TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
เป็นหัวข้อสุดท้ายของงาน Cisco Night Academy ที่ให้ความรู้กันอย่างเข้มข้นต่อเนื่องมาเป็นสัปดาห์ที่ 8 ครับ ซึ่งในสัปดาห์สุดท้ายนี้หัวข้อก็ถือว่าเป็นประเด็นที่น่าสนใจที่สุดประเด็นหนึ่ง ก็คือเรื่องของเทคโนโลยี Software Defined Network หรือ SDN ที่ยังถือว่าแต่ละค่ายมีความแตกต่างกันอยู่พอสมควร ซึ่งในครั้งนี้ทางทีมงาน TechTalkThai ก็ได้มีโอกาสมาฟังเทคโนโลยี SDN ของ Cisco ในชื่อว่า Cisco ACI และก็ขอสรุปมาให้ผู้อ่านทุกท่านได้อ่านกันดังนี้ครับ
วิธีคิดของผู้ดูแลระบบเครือข่าย จะเปลี่ยนไปจากหน้ามือเป็นหลังมือ
จากระบบเครือข่ายเดิมที่เมื่อผู้ดูแลระบบเครือข่ายได้รับ Requirement มาว่าระบบงานอื่นๆ จะทำงานและเชื่อมต่อกันอย่างไรบ้าง แล้วผู้ดูแลระบบจึงต้องมาคิดต่อว่าจะทำการกำหนดค่า Configuration ต่างๆ อย่างไรเพื่อให้ตรงกับความต้องการนั้นๆ จะถูกพลิกผันไปด้วยการมาของเทคโนโลยี SDN ไปโดยสิ้นเชิง
ระบบเครือข่ายแบบ SDN นั้นจะทำหน้าที่ในส่วนของการ Configure ระบบให้เองทั้งหมด จนผู้ดูแลระบบไม่ต้องมายุ่งเกี่ยวกับการกำหนดค่าแต่อย่างใด ทำให้สิ่งที่ผู้ดูแลระบบต้องไปทำแทนก็คือการมองอุปกรณ์หรือระบบ Application ต่างๆ ในเครือข่ายนั้นให้กลายเป็น Object แทน และทำการจัดกลุ่มของ Object เหล่านั้น แล้วทำการกำหนด Policy สำหรับ Object แต่ละกลุ่มว่าจะมีสิทธิ์ในการเชื่อมต่อกับระบบใดที่อยู่ในเครือข่ายด้วยวิธีการใดบ้าง แล้วระบบ SDN จะทำการกำหนดค่าให้ตามนั้นเองโดยอัตโนมัติ
ความเปลี่ยนแปลงนี้จะทำให้ผู้ดูแลระบบต้องใส่ใจกับเรื่องของสิทธิ์ในการเชื่อมต่อ, การจัดกลุ่ม Object และการวางนโยบายในระบบเครือข่ายให้มากขึ้นแทน โดยไม่ต้องสนใจกับเรื่องทางเทคนิคเชิงลึกอีก หรือกล่าวได้ว่าผู้ดูแลระบบจะต้องเน้นสนใจผลลัพธ์มากกว่าวิธีการ
SDN นี้มาตอบโจทย์ของระบบเครือข่ายที่มีอุปกรณ์เครือข่ายใน Data Center เป็นจำนวนมากได้อย่างง่ายดาย สมมติว่าถ้าหากระบบเครือข่ายของคุณมี Port จำนวนซัก 10,000 Port การ Configure ระบบเครือข่ายแบบเดิมๆ นั้นคงเป็นไปได้ยากมาก และเกิดความผิดพลาดได้ง่ายมากอย่างแน่นอน ซึ่งเมื่อ SDN ได้ถูกพัฒนาขึ้นมาจนอยู่ตัวแล้ว ก็ทำให้ SDN ได้กลายเป็นเทคโนโลยีสำหรับใช้งานในระดับองค์กรได้ขึ้นมานั่นเอง
