NetApp Tech OnTap
     

MultiStore de NetApp

Seguridad y movilidad para almacenamiento cloud

El Cloud Computing, como cualquier otra tendencia de TI, ha provocado la aparición de nuevos tecnicismos, algunos referidos a funcionalidades reales y otros, la mayoría, a funcionalidades que existen mayoritariamente sobre el papel. Uno de estos últimos es "multi-tenancy segura": es la capacidad de una infraestructura compartida para admitir varias "empresas" (que pueden ser aplicaciones, departamentos o clientes independientes), a la vez que se garantiza un aislamiento estricto entre ellas.

La mayoría de los proveedores de almacenamiento todavía no conocen los requisitos exactos que debería tener un almacenamiento compartido de particiones seguras. NetApp, en cambio, fue pionera en el concepto multi-tenancy con la introducción de la solución MultiStore® de NetApp® en 2002, años antes de que apareciese la primera mención al Cloud Computing en la prensa del sector. MultiStore permite crear particiones lógicas aisladas en un solo sistema de almacenamiento, para que ningún usuario no autorizado pueda acceder a información de una partición virtual protegida. También permite migrar fácilmente particiones virtuales entre sistemas de almacenamiento y proporciona una recuperación ante desastres sencilla de gestionar pero potente.

NetApp MultiStore divide un único sistema de almacenamiento en varias particiones seguras llamadas unidades vFiler™. Se pueden asignar unidades vFiler individuales a diferentes

Figura 1) MultiStore de NetApp divide un único sistema de almacenamiento en varias particiones seguras llamadas unidades vFiler™. Se pueden asignar unidades vFiler individuales a diferentes "empresas", que pueden ser aplicaciones individuales, departamentos de una empresa o clientes externos.

Nos guste o no el término "multi-tenancy segura", hay muchas empresas preocupadas por la seguridad de los datos en entornos de cloud. En este artículo nos ocuparemos de la tecnología que hace que MultiStore sea seguro, hablaremos sobre Data Motion™ de NetApp y examinaremos las formas de uso más comunes. Un artículo incluido en esta edición de Tech OnTap trata la calidad del servicio en una arquitectura multi-tenancy segura y completa que combina la tecnología de VMware y Cisco con MultiStore de NetApp.

Seguridad de MultiStore

El elemento clave del diseño de MultiStore de NetApp es la unidad vFiler, una controladora de almacenamiento virtual que se ejecuta en Data ONTAP®. Una unidad vFile es una instancia de poco tamaño de un servidor multiprotocolo de Data ONTAP. Cada unidad vFiler está compuesta por datos almacenados en volúmenes o qtrees, la dirección o direcciones IP y la configuración de red necesarias para acceder a la unidad vFiler, así como la seguridad y otros atributos relacionados con los datos. Desde la perspectiva de los sistemas cliente y del software de gestión, los datos almacenados en una unidad vFiler están totalmente protegidos y aislados de todas las demás unidades vFiler.

Los componentes de red asociados con una unidad vFiler son las direcciones IP, las interfaces y los espacios IP. Un espacio IP es una tabla de enrutamiento lógica única. Además de la separación lógica de redes que proporcionan las VLAN, un espacio IP ofrece una capa adicional de seguridad entre las unidades vFiler, ya que el tráfico no puede abandonar un espacio IP sin pasar por una puerta de enlace de red. Cada interfaz o interfaz virtual pertenece a un único espacio IP; sin embargo, un espacio IP puede tener varias interfaces. La asociación dinámica de una unidad vFiler con sus recursos de almacenamiento y de redes convierte la transferencia de recursos en una operación relativamente sencilla.

Cuando un sistema de almacenamiento recibe una solicitud, la controladora de red la transmite a la pila del protocolo IP. Esta solicitud se etiqueta con un contexto basado en la dirección IP de destino y el espacio IP asociado con la interfaz de red. Este contexto se asocia a cada solicitud durante todo el proceso de procesamiento. Cada unidad vFiler tiene su propia pila de protocolo, lo que le permite escuchar en sus propios puertos. Ya que el contexto se transmite con la solicitud, puede existir el mismo número de puerto en varias unidades vFiler.

De igual forma, una unidad vFiler no puede acceder al conjunto de datos de otra unidad vFiler. El sistema de almacenamiento asigna cada volumen y qtree a la unidad vFiler correspondiente. El contexto que se asigna a cada solicitud debe coincidir con el del fichero o directorio al que se accede. Si no coinciden, la solicitud se deniega inmediatamente. Si un enlace simbólico toma una ruta fuera de los límites de una unidad vFiler, no se puede acceder a los datos, ya que el contexto de la solicitud no coincide.

