Анализ требований к сетевым сервисам и серверному сегменту

Согласно техническому заданию центр обработки данных должен предоставлять возможности работы следующих сервисов:

-Файловые сервисы для хранения информационных баз с возможностями доступа из внутренней гетерогенной сети компании и из внешних сетей (интернет).

-Служба каталогов для хранения учетных данных пользователей и централизованного управления связанными сетевыми ресурсами.

-HTTP-сервер для доступа к сайту компании.

-Сервисы терминального доступа пользователей компании из внешней сети к внутренним ресурсам предприятия.

-Сервис для автоматического присвоения сетевых адресов хостам.

-Сервисы обеспечивающие разрешение имен узлов.

-Сервисы обеспечивающие контролируемую изоляцию внутренней сети предприятия от внешней сети (интернет).

Кроме того, согласно ТЗ, надо использовать серверное программное с открытым исходным кодом для всех сервисов кроме службы каталогов.

Служба каталогов - средство иерархического представления ресурсов, принадлежащих некоторой отдельно взятой организации, и информации об этих ресурсах. Имеют распространение следующие службы каталогов: NovellNDS (ОС NovellNetware), OpenLDAPSoftware (кроссплатформенное ПО), 389 Directory (ОС семейства RedHatLinux), ActiveDirectory (ОС Microsoftwindows). В настоящее время наиболее богатые возможности предоставлены службой каталогов ADDS в серверных ОС Microsoftwindows.

Файловые сервисы с открытым исходным кодом для организации доступа в локальных сетях представлены серверами SAMBA и NFS, это программное обеспечение существует для UNIX-подобных ОС.

Для доступа к файловой среде из внешних сетей удобно использовать протокол FTP (File Transfer Protocol - протокол передачи файлов). Это надежный и проверенный протокол, позволяющий производить аутентификацию пользователя при доступе к файловому хранилищу. Существуют свободные кроссплатформенные реализации FTP-серверов.

Веб-сервер - это сервер, принимающий HTTP-запросы от клиентов, обычно веб-браузеров, и выдающий им HTTP-ответы, обычно вместе с HTML-страницей, изображением, файлом, медиа-потоком или другими данными. Существует кроссплатформенные реализации HTTP-серверов с открытым исходным кодом.

Так как предприятию нужно использовать терминальный доступ пользователей компании из внешней сети к внутренним ресурсам предприятия, должны быть предоставлены соответствующие сервисы. Такие сервисы представлены множеством служб, например telnet, ssh, vnc, radmin, rdesktop. Существует как проприетарные сервисы терминального доступа, так и ПО с открытым исходным кодом под различные ОС.

Для автоматического присвоения сетевых адресов хостам используются сервисы DHCP (DynamicHostConfigurationProtocol - протокол динамической конфигурации узла) - это сетевой протокол, позволяющий компьютерам автоматически получать IP-адрес и другие параметры, необходимые для работы в сети TCP/IP. Реализации данных серверов существуют под многими операционными системами, включая Linux, Unix, Solaris (с открытым исходным кодом), IOS, windows.

Сервисы, обеспечивающие разрешение имен узлов для IP сетей это сереверы DNS. DNS (Domain Name System - система доменных имён) - компьютерная распределённая система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста.

Реализации этого сервиса с открытым исходным кодом существует под UNIX-подобными операционными системами.

Сервисы для резервного копирования могут быть представлены как простыми автоматизированными скриптами копирования информационных баз в отдельное хранилище, так и сложными системами, предусматривающими использование различных методов создания резервных копий, схем и расписаний, для управления процессом резервного копирования. Эти сервисы будут планироваться исходя из конфигурации программной среды и аппаратной составляющей ЦОД.

Требования к сервисам, обеспечивающим контролируемую изоляцию внутренней сети предприятия, отдельно оговорены в техническом задание и будут подробно рассмотрены в следующем параграфе.

Для того чтобы обеспечить возможность автоматического восстановления работоспособности этих сервисов в случае аппаратных или программных сбоев должна быть избыточность серверного оборудования.

Увеличить эффективность использования серверного оборудования может применение решений виртуализации. Кластер виртуализации это множество систем виртуализации, имеющих общую систему управления, единое хранилище данных и общие сетевые ресурсы (планирование виртуализации будет подробно рассмотрено далее).

Для реализации возможности создания кластера должно быть использовано как минимум два физических сервера, имеющих соответствующую производительность и возможности для обеспечения работы всех сервисов на одном из них, в случае аппаратного или программного сбоя другого сервера.

