Сети, основной задачей которых считалась передача сообщений, благодаря современному оборудованию приобретают сегодня возможность самостоятельно решать задачи, раньше выполнявшиеся программным обеспечением. Такие сети можно назвать ориентированными на приложения и рассматривать в качестве ядра ИТ-инфраструктуры.

Традиционно вычислительные сети рассматривались в качестве транспортной среды, с помощью которой компьютеры объединялись в локальные или глобальные структуры. Первоначально с помощью сетей к мэйнфреймам подключались простые терминалы, затем было реализовано межмашинное взаимодействие и обмен информацией. Для этих целей фирмы-разработчики применяли собственные протоколы (например, VTAM). Затем к концу 1960 годов были созданы сети с коммутацией пакетов, однако с развитием Internet стало очевидным, что с помощью сетей можно не только обмениваться данными, но и пользоваться услугами посредством самых разнообразных устройств, от персональных компьютеров до игровых консолей и смартфонов. Параллельно изменился и взгляд на сами сети, которые рассматриваются в качестве платформы существования и взаимодействия приложений, способной управлять обеспечивающими ИТ-процессами.

Сетевое оборудование может быть запрограммировано на самостоятельный анализ содержания передаваемых сообщений и, в зависимости от результата, пересылать его тому или иному адресату. Это обстоятельство привлекло внимание не только разработчиков сетевых устройств и программного обеспечения, но и архитекторов корпоративных систем. Казалось бы, что может быть общего между технологиями IP-сетей и взаимодействием программ, логика которого определяется спецификой бизнес-процессов, программно-аппаратных платформ и форматами данных? Однако, если удается управлять трафиком с помощью аппаратных маршрутизаторов, то можно попытаться применить схожий механизм не только к IP-адресам, но и к «телу» сообщения, данным, с которыми работают приложения. Специалисты Cisco предположили, что архитектурные подходы и методы сервисной архитектуры, описывающей взаимодействие сервисов как программных компонентов, можно распространить и на сетевой уровень технологической инфраструктуры. В результате была сформулирована концепция сетевой архитектуры, ориентированной на сервисы (Service-Oriented Network Architecture, SONA). Наряду с концептуальной проработкой подхода, позволявшего приложениям пользоваться ресурсами сети как сервисами, осуществляется разработка стандартизованных механизмов, поддерживающих собственно передачу сообщений (анализ содержания, криптозащита, балансировка нагрузок, маршрутизация и т.п.) и ориентированных на приложения средств «интеллектуализации» сетевой инфраструктуры (Application Oriented Networking, AON).

Сетевая сервисная архитектура

Архитектура SONA охватывает всю совокупность сервисов, предоставляемых сетью: сервисы, которыми пользуются приложения, сервисы, необходимые для коммуникаций и взаимодействия людей и информационных систем, и сервисы, поддерживающие сетевую инфраструктуру. Компоненты каждого уровня SOAN выполняют определенные логические функции, при этом архитектура является модульной и открытой — компании могут детализировать эти функции в соответствии с собственными нуждами (рис. 1). Благодаря тесной интеграции уровней упрощается организация взаимодействия между приложениями и сетевыми сервисами и одновременно создаются предпосылки для увеличения производительности и расширения функциональных возможностей и сети в целом.

Уровень приложений

Приложения включают в себя функциональные компоненты корпоративных систем типа ERP, CRM и бизнес-анализа, программные средства поддержки бизнес-функций и сотрудничества между отделами, партнерами, клиентами и поставщиками, например программы и инструменты, применяемые на рабочих местах, средства передачи сообщений и конференц-связи. Приложения должны обеспечивать безопасность, быть надежными, гибкими и обладать достаточной производительностью. Кроме того, они должны опираться на такие технологии, которые обеспечивают возможность предоставлять точную информацию при условии выполнения нормативных требований и бизнес-правил. Здесь Cisco предлагает такие решения, как распределенные процессоры приложений — Cisco Wide Area Application Engine (WAE), сетевые модули для файловых сервисов — Cisco Wide-Area File Services (WAFS) и ряд других, для которых SONA обеспечивает базу развертывания.

