Post on 20-Feb-2017
Wirtualizacja i automatyzacja usług sieci i bezpieczeństwa w DC Przemysław Misiak
Jak obecnie wygląda świat w którym żyją nasi bohaterowie?
I to wszystko przez te Chmury …
** Gartner, Sept. 2013, “Private Cloud Matures, Hybrid cloud is Next” * Gartner, May 2014, “Public Cloud Services, Worldwide, 1Q14 Update”
VM
VM
VM
VM
VM
VM
Business is moving to “As a Service” -‐ Cloud
72%Only 11% no plans to deploy private cloud**
PRIVATE CLOUD
My on-premises data center
APPS IN THE CLOUD
$54.5B19% CAGR*
My hosted service provider
My managed service provider
$158B19% CAGR*
PUBLIC CLOUD
My cloud service provider
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
Współczesne dostarczanie usług
Oczekiwane jest natychmiastowe dostarczanie usługi
Tradycyjne dostarczanie usług
User
CLICK HERE
User IT Admin
Współczesne aplikacje zmieniają rozkład ruchu Kiedyś: 80% ruchu kierowane do Internetu Dziś: 20% ruchu kierowane do Internetu (80% zostaje w DC)
80% wydatków DC przeznaczane jest na “CPU” oraz “storage” Sieć powinna zapewniać łączność bez ograniczania architektury obliczeniowej (get out of the way of compute)
Zasada Pareto
Co jeszcze się zmieniło w obrazie świata
˥ Serwisy internetowe stały się krytycznie ważne $$$$$
˥ Ataki w Internecie stały się profesjonalne i komercyjne $$$$$
˥ Systemy w DC opierają się na zwirtualizowanych serwerach
Sprzęt w Data Center staje się produktem masowym
Wprowadzenie Rozwój Dojrzałość Schyłek
Skupienie na cenie
Skupienie na funkcjonalności
Cena
Jesteśmy tutaj
Spowszednienie sprzętu w Data Center
Czterej Bohaterowie – Ekspert Sieciowy
˥ IPv4, IPv6
˥ BGP, OSPF, ISIS,
˥ MPLS, MP-‐BGP, RSVP, LDP
˥ QOS (RTT, Jijer, Packet Lost)
˥ Internet
˥ Ethernet, Vlan, QinQ
˥ Spanning Tree Protocol
Problemy -‐ Eksperta Sieciowego
˥ Ilość VLAN’ów!
˥ Topologie L2 ˥ Przenoszenie L2 między DC ˥ Tworzenie i dokumentowanie
˥ Stosowanie dodatkowych przełączników
˥ A do tego rozwój systemów sieciowych, styk z Internetem, Rounng BGP, zarządzanie etc.
WAN
Problemy architektury L2 w dzisiejszym DC
VM
ESX
VM
ESX
VM
ESX SRV SRV
VM
ESX
VM
ESX
VM
ESX
VM
ESX SRV SRV
VM
ESX
Problemy L2 pomiędzy DC § Koszt ciemnych włókien § Redundancja Acnve-‐Passive § Brak Control Plane Learning
Standardowe problemy L2 § Pętle § ARP § Broadcast storm
A jak by tak …. Pozbyć się L2 …. Czyste L3 w sieci…
L3 L3
L3 L3 L3
L3 L2
L3 L2
L2 L2 L2
Tradycyjna architektura Ethernet Fabric IP Fabric
L2/L3 L2/L3 Tylko L3
*TRILL, Shortest Path Bridging (SPB)
Dobrze ale co z usługami L2 w DC ?
Czterej Bohaterowie – Ekspert ds. Systemów
˥ Linux, RedHat, Windows
˥ Perl, Bash, .NET, Java
˥ Vmware, vCenter , vMonon, KVM
˥ Środowisko produkcyjne, developerskie i testowe
˥ Wie jak skonstruowane są aplikacje
˥ Współpracuje z developerami aplikacji
˥ Aplikacje i VM potrzebują łączności L2
Problemy – Eksperta ds. Systemów
˥ Wzrost wielkości i skomplikowania aplikacji
˥ Zmiany konfiguracyjne, które zgłasza do zespołu sieci i bezpieczeństwa nie nadążają za zmianami w jego domenie
˥ Jest ofiarą pomyłek konfiguracyjnych
OVERLAY!
Architektura Overlay
MH
Distributed VXLAN Overlay
…
…
Zmieńmy podejście do DC à SDDC
19
Sozware
Hardware
Wirtualne Maszyny
Wirtualne Sieci
Wirtualny Storage
Zasoby mocy obliczeniowej
Zasoby sieciowe
Zasoby Storage
Aplikacje
Niezależność od lokalizacji
Usługi w architekturze Overlay
L3 Service L2 Service L3 router L2 Service L2 Service
Topologia fizyczna
Możliwe są usługi transportu L2 lub L3 lub mieszane
Komunikacja L3
VMware NSX wprowadza “Next-‐Gen Networking” w świat DC
21
Applica@ons
Virtual Machines
Virtual Networks
Virtual Storage
Data Center Virtualiza@on Sozware
Hardware
L2 Switching
L3 Routing
Firewalling/ACLs
Load Balancing
Zautomatyzowany model operacyjny SDDC Usługi dostępna bezpośrednio Na Hypervisor
Zasoby: Mocy obliczeniowej, sieci i storage.
