NetApp Tech OnTap
     

NetApp MultiStore

Sécurité et mobilité pour le stockage cloud

Comme toutes les nouvelles tendances informatiques, le « Cloud computing » a donné naissance à toute une série de termes à la mode. Certains font référence à des fonctionnalités réelles, beaucoup d'autres décrivent des fonctionnalités qui n'existent que sur le papier. L'« architecture mutualisée et sécurisée » fait partie de ces nouvelles expressions. Il s'agit de la faculté, pour une infrastructure partagée de prendre en charge plusieurs « locataires » (sous la forme d'applications, de services ou de clients distincts) tout en leur garantissant une isolation complète les uns des autres.

La plupart des fournisseurs de stockage en sont encore à essayer de trouver les conditions nécessaires à un stockage partitionné et partagé en toute sécurité. En revanche, avec la sortie de sa solution NetApp® MultiStore® dès 2002, des années avant la première apparition du terme Cloud computing dans la presse spécialisée, NetApp fait figure d'entreprise pionnière en matière d'architectures mutualisées et sécurisées. Grâce à MultiStore, vous pouvez créer des partitions logiques séparées sur un même système de stockage et faire en sorte qu'aucune information présente sur une partition virtuelle sécurisée ne puisse être accessible à des utilisateurs non autorisés. Vous pouvez également migrer facilement des partitions virtuelles d'un système de stockage à un autre et fournir des fonctionnalités de reprise sur incident simples à gérer et puissantes à la fois.

NetApp MultiStore divise un système de stockage unique en plusieurs partitions sécurisées appelées unités vFiler™. Les unités vFiler individuelles peuvent être affectées à des locataires distincts : des applications, des services au sein d'une entreprise ou des clients externes.

Figure 1) NetApp MultiStore divise un système de stockage unique en plusieurs partitions sécurisées appelées unités vFiler™. Les unités vFiler individuelles peuvent être affectées à des locataires distincts : des applications, des services au sein d'une entreprise ou des clients externes.

Peu importe que l'on aime ou pas ce terme d'architecture mutualisée et sécurisée, aujourd'hui de nombreuses entreprises s'inquiètent de la sécurité des données dans les environnements cloud. Dans cet article, nous expliquerons la technologie qui rend MultiStore sûr, nous parlerons de NetApp Data Motion™ et nous examinerons les cas d'utilisation les plus courants. Un article connexe dans ce numéro de Tech OnTap aborde la question de la qualité de service dans une architecture mutualisée et sécurisée complète associant les technologies VMware et Cisco à celle de NetApp MultiStore.

La sécurité MultiStore

L'unité vFiler constitue l'élément fondamental de NetApp MultiStore, il s'agit d'un contrôleur de stockage virtuel qui est exécuté dans Data ONTAP®. L'unité vFiler est une instance légère de serveur multiprotocole Data ONTAP. Elle se compose des données stockées dans les volumes ou les qtrees, des adresses IP et de la configuration réseau nécessaires pour l'atteindre, elle comprend également la sécurité et les autres attributs associés aux données. Au niveau des systèmes clients et des logiciels de gestion, les données stockées dans une unité vFiler sont complètement sécurisées et isolées des autres unités vFiler.

Les composants réseau associés aux unités vFiler comprennent les adresses IP, les interfaces et les IPSpaces. Les IPSpaces sont des tables de routage logiques et uniques. Ils procurent une couche de sécurité supplémentaire entre les unités vFiler, qui vient s'ajouter aux séparations logiques de réseau offertes par les VLAN. En effet, le trafic ne peut pas quitter un IPSpace sans passer par une passerelle réseau. Chaque interface ou interface virtuelle appartient à un seul IPSpace. L'IPSpace en revanche peut comprendre plusieurs interfaces. Le fait d'associer de manière dynamique l'unité vFiler à ses ressources de stockage et de réseau permet d'assurer des déplacements des ressources relativement faciles.

Lorsqu'un système de stockage reçoit une requête, le pilote du réseau la transmet à la pile de protocole IP. La requête est ensuite marquée d'un contexte basé sur l'adresse IP de destination et l'IPSpace associé à l'interface réseau. Ce contexte est associé à chaque requête pendant toute la durée de son traitement. Chaque unité vFiler est dotée de sa pile de protocole, qui lui permet d'écouter ses propres ports. Étant donné que le contexte accompagne la requête, le même numéro de port peut exister dans plusieurs unités vFiler.

De même, une unité vFiler ne peut pas accéder à un jeu de données appartenant à une autre unité vFiler. Le système de stockage mappe chaque volume et qtree sur l'unité vFiler à laquelle ils appartiennent. Le contexte affecté à chaque requête doit correspondre à celui du fichier ou du répertoire auquel on veut accéder. Dans le cas contraire, la requête échoue immédiatement. Si un lien symbolique mène à un chemin sortant des limites de l'unité vFiler, l'accès aux données échoue, en raison de la non-concordance du contexte de la requête.

