Усі ці процеси збільшують навантаження на мережу й адміністраторів, посилюють загальну неузгодженість системи і зрештою призводять до того, що традиційна мережна архітектура стає не здатною підтримувати відмовостійкість. Одночасно все очевиднішими стають неефективність ручного управління і висока ймовірність людських помилок у підходах до конфігурації мережі та контролю налаштувань комутації.
У випадку цього банку необхідність модернізації мережі ЦОДів, зумовлена цими процесами, показала і проблеми з прозорістю мережі: служба безпеки банку не могла повною мірою контролювати роботу віртуальних серверів.
У той час як мережний адміністратор мав практично безлімітний доступ до всіх ресурсів, служба безпеки, яка мала б контролювати його дії, не бачила цих потоків даних.
Розуміння того, що треба шукати заміну мережній архітектурі ЦОДів, привело банк до двох постачальників, які розвивають так звану технологію мереж, зорієнтованих на застосунки (Application Centric Infrastructure або ACI): Nokia та Cisco.
Кардинальна відмінність ACI полягає в тому, як організовано управління мережною архітектурою. Умовно кажучи, якщо раніше мережа визначала, як має співпрацювати з нею бізнес-застосунок, що передбачало індивідуальні налаштування для кожного окремого випадку, то тепер застосунок висуває вимоги до мережі. Вона підлаштовується під застосунок, а не навпаки, що прискорює як запуск нових сервісів, так і роботу вже наявних.
На цьому етапі Accord Group вийшов з варіантами переходу зі старої інфраструктури до нової. Було пропрацьовано дизайн реалізації, надано специфікації на систему, зазначено "плюси" і "мінуси" рішень виробників.
Так, рішення від Nokia на той момент мало певні обмеження, спричинені тим, що продукт іще не був "загартований" досвідом активної експлуатації у той час, як у Сisco ACI вже було враховано відгуки користувачів, отже воно мало кращі показники надійності.
Визначившись із рішенням, перейшли до проєктування, яке охоплювало високорівневий дизайн, низькорівневий дизайн і план міграції.
Cisco ACI – це комплексне рішення, до складу якого входять такі компоненти: мережна фабрика, будь-які об’єкти підключення до мережі (сервери, віртуальні машини, контейнери), а також централізоване управління налаштуваннями мережі, включно з політиками інформаційної безпеки, інтегрованими в них.
Зазначимо, що перехід до АСІ зазвичай передбачає кілька етапів. Щоб продемонструвати гнучкість Cisco ACI зазначимо, що модель дає змогу спочатку впорядковувати мережу ЦОД у межах фабрики АСІ в традиційному виконанні (Network Centric Infrastructure або NCI) з тим, щоб згодом перейти до моделі, зорієнтованої на застосунок.
Але навіть підхід NСI виявився неабияким іспитом як для Accord Group, так і для замовника. Команда мусила:
- повністю відтворити розгалужену мережну архітектуру (з усіма її недоліками, які неминуче виникають під час еволюційного розвитку) в межах фабрики АСІ;
- запобігти впливу міграції на бізнес-процеси;
- підтримувати безперервність роботи банку.
І все це мало відбутися протягом шести місяців, поки тривав проєкт.
Найскладнішим у цих умовах є підключення сервісних пристроїв (балансувальників, мережних екранів, IPS-, IDS-систем тощо) через безпосередній вплив на бізнес, який вони здійснюють. Міграція спричинює зміну трафіку, потоків даних, кожен з яких регламентується відповідними налаштуваннями та правилами. Нескладно уявити, яким трудомістким є процес повного переналаштування мережі на великому підприємстві, де кількість потоків, правил, регламентів обчислюється десятками тисяч. Подекуди внаслідок зміни логіки оброблення інформації доводилося заново програмувати поєднувачі до бізнес-застосунків. Окремої уваги заслуговують кустарні програмні продукти, які організації створюють "під себе". Як правило, вони не підтримують загальних стандартів у той час, як треба змусити їх працювати в межах нової інфраструктури.
Стурбованість служби безпеки через непрозорість мережі багато в чому визначила міграцію. Зрозуміло, що безпека є важливою функцією будь-якої мережі. Cisco ACI підтримує технологію мікросегментації, яка дає змогу формувати гнучкі політики безпеки та застосовувати їх щодо окремих робочих навантажень. Це значно підвищило керованість і стійкість банку до атак.
Своєю чергою, використання технології віртуалізації замість установлення фізичних мережних екранів збільшило прозорість мережі. Віднині за допомогою API банк опитує свої системи й точно знає, яку частину мережі і яким застосунком заблоковано.
Загалом проєкт упровадження Cisco ACI в банку є показовим з точки зору впливу на функціонування організації. Безперервність бізнес-процесів було збережено повною мірою, попри те, що міграція тривала шість місяців.
За оцінками наших спеціалістів, унаслідок міграції вдалося на 21 % знизити складність управління мережею та на 45 % зменшити експлуатаційні витрати. Крім того, значно оптимізовано використання обчислювальних ресурсів і ресурсів зберігання даних.
Зараз банк за допомогою Accord Group пропрацьовує кейс переходу з одного ЦОДу на інший також у безупинному форматі.