過去多年來,企業資料中心網路朝向軟體定義發展,隨著機器學習演算法被廣泛地應用,網路維運也開始採納,藉由建構資料模型輔助執行自動化,進而累積成為智慧。VMware資深技術顧問饒康立指出,網路層之所以必須轉換為軟體定義,關鍵因素之一即為實現自動化,以取代過去透過第三方網管軟體的控管模式。
傳統網管軟體的問題是無法全數掌握不同硬體製造商設計的差異性功能,最終IT管理者仍舊得逐一登入設備操作,使得自動化控管模式遭受阻礙。要實現自動化,饒康立認為,首要必須具備統一控管平台簡化配置操作,其次是不拘底層設備型態皆可採用手動、組態管理工具來實作,這也是近年來資料中心開始興起容器環境、負責底層資源調度(Orchestrator)的Kubernetes得以贏得IT管理者青睞的主因。
整合主流開源技術實踐自動化
相較於硬體網通設備製造廠商,VMware自主研發的Hypervisor與容器環境相關技術,可說是主要的優勢。畢竟應用程式碼與函式庫封裝在作業系統啟用的容器,可能部署在Hypervisor環境,對於有快速封裝、快速部署需求的前端應用服務而言,VMware得以把所有的控制能力建構在Hypervisor層,也就是既有的vSwitch機制再強化,增添資料中心應具備的網路功能與安全性。
尤其是大型企業資料中心可能有上百台伺服器,為簡化控管多台Hypervisor的複雜度,VMware提出NSX架構,所有執行任務皆由NSX Manager來指派,執行Overlay型態的連接、防火牆規則、快速啟用VPN等任務。
NSX Manager可達到集中控管,但這只是建立自動化的能力要件之一,接下來可能還必須具備Orchestrator、組態管理(Configuration Management),或是IaC(基礎架構即程式碼)。以Kubernetes來說即是基於YAML檔案,描述新增機器、標籤名稱、底層網路位址、溝通方式等,讓上層應用得以自動化運行。
對此,NSX需要具備的能力,首先是支援基於Kubernetes搭建的容器環境,其次是IaaS平台,以便整合VMware提供vRealize Automation輔助實作,第三種是介接Ansible、Terraform等常見的開源陣營工具。此外,同時要提供SDK與開放API,讓其他領域的技術可由Python、Java語言整合NSX,建立自動化運行。
「VMware提供的解決方案,足以讓企業在自家資料中心建造雲端平台,Hypervisor不僅可產生虛擬主機,就如同公有雲服務供應商,也可以產生虛擬私有雲(VPC),預設就已具備網路防火牆等機制。同時可藉由NSX提供的微分段機制實現自動化能力。」饒康立說。
NSX Intelligence分析網路狀態
NSX既然從Hypervisor與容器環境切入提供軟體定義網路機制,同時也可藉此蒐集內部溝通或對外連線的流量資訊,來制定控管政策。搭配新提出的NSX Intelligence彙整網路流量,以拓樸圖呈現群組、虛擬主機、網路連線狀態,同時針對應用程式的防火牆規則提出建議。饒康立強調,特別是在容器與虛擬主機混合運行的環境,更加必須有能力解析網路封包,從中擷取傳輸的資訊,不僅可用於釐清問題加速故障排除,同時也可及時發現異常行為,以免發生資安事件。
過去NSX主要是運用vRealize Network Insight,定期查詢資料來源內的設定組態、即時狀態、告警資訊、配置異動等,並且設計以直覺性的搜尋介面與呈現,讓IT管理者快速地進行資料查詢。屬於主動式的結構性資料蒐集與彙整。但vRealize Network Insight大多僅用於蒐集運行狀態相關資料、監看異常狀況,因此去年VMware進一步收購在意圖式網路領域相當知名的Veriflow新創公司,運用機器學習演算建立網路行為資料模型,強化分析推論能力,藉此確保網路可用性。
宣告型API協同自動化元件實作意圖
對於VMware而言,自動化不僅只是支援各種常見的開源工具、開放API介接,更重要的是以往採以命令型互動轉變成宣告型(Declarative),2020年即將推出的NSX新版本3.0,所有API皆會改以宣告型,Ansible、Terraform等工具可直接呼叫。
饒康立說明,命令型互動是自行輸入執行的步驟,宣告型關注的是結果,描述名稱、IP位址、負載平衡演算法、後端伺服器類別等,例如Kubernetes產生容器,提供來源映像檔案位址、需要的數量、標籤命名規則等變數,Kubernetes即可自行運作,不用指定執行步驟。 IT管理者或營運業務的意圖,亦可視為變數,VMware已經具備自動化、部署、分析的能力,藉由宣告型API即可自動化執行。至於意圖式網路中討論較多的自我修復(Self-healing),同樣也是VMware積極努力的方向。廣義來看,IT人員熟悉的備援亦為其中一種,重點在於做到IT管理者未介入的狀況下持續運作,例如vSphere系統具備高可用性機制,一旦遭遇到記憶體故障導致伺服器停擺,上層業務服務可切換到其他主機上啟用,此為過去vSphere受到企業青睞的因素之一。近幾年則是轉向仰仗Kubernetes,在Orchestrator層監控業務服務,在硬體效能不彰甚至故障時,可調度資源再啟用相同的Pod繼續提供服務。
對於IT而言,備援容錯機制的重要性從未改變。只是往往欠缺有能力綜觀全局的系統提出告警,甚或預測即將發生故障的環節,在觸發告警的同時也先運行修復程序,或許待Veriflow整合完成後可強化這方面的機制。
此外,VMware去年還併購了AVI Networks,已更名為NSX Advanced Load Balancer,是以軟體定義負載平衡(包含全球網域負載平衡)、網頁應用程式防火牆(WAF)所著稱,儘管為傳統IT技術領域,設計思維與實作方法卻完全不同,改以控制平面與資料平面分離的架構,負責轉發網路流量的資料平面引擎可部署在虛擬主機或原生雲端的容器環境,隨著應用存取量的增長彈性擴充,藉此IT管理者可基於集中式控制器來啟用混合雲環境中的負載平衡、WAF機制。