Выбор аппаратной составляющей для физических серверов будет вытекать из решений виртуализациии. Возможности этих решений будут рассмотрены далее.

Единое хранилище должно предоставлять серверам возможности для совместного доступа к информации.

Выбор системы хранения для центра обработки данных это относительно непростая задача. Согласно техническому заданию должна быть использована надежная и гибкая система, поддерживающая возможности создания отказоустойчивого массива дисковых накопителей, с возможностями масштабирования и расширения возможностей системы. Дополнительные требования на основное хранилище данных накладывает система виртуализации:

- Должен предоставляться единовременный доступ к ресурсу основного хранилища для всех мониторов виртуальных машин.

- Высокое быстродействие основного хранилища для эффективного взаимодействия сервисов.

- Отказоустойчивость на уровне выхода из строя любого накопителя в массиве.

Эти требования исключают возможность использования высокоскоростных DAS-хранилищ, которые могут работать с интерфейсом контроллера дисков напрямую (SAS-контроллер с внешним интерфейсом SFF-8088 поддерживают кабели до 6 метров), так как такой тип подключения предусматривает только монопольный доступ к логическому тому. Решения применения высокоскоростной шины InfinyBand требуют довольно дорогостоящего и специфичного оборудования.

Решения по организации SAN (StorageAreaNetwork, сеть хранения данных) требует для организации дополнительного коммутационного оборудования, организация подобной структуры - обычно довольно дорогостоящая и трудоемкая операция.

Наиболее подходящим решением для организации требуемого хранилища будет использование NAS (Network Attached Storage) хранилища с поддержкой технологии 802.3ad и высокоскоростным дисковым интерфейсом SAS (SerialAttachedSCSI), что обеспечит высокое быстродействие и возможности масштабирования системы хранения.

Подобные возможности накладываются на хранилище для резервного копирования, с некоторыми дополнениями:

- Хранилище должно быть надежным, при необходимости должен обеспечиваться быстрый доступ к резервным копиям.

- Хранилище должно быть территориально удалено от основной информационной системы.

- Требования к накопителям, применяемых в системе для хранения резервных копий следующие: невысокая стоимость, большой объем, но умеренное быстродействие (допускается меньшее быстродействие, чем подсистема накопителей основного хранилища)

Таким образом, для хранилища резервных копий также подходит NAS-хранилище, но с меньшими требованиями к быстродействию.

Для устранения "узких мест" в сетевой среде передачи данных должна использоваться технология объединения каналов. При этом полоса пропускания между коммутатором и основным хранилищем по скорости должна быть приближена к скорости работы интерфейсов накопителей данных, для эффективного использования скоростных дисковых массивов.

Отказоустойчивость на уровне накопителей нужно создать как на уровне дисковой подсистемы отдельных серверов, так и на уровне систем хранения данных. Для этого будут использованы дисковые массивы с чередованием и зеркалированием. Для хранилища резервных копий согласно ТЗ нужно обеспечить большую надежность хранения данных. Для этого можно использовать отказоустойчивый массив с большей избыточностью. Возможности создания перечисленных массивов должны быть предусмотрены при выборе аппаратного обеспечения NAS.

3.3 Анализ требований к подсистеме доступа к внешним сетям

Подсистема доступа к внешним сетям должна обеспечить контролируемый доступ как локальной сети в сеть интернет, так и пользователей интернет и избранным ресурсам центра обработки данных.

Функционально подсистема доступа к внешним сетям будет являться шлюзом в интернет с функциями межсетевого экрана (брэндмауэра).

Подсистема должна обеспечивать гибкую фильтрацию трафика, защиту локальной сети от внешних сетевых угроз, возможности для управления перенаправлением трафика в случае роста предприятия и увеличения количества внешних сетевых сервисов. Так же система должна предоставлять возможности настройки маршрутизации. Для решения этих задач должно быть реализовано гибкое и удобное управление шлюзом и межсетевым экраном.

В соответствии с техническим заданием надо поместить ПО шлюза и брэндмауэра на изолированном физическом хосте. Чтобы изолировать эту подсистему от локальной сети ЦОД на сетевом уровне можно разместить ее в отдельной подсети, разделив узлом маршрутизации от остального сетевого пространства.

