Системи за централно архивирање података – архитектура система

У овом посту пишемо на следеће теме архивског система, а то су висока доступност система, бекап и тиринг архива као и о општој архитектура система. Битна својство архивског система који је неопходно адресирати и имплементирати у процесу реализације јесте систем високе доступности. Генерално узев, имамо два приступа које је могуће остварити у процесу имплементације архивског система и то су:

  1. Висока доступност која се ослања на архитектуру система за виртуализацију представља основну форму високе доступности система за архивирање и ослања се на VMWare платформу која ће се користити за имплементацију. Функционалност која нам је на располагању је HA / High Availability која систем чини отпорним на хардверске отказе и гарантује доступност од 99.9%.
  2. Друга опција је имплементација Veritas Server Cluster система који проширује основне функционалности отпорности на отказе и нуди виши ниво контроле система. Неке од функционалних побољшања су:
    1. Апликативни кластерски систем за Enterprise Vault и MS SQL базе омогућава бољу интеграцију са компонентама система и већи степен отпорности на отказе употребом бољих алгоритама детекције проблема на апликацији.
    2. Интеграција са VMWare инфраструктуром омогућава употребу свих напредних функционалности VMWare система на нодовима кластера – HA, DRS, vMotion за разлику од Microsoft Cluster система (vSphere 5.5). Постоји и тесна интеграција са VMWare Client системом и контроле свих кластерских активности и статуса из познате конзоле.
    3. Могућност планираних активности на ОС серверских машина – редовна примена patch процедура и реконфигурација без гашења система као целине је могућа уколико се имплементира ово решење

Бекап архивираних података представља један од кључних елемената архитектуре система ове намене. Неопходно је разумети да систем архивирања података не представља систем који замењује бекап података и као такав и он мора бити део постојећих бекап процедура. Другим речима, систем бекапа намењен је опоравку података у случају непредвиђених околности, док архива података представља механизам за флексибилно проналажење информација у предузећу. Најбоља опција бекап система која се препоручује је Veritas NetBackup систем који поседује максималну доступну апликативну подршку за бекап Enterprise Vault архивског система. Следе захтеви који систем бекапа мора задовољити у погледу бекап процедура у односу на систем архивирања:

  1. Бекап системских партиција и подешавања инфраструктурних сервера који ће бити део будуће Enterprise Vault системске архитектуре – како је систем NetBackup окружења изграђен у флексибилној multi-site топологији, са високом подршком за бекап виртуалног окружења, систем омогућава бекап системских партиција и конфигурација свих виртуалних машина које ће бити изграђене у архитектури система архиве.
  2. Бекап метаподатака Enterprise Vault окружења – систем архивирања поседује многе конфигурационе параметре који се складиште у SQL базама података, а које укључују сва подешавања система, полиса, директоријума, сајтова, индекса, партиција и др. Ове информације су кључне за функционисање система и њиховим губитком сви архивирани подаци и функција система били би угрожени. Зато је неопходно изградити флексибилне процедуре бекапа и рестора ових конфигурација применом SQL GRT, Accelerator и VMWare Single Pass бекап функционалности присутних у NetBackup окружењу.
  3. Бекап архивских партиција и индекса архива представља централни део бекап процедура. У партицијама и индексима налазе се сви подаци архивирани из апликативних система и бекап ових елемената система има кључни значај за функцију целокупног окружења. Треба напоменути да бекап процедуре имају и непосредан значај за ток процедура архивирања, јер се објекти који се архивирају не бришу из примарних апликација пре првог успешног бекапа архиве. NetBackup поседује посебне полисе намењене баш овим апликативним елементима које омогућују извршавање бекап процедура у сарадњи са Enterprise Vault апликацијом и конзистентно понашање апликације приликом рестор-а података. Тренутно не постоји подршка за грануларни опоравак елемената Enterprisa Vault архива попут мејлова, датотека и сл.

NetBackup има и додатну функционалност која се односи на tiering архивираних података која омогућава миграцију архива са секундарних медија за архивирање на терцијарне медије (попут трака или tier-2 диск система нижих категорија) чиме се одлаже брисање архива. Овај део архивског простора постаје пасиван и доступан је корисницима после restore процедура који Enterprise Vault систем захтева од NetBackup окружења. Имплементација ових процедура има смисла у каснијем животном циклусу архивираних података или код мање значајних PST датотека. Подаци у овом делу архивског система не подлежу свакодневним операцијама бекапа, статични су те не подлежу променама и тако не оптерећују дневно функционисање система у целини.