Niezależne jakiego producenta,
Uproszczone zarządzanie I
konfiguracja
Compute Capacity
Network Capacity
Storage Capacity
Title and Bullets
• VTEP (VXLAN TUNNEL End Point): Miejsce gdzie VXLAN tunel zaczyna się i kończy • VXLAN Gateway:
• Miejsce gdzie VXLAN spotyka VLAN, • Miejsce gdzie świat wirtualny spotyka
świat fizyczny
Non-‐VXLAN IP/MPLS Network
Hypervisor Hypervisor Hypervisor Physical Server
• Inter-‐VXLAN Rounng: Umożliwia Rounng pomiędzy podsieciami
VXLAN overlay virtual network
VTEP
Czy to znaczy, że nie potrzebujemy już “żelaza” ?
Jak w nowej sytuacji znajduje się ekspert od Systemów ?
˥ Otrzymuje możliwość zarządzania połączeniami pomiędzy VM w ramach DC jak i między DC (nie musi już prosić kolegów o konfigurowanie VLANów)
˥ Polityki bezpieczeństwa przypisywane są automatycznie do VM (również wypadku automatyzacji), a więc nie musi już czekać na konfiguracje firewalli
˥ Wszystkim zarządza z dobrze mu znanego narzędzia
Ale co z bezpieczeństwem ?
Czterej Bohaterowie -‐ Ekspert Bezpieczeństwa
˥ Polityka bezpieczeństwa
˥ Firewalle, NG Firewalle, IPS,
˥ Web Applicanon Firewall( WAF)
˥ Systemy anty-‐DDOS
˥ Uważa, że trzeba mieć pełną kontrolę nad każdym systemem, użytkownikiem, maszyną wirtualną i każdym pakietem podróżującym w sieci
˥ Uważa, że każdy system, każdy użytkownik, każda maszyna wirtualna powinny być w osobnej strefie bezpieczeństwa
Problemy -‐ Ekspert Bezpieczeństwa
˥ Jak bronić każdej maszyny wirtualnej ?
˥ Jak przenosić reguły w momencie przenoszenia maszyn wirtualnych
˥ Skalowalność Firewalli
˥ Możliwości przerobowe w zakresie zmian konfiguracyjnych reguł
27
Rozproszony Firewall
Sieć NSX vSphere Elementy sieciowe i bezpieczeństwa wbudowane w hypervisor,
Każda VM ma swój firewall
Automatyczne uruchamianie, przenoszenie, usuwanie polityk razem z VM
Network Overlays zapewnia mikro-‐segmentację Bezpieczeństwo w tradycyjnym Data Center Bezpieczeństwo w Data Center typu Overlay
Czterej Bohaterowie – Menedżer DC ˥ Sieci, bezpieczeństwo, systemy to tylko środki do
uzyskania celu nadrzędnego Menedżera
˥ Odpowiada za to aby :
˥ aplikacje były dostępne
˥ wszystko realizowane było przy najniższym możliwym koszcie
˥ Chce aby pozostali trzej efektywnie współpracowali
˥ Ma na głowie jeszcze inne ważne sprawy takie jak:
˥ Prąd ˥ Powierzchnia ˥ Klimatyzacja ˥ Gaszenie ˥ DRC (Disaster Recovery Center)
Problemy – Menedżera DC
˥ Stale podnoszona poprzeczka dostępności
˥ Ochrona danych
˥ Oczekiwanie minimalizacji kosztów
Co o SDDC sądzi Pan Menedżer ?
˥ Mam możliwość szybszego dostarczania usług dla biznesu
˥ Mam lepsze wykorzystanie zasobów
˥ Otrzymałem możliwość łatwiejszego tworzenia DRC w chmurze
˥ Jest mniej błędów konfiguracyjnych
˥ Wzrosła ziarnistość i nadążanie infrastruktury bezpieczeństwa za aplikacjami
˥ Moje aplikacje są bardziej dostępne
˥ Czysta sieć L3 ˥ Brak konieczności tworzenia usług L2
˥ Możliwość samodzielnego, szybkiego tworzenia usług L2 i L3 ˥ Automatyzacja ˥ Znane narzędzia
˥ Micro-‐segmentaja ˥ Zwiększenie skalowalności ˥ Aktualność reguł
˥ Większa dostępność aplikacji ˥ Krótszy czas dostarczenia usługi ˥ Większe bezpieczeństwo danych
Wszyscy wygrywają !!!
WITAMY W NOWEJ ARCHITEKTURZE
1/10/25/40/100G Optics
Multi-Silicon Strategy Innovative Systems Innovative Software
QFX Series Switching
QFABRIC SRX Series Security
EX & MX Series Universal SDN
Gateway
Virtual Chassis Fabric
MH
---------- B/OSS, ITSMs, DevOps, Platforms & Apps ---------
FOUNDATION TECHNOLOGIES
UNDERLAY ARCHITECTURE
OVERLAY ARCHITECTURE
SERVICE VIRTUALIZATION
INTEGRATED MANAGEMENT
Network Director
Security Director
Service Insertion and Chaining
vSRX
VNF Partners (Security, ADC, NAT…)
Distributed VXLAN Overlay
vMX