Доступ в сеть должен предоставляться любому сегменту сети с сокрытием внутренней структуры сети предприятия. Для сокрытия внутренней структуры можно использовать технологию NAT (NetworkAddressTranslation - «преобразование сетевых адресов») - это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов.

Для защиты от угроз из внешней сети должна быть возможность управления трафиком (блокировка, правила трансляции и перенаправления, управление маршрутизацией) для различных этапов коммутации.

Для реализации этого функционала можно использовать как аппаратные (например, CISCOPIXFirewall), так и программные решения (Kerio, Netfilter, UncomplicatedFirewall, Outpost и.т.п.).

Наиболее простым и доступным решением для этой роли будет программная реализация данной подсистемы.

Для подобной реализации наиболее подходит надежный межсетевой экран с открытым исходным кодом и широкими возможностями конфигурирования и настройки netfilter/iptables.

С открытым исходным кодом данный сервис представлен мощным и надежным сетевым экраном netfilter и утилитами управления iptables для ОС семейства Linux/Unix. Поддержка других необходимых сетевых протоколов для доступа к сети и маршрутизации так же в полной мере реализована в ОС Linux/Unix.

Для дополнительной защиты локальной сети от сетевых угроз следует разместить сервисы, доступ к которым предоставляется из внешней сети, в отдельном изолированном сетевом сегменте.

Так же одним из требований было обеспечение отказоустойчивости подключения на уровне каналов связи. Для этого можно добавить и сконфигурировать дополнительный физический сетевой интерфейс и добавить скрипты проверки состояния канала связи. Концепция подключения показана на рисунке 4.1.

Рисунок 4.1 "Концепция изоляции сервисов с подсистемой доступа к внешним сетям"

Сетевые интерфейсы должны иметь различные каналы подключений к внешней сети (например, использование двух различных провайдеров для каждого подключения).

Для изоляции подсистемы доступа к внешним сетям на отдельном хосте требуется отдельный физический сервер. Отказоустойчивость на уровне каналов связи, как для сети ЦОД, так и во внешнюю среду требует несколько физических сетевых интерфейсов (как минимум четыре).

3.4 Планирование применения решений виртуализации

Виртуализация - это процесс представления набора вычислительных ресурсов, или их логического объединения, который даёт какие-либо преимущества перед оригинальной конфигурацией. Помимо широко применяемых возможностей виртуализации отдельных вычислительных ресурсов компьютера (виртуальная память, виртуальна файловая система, виртуальный режим работы процессора V86-mode) существует так же возможность преобразовать («виртуализировать») аппаратные ресурсы компьютера, включая ЦП, ОЗУ, жесткий диск и сетевой контроллер, для создания полнофункциональной виртуальной машины, на которой можно установить отдельную ОС и выполнять приложения, как на «физическом» компьютере.

Общий принцип такой виртуализации показан на рисунке 4.2.

Рисунок 4.2 "Модель работы гипервизора"

Преимущества применения подобных решений виртуализации очень значительны:

- Повышение отказоустойчивости.

- Возможность плавного обновления и наращивания аппаратной платформы.

- Увеличение возможностей масштабирования информационной системы.

- Изоляция служб.

- Возможность гибкого распределения ресурсов между службами.

- Использование операционной системы, которая наилучшим образом подходит для решения задачи.

Недостатки решений виртуализации:

- Сложность реализации.

- Проблемы с поддержкой оборудования на уровне гостевых ОС (надо заранее планировать взаимодействие внутри виртуальной среды).

- Некоторые платформы виртуализации требовательны к конкретному аппаратному обеспечению (требуется предварительное планирование аппаратной составляющей для мониторов виртуальных машин).

- Снижение производительности гостевых ОС (с применением технологий "паравиртуализации" и "аппаратной виртуализации" потери производительности минимальны).

В структуре ЦОД для достижения описанных преимуществ можно виртуализировать весь серверный сегмент за исключением подсистемы доступа к внешним сетям (что заранее оговорено в ТЗ). Виртуализация сервисов ЦОД должна происходить с учетом отсутствия потерь функциональных качеств сетевых сервисов. С учетом предварительного планирования виртуальной среды недостатки систем виртуализации возможно свести к минимуму.

Таким образом, применение решений виртуализации возможно при использовании ПО мониторов виртуальных машин (гипервизоров) с открытым исходным кодом (согласно требованию ТЗ к сервисам). Подобные решения виртуализации представлены гипервизорами OpenVZ, KVM (Kernel-based Virtual Machine) и XEN, каждый из которых обладает высоким быстродействием и широкими возможностями конфигурирования. Важным требованием к системе виртуализации является поддержка операционных систем, которые будут использованы для выполнения требуемых сервисов.

