פתרון משנה כללי משחק בעולם ה – Datacenter

עולם ה – DC, עובר במשך השנים האחרונות מהפכה. המעבר לתפיסת פתרונות מבוססי הענן הציבורי, לוקחת את ה – DC המקומי לפתרונות מבוססי ניהול ואוטומציה המאפשרת תפיסת ניהול ובקרה של ענן פרטי, הנראה, מתנהג ומנוהל כמו מה שכולנו התרגלנו ולמדנו להנות מיתרונות הענן הציבורי.

אולם בנוחות הניהול והבקרה, בצריכת המשאבים בצורה גמישה וגראפית מלאה, ובנראות הפרטנית והעמוקה, אין די. כל אלו האחרונים, קיימים בפתרונות רבים, ובמיוחד בפתרון ה – AFC (Aruba Fabric Composer) המממש את תפיסת הענן הפרטי ב – DC בצורה מלאה.

אחד האתגרים הגדולים ביותר בניהול ה – DC המודרני, הוא האפשרות למידור, הפרדה וחלוקת ה – DC, לתת מערכות נפרדות. יכולת ה – Micro/Macro Segmentation מחייבת פתרונות, שעד כה היו מוגבלים מבחינת ביצועים, עלויות, סיבוכיות גבוהה וניהול מסורבל. החל מפתרונות של Fire-Wall (FW) ייעודיים, יקרים מאוד, מוגבלים ברוחבי הפס ובכמות הממשקים הפיזיים בהם הם מסוגלים לטפל. וכלה בפתרונות תוכנה מאולצים (כגון: NSX) הצורכים אחוזים נכבדים (עד כ – 23%!) ממשאבי המחשוב הווירטואלי של הארגון, רק לצרכי Distributed FW, ורכיבי ״תקשורת״ מבוססי תוכנה אחרים. לאחרונה החלו גם נושאים עלויות גבוהות במיוחד (לאחר עדכון שיטת הרישוי של המוצר), ועתיד פיתוח המוצר לוט בערפל. הניהול של מערכות מבוזרות אלו, מקשה על יצירת מדיניות אבטחת מידע ארגונית אחידה, ויצירת שינויים ותוספות, דורשת המון תכנון וגוררת קושי בביצוע והחלת השינויים בפועל.

כיצד 10K משנה את כללי המשחק?

ה – 10K, מבוסס על מתג הכולל 48 מבואות SFP28 1/10/25Gbps ו 6 מבואות Uplink QSFP28 40/100Gbps. הרכיב המבדל את ה – 10K מכל המתגים הדומים לו, נמצא בדמות שני צ׳יפים של חברת AMD-Pensando  המיישמים Layer 4-7 FW בחומרה, והוטמעו בעבודה משותפת וצמודה של שתי החברות אל תוך המוצר. התוצאה: מתג בעל כל היכולות הנדרשות ב DC המודרני (BGP, S&L וכיו״ב) המכיל יכולות של FW מובנה בעל 48+6 מבואות פיזיים, ויכולת הצפנה (IPSec), NAT, DDoS וכמובן FW עד לרוחב פס של 800Gbps, לכל מתג ועם שיהוי (Latency) מינימלי של כ מיקרו-שניה אחת בכל רמת אבטח וכמות חוקים נדרשת! כל זאת, בניהול מרכזי ומלא על ידי מערכת ה – Pensando Policy and Services (PCM) המוכללת בתוכנת הניהול של ה – DC כולו ה – AFC.

תפיסה זו מייתרת לחלוטין שימוש וצורך בפתרונות פשרה כגון פתרונות מבוססי תוכנה, או מוצרי צד שלישי גדולים ויקרים.

תפיסת הפתרון מאפשרת יצירה של מיקרו-סגמנטציה בגרעיניות נמוכה ככל שנדרש מבלי לשלם ברמת הביצועים, במשאבי מחשוב, השיהוי כללי, בעלות מופרזת של רכיבי תוכנה מבוססי רישוי זמני (subscription) ובמחיר בהבדל זניח לעומת מתג מקביל ללא היכולות המדוברות.

מתג ה – 10K, יודע לממש ולהיטמע בכל ארכיטקטורת DC, גם במערכות קיימות ועובדות. ניתן להציב את ה – 10K כ – Bump in the wire, בארכיטקטורה קיימת מכל סוג, כאשר במצב זה נוכל להשתמש ביכולות ה – FW, ליצירת מיקרו-סגמנטציה או מידור חלקים כאלו או אחרים ב – DC, יצירת חוצץ בין משאבי DC למגזר משתמשים או כל חלק אחר ברשת. בתפיסה אחרת הוא יכול לשמש כשכבת Distribution חזקה וייחודית בעזרת יכולות ה – Layer 3,4-7 FW, ביצוע NAT במידת הצורך או הרחבת ה – DC, לאתרים נוספים תוך הצפנת המידע ברוחב פס דמיוני בעזרת IPSec. פתרון ה – IPSec, גמיש ואמין יותר מסוגי הצפנה כגון – MacSec המוגבל. בארכיטקטורה מודרנית יותר יכול ה – 10K לשמש כ – Leaf או Sub-leaf במידה והארכיטקטורה קיימת ועובדת. בכל אחת מהתפיסות לעיל ניתן לנהל את המוצר בצורה מקומית, על ידי מערכת ה – PCM, המוכללת ברכיב ה – AFC.