Consolidar y asegurar las infraestructuras virtuales: servidores y almacenamiento
La virtualización afecta hoy en día a todos los subconjuntos de los ‘centros de datos’. De ahí que hayan ido surgiendo alianzas estratégicas de actores clave del mercado. Este reportaje especial resume la cooperación que han desarrollado Cisco, NetApp y VMware con el fin de proporcionar respuestas a muchas preguntas que plantea el proceso de virtualización de los recursos de TI: ¿Qué opciones hay de diseño? ¿Qué opciones de expansión? ¿Qué características de seguridad? Este documento que hemos elaborado se basa sobre cuatro pilares:
1.- Una asociación única basada en una infraestructura
2.- Los beneficios de la solución de Cisco, NetApp y VMware
3.- La arquitectura FlexPod en tres estratos
4.- La calidad del servicio de principio a fin: ¿cómo se consigue?
—————
1- Una asociación única basada en una infraestructura
En enero de 2010, Cisco, NetApp y VMware formalizaron una relación de partners única para ofrecer a las empresas un diseño estandarizado de centro de datos, ofertado y validado por las tres compañías. Esta arquitectura, denominada SMT o multitenancy seguro que permite a las empresas que lo adopten acelerar su transición a una estructura de TI virtualizada y compartida de principio a fin. Gracias a las “soluciones coherentes y probadas” se simplifica el despliegue y se reduce el riesgo. Uno de los elementos importantes de este diseño de SMT es, sin duda, la total seguridad del uso compartido, es decir, compartida por varios usuarios que usan la misma solución: empresas o entidades usuarias de una misma infraestructura de servicios de red y almacenamiento.
Flexpod para VMware
“La arquitectura SMT compromete a los tres partners para garantizar la plena interoperabilidad entre sus soluciones, con una validación exhaustiva de cada uno de ellos”, explica Bruno Picard, director técnico de NetApp Francia. Este certificado entra en la categoría de CVD (Cisco Validated Design): el desarrollo ha sido probado y validado por equipos de ingenieros de los tres socios en los laboratorios de Cisco.
Cisco, NetApp y VMware, han pasado a otro nivel, el de la cooperación para el suministro de una solución completa llamada Flexpod para VMware.
“Esta infraestrucutura ha sido optimizada para gestionar un conjunto de trabajos aplicados mixtos. Se adapta a una infraestructura de puestos de trabajo o de servidores virtuales, creando un grupo de ‘coinquilinos’ que comparten este diseño de forma segura o en entornos ‘cloud’ según explican los tres aliados.
– Cuatro pilares indispensables
Para trabajar en un entorno seguro y compartido hay cuatro pilares útiles y necesarios que tienen en cuenta Cisco, NetApp y VMware.
1. Seguro de separación: los propietarios no tienen, en ningún caso, acceso al servidor virtual, la red o las redes de almacenamiento de cualquier otro propietario. La información de todos ellos está separada de forma segura.
2. Garantía de Servicio: el rendimiento de cálculo, redes y almacenamiento debe estar aislado y ser seguro también en caso de averías o de cargas anormales generadas por alguno de los propietarios diferentes a los períodos de funcionamiento normal.
3. Disponibilidad: la infraestructura debe garantizar que los recursos necesarios de cálculo, almacenamiento y red están disponibles incluso en caso de fallos.
4. Gestión y administración: es esencial la capacidad de proporcionar, administrar y controlar fácil y rápidamente todos los recursos.
Los retos de la virtualización (Estudio ESG):
Un estudio reciente de Enterprise Strategy Group (ESG) de finales de 2010 confirma que, en materia de virtualización de infraestructura las prioridades siguen siendo la consolidación de servidores y la necesidad de almacenamiento: la mejora de los procesos de seguridad y de restauración de las máquinas virtuales y la extensión del número de aplicaciones en entornos virtualizados.
Las aplicaciones, en el punto de mira
Entre las aplicaciones cubiertas por esta oferta, NetApp destaca la mensajería, la cual se maneja de forma tradicional y se despliega como un “silo” independiente. Flexpod ofrece ahora la posibilidad de transferirlas a otra plataforma en la que compartirlas, de un modo más barato. Hay otras aplicaciones cubiertas, como por ejemplo el entorno ERP, con infraestructura de almacenamiento asociada que se basa normalmente en SAN (Storage Area Network), pero también es compatible con servidores de ficheros, de archivos legales (ECM), etc.