Уровень сетевой инфраструктуры

Сетевая инфраструктура обеспечивает транспорт сервисов, приложений и данных между устройствами (серверами, клиентскими машинами и устройствами хранения данных и сетевым оборудованием), расположенными в различных логических узлах сети и подсетях (технопарки, муниципальные и глобальные сети, региональные и корпоративные центры обработки данных, а также домашние сети у сотрудников, выполняющих свои обязанности вне офиса). Для каждой из таких конфигураций сети имеются развернутые и интегрированные архитектурные схемы, обеспечивающие не только стыковку с сетями старшего и подчиненного уровня на уровне сервисов, но и высокую производительность, средства виртуализации и масштабирования, а также развитые средства управления на основе интеллектуальных коммутаторов и маршрутизаторов.

Уровень сервисов взаимодействия

Сервисы взаимодействия обеспечивают и оптимизируют электронное взаимодействие и коммуникации между приложениями и предназначенными для них сетевыми сервисами. Они опираются на интеллектуальные возможности сети: встроенные в сетевые устройства механизмы обеспечения безопасности, управления идентификацией и управления качеством. Интегрированные, стандартизованные и виртуализированные сервисы многократного применения (например, обеспечения безопасности и голосовых коммуникаций) по сравнению с сервисами автономных сетевых устройств обладают более высокими характеристиками масштабирования, интероперабельности и производительности.

Безопасность обеспечивается на уровне приложения и на сетевом уровне (уровень защищенных гнезд на основе протокола безопасных соединений SSL, управление доступом к сети, списки управления доступом, сегментация). Неизменность передаваемых по сети данных поддерживают средства непрерывной защиты данных, противодействия вторжениям и мониторинг http-трафика. Для повышения надежности применяется дублирование данных, ведение удаленных резервных копий, борьба с червями, управление качеством предоставляемых услуг и распределенная система контроля отказов в обслуживании (DDoS). Гибкость гарантируют мультипротокольные сервисы маршрутизации, преобразования сообщения, мобильные и конвергентные сервисы. Ускорение обработки сетевых операций обеспечивают вычислительные сервисы, например удаленного прямого доступа к памяти (remote direct memory access, RDMA), виртуализация ввода/вывода, кэширование контента и балансировки нагрузки на серверы. Для контроля соответствия нормативным требованиям применяются сервисы фиксации и регистрации событий, адаптивного управления, файловых сервисов глобальных сетей (Wide Area File Services, WAFS) и сквозная опора на систему правил. По направленности действия сервисы взаимодействия предназначены для поддержки приложений и инфраструктурных компонентов.

Инфраструктурные сервисы дают возможность приложениям взаимодействовать с инфраструктурой и пользоваться ее ресурсами, а также поддерживают базисные функции, управления сетевым оборудованием и программным обеспечением. Для создания безопасной сетевой среды коллективной работы пользователей наиболее важны функции управления идентичностью объектов, мобильного доступа, хранения данных, собственно вычислительная обработка, обеспечение безопасности, обеспечение коллективной работы и голосовых коммуникаций.

Подвижность структур бизнеса и изменчивость моделей деятельности требуют, чтобы ИТ-инфраструктура была эластичной, а для этого нужно, чтобы сервисы, которые предоставляются для доступа к соответствующим ресурсам (процессоры и серверы, оперативная и внешняя память), и сами эти ресурсы были виртуализированы и потреблялись через сеть по требованию из общего управляемого пула.

Функциональные механизмы, которые расширяют базисные транспортные возможности сети (сетевая защита, балансировка нагрузок и т.п.), как правило, встроены в распределенные по сети устройства и приложения. Например, защиту сетей обеспечивают не только сетевые экраны по периметру: соответствующие средства присутствуют и в компьютерах, и в маршрутизаторах PC, и в другом оборудовании. Точно так же, при определении идентичности субъектов сетевого взаимодействия и контроле содержания передаваемых сообщений не только сотрудничают компоненты многих устройств, но и могут применяться интеллектуальные и аналитические средства, базирующиеся на единой системе правил.

