Как обустроить ЦОД

27 июнь, 2013 - 14:08Игорь Дериев

Компания «Бакотек» провела в Киеве первую тематическую конференцию, посвященную проблемам эффективной организации ЦОД. Стремление к консолидации вычислений, перевод ИТ на сервисную модель, рост популярности облачного подхода повышают роль ЦОД в современном технологическом мире. Вместе с тем, сегодня уже мало просто подготовить помещения, заполнить их стойками с оборудованием и развернуть нужные приложения. Важно, чтобы ЦОД работал как единое целое — быстро, безопасно, эффективно, но главное — обеспечивал возврат инвестиций.

Все это ставит перед оператором ЦОД — будь то компания, построившая его для собственных нужд, или провайдер ИТ-сервисов — многообразие задач в сфере безопасности, мониторинга, оптимизации коммуникаций и пр. Их решения, причем от признанных лидеров в соответствующих областях, и постаралась представить «Бакотек» украинским ИТ-специалистам.

McAfee

McAfee предлагает целый спектр средств безопасности и целостный подход к ее обеспечению. Последний в контексте ЦОД подразумевает централизованное управление, защиту сетей и виртуальных сред. Прежде всего, комплексная система не должна быть сложной. McAfee решает эту задачу за счет использования единой консоли управления ePO и универсальных агентов, способных поддерживать все доступные функции.

Защита виртуальных сред, как известно, имеет свою специфику, связанную с высокой плотностью вычислений. Традиционные антивирусные решения нередко оказываются не просто неэффективными, но в некоторых случаях и вовсе непригодными. В свою очередь, McAfee MOVE предлагает два специализированных подхода. Первый, безагентный, применим в виртуальных средах Vmware, основывается на Vmware vShield и подразумевает использование для антивирусного сканера выделенной ВМ. Второй ориентирован на гетерогенные среды и также использует выделенный сервер сканирования, но в сочетании с легковесными агентами в каждой ВМ, которые лишь передают серверу контрольные суммы файлов или, при необходимости, сами файлы. В обоих случаях экономятся трафик и вычислительные ресурсы, исключаются негативные явления, вроде одновременных массовых обновлений баз или проверок.

Одного антивируса, однако, уже недостаточно для обеспечения высокого уровня безопасности. Поэтому McAfee предлагает ряд дополнительных решений, в частности, McAfee Application Control для защиты от 0day-угроз с помощью белых и черных списков ПО, репутационного сервиса McAfee Global Threat Intelligence (GTI), а также специфических механизмов противодействия распространенным хакерским приемам. Имеется также более специализированное решение McAfee Database Activity Monitoring — для защиты СУБД, которые являются одними из наиболее критичных инфраструктурных компонентов, достаточно сложны в настройке и сопровождении и при этом довольно часто подвергаются целенаправленным атакам. Для противодействия последним осуществляется полный мониторинг и протоколирование работы с СУБД, контролируется попытки использования известных уязвимостей, разрываются опасные, подозрительные и не соответствующие установленным политика сеансы.

Для сетевой безопасности McAfee предлагает программно-аппаратные комплексы McAfee Network Security Platform, относящиеся к категории Next-Generation IPS. На основе анализа трафика, в том числе на прикладном уровне, с привлечением дополнительных инструментов, таких как GTI, они умеет противодействовать различным сетевым атакам, выявлять действия ботов, инспектировать скрипты и исполняемые объекты в офисных документах.

Как обустроить ЦОД

Андрей Пастушенко, специалист по технической поддержке проектов «Бакотек»: «Поскольку ошибки всегда имеют место, новые уязвимости будут находиться постоянно. Реагировать на них постфактум довольно опасно, поэтому McAfee продвигает свои проактивные решения, способные защищать даже от еще неизвестных угроз»

Intel

Компания Intel на конференции познакомила со своими аппаратными решениями — процессорами, SSD, сетевыми адаптерами — о которых рассказал Алексей Слепцов, специалист Intel по серверным технологиям на территории СНГ. Хотя они представляют более общий интерес, рассказ о них в контексте ЦОД более чем уместен, так как многие последние инновации Intel нацелены на обеспечение эффективной работы оборудования в виртуальных средах. К таковым, в частности, относятся технологии Intel Integrated I/O и Intel Data Direct I/O в процессорах Intel Xeon (среди которых в СНГ наиболее популярен E5, на долю которого приходится около 60% продаж).

