Платформа виртуализации «ДАКОМ М» с проприетарным SDN-стеком
Компания «ДАКОМ М» вывела на рынок обновленную платформу виртуализации SpaceVM 7 – по заявлению разработчика, первую на российском рынке с полностью проприетарным SDN-стеком SDN Flow, который входит в состав продукта и не требует отдельной лицензии. Платформа объединяет enterprise-гипервизор первого типа, новое сетевое ядро с поддержкой L2/L3-сетей и встроенную безопасность, обеспечивая российским компаниям сценарии замены зарубежных решений по виртуализации и SDN в едином технологическом стеке. Для российских заказчиков SpaceVM 7 с SDN Flow может стать альтернативой связке VMware vSphere и NSX в рамках единой отечественной платформы.
В основе SpaceVM 7 – ядро Linux, которое является объектом исследований Консорциума совместных исследований безопасности ядра Linux при ИСП РАН. Пакетная база SpaceVM 7 кардинально обновлена: это обеспечивает совместимость с современным оборудованием, позволяет применять исправления накопленных ошибок в актуальных версиях библиотек Linux, а также задействовать новые возможности этих библиотек. Обновленный стек ядра и пользовательского пространства формирует базу для дальнейшего развития платформы и долгосрочной эксплуатации в корпоративных и государственных инфраструктурах.
SpaceVM 7 развивает идею единого стека: SDN Flow – это не отдельная функция, а пересборка всей сетевой логики платформы и новое сетевое ядро системы. Сетевая SDN-подсистема полностью разработана самой компанией. Вместо связки нескольких сетевых компонентов сетевые сервисы реализованы в одной проприетарной подсистеме, которая управляется из того же центра, что и виртуальные машины. Администратор работает с виртуальными сетями, сервисами и политиками на уровне всего кластера через веб-интерфейс, API или CLI, без расхождений в конфигурации и «разных точек правды» между отдельными узлами. Такой подход снижает совокупную стоимость владения, упрощает эксплуатацию и делает архитектуру прозрачной как для ИТ-директора, так и для службы ИБ.
SDN Flow изначально проектировался как согласованный программный комплекс – основа для production-нагрузок. Сетевая подсистема поддерживает динамическую маршрутизацию с сотнями тысяч правил и механизмы фильтрации с десятками и сотнями тысяч записей без деградации производительности, что соответствует требованиям крупных корпоративных инфраструктур с высокой плотностью сервисов и сложной топологией. При этом функциональность L3 – маршрутизация, NAT, DHCP, динамические протоколы, такие как BGP, и механики Floating IP – доступна из коробки как базовый сценарий, а не как внешняя надстройка.
На уровне архитектуры в SpaceVM 7.0 переработана внутренняя сетевая реализация: в процессе разработки команда отказалась от отдельного слоя на базе VPP и перенесла необходимые функции непосредственно в существующий сетевой стек на основе Open vSwitch. Это не замена одного инструмента другим, а упрощение архитектуры: то, что раньше требовало взаимодействия между несколькими компонентами, теперь выполняется внутри одного слоя. В результате сокращается количество точек отказа, уменьшаются накладные расходы на обработку трафика и повышается предсказуемость поведения сети при сохранении всей требуемой L3-функциональности.
В плане отказоустойчивости сеть перестает зависеть от одного узла или одного контроллера: используются распределенные шлюзы, все физические L3-интерфейсы кластера могут задействоваться в активном режиме, а при наличии 10 узлов суммарная пропускная способность сети масштабируется в десять раз, задействуя ресурсы каждого из них. При потере связи с центральным контроллером управление сетевыми настройками на уровне узла не блокируется, что критично для эксплуатации в нестабильных условиях и распределенных сценариях. В платформе также реализована функция автоматического переключения на резервный контроллер при выходе из строя основного, что обеспечивает непрерывность управления инфраструктурой без участия администратора. Повышена устойчивость к отказам виртуальных машин на пулах GFS2, оптимизировано потребление памяти механизмом ballooning в условиях высокой нагрузки.
Встроенные механизмы наблюдаемости и контроля – мониторинг состояния сетевых интерфейсов, зеркалирование трафика, захват и анализ пакетов – доступны на уровне той же централизованной модели управления. Это снижает порог диагностики и позволяет быстрее реагировать на сетевые инциденты без привлечения внешних систем мониторинга.
Для усиления безопасности на всех уровнях системы SDN Flow делает микросегментацию частью самой сетевой модели, а не внешним слоем. Инфраструктура может быть разделена на изолированные логические сегменты для отдельных сервисов, подразделений или групп виртуальных машин: бухгалтерия, пользовательский контур, критичные сервисы, контур дистанционного банковского обслуживания и т. д. Политики взаимодействия задаются централизованно и применяются на уровне виртуальных коммутаторов и интерфейсов, при необходимости переопределяются для конкретных ВМ и автоматически сопровождают их при создании или миграции. С практической точки зрения это меняет модель угроз. Если раньше инцидент в одном сегменте мог быстро распространиться по плоской сети и затронуть критичные системы, то теперь он локализуется в пределах своего контура: взаимодействие между сегментами жестко контролируется политиками, поддерживаемыми ACL, пограничным firewall, инспекцией трафика и инструментами анализа вплоть до DPI.
При этом SpaceVM остается ядром широкой экосистемы Space. Это enterprise-гипервизор первого типа, который можно установить на «голое» железо по методу one-click, и вокруг него развиваются решения для управления гибридной инфраструктурой и внутренним биллингом (Space Cloud), платформа виртуальных рабочих столов (Space VDI) и клиенты для удаленного доступа (Space Client). Все это позволяет строить полностью отечественный контур виртуализации и рабочих мест – от серверной инфраструктуры и сетей до пользовательских рабочих столов, управления доступом и учета ресурсов – на базе единой архитектуры и продуктов одного вендора.