Cisco ACI เป็นแนวคิดของระบบเครือข่ายแบบ SDN โดยเป็น Framework ที่ทำงานบน Cisco Switch รุ่น Nexus 9000 เท่านั้น โดยปกติแล้ว Nexus 9000 จะทำงานบน NX OS Mode ซึ่งมี API สำหรับเขียน Script เพื่อไปควบคุม Switch ทีละตัวได้ แต่เมื่อปรับมาใช้ Nexus 9000 ในแบบ Fabric ด้วย ACI ก็จะเป็นการใช้งานในแบบ SDN เต็มตัว ทำให้สามารถควบคุมการใช้งานระบบเครือข่ายด้วยการกำหนด Policy แทนการตั้งค่า Configuration เองแบบเดิม และผู้ดูแลระบบไม่จำเป็นต้องสนใจรายละเอียดปลีกย่อยอีกต่อไป เพราะเมื่อผู้ดูแลระบบทำการกำหนด Policy ให้กับ Object ซึ่งแบ่งเป็นแต่ละ Application หรือแต่ละ Server แล้ว อุปกรณ์เครือข่ายทั้งหมดก็จะทำการปรับเปลี่ยน Configuration ให้ตรงตาม Policy ที่ต้องการโดยอัตโนมัติ ต่างจากที่ผ่านมาที่ผู้ดูแลระบบจำเป็นต้องเข้าใจการกำหนดค่าในระบบเครือข่ายทั้งหมด และทำการกำหนดค่าในระบบเครือข่ายเพื่อให้ได้ผลลัพธ์ตามที่ต้องการด้วยตัวเอง
VxLAN เป็นอีกหนึ่งเทคโนโลยีที่ถูกนำมาใช้ในการสร้าง Cisco ACI โดยการใช้ VxLAN จะทำให้การแบ่ง Segment ของระบบเครือข่ายสามารถทำได้แบบ Microsegment สำหรับแต่ละกลุ่มของบริการได้ทันที และ Protocol อย่าง Spanning Tree ก็จะไม่จำเป็นอีกต่อไปเพราะระบบเครือข่ายจะทำงานเป็นแบบ Object-Fabric ที่ Utilize ทุกเส้นทางการเชื่อมต่อให้คุ้มค่าสูงสุดได้ด้วยตัวเองโดยไม่เกิด Loop และยังคงมี Redundancy อยู่ได้
นอกจากนี้ Cisco ACI ยังเป็นการรื้อแนวคิดของการสร้าง VLAN ออกไป และสร้างแนวคิดของระบบเครือข่ายใหม่ จากเดิมที่การใช้ VLAN คือการใช้ตัวเลข Tag เพื่อทำการเชื่อมต่อระบบเครือข่ายในแต่ละ Segment เข้าด้วยกัน แต่ในปัจจุบันนี้แนวคิดของ ACI คือการมองทุกอย่างในระบบเครือข่ายเป็น Object โดยการแบ่งกลุ่มของ Object เหล่านี้ออกเป็น Endpoint Group (EPG) และสนใจแค่ว่า EPG ใดจะสามารถเชื่อมต่อเข้าถึงกันได้บ้างด้วย Policy แบบไหนแทน และท้ายที่สุดแล้วระบบเครือข่ายทั้งโลกก็จะต้องมาใช้ SDN ทั้งหมดซักวันหนึ่งอย่างแน่นอน ทำให้ผู้ดูแลระบบเครือข่ายนั้นไม่สามารถหลีกเลี่ยงที่จะเรียนรู้เทคโนโลยีตรงนี้ได้เลย
ส่วนมุมมองในการกำหนด Policy ของ Ciso ACI นั้น ก็คือการกำหนดความสัมพันธ์ระหว่างแต่ละ EPG ขึ้นมา ซึ่งความสัมพันธ์ตรงนี้จะเรียกว่า Contract โดยในแต่ละ Contract จะประกอบไปด้วยการ Filter L4 Port Ranges และ TCP Options กับ Action ต่างๆ เช่น การ Permit, QoS, Log และ Redirect to Service เป็นต้น ทำให้ทุกๆ การเชื่อมต่อของแต่ละ EPG ถูกบังคับด้วย Contract นั่นเอง
