Virtualisointitekniikoita käytetään nyt lähes joka osassa IT-kenttää. Sovellustasolta virtualisointi on siirtymässä verkkolaitteisiin. Virtualisoinnin myötä tehokkuuden lisääntyy ja kustannukset alenevat.

Kirjoittaja Paul Stevens on Advantechin verkko- ja tietoliikenneryhmän markkinointijohtaja. Hän tuli yrityksen palvelukseen vuonna 2002. Aikaisemmin Paul työskenteli Motorolalla useissa avainasiakas- ja myyntitehtävissä. Hänellä on sähköinsinöörin tutkinto Englannista.

Tällä hetkellä verkkotoimintoja ajetaan erikoistuneella, tarkoitusta varten kehitetyllä raudalla. NFV tai Network Functions Virtualization on hanke, jolla samat toiminnot siirretään virtuaalisiksi ja ajettavaksi standardeilla palvelinalustoilla.

Suoraan kaupan hyllyltä ostettavilla laitteilla (COTS, Commercial-off-the-Shelf) voidaan nyt ajaa useita virtualisoituja verkkolaitteita, mutta salaus- ja pakkausalgoritmien prosessointi vaatii selvästi enemmän suorituskykyä. Kun nämä algoritmit siirretään piirisarjan kiihdytyspiireille, arvokkaita prosessoriytimiä voidaan vapauttaa ja siten lisätä virtuaalikoneen kapasiteettia merkittävästi.

Tässä artikkelissa NFV-tekniikkaa kuvataan yksityiskohtaisemmin ja kuvataan, kuinka asiakaiskohtaisia laitteita suunnittelevat voivat hallitusti siirtyä valmiisiin kaupallisiin alustoihin Intelin QuickAssist-teknologian avulla, jossa suurempiin suorituskykyvaatimuksiin vastataan laitetason kiihdytinpiirien avulla.

Salauksen ja pakkauksen kiihdyttäminen seuraavan sukupolven ATCA-alustoilla

Virtualisointitekniikoita sovelletaan nyt lähes koko IT-sovelluskentässä. Virtualisointi yleistyy, sillä sen avulla voidaan lisätä tehokkuutta ja alentaa kustannuksia.

Kun virtualisoitujen palvelinkeskusten tekniikka tunnetaan nyt hyvin, verkkoyritykset miettivät saman tekniikan soveltamista itse verkkorakenteeseen eli -infrastruktuuriin. Tällä hetkellä verkkotoimintoja ajetaan erikoistuneella, asiaa varten kehitetyllä laitteistolla. NFV eli verkkotoimintojen virtualisointi pyrkii viemään nämä verkkotoiminnot virtuaalisiksi, jolloin niitä voidaan ajaa vakioidulla palvelinalustalla.

Virtualisointi tulee verkkoihin nopeasti. Nyt uusien verkkolaitteiden time-to-market -ajassa puhutaan päivistä ja viikoista, kun aiemmin puhuttiin kuukausista ja vuosista. Vasta vuosi sitten Saksan Darmstadtissa ensimmäisessä SDN & OpenFlow World Congressissa suuret verkko-operaattorit ensimmäisen kerran esittelivät NFV-konseptin teknisessä dokumentissa. Siinä kuvattiin tekniikan hyötyjä, haasteita ja mahdollistajia, ja ennen kaikkea kehotettiin kaikkia ryhtymään toimeen. Vain kolme kuukautta myöhemmin ETSI:ssä muodostettiin uusi teollisuustyöryhmä (Industry Specification Group), jonka tehtäväksi tuli "kehittää vaatimukset ja arkkitehtuuriset määritelmät sekä laitteistolle että ohjelmistoille verkkotoimintojen virtualisoinnin mahdollistamiseksi". Lisäksi työryhmässä työstetään verkkotoimintojen kehityksen suuntaviivoja. ETSI:n NFV-työryhmää oli perustamassa 59 tietoliikenne- ja verkko-operaattoria ja laitetoimittajaa. Kesään 2013 mennessä ryhmän koko oli kasvanut yli kaksinkertaiseksi.

Mistä kaikki kuhina sitten johtuu? Katsotaanpa tarkemmin NFV-tekniikkaa. Mitä se on ja mitä se tarkoittaa?

