«ДАКОМ М» усилил SpaceVM первым в России интегрированным проприетарным SDN‑стеком

Российский разработчик «ДАКОМ М» вывел на рынок обновленную платформу виртуализации SpaceVM 7 — первую и единственную на российском рынке с полностью проприетарным SDN‑стеком SDN Flow, который входит в состав продукта и не требует отдельной лицензии. Платформа объединяет enterprise‑гипервизор первого типа, новое сетевое ядро с поддержкой L2/L3‑сетей и встроенную безопасность, обеспечивая для российских компаний сценарии замены зарубежных решений по виртуализации и SDN в едином технологическом стеке. Для российских заказчиков SpaceVM 7 с SDN Flow стал альтернативой связке VMware vSphere и NSX в контексте единой отечественной платформы.

В основе SpaceVM 7 лежит движок Linux, которое является объектом исследований Консорциума совместных исследований безопасности ядра Linux при ИСП РАН. Пакетная база SpaceVM 7 кардинально обновлена: это обеспечивает совместимость с современным оборудованием, позволяет использовать исправления накопленных ошибок в актуальных версиях библиотек Linux, а равным образом задействовать новые возможности этих библиотек. Обновленный стек ядра и пользовательского пространства формирует устойчивую базу для дальнейшего развития платформы и долгосрочной эксплуатации в корпоративных и государственных инфраструктурах.

SpaceVM 7 развивает идею единого стека: SDN Flow — это не отдельная опция, а пересборка всей сетевой логики платформы и новое сетевое ядро системы.  Вместо связки нескольких сетевых компонентов сетевые сервисы реализованы в одной проприетарной подсистеме, которая управляется из того же центра, что и виртуальные машины. Администратор работает с виртуальными сетями, сервисами и политиками на уровне всего кластера через веб‑интерфейс, программный интерфейс или CLI, без расхождений в конфигурации и «разных точек правды» между отдельными узлами.  Такой решение снижает совокупную стоимость владения, упрощает эксплуатацию и делает архитектуру прозрачной как для ИТ‑директора, так и для службы информационной безопасности.

SpaceVM 7 стала первой платформой на российском рынке корпоративной виртуализации, где сетевая SDN-подсистема полностью разработана самой компанией и интегрирована в платформу, а не работает как внешнее решение.

SDN Flow изначально проектировался как стройный согласованный программный комплекс-основа для production‑нагрузок.  Сетевая подсистема поддерживает динамическую маршрутизацию с сотнями тысяч правил и механизмы фильтрации с десятками и сотнями тысяч записей без деградации производительности, что соответствует требованиям крупных корпоративных инфраструктур с высокой плотностью сервисов и сложной топологией.  При этом L3‑функциональность — маршрутизация, NAT, DHCP, динамические протоколы вроде BGP и механики вроде Floating IP — доступна из коробки как базовый скрипт, а не как внешняя надстройка.

На уровне архитектуры в SpaceVM 7.0 переработана внутренняя сетевая реализация: в ходе разработки команда отказалась от отдельного слоя на базе VPP и перенесла необходимые функции непосредственно в существующий веб стек на основе Open vSwitch.

 Это не замена одного инструмента другим, а упрощение архитектуры: то, что раньше требовало взаимодействия между несколькими компонентами, теперь выполняется внутри одного слоя. В результате сокращается количество точек отказа, уменьшаются накладные расходы на обработку трафика и повышается предсказуемость поведения сети при сохранении всей требуемой L3‑функциональности.

Особое внимание уделено отказоустойчивости.  Сеть перестаёт зависеть от одного узла или одного контроллера: используются распределённые шлюзы, все физические L3‑интерфейсы кластера могут задействоваться в активном режиме, а при наличии 10 узлов суммарная пропускная способность сети масштабируется в десять раз, задействуя ресурсы каждого из них.  При потере связи с центральным контроллером управление сетевыми настройками на уровне узла не блокируется, что критично для эксплуатации в нестабильных условиях и распределённых сценариях. В платформе равным образом реализована опция автоматического переключения на резервный контроллер при выходе из строя основного, что обеспечивает непрерывность управления инфраструктурой без участия администратора. Повышена устойчивость к отказам виртуальных машин на пулах GFS2, оптимизировано потребление памяти механизмом ballooning в условиях высокой нагрузки. 

