SDN数据中心或许是未来的大趋势,但这并不意味着这只是一个简单的转换。
因此,如果您企业希望在部署SDN数据中心方面能够取得进展,那么您需要为您的传统遗留旧设备制定一套明确的计划。
本指南旨在帮助您确定在企业中部署实施SDN数据中心所需的后续步骤。
在定义了SDN数据中心后,下一步是什么呢?
其答案仍将取决于您所问的对象是谁,许多关于软件定义的网络的谈话都会非常明智地从一个问题开始,即:什么是SDN?根据我们自己的定义,“在软件定义的网络中,网络管理员可以从一款集中的控制台塑造流量,而不必接触单个交换机,并且可以将服务传输到网络中需要的任何地方,而不考虑服务器或其他设备连接到什么特定设备。
这听上去似乎很简单,对吧?但实际上,相当不简单。事实证明,至少在数据中心大量的复杂性仍然存在。虽然这项技术在过去几年中已经经历了漫长的发展道路,但其部署过程仍然需要承担相当多的重担。在这篇详细阐述数据中心SDN部署指南的文章中,我们的专家将探讨SDDC过渡的挑战以及如何预见和克服这些挑战。例如,使用SDN构建私有云不是为了应对人员的不足,尽管软件定义的网络的确具备这方面的优势。因此,当您企业在衡量软件定义的数据中心是否适合您所在的企业组织时,务必应该要考虑一些关键性的问题。
如果您企业决定部署SDN数据中心,那么您需要为您的传统设备制定一套清晰的计划;这就是为什么我们在本文中还提供对于几种可能的方法的洞察分析,以战略性地调和新旧设备。
本文的专家在探索SDDC时,不仅解释了SDN数据中心的性质,还将帮助您确定从何处开始着手。
更容易的数据中心SDN部署将推动私有云
由于软件定义的网络能够将网络控制与分组传送分离,因此具有巨大的改变所有数据网络的潜力。但是大多数企业组织目前都关注于SDN在数据中心可以为他们做些什么。一方面,通过使网络完全可编程,SDN承诺可以使得网络能够像虚拟服务器和存储一样灵活敏捷和自动化,这使得数据中心的功能更像一款云服务。另一方面,通过微分段功能(microsegmentation),SDN提供了一种更灵活和可管理的技术,用于改进数据中心安全环境。
鉴于所有这些,以及SDN已经被以这种或那种方式讨论了五年甚或更长时间的这一事实,仍然仅仅只有不到10%的企业组织已经在其生产中部署了数据中心SDN。事实证明,即使SDN技术已经成熟到足够稳定,并能够可扩展到足以为企业提供服务的地步,其仍然还是不容易部署,或者至少不能容易的进行广泛和深入的部署。
早期采用者也会表达类似的烦恼。他们说,SDN的部署或将有可能实现他们所希望的简化,但这一成功需要很多艰苦的工作。这些艰苦的工作就是彻底地映射数据中心中的关系网络,以了解如何正确的分段网络。在生产中,复杂性还涉及到手动构建安全组和策略,以及整合各种不同的工具需求,以便提供真正的类似云服务的行为。
云管理、数据中心SDN作为内部云计算
对于想要构建真正的私有云的企业而言,数据中心SDN只是更大的问题的一个方面。任何致力于这方面努力的企业都必须进行艰难的计算。企业组织必须决定使用虚拟化,SDN和云管理平台创建私有云的努力是否值得投资。
为了使其适用于企业组织,他们要么必须购买,要么需要构建包含各种虚拟服务器、虚拟存储服务和网络的低级构建块层。
他们还将必须开发或获得中间件功能:一款内部平台即各种服务,提供数据库服务和应用服务,具备负载平衡和冗余。然后,他们必须将这些服务集中在一个门户和分类目录中,并进行适当的记录,以防止与他们资源池同样的悲剧重演。然后,当然,他们还必须提供业务流程编排层以使其能够响应业务需求和工作负载的变化。