“El reto es migrar estos silos a una infraestructura multitenancy, es decir, a una oferta en copropiedad con varias organizaciones independientes”, según ha declarado Bruno Picard. Puede ser una configuración ‘cloud’ pública o privada, es decir, una configuración, a priori, para varios clientes que puede compartirse dentro de un grupo (en este caso, los clientes de unas unidades de negocio o de las filiales).
1.-Una asociación única basada en una infraestructura
2.- Los beneficios de la solución de Cisco, NetApp y VMware
3.- La arquitectura FlexPod en tres estratos
4.- La calidad del servicio de principio a fin: ¿cómo se consigue?
—————
2- Los beneficios de la solución de Cisco, NetApp y VMware
Según ellos mismos afirman, son muchas las ventajas de esta solución:
– Una arquitectura unificada: “NetApp ha estado siempre comprometida con ofrecer soluciones crecientes sin rupturas tecnológicas en la gama”. Todas las soluciones ofrecen un acceso multiprotocolario. Más importante aún son las funciones disponibles (de duplicación, aprovisionamiento, clones, compresión, replicación, procesos de copias de seguridad…), los procesos, los procedimientos de la administración y la supervisión que hay, cualquiera que sea la tecnología utilizada.
– Una eficiencia de almacenamiento única: “con la implementación de las mejores prácticas NetApp, obtenemos ganancias de volumen superiores al 50%”, ha declarado Bruno Picard. La deduplicación y compresión de datos, al igual que las funciones de aprovisionamiento y clonado, se han optimizado porque ya están “incrustados”. “Se han conseguido ganar más de 2 Exabytes (dos veces 1024 Petabytes) para nuestros clientes implementando dichas funciones. Para algunos clientes como Telehouse, Direct Energie o IFP Energies Nouvelles, la tasa varía del 50 al 80%”.
– Una oferta en crecimiento horizontal y vertical sin interrupción. “NetApp ha estado siempre comprometida con ofrecer soluciones escalables de almacenamiento sin romper con la tecnología de la gama”. Esto significa que se puede comenzar con un cambio de configuración paso a paso: el mismo micro-código, el mismo software, la administración de las mismas herramientas y la supervisión. “Por tanto es posible migrar de un punto A hacia un punto B de forma totalmente transparente”. Concretamente, se puede evolucionar de la gama FAS2020 a la gama FAS6280 sin ruptura, creciendo de 20 a 2,4 Petabytes por el rendimiento de los registros I/O (que produce cientos de entradas y salidas por segundo). Para que la estructura evolucione también se puede hacer de modo horizontal añadiendo una nueva infraestructura (el nuevo Pod). Data Motion de NetApp permite la transferencia de los copropietarios de la antigua infraestructura a la nueva con total seguridad.
– Una protección de datos integrada. “Aunque la cloud sea interna o externa, pública o privada, debe garantizar el mayor nivel posible de seguridad de los datos”, según relata Bruno Picard. “Es por eso que hay una serie de mecanismos integrados en las soluciones de NetApp, que ofrecen un breve esquema visual hasta la función de clúster extendido que facilitan la disponibilidad, integridad y seguridad de los datos.
– La multipropiedad entre inquilinos asegurada: la oferta desarrollada por Cisco, NetApp y VMware integra una “seguridad general y global completa”. “El principal problema se encuentra en el hermetismo de las aplicaciones” según señala Burno Picard. “En un entorno de puntos virtuales ofrecido por la solución MultiStore (Fig. 2), todo es inconexo: las cuentas de la administración, los nombres de dominios y volúmenes, etc”.
