Обзор подготовлен

Основные сервисы ЦОД

В статье приводится обзор различных сервисов, которые поддерживаются архитектурой центра обработки данных. Эти сервисы дополняют или расширяют возможности сети.

Сервисы центра не только связаны друг с другом, но в некоторых случаях и зависят один от другого. Основой для всех сервисов является инфраструктура, которая составляет основу любой сети и, следовательно, любых сервисов. Когда инфраструктура создана, можно создавать сервисы группы серверов; аналогично, когда создана группа серверов, можно создавать сервисы хранилища.

Сервисы центра обработки данных

Источник: Cisco

Последние два сервиса (Управление Рисками и Управление Аудитом систем) связаны или обуславливают все существующие сервисы. В первую очередь это защита, которая как сервис должна быть связана со всеми прочими сервисами, обеспечивая собою структурированную и последовательно защищенную архитектуру. Наконец, всеми сервисами необходимо управлять: каждым по отдельности, но и всеми вместе. Сервисы управления охватывают все сервисы центра обработки данных.

Сервисы инфраструктуры

К сервисам инфраструктуры относятся основные средства, необходимые для работы инфраструктуры центра, а также являющиеся основой для всех прочих его сервисов. Средства инфраструктуры можно разбить на следующие группы:

• Уровень 1 (модель OSI)
• Уровень 2 (модель OSI)
• Уровень 3 (модель OSI)
• Сервисы интеллектуальных сетей

Средства уровня 1 обеспечивают физический доступ и технологии транспортировки, такие как Division Multiplexing (DWDM), Coarse Wave Division Multiplexing (CWDM), SONET или оптические каналы. Такие технологии обеспечивают взаимное подключение крупных сетей или центров и обеспечивают их бизнес-приложениям широкую полосу пропускания с предсказуемой небольшой задержкой.

Например, технология DWDM позволяет подключать различные физические каналы, такие как оптические, Gigabit Ethernet, ATM и ESCON. Такая возможность требуется, например, для магистрального расширения Storage Area Networks (SAN) по сетям SONET или IP, а также для расширения на близкое расстояние того же Storage Area Networks (SAN) по сетям DWDM/CWDM, SONET или IP (Ethernet).

Средства, поддерживающие эти сервисы, связаны с прозрачностью, когда различные типы каналов поддерживаются в рамках единой транспортной инфраструктуры.

Средства уровня 2 обеспечивают доступ к среде передачи и дополнительные технологии транспортировки с одной стороны, а с другой стороны дают быструю сходимость, резервируемость, предсказуемость и масштабируемость самого уровня 2.

В дополнение к таким средствам сетевого доступа как Gigabit Ethernet и ATM, есть еще и Packet over SONET (PoS) или IP over Optical. Для детерминированных топологий возможности уровня 2 гарантируют время сходимости протокола Spanning Tree Protocol (STP) в единицы секунд, а также предсказуемость сценариев сбоя и восстановления.

Список предлагаемых средств включает в себя: 802.1s MST, 802.1w RSTP, 802.1ad, 802.1q, 802.1p, UplinkFast, PortFast, Loop Guard, BPDU Guard, распознавание однонаправленного канала (uni-directional Link detection — UDLD) и подавление широковещательных рассылок (Broadcast Suppression).

Средства уровня 3 обеспечивают быстро сходимую сеть с динамической маршрутизацией, включая сюда же надежность основных сервисов уровня 3 таких как обеспечение шлюзов по умолчанию. Целью является построение такого уровня 3, который обеспечит предсказуемость работы сети в нормальных и в аварийных обстоятельствах.

В список средств входят поддержка BGP и IGP, таких как OSPF и EIGRP, с дополнительными протоколами HSRP, MHSRP и VRRP, обеспечивающими резервирование шлюзов по умолчанию.

Сервисы интеллектуальных сетей охватывают ряд средств, предлагающих сервисы для приложений в масштабе всей сети. Наиболее известными из них являются многоадресные рассылки и обеспечение качества обслуживания, но есть и другие не менее важные, например, виртуальные частные сети (Private VLANs — PVLANs) и политики маршрутизации (Policy Based Routing — PBR).

В дополнение к традиционным корпоративным приложениям эти средства обеспечивают работу таких приложений как живое (или запрашиваемое) видео и IP-телефония. Важность качества обслуживания для центра обработки данных имеет два свойства: маркировка трафика приложений и ограничение полосы пропускания, гарантирующее работу качества обслуживания на выходе трафика из центра.

