De l'intérêt de l'orchestration et de la virtualisation pour les SDN

Pourquoi orchestrer le réseau ?

Avec les SDN, le réseau peut être provisionné de façon orchestrée de la même façon que les autres composants du datacenter comme les serveurs, le stockage ou les applications. Le principal concept est qu’un réseau programmable peut être automatisé. Et c’est cette automatisation qui permet de provisioner rapidement de nouveaux services tout en réduisant les risques d’erreur humaine.

Des outils d’orchestration réseau ont émergé chez des start-ups comme Anuta Networks ou Nuage Networks (filiale d’Alcatel- Lucent). Ces derniers visent pour l’instant le marché des fournisseurs de services cloud qui ont besoin d’automatiser la création de services pour leurs clients, même si cahque solution aborde le problème à sa façon. L’approche d’Anuta est de se concentrer sur l’utilisation de l’infrastructure réseau en place, tandis que Nuage met en œuvre un routeur logiciel distribué et une technologie d’overlay réseau pour créer des conteneurs réseaux multitenant simples à manipuler.

Si au premier abord les besoins d’un fournisseur de services paraissent de ceux d’une entreprise, le fait est que les réseaux d’entreprise font face aux mêmes challenges de déploiement d’applications complexes, que les fournisseurs de services, certes parfois à une échelle inférieure. Si des solutions d’orchestration SDN complètes ciblant le monde des entreprises ne sont pas encore apparues, Il est utile de noter que les équipementiers réseaux qui produisent des contrôleurs SDN mettent tous en avant leurs partenariats avec des tiers. La tendance générale est à l’interopérabilité entre les contrôleurs est un large choix d’équipements de fournisseurs tiers, incluant notamment les offres d’ADC. La raison est simple : A long terme, tout le monde estime que les réseaux d’entreprises intégreront une composante de provisioning réseau à même de s’intégrer avec les outils d’orchestration plus génériques de l’IT.

Pourquoi la virtualisation du réseau

La plupart des technologies présentées à ce jour ont comme but implicite la virtualisation du réseau. Lorsqu’un réseau est virtualisé, ses composants physiques (commutateurs, routeurs, équipements de sécurité…) se retrouvent abstraits. Les ressources physiques du réseau se retrouvent partagées par un nombre plus ou moins grand de VLAN. Ce n’est pas en soit une idée neuve. Les technologies standards de VLAN 802.1Q couplées à des technologies de tunneling Q on Q en sont un exemple de même que les réseaux MPLS. Mais dans bien des cas, l’usage de ces technologies s’est limité au domaine des opérateurs télécoms et fournisseurs de services.

Dans un modèle SDN, la virtualisation de réseau est accomplie par utilisation de mécanismes d’encapsulation (aussi appelés « overlays ») tels que Virtual Extensible LAN (VXLAN) chez VMware, Network Virtualization using GRE (NVGRE), chez Microsoft,  et Stateless Transport Tunneling (STT) chez Nicira (racheté par VMware), souvent en conjonction avec OpenFlow. Dans un réseau d’overlay, le trafic est encapsulé dans un VLAN identifié par un tag spécifique qui assure l’isolation par rapport aux autres trafics circulant sur d’autres VLAN partageant le même réseau physique. Même s’il n’est pas forcément requis, un contrôleur SDN peut être utilisé pour identifier tous les points de terminaison du réseau virtuel et pour indiquer aux commutateurs où et comment encapsuler le trafic au sein de l’overlay, afin de maximiser l’efficacité des communications entre deux points.

Si les réseaux d’overlay sont pour l’instant essentiellement mis en œuvre par des fournisseurs de services et par des acteurs de l'internet, la technologie devrait naturellement faire son chemin au sein des entreprises désireuses de segmenter leur trafic applicatif en de leurs organisation et de la nature de leurs applications, sans toutefois avoir à gérer la complexité de mécanismes comme VRF (virtual route and forwarding ou MPLS). Les overlays sont un mécanisme simple et sûr d’isolation des trafics réseau . Couplés à un contrôleur SDN, ils peuvent être déployés et maintenus de façon simple et aisée.

Immanquablement, les fournisseurs d’équipements réseaux qui ont virtualisé certaines de leurs appliances sur un hyperviseur tentent de participer à la discussion sur les SDN. Mais dans la pratique, un firewall virtualisé ou un ADC sous forme de machine virtuelle, n’ont rien à voir avec les SDN, même si leur packaging permet de les déployer plus facilement dans un contexte SDN. Il convient donc de rester pour le moins circonspect lorsqu’un vendeur disposant d’une appliance virtuelle se présente comme un spécialiste du SDN.

De fait, cette approche de virtualisation de services au dessus d’une couche réseau virtualisée relève plutôt de ce que l’on appelle NFV (network functions virtualization), à ceci près que de plus en plus cette appellation est utilisée dans un contexte opérateur pour décrire le travail mené par l’ETSI pour bâtir des architectures télécoms de nouvelle génération, virtualisées, provisionables à la volée et entièrement automatisées.

Toute entreprise désireuse d’évaluer sérieusement les SDN doit avoir à l’esprit que la technologie est encore en phase d’évolution rapide. Le domaine n’est pas mûr, et manque de standards (chaque constructeur tentant plus ou moins de tirer la couverture vers lui). Pire tout le monde n’est pas d’accord sur le modèle de contrôle à mettre en place (Cisco préchant par exemple pour un modèle largement décentralisé, quand la plupart de ses concurrents misent sur une approche centralisée). Le projet OpenDaylight project (ODL), hébergé au sein de la Linux Foundation, a en partie été formé pour tenter d’homogénéniser le marché. Et il sera intéressant de le suivre, ne serait-ce que parce qu’ODL couvre aussi bien le domaine de la virtualisation de réseau, de l’orchestration, des contrôleurs et des API applicatives. En mûrissant, le code ODL pourrait à terme devenir la base de nombre d’implémentations plus « propriétaires » proposées par par certains constructeurs.

A propos de l’auteur:
Ethan Banks, CCIE #20655, est un ingénieur réseau qui a conçu, assemblé et maintenu les réseaux de plusieurs organismes éducatifs, gouvernements locaux, institutions financières et sociétés de high-tech aux Etats-Unis. Banks est aussi l’un des hôte du Packet Pushers Podcast, un programme technique en anglais qui couvre les aspects pratiques des déploiements réseaux ainsi que les thèmes techniques les plus récents comme la virtualisation, OpenFlow et les SDN. Il est l’éditeur de la communauté indépendante de blogueurs PacketPushers.net et peut être suivi sur Twitter à @ecbanks.