На следећем приказу представљен је логички приказ компоненти као и архитектура система за архивирање и њихова интеграција у целини:

Овим постом завршавамо тему Централног архивирања података предузећа. За сва додатна питања која се тичу система опоравка од катастрофа архивског система, система архиве Journalig-a електронске поште, SLA категоризације података, самог дизајна система који је прилагођен вашим апликацијама и потребама као и осталим детаљима која нису наведена у овим блог циклусу, можете нас контактирати директно те ћемо радо одговорити на све ваше захтеве. Braineering захваљује свима који су нас пратили у овој серији постова.

VMware NSX vs. Cisco ACI

Дефинитивно врућа тема!

Виртуелизација значи одвајање инфраструктурних сервиса од хардвера. У мрежном свету постоји више форми виртуелизације, па су и VLAN-ови једна од форми мрежне виртуелизације, где се, поврх постојеће физичке LAN мреже, имплементирају логичке LAN мреже којe нису везанe само за један switch. Да би се у потпуности реализовала идеја о агилном Data centar-у, VLAN-ови дефинитивно нису били довољни као форма мрежне виртуелизације. Пре свега, због ограниченe скалабилности, друго због потребе да се виртуелизују и други мрежни сервиси, а треће због немогућности централизованог управљања свим мрежним сервисима почевши од L2 packet forwarding-а. Основни мрежни сервис – прослеђивање пакета је врло једноставан и састоји се у томе да се долазни пакет, на основу forwarding табеле, са долазног порта проследи на одлазни порт. Ова функција се смешта на мрежном хардверу у посебне чипове тзв. АSIC-е како би се добило на перформансама. Прорачунавање forwarding табела се изводи на x86 CPU-овима, па можемо рећи да мрежни хардвер има главу и тело, односно говорећи језиком струке, control plane и data plane. Управо је одвајање control plane-а од хардвера концепт мрежне виртуелизације  који се налази у основи идеје о Software-defined Networking-у (SDN-у) где хардвер остаје само брза и пропусна магистрала, која на основу forwarding табеле прослеђује пакете, а прорачунавање forwarding табела је централизовано. Шта тиме добијамо? Са једне стране перформантан и јефтин мрежни хардвер, а са друге стране софтверску флексибилност, одакле проистиче преко потребна аутоматизација. Идеју о Software-defined Data Center-у нису сви прихватили са истим одушевљењем, па су се управо у вези са тим изродила два правца која су се међусобно конфротирала: VMware NSX и Cisco ACI.

Cisco, најомиљенији вендор мрежног хардвера, као озбиљног конкурента у свом core business-у добио је компанију која се искључиво бави софтвером, а то је VМware. VМwarе је дефинитивно познат као лидер на пољу серверске виртуелизације, а серверском виртуелизацијом  је омогућено пре свега ефикасније искоришћење, а затим и могућност аутоматског додељивања  и управљања серверским хардвером. Тренд контроле расположивих ресурса се није зауставио са серверском виртуелизацијом. Напротив, он се наставио, па и убрзао јер је коначна идеја да апликација не добија само процесорско време, меморију и дисковни простор на захтев, већ да буде мобилна што значи да са њом морају једноставно, односно аутоматски мигрирати њено мрежно и безбедносно окружење. Да би мрежно и безбедносно окружење лако пратило своју апликацију, дошло се до захтева за централизованим управљањем и аутоматизацијом у пољу мрежних и сигурносних  решења.

Основна разлика у VMware-овој и Cisco-овој интерпретацији Software-defined Networking-а је у томе што Cisco задржава традиционалан модел који дистрибуира контролу мрежног саобраћаја, а додаје аутоматизацију кроз централизовање управљања полисом, а VMware централизује и управљање полисом и контролу мрежног саобрaћаја. Cisco не жели да напусти свој business model  и понуди перформантан и јефтин мрежни хардвер, већ инсистира на идеји о мрежним appliance-има што је нешто много више од једноставног софтвера на перформантном мрежном хардверу. Appliance је скуп функција тзв. feature-a на специјализованом мрежном хардверу што све повећава цену. Без дилеме, Cisco је велики играч који прво угради сопствене протоколе у своја решења, а потом и сам изгура њихову стандардизацију. Дакле, често су feature-и  Cisco proprietary чиме се постиже цена која не може да се упореди са другим произвођачима и чиме се корисник дугорочно везује за vendor-a (vendor lock-in).  Cisco је, након објаве VMware NSX-а, понудио своју верзију Software-defined Networking-а (SDN-а) која се назива Application Centric Infrastructure (ACI). Application Centric Infrastructure (ACI) је и даље везана за хардвер и то је тренутно више концепт који иницијално захтева значајна улагања будући да је за реализацију Cisco ACI Fabric-е потребно, између осталог, купити Cisco Nexus 9000 серије свичева.

