Mellékleteink: HUP | Gamekapocs
Keres
Komoly security line-up az idei SYSADMINDAY-en: FPS játékok hackelésétől a hálózati szemfényvesztésen át a COM-Object Hijackingig!

OpenFlow: forradalom a hálózatban?

Gálffy Csaba, 2013. május 08. 11:22
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Gyökeres változásokat ígér az OpenFlow abban, ahogy az adatközponti és vállalati hálózatokat hogyan üzemeltetjük és konfiguráljuk a jövőben. A látványos változásra azért valószínűleg várni kell és a mai gyártók sincsenek egyelőre veszélyben.

A hálózatos világ tavaly óta egyre hangosabb az OpenFlow és az SDN (software defined network) fogalmától, az új technológia a nagy gyártók szerint is támogatásra érdemes, a legnagyobb webes vállalatok pedig már aktív használói. A kérdés természetesen adott: felforgatja-e a Cisco és a többi hagyományos gyártó hegemóniáját az SDN, vagy marad minden a régiben és az új technológiát is a régi szereplőktől szerzi majd be mindenki?

Mit ad az OpenFlow?

Az OpenFlow nyílt forráskódú, kísérleti hálózati technológia, amelyet a Stanford és a Berkeley akadémikusai készítettek, elsősorban házon belüli hálózati problémák megoldására, szimulációjára. A technológia kísérleti jellege azonban nem akadályozta meg a nagy, "webscale" vállalatokat, mint a Google, a Facebook a Zynga vagy az Amazon, hogy szinte azonnal használatba vegyék. Tavaly óta a Google belső, adatközpontokon belüli és azok közötti hálózati forgalma teljes egészében OpenFlowt használ.

Érdemes megjegyezni, hogy az OpenFlow és az SDN nem pontosan ugyanazt takarja - előbbi magára a kidolgozott, szabványos kommunikációs protokollra vonatkozik, míg utóbbi csak a filozófiát, az eszköz és a vezérlő (data plane és control plane) szétválasztását jelenti, amelynek az OpenFlowtól eltérő implementációja is lehetséges. Egy ilyen alternatív szabvány például az Alcatel-Lucent saját Application Fluent Network kezdeményezése is.

Időigényes, iterált ütközéskezelés a hagyományos modellben.

Az OpenFlow fontos változást hoz a hálózatok fejlődésében. Míg az internet, pontosabban az TCP/IP stack messze legfontosabb tulajdonsága a decentralizáltság, ennek árán nagyon sokat áldoz fel a hálózat. Az ilyen hálózatok működése a Wired cikke szerint egy diszpécserszolgálat nélküli taxivállalatéhoz hasonló. Ha dugó van, a taxik (a csomagok) egyenként futnak bele, majd egyenként próbálnak meg kerülő utat keresni, a fennakadás esetén kialakuló, módosult hálózati forgalom pedig sokszor kaotikus, előre nem látható. A klasszikus routerben vagy switchben a csomagok továbbírása és a magasabb szintű útválasztó döntések ugyanazon eszközben történnek.

Az OpenFlow esetében ez a két feladat különválik, a hálózati eszköz csak a csomagok fogadását és küldését végzi, az útválasztással kapcsolatos feladatok pedig felköltöznek a központi vezérlőbe. Az OpenFlow rendszerében ez a néhány központi kiszolgáló tereli aktívan a forgalmat a hálózati eszközök között, leállás, túlterhelés esetén pedig intelligensen osztják ki az alternatív útvonalakat, így azokon nem lesz fennakadás, optimálisan, prioritás szerint osztályozva küldik tovább  a különböző csomagokat.

A központi irányítószerver egy lépésben igazgatja a forgalmat.

Ebben a megközelítésben tehát a hálózat logikai felépítését (a folyamtáblákat) a központi rendszer tárolja, ha ezen az egy ponton megváltoztatjuk, akkor azzal a hálózatot magát alakítjuk át. A fizikai hálózati eszközök a folyamattáblákat helyben gyorsítótárazzák, így a csomagokkal elvégzendő műveleteket pedig a tábla és a fejléc összehasonlítását követően végzik el, vonali sebességen, ahogy eddig. Ha az adott csomagra nem vonatkozik a táblában bejegyzés, akkor a kontrollerhez fordul és lekéri a vonatkozó szabályt, amelyet ezután a gyorsítótárban fog tartani.