Fig. 2 Arquitectura MultiStore: arquitectura de zonas virtuales, auditado por KPMG o por operadores de telecomunicaciones. MultiStore es una biblioteca de software que pertenece a la biblioteca de NetApp Data ONTAP. Se pueden desplegar sistema de almacenamiento FAS y ser divididos en sistemas virtuales independientes (o vFiler), cada uno dedicado a un subconjunto administrado de manera autónoma. MultiStore virtualiza los recursos de almacenamiento y de red mediante la creación de varios puntos finales para diferentes clientes de almacenamiento, diferenciándoles según su conexión IP. Cada vFiler tiene un camino de acceso lógicamente separado, el cual la vuelve inaccesible a los otros vFilers. El diagrama muestra cómo MultiStore protege de intrusiones o ataques.
– El rendimiento: hace falta, por tanto, garantizar la seguridad de hermetismo entre estos entornos heterogéneos y comprometerse con este rendimiento, como el tiempo de respuesta, tiempo de recuperación, retrasos en el reinicio, etc. “Pero, añade Picard, el microcódigo de las soluciones de NetApp integra todas las funcionalidades necesarias para la ejecución de los SLA (Service Level Agreement) diferencidas entre los inquilinos”.
– Automatización de los procesos. El proceso de aprovisión de servidores lógicos, capacidades de red, hasta las unidades de almacenamiento de datos se facilita y automatiza.
Hay tres opciones (no exclusivas) posibles:
En práctica NetApp, VMware y Cisco proponen tres opciones:
1. Utilizar las herramientas de NetApp
2. Integrar el VMware vCenter vSphere, incluyendo el aprovisionamiento del espacio en el disco, la replicación, la copia de seguridad y la restauración.
3. La disponibilidad de una API (Interfaz de Programas de Aplicaciones) para acceder a los entornos de los principales proveedores de soluciones de administración y supervisión (BMC, HP, CA, IBM Tivoli…). Para ello se facilita la integración en estos entornos.
Es una oferta “exclusiva de los partners”; Insiste Picard que “ni nosotros, ni VMware ni Cisco tenemos como objetivo lanzar este servicio de forma independiente”.
Cisco y NetApp, con VMware han implementado un programa denominado ‘partners certificados: “Estamos aquí para construir diseños que ofrezcan los cimientos y son nuestros partners quienes componen e integran las soluciones”.
En Francia, por ejemplo, los cuatro socios certificados ya están confirmados: APX, OVENCE, SCC y Telindus desde Diciembre de 2010. Ellos están, entre otros, certificados por la oferta UCS (Unified Computing Systems).
FlexPod para VMware lanza una oferta a tres bandas para los centros de datos flexibles y eficaces.
Esta infraestructura compartida, unificada y desarrollada conjuntamente por NetApp y Cisco, ofrece componentes de red, software y almacenamiento. Las configuraciones han sido clasificadas con anterioridad, en función de las necesidades de rendimiento. Por lo tanto, se han definido cinco configuraciones estándar, para 5.000, 10.000, 20.000 o más usuarios.
Uno de los pilares de una parte de la red es la prestación de Cisco Nexus Multiprotocolo, iSCSI, FC (Fibre Channel), FCoE (Fibre Channel over Ethernet), NFS –NAS (Fig. 3).
Todo esto funciona sobre una estructura Ethernet 10 gigabits y/o en canal de fibra. Es posible utilizar uno u otro o combinarlos. En NetApp, todas las matrices de almacenamiento ofrecen esta opción de enviar varios archivos adjuntos. En VMware, se puede diferenciar entre los servicios basados en aplicaciones y los basados en protocolos.
Por tanto, para el ‘responsable’ del sistema se conserva la posibilidad de elegir. Es posible mezclar esos protocolos diferentes, por ejemplo, en función de los SLA (Acuerdos de Nivel de Servicio) o de las competencias de cada uno de los equipos de TI.
Sea cual sea la elección en términos de uso, el sistema de servidores de UCS de Cisco, integra, en una única arquitectura física, todas las posibilidades. “Cada servidor de un sistema UCS tiene potencialmente y por simple configuración lógica, acceso a todos los recursos de almacenamiento, conectados independientemente del protocolo IP (iSCSI, NAS ou FC/FCoE).
1.- Una asociación única basada en una infraestructura
2.- Los beneficios de la solución de Cisco, NetApp y VMware
3.- La arquitectura FlexPod en tres estratos
4.- La calidad del servicio de principio a fin: ¿cómo se consigue?
