Wstęp do Network Functions Virtualization (NfV)

Wróciłem właśnie z Cisco Forum 2014, na którym miałem dziesiątki arcyciekawych rozmów. Duża z nich dotyczyła, jakże ciekawego ostatnio tematu Network Functions Virtualization (NfV). Inaczej mówiąc dotyczyły sposobu zwirtualizowania i przeniesienia do środowiska wirtualnego (na zwykłe serwerach) jakże wydajnych urządzeń sieciowych.

Pamiętam spotkanie z jednym z operatorów mobilnych w Polsce, który był zdziwiony pomysłem, że Cisco planuje przenieść swój flagowy produkt – ASR 5500 również do środowiska wirtualnego. Czy można mu się dziwić? Drogi i potężny (zasilanie to bagatela 12 kW per pudło) nagle zostaje przeniesiony do środowiska wirtualnego, na zwykłe serwery, na zwykłe procesory. Gdzie sens, gdzie logika?

Sens jest olbrzymi, logika za nim idąca jeszcze większa. W tym artykule przyjrzymy się tematowi Network Functions Virtualization (NfV) i odpowiemy na pytania:

• Dlaczego wirtualizujemy urządzenia i funkcje sieciowe.
• Które z nich możemy bezpiecznie wirtualizować, które muszą jeszcze poczekać.

Dlaczego Wirtualizujemy Urządzenia i Funkcje Sieciowe

Zwirtualizowany router, lub firewall potrafi przerobić 3-4 Gb/s ruchu per procesor (przy dobrych wiatrach). Czy to dużo, czy mało? Odpowiedź jest prosta. To zależy. Porównując to z urządzeniami takimi jak NCS 6000 (który potrafi przerzucić 1 Tb/s ruchu na jednej karcie liniowej), odpowiedź jest prosta – jest to mało. Porównując to z routerami takimi jak ISR G2 (które przerzucają 2-300 Mb/s ruchu), odpowiedź jest ciągle prosta – jest to wystarczająco dużo.

Nie chodzi tu jednak o zwykłą wydajność.

• Czas na wytworzenie NPU (Network Processing Unit), lub ASIC (Application-Specific Integrated Circuit), czyli układów przeznaczonych do określonych operacji sieciowych z dużą przepustowością, jest olbrzymi. Często zaprojektowanie i wytworzenie takiego układu sięga lat. W dzisiejszych czasach, przy rozwoju usług Cloud oraz Internet of Everything, musimy być przygotowani na dostarczenie nowych funkcjonalności w kilka miesięcy, a nawet tygodni. Wolimy poświęcić wydajnośc na skalowność i łatwość wdrażania nowych funkcjonalności. Czy to znaczy, że urządzenia wykorzystujące NPUs i ASICs wyginą? Oczywiście, że nie. Ale o tym później.
• Skalowalność jest kluczowym elementem w sieci wielu operatorów. Proste zwiększanie zasobów: np. przez rozbudowę PGW w sieci mobilnej, lub przez dodanie dodatkowych firewalli, jest często sprawą niebanalną (finansowo i architektonicznie). W świecie NfV dodanie kolejnych wirtualnych maszyn, lub ich wyłączenie, dopasowuje system do naszych zapotrzebowań.
• Przydzielanie zasobów jest kolejnym z elementów przeważający nad ideą NfV. W dzień, gdy widzimy duży ruch w naszej sieci, możemy przydzielić więcej zasobów CPU/RAM dla obsługi ruchu. W nocy możemy zmniejszyć te zasoby, wykorzystując moc obliczeniową do generowania raportów, tworzenie wizualizacji, etc.
• Kolejny element to budowanie środowiska Disaster Recovery. Dziś uruchomienie setek serwerów w innym Data Center nie jest problemem. Co z urządzeniami sieciowymi? Wyobraź sobie, że w momencie awarii ośrodka podstawowego w ośrodku zapasowym uruchamia się wirtualny snapshot Twojej sieci, zawierajacy routery, firewalle, IPSy, Evolved Packet Core.
• Użycie pod środowisko Disaster Recovery, lub dodatkowego Data Center, zasobów np. Amazon AWS staje się realnym rozwiązaniem. Już dziś produkty takich firm jak Brocade, F5, Cisco, A10, dostępne są jako Amazon Machine Images (AMI) w chmurze Amazonu.
• Środowiska HA. Budując system HA nie musimy już stawiać 2-4 urządzeń, martwiąc się o przywrócenie środowiska do 100% funkcjonalności, przy awarii jednego z urządzeń. Możemy wykorzystać zasoby serwerowe i skorzystać z jakże znanego rozwiązania HA firmy VMware w środowisku vSphere, lub przenieść dany router/firewall z miejsca X do Y, wykorzystując zalety vMotion.
• W momencie gdy klient potrzebuje od nas danych zasobów, czy będzie to dany firewall, czy load-balancer, czy DDoS protection servcie, możemy w prosty sposób powielić środowisko, które używane jest przez innego klienta. Prosty szablon, lub skomplikowane środowisko gotowe do powielenia pozwoli nam dostosować się do wymogów klienta w ciągu kilku godzin, czy nawet minut.
• Opcja tworzenia łańcuchów usług, ułatwia implementowanie skomplikowanych sieci. Potrzeba, aby ruch przeszedł, przez firewall, IPS, router, WAF, loadbalancer, jest rozwiązywana z poziomu wirtualnego układania serwisów w kolejkę. Dodając do tego rozwiązania SDN, takie jak np. Cisco ACI, czy VMWare NSX, możemy w prosty sposób budować skomplikowane środowiska, których zmiana jest łatwa, jak trzy kliki myszką.

