Pilven verkot

Piirros: Petri Rotsten

Tietojenkäsittelyn siirtyminen pilveen vaatii datakeskusten verkoilta uudenlaista skaalautumista, josta ei selvitä perinteisin keinoin.

Mitä toimivien pilvipalveluiden rakentaminen edellyttää? Jos iso palveluntarjoaja rakentaa pilven, joka pystyy palvelemaan vaikkapa vain suomalaisen yrityselämän tarpeita, kyse on todella suurista laitemääristä. Kansainvälisillä toimijoilla mittakaava on vielä suurempi.

Suomen pörssiyhtiöt työllistävät runsaat puoli miljoonaa ihmistä, työllisiä on kaiken kaikkiaan kaksi ja puoli miljoonaa. Kaikki eivät käytä työssään tietokonetta, mutta taustajärjestelmiin heidänkin työnsä tulokset kirjataan. Internetin kauppapaikkoja sekä tieto- ja viihdepalveluja käyttää jo melkein koko kansa.

Tuskin kuluu monta vuotta siihen, kun ensimmäinen palveluntarjoaja alkaa myydä pilvestään kansalaistietokonetta jokaiselle suomalaiselle kymmenellä eurolla kuussa. Miljoona virtuaali-pc:tä taustapalveluineen tarvitsee kymmeniä tuhansia fyysisiä palvelinlaitteita.

Joustavuus vaatii tehoa

Harva ylläpitäjä törmää aivan tällaisiin vaatimuksiin, mutta silti on avartavaa pohtia, mitä näin isot ympäristöt edellyttävät datakeskusten verkoilta.

Datakeskuskäytössä ongelmia aiheuttavat yleensä koneiden suuri määrä ja niihin jatkuvasti tehtävät muutokset. Uudet palvelimet, palvelut ja kytkimet pitäisi voida liittää verkkoon ilman, että verkon kytkinten asetuksia joudutaan aina säätämään käsin.

Palveluiden hallintaan kehitetään yhä pitemmälle automatisoituja ratkaisuja. Palvelut on voitava siirtää lennossa fyysiseltä palvelimelta toiselle kuormitustilanteen, virrankulutuksen optimoinnin ja huoltotoimien niin vaatiessa.

Joustavuus vaatii verkolta tasaista suorituskykyä. Kahden palvelimen välinen siirtokaista ei saa vaihdella sen mukaan, mikä on laitteiden fyysinen sijainti verkossa. Minkään yksittäisen palvelimen kuormitus ei liioin saisi vaikuttaa muiden palvelinten saamaan palvelutasoon.

Lisäksi verkon on oltava vikasietoinen: palveluiden pitää toipua nopeasti fyysisen verkon muutoksista. Tämä on tärkeää yksinkertaisesti siksi, että mitä suuremmaksi verkko kasvaa, sitä enemmän siinä on vikaantuvia osia.

Liikaa osoitteita

Suuret laitemäärät on perinteisesti hoidettu segmentoimalla verkko ip-aliverkotuksen ja virtuaaliverkotuksen avulla. Segmentoitua verkkoa laajennettaessa on kuitenkin koko ajan mietittävä aliverkotusta ja osoiteavaruuksia sen sijaan, että uusi kytkin vain liitettäisiin verkkoon.

Palveluiden siirtelyä helpottavat virtualisointitekniikat, jotka ovat viime vuosina kehittyneet nopeasti. Jos virtuaalikone kuitenkin siirretään ip-aliverkosta toiseen, sen tcp-yhteydet katkeavat ja ne joudutaan käynnistämään uudelleen.

Vaihtoehtona on käyttää jotakin mobile ip -tyyppistä standardoitua ratkaisua tai esimerkiksi Ciscon ja Vmwaren viime vuonna julkaisemaa niv-tekniikkaa (network interface virtualization). Valitettavasti tällaiset ratkaisut tekevät verkosta usein monimutkaisen tai lisäävät riippuvuutta laitetoimittajista.

Pilvipalveluiden tarjoajan kannalta olisi parasta, jos datakeskuksen verkko näyttäisi yhdeltä suurelta kakkoskerroksen kytkimeltä, johon kaikki palvelimet olisi kytketty tasa-arvoisina ja jota laajennettaisiin lisäämällä verkkoon uusia kytkimiä.

Pelkästään kakkoskerroksella ei kuitenkaan voida toimia. Tavanomaisen 24-porttisen peruskytkimen osoitetaulussa on tyypillisesti tilaa vain kahdeksalle tai kuudelletoista tuhannelle osoitteelle. Osoitetauluja ei ole helppo mielin määrin kasvattaa, eikä se olisi muutenkaan hyvä ratkaisu.

Eräs syy käyttää ip-aliverkotusta on estää levitysviestien leviäminen liian laajalle. Ennen kuin verkkoja alettiin tcp/ip-käytännön yleistymisen myötä segmentoida, hallitsemattomien levitysviestien myrskyt aiheuttivat usein ongelmia suurissa lähiverkoissa.

