Насколько вы готовы к работе с программно-определяемыми сетями (SDN)?

Современному успешному предприятию требуется «быстрая и плоская» сеть, некая «компонуемая» инфраструктура, которая способна обеспечить необходимую гибкость вашему бизнесу благодаря возможности быстро наращивать вычислительные ресурсы и ресурсы для хранения данных, чтобы гарантировать тем самым предоставление доступа к данным и приложениям в любое время и из любого места. Тесный симбиоз программно-определяемых сетей (Software Defined Networking, SDN) с инфраструктурой публичного облака (public cloud) и быстро развивающимися инструментами оркестровки (orchestration tools) является именно таким выбором. Новый сервис VMware Cloud on AWS является хорошим примером такой гибкости. Что еще примечательно, большинство крупных предприятий (85 %, согласно опросу более одной тысячи ИТ-специалистов, проведенному журналом Harvard Business Review еще в 2017 году) уже в то время имели свою многооблачную стратегию.

Тем не менее абстракция систем хранения и вычислений, а также сетей, независимо от того, развернуты они локально или в облаке, кардинальным образом трансформирует инициализацию и предоставление бизнес-сервисов и приложений. Внедрение SDN и инфраструктуры публичного облака изменит привычные нам способы, которые мы применяем для конфигурирования и использования бизнес-сервисов, и эти кардинальные изменения мы только начинаем осознавать. Так что скрывается за теми неоспоримыми преимуществами быстрой и плоской сети, каких «ловушек» при использовании компонуемой инфраструктуры нам следует опасаться? Что может произойти и как предвидеть проблемы, связанные с программно-определяемыми сетями, которые неизбежно у вас возникнут?

Согласно отчету о безопасности облачных вычислений «2018 Cloud Security Report», подготовленного виртуальным сообществом CyberSecurity Insiders, «по мере того, как все больше рабочей нагрузки переносится в облако, профессионалы в области кибербезопасности все больше осознают сложности, связанные с защитой этих рабочих нагрузок. Тремя основными проблемами в области управления защиты данных, с которыми чаще всего сталкиваются операционные центры безопасности (Security Operations Center, SOC), является обеспечение видимости для безопасности ИТ-инфраструктуры (43 %), соответствия (38 %), а также согласованности политик безопасности в облачных и локальных средах (35 %).

Ускоряйтесь где и когда захотите, но…

Самым большим вызовом, стоящим перед предприятием, находящимся в поисках действительно экономически выгодной, высокопроизводительной и безопасной ИТ-инфраструктуры, должно стать обеспечение непрерывной и сквозной видимости сети. Новый подход, несущий в себе столь кардинальные изменения в экосистеме предоставления сервисов приложений, организации сетей и построения всей инфраструктуры, естественно, требует совершенно другого подхода к осуществлению системного мониторинга. Отсутствие полной видимости в режиме реального времени в лучшем случае значительно затрудняет (а в худшем — попросту делает невозможным) задачи по обеспечению и поддержке полноценного функционирования приложений, оптимизации производительности или защите ИТ-инфраструктуры.

По мере того, как бизнес-операции стают все более зависимыми от доступности высокопроизводительных приложений, мониторинг предоставления услуг также становится все более сложным. Текущие решения для мониторинга являются фрагментарными и разрозненными, так как они используют различные источники данных, предоставляют различные уровни детализации и отвечают на разные вопросы. Насколько полезны и для кого будут такие результаты мониторинга, если они не способны показать нам цельную картину функционирования нашей новой сети?

Рисунок 1. В новых современных комплексных сетевых системах вы не сможете разглядеть весь лес за отдельными деревьями

Существует определенные подходы, которые позволяют наладить автоматическую координацию работы (если она вообще возможна) между различными группами систем и программными наборами инструментов для мониторинга. Тем не менее, на чтобы вы не полагались, будь то логи серверов, или оповещения об потенциальных угрозах и индикаторы компрометации (Indicator of Compromise, IoC) от межсетевых экранов нового поколения (Next-Generation Firewall) или систем управления событиями информационной безопасности (Security information and event management, SIEM), или процессы инструментирования байт-кода от текущих фрагментированных систем для управления производительностью приложений (Application Performance Management, APM), вы не сможете рассчитывать на осуществление полного и непрерывного мониторинга. Ставка на использование подобных стратегий становится все более рискованной по мере того, как увеличиваются сложность вашей сети и масштабы ваших корпоративных приложений. А ведь мониторинг рабочих нагрузок, которые могут свободно распределяться по всей гибридной архитектуре сети, — это только начало решения задачи обеспечения полной и непрерывной видимости.

Достижение полной и непрерывной видимости также осложняется эволюцией самих бизнес-приложений, которая стремительно движется от монолитного подхода клиент-серверного программного кода к подвижной сервис-ориентированной архитектуре программного обеспечения распределенных микросервисов. Существующие инструменты APM были специально разработаны для отслеживания взаимодействий между процессами приложений внутри экземпляра сервера. Между тем, как микросервисы для взаимодействия между собой обмениваются данными между сетями, используя легкие программные интерфейсы приложения (Application Programming Interface, API), которые сами по себе добавляют больше трафика в сеть.

