Облачные технологии в управлении корпоративной сетевой инфраструктурой
Развитие современных корпоративных сетей достигло этапа, когда сложившиеся методы организации и управления уже не работают. Как никогда актуальным является необходимость сокращения совокупной стоимости владения, расходов на эксплуатацию, упрощение и автоматизация управления. Нельзя упускать из виду и тенденцию роста беспроводных и конвергентных сетей.
В этих условиях привычный подход к построению, конфигурированию и обслуживанию сетей становится неуместным из-за высокой трудоемкости и большого количества ошибок из-за изолированной настройки отдельных устройств.
В этом обзоре мы рассмотрим инновационный подход к управлению корпоративными сетевыми инфраструктурами на базе облачных технологий Huawei (Cloud-based Management).
Технология облачного управления позволяет унифицировать конфигурирование сетевого оборудования с помощью облачных средств. Применение этого подхода позволяет не только централизовать управление, но и делегировать его сервисным партнерам или провайдерам, благодаря чему удается сократить расходы на эксплуатацию и обслуживание. В отличие от технологии SVF сетевые устройства управляются по отдельности облачной платформой, а не виртуализируются в единый логический объект. Доступ к управляемым сетевым сегментам обеспечивается с помощью протокола IP (интернет), благодаря чему этот метод управления может применяться к существенно удаленным друг от друга географически сегментам корпоративной сети.
Облачная платформа Huawei представляет собой публичное решение, позволяющее работать с разными бизнес-моделями. Решение представляет собой разделяемую многопользовательскую или многоарендуемую инфраструктуру. Заказчик покупает лицензию у Huawei или сервисного партнера, после чего получает возможность управлять и осуществлять техническое обслуживание своей сетевой инфраструктуры с помощью облачной платформы Huawei.
Основные компоненты платформы
- Контроллер облачного управления. Это важнейший компонент, необходимый для единого управления точками доступа, маршрутизаторами доступа, коммутаторами и сетевыми экранами. Контроллер поддерживает режим многопользовательского управления и «Plug-and-play». Он совместим с API интерфейсов, позволяя работать с платформами сторонних производителей, а также поддерживает сетевые сервисы на основе пакетного конфигурирования.
- Сетевой протокол NETCONF. Протокол базируется на XML и предназначен для настройки и управления сетевыми устройствами. Сети, поддерживающие протокол NETCONF предлагают стандартные API для разработчиков прикладного ПО, благодаря чему упрощается внедрение программных решения для сетевого управления. Кроме NETCONF необходима поддержка HTTP 2.0 (RFC 7540) и SSH (RFC 4253).
- Устройства корпоративных сетей передачи данных с поддержкой технологий облачного управления. Сегодня такая технология поддерживается для кампусных коммутаторов Huawei S5720-SI, сетевых экранов USG 63xx, точек доступа (например, AD9430DN-12/ AD9430DN-24). Переход в режим облачного управления для нового устройства может осуществляться автоматически или вручную. Например, коммутаторы можно переключить с помощью протокола DHCP (с опцией 148), командой CLI или через web-интерфейс.
Решение облачного управления Huawei Cloud Managed
Контроллер облачного управления является важнейшим компонентом системы. Он имеет распределенную кластерную архитектуру, состоит из нескольких модулей и обеспечивает высокую доступность.
Все узлы контроллера работают в отказоустойчивой кластерной конфигурации. Кластер хорошо масштабируется путем добавления дополнительных узлов. С помощью специальных требований к узлам контроллера и ширине пропускной полосы между облачной сетью и контроллером можно оценить производительность системы управления.
Возможности системы
Свойство | Количество, шт |
Устройства под управлением одного узла контроллера | 10 000 |
Устройства под управлением кластера | 200 000 |
Пользователи, активные одновременно для одного узла контроллера | 100 000 |
Пользователи, активные одновременно для всего кластера | 600 000 |
Сетевые изолированные арендаторы на один контроллер | 10 000 |
Сетевые изолированные арендаторы онлайн на один контроллер | 10 000 |
Пользователи, аутентифицируемые на одном узле контроллера | 100 в сек |
Пользователи, аутентифицируемые кластером одновременно | 700 в сек |
Основные модули контроллера и их их функции
- Модуль балансировки. Отвечает за распределение нагрузки внутри кластера, благодаря чему кластер использует единый виртуальный IP-адрес. Этот модуль базируется на сервере LVS для Linux и сервере nginx. Кроме того модуль балансировки отвечает за работу северного и южного интерфейсов (NBI и SBI) для остальных модулей кластера.