Jakie Elementy Mogą Być Zwirtualizowane

NfV dotyka coraz więcej środowisk i rozwiązań. Producenci coraz częściej przedstawiają nam swoje rozwiązania w postaci wirtualnych maszyn, lub nawet środowisk wirtualnych (jak np. QvPC-DI od Cisco, czyli wirtualna wersja ASR 5500, która potrafi automatycznie poszerzyć się o zasoby CPU/RAM).

Elementy, które można zwirtualizować, występujące już dziś w sprzedaży:

• Evolved Packet Core – PGW/SGW/MME
• PCRF, OCS, Radius
• Deep Packet Inspection
• Zapora Ogniowa – Firewall
• Intrusion Prevention System
• Router !!!
• Route Reflector
• Load Balancer
• Serwer DNS
• Urządzenia robiące NAT (44, 64, DS-Lite, MAP)
• BRAS, ISG, BNG
• Kolektory NetFlow
• Web Application Firewalls
• Akceleratory WAN
• Web Proxy
• I dużo, dużo więcej

Praktycznie jedynym miejscem, gdzie nie widzimy wirtualizacji są przełączniki (tanie porty 1/10/40/100G) oraz potężne routery wydajność 10/40/100G z niestandardowymi intefejsami, których osadzanie w serwerach jest nieopłacalne.

Podsumowanie – NfV

Programiści i przedsiębiorcy już dawno zauważyli pozytywne skutki stosowanie podejścia Lean. Zwiększenie produktywności, zmniejszenie ilości różnorodnego sprzętu, standaryzacja, wzrost wykorzystania posiadanego sprzętu, zmniejszenie czasu cyklu od zaistniałego zapotrzebowania do realizacji. To tylko niektóre elementy, które wpływają na to, że idea NfV jest i będzie się rozwijała.

Operatorzy i przedsiębiorstwa będą w stanie szybciej dostosowywać się do zapotrzebowania biznesu, zmniejszając czas testowania i wdrożenia rozwiązania do godzin/dni. Dodatkowo w prosty sposób będą mogli migrować swoje zasoby sieciowe z miejsca A do B i tym samym budować bardziej skuteczne procedury DRP.

Producenci również będą zadowoleni. Dwa słowa: licencje i wsparcie. Większość z producentów licencjonuje ilość instancji (wirtualnych maszyn), ewentualnie dodając kolejną licencję dla przepustowości, ilości sesje, etc. Jeżeli chodzi o wsparcie, to znika pojęcie uszkodzenia sprzętu i związanych z nim procedur naprawczych.

Czy któregoś dnia znikną fizyczne urządzenia, a my wrócimy wyłącznie do serwerów z różną ilością interfejsów połączonych przez przełączniki whitebox? Moim zdaniem nie. Jest dużo miejsc gdzie użycie dedykowanych urządzeń ma sens. Nadal w rdzeniu operatora będą stały duże i potężne routery, dalej w data center będą stały przełączniki z dużą ilością portów 10/40/100G. Jestem ciekaw Twojego zdania. Czy NfV to przyszłość?