Если такие функции используются в центре, то и на всем предприятии вводятся аналогичные политики качества обслуживания для обеспечения работы приложений. Функции многоадресной рассылки используются для эффективной рассылки трафика, адресованного нескольким пользователям.

Как и в случае с качеством обслуживания вся остальная корпоративная сеть также поддерживает эту функцию и потому сгенерированный поток передается всем пользователям одновременно.

Сервисы групп серверов

К сервисам групп серверов относится набор средств, придающих группе интеллектуальность. Эти средства одинаково подходят для увеличения производительности серверов и для инспектирования пакетов на Уровне 4 и Уровне 5. Средства групп серверов организованы по устройствам, которые их поддерживают. Список этих средств таков:

• Коммутация контента
• Кэширование
• Обработка сессий SSL
• Преобразование контента

Средства коммутации контента применяются для масштабирования групп серверов. Реализуют эти сервисы, предлагаемые группами серверов, коммутаторы контента; они принимают и контролируют поступающие к этим сервисам запросы.

Запросы распределяются между различными сервера на основе информации уровня 4 или уровня 5, что позволяет организовать сервера в зависимости от обслуживаемого ими контента.

Например, несколько серверов, выделенных для обслуживания потокового видео (поддерживающие несколько серверов видео) могут быть отделены от группы других серверов, которые поддерживают работу скриптов и приложений.

Коммутатор контента должен уметь распознавать запрос файлов формата *.mpg, поступающий к первой группе серверов, и запрос файлов формата *.cgi поступающий ко второй группе. Вообще масштабирование групп серверов легко осуществляется путем введения в группу еще одного сервера, а при наличии коммутатора контента такая операция проходит незаметно.

Средства кэширования, работающие в режиме Reverse Proxy Caching (RPC), предназначены, для того чтобы разгрузить группы серверов от служебного статического контента. Процесс разгрузки прозрачен и для пользователей и для серверов.

Средства обработки SSL предназначены для разгрузки серверов от обработки SSL-подключений, передавая эту задачу какому-либо иному устройству, которое поддерживает SSL.

Этот подход дает два преимущества: освобождение группы серверов от обработки SSL и возможность просмотра полезной нагрузки SSL-пакетов коммутатором контента. Благодаря первому преимуществу возникает возможность управлять сессиями SSL централизовано.

Второе преимущество позволяет коммутатору контента распределять нагрузку в зависимости от информации уровня 4 или уровня 5 еще до того повторного шифрования пакетов, а затем переслать их соответствующему серверу.

Средства преобразования контента позволяют динамически трансформировать предварительно форматированные web-страницы для того типа устройств, который к ним обращается.

Например, IP-телефон может использоваться для просмотра Интранета, хотя на нем не видны те детали, которые видны при просмотре на полном экране компьютера. Преобразование контента выполняется путем определения типа браузера и трансформации страницы в соответствующий вид.

Сервисы хранения

К сервисам хранения относится ряд средств, поддерживающих консолидацию хранилищ и обеспечивающих подключения типа «хранилище-к-IP» и «хранилище-к-хранилищу». Предлагаются следующие средства:

• Хранилище, подключенное к сети (Network Attached Storage — NAS)
• Сети хранения (Storage Area Networks — SAN) для IP: Fiber Channel и SCSI over IP

Консолидация хранилищ подводит к использованию NAS и SAN. NAS опирается на инфраструктуру IP и в частности на такие средства как QoS, что гарантирует корректность файлов передаваемых по IP на NAS сервера.

SAN обычно организуются в тех центрах обработки данных, где сервер подключается к хранилищу по оптическому интерфейсу и обменивается с хранилищем командами SCSI. Ресурсы SAN должны быть доступны для NAS и более крупных сетей IP.

Для обеспечения доступа и подключаемости про IP существуют технологии FC over IP (FCIP) и SCSI over IP (iSCSI). Затем команды SCSI передаются по IP, обеспечивая тем самым подключение «хранилище-к-IP» и «хранилище-к-хранилищу» на основе инфраструктуры IP.

Сервисы SAN по-прежнему распространены в центрах обработки данных и потому в локализованном виде они становятся важны для связи хранилищ на скорости оптического канала. Другие средства предназначены для обеспечения перехода от оптического канала к iSCSI для подключений «хранилище-к-IP» и «хранилище-к-хранилищу».