Рисунок 2. Эволюция бизнес-приложений стремительно движется от монолитного подхода клиент-серверного программного кода к подвижной сервис-ориентированной архитектуре программного обеспечения распределенных микросервисов

Простота автоматического разворачивания виртуальных машин и приложений, запущенных во временных, по сути непрозрачных контейнерах, еще больше усложняет вашу задачу осуществления сетевого мониторинга. Такая модель сети увеличивает ваши риски снижения производительности или появления сбоев в работе приложений из-за возросшей сложности в выявлении ошибок загрузки и задержек, проблем со связью, а также из-за логического и реального масштаба сети, создающей новые проблемы возросшего времени ожидания ответа в вашей расширенной ИТ-инфраструктуре. Метафора, которая приходит на ум, чтобы описать вашу работу в новых условиях, звучит так: «непрерывный поиск слабого звена в вашей новой сети».

Новые подходы к организации сетевой инфраструктуры привели к тому, что сетевой трафик стал распространяться не только в традиционном так называемом вертикальном направлении «Север — Юг» (ориентирован на обеспечение взаимодействия пользователя с его приложениями), но и был значительно увеличен поток горизонтального сетевого трафика между серверами по направлению «Восток — Запад» (обеспечивает взаимодействие между собой виртуальных машин, облаков и инфраструктур), для которого, к тому же, требуется гораздо более высокая пропускная способность и низкая задержка. Таким образом, помимо того, что распределенные рабочие нагрузки, инициируемые микросервисами, трудно контролировать с помощью традиционных инструментов APM, ориентированных на клиент-серверное программное обеспечение, сетевой трафик по направлению «Восток — Запад» также создает свой собственный набор проблем видимости.

Приложения, конечно же, должны иметь доступ к базам данных; и эти коммуникации теперь не только распространяются по традиционному направлению «Север — Юг», но все активнее «гоняют» сетевой трафик по направлению «Восток — Запад». Микросервис, который, вероятнее всего, изолирован в отдельный контейнер, может отправлять через расширенную сеть срочные запросы на ввод-вывод данных в базу данных, размещенную и поддерживаемую на серверах третьей стороны или в публичном облаке. Многие приложения также могут иметь доступ к этой базе данных, а любая бизнес-услуга (например, портал обслуживания клиентов) может вообще использовать несколько баз данных. Без сквозной видимости в таких сетях становится практически невозможным выявить проблемы и проконтролировать соответствие соглашению об уровне предоставления услуг (Service Level Agreement, SLA).

Рисунок 3. Новые подходы к организации сетевой инфраструктуры привели к тому, что был значительно увеличен поток горизонтального сетевого трафика между серверами по направлению «Восток — Запад», который обеспечивает взаимодействие между собой виртуальных машин, облаков и инфраструктур

Существуют и другие сложности, связанные с приложениями (ведь сами по себе они не являются «контейнеризуемыми»), которые теперь все чаще начинают использоваться в распределенных и сложных сетях: например, доступ к службе каталогов Active Directory (через протокол прикладного уровня LDAP) или интернет-сервисам, таким как DNS. Многие используемые сейчас решения для сетевого мониторинга не способны полноценно «охватить» эти новые конфигурации с поддержкой SDN, что может привести к ограничению видимости всего сетевого трафика и, соответственно, невозможности всецело проконтролировать работоспособность приложений.

Таким образом, в современных условиях определение истинного источника проблемы становится все более сложной, трудоемкой и проблематичной задачей. Точечный инструментарий для сетевого мониторинга может помочь исключить потенциальные области сбоев, но часто может пасовать при попытках определить истинный источник проблемы.

Решение проблемы программно-определяемых сетей SDN

Полноценная сквозная видимость в современных сложных сетях должна основываться на данных всего сетевого трафика. Только проводные данные (Wire data), ориентированные на всю сетевую информацию, которая передается на каждом уровне сетевой модели OSI, в том числе и на прикладном уровне (Application layer), а не только на транспортном уровне протокола TCP, могут стать истинным источником «доверия» — полноценного знания, которое не зависит ни от пути приложения, ни от разнородной, гибридной ИТ-инфраструктуры, ни от того, является ли эта инфраструктура внутренней или сторонней. Сквозная видимость проводных данных обеспечивает беспрепятственный обзор всех существующих взаимосвязей, охватывающих всю сеть, сервера, базы данных, сервисы и приложения.

