Seuraavaksi virtualisoidaan verkko
Pertti Hämäläinen • Piirros: Petri Rotsten
Seuraavaksi virtualisoidaan verkko
Virtualisointi on jo arkipäivää palvelimissa ja pian työasemissakin, mutta uudet tekniikat tuovat pian helpotusta ja joustavuutta myös verkkojen hallintaan.
Vmwaren menestyksen myötä sen kiivaiksi kilpailijoiksi palvelinten virtualisointimarkkinoilla ovat tänä vuonna nousseet muun muassa Citrix, Microsoft ja Novell. Työasemien ja sovellusten virtualisointi puolestaan lupaa vapauttaa työntekijät henkilökohtaisten työasemien fyysisistä rajoituksista.
Vähemmälle huomiolle on toistaiseksi jäänyt virtualisointi yritysverkon puolella. Lyhytkin katsaus verkkoalan suuryritysten markkinointimateriaaleihin riittää kuitenkin vakuuttamaan siitä, että verkkojen virtualisointi on nyt kuuma trendi.
Muodikkaalle termille ei ole mitään yhtä tiettyä määritelmää, koska verkkotekniikasta on yritetty virtualisoida pieniä siivuja sieltä täältä. Moni verkon pääkäyttäjä soveltaa jo konkreettisten ongelmiensa ratkaisuihin uusia välineitä ajattelematta sen kummemmin olevansa tekemisessä minkään erityishuomiota ansaitsevan virtualisoinnin kanssa.
Virtualisoinnin sukupolvet
Vanhat tutut virtualisointitekniikat olivat luonteeltaan enemmän tai vähemmän staattisia. Virtuaalinen lähiverkko, vlan, sai alkunsa tarpeesta ryhmitellä fyysisten kytkinten portteja loogisiksi verkkosegmenteiksi, jotka on eristetty toisistaan osi-mallin kakkoskerroksella. Virtuaalinen yksityisverkko, vpn, puolestaan toimii kerrosta ylempänä ja yhdistää tietokoneet samaan ip-verkkoon vieraan osoiteavaruuden, kuten internetin, yli.
Nämä menetelmät koskettavat useimmin suoraan yksittäistä työasemaa. Verkon kannalta näkymä on monipuolisempi.
Verkon kasvaessa kytkimiin ja reitittimiin on yhdistetty monenlaisia lisälaitteita. Moni alun perin palvelimille kehitetty toiminto kuten palomuuri, vpn-keskitin tai ssl-salaus on siirretty erillisille verkkolaitteille, ja jopa tiedostopalveluita on hajautettu laajaverkkokiihdyttimille. Palvelinfarmin eteen on asennettu kuormantasaimia, tunkeilijoiden torjumiseen on kehitetty ips-laitteita ja työasemien terveydentilaa valvotaan nac-laitteilla.
Eri toimintojen hankkiminen erillisinä verkkolaitteina on ollut luonnollinen tapa toimia siinä vaiheessa, kun uusia ideoita on kehitetty. Vähänkin isommassa verkossa erillislaitteiden hallinta on kuitenkin hankalaa: verkon topologia mutkistuu, jokainen laite on oma vikaantumispisteensä, ja loogisten yhteyksien ylläpitäminen muutostilanteissa on työlästä.
Viime vuosien trendi onkin ollut yhä useampien toimintojen integroiminen samaan laitteeseen. Muutoksia on helpompi hallita, kun eri toimintojen asetukset voidaan tehdä yhden ja saman käyttöliittymän kautta. Palvelun laatu päästä päähän voidaan taata, kun toiminnot pelaavat yhteen. Käyttäjien tavoittamiseen tarvittava fyysinen verkko kaapelointeineen ja langattomine linkkeineen ei muutu miksikään, mutta verkon ytimessä muutos on suuri.
Integrointia on tehty virtualisoinnin keinoin. Hyvä esimerkki tästä on Nortelin virtuaalinen palvelukytkin VSS 5000, joka on suunniteltu erityisesti datakeskusten tarpeisiin. Siinä on lähes kaikki edellä luetellut toiminnot reititystä ja vikasietoisuutta unohtamatta. Verkon lisälaitteista on jäljellä enää ohjelmoitavilla verkkosuorittimilla toteutettuja virtuaalisia palveluita kytkimessä.
Keskitetyn hallinnan avulla voidaan määritellä ison yrityksen eri osastoille, datakeskuksen asiakkaille ja erilaisille sovelluksille tarvittavat toiminnot halutun palvelu- ja tietoturvatason saavuttamiseksi. Kun asiakkaan tarvitsemat yhteydet ja toiminnot määritellään yhden laitteen sisällä virtuaalisina verkkoina ja virtuaalisina palveluina, niiden välisiä riippuvuuksia on helppo hallita.
Dynaamisuus on nykyaikaa
Olisi kuitenkin väärin tarkastella nykyaikaisen verkon toimintaa vain pääkäyttäjän konsolilta ja muutoshallinnan näkökulmasta. Verkkoa ei enää säädetä uusiksi pelkästään käyttäjien tarpeiden mukaan, vaan verkon on reagoitava joustavasti myös monitoimisten päätelaitteiden vaatimuksiin.
