Paul Congdon, HP Procurve : « l'avenir est aux administrateurs pluridisciplines »

ENTRETIEN AVEC ...

Paul Congdon, directeur technique de HP Procurve

Paul Congdon est directeur technique (CTO, Chief Technical Officer) de la division réseau de HP, Procurve. Il a notamment en charge la définition des architecture des produits réseaux et des outils d'administration de la division. Congdon a rejoint HP en 1985 en tant que développeur pour travailler sur la couche réseau d'HP-UX. depuis il a travaillé sur la conception et la standardisation de multiples technologies et équipements réseau. Congdon est par ailleurs vice-président du comité 802.1 de l'IEEE (Institute of Electrical and Electronics Engineers).

Cliquez pour dérouler

La convergence au sein des datacenters, la montée en puissance des équipements réseaux Ethernet convergés, la virtualisation de postes de travail bureau et d'autres technologies émergentes devraient contraindre les administrateurs réseau à travailler plus étroitement avec les autres acteurs de l’IT selon Paul Congdon, le directeur technique de HP Procurve. SearchNetworking a discuté avec Congdon pour connaitre sa vision - et celle de HP - sur la manière dont ces tendances vont transformer le monde des réseaux d’entreprises.

Vous avez commencé à mettre en avant la nécessité pour les administrateurs de réseaux d'entreprise de collaborer davantage avec les consommateurs de services de réseau. Que voulez-vous dire par là ?

Paul Congdon : je crois qu'une nouvelle relation entre les utilisateurs du réseau et le réseau [lui-même] va être nécessaire dans l'avenir. C'est vraiment le résultat de la convergence. Nous avons tous entendu le terme convergence, mais quel sera l'impact réel de la convergence alors que l’adoption de ces nouvelles technologies s’accélère ? L'impact réel devrait être la nécessité d'une collaboration entre les utilisateurs du réseau et le réseau lui-même. Typiquement, le modèle en place aujourd’hui au sein des entreprises est une relation de type client/founisseur. Mais ce qui doit se mettre en place, alors que nous ajoutons de la capacité dans le réseau et que nous faisons converger les technologies, est une relation empreinte de plus de collaboration plutôt qu’une relation limité à un rapport client/fournisseur.

L'un des axes essentiels de cette évolution réside dans la sécurité. Pour moi, la prochaine grande évolution dans le domaine se penchera sur la vulnérabilité du système de contrôle et tentera de mettre en place la sécurisation de l'infrastructure et des communications de bout en bout. Cela fait peser un défi sur le réseau qui doit "rétro-ingénierer" tout ce qui passe en son sein afin d’appliquer des fonctionnalités avancées. Si vous vous intéressez au principe de fonctionnement d’un IDS (détection d’intrusion), d’un IPS (prévention d’intrusion) ou d’un pare-feu, vous vous apercevez qu'ils passent leur temps pour chaque paquet reçu à faire de l'ingénierie inverse, pour déterminer d’où il vient et où il va, pour tenter de lui appliquer une forme de politique de traitement. Comme les débits s’accroissent et que le chiffrage est de plus en plus utilisé, ce modèle n’est tout simplement pas pérenne. Donc, l'une des points clés à mettre en oeuvre est un niveau de collaboration bien plus élevé entre le fournisseur du réseau et les services qui consomment le réseau

Quelle forme devrait prendre cette collaboration ?

P.C. : Il vous faut regarder les différents services que le réseau délivre et étudier comment vous pouvez assurer la fourniture de ces services, afin de vous faire une idée de ce à quoi la collaboration doit ressembler. Comme nous nous dirigeons vers un environnement de communication bien plus riche, il y a évidemment un besoin de contrôler bien plus finement les paramètres de qualité de service (QoS). Si vous voulez diffuser des vidéos ou faire de la visioconférence ou de la ToIP, vous avez besoin de mettre en place ces mécanismes de différenciation de votre trafic. D'une certaine manière, nous devons d'abord établir la confiance entre les acteurs du réseau et les consommateurs du réseau afin qu'ils puissent commencer cette expérience de collaboration.