Сервисы защиты

К защитным сервисам относятся средства и технологии, позволяющие защитить сетевую среду. Средства группируются либо по предлагающим их устройствам, либо по функциям, повышающим защищенность сети.

Принципиальный подход к защите центра обработки данных, учитывая важность находящейся в нем информации, требует такой защиты, которая объединяла бы все сервисы и, следовательно, все устройства, поддерживающие эти сервисы. Приведем список средств защиты:

• Списки контроля доступа (ACLs)
• Межсетевые экраны
• Серверные и сетевые системы обнаружения и предотвращения вторжений (IDS/IPS)
• Аутентификация, Авторизация, Учет (AAA)
• Другие сервисы защиты

Сервисы контроля доступа используются для предотвращения несанкционированного доступа к устройствам инфраструктуры и в меньшей степени для защиты тех сервисов групп серверов, которые находятся в разных точках инфраструктуры центра. Списки ACL существуют в разных видах: Router ACL (RACL), VLAN ACL (VACL) и QoS ACL.

Каждый из них используется для своих целей, соответственно с механизмами контроля маршрутизации, VLAN и QoS. Важной особенностью списков ACL является возможность анализ и классификация пакетов, не снижающая при этом производительность. Это реально если анализ организуется аппаратно и ACL работает на скорости средств передачи или каналов.

Средства межсетевого экранирования используются в тех местах, где ясно определена граница между хорошо и плохо защищенными сетевыми периметрами. Хотя межсетевые экраны традиционно устанавливаются на подключениях с сети Интернет и на границе центра обработки данных, они также используются в многоуровневых условиях серверных групп, усиливая защиту между отдельными уровнями.

Для активного решения проблем защиты применяются системы обнаружения и предотвращения вторжений. Обнаружение вторжения и последующее извещение о нем являются основными шагами для надежной защиты центра, целью которого является защита данных.

Хостовые системы предлагает мгновенный анализ и реагирование на попытки взлома приложений или web-серверов. Такая система обнаружения/предотвращения вторжений способна распознать атаку и предотвратить доступ к серверным ресурсам еще до того, как будет запущена неавторизованная транзакция.

AAA (Аутентификация, Авторизация, Учет) предлагает еще один уровень защиты, запрещая пользователям неавторизованный доступ и гарантируя ограниченность действий пользователя рамками заданного профиля. Транзакции всех авторизованных и аутентифицированных пользователей регистрируются и доступны для анализа, например, для задач биллинга.

Прочие средства защиты зависят от специфических политик предприятия. Это могут быть одноразовые пароли (One Time Passwords — OTP), SSH или IPSEC между устройством и пользователем, CDP для обнаружения соседних устройств CISCO, их номеров и версий ПО, защита VTY, шаблоны защиты маршрутизаторов и коммутаторов, и т.п.

Сервисы управления

Сервисы управления, во многом аналогично сервисам защиты, охватывают все прочие сервисы центра обработки данных и в том числе сервисы защиты. Фактически, подход к внедрению сервисов управления во многом связан с особенностями сервисов центра обработки данных, поскольку каждый из них выдвигает свои требования к управлению.

Каждый сервис, скорее всего, поддерживается различными субъектами предприятия (а иногда эти субъекты являются группами), специализирующимися на использовании, наблюдении и отладке этого сервиса.

Ведущие разработчики рекомендуют иметь политику сетевого управления и управлять сервисами центра на основе последовательного и целостного подхода. Среди не менее важных советов — следование стандарту управления FCAPS OSI и применение стандартных категорий для предоставления функциональности управления.

Модель FCAPS широко используется для описания функций сетевого управления и их роли в управлении сетевой инфраструктурой. Назовем описываемые средства управления:

• Управление конфигурацией
• Управление сбоями
• Управление производительностью
• Управление защитой
• Управление наблюдаемостью, отчетностью

При планировании сервисов управления обязательно учесть каждую из названных категорий. Например, можно использовать такие протоколы, как SNMP для передачи сведений о производительности или сбоях приложениям сетевого управления, которые в свою очередь передают соответствующую информацию техническому персоналу.

Некоторые приложения сетевого управления имеют также и средства управления конфигурацией. Однако, в планах работы центра обработки данных должно быть предусмотрено использование стандарта управления. Также должна использоваться архитектура AAA (Аутентификация, Авторизация, Учет), которая вместе с протоколами RADIUS или TACACS+ обслуживает как сервисы защиты, так и сервисы управления.

Михаил Кадер / Cisco