A megközelítés előnye, hogy a vezérlő a teljes hálózati architektúrát látja, szemben az eszközök szintjén implementált routinggal, amely mindig csak a következő ugrást ismeri. A megközelítés másik előnye, hogy a hálózati eszköz "butulhat", egyszerűbbé válhat, ami költségcsökkentést és sokkal könnyebb üzemeltetést jelent. A hálózat struktúráját érintő változásokat ugyanis ebben a rendszerben elegendő a központi vezérlővel tudatni, nem kell az összes érintett eszközt átkonfigurálni. Mivel a központi vezérlő folyamatosan követi az eszközök statisztikáit, azonnal képes reagálni a rendellenes működésre.

Az OpenFlow/SDN piacot felforgató ereje azonban a szabványokban rejlik, a rendszert az Open Networking Foundation standardizálja. Az OpenFlow-kompatibilis switchek és routerek szabványos interfészeken keresztül programozhatóak, szemben a hagyományos gyártók saját fejlesztésű, legtöbbször csak nagyon szűk átjárhatóságot biztosító interfészeivel. Ugyanígy a vezérlőrendszer és a hálózati eszköz érkezhet egészen különböző forrásból, az OpenFlow-kompatibilitás garantálja, hogy együtt tudjanak működni.

A Google-nál nagyon bevált

A Google saját bevallása szerint már mintegy 2005 óta aktívan fejlesztett egy hasonló, OpenFlow-szerű rendszert, Urs Hölzle, a keresőóriás hálózati gurujának vezetése alatt. Ezt ugyanaz indokolta, ami miatt az egyetemek kezdtek neki az SDN fejlesztésének: a hálózati eszközök alacsony szintű működéséhez a gyártók nem engednek hozzáférést, ami a legújabb szabványok implementációját és a kreatív kísérletezgetést korlátozta. Az OpenFlow megjelenésével azonban ezt Google-projektet ejtették és teljes mellszélességgel felkarolták az új technológiát, amelynek fejlesztésében részt is vállalnak a keresőóriás mérnökei is.

A Google szerint az SDN rugalmasságát jól mutatja, hogy ragyogó tesztkörnyezetet biztosít. Mivel a hálózat tulajdonképp csak a központi irányító szerveren tárolt routing táblák és szabályok összessége, elegendő ezeket virtuális hálózaton tesztelni. Korábban az új ötletek kipróbálásához és validációjához létre kellett hozni a tesztkörnyezetet, valódi fizikai eszközökkel, ehhez képest az új megközelítés összehasonlíthatatlanul olcsóbb és rugalmasabb. Ennek közvetlen hatása, hogy a hálózati hibák száma az OpenFlow bevezetését követően negyedére csökkent és tovább esik.

A hardver és szoftver szétválása, a célgépek megszűnése hosszú ideje lezajlott a PC-iparban. Ez a folyamat tette lehetővé a Microsoft és az Intel felemelkedését, miközben az eszközgyártók, a PC-t tulajdonképp értékesítő cégek csupán a morzsát szedegethették fel. A kialakult piac követte az értékláncot, az érdemi innováció a szoftvergyártónál és a processzorgyártónál összpontosult, a többi szereplő jobbára ugyanabból az alapanyagból főzött hasonló termékeket.

Ez a veszély egyelőre nem fenyegeti a hálózati eszközök gyártóinak piacát, mára minden nagy szereplő széles, komplex szoftverportfólióval rendelkezik, a hardvergyártást pedig jellemzően kiszervezik. Emiatt földrengésszerű változásra nem érdemes számítani, a bebetonozott eszközök helyett bebetonozott szoftverek világa érkezik. A felhasználók sem járnak azért rosszul, a kiszélesedő hardverpiacon igényeikhez legjobban passzoló eszközöket választhatják és természetesen élvezhetik az SDN üzemeltetési előnyeit.

A nagyobb hálózati gyártók már most igyekeznek meglovagolni a hullámot, minden jelentős cég vett fel kínálatába SDN-kompatibilis eszközöket, így a Brocade, a Cisco, az Arista, a Force10 (Dell), IBM, Juniper, HP és MikroTik is. Az idei OpenFlow konferenciát, az Open Networking Summit főtámogatója is többek között a Brocade, a Cisco és a HP volt, ők is látnak tehát üzleti lehetőséget az új szabványban. De nem csak a hagyományos eszközgyártók látnak fantáziát az OpenFlowban, a VMware tavaly nyáron több, mint egymilliárd dollárt adott a Niciráért, az egyik SDN-úttörő startupért.

