圣克拉拉,SDN关注者的集会地。无论是大企业还是小公司都竞相拥抱着SDN,不过这个消息会更有意思——NSA(美国安全局)也承认他们在使用SDN。
作为一家国际知名的御用间谍组织,NSA长期致力于暗中收集别人家多年来的电话记录(也是管的宽),这也是其秘密监视操作的重要组成部分。不过该组织只提及他们使用基于OpenFlow的SDN用于其内部操作,并未透露是否也支持其监控行动。这里难免会产生这样的怀疑——NSA将开放其间谍基础网络。但在内部,NSA和其他大型IT企业面临着同样的问题:用最少的钱和最少的人去以更快的速度做更多的事,当然还有监督。
“当你身在大型组织中,官僚主义氛围是惊人的”NSA的企业连接和专业IT服务技术总监Bryan Larish在本周的ONS峰会上如是说。“实际上这是一个非常庞大的问题。坦率的说 ,技术是比较容易的部分。我们要面对的是如何改变这种所谓的官僚文化,如何凭借我们的力量去影响这个庞大的机器朝着新的方向去发展。”NSA的IT部门在努力克服来自各个方向的压力。不过有一件事情确定的:使用OpenFlow集中管控网络设备。
“作为一个企业来说,能够控制我们的网络是我们所需要的”Larish说。“我们需要做的是预测并且评估我们是否能使我们的网络安全,是否能够支持关键性任务的工作负载。从技术角度来看OpenFlow的集中控制似乎是唯一可行的方法。所以现在我们都是用OpenFlow来实现。”
拦截是简单的。OpenFlow是NSA监视网络以确保能全面了解网络的关键之一,这样的行为可以理解为是为了更好的性能、可预测性和更简单的操作管理。集中化管控能够满足NSA在网络上执行新的需求,否则这是不可能完成的,至少说这是非常困难的,Larish解释道。“流量工程是一种常规的解决方案,但是这里有很多安全方面的困扰,我们认为使用OpenFlow这种方式更有效”
NSA现在正在其校园、分支机构和数据中心部署基于OpenFlow的SDN网络。在校园,OpenFlow的部署属于其网络的一小部分。NSA维护网络资源的数据库,并且通过SDN控制器读取和预先编写流规则到网络设备以进行配置。这将缓解配置改变时的学习和收敛困难,Larish解释道说。
NSA使用的是NTT的RYU控制器。它只用了几千行的Python代码,学习成本低,容易部署和定位问题。我们并不是去发明什么新技术,而是去研究做适当的更改以适应我们的商业和操作需求。不过我们的改变面临着官僚主义的威胁。NSA已经在一年前就准备部署基于OpenFlow的SDN。
“我们期望进一步加大部署范围以获得更多的经验。”Larish说道。“我们花了八个月去订购硬件设备。你有一个完整的组织文化,他们抵触对新事物进行尝试——这或许不那么公平。所以这是和政府进行了一年战斗的胜利果实,是的,部署工作没有问题。”
在数据中心,NSA运行着一些“非常大”的Hadoop数据中心,使用AWS的S3文件存储服务。类似于校园SDN网络,NSA将控制器插入到网络资源数据库中去配置整个网络,保证了部署的可预见性和确定性。这样当有部件收到攻击或损坏时可以很快的分离并且找出原因。NSA也部署了OpenStack的数据中心以满足云端复杂并且动态的需求,促使其能够使用现有的商品完成集成任务。
“在这个属于勇敢者的新世界,我们期望企业在其中扮演什么样的角色呢?”Larish语重心长的说。“我想成为一个购买积木的人然后去拼装自己吗?还是我想买有面向个人的端到端解决方案吗?从我的角度看来,伟大的事情莫过于这种新的商业模式,这是新的开始,给我们机会去探索那些贸易空间,但是在过去我只有一个选择。”
接下来是NSA的WAN和SDN交流,对应的是其他的政府机构。Larish正在评估ONF的用于NSA应用场景的Atrium开源计划。同时他兴奋的说:“这是最好的时代,也是我们的时代,我们的商业机会来了。”尽管社区的开放、分享与NSA的性质不相符,但我们和ONF的确这么做了。
“对于我来说,这是振奋人心的事情”“因为在这么长的时间里我们做的事情往往都不开放,很多人对NSA现在的做法有些不解更多的是紧张。但在这个新的世界,从IT的角度来看,我们没有业务优势,没有竞争优势,我们做的只有和我们的最佳利益合作伙伴做这些事情。”同时令人难以置信的是,NSA在GitHub上竟然有一个名为开放网络运营平台页面供发布SDN代码。“我也是非常震惊,我们竟然获得了批准”Larish面带微笑的说道。这难道是NSA态度改变的信号?
“这真是激动人心的时刻。”larish说。“这真的是在改变一切。我们的领导做出了这样的评论,他们从未见到过这种级别的热情和兴奋在这样的企业里。实际上我们有新的员工进来、新的面孔、新的想法,如果你穿越到两年前的NSA,任何人都会想躲避瘟疫一般去避开IT组织。所以这是一个令人激动的时刻。我认为这在NSA这样的企业里是伟大的。”
SDNLAB语:听完NSA这位技术主管雷布斯式的心灵鸡汤演说后,我内心都有些激动了,作为美国东厂级别的国企都有如此悟性,我们怎么能不努力呢。
外文参考:http://www.networkworld.com/article/2937787/sdn/nsa-uses-openflow-for-tracking-its-network.html
译者:冀烨 未来网络创新研究院