Llegamos a ustedes gracias a:



Columnas de opinión

Definiendo lo que son las nubes privadas - Parte I

Por: Bernard Golden, CEO de la firma de consultoría HyperStratus

[22/06/2009] La cuestión de las nubes privadas se está calentando. Una nube privada es, esencialmente, una capacidad de cómputo en la nube dedicado a una organización.

El término nube interna es generalmente utilizado para este tipo de funcionalidad; pero como mucha gente lo señala, este término combina funcionalidad con ubicación. En otras palabras, uno puede imaginar la nube de una compañía que está físicamente hospedada en un sitio propio. En el caso de nubes privadas -el equipo, la infraestructura, el software de cómputo- están todos dedicados a la compañía cliente, lo cual la haría una nube dedicada, o privada, a pesar del hecho de que no está localizada dentro del data center que la compañía posee y opera. Por eso, nube privada es probablemente un término más apropiado, y es el que usaremos a lo largo de este texto y el subsecuente, en el que tratamos las nubes privadas desde la perspectiva del usuario de la nube.
Ahora que hemos dejado en claro la terminología, ¿qué constituye una nube privada, más allá de estar dedicada a la organización que la usa?
La forma más fácil de caracterizar una nube privada es identificar su funcionalidad como similar a una nube pública, excepto que no está disponible para que cualquiera la use. Aunque hay muchas definiciones de cómputo en la nube, me gusta la del reporte de cómputo en la nube del Laboratorio RAD de Berkeley. El reporte del Laboratorio RAD dice que el cómputo en la nube tiene tres características:
1. Enormes recursos: Los recursos de cómputo están disponibles sobre demanda y parecen ser infinitamente escalables, permitiendo por tanto aplicaciones altamente ágiles y escalables.
2. No hay compromiso: El cómputo está disponible inmediatamente, y puede ser usado sin el compromiso de un acuerdo continuo o de largo plazo.
3. Se paga por bebida: Los usuarios pagan solo por los recursos de cómputo que de hecho usan; cuando los recursos son liberados, no se requiere otro pago.
Note que el Laboratorio RAD establece específicamente que ellos no consideran a las nubes internas (o privadas) como nubes reales, ya que es inevitable algún punto en el cual no están disponibles recursos adicionales, como cuando una compañía individual se queda sin espacio en el data center.
Lo que esto implica para las nubes privadas es que ellas deben ofrecer la misma funcionalidad: altamente escalables para aplicaciones que requieren mucha capacidad; sin compromiso más allá del uso real, con recursos liberados que ya no se cobran al ex usuario de los recursos (por ejemplo, ya que terminé con una o más máquinas virtuales, las apago, y ya no me cobran por ellas); y un pago atado al consumo real de recursos.
También implica que las organizaciones de TI implementarán una clara distinción entre aprovisionar infraestructura y consumo de servicios de la nube. Eso quiere decir que es necesaria una clara demarcación entre aprovisionamiento de servicios granulares y el consumo de recursos de cómputo. Si ve mi representación gráfica (en la siguiente página) de este concepto, puede ver que retrata una nube privada, dividida entre aprovisionamiento de la nube para infraestructura TI de base y negocio TI (por ejemplo, usuarios / creadores de aplicaciones); la línea oscura a la mitad de la figura indican las áreas de responsabilidad.
He tomado un enfoque diferente para describir el cómputo en la nube privado. La mayoría de otras discusiones sobre ello se enfocan en los componentes de hardware y software que son usados para crear una nube privada. En esta aproximación, he escogido enfocarme en las capacidades de servicio, ya que una caracterización funcional es, según mi punto de vista, realmente clave para entender las capacidades fundamentales que el consumidor de la nube (por ejemplo, un grupo de aplicaciones de negocios TI) espera, y los servicios granulares que el proveedor de la nube (en este caso, el proveedor de nube privada, alias servicios de infraestructura TI) debe entregar.
Enfocarse en los servicios es, según pienso, crítico, porque precisamente cloud computing se trata de entregar un conjunto de servicios TI más satisfactorios, no hacer más conveniente la administración de infraestructura. Puesto de otro modo, a menos que el cómputo en la nube provea mejor receptividad y mayor satisfacción a los usuarios de aplicaciones, no dará en el blanco. Por esta razón, he escogido plasmar la nube interna como un conjunto de servicios, en lugar de un conjunto de componentes de software.
Debajo de la línea reside Data Center Operations, el cual es responsable por la administración de infraestructura y la entrega de capacidades de cómputo esencial: 
