Network Function Virtualization en Enterprise por Stephen Lynn¿Qué es NFV, sus beneficios, y cómo diseñarlo en organizaciones enterprise?

La mayoría de los clientes empresariales tienen conectividad a la nube para servicios IaaS, SaaS o PaaS. La nube les ofrece muchos beneficios. Es muy común para una empresa adoptar los servicios basados en nube para:

  • Incrementar la agilidad
  • Proveer servicios bajo demanda para servicios de recursos informáticos
  • Reducir CAPEX


Los enterprise architects prefieren tener control de los servicios en su espacio asignado en la infraestructura de la nube. El concepto de Network Function Virtualization (NFV) tiene cabida aca. Los elementos NFV son prevalentes en servicios de nube IaaS. NFV brinda un concepto simple de implementación de servicios de red tales como: routing, balanceadores de carga, servicios de VPN, optimización de WAN, y firewalls en software. Esto es posible debido a la nueva capacidad de aprovisionamiento de memoria y de infraestructura de servidores a los elementos de servicio de red. Los elementos NFV pueden ser automatizados, permitiendo aprovisionamiento más rápido de los servicios. Estos servicios virtuales permiten a una empresa tener esas funciones de red en un centro de datos on-premises, en la nube de un proveedor, o en una sucursal.


Los NFV ofrecen nuevas maneras de diseñar, orquestar y administrar servicios de red. NFV desacopla las funciones de red del hardware subyacente para que estas funciones puedan correr como imágenes de software en hardware básico, así como en hardware personalizado. NFV es un framework que proporciona virtualización de servicios de red tales como routing, balanceo de carga, servicios de firewall, prevención y detección de intrusos, y Network Address Translation en bloques de construcción adaptables. Estos servicios pueden ser encadenados para crear service chains a la medida para diferentes casos de uso.


El concepto de NFV se originó en los proveedores de servicio que buscaban una forma de incrementar la agilidad y flexibilidad de desplegar nuevos servicios de red para soportar demandas en crecimiento de los clientes. NFV es complementario a SDN, y no hay dependencia entre ellos. NFV puede ser implementado usando mecanismos que no sean de SDN, haciendo uso de técnicas comúnmente desplegadas en muchos centros de datos. Sin embargo, combinar SDN con NFV simplifica procedimientos de despliegue, operación y mantenimiento.


Virtualización de sucursales con NFV

El enfoque de NFV para la virtualización de las sucursales abre nuevos caminos para la tecnología al proveer una plataforma para que los clientes puedan desplegar elementos de red virtualizados cuando se requiera. Acoplando esto con orquestación de extremo a extremo fácil de usar y un framework de administración, las empresas pueden reducir costos significativamente y mejorar su retorno de inversión (ROI - por sus siglas en Inglés) al evitar visitas de mantenimiento (envío de técnicos) para habilitar servicios en las sucursales. Estos son los aspectos clave de la virtualización de la sucursales:

  • Programabilidad—Puedes hacer uso de las API abiertas para permitir mejor automatización de servicios de red al mismo tiempo que mejoras la visibilidad.
  • Agilidad—Ganas flexibilidad al despegar servicios rápidamente y de forma oportuna. Puedes mejorar la eficiencia del negocio en capital y operaciones al satisfacer y evolucionar los requerimientos del negocio, incluyendo el crecimiento del tráfico. Diversidad de los tipos de tráfico, rendimiento, confiabilidad y expectativas.
  • Sencillez—Puedes reducir la complejidad de los servicios y respaldar modelos de negocio más ágiles. Ganas la habilidad de administrar todas las sucursales con un único panel centralizado.


La virtualización de las sucursales hace uso de una plataforma especializada para hacerse cargo de los requerimientos de NFV y descargar funciones especiales, tales como encriptación de dato y controladores personalizados, para proveer aumento de rendimiento a diferentes elementos NFV. Veras los terminos NFV y VNF (Virtual Network Functions). Es bueno entender la diferencias entre las dos terminologías. NFV es un paradigma virtual completo, mientras que VNF es un elemento virtual de servicio que es parte del framework NFV. Estos son bloques elementales necesarios para construir la red de la sucursal de la nueva generación:

  • Hardware x86 personalizado para alojar elementos VNF
  • Plataforma de hipervisor optimizada para iniciar elementos VNF
  • Base solida de engine de orquestacion
  • Opciones flexibles para I/O


Consideraciones de diseño para la Virtualización de la sucursal con NFV


Ahora que ya estás familiarizado con el concepto de network function virtualization y sus beneficios, ¿cuáles son algunas de las áreas que debes considerar cuando planees la virtualización de una sucursal con NFV?

Plataforma de alojamiento de Hardware:

La plataforma de alojamiento de hardware puede ser cualquier servidor x86, un servidor blade que corra dentro de tu plataforma de enrutamiento actual, o una plataforma personalizada x86 que provea las opciones para interfaces especializadas para acceso WAN y 4G/LTE. Adicionalmente, el encriptacion de datos de ha vuelto una regla para proveer privacidad de datos y seguridad. Para asegurar alto rendimiento en la capacidad de encriptación de datos, uno podría considerar una plataforma de hardware que incluya un módulo crypto para esta actividad o chipsets CPU que incluyan o posean funciones mejoradas de encriptación, como la librería Advanced Encryption Standard New Instruction (AES-NI) de Intel.