Las auditorías independientes de MultiStore de 2004 y 2008 no detectaron puntos vulnerables en el modelo de seguridad de MultiStore.

Data Motion de NetApp: movilidad para multi-tenancy

El diseño único de MultiStore le permite ser compatible con Data Motion de NetApp: migración sin interrupciones de conjuntos de datos NFS o iSCSI entre sistemas de almacenamiento. Con Data Motion de NetApp, puede migrarse una unidad vFiler entera de un sistema de almacenamiento a otro sin interrumpir la actividad en curso. Data Motion de NetApp hace con los datos lo que VMware® VMotion™, XenServer XenMotion y Microsoft® Hyper-V™ Quick Migration hacen con los equipos virtuales: simplificar la migración de datos al mover equipos virtuales. La combinación de estos servicios con Data Motion de NetApp proporciona movilidad en todas las capas de la infraestructura para obtener un equilibrio de carga y actualizaciones sin interrupciones, o también para satisfacer otras necesidades del centro de datos.

La seguridad de MultiStore evita poner los datos de las empresas en peligro durante la migración. Synchronous SnapMirror se utiliza para sincronizar conjuntos de datos entre sistemas de almacenamiento durante el proceso de migración y transposición. Operations Manager versión 4.0 de NetApp, con el complemento Provisioning Manager, automatiza los procesos de Data Motion de NetApp y la limpieza.

NetApp MultiStore divide un único sistema de almacenamiento en varias particiones seguras llamadas unidades vFiler™. Se pueden asignar unidades vFiler individuales a diferentes

Figura 2) Inicio de la migración con Data Motion de NetApp con la interfaz de Provisioning Manager de NetApp.

Primeros pasos con MultiStore

Existen algunos aspectos prácticos que los usuarios de MultiStore deberían tener en cuenta. En sistemas de almacenamiento de NetApp con 2 GB de memoria o más (la mayoría de modelos actuales), MultiStore admite hasta 65 unidades vFiler por sistema de almacenamiento. MultiStore es compatible con los protocolos siguientes: NFS, CIFS, iSCSI, HTTP, NDMP, FTP, FTPS y SFTP. Hay que tener en cuenta que FCP no se admite, excepto en la unidad vFiler raíz (vFiler0). Los protocolos individuales pueden activarse o desactivarse en cada unidad vFiler.

Las unidades vFiler por sí solas crean una carga de memoria muy reducida, por lo que un sistema con MultiStore puede manejar la misma carga de trabajo adicional que un sistema sin MultiStore. Es importante tener en cuenta, sin embargo, que un sistema con MultiStore no puede soportar más carga que un sistema que no lo tenga. Es posible utilizar el software FlexShare® de NetApp para dar prioridad a determinados volúmenes (y a sus cargas de trabajo asociadas) en un entorno multi-tenancy. (Existe una descripción detallada de FlexShare en un artículo anterior de Tech OnTap.) Si existe contención de los recursos, las transacciones de volúmenes con prioridad más alta se procesan con mayor rapidez. Si no hay contención en los recursos del sistema de almacenamiento, se puede utilizar cualquier carga de trabajo, sin importar su prioridad en FlexShare.

En lo que respecta a la gestión, es posible configurar un entorno de empresa para proporcionarle diferentes grados de control, desde ninguna funcionalidad de gestión, pasando por el seguimiento, hasta funcionalidades de gestión total dentro de los límites de la unidad vFiler. La gestión puede realizarse mediante la línea de comandos u Operations Manager de NetApp y sus productos complementarios: Provisioning Manager y Protection Manager.

Usos de MultiStore

Hay cuatros usos comunes de MultiStore. Estos usos no se excluyen entre sí, sino que es posible utilizar la migración de datos o la recuperación ante desastres como parte del entorno de host o del entorno de servicios de ficheros de MultiStore.

Servicios de host. MultiStore permite crear fácilmente varios dominios administrativos, por lo que es la base multi-tenancy perfecta para cualquier servicio de almacenamiento compartido o de host. Los proveedores de cloud, tanto si ofrecen servicios de infraestructura o de host de aplicaciones, pueden realizar particiones de los recursos de un único sistema de almacenamiento para crear muchas unidades vFiler independientes de MultiStore para las empresas de los clientes. FlexShare de NetApp ofrece hasta cinco niveles de prioridad y posibilita la creación de un entorno de host de hasta cinco niveles de servicio.

De forma similar, el departamento de TI de una empresa puede crear unidades vFiler de MultiStore para suplir las necesidades de los distintos departamentos de la empresa. (El último uso, consolidación de servicios de ficheros, es en realidad una aplicación limitada de este uso.)