即使有一个云管理平台,也将需要很多层的努力,并会给系统集成带来巨大的负担。对于一些企业组织而言,毫无疑问,这种努力是值得的。但对于其他一些企业来说,使用一款公共云作为应对策略并不是一个好的选择。
对于上述这类企业而言,替代方法是充分利用公共云产品或云服务。亚马逊,微软,谷歌,IBM,甲骨文和其他供应商已经完成了低级工作,并在不同程度上,完成了部分中级工作,他们在幕后提供了大量的必要的业务流程的协调。
鉴于75%的企业组织在一定程度上都已经使用基础设施即服务了,例如,他们是否可以证明在这一点上部署一款内部云的努力是合理的呢?鉴于已经有了这么多的供应商所提供的云服务,他们再来重新开发一款可扩展的,有弹性的数据库服务的工程是否值得?通过仔细检查,他们将更有可能发现,在自己的数据中心坚持使用虚拟化但不完全“云化”的操作,同时扩展公共云的使用更有意义,至少直到使用一款云管理器和数据中心SDN和所有其余的来构建私有云更为简单。
如何评估SDN在您的网络中的优势
在过去几年中,软件定义的网络已经从科学实验发展成熟为可部署的企业就绪的技术,包括从Big Switch Networks公司和Pica8公司到惠普企业公司和VMware在内的供应商们均采用了不同的用例来提供服务。尽管如此,Nemertes Research在2016年云和数据中心基准调查发现,仅仅有略超9%的企业组织在生产中部署了SDN。
当涉及到SDN的益处方面时,让我们看看该技术所能够解决的三大最重要的问题,以及一些可以值得考虑的可以借助SDN来帮助您解决的问题。
更智能的访问:SDN技术的一个主要优点是其能够帮助您企业使得对于分支机构和园区网络边缘的访问从安全和性能管理的角度变得更加智能。例如,SDN可以同时提供用于网络访问控制和用于包括语音,协作和视频在内的统一通信会话的动态应用优化的平台。
网络虚拟化:SDN的关键支柱和预期的好处之一是能够虚拟化网络,或者换句话说,在一个单一物理层之上覆盖一个或多个逻辑上分离的网络。因此,在不是由布线确定的网络架构中,可以在需要网络功能的时间和地点应用网络功能。虚拟网络为微分割作为数据中心的安全策略提供了基础。例如,它们还可以通过在插入视频电话时识别视频电话作为智能接入层的一部分,并将其分配给特定的虚拟网络以进行性能管理。
数据中心网络自动化:对于许多IT企业而言,数据中心网络仍然是快速部署新服务、产品和虚拟基础设施的关键。SDN的一个好处是通过使用产品或服务的API来帮助使网络更直接地脚本化。
帮助您企业确定SDN益处的问题
因此,现在是时候来进一步考察SDN了吗?在您企业完成决策过程时,请务必考虑以下问题。
相关的网络——包括边缘访问和数据中心是否为SDN做好了准备?换句话说,您企业的网络设备是否相对较新,可以成为基于OpenFlow的软件定义网络的一部分?
如果不是,是时候更新换代这些设备了吗?如果答案是肯定的,您企业可以使SDN成为替换这些设备的关键标准。
如果还未到设备更新换代的时侯,您企业所面临的问题是否足够严重,严重到需要在定期更新周期之外实施替换?您企业还可以考虑选择性地覆盖SDN基础设施,只在需要最急需的地方添加必要的设备,并从这些地方进行扩展。
您企业的供应商或提供商能否为您提供了能够满足您企业特定业务要求的已经过验证的架构或部署蓝图?
您企业的供应商能否为您提供其他企业已经做过,而您正想要做的事情的参考;或者其他做了类似事情的企业的经验,以作为您企业的指南?