Сервисы для приложений обслуживают обработку данных, вычисления и решение интеллектуальных и аналитических задач и дают возможность приложениям осуществлять электронное взаимодействие в условиях сети. Эти сервисы обеспечивают не только безопасность и целостность данных при обмене сообщениями, но и (косвенным образом) интеграцию и интероперабельность приложений, поэтому они опираются на программное обеспечение промежуточного слоя и интеллектуальные возможности сетей, ориентированных на обслуживание приложений (application-oriented network, AON). Для повышения производительности и обеспечения гибкости здесь также широко применяются сервисы виртуализации, упрощающие развертывание и предоставление ресурсов, а также адаптивные средства контроля за всеми элементами инфраструктуры.

Архитектура SONA не только выделяет в сетевой инфраструктуре «интеллектуальные» слои и компоненты, но и обозначает функциональное назначение и интерфейсы доступных в сети сервисов, представляющих основные ИТ-ресурсы (данные, приложения, вычислительное и сетевое оборудование и т.п.), которыми оперируют бизнес-процессы и реализующие их приложения.

Предлагая рассматривать сеть в качестве системообразующего ядра технологической платформы, авторы SONA намерены решить «вечную» проблему управления разрозненными ИТ-ресурсами: его объектом должны стать не сами серверы, внешняя память и информационные системы, а в широком смысле качество (своевременность, безопасность, производительность и стоимость) услуг, которые может предложить платформа в целом. В определенной мере этот подход находится в русле общей тенденции к консолидации и виртуализации центров обработки данных, предоставляющих потребителям утилитарные ИТ-сервисы для решения целевых задач. Это, как предполагается, дает шанс избавиться от избыточной функциональности и несовместимости частных платформ, гармонизировать технологическую инфраструктуру, ее сервисы и способы их потребления.

Архитектурные амбиции Cisco очевидны, однако возникает вопрос: насколько универсален «сетецентрический» подход? Ведь далеко не все виды межпрограммного взаимодействия эффективно реализуются на уровне сетевого обмена сообщениями и Web-сервисов. Мир информационных систем держится не только на системах управления взаимоотношениями с клиентами и ресурсами предприятий — имеются еще системы управления объектами и технологическими процессами, автоматизированное проектирование и научные вычисления. Ответ на этот вопрос может прояснить реакция других разработчиков технологических и программных решений — IBM, HP, EMC, Microsoft, CA, Symantec и др., а также результаты реализации решений на платформе SONA.

Анатомия интеллектуальных сетей

До недавних пор разработчики сетевого оборудования концентрировались в основном на задачах организации передачи пакетов, балансировки нагрузок на общий пул сетевых ресурсов и кэшировании сообщений, однако сейчас ряд компаний предложили специализированные программно-аппаратные решения — интеллектуальные сетевые устройства-приставки (appliances), которые сами обрабатывают сообщения непосредственно в процессе их передачи по сети.

Интеллектуальные сетевые устройства

Интеллектуальные устройства первого типа осуществляют преобразование XML-сообщений по спецификациям, задаваемым XSLT и XPATH. Устройство можно сконфигурировать таким образом, чтобы из принятого по протоколу SOAP сообщения «на лету» извлекался текст в формате XML, подвергался необходимым преобразованиям и отправлялся адресату, т. е. оно может выполнять функции активного маршрутизатора, управляемого содержанием. Выбор адресата может определяться информационным содержанием сообщения (например, размером запрашиваемого кредита в банковской системе). Кроме того, к такому устройству можно обратиться как к аппаратному ускорителю XSLT-преобразований непосредственно из приложений. Такие технологии используются в решениях компаний DataPower (приобретена IBM) и Sarvega (дочерняя компания Intel). Например, в XML-устройствах DataPower применяются специализированные интегральные схемы, ускоряющие обработку XML, и сегодня решения WebSphere DataPower SOA являются неотъемлемым компонентом целостного подхода IBM к построению сервисных платформ.