Первая состоит в интеграции контроллера ввода/вывода непосредственно на процессорный кристалл, что сокращает задержки на 30% и в целом повышает эффективность работы с сетевыми и дисковыми адаптерами (в сочетании с PCIe 3.0 рост пропускной способности может достигать двух раз). А вторая обеспечивает работу совместимых сетевых контроллеров и адаптеров непосредственно с процессорным кэшем, что не только повышает производительность, но и разгружает основную память сервера. Обе в первую очередь ориентированы на ЦОД, где 10 GbE уже является нормой и, соответственно, обработка сетевого трафика может требовать значительных ресурсов.

На решение этой же проблемы рассчитаны и современные сетевые контроллеры/адаптеры Intel, способные разгружать CPU от ряда специфических задач, а также совместимые со всеми популярными гипервизорами и поддерживающие дополнительные механизмы виртуализации, вроде Intel Virtualization Technology for Connectivity (VT-c).

Наконец, также на корпоративные применения и, особенно, ЦОД, тяготеющие к многоуровневым системам хранения, Intel ориентирует свои SSD актуальных серий S3700, S3500 и 910 (с интерфейсом PCIe).

Однако технологии Intel находят воплощение не только в «железе», напомним, что McAfee сегодня принадлежит Intel и две компании работают в тесном сотрудничестве. Результатами являются такие решения как McAfee Deep Command, которое использует Intel vPro AMT для удаленного управления компьютерами и их безопасностью, независимо от исполнения ОС, и McAfee Deep Defender — современное средство защиты конечных точек, работающее ниже ОС и, соответственно, способное выявлять руткиты и другие сложные атаки.

Как обустроить ЦОД

Алексей Слепцов: «Серверы — основа ЦОД и "облаков" и Intel делает все, чтобы сделать их максимально производительными и экономичными»

Riverbed

Компания Riverbed начинала свой бизнес с выпуска оптимизаторов трафика и сегодня является единоличным лидером в квадранте Gartner за 2013 г. для WAN Optimization Controllers.

Сегодня, однако, ее бизнес более диверсифицирован (за свою истории компания потратила на поглощения более 1 млрд долл) и фактически Riverbed предлагает целую платформу производительности, решающую три основные задачи:

— анализ инфраструктуры для определения зависимостей между компонентами, выявления узких мест, прогнозирования;

— ускорение ИТ-операций: работы приложений, восстановления после сбоев, снижения стоимости каналов;

— контроль: приоритезация трафика, балансировка локальных и облачных ресурсов, консолидация ИТ.

Почему так важна производительность? Есть много примеров, где она влияет на бизнес самым непосредственным образом. К примеру, Amazon отмечает, что замедление загрузки страниц ее магазина на 100 мс ведет к снижению продаж на 1%. Задержка в 500 мс на серверах Google снижает поисковый трафик на 20%. Для биржевого брокера отставание в 1 мс может выливаться в 4 млн долл потерь.

Поскольку производительность является интегральным показателем, то понятна и потребность в решениях для контроля за различными ее аспектами — особенно, если речь идет о предвосхищении проблем и снижении возможных рисков. Александр Стулов, региональный менеджер Riverbed Technology, представил пять основных линеек продукции компании:

— Steelhead — оптимизация WAN-трафика;

— RPM (Cascade и OPNET) — мониторинг и анализ производительности сети и приложений;

— Whitewater — резервирование в облачные среды;

— Stingray — контроль доставки приложений, балансировка трафика;

— Granite — оптимизация доступа к системам хранения данных и вычислительным ресурсам.

Александр Томик, системный инженер RPM в Восточной Европе и России, более подробно познакомил участников конференции с продукцией Cascade, которая за счет взаимодействия с другим сетевым оборудованием и глубокого анализа трафика помогает находить узкие места в инфраструктуре, диагностировать проблемы и пр.

Как обустроить ЦОД

Александр Стулов: «Нередко новые задачи пытаются решать устаревшими инструментами и подходами, не достигая, естественно, нужной эффективности. Мы же предлагаем целостный подход к централизации ИТ и оптимизации работы информационных систем на основе самых современных технологий»

DataCore

Сравнительно небольшая компания DataCore (из штата в 200 человек 90% составляют ИТ-специалисты) предлагает заказчикам решения в области виртуализации СХД. Флагманский продукт DataCore SANsymphony-V представляет собой дополнительную прослойку между системами хранения любых видов и физической или виртуальной инфраструктурой, предоставляющую по интерфейсам FC или iSCSI доступ к виртуальным накопителям.

Идея состоит не только в том, чтобы единообразно использовать все виды имеющихся или будущих хранилищ, и таким образом, к примеру, максимально продлить срок службы устаревшего оборудования, но и оптимизировать работу с ними. Достигается это за счет использования дополнительного кэша в RAM сервера с DataCore SANsymphony-V, эффективного распараллеливания операций, оперативной классификации данных по частоте доступа и автоматического распределения их по быстрым или медленным физическим устройствам.