Использование систем виртуализации позволит эффективно распределить сервисы центра обработки данных, уменьшить количество простоев и непродуктивной работы серверного оборудования. Так же с помощью этих систем будет возможно автоматическое восстановление работоспособности сервисов в случае аппаратных или программных сбоев серверов.

Для обеспечения этих возможностей необходимо использовать как минимум два физических сервера, единообразие сетевой среды в сегменте виртуализации и единое хранилище для реализации концепции кластера виртуализации. При этом, в случае отказа одного сервера, мощности оставшихся серверов должно быть достаточно для выполнения всех сервисов.

Важно предусмотреть использование решений виртуализации при выборе программной и аппаратной составляющей, а так же при проектировании сети ЦОД.

3.5 Планирование сетевой архитектуры ЦОД

Взаимодействие узлов в центре обработки данных происходит через локальную вычислительную сеть. Планирование сетевой архитектуры, сегментации и сетевого взаимодействия узлов в сети является важным звеном в процессе проектирования ЦОД.

Сетевая архитектура определяет топологию и метод доступа к среде передачи данных, кабельную систему или среду передачи данных, формат сетевых кадров тип кодирования сигналов, скорость передачи.

Исходя из требований сервисов, работа которых необходима согласно требованиям технического задания, для создания сети ЦОД нужно использовать технологию "Ethernet". Ethernet - в настоящее время наиболее популярная в мире технология для передачи данных. Популярность обеспечивается простыми, надежными и недорогими технологиями. Стандарты Ethernet определяют проводные соединения и электрические сигналы на физическом уровне, формат кадров и методы управления доступом к среде (CSMA/CD).

Для организации сети необходимо так же выбрать топологию, локальной сети. Под топологией обычно понимается способ описания конфигурации сети, схему расположения и соединения сетевых устройств.

На уровне общего логического взаимодействия узлов внутри ЦОД, с учетом узла маршрутизации, который необходим для разделения сети на сегменты, исходя из требований технического задания, топология будет гибридной (древовидной), структура отражена на рисунке 4.3.

Рисунок 4.3 "Логическая топология взаимодействия сетевых сегментов"

Вершиной дерева будет серверный сегмент центра обработки данных, ветви будут представлять линии связи к коммутационным узлам. На уровне одного коммутационного узла логическая организация будет подобна звездообразной топологии
3.6 Проектирование вычислительной сети ЦОД

После определения сетевой архитектуры ЦОД можно приступить к проектированию вычислительной сети, планированию сегментации и разбиению сети на подсети.

Деление сетей на подсети оправдано следующими обстоятельствами:

- Снижается загрузка сети: трафик будет сосредоточен внутри одной подсети, разгружая таким образом всю остальную сеть.

-Соображения безопасности: трафик в общей сети может быть перехвачен и проанализирован, организация подсетей обеспечивает способ, позволяющий предохранить сетевой сегмент одного отдела от "прослушивания" сетевого канала из другого сегмента.

Деление на подсети обычно выполняют в соответствии с физическим расположением сетевых узлов.

В условиях технического задания было указано, что деление надо выполнить на уровне организационного назначения узлов, а именно сегментировать сеть на уровне отделов предприятия. Более того, было указано, что предприятие динамически развивается и возможно расширение, и увеличение количества отделов.

Исходя из приведенных условий, в сетевую среду надо добавить еще один уровень сегментации, основанный на технологии VLAN (Virtual Local Area Network, виртуальная локальная компьютерная сеть).

VLAN представляет собой группу хостов с общим набором требований, которые взаимодействуют так, как если бы они были подключены к одному широковещательному домену, независимо от их физического местонахождения. VLAN имеет те же свойства, что и физическая локальная сеть, но позволяет конечным узлам группироваться вместе, даже если они не находятся в одном физическом сегменте.

Для сегментации сети предприятия следует выделить каждому отделу свою подсеть, а каждой подсети присвоить свой идентификатор VLAN.

Аналогичное действие актуально для серверного сегмента. В отдельных сетевых сегментах будет располагаться серверный пул и подсистема доступа к внешним сетям (шлюз и межсетевой экран). Серверы, к которым возможен доступ из внешних сетей, должны быть изолированы сегментом подсистемы доступа к внешним сетям. Идентификатор VLAN должен быть присвоен каждому сетевому сегменту.