- Модуль управления ACM предназначен для управления администраторами контроллерам, администраторами арендаторов облачных услуг и администраторами сервисных провайдеров. Модуль обеспечивает возможность управления оборудованием, пользователями, сетевыми функциями, политиками безопасности, системными сообщениями и логами, а также осуществлять мониторинг сети.
- Модуль аутентификации ACA включает портальную web-аутентификацию и обеспечивает механизм контроля доступа конечных пользователей.
- Модуль сбора информации ACC собирает статистику производительности системы и предупреждения, передавая потом эти данные в платформу BigData для обработки и хранения.
- Модуль FusionInsight HD отвечает за аналитику больших данных, полученных от модуля сбора информации. В случае выхода из строя одного устройства в кластере FusionInsight другие узлы смогут сохранять и анализировать данные, благодаря чему предотвращается потеря информации.
На рисунке представлена сервисная архитектура контроллера облачного управления.
Разберем один из вероятных сценариев использования облачной платформы. Предположим, некая компания хочет запустить множество небольших беспроводных сетей (например, для филиалов, торговых точек или магазинов). Компании придется закупить большое количество сетевых устройств, а также систему управления сетью и пользователями сети. Это приводит к росту совокупной стоимости владение, а географическая удаленность беспроводных сетей между собой требует увеличения времени на внедрение сервисов.
В случае же использования корпоративного публичного облака Huawei необходимо, чтобы точка запуска сервисов была подключена к интернету, а сам запуск беспроводных сервисов осуществляется в следующей последовательности:
- Импорт лицензии на контроллер облачного управления AC Campus. Лицензии приобретаются на определенный срок на оборудование конкретного типа. После истечения срока лицензии оборудование не сможет подключиться к платформе и новые настройки сервисов не будут переданы с контроллера на устройство.
- Импорт серийных номеров ESN сетевого оборудования на контроллер AC Campus, к которым привязывается код активации лицензии.
- Настройка сетевых сервисов на контроллере, в том числе политик управления пользователями, SSID, функций аутентификации (включая портальную), контроля доступа беспроводных пользователей. Аутентификация возможна через WeChat, через первый доступ в интернет из браузера, с использованием логина и пароля, а также с помощью смс. Сетевой доступ контролируется с помощью используемых идентификаторов точек доступа, SSID или времени сетевого доступа.
- Сетевые устройства проходят регистрацию на контроллере в автоматическом режиме при получении доступа в интернет. Используется двусторонняя аутентификация с помощью сертификатов, после чем происходит автоматическая загрузка конфигураций на устройства с контроллера. После этих действий сеть готова к работе.
После выполнения конфигурирования сервисов WLAN провайдер или заказчик может копировать полную конфигурацию сервисов беспроводной сети на контроллере. Таким образом администратор сможет быстро настроить сетевые устройства для большого количества филиалов в пакетном режиме, а на развертывание сетевых услуг потребуется гораздо меньше времени. После того, как все сетевые устройства будут зарегистрированы на контроллере заказчик или провайдер получат возможность выполнять различные операции: запрашивать статус отдельных устройств, управлять ими удаленно, осуществлять мониторинг производительности и получать системные уведомления.
Контроллер публичного облака Huawei осуществляет строгое разделение ролей администратора контроллера, администраторов сервисных провайдеров MSP и администраторов арендаторов облачных услуг. Системные администраторы могут выполнять текущее обслуживание контроллера, но не могут настраивать сервисные функции и просматривать их текущее состояние. Администраторы MSP имеют возможность управлять сетями и обслуживать сети множества клиентов после авторизации на контроллере. По умолчанию они не могут просматривать данные о сетях заказчиков. Администраторы арендаторов облачных услуг имеют возможность управлять своими сетями с помощью контроллера. Несмотря на то, что AC Campus использует единое доменное имя naas.huawei.com, физически кластеры контроллеров облачного управления расположены в разных дата-центрах по всему миру.
Компания Huawei предлагает инновационный подход к управлению, настройке и мониторингу корпоративной сетевой инфраструктуры, в частности активное использование облачных технологий.