כיצד והאם משפרים ביצועים ואבטחה בתשתיות של רשתות וירטואליות על ידי Network Packet Brokers
כתב: רן גת, מנהל קו מוצרי מערכות ניטור ביצועים ואופטימיזציה בבינת אלקטרוניקה
טכנולוגיות וירטואליזציה וכן טכנולוגיית SDN (ר"ת Software-defined Networks) מבטיחות יתרונות רבים, אך שכבות ההפשטה (Abstraction) שנוספות להן גובות מחיר ומקשות לקבל תמונת מצב מפורטת על התעבורה שזורמת בדטה סנטר.
המעבר המתמשך לרשתות מהירות מעצים את האתגר, מפני שרוב הכלים שמוצעים כיום לניטור הרשת, ניהולה או אבטחתה לא מסוגלים לפעול בקצבי תקשורת של 40 ג'יגה-ביט. התקנים של Network Packet Brokers – NPB, שמוכרים גם כפתרונות Network Visibility, מסייעים להתמודד עם האתגר באמצעות לכידה, סינון ואופטימיזציה של התעבורה. על ידי כך יכולות מערכות הקיימות כיום בארגונים לפעול ברשתות של 40 ג'יגה-ביט לשנייה.
אולם, האם התקני NPB פיזיים כאלה יכולים לפעול בצורה יעילה בסביבות וירטואליות?
כדי לתת מענה לצורך זה תומכים התקני NPB מזה זמן במגוון פרוטוקולים לפילוח, עטיפה ותיעול (אunneling) של הרשת, דוגמת Virtual LAN ,Multi-Protocol Label Switching ו-GPRS Tunneling Protocol.
אולם, מעבר לפרוטוקול כלשהו, ובמיוחד לנוכח הצמיחה המתמדת של המערכת האקולוגית של הפרוטוקולים, יש חשיבות רבה יותר ליכולת לבדוק ולזהות מנות בשכבות 2 עד 7 (בעיקר בשכבה האחרונה), בשילוב עם גמישות שמאפשרת להגדיר ולתכנת התקני NPB. כך הן יוכלו לנתח לעומק את המנות ברשת ועל ידי זאת לבצע אופטימיזציה לפני השליחה ליישומי הניטור ואבטחת המידע, וכן לתת מענה לתמיכה בפרוטוקולים מתפתחים דוגמת VXLAN.
התקני NPB חייבים לתמוך גם בשיטות נוספות ונפוצות יותר כיום, שבהן נעשה שימוש על מנת לספק תמונה של זרמי התעבורה בתשתיות וירטואליות. כך, למשל, מתגים וירטואליים של סיסקו (Cisco) ו-VMware מציעים ממשקים לתכנות יישומים (ממשקי API) לשיקוף וירטואלי או חיבורי SPAN. מתג vSwitch בשרת המארח מנתב את התעבורה מ-Port Span וירטואלי לתשתית הניטור הפיזית וכך הוא מספק תמונה גם על הרשת הפיזית וגם על הרשת הווירטואלית במערכת בודדת, תוך כדי שמירה על ביצועים גבוהים ברשת Out-of-Band.
היתרון של תצורה זו נובע מכך שאין צורך במחשב וירטואלי שמוקדש לניטור הרשת וגוזל משאבי אירוח יקרים, והיא חוסכת גם את הצורך בסוכנים שיוצרים עומס נוסף על תוכנת Hypervisor. אולם, יש גם חיסרון, שנובע מהסכנה שחותמות הזמן (Time Stamps) של המנות לא יהיו מדויקות כאשר מתפתח עומס יתר על מתג vSwitch, על אף שהעומס על חיבור SPAN וירטואלי נמוך משמעותית מאשר כשמתג vSwitch פועל במצב מעורב. למרות המגבלה, היכולת של חיבור SPAN וירטואלי מסייעת לקבל תמונה ביחס לתעבורה ביישומים וירטואליים שנותרים במתג vSwitch באופן בלעדי.
שימוש ברכיב פיזי נפרד, דוגמת כרטיס רשת לניהול, שמנתב את התעבורה מחיבור ה-SPAN הווירטואלי, יכול למנוע שתי בעיות נוספות שמתעוררות בגישות המבוססות על תוכנה בלבד: הראשונה – לא ניתן להבטיח תמונה מלאה על בסיס שימוש בתקשורת מסוג Best-Effort להעברת תעבורה מועתקת באותם חיבורים המשמשים לתעבורת הרשת; והשנייה – שימוש בניתוב GRE לצורך בידוד התעבורה המועתקת גורם לפיצול (Fragmentation) של מנות גדולות, בשל הצורך לעמוד במגבלת גודל יחידת השידור המרבית (MTU) של הרשת.
מאחר שרשתות וירטואליות פועלות כתוספת לרשת הפיזית, חשוב לספק תמונה של שכבת הקישור הפיזית, כולל זו של התעבורה, במיוחד עבור כלים לניהול ביצועים ואבטחה. התקני NPB נותנים כיום מענה טוב בהחלט לצרכים אלה ודרישה זו תמשיך להתקיים גם בטכנולוגיות SDN ו-NFV.