Recursos Virtuales: Almacenamiento, máquinas y redes. Cada uno de estos recursos debe estar disponible bajo demanda por el departamento de TI -inmediatamente y en la escala necesaria; esto implica un conjunto de recursos completamente virtualizados. La habilidad de suministrar capacidad solicitada es un reto; como el reporte de RAD Berkeley lo anota, en algún punto los recursos internos se agotan. Sin embargo, para la mayoría de solicitudes de servicio, el agotamiento no será un problema. Sin embargo, es probable que las solicitudes de recursos varíen, con la cantidad de variabilidad cayendo a lo largo de algún tipo de curva de distribución. Ciertamente, uno debe esperar que reducir la fricción por los recursos de cómputo, indudablemente aumentaría la cantidad total de recursos requeridos. El esfuerzo de lograr un ambiente completamente virtualizado no debería ser subestimado. La asignación de recursos de almacenamiento y red como recursos virtualizados, requiere que esa capacidad sea planificada y sea capaz de ser asignada sin intervención humana. Un tema clave para el almacenamiento y red es que el hardware adicional es típicamente requerido para soportar la asignación dinámica.
Administración de sistemas automatizado. Para emular a los proveedores públicos de la nube como Google y Amazon en términos tanto de receptividad como de economía, la administración del sistema debe moverse de un proceso manual o semi-automático (generalmente a través de scripts Perl hechos en casa, indescifrables para todos excepto el creador original) a uno que está completamente automatizado, sin intervención en términos de acciones individuales, como asignar almacenamiento, etc. De hecho, la administración necesita ser completamente automatizada y dirigida por políticas.
Es decir, una vez que los recursos físicos son puestos en operación, completamente aptos para lo virtual y listas para que se les asigne capacidad, ya no puede haber más intervención humana para asignar o administrar los recursos. Las acciones individuales para asignar esos recursos virtuales deben ser iniciadas por llamadas de otras aplicaciones de software. En la medida en que el esfuerzo de un administrador de sistema individual es requerido para aprovisionar una solicitud de recursos, la nube privada tiene un hoyo en su tela. Entre los recursos que son completamente virtualizados, y la administración de esos recursos que es completamente automatizada, se puede decir que el data center soporta los enormes recursos y los elementos de no compromiso de la definición del Laboratorio RAD de Berkeley. Regresaremos al tercer elemento (pagar por bebida) más adelante.
Planeación de la capacidad: La administración de inventario de la nube privada. No se necesita un científico de cohetes para ver que la repartición de recursos en una forma altamente automatizada, especialmente cuando la fricción reducida promete incrementar la demanda general por recursos de cómputo, significa que las nubes privadas requerirán mucha más atención cuidadosa al inventario de recursos físicos subyacentes. Una analogía podría ser a la altamente optimizada cadena de suministro de Wal-Mart -mantiene sus estantes llenos para hacer frente a la alta demanda, monitoreando cuidadosamente la demanda general y una muy robusta habilidad de entregar bienes según sean necesarios para surtir el stock-. En una nube privada, las operaciones TI necesitarán rastrear recursos de cómputo disponibles con un ojo de águila, para asegurar que esa capacidad esté siempre disponible para ser asignada según lo demanden los usuarios de aplicaciones.
En ausencia de una excelente planeación de capacidad, es posible que las demandas de recursos de las aplicaciones salgan secas, llevando a una capacidad insuficiente para satisfacer las demandas de cómputo, así como a reuniones incómodas relacionadas con la funcionalidad de la nube privada. En un mundo de variabilidad incrementada y demanda de poca visibilidad (después de todo, una nube privada implica que los administradores de la aplicación pueden solo presionar un botón y obtener más de todo), la planeación de capacidad se moverá a un rol clave.
Seguridad: En lugar de estar atados al aprovisionamiento de recursos como a las capas más cercanas a los recursos de hardware y software, la seguridad es una base para todo el cómputo, sin importar qué recurso específico esté siendo usado. La Alianza para la Seguridad en la Nube (CSA, por sus siglas en inglés) acaba de publicar un reporte sobre Seguridad de Cómputo en la Nube, el cual vale la pena leer. Discutiré el reporte en un artículo futuro, pero quiero tocar algunos detalles específicos relacionados con cómo la seguridad debe operar en ambientes de la nube, incluyendo nubes privadas.
En una nube privada, la seguridad no puede ser algo que sea evaluado en una base de caso a caso, sujeta a una revisión de manual, etc. En este sentido, la seguridad para aplicaciones individuales debe estar disponible justo como los propios recursos de cómputo: llamadas por acciones externas y aplicadas en forma automatizada. La política de seguridad debe ser evaluada y definida generalmente, y luego capturada como reglas individuales, para ser aplicadas de acuerdo con el perfil de la aplicación.