Peut-être verrons nous le retour de mécanismes de type RSVP [Resource Reservation Protocol], mais évidemment sans les problèmes de montée en charge posés par ce protocole. Les applications pourront communiquer leurs besoins et le réseau s’adapter à leurs besoins. Si nous parvenons à cela de manière sécurisée et si nous pouvons établir la confiance entre les deux, nous pourrons commencer à mettre en place de façon fiable les contrôles nécessaires sans que les équipements réseaux n’aient à « rétro-ingénierer » tout le trafic.

Vous pouvez observer une évolution de ce type dans les datacenters, où nous sommes aussi en train de faire converger l’infrastructure. Nous tentons de faire converger sur Ethernet les trafics réseau et stockage et nous embarquons des fonctions réseaux dans les serveurs grâce à la virtualisation. Nous avons besoin de plus de collaboration [entre acteurs du datacenter, NDLR] sur les outils d’administration et sur la façon dont on provisionne des ressources, afin d’adapter le service rendu aux besoins des applications.

Cela nous mène à la notion de convergence des centres de données et d’Ethernet convergé, qui est un sujet chaud en ce moment. Quelle est l'approche de HP ProCurve en matière de convergence des datacenters ?

P.C. : Nous croyons en un modèle d’informatique et de commutation distribuées et non pas en un système centralisé de commandement et de contrôle. Je pense que le modèle UCS de Cisco est vraiment de faire du réseau le point de contrôle pour tout le centre de données. Le trafic est organisé selon le même modèle. Vous expédiez l’ensemble de votre trafic au cœur du réseau afin de lui appliquer des politiques avancées.

Nous croyons en un environnement bien plus distribué où un certain nombre de fonctions sont déplacées et exécutées par des équipements en bordure du réseau. Nous mettons aussi en place une relation de collaboration entre les hyperviseurs et la couche réseau. Nous militons ainsi en faveur du standard VEPA (Virtual Ethernet Port Aggregator) et nous poussons notre technologie Flex-10 (sur serveurs Proliant, NDLR) afin de multiplexer le trafic provenant de multiples serveurs sur un brin Gigabit unique. Nous donnons aux administrateurs le choix de l'endroit où ils veulent que leur trafic transite et ce choix n’est pas dicté par un système propriétaire.

Comment le besoin de « collaboration » va-t-il se manifester dans les datacenters avec la convergence sur Ethernet ?

P.C. : Aujourd'hui, les administrateurs réseau gèrent les réseaux et les administrateurs systèmes gèrent les serveurs, tandis que administrateurs de stockage en font autant pour le stockage de données. Tous ces responsables doivent travailler ensemble pour faire fonctionner le centre de données correctement. Nous tenons compte du fait que les datacenters ont des processus en place qui s’appuient sur cette organisation par rôles et nous ne voulons pas éliminer ces rôles. Ce que nous essayons de faire est d'optimiser la relations entre ces rôles. Chez HP, avec notre vision FlexFabric, notre objectif est de créer un outil d’administration permettant d’avoir une vision commune, et nous tentons d’abstraire de nombreuses fonctions au sein du centre de données afin que les différentes disciplines puissent gérer et configurer ces abstractions à partir d'une base de données commune.

Par exemple, avec le logiciel Data Connection Manager de ProCurve, un administrateur réseau peut définir les besoins d'une connexion réseau - quel VLAN elle utilise, quels ACLs (listes de contrôle d'accès) lui sont associées, et quelles sont les routes et paramètres de qualité de service associés à une connexion. Nous définissons tous les paramètres réseau nécessaires pour assurer une expérience conforme aux attentes et attachons à chacun une « étiquette » : ce type de connexion pour les serveurs Web ou ce type de connexion pour l'application SQL Server... et nous versons le tout dans une base de données. Quand l’administrateur système provisionne un serveur, tout ce qu’il a à faire est de choisir une connexion de type serveur web ou serveur SQL  et de retenir la connexion adéquate dans la base de données. Il n'a pas à entrer dans les ACL ou les VLAN et à fixer la qualité des paramètres de service. Ceux-ci ont été définis, selon ses besoins, par les administrateurs réseau.

