Wirtualizacja  i  automatyzacja  usług  sieci  i  bezpieczeństwa  w  DC        Przemysław  Misiak  

Jak  obecnie  wygląda  świat    w  którym  żyją  nasi  bohaterowie?  

I  to  wszystko  przez  te  Chmury  …  

** Gartner, Sept. 2013, “Private Cloud Matures, Hybrid cloud is Next” * Gartner, May 2014, “Public Cloud Services, Worldwide, 1Q14 Update”

VM

VM

VM

VM

VM

VM

Business  is  moving  to  “As  a  Service”  -­‐  Cloud  

72%Only 11% no plans to deploy private cloud**

PRIVATE CLOUD

My on-premises data center

APPS IN THE CLOUD

$54.5B19% CAGR*

My hosted service provider

My managed service provider

$158B19% CAGR*

PUBLIC CLOUD

My cloud service provider

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

Współczesne dostarczanie usług

Oczekiwane jest natychmiastowe dostarczanie usługi

Tradycyjne dostarczanie usług

User

CLICK HERE

User IT Admin

   

 Współczesne  aplikacje  zmieniają  rozkład  ruchu    Kiedyś:  80%  ruchu  kierowane  do  Internetu  Dziś:  20%  ruchu  kierowane  do  Internetu    (80%  zostaje  w    DC)    

 80%  wydatków  DC  przeznaczane  jest  na  “CPU”  oraz  “storage”    Sieć  powinna  zapewniać  łączność  bez  ograniczania  architektury  obliczeniowej  (get  out  of  the  way  of  compute)  

Zasada  Pareto  

Co  jeszcze  się  zmieniło  w  obrazie  świata  

˥  Serwisy  internetowe  stały  się  krytycznie  ważne  $$$$$  

˥  Ataki  w  Internecie  stały  się  profesjonalne  i  komercyjne  $$$$$  

˥  Systemy  w  DC  opierają  się  na  zwirtualizowanych  serwerach  

Sprzęt  w  Data  Center  staje  się    produktem  masowym  

Wprowadzenie   Rozwój   Dojrzałość   Schyłek  

Skupienie  na  cenie  

Skupienie  na  funkcjonalności  

Cena  

Jesteśmy  tutaj  

Spowszednienie  sprzętu  w  Data  Center  

Czterej  Bohaterowie  –  Ekspert  Sieciowy    

˥  IPv4,  IPv6    

˥  BGP,    OSPF,    ISIS,    

˥  MPLS,    MP-­‐BGP,  RSVP,  LDP  

˥  QOS  (RTT,  Jijer,  Packet  Lost)  

˥  Internet  

˥  Ethernet,  Vlan,  QinQ  

˥  Spanning  Tree  Protocol  

Problemy  -­‐  Eksperta  Sieciowego    

˥  Ilość  VLAN’ów!  

˥  Topologie  L2  ˥  Przenoszenie  L2  między  DC  ˥  Tworzenie  i  dokumentowanie  

˥  Stosowanie  dodatkowych  przełączników  

˥  A  do  tego  rozwój  systemów  sieciowych,  styk  z  Internetem,  Rounng  BGP,  zarządzanie  etc.  

WAN  

Problemy  architektury  L2  w  dzisiejszym  DC  

VM  

ESX  

VM  

ESX  

VM  

ESX  SRV   SRV  

VM  

ESX  

VM  

ESX  

VM  

ESX  

VM  

ESX  SRV   SRV  

VM  

ESX  

Problemy  L2  pomiędzy  DC    §  Koszt  ciemnych  włókien  §  Redundancja  Acnve-­‐Passive  §  Brak  Control  Plane  Learning    

Standardowe  problemy  L2    §  Pętle  §  ARP  §  Broadcast  storm  

A  jak  by  tak  ….  Pozbyć  się  L2  ….  Czyste  L3  w  sieci…  

L3 L3

L3   L3   L3  

L3 L2

L3 L2

L2 L2 L2

Tradycyjna architektura Ethernet Fabric IP Fabric

L2/L3 L2/L3   Tylko  L3  

*TRILL,  Shortest  Path  Bridging  (SPB)  

Dobrze  ale  co  z  usługami  L2  w  DC  ?  

Czterej  Bohaterowie  –  Ekspert  ds.  Systemów  

˥  Linux,  RedHat,  Windows  

˥  Perl,  Bash,  .NET,  Java  

˥  Vmware,  vCenter  ,  vMonon,  KVM    

˥  Środowisko  produkcyjne,  developerskie  i  testowe  

˥  Wie  jak  skonstruowane  są  aplikacje  

˥  Współpracuje  z  developerami  aplikacji    

˥  Aplikacje  i  VM  potrzebują  łączności  L2  

Problemy  –  Eksperta  ds.  Systemów  

˥  Wzrost  wielkości  i  skomplikowania  aplikacji  

˥  Zmiany  konfiguracyjne,  które  zgłasza  do  zespołu  sieci  i  bezpieczeństwa  nie  nadążają  za  zmianami  w  jego  domenie  

˥  Jest  ofiarą  pomyłek  konfiguracyjnych  

OVERLAY!  