Встроенные механизмы наблюдаемости и контроля — мониторинг состояния сетевых интерфейсов, зеркалирование трафика, захват и аналитика пакетов — доступны на уровне той же централизованной модели управления.  Это снижает порог диагностики и позволяет быстрее реагировать на сетевые инциденты без обязательного привлечения внешних систем мониторинга, что особенно важно для крупных корпоративных и государственных инфраструктур.

Одним из ключевых приоритетов SpaceVM остается защита на всех уровнях системы. SDN Flow делает микросегментацию частью самой сетевой модели, а не внешним слоем.  Инфраструктура может быть разделена на изолированные логические сегменты для отдельных сервисов, подразделений или групп виртуальных машин: бухгалтерия, пользовательский контур, критичные сервисы, контур дистанционного банковского обслуживания и т. д.  Политики взаимодействия задаются централизованно и применяются на уровне виртуальных коммутаторов и интерфейсов, при необходимости переопределяются для конкретных ВМ и автоматически сопровождают их при создании или миграции.

С практической точки зрения это меняет схема угроз.  Если раньше инцидент в одном сегменте мог быстро распространиться по плоской сети и затронуть критичные системы, то теперь он локализуется в пределах своего контура: взаимодействие между сегментами жёстко контролируется политиками, поддерживаемыми ACL, пограничным firewall, инспекцией трафика и инструментами анализа вплоть до DPI.  Типичная ситуация, когда, в частности, бухгалтерия оказывается атакована шифровальщиком, остаётся неприятной, но не превращается в катастрофу масштаба всей компании.

В планах разработчиков  дальнейшие улучшения SpaceVM , направленные на повышение производительности сетевой подсистемы.  Так, использование DPDK позволит ускорять обработку сетевых пакетов благодаря обращения к сетевому адаптеру в обход сетевой подсистемы ядра Linux и разгрузки центрального процессора.  Связка BPF и XDP применяется для глубокой пакетной инспекции и фильтрации трафика на уровне ядра, что повысит производительность реализации политик безопасности без заметной потери производительности.  В итоге цифровой сетевой интерфейс с номинальной пропускной способностью 10 Гбит/с будет способен выдавать стабильные 10 Гбит/с, а не 1–5 Гбит/с в зависимости от нагрузки на CPU, что критично для enterprise‑нагрузок.

SpaceVM при этом остаётся ядром широкой экосистемы Space.  Это enterprise‑гипервизор первого типа, который можно инсталлировать на «голое» железо по методу one‑click, и вокруг него развиваются решения для управления гибридной инфраструктурой и внутренним биллингом (Space Cloud), платформа виртуальных рабочих столов (Space VDI) и клиенты для удалённого доступа (Space Client).  В сумме это даёт возможность строить полностью отечественный контур виртуализации и рабочих мест: от серверной инфраструктуры и сетей до пользовательских рабочих столов, управления доступом и учёта ресурсов — на базе единой архитектуры и одного вендора.

«Для российских компаний импортозамещение сегодня — это не только выбор отечественного вендора, но и необходимость сохранить привычный для Enterprise уровень надёжности и управляемости инфраструктуры. Когда мы проектировали SDN Flow для SpaceVM 7, мы изначально закладывали его как новое сетевое движок платформы, рассчитанное на production‑нагрузки и сложные корпоративные топологии. В результате заказчик получает единую платформу, где L3‑сети, микросегментация, динамическая маршрутизация и наблюдаемость — это базовые возможности, а не набор внешних надстроек. Наша проблема — обеспечить российским компаниям предсказуемый и технологически целостный переход на отечественный стек виртуализации, при котором они не отказываются от функциональности, к которой привыкли в глобальных продуктах, а зарабатывают сопоставимый уровень возможностей в единой экосистеме Space», — сказал Алексей Мензовитый, директор по продукту SpaceVM, компании «ДАКОМ М».

Для российских заказчиков SpaceVM 7 с SDN Flow стал альтернативой связке VMware vSphere и NSX в контексте единой отечественной платформы.