Notre outil d’administration permet ainsi à ces populations diverses de collaborer et de simplifier le provisionning de ressources. A l’avenir, au fur et à mesure de l’amélioration de l’outil, elles pourront l’intégrer dans un processus métier et il sera possible d’imaginer un administrateur avec un rôle plus large dont le rôle ne soit plus compartimenté à une seule discipline. Il y aura toujours besoin de spécialistes réseau [pour les questions d'architecture ou de bas niveau, NDLR], mais nous pouvons sans doute optimiser un assez grand nombre de processus de plus haut niveau.

Comment vont évoluer les produits ProCurve pour s'adapter à la vision de HP en matière de convergence au sein des centres de données ?

P.C. : Ce que nous avons aujourd'hui, ce sont des commutateurs traditionnels à l'intérieur d'un châssis de serveurs en lames. Ensuite, nous ajoutons Virtual Connect, qui permet un niveau d'abstraction, par exemple très utile pour les responsables sécurité.

Ensuite, vous pouvez regarder les standards et technologies que nous élaborons - VEPA, Flex-10.... Vous pouvez imaginer facilement qu’il n'y a pas de raison pour ne pas faire converger tout cela au sein d’une seule fonction. Par exemple, je veux un commutateur - une fonction réseau - qui est abstraite par le serveur pour fournir des interfaces réseau ou des interfaces système virtuelles (VSI), de telle sorte que l’administrateur système n’ait à se préoccuper que d’interfaces réseaux (NIC). L’administrateur réseau, quant à lui, dispose des bonnes API et des protocoles pour faire son métier. Il a ainsi la possibilité de gérer des chemins multiples (multipath), et de router le trafic s’il le souhaite. Il dispose d’un large choix de topologies et de réglages de QoS... Nous entendons réellement combiner toutes ces fonctions dans un seul et même produit et banaliser ces fonctions. Cela prendra du temps, mais nous voulons nous assurer que nous avons les outils adéquats pour rendre la migration vers un tel modèle transparente.

Comment votre concept de collaboration s’applique-t-il au domaine émergent de la virtualisation des postes de travail.

P.C. : La virtualisation de postes de travail est un autre exemple parfait où l'on ne peut plus se passer d’une forme de collaboration entre les utilisateurs du réseau et le réseau lui-même. Il y a aujourd’hui deux types de virtualisation de poste de travail, la version légère telle que celle proposée par Citrix, où vous avez un client léger et un back-end centralisé dans le datacenter. La seconde forme, que l'on voit émerger, consiste à utiliser des hyperviseurs locaux sur les postes de travail des utilisateurs et à y distribuer plusieurs environnements différents ou « personnalités » différentes. C’est avec ce second modèle qu’il existe le plus d’opportunités pour simplifier réellement l’expérience des utilisateurs finaux.

Je ne pense pas que le modèle de virtualisation qui est utilisé dans le datacenter devrait s’appliquer au bureau. Pour moi, cela ressemble trop à une gestion bureaucratique. Si je suis une organisation informatique, la valeur pour moi est dans l’aptitude à créer une image sécurisée et standardisée pour mes postes de travail, puis à la distribuer sous forme de machine virtuelle à mes utilisateurs. Ces derniers peuvent alors l’emporter à la maison sur leur ordinateur portable ou la faire tourner sur leur PC de bureau. Et nous pouvons la sécuriser de façon adéquate afin de ne pas s'inquiéter de la menace de fuite de données.

Il existe là une possibilité de construire une relation positive entre l'hyperviseur local et le
réseau. Ce que nous voulons vraiment, c'est que l'image système d’entreprise logée dans la machine virtuelle soit toujours connectée de la même façon au réseau et ce, où qu’elle se trouve, dans un café, au domicile de l’utilisateur ou sur le site d’un client. Pour cela, il faut que la fonction réseau soit embarquée dans l'hyperviseur, et qu’elle collabore avec le réseau d’entreprise pour assurer la fourniture d’un service de VPN, tout en fournissant de précieuses informations sur sa localisation et son statut, afin que le réseau puisse s’adapter et garantir le mode de communication le plus efficace.

Par Shamus McGillicuddy