Вторая группа включает в себя устройства, которые обеспечивают решение некоторых задач интеграции, аналогичных реализуемым адаптерами приложений на программном уровне, они берут на себя функции брокера сообщений, выполняя преобразование, компоновку и маршрутизацию сообщений. Правила преобразований задаются либо в графической форме при помощи соответствующего интерфейса, либо в виде исходных спецификаций, например на BPEL4WS. Такие устройства производят, в частности, компании Infotone и Cast Iron Systems. Приставка начального уровня Cast Iron iA3000 позволяет «соединять» различные прикладные системы и выполняет необходимые преобразования.

Сеть, понимающая приложения

Оттолкнувшись от идеи XML-приставки, разработчики Cisco выдвинули концепцию сети, ориентированной на приложения. Такая сеть может взаимодействовать с приложениями и, оперируя сообщениями как данными, имеющими структуру и интерпретируемые значения, может оптимизировать и работу приложений, и обработку сообщений. При этом никаких изменений в логику и исходный код программ вносить не потребуется.

Разработку основных решений для развертывания гибких, адаптивных и интегрированных сетей предусматривается завершить к 2008 году. На первом этапе была решена задача интеграции сетевых транспортных возможностей для видео, голосовых сообщений и данных, на втором была обеспечена виртуализация сетевых сервисов, взаимодействующих со средой хранения данных, серверным системным программным обеспечением и средствами информационной безопасности. Теперь компания Cisco приступила к реализации третьего этапа — созданию сервисных информационных сетей, в которых транспортная функция является обеспечивающей, а главной будет поддержка взаимодействия между приложениями, благодаря чему сеть и приложения смогут функционировать как единое целое. Предпосылки для этого имеются: активные сетевые устройства, миллионы которых действуют в Сети, являются, по сути, специализированными компьютерами с полноценными процессорами, встроенными операционными системами. Например, сетевое оборудование может самостоятельно проверять потоки передаваемых сообщений и отсеивать вредоносный код.

Что же следовало предпринять, чтобы перенести реализацию интеллектуального маршрутизатора сообщений на сетевой уровень инфраструктуры? Речь шла о выходе за рамки технологии обработки пакетов — AON должна была «научиться» работать с содержанием сообщений, которыми обмениваются приложения.

Прежде всего специалисты Cisco, разработали архитектурный подход к интеграции функциональности адаптивных систем, механизмов обеспечения безопасности, средств управления и сетевых сервисов — SONA. Сквозную производительность решений должны обеспечивать распределенная архитектура обработки и соответствующим образом спроектированная аппаратура на базе современных микропроцессоров и специализированных интегральных микросхем (Application-Specific Integrated Circuit, ASIC). Предстояло создать такие устройства, опираясь на сетевые сервисы (обеспечения безопасности, надежности и управления) которых, приложения могли бы эффективно взаимодействовать. Первыми такими устройствами стали лезвие Catalyst 6500 и модули Cisco 2600, 2800, 3700 и 3800 для коммутаторов и маршрутизаторов. В сети они выполняют функции маршрутизации, контроля и преобразования сообщений. Располагая подобными устройствами, интеллектуальная сеть может выступать в роли брокера сервисов и интеграции и предоставлять всем заинтересованным приложениям унифицированные сервисы гарантированной доставки сообщений и обеспечения безопасности. Кроме аппаратной части в решение входит инструментарий разработчика AON design studio и административная консоль.

Средства интеллектуальной сети применяются для внутренних нужд компании Cisco в качестве брокера и шлюза сообщений и виртуального шлюза для Web-сервисов и электронной коммерции. С помощью этих средств поддерживаются самые разнообразные функции: идентификация, контроль, поддержка версий сервисов, шифрование ЭЦП, балансировка и распределение нагрузок на уровне сообщений, ведение журналов, маршрутизация сообщений на основе информационного содержания, преобразование протоколов, безопасное туннелирование, биллинг и др.

AON и SOA

В предлагаемой Cisco архитектуре интеллектуальной сети демилитаризованная зона и серверы приложений разделены сетевым экраном (рис. 2). Считается целесообразным размещать оборудование AON в кластерах серверов, которые группируются по функциональным областям (например, обеспечение безопасности), подразделениям или областям деятельности компании (продажи, маркетинг, управление производством) или по признаку высокой ресурсоемкости инфраструктурных задач (кодирование и расшифровка XML для больших документов, проверка ЭЦП и т.п.). По соображениям безопасности оборудование, отвечающее, например, за идентификацию и удостоверение подлинности ЭЦП или криптозащиту, может размещаться в демилитаризованной зоне. Таким образом, кластеризация обеспечивает безопасность, управляемость, а также хорошую масштабируемость решения. В свою очередь кластеры AON, размещаемые на уровне серверов приложений, соединяются с бизнес-сервисами и приложениями. Изменение существующих приложений не требуется, и кроме этого, упрощается их интеграция.

