Nutanix台灣區資深技術經理鄭建華指出,資料中心的核心網路演進到軟體定義,核心價值主要在於安全性與自動化能力。其實SDN終極目標是實現網路自動化,資安只是過程中必須經歷的發展。自從Hypervisor技術的應用模式開始獲得企業認同,用以縮短建置應用伺服器所需耗費的時間,資料中心演進的腳步持續不斷地向前,如今已進展到Kubernetes調度容器環境,較虛擬化的方式更進一步達到加速效益,才讓軟體定義基礎架構得以發揮。
整合網通領域技術自動執行虛實配置
實際上,既有市場上提出軟體定義資料中心的供應商,仍舊過於偏重硬體思維。鄭建華觀察,如今所談的軟體定義,理應是根據應用層來決定網路的配置,問題是Hypervisor技術至今最大的問題,仍在於網路必須先行設定開通,之後啟用虛擬主機才可上線運行。軟體定義資料中心發展的角度則是顛倒過往思維,由上層應用服務發起,網路層須自動配合相關建置。
新興的網路公司,早就投入發展網路自動化。當然既有的網通領域大廠Cisco、Juniper等,也都是SDN領域中著重於研發控制層的技術供應商,發展重點在於接收到來自應用系統指令時,隨即觸發自動化配置網路,毋須人力介入即可完成。「前述的能力跟交換器業者有絕對的關係,因為交換器本身必須具有足夠彈性,提供相對應的API介面,或者是主控台來配置才可自動執行。」
畢竟Nutanix並非網通領域的供應商,因此可基於中立的角色協同國際大廠發展整合技術,當Nutanix平台上建立虛擬主機時,實體網路設備接收到指令隨即觸發自動化配置。當然,網路設備供應商本身亦有發展軟體定義網路技術,運用Openflow等標準協議建立自動化配置與調整設定,但是終究網路環境之上還是得介接虛擬化平台或容器環境,Nutanix即有提供虛擬機交換器,用以接取虛擬主機,並實作微分段技術,同時讓外部實體交換器合作廠商整合控管虛擬交換器,來執行自動化配置,兩者相互搭配彼此介接運行。
繪製抽象化關聯圖提升可視化能力
Nutanix超融合基礎架構環境中的AHV平台可提供vSwitch讓各個虛擬主機接取連線,但卻可能遭遇傳統網路環境過於複雜的障礙。前述說明的自動化能力,可藉由Prism主控台啟用一台虛擬主機並指定VLAN編號,建置完成後會主動通知實體網路供應商的控制器,自動依據VLAN編號執行配置設定。一旦虛擬主機發生搬遷、卸載等異動狀況,亦可相互配合自動調整設定,不再需要如同過去得仰仗IT人員介入手動變更。
「我認為SDN的精神,在於實現網路的自動化與確保安全性,也是企業迫切需求的機制。」鄭建華強調。舉例而言,虛擬主機經由接取實體交換器連接埠存取特定資源時,控管政策限定僅開放Port 201來執行,其他活動則予以禁止,以免被惡意程式利用來感染入侵。日後該虛擬主機遷移到其他實體伺服器架構時,既有的控管政策亦可自動在另一台實體交換器上被啟用,不僅解決虛擬主機遷移後網路連接的問題,同時具有原生配置的控管政策保護。
至於公有雲、多雲應用環境,多數是採用容器環境運行微服務,彼此之間透過API介接組成單一應用,較以往三層式架構更加抽象且複雜,藉由應用拓樸圖清楚描繪出串接邏輯才可清楚掌握,進而建立保護措施。對此,Nutanix以SaaS方式提供的Xi Epoch,可探索建置在實體、虛擬,抑或是公有雲平台之上的應用程式,並且自動描繪出拓樸圖,針對特定時間點,監看應用系統與網路傳輸流量的變化,可協助開發團隊有效率地檢查程式碼執行效能,進行問題排除,尤其是正在轉型到微服務架構的應用系統,藉此才可擁有可視化能力。
工具簡化架構輔助實作縮短IT學習曲線
用以輔助維運的控管工具,若提供的資訊相當豐富,但是卻無法幫助DevOps團隊洞察應用狀態,反而會造成困擾。 鄭建華指出,因此Xi Epoch持續地依據客戶的回饋快速進行調整,再加上本身為SaaS的提供模式,藉此縮短方案平台新功能推出的週期。
基本程式開發能力已是IT維運人員必須具備的技能,相對的,開發者與資料庫管理者也必須懂得基礎架構的相關知識,或許毋須深入到實作安裝建置,至少得掌握運作邏輯,不再是以往各自為政的分工模式,甚至須由現階段的協同工作,進展到合併成為新的DevOps團隊。
「只是就現階段的狀況來看,IT人員普遍欠缺新技能,主因在於學習門檻高、改版速度過快,以及應用場景尚未普及,因此仍舊停留在評估與觀望階段。多年前SDN剛出現時,也是類似狀況。事實上,經過多年發展,IT人員進步的幅度並不多,企業乾脆成立新部門,也就是DevOps團隊,發展創新事業,藉此激勵既有IT人員投入學習。」鄭建華說。
Xi Epoch最終的目的在於運用自動化工具,不僅監控AHV虛擬環境,同時也包含Nutanix預計於2019年下半年將發布的PaaS方案Karbon,所建構的Docker容器與Kubernetes叢集環境,只要單一App皆可同時掌握。針對問題發生的當下必須執行阻斷連線、直接隔離等回應,則是交由具備標準的微切分技術的Flow實作,架構在AHV虛擬平台之上,透過軟體方式定義網路環境。
Flow機制在Prism平台中化身為Security Policy功能項目。Flow可說是未來IT與應用系統勢必會採用的建置方式,藉此來防範惡意攻擊威脅入侵,之所以設計為虛擬平台的功能項目之一,目的在於簡化複雜度。畢竟現階段市場上的SDN架構都過於複雜,必須予以簡化才有利於市場推廣。
此外,當IT人員面對網路資安問題,常見採用端點安全防護等方案,問題在於虛擬主機數量多達成千上萬時,大量部署、日後維運勢必會成為瓶頸。透過SDN方式,依據應用服務的角色配置控管措施,例如網頁服務全數套用相同政策保護,僅允許外部IP位址透過Port 80/443存取,其他全數阻擋,藉此降低遭滲透的風險。