Dok se uz pomoć tehnologija za virtuelizaciju servera i storidž‑sistema virtuelne mašine kreiraju za veoma kratko vreme, tradicionalni pristup umrežavanju ne omogućava taj nivo efikasnosti. Administratori mreža uglavnom moraju da se oslone na terminal, skripte i komandne linije kako bi manipulisali VLAN‑ovima, firewall pravilima, pristupnim listama, uređajima za balansiranje opterećenja i dr. Složenost i rizik dodatno komplikuje potreba da se osigura stanje u kome promena koja nastaje zbog jedne aplikacije ne utiče na ostale. Istraživanja su pokazala da je više od 60% otkazivanja mreža uzrokovano greškom onih koji konfigurišu opremu.
Tradicionalni pristup konfigurisanju mrežnih uređaja takav je da je mobilnost mrežnog opterećenja ograničena na fizički razdvojene delove mreže i zone. Kako bi iskoristili dostupne kompjuterske resurse u data‑centru, mrežni administratori su prinuđeni da konfigurišu svaki uređaj posebno, bilo da su to VLAN‑ovi, pristupne liste, firewall pravila i dr.
Proces konfigurisanja je uglavnom spor i kompleksan, a ponekad dovodi i do iskorišćenja konfiguracionih limita (npr. maksimalan broj VLAN‑ova). Ovakav pristup organizaciji mreže često dovodi do neoptimalnog iskorišćavanja serverskog prostora, jer su VM ograničene na jednu fizičku lokaciju. Jedan od izazova je i postavljanje centralizovanih firewall uređaja u data‑centrima, koji su po prirodi veoma dinamične sredine. Praksa je da se često dodaju nova pravila, a retko kada se ta pravila brišu, uglavnom iz straha da ne dođe do prekida servisa.
Rešenje za virtuelne mreže
Rešenje za izazove sa kojima se administratori sreću jeste virtuelizacija mreža. Ono što je urađeno sa kompjuterskim i storidž resursima, sada je potrebno uraditi i sa mrežnim resursima. A sa virtuelizacijom servera, storidž‑sistema i mreže dolazimo do koncepta koji se naziva softverski definisan data‑centar (SDDC). On je u potpunosti nezavistan od hardvera na kome se nalazi, a odlikuju ga automatizacija i mobilnost.
Za virtuelizaciju mreža potreban je mrežni hipervizor koji reprodukuje kompletan set mrežnih servisa u softveru. Fizička mreža se ponaša kao skup transportnih servisa koji se dodeljuju programabilno, a kao rezultat – virtuelne mreže se kreiraju za par sekundi i nezavisne su od mrežnog hardvera.
Kompanija VMware razvila je platformu za virtuelizaciju mreža koja se naziva NSX, a koja omogućava programabilno kreiranje mreža, menjanje i brisanje, pri čemu se mrežni uređaji koriste samo kao transportni kapacitet. Mrežni i sigurnosni servisi u softveru distribuirani su ka hipervizorima i vezani su za određenu virtuelnu mašinu, u skladu sa njenom sigurnosnom politikom. Ako VM migrira na drugi fizički server, njena sigurnosna polisa se seli, bilo da je taj server u istom data‑centru ili na drugoj lokaciji.
NSX, kao rešenje koje podržava različite hipervizore, upravlja virtuelnim svičevima koji su već prisutni u serverskim hipervizorima. Pored toga, NSX koordiniše mrežnim servisima za svaku virtuelnu mašinu povezanu u virtuelnu mrežu. Kao što je virtuelna mašina softverski kontejner koji predstavlja logički kompjuterski resurs za aplikaciju, tako je i virtuelna mreža softverski kontejner koji reprezentuje logičke mrežne servise, koji zahtevaju samo transportnu mrežu na sloju ispod.
Kako radi NSX?
Virtuelizaciju mreža omogućava kreiranje novog sloja iznad fizičke mreže. Da bi to omogućio, NSX koristi VXLAN tehnologiju koja vrši distribuciju konfiguracije ka hipervizorima, a svaka virtuelna mreža odgovara jednom VXLAN‑u. Za fizičku mrežu VXLAN‑ovi su uglavnom nevidljivi. NSX kontroler, kao najvažnija komponenta, zadužen je za održavanje MAC tabela i rešavanje problema nevidljivosti virtuelnih mašina za fizičke svičeve. Virtuelne mreže mogu da se nalaze na hostovima koji nisu u istom IP opsegu, pa čak ni na istoj lokaciji. To znači da je L2 segment (jedan adresni opseg) moguće raširiti na više data‑centara, ako postoji njihova međusobna veza.
Jedna od prednosti NSX‑a jeste to što virtuelnim svičevima dodaje funkcionalnosti distribuiranog rutiranja i distribuiranog firewall‑a. Time se smanjuje količina saobraćaja koji izlazi iz jednog hipervizora. U modernim data‑centrima preko 70% saobraćaja je tzv. East‑West, odnosno saobraćaj između virtuelnih mašina. Na ilustraciji se može videti komunikacija dve virtuelne mašine koje se nalaze na istom fizičkom serveru u slučaju centralizovanog i distribuiranog rutiranja i firewall‑a.
Distribuirani firewall omogućava mikrosegmentaciju, što obezbeđuje izolovanje virtuelnih mašina koje pripadaju istom segmentu mreže. Moguće je i kreirati virtuelne mreže koje koriste iste IP adrese, što omogućava odvajanje virtuelnih mašina za razvoj, test i produkciju, kako ne bi došlo do kolizije.
NSX se integriše sa različitim platformama za upravljanje cloud sistemima, kao što su vCloud Automation Center, OpenStack ili CloudStack. Upravljanje virtuelnim mrežama, kao i virtuelnim mašinama, centralizovano je, što znatno ubrzava proces kreiranja novih aplikacija i servisa. NSX značajno poboljšava i bezbednost mreže: osim što je sigurnosne polise moguće kreirati granulirano, one nisu vezane samo za IP adrese, već mogu biti bazirane na virtuelnim kontejnerima, aplikacijama ili Active Directory identitetima.
Milan Vujović
Slika 1: Uporedni prikaz virtuelizacije servera i mreže
Slika 2: Rutiranje i firewall na istom serveru, sa i bez NSX-a
0 komentara