————
3- La arquitectura Flexpod en tres niveles
En cada nivel de este diseño – servidores, redes, almacenamiento – el hardware y el software se han desarrollado para “ofrecer seguridad, calidad de servicio y disponibilidad y facilidad de gestión”.
1. Nivel aplicación / servidor
A nivel aplicación, el software VMware, vSphere y vCenter Server proporciona un ambiente sólido para de virtualización de los servidores, lo que permite la asignación dinámica de recursos de servidor para múltiples sistemas operativos invitados que se ejecutan a través de ordenadores virtuales.
VMware vShield Zones ofrece la seguridad a nivel de las actividades de cálculo. Se trata de un firewall virtual, distribuido, dinámico y gestionado de forma centralizada con vSphere 4.0. Se crean zonas de seguridad gracias a la proximidad del servidor ESX y a la visibilidad de la red virtual. vShield Zones se integra en VMware vCenter que utiliza datos virtuales de inventario tales como vNIC, los grupos de puertos, los clústers y las redes VLAN para simplificar la gestión de las reglas de firewall y el aprovisionamiento de las zonas de confianza. Esta nueva forma de crear reglas de seguridad sigue a los ordenadores virtuales con la ayuda de VMotion, lo que es totalmente transparente para el cambio de dirección IP y numeración de la red.
UCS de Cisco (Unified Computing System) es la plataforma de nueva generación para los centros de datos. Asocia recursos de cálculo, acceso a la red, acceso al almacenamiento y virtualización en el seno de un sistema coherente. La oferta UCS comprende una estructura de red Ethernet 10 Gigabytes de baja latencia y sin pérdidas con los servidores x86. Es una plataforma integrada, evolutiva y multi chasis.
2. Red basada en los conmutadores de Nexus (Cisco)
La capa de red proporciona conectividad segura entre las capas de cálculo y almacenamiento y las conexiones a las redes y clientes externos. Los componentes clave son:
– Cisco Nexus 7000 que proporciona una conexión Ethernet (LAN) 10Gb/s y 1Gb/s a las redes externas. Se utiliza generalmente en el corazón de la red del centro de datos.
– Cisco Nexus 5000 que es un conmutador 10Gb/s de agregación y de acceso multi protocolo (Ethernet, FCoE y FC).
– Cisco Nexus 1000V, que es un conmutador de software que se implementa en el núcleo VMware para ofrecer los servicios Cisco VN-Link para una estrecha integración de las máquinas virtuales (“VM”) al entorno de la red. Durante un VMotion se permite la permanencia de las características de la red virtual VM.
– Cisco MDS 9124, un conmutador de canal de fibra que ofrece una conectividad SAN para permitir, entre otras cosas, el ‘boot on SAN’, las instancias VMware ESX ejecutadas sobre el sistema UCS.
3. Capa de almacenamiento de NetApp
La capa de almacenamiento se compone de los sistemas de almacenamiento compartido de NetApp, capaz de proporcionar al mismo tiempo conectividad SAN y conectividad Ethernet (NFS, iSCSI, FCoE). El almacenamiento NetApp puede, al mismo tiempo, responder a las necesidades de almacenamiento específicas de cualquier aplicación en ejecución. La ejecución del entorno VMware sobre Ethernet permite simplificar al máximo el ambiente de gestión y de reducir de este modo los costes.
El software NetApp MultiStore ofrece al almacenamiento compartido un nivel de seguridad y de aislamiento comparable al que ofrecen las matrices de aislamiento separadas físicamente. MultiStore permite crear numerosas particiones lógicas totalmente aisladas sobre el mismo sistema de almacenamiento y, de este modo, compartir el almacenamiento pero sin comprometer la privacidad de los datos.
Los contenedores de almacenamiento pueden ser transferidos de forma independiente y transparente entre los sistemas de reserva.