Vanha kunnon vlan on hyvä esimerkki staattisen keksinnön kehittymisestä dynaamiseksi. Alun perin se oli fyysisen verkon rakentamista helpottamaan tarkoitettu kytkinporttien ryhmittelyväline. Sittemmin vlan on muuttunut dynaamiseksi välineeksi: erilaiset tunnistamis- ja pääsykontrollisovellukset voivat sijoittaa verkkoon pyrkivän päätelaitteen sen ominaisuuksien perusteella vierasverkkoon, karanteeniin, puheverkkoon tai työasemaverkkoon sekä vaihtaa verkkoa työaseman ominaisuuksien muuttuessa.
Myös sovellusten asettamat vaatimukset verkon palvelutasolle vaihtelevat. Ip-puhe ei vaadi paljon kaistaa, mutta se kärsii pakettien katoamisesta ja siirtoviipeiden vaihtelusta. Web-selaimen käyttäjä taas on tottunut vaihteleviin vasteaikoihin, mutta saattaa tarvita ajoittain paljonkin kaistaa.
Nykyaikaisessa verkossa palvelutasomäärityksiä ei voi enää tehdä kytkimen portin tai ip-osoitteen perusteella. Langattomassa lähiverkossa saman ip-osoitteen voi eri kerroilla saada matkamikro tai wlan-puhelin. Pahimmillaan erityyppiset sovellukset voivat toimia rinnakkain samassa päätelaitteessa. Tämän vuoksi esimerkiksi ip-puhelun pitää verkon läpi yhdistyessään voida tilata tarvitsemansa palvelunlaatu matkan varrella kohtaamiltaan verkkolaitteilta.
Palvelimetkin liikkuvat
Edes palvelimet eivät enää tyydy niille kerran asetettuun rooliin. Palvelinvirtualisoinnin myötä yksi ja sama fyysinen palvelinlaitteisto voi ajaa jopa kymmeniä palvelinkäyttöjärjestelmiä rinnakkain. Eikä kysymys ole pelkästään laitteistosäästöistä: virtualisoinnin voima on siinä helppoudessa, jolla loogisia palvelininstansseja voidaan siirtää laitteistolta toiselle. Esimerkiksi Vmwaren Vmotion tekee siirron lennossa ilman palveluiden alasajoa.
Mitä sitten tapahtuu verkon kannalta palvelimen siirtyessä koneelta toiselle? Jokainen virtuaalipalvelin käyttää omaa virtuaalista verkkosovitintaan, jolla on oma mac- ja ip-osoitteensa. Suositeltu tapa on pitää koneet samassa verkkosegmentissä tai samassa vlanissa. Kun ip-osoite säilyy, riittää päivittää kytkinten arp-taulut (address resolution protocol), mihin Vmotion antaakin impulssin. Palvelimen siirto ip-aliverkosta toiseen tietäisi reititysmuutoksia ja palvelinyhteyksien katkeamista työasemilla.
Pienissä verkoissa arp-taulujen päivitys käy yleensä nopeasti. Ison datakeskuksen verkossa vlanit voivat olla lukuisten kytkinten laajuisia, ja kytkinverkkojen vikasietoisuus varmistetaan yleensä varayhteyksillä ja virityspuulla (spanning tree). Jos virityspuun päivitys on käynnissä samanaikaisesti palvelimen siirron kanssa, viipeet voivat venyä jopa niin pitkiksi, että ne näkyvät lyhyinä yhteyskatkoina työasemilla. Jotkin laitevalmistajat, kuten Nortel, ovat toteuttaneet vikasietoisuuden virtualisoiduissa verkoissaan ilman tarvetta virityspuun käyttöön.
Cisco panostaa palvelimiin
Vmware on dokumentoinut ohjelmistojensa toiminnot, jotta verkkolaitevalmistajat voivat sovittaa esimerkiksi kuormantasaimensa tai välimuistipalvelimensa toimimaan Vmotionin ja muiden keskeisten ohjelmiensa kanssa. Cisco ei tyytynyt tähän, vaan investoi viime vuoden kesällä 150 miljoonaa dollaria Vmwaren osakkeisiin. Tämän jälkeen yhtiöt ovatkin tehneet näyttävää yhteistyötä tuotekehityksessä.
Esimerkiksi Cisco Vframe -tuotelinja vie verkon ja virtualisoitujen palvelinten yhteistyön entistä pidemmälle. Kyseessä on erillinen laitteisto, joka ohjaa virtuaalipalvelinten yhteyksiä kytkimiin, kolmoskerroksen kuormantasaimille, massamuistipalvelimille ja san-verkkoihin sekä ulkoisille palomuureille ja tunkeilijoidentorjuntalaitteille. VN-Link-tuoteperheeseen kuuluva Nexus 1000V -virtuaalikytkin taas on Vmware ESX -hypervisorin kanssa toimiva ohjelmallinen kytkin, jonka avulla virtuaalikoneen verkko- ja tietoturvapolitiikat saadaan seuraamaan mukana Vmotion-siirrossa.
Cisco ja Vmware ovat julkaisseet VN-Linkin soveltaman NIV-käytännön (Network Interface Virtualization) ja tarjonneet sitä IEEE:lle avoimeksi standardiksi. Kovin paljon ei ole vielä kuultu Microsoftin suunnitelmista kehittää Windows Server 2008:n Hyper-V:n ja verkkolaitteiden yhteistyötä. Kova kilpailu jatkuu joka tapauksessa, koska moni muukin verkkolaitevalmistaja on heräämässä palvelinvirtualisoinnin haasteisiin.
