Por: William Choe / HPE Aruba Networks
Al igual que los autos deportivos de alto rendimiento, los centros de datos actuales deben funcionar más rápido y más eficientemente que nunca. Las E/S avanzadas de computación y almacenamiento requieren conectividad en la parte superior del rack de mayor velocidad para conectar estructuras en columnas de 400G (con 800G en el horizonte).
Debido a que la mayoría de las operaciones de red no se han mantenido al día con las nuevas API y las prácticas impulsadas por la automatización, los centros de datos empresariales heredados son como un automóvil deportivo atrapado en primera marcha, incapaz de aprovechar al máximo su velocidad. El aprovisionamiento y la configuración manuales de la red no pueden igualar la velocidad de las prácticas de desarrollo modernas y las aplicaciones de microservicios. Los dispositivos integrados, los agentes y la compleja ingeniería de tráfico introducen una mayor resistencia, y la capacidad de entregar registros y telemetría a las herramientas de análisis para generar resultados significativos y procesables es limitada.
Cinco principios de diseño para centros de datos de próxima generación
¿Cómo se pueden superar las limitaciones de las arquitecturas heredadas y llegar a un centro de datos moderno que funcione como un Ferrari? Saque su centro de datos de la primera marcha y opere a toda velocidad con estos cinco principios de diseño:
1. Modernícese con conmutadores habilitados para DPU
Las unidades de procesamiento de datos (DPU) son procesadores que descargan y aceleran las funciones de red y seguridad. Originalmente diseñados para servidores, los hiperescaladores han adoptado DPU a escala, lo que demuestra la tecnología.
La serie de conmutadores HPE Aruba Networking CX 10000 con AMD Pensando es la primera en integrar completamente DPU (dobles) en un conmutador L2/3, acercando el firewall con estado, NAT y la microsegmentación a las cargas de trabajo sin afectar el rendimiento del procesamiento del conmutador.
Integrar DPU en conmutadores de centros de datos en lugar de instalarlas en servidores simplifica la implementación industrial y reduce el costo total. En lugar de comprar DPU para cada servidor en el bastidor, un conmutador ToR habilitado para DPU proporciona beneficios similares a una fracción del precio, sin la necesidad de desensamblar y abrir cada servidor para instalar el nuevo silicio. Los conmutadores habilitados para DPU significan que puede adoptar un modelo de servicios distribuidos en entornos de centros de datos existentes a nivel de rack y/o POD, sin actualizaciones costosas ni largos tiempos de implementación.
2. Acercar los servicios de red y seguridad a las cargas de trabajo con una arquitectura de servicios distribuidos
Los servicios de seguridad en los centros de datos tradicionales normalmente se brindan de dos maneras:
- Dispositivos de hardware que cuelgan de la red del centro de datos, lo que requiere ingeniería de tráfico para dirigir los flujos hacia el clúster de seguridad a través de una pila de dispositivos y luego regresarlos a la estructura de la red, lo que agrega complejidad operativa y latencia.
- Agentes de software que se ejecutan en máquinas virtuales o contenedores en servidores, que requieren la instalación de una gran cantidad de agentes y controladores que eliminan la memoria y la CPU del dispositivo del procesamiento de aplicaciones y agregan un nuevo nivel de costos de licencia y administración.
La ejecución de servicios de firewall, NAT y segmentación dentro de la estructura de la red aplica estos servicios más cerca de las cargas de trabajo y los flujos de tráfico, evitando al mismo tiempo la ingeniería de tráfico compleja y las cargas de costos y administración de los agentes basados en servidores. Los conmutadores habilitados para DPU permiten una adopción más sencilla de arquitecturas de servicios distribuidos en centros de datos antiguos, modernizando la infraestructura a un costo menor y con menos interrupciones operativas.
3. Acercar Zero Trust a las aplicaciones
Zero Trust permite un control más detallado de las comunicaciones de aplicaciones y servicios que las reglas de puerto/protocolo o ACL típicas, pero requiere visibilidad de todo su tráfico. La mayor parte del tráfico del centro de datos en el desarrollo de aplicaciones moderno basado en hipervisores o microservicios corre de este a oeste y pasa a través de conmutadores ToR. La distribución de servicios de firewall con estado y microsegmentación en ToR DPU aprovecha la visibilidad que los conmutadores ya tienen en estas comunicaciones para aplicar y hacer cumplir reglas precisas en la comunicación de host a host, sin la necesidad de limitar el tráfico hacia los dispositivos de seguridad.
Y como puede inspeccionar cada paquete o flujo que pasa a través de su capa ToR, aumenta drásticamente sus posibilidades de detectar (y detener) el tipo de movimiento lateral que los atacantes utilizan para penetrar en su infraestructura.
4. Combine AIOps de red y seguridad
Los datos son información invaluable que se puede analizar para fines de seguridad, resolución de problemas, monitoreo del rendimiento y otros usos. Una nueva generación de herramientas de análisis utiliza inteligencia artificial y aprendizaje automático para extraer información útil de los datos y proporcionar análisis predictivos para detectar pequeños problemas antes de que se vuelvan grandes.
Hasta ahora, los equipos de operaciones de red han tenido que depender de sondas y grifos para obtener estos datos, lo que requería construir una segunda red para monitorear la primera o limitar la muestra de datos. Los conmutadores basados en DPU de HPE Aruba Networking recopilan y exportan registros de flujo IPFix basados en estándares y amplían la telemetría para incluir syslogs de firewalls con estado que se ejecutan en la DPU. La DPU puede exportar syslogs a herramientas de seguridad de terceros, incluidos sistemas SIEM y XDR, lo que ayuda a reducir los puntos ciegos y permite a los operadores de red responder a los problemas de manera más rápida y efectiva.
5. Incorporar borde, colocación e IaaS
La distribución de servicios directamente en un conmutador basado en DPU extiende las capacidades de red, seguridad y telemetría fuera del centro de datos a ubicaciones externas como instalaciones de colocación, fábricas, sucursales o bordes de la nube pública. HPE Aruba Networking CX 10000 puede simplificar drásticamente una transferencia de IPsec de sitio privado/privado de 400G a Microsoft Azure, AWS o a través de servicios de nube híbrida ubicados localmente y globalmente adyacentes, como HPE GreenLake.
Aprovechar los diseños que combinan colocación e infraestructura como servicio (IaaS) ofrece beneficios adicionales, que incluyen baja latencia, conexiones de alto ancho de banda a los principales proveedores de la nube, velocidad de transacción mejorada y soberanía de datos. Estas soluciones integradas también ayudan a reducir los costos al limitar el CapEx inicial, pagar solo por lo que usa y evitar los cargos de salida de la nube pública.
La próxima generación de arquitectura de servicios distribuidos admite aplicaciones en una variedad de ubicaciones donde es necesario recopilar, procesar, inspeccionar o transmitir datos críticos a la nube pública.
Acelere su centro de datos
Los coches deportivos de alto rendimiento están fuera del alcance de muchos de nosotros. Un centro de datos, construido para ofrecer velocidad con una arquitectura de servicios distribuidos habilitada por los primeros conmutadores habilitados para DPU en la industria, no lo es. Hoy en día es posible transformar su centro de datos para satisfacer las necesidades de carga de trabajo sin necesidad de reconstruirlo desde cero. Una solución de próxima generación extiende Zero Trust a lo más profundo del centro de datos, aprovecha las AIOps de red y seguridad y lleva capacidades críticas de red y seguridad a las ubicaciones perimetrales.
Todo para decir: puede que no consigas ese Ferrari, pero con una arquitectura de servicios distribuidos, puedes tener un centro de datos que funcione como tal.