您企业能否在投入最少的设备和时间的情况下,在试点部署中解决一个有意义的问题?在没有经过测试,确保其的确奏效的情况下,您企业不应该对一个新平台做孤注一掷的过渡。
您企业有强大的变更管理流程吗?当您在技术上进行根本性转变时,您需要一套这样的变更管理流程。
如果您企业的目标是解决数据中心的问题,特别是支持微分段,您企业的系统是否有牢固的关系映射信息?也就是说,您是否完全理解您企业正在寻求的应用于微分割的系统之间的关系?该领域的早期采用者反复告诉Nemertes Research的调研人员说,当他们意识到他们关于哪些系统真正需要相互通信的知识并不全面时,他们的项目显著减慢。发现哪些系统是相互通信的并不难。但想要知道哪些系统应该彼此进行通信则是很难的。
Nemertes已经强调了几年了,即:所有的网络收购最终都应该考虑SDN部署。现在是开始确定该部署中的第一步,以及是否开始了解SDN所能够为您的企业组织带来的益处的时候了。
数据中心迁移策略:SDDC过渡中需要考虑的内容
当您企业决定构建或迁移转换到软件定义的数据中心或SDDC时,请务必先行查看一下您企业现有数据中心的热通道,这一工作任务可能看起来像是一个挫折式的练习。您企业应该怎么处理现有的设备和运行在其之上的相关应用程序呢?答案是:与IT业中的大多数事情一样,“视具体情况而定!”
在迁移数据中心时,有两个基本模型需要考虑:在某些形式的过渡阶段期间,并行运行旧的和新的设备,或者将现有设备与较新的SDDC集成整合。第二。将单个数据中心架构中的现有设备集成整合到并非一处,而是两处:在pod级的集成整合,或者在现有设备的顶层运行SDDC。
并行运行旧的和新的数据中心似乎更简单——甚至是理想的情况。但即使在理想情况下,也有相应的问题亟待解决。工作负载是否能够在数据中心之间迁移呢?如果是的话,这些迁移将如何发生?当然,这些问题的大部分答案将取决于应用程序本身。在这个领域有几个重要的问题需要搞清楚。
新的数据中心架构能否满足每款特定应用程序的要求?重要的是要考虑通常需要考虑的问题,如带宽利用率、延迟性和抖动要求。
但是考虑这样的服务的存在也很重要,如域名系统,大象流(elephant flow)的动态管理,安全区域的创建,覆盖网络和其他因素。
虽然许多问题与架构所提供的服务相关,可以并且应该在设计阶段被避免,但总会有一些遗漏。没有任何库存将是完整的,至少,因为很少有应用程序所有者将能够知道他们的应用程序所依赖的所有服务,否则他们将在执行此类库存清单的过程中做出无效假设。对于这些情况,当从第1天迁移数据中心时就需要有一套明确的行动计划。
很容易假设每种服务都可以在新的架构上提供,但使用其作为计划基线通常会导致非常糟糕的结果。最好是假设应用程序的所有者们需要修改或更新应用程序来解决其中的一些问题,而不是把问题一股脑的全部交给网络工程团队。
应用程序将确定数据中心之间如何关联
在两款架构并行运行时,需要在它们之间存在某种形式的连接,即:数据中心互连(DCI)。应用程序要求将确定这一DCI看起来像什么,例如是否需要一个以太网顶部的连接,或者是一个更简单的IP支持或路由的连接。这里的挑战与任何其他数据中心所面临的DCI方面的挑战类似,具备SDDC系统将支持和期望的额外的限制。
第二个解决方案,在pod级别将SDDC和现有设备进行集成整合带来了一系列不同的挑战。这一想法如下将详细阐述。
如果不需要连接数据中心架构以提高恢复能力(这在大多数现代网络中不太可能),这种类型的解决方案可以消除上文所述的一大挑战:DCI。另一个优点是,其允许您能够使用模拟随着时间的推移来为个别应用程序测试您的SDDC设计方法。在这种情况下,其将涉及并行运行两款基础设施,将应用程序从传统基础迁移到SDDC,以它们进行评估,如果它们在新环境中能够恰当运行,则将它们留在那里。这实际上是大多数超大规模或网络规模的运营商过渡到新的基础设施的方法。
然而,它增加了一个新的需要考虑的复杂因素:SDDC控制面板将如何与现有的控制面板互动?不知何故,流量必须从较新的SDDC pod进入到旧的硬件,然后再返回。