Levitysviestien monista käyttötarkoituksista kaksi on ylitse muiden. Käynnistyessään lähes jokainen verkon laite pyytää ensin itselleen ip-osoitetta, ja sitä varten se etsii aliverkkoaan palvelevan dhcp-palvelimen levitysviestillä. Toinen lukuisia levitysviestejä aiheuttava protokolla on arp, jolla laite etsii oman aliverkkonsa ip-osoitteita vastaavien laitteiden mac-osoitteet.

Portland opettaa kytkimiä

Kaukonäköiset tutkijat ovat jo ryhtyneet luomaan perustaa uudelle datakeskuksen verkkoarkkitehtuurille, joka olisi pääkäyttäjälle yhtä helppo kuin kakkoskerroksen kytkinverkko mutta skaalautuisi vikasietoisesti ja ilman pullonkauloja.

Elokuussa aiheesta julkaistiin kaksi mielenkiintoista ehdotusta.

Joukko Kalifornian San Diegon yliopiston tutkijoita kehitti useiden aiempien tulosten perusteella Portlandiksi ristimänsä käytännön. Sen toiminta perustuu huomioon, että datakeskusten palvelinverkot ovat viime vuosina standardoituneet pitkälti fyysistä rakennetta mukaileviksi verkoiksi. Palvelinkehikoissa on paikalliset kytkimet, jotka on puolestaan liitetty kehikkoja yhdistäviin kytkimiin ja niin edelleen.

Erityisellä ldp-käytännöllä (location discovery protocol) kytkimet oppivat paikkansa tässä hierarkiassa. Kun uusi palvelin kytkeytyy kehikkokytkimeen, tämä antaa sille pmac-osoitteen (pseudo-mac), joka sekä identifioi palvelimen että kertoo sen fyysisen sijainnin verkossa.

Kaikki pakettien välitys perustuu pmac-osoitteisiin, jotka muutetaan fyysisiksi mac-osoitteiksi vasta siinä reunakytkimessä, johon asianomainen palvelin on kytketty. Kytkinten osoitetaulut pysyvät pieninä, koska pmac-osoitehierarkia kertoo suoraan, mihin porttiinsa mikäkin kytkin minkäkin paketin välittää.

Arp-käytännön levitysviestit Portland ohjaa erityiselle välityspalvelimelle, joka pitää kirjaa verkon ip- ja pmac-osoitepareista. Jos osoiteparia ei vielä ole rekisteröity, turvaudutaan perinteiseen arp-levitysviestiin. Kun virtuaalipalvelin siirretään toiseen fyysiseen palvelimeen, muiden palvelinten arp-välimuisteihin rekisteröidyt osoiteparit päivitetään sitä mukaa kun ne yrittävät kommunikoida siirtyneen palvelimen kanssa.

Portland ei näy palvelimille mitenkään, vaan se muuttaa kytkinten toimintaa. Tutkijat ovat jo onnistuneet rakentamaan toimivan Portland-prototyypin Ciscon, HP:n ja Juniperin standardikytkimillä käyttäen niihin toteutettua Openflow-protokollaa.

VL2 menee palvelimeen

Toinen mielenkiintoinen ehdotus, VL2 (Virtual Layer 2) tuli samoihin aikoihin Microsoftilta. Kuten arvata saattaa, käyttöjärjestelmävalmistaja ei koskenut kytkinten toimintatapaan vaan toteutti uuden toiminnallisuuden palvelimeen asennettavalla agentilla ja hakemistopalvelulla.

Microsoftin menettelyssä kytkimille ja porteille käytetään fyysisen sijainnin kertovia la-osoitteita (locator address), kun taas palvelimille käytetään sovelluskohtaisia aa-osoitteita (application address). Molemmat ovat tyypiltään ip-osoitteita.

Verkkolaitteet operoivat la-osoitteilla verkon todellisen rakenteen mukaisesti. Loogiset palvelimet näkevät ainoastaan yhteen ja samaan ip-aliverkkoon kuuluvat aa-osoitteet. VL-agentit ja -hakemisto pitävät la-aa-osoiteparit yllä dynaamisesti. Menettely ratkaisee dhcp- ja arp-kyselyjen skaalautumisongelman omalla tavallaan yhtä elegantisti kuin Portland, eikä virtuaalipalvelimen siirtyminen toiseen fyysiseen palvelimeen muuta sen aa-osoitetta.

Menettelyiden suurin ero on painotuksissa: VL2 tarjoaa muun muassa pääsynvalvontatoimintoja ja kiinnittää paljon huomiota kuormantasaukseen. Se pystyy takaamaan palvelimen tarvitseman kaistan verkossa, jossa kytkinten välillä on riittävästi vaihtoehtoisia polkuja.