Сказка про SD-WAN

Как от перфокарт и проводков мир дошел до программно-определяемых сетей, и что теперь с этим делать.

fobp-uxmn79gofytm8ct4dkxkxk.png
Однажды люди решили, что пора начать обмениваться данными между двумя компами. Начались всякие там перфокарты и т.п. Но потом вставили в компы сетевые карты, соединили проводком, и жить стало легче. Купили третий комп, впихнули в него сетевуху, но куда втыкаться? Изобрели хабы и коммутаторы, а потом им из другого города позвонили, мол, мы тоже хотим в вашу сетку. Вроде бы ерунда, но тут всплыло ограничение на дальнобойность, и пришлось изобретать маршрутизаторы и каналы связи.

Держать собственные каналы связи было очень дорого, особенно если твои филиалы хотят общаться не только с тобой, а ещё и друг с другом. Поэтому некоторые предприимчивые граждане вложились, построили свои сети и стали продавать каналы и связанность между городами и весями как услугу.

А потом в наши сети стали без спросу заходить чужие. Срочно надо было от них закрываться. Запихнуть новый функционал в роутеры было проблематично, потому что изначально они проектировались для решения совершенно конкретной задачи, и под новые проблемы их архитектура не подходила. Люди изобрели файрволы. Изобрели и поставили рядом с роутерами. Чтобы никто не догадался, было решено считать это не багом, а фичей. Мол, спокойно, это не тупая и слепая эволюция нас сюда завела, а так и было задумано. Да и продавать две железки приятнее, чем одну.

Но потом какие-то негодяи придумали всякие атаки на сети. И рядом с файрволом поставили IDS/IPS. А потом пришёл очередной кризис, и все стали бедными. Под эту тему некоторые предприимчивые граждане придумали оптимизаторы трафика. Люди их купили и поставили рядом с остальной кучей железяк. Чтобы хоть как-то понимать, что теперь происходит, до кучи прикупили систему управления и мониторинга и, чтобы два раза не вставать, антивирус.

Производители «асиков» и прочих сетевых процессоров были довольны, а акционеры «Интела» не понимали, мол, почему бы всё это не запихнуть в обычный сервак, который в разы дешевле? Зачем кормить других капиталистов? «Интел» им сперва отвечал, мол, «линукс» все пакеты с сетевухи в ядре обрабатывает через прерывания, поэтому мы-то можем, а «линукс»-то нет, идите на ____ (прим. ред. — далеко). Но хор взывающих не умолкал. «Интел» плюнул и придумал способ передачи пакетов напрямую в приложение, минуя линуксовое ядро (DPDK, всё равно никто не запомнит).

И все такие хором: «Ох! Теперь же сетевые функции можно впихнуть на обычные серваки! Или даже на один сервак! Вместо отдельных железяк можно сделать на одном железном серваке отдельные виртуалки, попросить кого-нибудь придумать способ расстановки этих виртуалок в нужном порядке (service chain), ???, PROFIT!!!».


Тем более, что самым узким местом изначально была необходимость использовать ядро «линукса», а теперь её — тадам! — нету! А внутри сервака между виртуалок инфой обмениваться и раньше проблемой не было. Так за чем же дело стало?

Снова хором: «Будущее предвидеть нельзя, а ошибки прошлого, особенно накопленные эволюционно, прекрасно видно. Так давайте их одним махом и исправим! Долой накопленные баги! Долой устаревший или неиспользуемый функционал! Скажем решительное «нет» всякой нечисти типа frame-relay и isdn! В топку кучу узкоспециализированных железяк с их бессмысленным и беспощадным энергопотреблением! В топку неандертальцев, да здравствуют кроманьонцы!»

Тем временем стала модной тема SDN. Под неё некоторые предприимчивые граждане решили попробовать натянуть SDN на глобус WAN. Даже термин SD-WAN появился, типа тоже программно-определяемая распределенная сеть. То есть сперва придумали термин, а потом стали думать о реализации.

Так, изначально была система управления и мониторинга серваков, реализующих сетевые функции, что было не очень-то круто и революционно.

Поэтому, подумав, стартапы породили новую концепцию: SD-WAN — это не просто конфигурирование железа через web-морду. Больше не конфигурим железо — не барское это дело. Работать должны роботы, человек создан для творчества. Люди — композиторы, пишут музыку, а оркестром рулит дирижёр. И не важно, как именно он сконфигурит эти мсвиртуальные железки, всё сделает быстро и без ошибок, человеческий фактор практически исключён, 100% гарантия следования нотам».


Приземлённые граждане сравнили новый подход с традиционным более сдержанно: «Это просто две версии коробки передач: ручная и автоматическая. Автоматическая комфортнее: роботы пусть передачи переключают, а наше дело — рулить».
Тем временем и Agile ещё не вышел из моды. Всё в тему!

