Современные приложения все активнее проникают в онлайн-экономику. Однако не совсем ясно, носит ли их движение центростремительный или центробежный характер – другими словами, тяготеют ли они к центру облака или к границам сети.
Приложения – в форме программного обеспечения, сервисов, рабочей нагрузки и бизнес-логики – движутся в целом в том же направлении, что и данные, которые они генерируют и используют. Кто-то считает, что в массе своей они перемещаются в центр облака, привлекаемые растущим объемом озер данных, а кто-то видит их рассеивание в виде мельчайших микросервисов по границам вслед за мобильными и встроенными устройствами, а также устройствами Интернета вещей.
Реально ли притяжение данных?
Мы живем в мире, где облако все сильнее смещается на периферию, но стрелка весов в любой момент может качнуться и в другом направлении. Для объяснения тех или иных тенденций развертывания приложений обозреватели любят обращаться к новому понятию «притяжения данных».
Предполагаемое гравитационное притяжение данных, по их мнению, основано на следующих принципах.
Производительность. По мере приближения приложений к данным задержки снижаются, а пропускная способность при выполнении функций, связанных с обработкой данных, увеличивается.
Контроль. Приближение приложений к данным помогает обеспечить безопасность и добиться более полного и детального контроля над использованием и обработкой данных.
Стоимость. В случае приближения приложений к данным дополнительная выгода извлекается за счет повышения эффективности хостинга и управления связанной с данными рабочей нагрузкой приложений.
Масштабируемость. При приближении приложений к данным их ценность возрастает вследствие упрощения доступа к большему объему и разнообразию данных в непосредственной близости от их местонахождения.
Функционал. Приближение приложений к данным дает возможность воспользоваться преимуществами специального анализа данных, их интеграции, манипуляций с ними и другого функционала, поддерживаемого базовым источником или репозитарием.
Притяжение данных и гиперконвергентная инфраструктура
Если притяжение данных реально, оно несомненно должно оказывать влияние на архитектуру облака и сред граничных вычислений (edge computing). Но не вполне ясно, можно ли здесь говорить о чистом влиянии притяжения данных.
Некоторые считают, что аппаратным катализатором притяжения данных является гиперконвергентная инфраструктура. Согласно этому аргументу, гравитационное притяжение данных приводит к усилению связей между хранилищем данных и ресурсами обработки приложений – вычислительными, памяти, сетевыми и виртуализации – в новом поколении популярных аппаратных решений в облачных ЦОДах.
Но, называя гиперконвергентную инфраструктуру фактором притяжения данных к облаку, они игнорируют то, что соответствующие аппаратные средства зачастую развертываются как раз в периферийных средах, а не в стойках облачных ЦОДов. Ослабление притяжения у границ объясняется скорее потребностью в непрерывном улучшении восприятия пользователей – улучшении мобильных средств, интерактивного взаимодействия и взаимодействия в реальном времени, а также потоковых технологий – а не каким-то магическим притяжением данных, хранящихся в этих узлах.
Применительно к гиперконвергентной инфраструктуре аргумент притяжения данных легко может быть использован и в обратном направлении. Вычислительные мощности, являющиеся обязательным условием для выполнения любых приложений, имеют свойство притягивать к себе и другие ресурсы, включая данные. А поскольку эти ресурсы находятся в гиперконвергентном шасси вместе с центральными и прочими процессорами, улучшения в части производительности приложений, управления, стоимости, масштабируемости и функционала так же легко могут притягивать данные к границам сети, как и к облаку.
Притяжение данных и конфиденциальные вычисления
Не имея возможности изолировать и защитить конфиденциальные данные, многие организации предпочитают просто не выпускать их за пределы своих сетей. Притяжение данных легко можно сместить к краям сети, если защитить их с помощью стандартизированного в рамках всех платформ, приложений и инструментов подхода.
Ключевым условием реализации такой инициативы является обеспечение безопасности за периметром. Процедуры аутентификации, выдачи разрешений, обеспечения конфиденциальности и выполнения других функций управления должны следовать за данными, где бы те ни находились. Узлам обработки нужен постоянный доступ к средствам безопасности, позволяющим организовать управление ресурсами данных в моменты их использования, хранения и перемещения.
Другим важным элементом является оборудование, обеспечивающее конфиденциальность и безопасность данных за периметром с помощью доверенных сред исполнения, интегрированных во все узлы как в облаке, так и на границах сети. Преимущества стандартизированных аппаратных ускорителей при решении конфиденциальных задач очевидны. Они хорошо подходят для управления паролями и ключами на уровне устройств, реализации блокчейна и электронных кошельков, приложений искусственного интеллекта и машинного обучения, обмена сообщениями и построения других программ, имеющих дело с конфиденциальными данными. Но для того чтобы воспользоваться преимуществами таких средств защиты, необходимо внести существенные изменения в инструменты разработки приложений.
Эта новая парадигма отражает фундаментальный сдвиг в выполнении вычислений на аппаратном уровне. Она позволяет обрабатывать зашифрованные данные в памяти на заданном узле, не открывая их неавторизованным программам и другим локальным ресурсам. Опыт использования сред AMD Secure Encrypted Virtualization, Intel Software Guard Extensions, Red Hat Enarx и Google Asylo Project показывает, что конфиденциальные вычислительные технологии должны изолировать важные данные приложений при их размещении в памяти.
Если отраслевой стандарт – вычислительный фреймворк, обеспечивающий конфиденциальность на аппаратном уровне, будет поддержан рынком, причины, заставляющие предприятия держать конфиденциальные данные на своей территории, в значительной мере исчезнут. Созданный недавно организацией Linux Foundation консорциум Confidential Computing Consortium я считаю шагом в правильном направлении. Группа, в состав которой в качестве спонсоров и участников входят Alibaba, Arm, Baidu, Google, IBM, Intel, Microsoft и целый ряд других компаний, разрабатывает общую межотраслевую платформу с открытым кодом, позволяющую любому приложению обращаться к загружаемым в оперативную память и используемым на постоянной основе функциям безопасности, четкое выполнение которых обеспечивается на любом узле.
Данные в невесомости
Для реализации конфиденциальных вычислений в полном объеме стандартная отраслевая платформа должна быть интегрирована в более широкую инфраструктуру за пределами периметра. В идеальной среде элементы обеспечения безопасности данных и управления будут последовательно применяться везде, где находятся данные, от ядра облака до множества периферийных устройств. Эти элементы управления обеспечат эффективность и масштабируемость при любом сценарии, включая использование, хранение и перемещение данных.
Сместит ли идеальная конфиденциальная вычислительная инфраструктура «притяжение» данных от ядра к краям? Не обязательно. Универсальная, стандартная и неизменно высокопроизводительная инфраструктура, поддерживающая все узлы в распределенной структуре, не должна оказывать чистого эффекта на распространение данных и на приложения, подпитываемые этими данными.