如果很少有流量工程,安全和其他策略方面的要求,这可能就像在两个控制面板之间重新分布路由信息一样简单。如果迁移数据中心需要包括跨越两个域的安全区域或某种形式的动态流量整形,则此处的问题可能非常复杂。最可能的情况是某种形式的再分配,结合两个操作区之间的边缘的手动或自动调谐。
这种安排倾向于从简单开始,但它们也趋于复杂的结束,将消耗比预期更多的资源。如果这是所选择的迁移路径,最好将应用程序作为一组将应用程序从一个环境推送到另一个环境。这种方法减少了两个环境表面之间的相互作用的深度和宽度。
将SDDC作为重叠网络运行
本文前面所提到的最后一个选项是将SDDC作为现有设备之上的覆盖层运行。这可能是SDDC供应商销售的最常见的策略,因为这允许SDDC将现有设备用于其控制和管理面板。这也似乎是一个简单的答案,但复杂性往往会很快地因为混合而增加。
一般的想法是:借助SDDC的功能,以随着时间的推移用新的设备替换传统设备,使用现有设备作为SDDC的物理层。这种情况应该与SDDC环境中设备随时间的推移所经历的正常使用周期没有什么不同。为此,从第1天开始就应该采用相同的工具和过程,直到SDDC所替换的传统设备从服务中删除。但是初始设备组合不能像SDDC的要求一样好地匹配任何未来采购的设备,可能会导致一些问题。
在物理层,设备是否支持SDDC所需的南向接口?例如,如果SDDC需要在某个级别(例如1.3)的OpenFlow支持以正常操作,那么所有现有的传统设备是否支持这种级别的操作?如果供应商声称支持,那么其是否已经过了测试?为了确切地知道,所有现有设备必须被重新验证以在新环境中操作。
在控制面板,SDDC覆盖层如何与现有的控制面板相互作用,将设备连接在一起,并将流量从架构的一个部分吸引到另一个部分?现有控制面板的所有功能(已经围绕其构建了工具和功能)是否可以集成到SDDC覆盖层中?如果现有控制面板被设计为向网络提供API的某种结构覆盖,而不是运行更传统分布式协议的设备集合(例如IS-IS或边界网关协议),则将会是更难解决的问题。
管理方法所增加的复杂性
当从控制转向管理时,问题倍增。现有网络中的每款设备都设计为以特定方式管理。
一些设备可能只有管理信息库接口;另一些设备则可能只有命令行界面;其他一些可能有使用一组YANG模型的RESTful接口;而且,同样的,其他设备可能最好是通过gRPC接口管理。
SDDC是否可以从所有设备上的各种接口中获取信息并推送配置?您数据中心将获得什么样的遥测,并又会失去什么?这是另一个需要广泛测试和验证的领域,特别是针对未来的要求。不要指望“硬件将在我们需要之前将会被替换掉”。仔细思考您的应用程序在未来的功能方面可能遇到什么样的限制,以及这对您企业的业务意味着什么。
并行的关注点是快速进行故障修复和解决问题的能力 - 修复网络的平均时间与整体可用性直接相关,是网络对于业务支持的有效性的关键测量指标。
在这种情况下,遥测允许您查看网络的状况,以便在影响故障操作之前解决问题,并快速找到影响操作的根源。重要的是检查用于根据SDDC覆盖的能力快速恢复服务的当前进程,以确定在哪里可能存在任何潜在问题。
也许通过SDDC过渡最难以管理的一件传统设备是基于设备的防火墙。虽然广泛部署以在一个数据中心架构中创建安全区域,并且将架构中的区域与非架构中的区域分开,但基于设备的防火墙可能是最难于有效管理的设备。在现有设备之上覆盖SDDC将使用隧道封装,动态策略和其他难以解决的问题来挑战基于设备的防火墙。
在覆盖模型中,需要重新考虑安全性,包括如何将安全区域从现有的基于设备的防火墙迁移到SDDC系统本身提供的其他技术。
将数据中心移动到SDDC可以使网络随着时间的推移而变得更加整洁,并提供许多新的选项来构建和管理大规模网络,进而满足业务的需求。然而,将现有设备转换到SDDC环境所需的中间步骤可能很复杂。故而网络运营商们需要考虑这些挑战,并仔细规划应对。