————————
La provisión de los ‘coinquilinos’
Cuando uno de los ‘coinquilinos’ utiliza la ayuda de estos diseños, el entorno que aparece está dotado de varios elementos:
– Al menos una máquina virtual o vApp
– Al menos un controlador de almacenamiento virtual (unidad vFiler)
– Al menos un VLAN para la interconexión y el acceso a estos recursos
“En conjunto, estas entidades forman una partición lógica y ninguno de los inquilinos puede violar los límites de esta partición. Además de la seguridad queremos estar seguros de que las actividades que tienen lugar en la parte correspondiente a uno de los inquilinos no interfieren directamente con las actividades en curso situadas en la parte correspondiente a otro de los inquilinos”, según afirman NetApp y Cisco.
1.- Una asociación única basada en una infraestructura
2.- Los beneficios de la solución de Cisco, NetApp y VMware
3.- La arquitectura FlexPod en tres estratos
4.- La calidad del servicio de principio a fin: ¿cómo se consigue?
—————
4. La calidad del servicio de principio a fin, ¿cómo se consigue?
Por Chris Naddeo, Ingeniero de marketing y técnica para UCS (Cisco) (Resumen)
Muy pocos proyectos están abordando la cuestión de la calidad del servicio de principio a fin. En general, se activa un mecanismo de calidad en uno de los niveles con la esperanza de que el nivel superior y el inferior también se beneficien.
Pero todas las aplicaciones están dotadas de características diferentes: algunas requieren una capacidad de cálculo considerable mientras que otras tienen un gran peso sobre la red o sobre los volúmenes de E/S (entradas/salidas o I/O). Limitar las E/S tiene poco o ningún impacto sobre el control del uso de las CPU por una aplicación que exige una gran capacidad del procesador.
Cisco, NetApp y VMware han desarrollado un mecanismo apropiado para cada estrato, a partir de sus propios desarrollos. Cuando los recursos no se utilizan, las aplicaciones importantes deben ser capaces de usarlos si esto fuera necesario. Esto puede permitirle a una aplicación plantar cara a las circunstancias imprevistas. Sin embargo, en caso de conflicto, todos los coinquilinos deben tener la garantía de poder beneficiarse del nivel de servicio que han suscrito.
Otro principio de diseño consiste en definir la clase de servicio que está más cercano a la demanda para encuadrar este valor dentro de una definición de las reglas y, para asegurarse que la regla en cuestión se aplica de manera uniforme en todos los estratos, conforme a las cualidades únicas de cada uno de ellos. Para asegurar esta calidad del servicio, se utilizan tres mecanismos para cada uno de los estratos o capas:
1. Nivel aplicación/servidor
Para la virtualización de los servidores, VMware vSphere ofrece muchas características que aseguran el uso eficiente de los recursos incluidas la CPU y la memoria. El conjunto de recursos vSphere es una abstracción lógica que permite la gestión visible de los recursos. Los conjuntos de los recursos pueden estar agrupados jerárquicamente y utilizarse para partir de tal manera los recursos disponibles del procesador y de la memoria. Configurando correctamente los atributos del conjunto de recursos relativos a las reservas, los límites, las divisiones y las reservas extensibles, podemos hacer un control exhaustivo y dar prioridad a uno de los coinquilinos sobre los demás servidores, en caso de conflicto de recursos.
VMware Distributed Resource Scheduler (DRS), permite crear clusters que contengan múltiples servidores VMware. Este DRS controla constantemente la utilización de los conjuntos de recursos y asigna de forma inteligente los recursos disponibles entre las máquinas virtuales. DRS está completamente automatizado en el nivel del cluster, por lo que los gastos de la infraestructura y de la máquina virtual de los otros inquilinos hacen un equilibrio de la carga entre todos los servidores ESX de un clúster.
En cuanto al material, Cisco UCS usa Data Center Bridging (DCB) para manejar todo el trabajo en el seno del sistema de Cisco UCS. Esta mejora del estándar Ethernet divide el ancho de banda del canal Ethernet en ocho vías virtuales. Cada clase reserva un ancho específico del ancho de la banda para un determinado tipo de tráfico. Esto tiene el efecto de crear un cierto grado de gestión del tráfico, incluso en un sistema muy cargado.