Hakiessamme NFV:n synnyn syitä voisimme aloittaa vaikkapa Network Appliancesta eli verkkolaitteesta. Nimi lainattiin kotitalouskoneista, joita meillä on ollut vuosikymmeniä. Pesukone tai kuivausrumpu suunniteltiin tekemään yksi tehtävä. Yhden toiminnon sisällä laitteet voivat erota toisistaan, mutta pääasiassa pesukone pesee vaatteet ja kuivausrumpu kuivaa ne. Samoin oli tietokoneiden evoluution ja verkkolaitteiden kanssa. Nettipalvelimista ja sovelluskiihdyttimistä palomuureihin ja datapakettien tarkistamiseen (DPI, Deep Packet Inspection) alustat voivat vaihdella koon mukaan pienistä, toimistoympäristössä käytettävistä suuriin räkkiasennettaviin järjestelmiin runkoverkoissa. Silti ne ovat vain yhden toiminnon laitteita kuten kotitalouskoneemmekin.

Verkkolaittteiden moninaisuuden hallinnasta on tullut iso haaste operaattoreille, koska monet niistä perustuvat asiakaskohtaisiin laitealustoihin. Erilliset laitteet ovat erikokoisia ja kuluttavat eri tavoin tehoa, joten jo tilankäyttö ja energiankulutus aiheuttavat päänsärkyä. Kun tuotesyklit ovat yhä nopeampia - uutta tekniikkaa tuodaan käyttöön lähes joka vuosineljännes - hankinta- ja käyttökustannusten hallinnasta on tullut vaikea jollei peräti mahdoton tehtävä. Uuden verkkopalvelun asentaminen NFV:n avulla vähentää riskiä, että sadat erilaiset laitteet tulevat käyttökelvottomiksi mikäli palvelusta ei tulekaan menestystä.

IT-osastot kohtasivat vastaavia ongelmia. Virtualisoidut laskenta- ja datapalvelinkeskukset ovat jo kauan sitten ottaneet perinteisen IT-infran aseman. Räkkeihin asennettuilla korttipalvelimilla (blade), joita hallitaan hypervisor-ohjelmistoilla ja IT-prosesseja automatisoivilla orkestraattoreilla, voidaan luoda tarpeen ja kysynnän mukaan laajennettavia resurssipooleja. Erilaisia käyttöjärjestelmiä, sovelluspaketteja ja tallennusresursseja voidaan tarjota yksittäisille käyttäjille, ryhmille tai yrityksille samalta palvelimelta ilman, että kukaan käyttäjä tietää mitään toisen olemassaolosta.

Kuva 1. Verkkotoimintoja voidaan ajaa virtuaalikoneissa Intel-arkkitehtuurissa. Salaus- ja pakkaustoimintoja voidaan kiihdyttää Intel QuickAssist -teknologialla, kuten kuvassa käyttäen jopa kolmea Advantechin Fabric Mezzanine -moduulia MIC-5333-mallisella ATCA-korttipalvelimella.

NFV:ssä lähestymistapa ja virtualisoinnin perusta on sama kuin IT-maailmassa: virtuaalinen laitteisto voi "isännöidä" laajaa valikoimaa erilaisia verkkotoimintoja standardilla palvelinalustalla. Hanke pyrkii laaja-alaisuuteen ja sovellettavaksi sekä kiinteissä että mobiiliverkoissa.

Periaatteessa mikä tahansa pakettien prosessointia sisältävä verkkosovellus, oli kyse sitten data- tai kontrollitasosta, voi tulevaisuudessa löytää kotinsa NFV-pohjaisessa arkkitehtuurissa. Turvallisuustoiminnot kuten virusskannerit tai verkkohyökkäysten havaitseminen ja niitä vastaan suojautuminen on ilmeinen NFV-sovellus, samoin MME- (Mobility Management Entity) ja PDN-GM-yksiköt (Packet Data Network Gateway) LTE-tukiasemassa. NFV:llä voidaan toteuttaa myös vanhempia 3G-elementtejä kuten NodeBs-tukiasema tai radioverkko-ohjain (RNC, Radio Network Controller). Kehittäjät ovat onnistuneesti vieneet NFV:lle palomuureja, yhdyskäytäviä, VPN-verkkoja ja verkkoliikenteen tasapainotusta (Network Load Balancing). (Katso kuva 1).

Liikenteen keskittäminen

Standardien laitteiden käyttö verkkosovelluksille ei ole erityisen uusi idea. Erilaisia PC-pohjaisia ratkaisuja esimerkiksi pienen mittakaavan VoIP- tai puhelinkeskussovelluksille on ollut olemassa jo vuosia, vaikka tekniikka ei oikein skaalaudukaan toimistojen ulkopuolelle. Yritys- tai operaattoriverkkojen laitteiden suorituskyky on käytännössä vaatinut asiakaskohtaisia laitesuunnitteluja. Iso osa näistä sunnitteluista edellytti ASIC-ratkaisuja, verkkoprosessoreja tai digitaalisia signaaliprosessoreja. Epäilemättä on olemassa sovelluksia, joissa nämä räätälöidyt ratkaisut vielä tuovat hyötyjä, mutta yleiskäyttöinen prosessori on kehittynyt pitkälle ja voi nyt tuoda tarvittavan suorituskyvyn verkkoliikenteen vakauttamiseen. Esimerkiksi Intelin Xeon-prosessoreiden E5-2600 v2 -perheellä on demonstroitu verkkosuorituskykyä, joka olisi ollut aivan mahdoton ajatus vielä puolitoista vuotta sitten. (Katso kuva 2).