Са друге стране, VMware NSX омогућава да се физичка мрежа третира као pool транспортног капацитета где су мрежни и сигурносни сервиси придружени виртуелним машинама на нивоу виртуелних мрежних адаптера. У језгру овог решења је NSX controller и он репрезентује control plane који је физички одвојен од мрежне платформе којом управља. NSX controller прихвата API request-е од northbound менаџмент платформи као што су на пример vCloud, OpenStack или менаџмент апликација које корисника сам развија. NSX controller, на основу конфигурације, прорачунава мрежну топологију и програмира виртуелне свичеве на нивоу хипервизора користећи, између осталог OpenFlow протокол. vSwitch je виртуелни свич у ESXi кернелу и он представља data plane. И NSX controller и  vSwitch лако скалирају додавањем нових машина или нових хостова, респективно. Зато кажемо да су то scale-out решења јер се перфомансе повећавају додавањем нових, истих машина, а не повећањем капацитета једне машине.

Следећи блокови VMware NSX-а креирају окружење у ком је могуће изградити виртуелне Data center-е мрежне топологије по избору.

  • Скуп API интерфејса
  • NSX controller
  • in-ESXi-kernel vSwitch + add-on kernel modules for distributed routing, firewalling and VXLAN bridging
  • tunneling (STT, VXLAN)

VXLAN

Основни задатак приликом дизајна мреже је да она буде стабилна, скалабилна и перформантна. Стабилност и редудантност L2 сегмената мреже и даље се најчешће ослања на Spanning Tree протокол и његове деривате, али због превеликог времена конвергенције током ког мрежно окружење није стабилно, тражила су се друга решења. Прва решења су се односила на препоруке о смањивању L2 сегмената мреже и померању L3 границе ближе приступном слоју, као и на препоруке о стекованим свичевима у Core-у (Cisco 6500 VSS, Cisco Nexus 5000 vPC). Наредна решења су довела до TRILL протокола који обезбеђује редудантност L2 сегмената, а функционише по принципима протокола рутирања. У вези са TRILL протоколом су настала и proprietary решења за мрежни fabric, пре свега у Data center-у, која обезбеђују велике и стабилне L2 сегментe (Cisco Fabric Path, Brocade VCS, Juniper QFabric). Ова решења су свакако неопходна за изградњу стабилне L2 fabric-е у Data center-у, али она не могу да обезбеде ширење L2 сегменатa ван границe примарног Data center-а до на пример секундарног Data center-а или провајдера Cloud-а. Потребна је била екстензија L2 сегмената без нарушавања стабилности преко L3 границе и тако смо дошли до IETF стандарда „Virtual eXtensible Local Area Network“ односно VXLAN-а. VXLAN је важан елемент VMware NSX решења.


У оквиру виртуелног Data center-а могуће је имплементирати не само VMware NSX дистрибуирани firewall, већ и third-party мрежна безбедносна решења на нивоу виртуелног мрежног адаптера или испред виртуелног Data center-а, а која скалирају заједно са виртуелним Data center-ом. То је као да смо „велике“ security appliance-е које данас стоје на ивици Data center-а разбили на коцкице и гурнули ближе самим машинама. Али тако разбијен сервис много боље скалира и лакше се одржава. Иницијална улагања не значе куповину appliance-а грубо димензионисаних за раст у наредне три године, већ безбедносни сервис расте заједно са сервисом или Data center-ом који штити. Решење иде и корак даље јер је идеја да безбедносно окружење прати своју апликацију чак и у ситуацији, ако она мигрира у Cloud. У неким од првих докумената које је Cisco написао на тему дизајна multitenant Cloud-а препоручена је форма виртуелизације којом се  Cisco ASA  дели на security context-е, а Cisco рутер на VRF-ове (Virtual Routing and Forwarding) како би се на нивоу физичких мрежних уређаја обезбедила потпуна изолација корисника Cloud-а. VMware са NSX-ом нуди боље решење где се Cisco ASA security context-и и VRF-ови имплементирају у приступном слоју на генеричком x86 хардверу. У вези са овим се увек поставља питање перформанси. Перформансе су дистрибуиране, а сигурносни сервис има перформансе баш по мери јер свака машина може да добије свој део сигурносног сервиса у мери којој захтева.

Braineering тим сматра да презентоване технологије не представљају само нову парадигму када су у питању мрежни и сигурносни сервиси већ и будућност ових сервиса. VMware NSX и екосистем решења око VMware NSX-а не тичу се само Cloud провајдера, већ сваког Data center-а. Пратите наш blog. Разрада следи!