fb
IT Systems 1-2/2019 Správa IT 25. 3. 2019 9:04

Nahlédněte pod pokličku intent-based sítí

Jak přenést záměr přímo do infrastruktury?

intent-based sítěO některých běžných věcech nepřemýšlíme, připadají nám automatické. Nepodivujeme se, že po otočení kohoutkem teče voda, a stejně tak se mnozí nepozastavují nad tím, že k internetu se už kromě počítačů a mobilních zařízení připojují i domácí termostaty, meteostanice, elektronické zámky, sporáky, televize i všemožné chytré senzory. A to zmiňujeme prostředí domácností, situace ve firmách a organizacích je mnohem komplexnější, díky všudypřítomné digitalizaci jsou zde změny směrem k hyperkonektivitě mnohem masivnější. Jaké rozsáhlé sítě se skrývají v pozadí, to vědí jen zasvěcení. Vše ale prochází svým vývojem a sítě nejsou výjimkou. Vodu bylo dříve nutné do domů nosit v nádobách, Římané pak přišli s akvadukty a dnes máme rozlehlou síť vodovodních potrubí. Vyvíjí se i sítě digitální. Zatímco dříve bylo nutné vše připojovat manuálně, dnes se obracíme k takzvaným intent-based sítím, které se přizpůsobují záměru. A právě na toto magické slovo „záměr“ se v tomto článku zaměřím.

Včera sci-fi, dnes realita

Produkty či služby si dnes snadno objednáte jedním kliknutím ve webové aplikaci. Vzdálenost mezi firmami a zákazníky téměř zcela mizí. Síť se proto dnes dostává do centra každé komunikace a nové aplikace pohánějí digitální ekonomiku. Tradiční podniková datová centra se dostávají pod tlak, aby se přizpůsobila neustále se měnícím požadavkům. Aplikace se přesouvají do veřejného či privátního cloudu nebo do prostředí s hybridním cloudem. Vývojáři zase stále častěji obracejí svoji pozornost k open-source softwarům, kontejnerům, nebo mikroslužbám, a dokážou zprovoznit aplikace i v řádu dní, nikoliv měsíců či roků jako tomu bylo dříve. A zaměstnanci? Ti očekávají, že se připojí odkudkoliv a z jakéhokoliv zařízení se jim zlíbí. Už dávno nás všechny obklopují senzory a ve zprávách se stále více dozvídáme o pokrocích v oblasti samořiditelných vozidel. Hned na to reportér oznamuje, že proběhl další kyberútok, který způsobil významný propad akcií firmy. Ještě před deseti lety bychom tento scénář považovali za sci-fi, dnes se jedná o realitu všedního dne.

Co je to ten záměr?

Reakcí na tyto proměny je právě koncept intent-based sítí. Mění totiž způsob, jakým se nové sítě plánují, budují, a jak jsou spravovány. U tradičních sítí nástroje neumožňují, aby byl takovýto záměr jednoduše a automatizovaně implementován až do úrovně koncových zařízení. Namísto toho musí síťový administrátor nebo jiná zodpovědná osoba nakonfigurovat každý síťový prvek, aby odpovídal zadání od vedení typu: „Potřebujeme, aby tuto aplikaci mohly využívat pouze tyto pobočky.“
A právě tento způsob intent-based sítě zásadním způsobem mění. Správce sítě pouze specifikuje účel, neboli záměr, který chce do sítě promítnout. Nenastavuje tak krok po kroku každé zařízení, ale pomocí workflow  rozhraní zadá, že chce, aby k serverům přistupovaly ty či ony pobočky (právě to je tím záměrem). Nastavení následně probíhá automaticky na základě přednastavených politik a v souladu s bezpečnostními standardy. Příkladů takového záměru můžeme najít mnoho. Může se jednat o rozšíření aplikace z centrály i na pobočky, nebo zavedení aktualizované bezpečnostní politiky do určité části sítě. Záměrem může být i zprovoznění celého IT systému na nové pobočce, kterou firma otevírá v zahraničí. Za záměr tedy považujeme de facto každý úmysl, který vyžaduje konkrétní kroky a nastavení v síti.