En 2004 et en 2008, des audits indépendants n'ont pas révélé la moindre vulnérabilité du modèle de sécurité MultiStore.

NetApp Data Motion : La mobilité en plus pour les architectures mutualisées

Grâce à sa conception unique, MultiStore est en mesure de prendre en charge NetApp Data Motion. Data Motion permet la migration sans interruption des jeux de données NFS ou iSCSI entre des systèmes de stockage. Ainsi, avec NetApp Data Motion, il est possible de migrer une unité vFiler complète d'un système de stockage vers un autre sans interruption des activités en cours. NetApp Data Motion agit sur les données de la même façon que VMware® VMotion™, XenServer XenMotion et Microsoft® Hyper-V™ Quick Migration agissent sur les ordinateurs virtuels (ce qui facilite la migration de données lors du déplacement d'ordinateurs virtuels). L'association de ces services et de NetApp Data Motion assure la mobilité à chaque couche de votre infrastructure, que ce soit à des fins d'équilibrage de charge, de mises à niveau sans interruption ou en vue de satisfaire d'autres besoins du data center.

La sécurité MultiStore évite aux données des locataires d'être compromises pendant la migration. La fonctionnalité SnapMirror synchrone permet de synchroniser les jeux de données entre les systèmes de stockage pendant les processus de migration et de mise en service. NetApp Operations Manager version 4.0, associé à l'extension Provisioning Manager, permet d'automatiser les processus et le nettoyage de NetApp Data Motion.

NetApp MultiStore divise un système de stockage unique en plusieurs partitions sécurisées appelées unités vFiler™. Les unités vFiler individuelles peuvent être affectées à des « parties » distinctes : des applications, des services au sein d'une entreprise ou des clients externes.

Figure 2) Lancement de la migration Data Motion avec l'interface Provisioning Manager de NetApp.

Mise en route avec MultiStore

Les utilisateurs de MultiStore doivent prendre en compte certaines considérations pratiques. Sur les systèmes de stockage NetApp dotés d'au moins 2 Go de mémoire (la plupart des modèles actuels), MultiStore peut prendre en charge jusqu'à 65 unités vFiler par système. MultiStore prend en charge les protocoles suivants : NFS, CIFS, iSCSI, HTTP, NDMP, FTP, FTPS et SFTP. Attention, le protocole FCP n'est pas pris en charge, sauf sur l'unité vFiler racine (vFiler0). Les protocoles individuels peuvent être activés ou désactivés unité par unité vFiler.

En tant que telles, les unités vFiler génèrent une charge minime de la mémoire. Un système équipé de MultiStore peut ainsi gérer la même charge de travail globale qu'un système dépourvu de MultiStore. Toutefois, il est important de noter qu'un système doté de MultiStore ne peut pas supporter une charge plus importante qu'un système sans MultiStore. Vous pouvez utiliser le logiciel FlexShare® de NetApp pour donner la priorité à certains volumes par rapport à d'autres dans un environnement mutualisé (et de ce fait donner la priorité aux charges de travail qui leur sont associées). (FlexShare est décrit en détail dans un précédent article de Tech OnTap.) Lorsque les ressources sont en conflit, les transactions sur les volumes dotés d'une priorité plus élevée sont traitées plus rapidement. En l'absence de conflit des ressources des systèmes de stockage, n'importe quelle charge de travail peut utiliser lesdites ressources, quelle que soit sa priorité FlexShare.

En ce qui concerne la gestion, vous pouvez configurer un environnement pour accorder à un locataire des degrés variables de contrôle, allant d'aucune fonction de gestion jusqu'aux fonctions complètes de gestion, dans le respect des limites créées par l'unité vFiler. Pour gérer l'environnement, vous pouvez utiliser soit la ligne de commande, soit NetApp Operations Manager et ses extensions : Provisioning Manager et Protection Manager.

Cas d'utilisation de MultiStore

Il existe quatre cas d'utilisation courants pour MultiStore. Ces cas ne s'excluent pas les uns des autres : vous pouvez utiliser les cas d'utilisation relatifs à la migration de données et/ou à la reprise sur incident dans le cadre de votre environnement d'hébergement MultiStore ou de votre environnement de services de fichiers.

Hébergement. Parce qu'il vous permet de créer facilement plusieurs domaines administratifs, MultiStore constitue la base idéale d'une architecture mutualisée pour n'importe quel service de stockage partagé ou service d'hébergement. Les fournisseurs de cloud (qu'ils proposent des services d'infrastructure ou d'hébergement d'applications) peuvent partitionner les ressources d'un système de stockage pour créer un grand nombre d'unités vFiler séparées pour leurs entreprises clientes. NetApp FlexShare offre jusqu'à cinq niveaux de priorité et permet ainsi de créer un environnement d'hébergement pouvant comprendre jusqu'à cinq niveaux de services.

De même, le service informatique d'une entreprise peut créer des unités vFiler MultiStore pour répondre aux besoins de différents services de l'entreprise. (Le dernier cas d'utilisation, sur la consolidation de services de fichiers, correspond en fait à une application limitée du présent cas d'utilisation.)