การใช้ Cisco ACI นั้นจะทำการการ Monitor ประสิทธิภาพของระบบเครือข่ายสามารถทำได้อย่างละเอียด และมองเห็นการทำงานแยกเป็นราย EPG ได้ ซึ่งเมื่อนำมาดูต่อในเชิงลึกแล้ว ก็คือการตรวจสอบประสิทธิภาพของระบบเครือข่ายแยกเป็นราย Application, IP, Server ได้นั่นเอง โดยประสิทธิภาพในการทำงานของระบบเครือข่ายจะไม่ช้าลงจากการ Monitor แต่อย่างใด เนื่องจากข้อมูลทางด้านประสิทธิภาพนั้นจะถูกจัดเก็บโดยอัตโนมัติในระหว่างการทำ Forwarding ทำให้ไม่ต้องมีการคำนวนใดๆ เพิ่มขึ้น
แต่อีกสิ่งหนึ่งที่ผู้ดูแลระบบควรจะต้องรับรู้เอาไว้ก่อนก็คือ ระบบเครือข่ายแบบ SDN นั้นแตกต่างจากระบบเครือข่ายเดิมตั้งแต่ระดับของการเริ่มต้น Setup ระบบเครือข่ายจากการติดตั้งอุปกรณ์ตัวแรกเลย เรียกได้ว่าเป็นการล้างภาพของความรู้ด้านระบบเครือข่ายแบบเดิมๆ ที่มีอยู่ไปพอสมควร และวิธีการเดียวที่จะช่วยให้เข้าใจเทคโนโลยีตรงส่วนนี้ได้ดีขึ้นก็คือการทดสอบจริงนั่นเอง ดังนั้นถ้าหากองค์กรไหนพอจะมีเวลาบ้าง ก็ควรจะเรียกผู้ผลิตเข้ามาทำการทดสอบระบบ SDN ให้ได้ทดลองกันเป็นแนวทางกันได้แล้ว
ขั้นตอนในการเริ่มต้นใช้งาน Cisco ACI
เพื่อให้เห็นภาพการทำงานของ SDN ได้ง่ายที่สุด ทางทีมงาน TechTalkThai จึงได้สรุปลำดับขั้นตอนในการสร้างระบบเครือข่ายที่เป็น SDN ด้วยเทคโนโลยีของ Cisco ACI ให้อ่านกันเป็นตัวอย่าง โดยผู้ที่จะศึกษาแนวคิดของ Cisco ACI นั้น ควรจะมีความเข้าใจพื้นฐานเกี่ยวกับแนวคิดของระบบเครือข่ายแบบ Spine-Leaf ก่อน
[อธิบายสั้นๆ สำหรับผู้ที่ไม่รู้จัก Spine-Leaf แนวคิดนี้คิอการแบ่ง Switch ออกเป็น 2 กลุ่ม คือ Leaf Switch ที่จะทำหน้าที่ในการเชื่อมต่อกับ Endpoint และจะเชื่อมต่อกับ Spine Switch ทั้งหมดที่มีในแบบ Mesh ส่วน Spine Switch นั้นจะไม่เชื่อมต่อกันเอง แต่จะเชื่อมต่อกับ Leaf Switch ทั้งหมดแบบ Mesh เช่นกัน เพื่อให้ระบบเครือข่ายมีประสิทธิภาพและความทนทานสูงสุด พร้อมทั้งเพิ่มขยายได้ง่าย
การเริ่มต้นใช้งาน Cisco ACI เบื้องต้น มีดังนี้
1. สร้าง Cisco APIC Controller ซึ่งเป็น SDN Controller ของ Cisco ขึ้นมา
2. เชื่อมต่อ APIC Controller เข้ากับ Leaf Switch และให้ทั้งสองระบบทำการเรียนรู้กันด้วย Protocol LLDP
3. LLDP เริ่มสร้าง Topology ของระบบเครือข่าย และแสดงการเชื่อมต่อไปยัง Spine Switch เพิ่มเติม
4. ระบบเครือข่ายทั้งหมดทำการเรียนรู้กันและกัน และถูกเชื่อมต่อเข้ากันเป็น Topology ที่ครบถ้วน และ Cisco APIC Controller ก็จะสามารถบริหารจัดการระบบเครือข่ายทั้งหมดได้
5. APIC Controller ทั้งหมดในระบบจะทำการแชร์ข้อมูลระหว่างกัน เพื่อให้สามารถทำงานร่วมกันได้แบบ Redundant