Así que, por ejemplo, si una aplicación requiere conformidad con ciertas regulaciones, debe haber una forma de asegurar que esas medidas de conformidad están codificadas en alguna clase de regla que puede ser ejecutada durante la configuración de la aplicación. Cualquier necesidad de examinar los requerimientos de seguridad de la aplicación a través de la intervención humana, y luego implementarlas a través de alguien haciendo una configuración manual, solo introduce fricción en el proceso de aprovisionamiento y estanca los beneficios de una nube privada.
El reporte de la CSA especifica en gran detalle los problemas de seguridad colisionando en los ambientes de la nube; es demasiado detalle para que los comente todos en este artículo, pero el punto clave que debe ser destacado es que para que una nube privada realmente opere como una nube, debe mover todas las discusiones y configuraciones manuales fuera del camino de la iniciación de la aplicación. Las capacidades de seguridad de la nube interna debe estar suficientemente definidas y debe ser lo suficientemente granural, como para que una aplicación pueda definir sus requerimientos de seguridad y hacer que se apliquen a los componentes de software y los recursos de hardware resultantes automáticamente.
Ancho de banda: Este es un recurso crítico y uno que va a ser enfatizado en el futuro. La creación de aplicaciones de baja fricción y (especialmente) el enorme crecimiento que las empresas de almacenamiento de datos continuarán experimentando, junto con el creciente uso de servicios externos como parte de las arquitecturas de aplicación, significa que mucho más tráfico va a ser empujado a través de las cañerías. Aún más, no es suficiente que esté disponible ancho de banda al natural, tiene que soportar los niveles de latencia necesitados por los variados componentes de la aplicación; los cuales, solo para reiterar el punto, es probable que sean más numerosos que en el viejo y manualmente orientado mundo del data center, y también, como resultado de más grandes volúmenes de datos, requerirá mucho más ancho de banda. Quizás sería apropiado decir que este es un recurso para el cual la planeación de capacidad necesitará mantenerse por encima de los patrones de demanda.
Administración de identidad: Se necesita instalar un robusto sistema de administración de la identidad para permitir la automatización. Las solicitudes de servicios de cómputo vendrán no de una reunión con todos sentados, donde la autenticación y la autorización serían hechas sobre una base personal -por ejemplo, interacción directa cara a cara, permitiendo al autorizador de recursos identificar la legitimidad de la solicitud y el solicitante-sino de un servicio de solicitudes vía un mecanismo manejado por software, como un portal interno.
Esto significa que un sistema de administración de identidad debe operar eso abarcando todos los potenciales solicitantes de recursos, así como cualquier persona de administración de sistemas involucrada en entregar recursos. Esta administración de la identidad necesitará ser extendida para incorporar roles que permitan un flujo de trabajo apropiado, por ejemplo, un ingeniero de proyecto solicita recursos (el sistema de administración de identidad revisa, para ver si es una solicitud apropiada para este individuo), la aplicación se pasa al administrador del ingeniero para aprobación (sistema revisado para ver quién es el aprobador apropiado así como la autoridad para aprobar), y así.
Política: Un motor de política que contiene las reglas para las solicitudes de recursos es un complemento necesario para el sistema de administración de identidad. El sistema de políticas reúne las solicitudes de recursos, revisando la autorización y la autenticación, la asignación de recursos, y da como resultado el acceso a la información que envía de vuelta al solicitante.
Lo más importante que debe tener en mente en relación con nubes privadas es que:
1. Crean una mayor segregación entre aprovisionamiento de recursos y demanda de recursos;
2. Probablemente aumentará la demanda general de recursos, dado que esa fricción reducida en solicitudes de recursos, inevitablemente causará que la gente lo use más;
3. Implementar el data center automatizado requerirá recursos de hardware adicionales para permitir la asociación de recursos de forma remota con instancias de aplicaciones individuales;
4. La planeación de capacidad para asegurar que la disponibilidad de recursos se volverá una habilidad básica de las operaciones del data center.
Con respecto al número 4, la planeación de la capacidad necesita implementar algo como disponibilidad de infraestructura justo a tiempo. Esto es porque tener demasiada capacidad, con recursos yaciendo inertes, significa un desperdicio de capital (un no-no en estos días); mientras que tener muy poca capacidad restringirá la agilidad de las aplicaciones, lo que es uno de los principales puntos para implementar una nube privada en primer lugar.
Bernard Golden es CEO de la firma de consultoría HyperStratus, que se especializa en virtualización, cloud computing and temas afines. También es autor del libro Virtualization for Dummies, un best seller en este tema.
CIO (US)