Automatizace a bezpečnost ale nejsou jedinými klíčovými pilíři intent-based sítí. Všechna zařízení v síťové infrastruktuře poskytují obrovské množství telemetrických dat, co se v síti, na konkrétním zařízení, s konkrétním uživatelem či s konkrétní aplikací děje, na pozadí neustále probíhá kontextuální analýza takovýchto dat, která která může vést k automatické či poloautomatické optimalizaci sítě. Tyto procesy se nevztahují výlučně na nastavení a kontrolu přístupu klientů či aplikací. Takto lze nastavit i prioritizaci aplikací či dokonce plnění SLA pravidel.

Jak záměr transformovat v akci?

Definovat záměr je poměrně jednoduché, ale tím celý proces začíná – je nutné jej přenést do praxe. K tomu, aby skutečně vše proběhlo tak jak má, slouží tři hlavní funkční bloky. První z nich je překlad záměru (Translation), jeho spuštění (Activation) a zaručení (Assurance). Z důvodu přesnějšího technického popisu se budu držet originální anglické terminologie.

Translation

Tento blok zahrnuje několik funkcí. Jedna či více z nich se zaměřují na rozpoznání záměru. Ten může mít zcela jednoduchou podobu, například uživatelsky přívětivého grafického rozhraní, abstrahovaného modelu (YANG nebo JSON/XML) souvisejícího s obchodními cíli, nebo se může jednat o předdefinovanou syntax či jazyk. Nebo může být definován vývojářem jako součást procesů continous integration či continous delivery. Rozpoznání tohoto abstraktního výrazu je to, co odlišuje intent based sítě od tradičních síťových architektur. Další funkcí v bloku „Translation“ je harmonizace zachyceného záměru do takzvané modelové politiky, zpravidla pomocí architektury s kontrolerem. Záměr vyjádřený vstupními mechanismy je do takové modelové politiky přeložen. Tím je učiněn základní krok k využití automatizace a použití sofistikovaných kontrol konzistence a integrity. Samozřejmě v tradiční síti již určité politiky platí, proto je intent-based sítě musí umět automaticky přenést i do nového nasazení a poskytnout správci jejich plnou viditelnost.

Activation

V tomto funkčním bloku se zajišťuje, aby odvozené modelové politiky byly rozšířeny do všech relevantních síťových prostředí. Funkce fyzické či virtuální sítě mohou být u intent-based sítích spravovány v různých prostředích (datových centrech, WAN sítích, na pobočkách či v kampusech) jedním IT týmem. Orchestrační funkce v intent-based sítích zajišťují rozšíření modelových politik do relevantních prostředí, což znamená, že daná politika může platit i pouze v předem dané části sítě. Ve fázi Activation mohou být spuštěny také dodatečné funkce zaměřené na konkrétní konfiguraci zařízení. V kontroleru se následně korelují informace ze síťových prvků, jejich funkcí a topologie vyjádřená modelovými politikami. To celé ve výsledku nastaví všechna zařízení dle požadovaného záměru. Pro jistotu mohou být ještě nasazeny funkce kontroly konzistence, a to před tím, než se naprogramují síťové prvky, prostřednictvím standardizovaných rozhraní API (například NETCONF, YANG či REST).

Assurance

Jedná se o klíčový funkční blok intent-based sítí. Assurance využívá kontextovou analýzu dat a zajišťuje mj. i to, že záměr je proveden tak, jak je skutečně zamýšlen. Funkce Assurance musí pokrýt tři aspekty. Zaprvé, musí neustále ověřovat chování systému intent-based sítí před, během a po nasazení. To znamená, že daná funkce sleduje události a aktuální stavy v síti. Algoritmy jako jsou matematické modely, telemetrická analýza či strojové učení, garantují plynulý provoz sítě v daných prostředích i napříč nimi. Zadruhé, musí umět získat poznatky (insights) na základě probíhající analýzy, k čemuž se využívá strojové učení a umělá inteligence.

