Производитель сетевого и компьютерного оборудования компания Cisco провела в Москве 17-й ежегодный форум под названием Cisco Connect. На его открытии Джонатан Спарроу, вице-президент Cisco по работе в России и СНГ, дирижировал небольшим оркестром, а потом заметил: «Никогда не предполагал, что в контракт генерального директора входит задача управления оркестром, тем не менее аналогия для управления компаниями достаточно точная». Собственно, термин «оркестрация» пронизывал практически все выступления – именно им описывается автоматическое согласованное изменение конфигурации сети в соответствии с заранее определенной политикой. Предполагается, что решением этой задачи занимается специальная система – оркестратор.
Примером оркестрации может служить технология TrustSec, о которой рассказал в своем выступлении Андрей Кузьмич, директор по технологиям Cisco. Такая технология позволяет автоматически перестраивать списки контроля доступа в узлах сети в зависимости от способа подключения пользователей к корпоративной сети. По имени и паролю пользователя подключающегося устройства система автоматически формирует списки контроля доступа, которые загружаются на сетевые устройства. В результате пользователь с несоответствующим адресом просто не сможет подключиться к серверам, к которым он не должен иметь доступ в соответствии с политикой безопасности. При этом на сетевых устройствах можно использовать модель контроля доступа по «белым» спискам: доступ запрещен везде, кроме ресурсов, которые явно указываются как доступные для данного IP-адреса. Такая технология обеспечивает высочайший уровень безопасности, но требует согласованного и автоматического изменения конфигурации большого количества сетевых устройств компании. Справиться с такой задачей под силу лишь оркестратору.
Другой пример – виртуальная сетевая инфраструктура Cisco NFVI, которая представляет собой готовое гиперконвергентное решение на основе Openstack. Комплект включает в себя серверы UCS, необходимое количество сетевого оборудования, программное обеспечение Red Hat VIM (Openstack) и приложение для управления комплексом LifeCycle Management. Система из «коробки» создает конфигурацию из трех узлов со всеми сетевыми настройками. Продукт построен на базе технологии контейнеризации Docker и распределенной файловой системы с резервированием Ceph. Но самое сложное – заставить все элементы этой облачной системы скоординированно менять конфигурацию системы под требования приложений. Для этого компания Cisco и разработала специализированное программное обеспечение, которое делает возможной оркестрацию всего предлагаемого комплекса.
Следует отметить, что концептуально оркестрация очень похожа на программно-определяемые сети SDN, в которых перенастройкой сетевого оборудования занимаются так называемые контроллеры. Однако технология SDN тесно связана с протоколом Openflow, с помощью которого, собственно, и выполняется программное определение путей передачи пакетов данных. Предполагалось, что эта технология позволит согласованно перенастраивать простые и дешевые коммутаторы. Однако, как отметил Влад Патенко, ведущий консультант по технологиям Cisco, SDN не прижилась в России, что, по его мнению, связано с сильной привязкой к ее использованию в ЦОД, а в традиционных сетях операторов и тем более компаний применять подобную технологию сложно.
Именно поэтому Cisco предлагает более общую систему управления парком своих и чужих сетевых устройств, построенную на открытых протоколах Netconf, Restconf, PCEP, BGP-LS и др., а также на открытом языке описания моделей сетевых сервисов YANG. Принятые в качестве стандартов IETF эти компоненты технологии и позволяют организовать оркестрацию изменений как в сети оператора, так и в корпоративной. Ориентация на принятые стандарты дает возможность взаимодействовать в рамках одной сети оборудованию различных производителей, что важно для зоопарка технологий. Протоколы позволяют синхронно перестраивать конфигурацию сетевых устройств, например при миграции на новое оборудование: модель описания конфигурации с помощью YANG дает возможность скачать со старого устройства его настройки, а потом просто загрузить ту же конфигурацию в новое. Преобразование настроек будет выполнено автоматически. Подобные механизмы позволяют управлять сетью как единым целым, а не каждым отдельным устройством независимо – именно потому данный процесс и называется оркестрацией, т. е. управление сетью как хорошо сыгранным оркестром.