К базовым возможностям DataCore SANsymphony-V относятся: объединение дисков в пулы, тонкая инициализация, зеркалирование, репликация, снимки, непрерывная защита данных на основе журнала операций, балансировка нагрузки, взаимодействие с облачными сервисами хранения, интеграция с Microsoft SCOM и Vmware vCenter и пр.

Разработчики позиционируют свое решение для инфраструктур любого уровня, от малого бизнеса до облачных IaaS-сервисов.

Как обустроить ЦОД

Владислав Радецкий, специалист по технической поддержке проектов «Бакотек»: «Основные требования, которые бизнес выдвигает к ИТ: доступность и целостность данных и производительность сервисов»

Barracuda Networks

Согласно IDC, Barracuda Networks является ведущим поставщиком программно-аппаратных комплексов для обеспечения безопасности. Сейчас ею предлагаются решения в трех основных категориях: фильтрация контента, сетевая безопасность, защита данных. Всего предлагается 13 продуктовых линеек, охватывающих модели с восемью уровнями масштабирования, а также виртуальные устройства и облачные сервисы.

Бартек Мочульски, инженер Barracuda Networks по сбыту в регионе CEE, представил два продукта, уместных в контексте предоставления облачных сервисов — Load Balancer ADC (Application Delivery Control) и Web Application Firewall.

Назначение Load Balancer ADC — управление доставкой приложений, под чем понимается обеспечение надежного, устойчивого и быстрого доступа. Устройство решает вопросы оптимизации трафика на транспортном и прикладном уровнях, благодаря чему дифференцирует пакеты различных приложений и может применять к ним разные политики. В его основные задачи входят:

— контроль «здоровья» приложения (активность экземпляров, скорость ответа, пр.);

— диспетчеризация запросов к приложениям с применением различных алгоритмов и с учетом загрузки и производительности конкретных экземпляров;

— поддержание персистентных соединений, таких как терминальные сессии и VoIP-сеансы.

Кроме того, Load Balancer ADC располагает готовыми возможностями для акселерации трафика (кэширование, разгрузка серверов на операциях SSL-шифрования и компрессии, пр.) и обеспечения безопасности (IPS, брандмауэр для исходящего трафика, базовая защита веб-приложений).

Web Application Firewall (WAF) — более специализированное решение, ориентированное на анализ HTTP и HTML с упором на безопасность. WAF понимает специфику протоколов, различает веб-формы, файлы cookie и другие объекты, декодирует и нормализует запросы и ответы серверов, и на основе такого анализа может осуществлять фильтрацию трафика и балансировку нагрузки. Дополнительно реализует систему предотвращения вторжений и брандмауэр на транспортном уровне для защиты от наиболее распространенных сетевых атак. Еще одна функция — XML Firewall — предназначена специально для защиты веб-сервисов на базе анализа XML, WSDL, SOAP.

Как обустроить ЦОД

Бартек Мочульски: «Уязвимо каждое веб-приложение, а ломать сайты достаточно просто и даже забавно. Задумайтесь: сегодня YouTube по запросу ‘hack website’ предлагает более 600 тыс роликов и это в шесть раз больше, чем годом ранее»

Dell/Quest

Владислав Самойленко, специалист по технической поддержке проектов «Бакотек», представлял Foglight — один из флагманских продуктов Quest Software, а вернее, целое семейство решений для мониторинга всей инфраструктуры или отдельных приложений. К примеру, Foglight for Virtualization позволяет контролировать работу и управлять загрузкой как физических серверов, так и виртуальных инфраструктур на базе Vmware ESX и Microsoft Hyper-V. Конечной целью является предотвращение рисков перегрузки хостов, устранение или сокращение простоев, что обеспечивается за счет предупреждений и рекомендаций для проактивного устранения проблем.

Аналогичные решения предлагаются для .NET- и Java-приложений, СУБД и пр. Поскольку для информационных сервисов важно получать интегральную оценку, а не оценки отдельных составляющих, Foglight умеет проводить инвентаризацию и автоматически определять архитектуру объекта (зависимости между сервером приложений и ПО промежуточного уровня, пр.) — в результате появляется возможность выявлять проблемные компоненты или действия пользователей, которые приводят перерасходу ресурсов.

Как обустроить ЦОД

Владислав Самойленко: «Эффективный мониторинг позволяет легче перейти на сервисную модель, т.к. упрощает проверку параметров SLA, выявление неправильных действий пользователей, оперативное устранение проблем и пр.»