С каждым годом становится все более сложным (и ценным) точно понять поведенческие особенности пользователя (опыт пользователя) или собрать критически важные данные, необходимые для оценки, редизайна (или рефакторинга) и оптимизации приложений и сетей. Поэтому сегодня, если вы хотите получать полноценные и реалистичные данные, вам потребуется выйти за рамки стандартного пакетного инструментария. Актуальная аналитическая информация (Actionable intelligence) о поведении приложений, зависимости сервисов и выявлении основной причины сбоев требуют извлечения интеллектуальных данных (smart data).

Интеллектуальные данные обеспечивают глубокое понимание проблем производительности приложений и систем, которые не зависят от исходного кода. Интеллектуальные данные, основанные на реальном трафике, обеспечивают оперативную (в режиме реального времени) и историческую телеметрию всех компонентов системы, включая физические и виртуальные сети, n-уровневые приложения (n-tier applications), рабочие нагрузки, протоколы, сервера, базы данных, пользователей и устройства.

Увеличение видимости VMware Cloud on AWS

Примером, который прекрасно демонстрирует гибкость программно-определяемых сетей, может служить новый сервис VMware Cloud on AWS. Он предоставляет возможность работы с программным обеспечением компании VMware для программно‑определяемых центров обработки данных (Software-Defined Data Center, SDDC) корпоративного уровня в облаке AWS (Amazon Web Services). Благодаря этому сервису продукты для вычислений, хранения данных и виртуализации сети (VMware vSphere, VMware vSAN и VMware NSX) оптимизированы для работы и доступны на оборудовании внутри центров обработки данных компании Amazon. Этот сервис ориентирован на компании, которые планируют миграцию локальных рабочих нагрузок на основе vSphere в публичное облако. Сервис VMware Cloud on AWS позволяет конфигурировать сеть и межсетевой экран в рамках одного фреймворка. Это значительно упрощает ИТ-операции, поскольку для них не нужно определять сразу несколько разных процессов: одни — для локальных конфигураций и аспектов работы, а другие — для публичного облака, такого как AWS.

Но как обеспечить полную видимость в такой сложной ИТ-среде? Интеллектуальные данные, получаемые благодаря новой технологией Adaptive Service Intelligence (ASI) компании NetScout, помогают понять зависимости приложений и, следовательно, какие политики безопасности следует создать. Более того, вы также получаете аналитический фреймворк, с помощью которого можете измерить показатели эффективности и сопоставить их с SLA, а также получить показатели безопасности и сопоставить с существующими киберугрозами.

Таким образом, благодаря интеллектуальной, непрерывной видимости, вы можете точно знать, а также задокументировать, что SLA и показатели безопасности полностью соответствуют ожиданиям. Только благодаря интеллектуальному мониторингу всего сетевого трафика, проходящий через SDN, от микросервисов, работающих в контейнерах, до частных, общедоступных и гибридных сред, бизнес может:

• Полностью «осветить» центр обработки данных, чтобы можно было контролировать все входящие и исходящие коммуникации приложений и микросервисов;
• Понимать все постоянно изменяющиеся взаимозависимости приложений, обеспечивающие более высокую производительность приложений и наивысший пользовательский опыт;
• Лучше использовать базовые ресурсы для более точного, гибкого и экономически эффективного проектирования и планирования ИТ-инфраструктуры, будь то в публичном или гибридном облаке;
• Получить все необходимые данные для точной оценки, редизайна (или рефакторинга) и оптимизации существующих приложений.

Интеллектуальная видимость сети, приложений, зависимостей и безопасности

Виртуальный программный инструментарий NetScout vSTREAM позволит вам «осветить» всю инфраструктуру: собственного, частного и публичного облака. Основой, гарантирующей обеспечение сквозной видимости, являются интеллектуальные данные, базирующиеся на технологии Adaptive Service Intelligence (ASI) от компании NetScout. С помощью интеллектуальных данных можно анализировать производительность, различные показатели оценки сетевого трафика, нагрузку и сбои, а также получать контекстуальную информацию о рабочих потоках для быстрой сортировки и поиска основной причины снижения производительности приложений. Проводные данные — это основа интеллектуальных данных компании NetScout: масштабируемые метаданные, которые обеспечивают оперативную (в режиме реального времени) и историческую телеметрию всех компонентов системы, включая физические и виртуальные сети, n-уровневые приложения, рабочие нагрузки, протоколы, сервера, базы данных, пользователей и устройства. Поскольку каждое действие и транзакция инкапсулированы в проводные данные, которые полностью охватывают все среды гибридного облака и мультиоблака, это обеспечивает лучшую точку обзора для получения сквозной видимости. Более того, интеллектуальные данные, основанные на проводных данных, обеспечивают глубокое понимание проблем производительности приложений и систем, которое не зависит от исходного кода и не нуждается в агентах или инструментировании байт-кода.

Появились вопросы или нужна консультация? Обращайтесь!

Вечный параноик, Антон Кочуков.

5 лучших бесплатных систем мониторинга ИТ-инфраструктуры

Протокол TCP: что нужно знать специалисту по анализу сетевого трафика!

Анализ дампов TCP с помощью Wireshark