JANEZ GRUDEN
Digitalne arhitekture v
infrastrukturi – Cisco DNA
Center & SD Access
Digitalizacija prinaša v IT-infrastrukturo avtomatizacijo programsko krmiljenih naprav ter orkestracijo opravil. Zasnova temelji na novih digitalnih arhitekturah, programabilnih vmesnikih in podatkovnih modelih za zagotavljanje programsko razširljivih storitev.
Izhodišča proizvajalcev infrastrukturne opreme temeljijo na oceni, da bodo rasli, če bodo znali programsko krmiliti naprave. To za IT-oddelke pomeni, da bomo uspešni, če bo del storitev avtomatiziran. Digitalizacija v IT-infrastrukturi naslavlja vprašanja obvladovanja obsega opravil, sprememb ter kompleksnosti storitev, pri čemer za nobenega izmed naštetih sklopov ne moremo svetovati enotnega oz. standardiziranega pristopa. Nesporno sicer drži, da vodilno vlogo pri upravljanju infrastrukture prevzema programska oprema, preostalo pa je skupek produktov, zasnov in procesov oz. pristop v treh korakih: močne kulture zavezanosti spremenjenemu načinu dela – ureditve in poenostavitve (internih) procesov ter servisnih delovnih tokov – standardizacije in produktivizacije ponovljivih storitev.
Zgodbo digitalizacije v infrastrukturi morda lahko najbolje ponazorimo s preprosto nalogo: sprogramirati proces, ki obsega korake od aktivacije storitve do odkrivanja napak (slika 1).
Na videz je naloga dokaj preprosta. Logično zaporedje operativnih korakov zapisati v programski kodi, ki bo izvedla in nadzorovala nastavitvene postopke. V praksi nas seveda poenostavitev do te mere rado nekoliko zavede. Spreminja se namreč pristop, z drugimi besedami evolucija načina dela pogojuje temeljit premislek glede pristopa, v katero področje uvesti digitalizacijo, in izbora tehnologij. Operacija še zdaleč ni preprosta, okolja so heterogena in prepletena, tehnološki postopki upravljanja omrežij nemalokrat zamudni. Naštejmo nekaj izzivov vsakodnevnih postavitev v internih omrežjih podjetij:
Postavitev omrežij
Zahtevnost upravljanja omrežnih funkcionalnosti (protokoli, nastavitve).
Segmentacija in politike dostopa
Preprosta zasnova VLAN-ov vgrajuje potencialne dogodke, ki lahko ohromijo omrežij. Upravljanje VLAN-ov znatno bremeni izvedbene ekipe. Enako velja za tradicionalne metode za upravljanje politik (»access list«).
Uporabniki in naprave
Organizacije želijo vzpostaviti identiteto uporabnika / naprave in jo uporabiti od točke do točke, kar predstavlja zahtevne operativne posege.
Nadzor in spremljanje
Večina organizacij nima celovitega pregleda dogajanj v omrežju, kar omejuje sposobnost proaktivnega odziva na spremembe.
Poveden je primer vključevanja novih uporabnikov: s pomočjo več konzolnih vmesnikov in ukaznih vrstic na posameznih napravah poskrbimo za vpis uporabnikovih poverilnic v »Active Directory«, integracijo s sistemi za overitev identitete (AAA, ISE), segmentacijo in vključitev v VLAN/IP-omrežje, zagotavljanje povezljivosti znotraj internega omrežja (»routers, switches, wireless controllers«), nastavitve varnostne politike (»access list«, »firewalls«), povezljivosti z zunanjim svetom itd. Zahtevnost in neusklajenost posegov je razlog, zakaj izvedbene ekipe potrebujejo tako veliko časa.
Kompleksnost upravljanja se z rastjo nabora aplikacij in širjenjem storitev omrežja samo povečuje. Našteti razlogi usmerjajo razvoj informacijskega okolja in s tem je dan povod za premislek o novih digitalnih arhitekturah v okoljih ponudnikov storitev in v podjetjih.
Razvoj digitalnih arhitektur v infrastrukturi
Začnimo z vprašanjem, kakšno težavo pravzaprav rešujemo? Cilj digitalne arhitekture je omogočiti avtomatizacijo (»open-automation«) servisnih tokov storitev skozi proces tranzicije, od ročnega upravljanja (slika 2) do programskega krmiljenja naprav (slika 3).
Ideja temelji na standardizaciji protokolov in arhitektur z zasnovo modeliranih storitev:
- razmejitev ravni upravljanja, od obdelave podatkov z abstrakcijo upravljavske ravni, ločene od infrastrukture, omogoča prehod od upravljanja po sistemu samostojne naprave do upravljanja programabilnih elementov, interpretiranih v podatkovnih sistemih (slika 4);
- digitalno arhitekturo sestavljajo gradniki tipa »Application / Control / Forwarding Layer«, konfiguracije (oz. storitve) in statusni podatki, zapisani v podatkovnih strukturah, ter programabilna infrastruktura z vmesniki API za avtomatizirane posege tipa »provisioning, control & operations« (slika 5).
Digitalna arhitektura v infrastrukturo prinaša vseobsegajoč pristop »software defined«. Avtomatizacija je proces pretoka podatkov (»service flow«) skozi sisteme, ki v točkah sprejemajo odločitve, vloga CLI-konzole se od prevladujoče seli v domeno odprave napak (»troubleshooting«). Razvoj vpliva tudi na razumevanje inženirske vloge, vključno z načinom dela DevOps; zanimivo postane od tu naprej! V nadaljevanju si oglejmo primer rabe v omrežjih podjetij (»Enterprise»).
