняшний день интернет как техническая система де-факто находится не под управлением международного сообщества. Нужно создавать сети как федерацию сетей, когда есть их совокупность, но при этом каждая сеть имеет возможность объявлять что-то общедоступным, создавать правила использования ресурсами. Основным вопросом тут будет организация IXP – Internet Exchange Point. BGP устарел, в нем назрело много изменений. При этом IXP – это большой сложный коммутатор уровня L2, который сейчас управляется вручную. Было бы удобно управлять им как SDN-сетью, когда каждая информационная система, имея соответствующие изолированные друг от друга приложения, могла бы настраивать коммутатор в соответствии со своими потребностями.
Самое главное – SDN и NFV позволяют осуществлять динамическое обеспечение услуг, среди которых: предоставление пропускной способности по требованию, расширение возможности управления пользователем виртуальными сетями, эластичная пропускная способность, учитывающая "взрывной" трафик, оптимизация качества обслуживания сервисов в режиме реального времени и в зависимости от контекста, быстрое развертывание и конфигурирование информационных ресурсов предприятия, возможность быстрой кастомизации сервиса, федерация динамических виртуальных сетей от разных операторов. Эти технологии также позволяют расширять перечень предоставляемых услуг, добавляя контекстную оптимизацию качества сервисов в режиме реального времени, сервисы безопасности (firewall, IPS, IDS и безопасность конечных пользователей), IaaS (вычисление, хранение и "рабочий стол" как сервис), сетевые функции как сервис (vIMS и vEPC), связанность подключенного предприятия (SD-VPN и виртуальные CPE-сервисы).
Очевидно, что конвергенция SDN и NFV оказала значительное влияние на всю отрасль ИТ, позволяя значительно ускорить темпы ее развития. Сейчас наиболее важно, насколько быстро та или иная компания может адаптировать себя, свою инфраструктуру и свои бизнес-процессы под требования рынка. Интересное мнение по этому поводу высказал председатель правления Сбербанка Герман Греф. "Самый главный вызов сейчас, на мой взгляд, – скорость изменений и управления ими, – считает он. – Очевидно, что если ты меняешься медленнее, чем среда, то не можешь не отставать. И отставание очень быстро накапливается. Только раньше речь шла о квартальном или полугодичном цикле, а сейчас – о ежедневном". По словам Г.Грефа, ежегодно команда топ-менеджеров Сбербанка семь-восемь дней проводит в Стэнфорде, где днем они учатся на специально подготовленной для них программе, а по вечерам встречаются с финтех-стартапами или крупными компаниями. С подобными визитами они уже посетили и Apple, и Google. "Если раньше, когда мы приезжали, мало что менялось, то сейчас каждый раз чувство, что прошло года три. Скорость изменений просто колоссальная", – подчеркнул Г.Греф.
Технологии SDN и NFV прекрасно позволяют отвечать потребностям быстроменяющегося рынка. Притом что эти подходы не зависят друг от друга, SDN делает использование NFV более привлекательным, и наоборот. В то время как SDN осуществляет автоматизацию сети, позволяя на основе политики сети принимать решения, какой трафик и как будет проходить через сеть, NFV фокусируется на услугах сети и обеспечивает удовлетворение возможностей сети той виртуализированной среде, в которой эта сеть находится. Таким образом, использование этих двух подходов позволяет идти в ногу с инновациями в области ИТ. ■
Отзывы читателей