6. การบริหารจัดการทั้งหมดหลังจากนี้จะต้องทำผ่าน APIC Controller เสมอ โดยผู้ดูแลระบบต้องทำหน้าที่กำหนด EPG ให้กับแต่ละ Object และกำหนด Policy เพื่อใช้ในการบังคับว่า EPG ใดจะเชื่อมต่อกันได้อย่างไรบ้าง
7. เมื่อมีการเพิ่มอุปกรณ์เครือข่ายใดๆ ก็ตาม ขั้นตอนต่างๆ ในการติดตั้งจะจบลงหลังจากที่ทำการเชื่อมต่อ Physical Layer เข้าไปยังระบบเครือข่าย SDN ที่ใช้งานอยู่เสร็จสิ้นแล้ว และผู้ดูแลระบบก็จะมีหน้าที่ในการกำหนด EPG ให้กับ Object ที่มาเชื่อมต่อเข้ากับอุปกรณ์เครือข่ายใหม่ๆ นั้น เพื่อบังคับใช้ Policy ที่ต้องการนั่นเอง
อธิบายแบบนี้อาจจะยังมีผู้ที่ไม่เข้าใจว่า EPG จะเป็นอะไรได้บ้าง ยกตัวอย่างเช่น เราอาจกำหนด Router ตัวที่เชื่อมต่อกับ Internet ให้เป็น EPG 1, กำหนด Server เป็น EPG 2, กำหนด Client Desktop เป็น EPG 3 แล้วเราจึงค่อยบอกว่า EPG 3 สามารถเชื่อมต่อกับ EPG 1 และ EPG 2 ได้เพื่อให้ผู้ใช้งานสามารถเล่นอินเตอร์เน็ตได้ และทำงานกับ Server ได้ ในขณะที่เราอาจไม่อนุญาตให้ EPG 2 เชื่อมต่อกับ EPG 1 เพราะไม่ต้องการให้ Server ที่ติด Malware ทำการส่งข้อมูลออกไปยังภายนอกโดยตรง เป็นต้น
สำหรับกรณีที่มีระบบ Virtualization ภายในองค์กร ผู้ผลิตอย่าง VMware ก็จะมี Virtual Distributed Switch (VDS) ในแต่ละ Virtualization Host Server โดยมีขั้นตอนการเริ่มต้นใช้งาน Cisco ACI ร่วมกับ VMware VDS ดังนี้
1. ติดตั้ง APIC ให้เชื่อมต่อกับ VMware vCenter Server
2. vCenter สั่งสร้าง VDS ใน Host
3. vCenter ทำการผูก VDS เข้ากับ Hypervisor
4. VDS จะเชื่อมต่อกับ Leaf Switch และแลกเปลี่ยนข้อมูลพร้อมสร้าง Topology ทั้งหมด
5. APIC จะสามารถทำการบริหารจัดการระบบเครือข่ายทั้งหมดได้แบบ Policy สำหรับแต่ละ EPG โดยอาจจะกำหนด EPG ให้ทดแทน Server แต่ละกลุ่ม หรือการเชื่อมต่อไปยัง Gateway ของระบบเครือข่ายเดิมที่ใช้งานอยู่ หรือการเชื่อมต่อไปยัง WAN หรือ Internet Gateway ภายนอกก็ตามแต่
6. สำหรับการเชื่อมต่อ Load Balancer หรืออุปกรณ์อื่นๆ แบบ Physical นั้น จะต้องนำมาเชื่อมต่อกับ Leaf ใดๆ ภายในระบบก็ได้ ไม่ต้องวางขวางแบบแต่ก่อน แต่ถ้าเป็นแบบ Virtual ก็สามารถติดตั้งใน Host ได้เลย โดยอุปกรณ์เหล่านี้จะมี API เพื่อเชื่อมต่อกับ APIC และทำให้กลายไปเป็นส่วนหนึ่งของ Policy ได้ เช่น บังคับว่า Traffic ต้องผ่าน Firewall ก่อนเสมอก่อนที่จะออกไปยังส่วนอื่นของระบบเครือข่าย เป็นต้น