Kromě ověřování současného stavu sítě s důrazem na záměr nabízí i sofistikovanější poznatky a správci i vhled do chování sítě. Může tak například funkce předpovědět administrátorovi, který se chystá zasáhnout do sítě, že původní záměr nebude plněn, pokud k zamýšleným změnám dojde. Systém může také předvídat anomálie, které změny mohou způsobit či predikovat budoucí výkon sítě. Zatřetí musí být v tomto funkčním bloku vyřešeny automatické opravy a optimalizace. Tento mechanismus zajišťuje, že záměr je v síti neustále plněn. Vždy ale záleží na nastavení dané politiky. Změny a opravy mohou být samozřejmě provedeny, ale zároveň lze nastavit, aby síť pouze doručovala doporučení, podle kterých se správce sám rozhodne, jaké kroky chce podniknout, jinými slovy mohou tyto změny proběhnout automaticky či poloautomaticky dle pokynu obsluhy.

intent-based

Co organizace čeká?

Uvědomuji si, že pro mnoho organizací bude přechod na plně funkční intent-based infrastrukturu během na delší trať, která bude vyžadovat propojení již nakoupených a zcela nových technologií. A právě možnost jednoduché kombinace již nasazených technologií s intent-based řešením hraje v evoluci sítí důležitou roli. Organizace tak nebudou typicky muset měnit celou svoji infrastrukturu, ale jen ty zastaralé části, které nejsou „intent-based ready". Na co si tedy dát při případném výběru nové infrastruktury či obměně zastaralé infrastruktury pozor?

V první řadě se musí organizace ujistit, zda mohou pořizované prvky v intent-based režimu vůbec fungovat. To znamená, že je třeba zkontrolovat kompatibilitu v oblastech jako je automatizovatelnost, programovatelnost, či silná podpora telemetrických a bezpečnostních funkcí. Zároveň musí celá infrastruktura spolehlivě fungovat v rámci jednoho řešení spolu s řídícím systémem, tedy mozkem sítě. Intent-based ve výsledku tvoří platformu pro aplikace, která musí být navenek dostatečně otevřená, aby do ní mohli IT týmy jednoduše implementovat aplikace, a zároveň integrovat síť jako celek do vyšších úrovní IT orchestrace. V ideálním případě by také mělo být možné, aby nejčastěji používané aplikace mohly využít již existující konektory, které dovolují optimalizaci jejich provozu přes síťovou platformu.

Dnešní síťoví administrátoři typicky nemají čas integrovat naprosto heterogenní, i když dostatečně otevřené infrastrukturní prvky. Spíše chtějí použít již předpřipravené řešení, které jen skládají dohromady na základě ověřeného designu. Řešení, které jim šetří čas a zároveň dodává jistotu, že bude spolehlivě fungovat. Nasazování intent-based principů tak bude ve výsledku spočívat v vybudování nějakého základu, onoho pověstného CML = centrálního mozku lidstva, který zpočátku může plnit jen některé z výše uvedených funkcí (např. assurance) a postupně pak integrovat nové i existující části infrastruktury a implementovat další klíčové funkce.

Výhody intent-based sítí organizace zcela jistě poznají, jakmile ji nasadí napříč všemi prostředími. Analytická společnost Gartner předpokládá, že nasazení intent-based infrastruktury sníží čas potřebný na doručování služeb o 50 až 90 procent, zatímco sníží výpadky infrastruktury až o polovinu. I proto jsem přesvědčen, že nový způsob, jakým se budují a spravují sítě, se stane v budoucnu samozřejmostí. Stejně jako se již v žádném vyspělém státě nebudují akvadukty k přenosu vody, žádné moderní organizace nebudou v budoucnu využívat dnes tradiční způsob správy sítí. V současné době se produkty z oblasti intent based sítí specializují především na nasazení ve velkých podnicích a středních firmách, nicméně lze odhadovat, že jejich další rozšíření je pouhou otázkou času.


Pavel Křižanovský
Autor článku je technickým ředitelem společnosti Cisco.

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 3 IT Systems 1-2 IT Systems 12 IT Systems 11
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1