Migration de données. À l'aide des fonctionnalités NetApp Data Motion décrites plus haut, MultiStore vous permet de migrer les données d'un système de stockage à un autre sans interruption ni reconfiguration importante du système de stockage de destination. Sans MultiStore, vous pourriez migrer les données en utilisant la technologie NetApp SnapMirror® pour copier les données d'un système de stockage à un autre. Mais cela provoquerait des interruptions et vous seriez peut-être tenu de modifier les listes de contrôle d'accès, les définitions de groupes d'utilisateurs locaux, les informations de mappage des utilisateurs, etc. avant que les utilisateurs puissent accéder aux données. En revanche, si les données copiées sont stockées avec MultiStore, toutes les informations des utilisateurs, des groupes et des listes de contrôle d'accès sont intégrées dans l'unité vFiler. La migration recrée l'unité vFiler sur le système de stockage de destination, avec les informations qu'elle contient. Les données sont ainsi disponibles sur le système de destination sans reconfiguration nécessaire.

Reprise sur incident. La reprise sur incident automatique est peut-être le cas d'utilisation le moins connu de MultiStore. MultiStore permet une reprise sur incident simple et intersites dans le cadre de laquelle les domaines IP migrent avec chaque instance d'unité vFiler. On utilise SnapMirror pour répliquer les unités vFiler selon un calendrier défini, en créant des versions de sauvegarde de chaque unité vFiler, synchronisées avec les versions d'origine. En cas de panne, l'administrateur peut basculer vers une unité vFiler de sauvegarde à l'aide d'une seule commande. Ainsi, la mise en service est très rapide et a un impact minimal sur le client. Les unités vFiler sur le site de reprise sur incident peuvent être resynchronisées sur la source une fois que la cause du problème a été résolue.

Consolidation de services de fichiers. Le dernier cas d'utilisation de MultiStore s'est révélé très populaire, il concerne la consolidation de serveurs de fichiers. Dans de nombreuses entreprises, chaque service dispose de son propre serveur de fichiers. Consolider plusieurs petits serveurs de fichiers pour en créer un seul plus important aurait pour effet d'améliorer l'utilisation et de réduire les coûts liés à la gestion. Mais de nombreux services sont réticents à l'idée d'abandonner le contrôle de la gestion. Avec MultiStore, chaque petit serveur de fichiers peut être consolidé à l'aide d'une unité vFiler. L'entreprise bénéficie ainsi des avantages de la consolidation tout en permettant à ses différents services de conserver leur contrôle administratif.

Tier 3 : un réel succès

Tier 3, fournisseur leader de services gérés pour petites et moyennes entreprises, a choisi MultiStore pour prendre en charge son infrastructure cloud à croissance rapide. Avec MultiStore, l'entreprise peut attribuer en moins d'une heure à un nouveau client une unité vFiler dotée de toutes les fonctionnalités d'un réseau SAN dédié, notamment reprise sur incident, évolutivité et sauvegarde et restauration rapides. Le stockage partagé utilisant MultiStore revient environ 80 % moins cher aux clients et 50 % moins cher à Tier 3 que le stockage dédié. Pour en savoir plus sur Tier 3, consultez le rapport récent sur sa réussite.

Conclusion

MultiStore est la solution leader pour une architecture mutualisée et sécurisée dans des environnements de stockage. Elle a fait preuve de sa robustesse aussi bien lors de tests en laboratoire que dans les environnements de nos clients, sur plusieurs années de déploiement. MultiStore fonctionne sur toutes les plates-formes de stockage, offre une sécurité très élevée et c'est la seule solution qui comprenne la migration de données sans interruption.

 Vous avez des commentaires sur MultiStore ?

Posez vos questions, échangez des idées et partagez vos points de vue directement en ligne via les communautés NetApp.

Roger Weeks

Roger Weeks
Ingénieur Marketing et Technique
NetApp

Roger a rejoint NetApp en 2007 pour se consacrer à la sécurité du stockage. Avant NetApp, il a occupé différents postes dans les domaines des systèmes et des réseaux. Au cours des dernières années, il s'est concentré sur la sécurité des technologies sans fil, des fournisseurs de services et du stockage. Roger a cosigné plusieurs livres, notamment Linux sans fil et Wireless Hacks,
2nd Edition
.

Paul Feresten

Paul Feresten
Responsable Marketing Produit
NetApp

Paul a rejoint NetApp en 2005. Il se concentre sur les logiciels NetApp centraux, notamment Data ONTAP, MultiStore, FlexClone® et le provisionnement fin. Il dispose de plus de 30 ans d'expérience dans la branche, à des postes de responsable de gestion de produits, de responsable des ventes et du marketing et de directeur général. Avant de rejoindre NetApp, Paul a travaillé pour les entreprises Data General, Digital Equipment Corporation, MSI Consulting et SEPATON.

 
Explorer