Kuva 2. Intelin 4:1 verkkoliikennestrategia. Sovellukset ja palvelut, järjestelmänohjaus, pakettien käsittely ja signaalinkäsittely yhdessä ja samassa arkkitehtuurissa.

Kuten missä tahansa teknologiahypyssä, oli kyse sitten evoluutiosta tai revoluutiosta eli vallankumouksesta, muutos ei tapahdu yhdessä yössä. NFV:n tapauksessa voidaan pohtia, josko asiakaskohtaisten ASIC- ja FPGA-piirien, tai erikoisprosessorin aika on todella ohi. Kovin pikaisesti ne eivät katoa verkkoalustojen suunnittelijoiden työkalupakista. Tarvitsee vain katsoa uusien verkkosovellusten kehitystä, joka vie kaiken irti saatavan suorituskyvyn verkosta. Parkinsonin laki elää ja voi hyvin.

NFV:stä voi tulla huomispäivän verkkojen perusarkkitehtuuri, sen näyttää aika. Juuri nyt tarvitaan lähestymistapa, joka yhdistää parhaat puolet molemmista maailmoista ja auttaa siirtymään kohti standardipalvelinten käyttöä.

Intelin QuickAssist-teknologia

Kun uusien suunnittelujen ytimessä ovat Intelin prosessorit, suunnittelijat voivat siirtyä hallitusti virtualisointiin Intelin QuickAssist-teknologialla, jossa rautaan on sisäänrakennettu kiihdyttimiä vastaamaan suurempiin suorituskykyvaatimuksiin.

Karkeasti ilmaistuna QuickAssist-teknologia määrittelee joukon ohjelmointirajapintoja (API, Application Programming Interfaces), joiden kautta on johdonmukainen pääsy erilaisiin ohjelmisto- ja laitteistokiihdyttimiin. Verkkoliikennespesifejä rajapintoja sisältyy esimerkiksi salaus- ja datanpakkausprosesseihin. Nämä rajapinnat voivat hyödyntää myös Intel SSE 4.2- ja Intel AES-NI -käskykantalaajennuksia, jotka tulivat tarjolle uusimpien Intel Xeon -prosessorien myötä. Nämä uudet käskyt kiihdyttävät esimerkiksi osoittamista, virusten skannausta, datapakettien suodattamista ja lukuisia muita toimintoja, joiden avulla verkkosovellusten suorituskyky paranee.

QuickAssist-teknologian avainkomponentti on sen perustana oleva ohjelmistoarkkitehtuuri, jossa toteutetaan selvästi määritelty kiihdyttimien abstraktiokerros (AAL, accelerator abstraction layer). AAL:n myötä voidaan joustavasti siirtyä yhdeltä alustalta toiselle niin, että sovellukseen vaikutetaan minimaalisen vähän. Intelin mukaan API-rajapintojen ja AAL-kerroksen avulla rakennetut sovellukset voidaan kääntää alustoilla, jotka eivät tarvitse (tai joilla ei ole) kiihdyttimiä. Tämä takaa, että investointi ohjelmistoihin ei mene hukkaan.

Kaikkien virtuaaliteknologioiden, kuten NFV:n, täytyy jossakin pisteessä kohdata fyysinen maailma ja ne vaativat alustoja, joiden suorituskyky ja toiminnallisuus on riittävä. Avoimiin Intelin suorittimien kaltaisiin standardeihin palvelinprosessoreihin perustuvat alustat tulevat muodostamaan NFV-pohjaisten verkkojen perustan. Näiden alustojen täytyy tukea verkkoon liitettävyyttä ja joustavuutta siten, että ne voidaan konfiguroida erilaisia käyttötapoja varten.

Hyvä esimerkki siitä, miten valikoima laitteistoratkaisuja voi vastata näihin vaatimuksiin, löytyy Advantechin Networks & Communications -ryhmän tuotepaletista. Ryhmä on kehittänyt erikoistuneita ratkaisuja verkkomarkkinoille vuodesta 1999 lähtien ja palvelee nyt monia maailman suurimmista laitevalmitajista laajalla standardien ja kustomotoitujen verkkopalvelimien sovellusalustojen ja täysin integroitujen järjestelmien alueella.