Opción de hardwareProsContras
Servidor x86 generico
  • Bajo costo
  • Facilmente disponibles
  • Puede aprovechar la librería crypto de fabricantes de CPU como Intel AES-NI
  • Ideal para pruebas de concepto
  • Selección más amplia de fabricantes
  • El ciclo de vida de un servidor promedio es de 3-5 anos
  • Requiere un dispositivo externo para conexiones WAN especializadas y/o acceso 4G/LTE
Servidor blade en routers/switches existentes
  • Servidor Blade en routers/switches existentes
  • Integración simple en infraestructura existente
  • Soporta acceso WAN y 4G/TLE integrado
  • Ciclo de vida y soporte más largo para el hardware (7-10 anos promedio)
  • Soporte de módulo crypto incluido
  • Ideal para despliegues brownfield
  • Costo adicional para el servidor blade
  • Selección limitada de fabricantes
Servidor x86 personalizado
  • Servidor x86 personalizador
  • Optimizado para ambiente NFV
  • Puede tener soporte opcional para acceso WAN y 4G/LTE especializado
  • Soporta módulo crypto opcional
  • Ideal para despliegues greenfield
  • Ciclo de vida y soporte más largo para el hardware
  • CAPEX inicial mas alto
  • Selección limitada de fabricantes

 

Plataforma de hipervisor para los elementos VNF

Un hipervisor es similar a un sistema operativo en algunos aspectos y diferente en otros. Un hipervisor es un software que proporciona servicios de sistemas operativos a las máquinas virtuales que corren en el mismo. Hay dos tipos de hipervisores: El tipo 1 que corre sobre la arquitectura bare-metal x86, como un sistema operativo lo hace, pero también permite a otros sistemas operativos correr sobre la misma. El hipervisor tipo 2 corre en un sistema operativo como un ambiente alojado. Los hipervisores tipo 1 tienen acceso directo al hardware, por lo tanto, proporcionan mejor rendimiento que los hipervisores tipo 2 que corren en un sistema operativo. Los tipos comunes de hipervisores en el mercado de hoy son:

  • VMWare ESXi
  • KVM
  • Microsoft Hyper-V
  • Xen


Para alojar satisfactoriamente NFVs y satisfacer los requerimientos de rendimiento y latencia de los NFV alojados, hay consideraciones que debes tener en cuenta para la selección de un hipervisor..

  • Variación en latencia del data plane para los VNFs
  • Alto rendimiento I/O para todos los tamaños de paquete
  • Variaciones en la sincronización y exactitud del control plane para VNF de tiempo real
  • Comunicación inter-VM


Con ese fin, Single Root I/O Virtualization (SR-IOV) es un medio para minimizar la latencia para las máquinas virtuales que son sensibles a la misma o requieren más recursos de CPU. Para hacer uso de SR-IOV, el hardware (dispositivos PCIe), la plataforma de hipervisor, y el VNF deben soportar esa capacidad.


Adicionalmente, Data Plane Development Kit (DPDK) es un grupo de librerías y controladores que son usados para mejorar el rendimiento del procesamiento de paquetes al mismo tiempo que optimizan el uso de ciclos de CPU para las VNF con uso intensivo de red. DPFK incrementa el rendimiento I/O de red de los VNFs que lo soportan.


Opciones de HipervisorTipo de HipervisorOpen SourceSoporte SR-IOVSoporte DPDK Capacidad de Paravirtualización
ESXiTipo 1NoSi,ESXi 5.1 o posteriorSi,ESXi 5.5 o posteriorSi
KVMTipo 1SiSiSiSi
Hyper-VTipo 1NoSi,Windows Server 2012 o posteriorNoSi
XenTipo 1SiSiSiSi

 

Conclusión

NFV habilita servicios bajo demanda y orquestación centralizada para la integración de nuevos servicios a los ya existentes - en esencia, creando un cadena de servicios. Por ejemplo, un cliente que desea la funcionalidad de firewall puede usar un portal para seleccionar entre una lista de VNFs (ASAv, vWAAS, etc.), los cuales serán desplegados de manera dinámica en la plataforma. Las empresas ganan la habilidad de escoger lo “mejor del mercado” en VNFs para implementar un servicio particular. Por medio del uso de NFV, puedes crear e iniciar VNFs para un servicio particular. Al usar NFV puedes desplegar dispositivos virtuales que se redimensionan para nuevos requerimientos. Por ejemplo, el router de la sucursal tiene un security gateway (firewall y sourcefire) que proporciona funcionalidades tales como servicios de firewall, Advanced Malware Protection (AMP), Application Visibility and Control (AVC), y filtrado de URLs. En lugar de usar la funcionalidad del firewall en el router, tienes la opción de usar un elemento NFV que proporciona funcionalidades adicionales de seguridad.


Sobre el autor


pic Stephen Lynn.png pic Stephen Lynn book.jpgStephen Lynn es CCDE #20130056 y triple CCIE #5507 (Routing and Switching/WAN/Security). El es un arquitecto y trabaja para Cisco con clientes del gobierno federal. El se especializa en diseño enterprise de larga escala para campus LAN, WAN y centros de datos. La mayoría del contenido está cubierto en más detalle en el libro de Cisco Press que el publicó recientemente: Virtual Routing with Cisco Cloud Services Router (CSR 1000V).




Traductor voluntario del blog en Español: David Peñaloza

Versión original en Inglés: Network Function Virtualization in Enterprise by Stephen Lynn


A continuación, algunas maneras adicionales para integrarnos y mantener la conversación:

Enlaces relacionados (Inglés): Virtual Routing with Cisco Cloud Services Router (CSR 1000V)