Для того чтобы подсети могли взаимодействовать между собой необходимо организовать их коммутацию через узел третьего уровня, маршрутизатор. Коммутаторы 2-о уровня, отведенные для объединения конечных хостов должны быть подключены к маршрутизатору.

В результате должно быть 4-е подсети для пользовательских отделов, каждой из которой присвоен vlanid. И серверные подсети, с собственными уникальными идентификаторами. Пример схемы сегментирования показан на рисунке 4.4.

Рисунок 4.4 "Сегментация сети на уровне VLAN"

В результате деления сети ЦОД на подсети и сегментированию VLAN достигается большая степень административного контроля вследствие наличия устройства, осуществляющего маршрутизацию между сетями VLAN на 3-м уровне OSI. Достигается уменьшение потребление полосы пропускания по сравнению с ситуацией одного широковещательного домена. Сокращается непроизводственное использование CPU за счет сокращения пересылки широковещательных сообщений. Значительно уменьшается вероятность широковещательных штормов в сети и предотвращается возникновение петель между сетевыми узлами.

Сегментирование сети с использованием подсетей и VLAN позволит

значительно увеличить возможности масштабирования сети, за счет объединение хостов в единую группу. Для того чтобы имелась возможность использовать технологию VLAN, необходима поддержка этой технологии со стороны коммутационного оборудования.

Так же технология VLAN будет важна для реализации отказоустойчивости на уровне сетевых узлов ЦОД. Отказоустойчивость подразумевает избыточность сетевого оборудования и каналов передачи данных, VLAN позволит уменьшить количество избыточных узлов.

Можно реализовать отказоустойчивость, используя технологии агрегирования (объединение) каналов либо STP (Spanning Tree Protocol, протокол остовного древа).

STP позволит сделать резервирование коммутатора, однако - у такого решения есть недостаток: в отдельно взятый момент времени будет работать один из каналов.

Выгодно реализовать отказоустойчивость, одновременно используя избыточные каналы и оборудование для повышения скорости передачи данных внутри сети, путем объединения каналов по стандарту IEEE 802.3ad.

Для этого нужно использовать технологии объединения каналов и стекирования коммутационного оборудования. Стек - это объединение двух или более физических коммутаторов в один логический.

Учитывая возможности применения решений виртуализации, сетевые сервисы будут располагаться в отдельном физическом серверном пуле, который будет находиться в отдельном сегменте сети и взаимодействовать с остальной сетью через отдельные линии связи. Коммутационное оборудование на этом участке будет загружено множеством сетевых сессий, как между самими серверами, так и в случае клиент-серверного взаимодействия. Для устранения "узких мест" и изоляции системы виртуализации в этом участке сети надо использовать несколько сетевых интерфейсов для сообщения между собой мониторов виртуализации и виртуальных машин между собой и остальной сетью. Для увеличения быстродействия на этих участках можно использовать агрегацию каналов связи. Агрегация должна быть на участке взаимодействия самих серверов, так и на участке взаимодействия серверов с узлом маршрутизации. Для реализации этих возможностей сервера должны иметь несколько сетевых интерфейсов, ОС системы виртуализации и сетевое оборудование должно поддерживать технологию 802.3ad. Это надо предусмотреть при выборе аппаратной конфигурации оборудования ЦОД.

Управляющие компьютеры операторов могут располагаться в серверном сегменте сети, согласно ТЗ. Это избавит сеть от трансляции запросов с этого оборудования через узел маршрутизации.

Схема логической организации такой сети показана на рисунке 4.5.

Рисунок 4.5 "Упрощенная схема сети ЦОД"

Для того чтобы DHCP сервер обеспечивал автоматическое присвоение IP-адресов хостам надо чтобы DHCP-запросы клиентов транслировались в серверную подсеть к DHCP серверу. Для этого сетевое оборудование на участке клиент - маршрутизатор - DHCP-сервер должно поддерживать технологию "DHCPrelayoption 82".

Коммутационный стек должен быть создан на уровне узла коммутации (sw1) а так же узла маршрутизации (rt1). Агрегация каналов для реализации отказоустойчивости на уровне каналов связи ЦОД должна быть использована на уровне коммутационного оборудования, подсистемы доступа к внешним сетям, сетевых хранилищ (NAS), а так же серверов виртуализации.

Глава 3