Migración de datos. Basándose en las funcionalidades de Data Motion de NetApp que ya se han descrito, MultiStore permite migrar datos de un sistema de almacenamiento a otro sin que haya interrupciones ni sea necesaria una reconfiguración profunda del sistema de almacenamiento de destino. Sin MultiStore, se podrían migrar datos mediante la tecnología SnapMirror® de NetApp para copiar datos de un sistema de almacenamiento a otro, pero se producirían interrupciones y posiblemente fuera necesario editar las listas de control de acceso (ACL), las definiciones locales de los grupos de usuarios, la información de asignación de los usuarios y un largo etcétera, antes de que los usuarios pudieran acceder a los datos. Sin embargo, si los datos que se van a copiar están almacenados con MultiStore, toda la información de los usuarios, grupos y ACL estará encapsulada en la unidad vFiler. La migración recrea la unidad vFiler en el sistema de almacenamiento de destino con la información encapsulada, por lo que los datos pueden ofrecerse desde el sistema de almacenamiento de destino sin que sea necesaria una reconfiguración.

Recuperación ante desastres. Quizás uno de los usos menos conocidos de MultiStore es la recuperación ante desastres automatizada. MultiStore permite una fácil recuperación ante desastres de varios sites, por la cual, los dominios de IP se migran con cada instancia de unidad vFiler. SnapMirror se utiliza para replicar unidades vFiler en función de una planificación definida, y crea versiones de backup de cada unidad vFiler que están sincronizadas con las versiones primarias. En caso de error, cualquier administrador puede activar el switch para una unidad vFiler de backup con un solo comando, por lo que la transposición es muy rápida y tiene un impacto mínimo en el cliente. Las unidades vFiler en el site de recuperación ante desastres pueden volver a sincronizarse con la fuente, una vez resuelto el motivo del problema.

Consolidación de servicios de ficheros. El último uso de MultiStore, de gran popularidad, es la consolidación de servidores de ficheros. En muchas empresas, cada departamento tiene su propio servidor de ficheros. La consolidación de varios servidores pequeños de ficheros en uno mayor puede mejorar el uso y disminuir la carga de gestión, aunque hay muchos departamentos que se resisten a abandonar el control de la gestión. Con MultiStore, cada pequeño servidor de ficheros puede consolidarse mediante una unidad vFiler, con lo que se obtienen las ventajas de la consolidación a la vez que permite que los departamentos mantengan el control administrativo.

Tier 3: éxito real

Tier 3, proveedor líder de servicios gestionados para pequeñas y medianas empresas, eligió MultiStore como soporte para el rápido crecimiento de su infraestructura cloud. Con MultiStore, la empresa puede provisionar en menos de una hora una unidad vFiler para un cliente nuevo, que le ofrece todas las características de una SAN dedicada, incluida la recuperación ante desastres, la escalabilidad, además de backups y restauraciones rápidas. El almacenamiento compartido con MultiStore cuesta un 80% menos para los clientes y un 50% menos para Tier 3 que un almacenamiento dedicado. Puede obtener más información sobre Tier 3 en un caso de cliente.

Conclusión

MultiStore es la mejor solución para multi-tenancy segura en entornos de almacenamiento. Su solidez ha sido demostrada en pruebas de laboratorio y en entornos de cliente durante años de implementación. MultiStore funciona en todas las plataformas de almacenamiento de NetApp, ofrece una mayor seguridad y es la única solución que incluye migración de datos sin interrupciones.

 ¿Qué opina sobre MultiStore?

Formule preguntas, intercambie ideas y comparta sus opiniones en las comunidades online de NetApp.

Roger Weeks

Roger Weeks
Ingeniero técnico de marketing
NetApp

Roger entró a formar parte de NetApp en 2007 para ocuparse de la seguridad del almacenamiento. Anteriormente desempeñó varias funciones en las áreas de sistemas y redes. En los últimos años, se ha especializado en seguridad, desde servicios inalámbricos para proveedores de servicios hasta almacenamiento. Roger es coautor de varios libros, entre ellos Linux Unwired y Wireless Hacks, segunda edición.

Paul Feresten

Paul Feresten
Director general de marketing de producto
NetApp

Paul se unió a NetApp en 2005 y se especializó en el software principal de NetApp, incluido Data ONTAP, MultiStore, FlexClone® y thin provisioning. Tiene más de 30 años de experiencia en el sector, donde ha desempeñado funciones de gestión de producto, ventas, marketing y dirección ejecutiva. Antes de entrar a formar parte de NetApp, Paul trabajó en Data General, Digital Equipment Corporation, MSI Consulting y SEPATON.

 
En profundidad