В рамках сервисной архитектуры AON выполняет несколько ролей: маршрутизатора сообщений, средства параметрически настраиваемого мониторинга безопасности приложений и сервисов. Интеллектуальная сеть может автоматически управлять версиями сервиса и передавать приложению его абстрактное представление, полностью маскируя реально выполняемые компоненты. AON берет на себя преобразование протоколов HTTP или HTTPS например, в JMS или нестандартные протоколыконкретных приложений и программных сред. Обеспечивается также преобразование и отображение сообщения или его части при передаче от источника адресату. Например, входящие XML-сообщения переводятся в промежуточный формат документов idoc для системы SAP, а попутно может контролироваться корректность XML-схем. Таким образом, обеспечивается практически исчерпывающий набор функциональных возможностей для управления сообщениями: от идентификации и установления полномочий субъектов взаимодействия до маршрутизации сообщений в зависимости от их содержания. Ряд этих возможностей может применяться при интеграции корпоративных приложений.

Рис. 3. Интеллектуальная сеть опирается на эталонную модель взаимодействия и стандартные протоколы: а) AON и модель взаимодействия открытых систем ISO/OSI; б) AON и стек стандартов Web-сервисов
В рамках семиуровневой модели взаимодействия открытых систем (ISO Open System Interconnection, OSI) взаимодействие с интеллектуальной сетью происходит на транспортном и сетевом уровне, но затрагивает и прикладной уровень (рис. 3, а), а обработка сообщений выполняется на уровне протокола SOAP — выше стека OSI.

Сегодня действует около 50 стандартов и протоколов обработки Web-сервисов (WS*), и AON поддерживает большинство из них. Естественно, протокол SOAP реализован поверх http, а еще выше располагается собственный (реализованный аппаратно) механизм обработки XML (рис. 3, б), что обеспечивает преемственность решений AON с существующими сетевыми технологиями. Смещая акцент на реализацию функций анализа и обработки, Cisco явно намерена предложить решения в области семантического Web, что, по-видимому, внесет какие-то уточнения для самых верхних уровней архитектуры OSI.

Но насколько жизнеспособной окажется идея сети, умеющей «общаться» с приложениями? Недавно Cisco приобрела компанию Reactivity, располагающую технологиями и решениями обработки XML-документов на аппаратном уровне для систем, базирующихся на сервисной архитектуре. В то же время Билл Киш, технический директор компании Coyote Point Systems, производящей контроллеры для доставки приложений (application delivery controller), считает, что решения Cisco и Reactivity будут явно конкурировать, и это признак того, что концепция и архитектура AON еще далеки от зрелости. По мнению Марка Фабби, вице-президента Gartner, платформа AON нуждается в дальнейшем развитии, и недавнее пополнение технологического портфеля Cisco свидетельствует о движении в этом направлении. Определенную проблему может составить недостаточный опыт Cisco в области корпоративных приложений, поэтому аналитики Gartner рекомендуют подождать, пока не станет ясно, как решения Reactivity будут интегрированы в платформу AON.

***

Архитектура AON представляется конструктивной и достаточно универсальной — она не ограничивается поддержкой только XML-данных и ориентирована прежде всего на крупные компании и предприятия, имеющие множество разрозненных источников данных и информационных систем, между которыми нужно поддерживать взаимодействие как внутри организации, так и во внешнем мире. Для средних и малых предприятий более предпочтительными могут оказаться менее сложные решения ускорения работы приложений в условиях сети. Например, для оптимизации информационного обмена головных офисов с филиалами весьма эффективно применение специализированных контроллеров оптимизации глобальных сетей, и в этом сегменте рынка компания Cisco достаточно заметна.