Что было дальше?


  1. В одном флаконе теперь могут жить роутер, FW, IDS/IPS, оптимизатор, антивирус, система управления и прочий DPI, который умеет рулить не просто пакетами, но приложениями. Ну или не все хором, а любая их комбинация.
  2. Вместо инженера можно отправлять в командировку монтажника или вообще тупо разбудить по телефону охранника и попросить его подключить провода и питание.
  3. Зачем вообще программировать тривиальную по сути задачу на ассемблере, когда существуют визуальные языки программирования?


Да и научить управляться в визуальной среде быстрее, проще и дешевле, чем обучить условного CCIE. Вообще лучше день потерять, зато потом за 5 минут долететь.

Всё те же предприимчивые граждане в голос: «Давайте потратим денёк на разработку высокоуровневых политик, а потом подключить новый филиал сможет любой. Да и перестроить правила теперь элементарно: несколько движений мышкой, поправили шаблоны — и в продакшн! Секундное дело! Для всех устройств автоматом создадутся, установятся и применятся новые конфигурации, и поскольку косячить больше некому, ни одно из устройств не отвалится».


Но главная гибкость SD-WAN — в эффективном использовании каналов. Железяки очень умные, поэтому постоянно следят за всевозможными характеристиками разных каналов (выделенка ли, интернет ли — хоть корпоративный, хоть домашний, хоть условная Yota, хоть халявный Wi-Fi из соседнего Макдональдса). Потому что иногда VPN через интернет может быть по куче причин выгоднее, чем VPN через выделенный канал. И в зависимости от заданных корпоративных политик умеет направлять трафик от разных приложений в наиболее подходящий для него канал, причём что такое «наиболее подходящий», определяется не толщиной или типом канала, а, например, задержками.

Ну или как поставщики сами решат, потому что они теперь главные. И очень, очень гибкие! А тут из зала крики, мол, так-то звучит заманчиво, а нам это надо? А и правда, кому это надо? Тем, у кого есть распределённые сети и филиалы. И чем распределённее и филиальнее, тем больше надо. Банки с кучей отделений и сетью банкоматов, сетевой ритейл, страховые компании, франшизы (типа производителей бургеров и жареной курицы), пенсионные фонды, почты России. Сюда же идут лавки, у которых есть филиалы за бугром, — прям милое дело использовать SD-WAN! Но есть самые-самые потенциальные клиенты. У кого самые большие и самые распределённые сети на миллиард подключений? Операторы, конечно.

Так за чем же дело стало? Речь же не о переходе на SD-WAN, не о софте и железе, а о новой услуге. Компании ставят конфигурялко-управлялко-мониторилку у себя и продают SD-WAN как облачную услугу, сдавая клиентские устройства в аренду, например! С учётом того, что одна конфигурялка-управлялка может держать на себе 2500 устройств, причём как угодно распределённых между клиентами, и клиенты никак не пересекутся и друг о друге ничего не узнают, SD-WAN для операторов — самое милое дело.

Или, скажем, решает один из офисов переехать. Ну, аренда ли перестала устраивать, мэр ли на бульдозере под покровом ночи напал — пусть переезжает! Берёт SD-WAN и валит куда хочет, даже в тот самый бизнес-центр, куда не пускают всякие коррупционеры. И к какому бы оператору он на новом месте ни подключился, продавец-первопроходец копеечку за свои (СВОИ!) сервисы получит, потому что SD-WAN, как тот праздник, «всегда с тобой». Воткнул в розетку, всякие VPN и прочие файрволы тут же включились — и работай, касатик, ничего не бойся. А ежемесячная аналитика в разрезе каналов и приложений будет прилетать регулярно.

В настоящий момент советские операторы ещё не шибко предлагают SD-WAN как услугу, но потом прочухаются и станут предлагать его честным коммерсантам. И если бизнесмены не любят насаживаться — выход есть, и он зеркальный. Не используешь облачную операторскую SD-WAN-голову, а покупаешь собственную, воспитываешь, так сказать, Бабу-ягу в своём коллективе. И всё! Полная мобильность, полная независимость и контроль над каналами и приложениями. И надежность выше, и свобода полная. Захотел — к этому оператору подключился, захотел — к другому, захотел — вообще переехал. Но суть-то осталась! Воткнул SD-WAN в розетку, он тут же получил новые настройки, всякие VPN и прочие файрволы тут же включились — и работай, касатик, ничего не бойся. Хорошо быть свободным человеком!
pevh1-4jg4zvcuwhghsckv4nyxy.jpeg

© Habrahabr.ru