Проблема

Потребности бизнеса растут с каждым днем. Новые требования к доступности приложений изменили подходы к проектированию ЦОДов. На сегодняшний день одной из актуальных задач является построение эффективной ИТ-инфраструктуры.

Изначально виртуализация серверов позволила обеспечить сокращение затрат на обслуживание и резервирование. Впоследствии виртуализация дополнительно обеспечила масштабируемость и гибкость при построении ЦОДов. Появились эластичные ЦОДы — группа географически распределённых ЦОДов, объединенных высокоскоростными каналами связи (WAN) в единую ЛВС с единым адресным пространством. ЛВС эластичных ЦОДов представляет собой масштабируемую структуру как внутри географически распределённых ЦОДов, так и между ними.

При этом, как правило, WAN каналы берутся в аренду у операторов связи. Это накладывает дополнительные обязательства на владельца эластичного ЦОДа — требуется обеспечить защиту конфиденциальной информации, циркулирующей по ним.

Чтобы обеспечить непрерывность функционирования такой системы, недостаточно просто дублирования систем. Требуется отказоустойчивость — возможность решения «приспособиться» к последствиям отказа. И требование «приспособиться» напрямую относится и к системе защиты каналов связи WAN.

Итак, мы выявили требования к системам защиты информации эластичных ЦОДов:

  • обеспечение конфиденциальности и целостности данных, передаваемых по каналам связи;
  • поддержка единого адресного пространства для защищаемой ЛВС ЦОД;
  • быстродействие и производительность;
  • масштабируемость;
  • отказоустойчивость;
  • соответствие требованиям регулятора.

Решение

Для реализации защиты каналов связи между географически распределёнными ЦОДами рекомендуется использовать технологию VPN (виртуальные защищенные сети). Классические технологии VPN, широко представленные на рынке (IPsec, SSL VPN, ViPNet VPN), разработаны для построения защиты каналов связи в тех случаях, когда в ЦОДе используется различное адресное пространство и общение серверов, объектов сети производится посредством маршрутизации данных. Особенностью эластичных ЦОДов является то, что общение всех объектов ЛВС ЦОД происходит напрямую без использования маршрутизации данных. Достигается этот эффект благодаря использованию специализированного оборудования, объединяющего ЛВС всех ЦОДов в единый домен общения. В такой ситуации классические технологии построения VPN пасуют.

Для решения поставленной задачи компания ИнфоТеКС разработала технологию L2OverIP. L2OverIP — это технология построения VPN, которая позволяет организовать защиту распределенных сегментов ЛВС ЦОД, использующих единое адресное пространство, на канальном уровне модели OSI. В результате узлы из разных сегментов могут взаимодействовать друг с другом так, как если бы они находились в одном сегменте с прямой видимостью.

Функционал L2OverIP позволяет объединить несколько сегментов сети, в том числе сегменты, разделенные на виртуальные локальные сети (VLAN). При этом возможны различные варианты объединения:

  • объединение сегментов без VLAN;
  • объединение нескольких или одной из используемых VLAN в разных сегментах;
  • объединение одного из используемых VLAN сегмента с сегментами без VLAN.

Для обеспечения масштабируемости и отказоустойчивости компания ИнфоТеКС предлагает воспользоваться технологией EtherChannel, которая реализована во всех современных коммутаторах.

EtherChannel — технология агрегации каналов, позволяющая объединять несколько физических каналов Ethernet в один логический канал для увеличения пропускной способности и повышения надёжности соединения.

Таким образом, технология EtherChannel обеспечивает распределение потоков данных на узлы кластера, повышает надежность соединения и отказоустойчивость.

В то же время технология L2OverIP позволяет обеспечить беспрепятственную работу технологии EtherChannel и защиту данных, передаваемых по открытым каналам связи.

В высокопроизводительных сетях в ряде сценариев (репликация БД, бэкапирование, передача данных по протоколу NFS и iSCSI и т. д.) можно увеличить производительность шифрования данных путем использования Ethernet-кадров большого размера (Jumbo кадры). Это позволяет передавать больший объем данных с меньшим числом заголовков, уменьшить нагрузку на процессор и более эффективно использовать канал связи.

Инженеры компании ИнфоТеКС провели стендовые испытания, которые подтвердили теоретические выводы о том, что совместное использование технологий L2OverIP и EtherChannel решит задачу передачи данных на скорости от 10 Гбит/с и выше.

На созданном компанией стенде были достигнуты следующие результаты:

Количество пар HW5000 в режиме L2OverIP

Max UDP (1417 byte) Throughput, Mbps

Max UDP (8917 byte) Throughput, Mbps

1 пара HW5000 Q1 5 673 9 374
2 пары HW5000 Q1 12 200 18 552

Испытания подтвердили:

  • совместимость технологий L2OverIP и EtherChannel;
  • высокую удельную производительность шифрования — от 5,67 Гбит/с до 9,37 Гбит/с (8917 byte) на одну пару криптошлюзов ViPNet Coordinator HW5000 Q1;
  • масштабируемость кластера ViPNet Coordinator HW — производительность шифрования для двух пар криптошлюзов HW5000 составляет от 12,2 Гбит/с до 18,55 Гбит/с (8917 byte);
  • низкую стоимость по сравнению с конкурирующими решениями.

Продукты для данного решения