Intel, balról be

Az OpenFlow akkor tudja forradalmasítani a hálózatos piacot, ha nagyon olcsón elérhetőek lesznek a "buta" eszközök. Ezért kritikus fontosságú, hogy az Intel bejelentette, szállít a jövőben ilyen platformot, hardveresen gyorsított hálózati funkciókkal. Ennek alapjait a Fulcrum 2011-es felvásárlása adja, a kis chipgyártó alacsony fogyasztású specializált processzorokban utazik, elsősorban hálózati ASIC-okban. A lépés már akkor fontos jelzés volt a nagy inkumbens hálózati gyártók számára, hogy az Intel is hamarosan szeletet kér a specializált hálózati processzorok tortájából. A chipgyártó a felvásárlást követően két évig hallgatott a tervekről, a héten az Open Networking Summiton bejelentette jövőbeni stratégiáját az Open Network Platform formájában.

A konferencián az Intel két refereciahardvert mutatott, az első egy Intel-szilíciumra épülő switch, amely képes ellátni a "buta hálózati eszköz" feladatát. A célhardver x86-os és specializált lapkákat használ vegyesen, ez utóbbi az Intel szeptemberben már bejelentett FM6700-as 10/40 gigabites hálózati switchét jelenti. Az Intel véresen komolyan gondolj az új piacot. A bemutatott referencia-switch az adatközpontok üzemeltetőit célzó top-of-the-rack változat, amely nagyon egyértelmű jelzés a piacot jelenleg uraló Cisco-nak és a Juniper-Arista-Force10 hármasnak. Az eszköz nem csak mérnöki referencia, a Quantától már kész termékként is elérhető. A másik termék az Open Network Platform Server, amelyet virtuális hálózatok építéséhez, virtuális hálózati eszközök platformjaként jellemez a gyártó.

Az új Intel-stratégia szerves része a szoftver is, ennek megfelelően bemutatkozott az Intel Data Plane Development Kit is, amellyel az implementálók OpenvSwitch-alapokon programozhatják az új processzorokra épülő hálózati eszközöket. Az Intel eszközei tehát olyan platformot nyújtanak, amely képes futtatni a gyártó (OEM) vagy hálózati szolgáltató, internetszolgáltató saját hálózatspecifikus alkalmazásait. Ezek az alkalmazások valósítják meg a hálózati szolgáltatásokat, általános hardveren az Intel víziójában.

Az Intel stratégiája a maga során a kompetens gyártókon áll vagy bukik, akik az általános platformra jó termékeket építenek. Gyártópartner pedig rengeteg akadhat. A távol-keleti gyártók jellemzően nem ijednek meg a nagyon vékony profitmarzzsal kecsegtető kommersz ("commodity") hardverektől, a Quanta, a Pegatron vagy a Hon Hai/Foxconn már ma is gyárt bolti alkatrészekből szervereket és hálózati eszközöket a Google vagy a Facebook számára, megrendelésre minden bizonnyal a hálózati eszközök gyártását is szívesen felveszik a portfólióba.

A hálózat Linuxa

Az OpenFlow fontos hozadéka lehet hosszú távon, hogy az egyszerűbb hálózati funkciókat széles körben elérhetővé teszi bárki számára - angol szóval kommoditizálja. A folyamat ismerős lehet, a Linux az elmúlt bő évtizedben pontosan ezt az utat járta be. Ma már senki sem kényszerül arra, hogy bármilyen célgépéhez operációs rendszert fejlesszen, egyszerűen fogja a Linuxot és épít rá egyedi megoldásokat. Az androidos okostelefontól az otthoni routerig vagy set top boxtól digitális zongoráig minden épülhet a szabad rendszerre, a megkülönböztető erőt pedig a rajta futó alkalmazás jelenti. A Linux, annak ellenére, hogy nem hódította meg a PC-ket, egész iparágak létezését tette lehetővé, azáltal, hogy a megkülönböztetés szintjét a rendszertől az alkalmazáshoz emelte.

Ilyen mintára válhat az OpenFlow és annak szabad szoftveres megvalósítása a hálózat Linuxává. Ebben a paradigmában az OpenFlow által biztosított funkciók széles rétegek számára elérhetővé válnak, a mai gyártók pedig az értékláncban egy lépcsővel feljebb, az alkalmazások szintjén kapnak szerepet. Egyszerű példa: a Dell Virtual Network Architecture olyan virtuális LAN-funkciókat tud, amelyek az OpenFlow képességeit messze meghaladják, ilyen, szabványos platformon futó fejlett alkalmazások fogják uralni a jövő hálózatait.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
FPS játékok hackelésétől a hálózati szemfényvesztésen át a COM-Object Hijackingig: Veres-Szentkirályi András (Silent Signal), Balázs Zoli (MRG Effitas), Marosi-Bauer Attila (Hacktivity) és sokan mások. A standupot Felméri tolja.