2. Nivel de red
A nivel de red, el tráfico está segmentado en función de la clase de servicio atribuido previamente por el Nexus 1000v y observado o reglamentado por el sistema UCS de Cisco. Existen dos métodos diferentes para ofrecer una protección continua del rendimiento:
– La cola de espera permite a los periféricos de red planificar la entrega de paquetes basados en criterios de clasificación. En caso de sobreexplotación de los recursos, la posibilidad de determinar qué paquetes deben ser entregados genera, en última estancia, una diferencia del tiempo de respuesta para aplicaciones importantes.
– El control de la banda autorizada para los dispositivos de red permite que exista un número adecuado de topes en la cola de espera, con el fin de evitar que ciertas clases de tráfico no hagan un uso excesivo del ancho de banda. Esto ofrece a los otros archivos en espera una buena oportunidad de responder a las necesidades de las clases restantes. El control del ancho de la banda se hace acorde con los archivos en espera. De hecho, la cola de espera determina qué paquetes serán entregados en primer lugar, mientras que el ancho de banda determina la cantidad de datos que pueden ser enviados en cada fila.
El conmutador Nexus 1000V de Cisco se usa para la función de aplicación de normas y de limitación de flujo para tres tipos de tráfico:
1. VMotion. VMware recomienda un interfaz Gigabit dedicado para el tráfico VMotion. Sobre esta infraestructura, el tráfico VMotion está dedicado a la ayuda de un puerto VMkernel no enrutable. Para corresponder a los entornos tradicionales, el tráfico VMotion está fijado en 1 Gigabyte. Este límite puede elevarse o reducirse, según sea necesario.
2. Servicios diferenciados de transacciones y almacenamiento. En una estructura combinada, se utilizan diferentes métodos para generar servicios diferenciados. Por ejemplo, se puede recurrir a una fila ‘prioritaria’ para los servicios más importantes y a una fila ‘sin pérdida’ para el tráfico que no puede abandonarse, pero que puede sufrir un cierto retardo.
3. Gestión: el VLAN de gestión se activa con una limitación de flujo establecido a 1 Gigabyte.
3. Nivel de almacenamiento: MultiStore y FlexShare
En el entorno de explotación Data ONTAP de NetApp, el software MultiStore proporciona a los entornos mutuos un aislamiento seguro.
A nivel de almacenamiento, para garantizar la calidad de servicio, es necesario controlar la memoria oculta de un sistema de almacenamiento y un grado de utilización de la CPU. También debe asegurarse de que las cargas de trabajo se reparten sobre un número apropiado de recursos del procesador. NetApp ha desarrollado FlexShare para controlar el orden de prioridad a las cargas del trabajo.
Con FlexShare, pueden reglarse tres parámetros independientes para cada volumen de almacenamiento o cada unidad vFiler en una configuración MultiStore. Podemos así dar prioridad a una de las particiones de uno de los coinquilinos con respecto a otros.
El ‘thin provisioning’ de NetApp ofrece a los coinquilinos un cierto nivel de ‘almacenamiento en la demanda’. La capacidad bruta se considera como un recurso compartido y sólo se consume según va siendo necesario.
Cuando se despliegan los recursos de ‘thin provisioning’ sobre una configuración mutualizada, se deben definir las reglas de crecimiento automático del volumen y de la supresión automática de los Snapshots o instantáneas.
El crecimiento automático del volumen permite a los volúmenes desarrollarse según los incrementos definidos, hasta un umbral previamente definido. La eliminación automática permite suprimir de forma mecánica las copias Snapshot más antiguas cuando un volumen esté casi lleno.
Mediante la combinación de estas funciones, se puede colocar a los coinquilinos importantes la prioridad por el crecimiento de un volumen, a partir del espacio reservado al conjunto compartido. Por el contrario, los coinquilinos de menor nivel debe usar un administrador.
Chris Naddeo, Ingeniero marketing y técnico para UCS, Cisco Systems.
(*) Chris Naddeo se unió a Cisco para centrarse en el diseño de estructuras de almacenamiento óptimas para la oferta UCS ( Unified Computing System) de Cisco. Ha trabajado un año como para NetApp como ingeniero – consultor de sistemas para Oracle y Data ONTAP GX. También ejerció durante nueve años como responsable de producto encargado del software de almacenamiento en Veritas.
 |