Digitalne arhitekture in pristopi proizvajalcev
Podjetje Cisco platformo za digitalizacijo okolij v podjetjih poimenuje »Digital Network Architecture – DNA Center in SD-Access« (slika 6). Izhodišče so inteligentne naprave (»routers, switches, wireless access points«), ki omogočajo povezljivost za inteligentne odjemalce na naslednji način:
IDEJA
Razširljiva in varna arhitektura »software-driven«, ki poganja infrastrukturo od obrobja do jedra (»fabric«).
VIZIJA
»Network intuitive / intent« oz. namesto ukazne vrstice namen (tj. v omrežju potrebujem …) za upravljanje na temeljih avtomatizacije in politike pravil in strojnega učenja.
DIGITALNA ARHITEKTURA TREH RAVNI
Aplikacije (»application layer«), kontroler in servisi (»control layer«) ter programabilna infrastruktura (»forwarding layer«).
PRENOSNI SISTEM (»NETWORK FABRIC«)
Razdeliti omrežje na dve ravni glede na namen. Fizična raven je namenjena povezovanju naprav in posredovanju prometa (»underlay«). Logična virtualna raven je zgrajena po fizični ravni (»overlay«) za povezavo uporabnikov, naprav ter storitev.
DNA Center Application
Centralizirana aplikativna platforma za upravljanje in analitiko (»automation, policy, assurance/analytics«).
DNA Center Controller (APIC)
Za programabilno avtomatizacijo fizičnih in logičnih omrežnih / varnostnih nastavitev.
SD-Access Fabric
Fizična in logična programabilna »fabric« infrastruktura (»underlay + overlay«) za segmentacijo, politiko dostopa, povezljivost in vključevanje naprav in uporabnikov; vključuje varnost/ISE-TrustSec, mikro-segmentacijo VXLAN.
Cisco DNA Center in SD-Access
Cisco DNA Center predstavlja ogrodje za digitalizacijo infrastrukture s podporno tehnologijo za instrumentalizacijo (»software defined«), nadzor in vizualizacijo na osnovi elementov, ki komunicirajo s krmilnikom preko API-jev za »provisioning«, »operations«, »automation«.
SD-Access infrastruktura se postavlja v vlogo senzorja in postavljavca pravil za uporabniški promet. S pomočjo centraliziranega upravljanja DNA Center (ločenega od infrastrukture) in virtualizacije naprav (do ravni naloge, ki naj jo opravlja komponenta) omogoča kontrolerju vlogo določevalca vlog. Analitika in strojno učenje postavljata temelje za prognozo in odpravo napak.
Ideja pristopa DNA Center & SD-Access je udejanjiti namen, kar pomeni željo, zapisano na ravni aplikacije, ustrezno prevesti v konfiguracijo, ki jo razumejo naprave. V tem oziru gre gotovo za nekaj trženjskega pretiravanja, znotraj katerega se vendarle skriva popolnoma nov pristop (slika 7).
Na operativni ravni se za načrtovalce in upravljavce spremeni zasnova. Na ravni modeliranja storitve v DNA Centru, centralizirani platformi za avtomatiko in analitiko, izberemo aplikacijo (slika 8).
»Design/Provisioning«
V katerem določimo parametre omrežja, uporabniške profile, v katere vključimo naprave in uporabnike (inventar) itd.
»Policy«
Kjer kreiramo politiko, virtualna omrežja, povezljivost, nadzor dostopa, uporabniške skupine in aplikativne prioritete.
»Assurance«
Za analitiko, monitoriranje in odpravo napak.
Na ravni krmiljenja DNA Center, ki upravlja SD-Access omrežje, poskrbi za izvedbo:
- Postavitve fizičnega (»underlay«) in logičnega (»overlay«) omrežja.
- Modeliranje storitev in avtomatizacija nastavitev (NETCONF, PnP, LISP, TrustSec, SNMP/Netflow/logs) programabilnih elementov, odgovornih za prenos VXLAN-podatkov.
Opisani gradniki tlakujejo pot v digitalizirano upravljanje infrastrukture. S tem se za inženirske IT-oddelke aplikativna raba šele začne. Bodisi ostanete zavezani klasični ali DNA arhitekturi ne spremeni dejstva, da naprave ostajajo v službi aplikacij. V iskanju odgovora mi je najbližje stališče vsakokratne presoje zagotavljanja nadaljnjega razvoja.
DNA in SRC
Ali bo s programskim krmiljenjem vrnjen čas IT-osebju, obremenjenemu z ročnimi operativnimi postopki, bo pokazal čas. Kar se tiče pristopa podjetja Cisco, se porajajo pomisleki glede izbire platform oz. primernih naprav. Kateri so razlogi za izbiro protokola LISP namesto že uveljavljenega protokola (npr. MP-BGP, OSPF, IS-IS)? Ali je zagotavljanje polne mobilnosti za razvijalce tista resnična potreba za segmentacijo VXLAN? Aktualna so vprašanja povezovanja med infrastrukturnimi inženirji in razvijalci (»DevOps«), kar naslavlja potrebo po kadrih tipa »Network Automation Engineer«.
SRC se novosti loteva pragmatično s predstavitvami pri strankah. Prezgodaj bi bilo zatrjevati poznavanje dobrih praks aplikativnih postavitev, saj so okolja specifična in zahteve raznolike; priložnost, da jih zgradimo skupaj.