จะเห็นได้ว่าแม้แต่การเชื่อมต่อระบบเครือข่าย SDN เข้ากับระบบ Virtualization ก็ยังจะมีขั้นตอนที่เปลี่ยนไปด้วย ดังนั้นแล้วการทำความเข้าใจในธรรมชาติการทำงานพื้นฐานของ Cisco ACI จึงเป็นสิ่งที่สำคัญมาก และเป็นอีกสิ่งที่เรียกได้ว่าเปลี่ยนลำดับการคิดของผู้ดูแลระบบเครือข่ายไปมากทีเดียว
ACI Forwarding Model
อีกประเด็นใหญ่ที่มีการเปลี่ยนแปลงไปใน SDN ก็คือวิธีการในการ Forward Traffic นั่นเอง ซึ่งจากเดิมที่เรามีการเชื่อมต่อกันในแบบ Physical ให้เข้าใจกันได้ง่ายในระดับหนึ่ง คราวนี้ SDN จะมาเปลี่ยนให้การ Forward Traffic มีความเป็น Logical ที่สูงขึ้น โดยมีสิ่งที่เปลี่ยนแปลงไปดังนี้
1. ทำการแบ่ง Tenant ของเครือข่ายออกเป็นหลายๆ Tenant โดยการใช้ Context/VRF
2. Context/VRF จะสามารถมีได้ตั้งแต่ 1 Bridge Domain (BD) ขึ้นไป สำหรับใช้ระบุการทำ Forwarding, Subnet, ARP Handling, Multicast และอื่นๆ
3. End-point ที่ทำการเชื่อมต่ออยู่ในระบบเครือข่าย จะถูกจัดเข้ากับ End-point Group (EPG) และทุกๆ EPG ก็จะถูกผูกเข้ากับ BD เพื่อให้รู้ว่าแต่ละ EPG จะสามารถเชื่อมต่อไปยัง EPG อื่นๆ โดยผ่าน BD ใดบ้าง
4. เมื่อต้องทำการเชื่อมต่อ EPG เข้ากับ VLAN เพื่อเชื่อมระบบเครือข่าย SDN เข้ากับระบบเครือข่ายแบบเดิม ระบบจะทำการ Map EPG กับ VLAN เข้าด้วยกันเอง แต่ก็ยังสามารถ Map แบบอื่นๆ ได้อีกเช่นกัน
ข้อดีของการทำ SDN
1. ลดงานของทีม Network Operation ลง เพราะรายละเอียดในการทำงานที่ระดับ Layer 2-4 จะลดน้อยลงมาก โดยการ Config ทั้งหมดจะกลายเป็นแบบ Automation
2. ลดความผิดพลาดในการ Configure ลง เนื่องจากระบบท้้งหมดจะถูกกำหนดค่าอย่างอัตโนมัติเพื่อให้ได้ผลลัพธ์ตามที่ผู้ดูแลระบบต้องการเท่านั้น
3. สามารถตรวจสอบการทำงานที่ผิดปกติในระบบเครือข่าย และผลกระทบที่จะเกิดขึ้นกับ Application ต่างๆ ได้อย่างครอบคลุม
4. การบริหารจัดการระบบเครือข่ายสำหรับ Cloud ที่มีอุปกรณ์ Switch จำนวนนับพันหรือนับหมื่นตัว จะสามารถทำได้อย่างมีประสิทธิภาพมากขึ้น
5. รองรับการแบ่งหลายๆ Department หรือบริษัทลูกภายในระบบเครือข่ายเดียวกันได้เป็นหลายๆ Tenant โดยใช้ Virtual Routing and Forwarding (VRF)
ข้อแนะนำต่อผู้ดูแลระบบเครือข่าย
1. ควรศึกษาแนวคิดของการทำ SDN ค่ายต่างๆ เพื่อเปรียบเทียบกัน
2. ควรหาโอกาสทดสอบอุปกรณ์และทดลองใช้งาน เพื่อให้เข้าใจความแตกต่างของระบบเครือข่ายแบบ Fabric และระบบเครือข่ายแบบเดิม
3. สำหรับระบบเครือข่ายของ Data Center ขนาดใหญ่ที่มีความซับซ้อนสูง แนะนำให้เริ่มเปลี่ยนมาใช้ SDN หรือ Fabric ให้เร็วที่สุด