Advantech on premier-tason jäsen Intelin Intelligent Systems Alliancessa ja Intelin Network Builders -ohjelman jäsen. Advantech NCG työskentelee läheisesti Intelin ja muiden Network Builder -kehittäjien kanssa optimoidakseen teknologioitaan. Laitevalmistajat voivat valita alustoista, jotka hyödyntävät sulautettuja suorittimia Intel Atomista Core i7:een ja Xeon-perheeseen. Advantechin alustat perustuvat uusimpiin piiprosesseihin, nopeimpiin ja luotettavimpiin LAN-siruihin sekä erikoistuneisiin laitekiihdyttimiin ja ne on suunniteltu vastaamaan kasvaviin suorituskyvyn ja sovellusvaatimuksiin. Tarve NFV-sovelluksille on erinomainen esimerkki siitä, miten toimiva yhdistelmä Advantech ja Intel on. Intelin piirialustan ympärille Advantech tarjoaa OEM-valmistajille laite- ja järjestelmäalustoja, joiden verkkosuorituskyky yltää 1U-kortin 10 gigabitistä sekunnissa yli teratavun kytkentänopeuteen 14 korttipaikan ATCA-järjestelmässä.

Advantechin ATCA-pohjainen MIC-5333-korttipalvelin perustuu Intelin Xeon-prosessorialustaan. Siinä on kaksi Intelin uusinta Xeon E5-2600 v2 -prosessoria (jotka aiemmin tunnettiin nimellä Ivy Bridge) ja Intel 8955 -tietoliikennepiiri. Lisäpiirisarjoja voidaan järjestelmään liittää PCIe-liitäntäisinä FMM-moduuleina (Fabric Mezzanine Modules) lisäämään suorituskykyä (ks. kuvaa 3).

Kuva 3. MIC-5333-korttipalvelin tukee jopa kolmea FMM-moduulipaikkaa kortille, ja yhtä takamoduulissa. Pitkälle modulaarinen rakenne takaa konfiguroitavuuden. I/O-liitäntöjä ja kiihdytystä voidaan joustavasti yhdistellä kortilta löytyvän 20 prosessorin avulla.

Intelin uusi Xeon E5-2600 v2 -prosessoriperhe tuo käyttöön kaksi lisäydintä samalla tehonkulutuksella kuin aiempi sukupolvi. Samlla uusia piirisarja tuo kaksinkertaisen suorituskyvyn IPSec-, SSL- ja pakkausprosessointiin (verrattuna 8910-piirisarjaan perustuviin korttipalvelimiin).

Uusi Intel QuickAssist -teknologiaa tukeva piirisarja tukee pakkauksen kiihdyttämistä laitetasolle aina 20 gigabittiin asti sekunnissa. Salauksessa suorituskyky yltää aina 40 tuhanteen RSA 2k-bittiseen operaatioon sekunnissa jopa 50 gigabittisekunnin linkissä.

Päivitettyyn korttiin perustuvat alustat sopivat virtualisoituihin ja ei-virtualisoituihin sovelluksiin suuren luokan tietoliikennelaitteissa. Tällaisia sovelluksia ovat WAN-optimointi, pilvipalveluiden tietoturvalliset ydhyskäytävät, yhdistetyt VPN/palomuuri-laitteistot, UTM-yhdyskäytävät (Unified threat Management), reitittimet sekä 3G- ja 4G/LTE-verkkolaitteet.

Lopuksi

NFV:n lupaus perustuu siirtymiseen pois asiakaskohtaisten laitealustojen moninaisuudesta, jota verkkojen rakentaminen tällä hetkellä edellyttää. Tulevaisuuden verkossa päästään lähes identtiseen toiminnallisuuteen, mutta verkko-ohjelmistoa ajetaan standardeilla palvelinalustoilla, joita pilvipalvelinkeskuksista tutut virtualisointiteknologiat jakavat.

Verkkolaitteiden erityistarpeet huomioiden tietyt ominaisuudet voivat vieläkin hyötyä erikoistuneista kiihdytinteknologioista. Kun NFV vie alaa poispäin räätälöidyistä laitteistoista, kiihdytys voidaan toteuttaa uusimilla Intelin prosessoreila QuickAssist-teknologialla. Suorituskykyä voidaan skaalata ylöspäin joukolle palvelimia ja ATCA-järjestelmiä Advantechin kaltaisilta toimittajilta. Niiden avulla verkkolaitteiden valmistajat voivat toimittaa joustavia, luotettavia ja tehokkaita ratkaisuja asiakkailleen.