Architektura  Overlay  

MH

Distributed VXLAN Overlay

…  

…  

Zmieńmy  podejście  do  DC  à  SDDC  

19  

Sozware  

Hardware  

Wirtualne  Maszyny  

Wirtualne  Sieci  

Wirtualny  Storage  

Zasoby  mocy  obliczeniowej  

Zasoby  sieciowe  

Zasoby  Storage  

Aplikacje  

Niezależność  od  lokalizacji  

Usługi  w  architekturze  Overlay  

L3  Service   L2  Service   L3  router  L2  Service   L2  Service  

Topologia  fizyczna  

Możliwe  są  usługi  transportu  L2  lub  L3  lub  mieszane  

Komunikacja  L3  

VMware  NSX  wprowadza    “Next-­‐Gen  Networking”  w  świat  DC  

21  

Applica@ons  

Virtual  Machines  

Virtual  Networks  

Virtual    Storage  

Data  Center  Virtualiza@on  Sozware  

Hardware  

L2 Switching

L3 Routing

Firewalling/ACLs

Load Balancing

Zautomatyzowany model operacyjny SDDC Usługi dostępna bezpośrednio Na Hypervisor

Zasoby:  Mocy  obliczeniowej,  sieci  i  storage.    

 Niezależne  jakiego  producenta,    

 Uproszczone  zarządzanie  I  

konfiguracja  

Compute  Capacity  

Network  Capacity  

Storage  Capacity  

Title  and  Bullets  

•  VTEP  (VXLAN  TUNNEL  End  Point):                Miejsce  gdzie  VXLAN  tunel  zaczyna  się  i  kończy  •  VXLAN  Gateway:  

•  Miejsce  gdzie  VXLAN  spotyka  VLAN,  •  Miejsce  gdzie  świat  wirtualny  spotyka    

świat  fizyczny  

Non-­‐VXLAN  IP/MPLS  Network  

Hypervisor   Hypervisor   Hypervisor  Physical  Server  

•  Inter-­‐VXLAN  Rounng:              Umożliwia  Rounng  pomiędzy  podsieciami  

VXLAN  overlay  virtual  network  

VTEP  

Czy  to  znaczy,  że  nie  potrzebujemy  już  “żelaza”  ?  

Jak  w  nowej  sytuacji  znajduje  się    ekspert  od  Systemów  ?  

˥  Otrzymuje  możliwość  zarządzania  połączeniami  pomiędzy  VM  w  ramach  DC  jak  i  między  DC  (nie  musi  już  prosić  kolegów  o  konfigurowanie  VLANów)  

˥  Polityki  bezpieczeństwa  przypisywane  są  automatycznie  do  VM  (również  wypadku  automatyzacji),  a  więc  nie  musi  już  czekać  na  konfiguracje  firewalli  

˥  Wszystkim  zarządza  z  dobrze  mu  znanego  narzędzia    

Ale  co  z  bezpieczeństwem  ?  

Czterej  Bohaterowie  -­‐  Ekspert  Bezpieczeństwa    

˥  Polityka  bezpieczeństwa  

˥  Firewalle,  NG  Firewalle,  IPS,    

˥  Web  Applicanon  Firewall(  WAF)  

˥  Systemy  anty-­‐DDOS  

˥  Uważa,  że  trzeba  mieć  pełną  kontrolę  nad  każdym  systemem,  użytkownikiem,  maszyną  wirtualną  i  każdym  pakietem  podróżującym  w  sieci  

˥  Uważa,  że  każdy  system,  każdy  użytkownik,  każda  maszyna  wirtualna  powinny  być  w  osobnej  strefie  bezpieczeństwa  

Problemy  -­‐  Ekspert  Bezpieczeństwa    

˥  Jak  bronić  każdej  maszyny  wirtualnej  ?  

˥  Jak  przenosić  reguły  w  momencie  przenoszenia  maszyn  wirtualnych  

˥  Skalowalność  Firewalli    

˥  Możliwości  przerobowe  w  zakresie  zmian  konfiguracyjnych  reguł    

27  

Rozproszony  Firewall  

Sieć  NSX  vSphere   Elementy  sieciowe  i  bezpieczeństwa  wbudowane  w  hypervisor,    

Każda  VM  ma  swój  firewall  

Automatyczne  uruchamianie,  przenoszenie,  usuwanie  polityk  razem  z  VM  

Network  Overlays  zapewnia  mikro-­‐segmentację  Bezpieczeństwo  w  tradycyjnym  Data  Center   Bezpieczeństwo  w  Data  Center  typu  Overlay    

Czterej  Bohaterowie  –  Menedżer  DC  ˥  Sieci,  bezpieczeństwo,  systemy  to  tylko  środki  do  

uzyskania  celu  nadrzędnego  Menedżera  

˥  Odpowiada  za  to  aby  :  

˥  aplikacje  były  dostępne  

˥  wszystko  realizowane  było  przy  najniższym  możliwym  koszcie  

˥  Chce  aby  pozostali  trzej  efektywnie  współpracowali  

˥  Ma  na  głowie  jeszcze  inne  ważne  sprawy  takie  jak:    

˥  Prąd    ˥  Powierzchnia  ˥  Klimatyzacja  ˥  Gaszenie  ˥  DRC  (Disaster  Recovery  Center)  

Problemy  –  Menedżera  DC  

˥  Stale  podnoszona  poprzeczka  dostępności  

˥  Ochrona  danych  

˥  Oczekiwanie  minimalizacji  kosztów  

Co  o  SDDC  sądzi  Pan  Menedżer  ?  

˥  Mam  możliwość  szybszego  dostarczania  usług  dla  biznesu  

˥  Mam  lepsze  wykorzystanie  zasobów  

˥  Otrzymałem  możliwość  łatwiejszego  tworzenia  DRC  w  chmurze  

˥  Jest  mniej  błędów  konfiguracyjnych    

˥  Wzrosła  ziarnistość  i  nadążanie  infrastruktury  bezpieczeństwa  za  aplikacjami  

˥  Moje  aplikacje  są  bardziej  dostępne  

˥  Czysta  sieć  L3  ˥  Brak  konieczności  tworzenia  usług  L2  

˥  Możliwość  samodzielnego,  szybkiego  tworzenia  usług  L2  i  L3  ˥  Automatyzacja  ˥  Znane  narzędzia  

˥  Micro-­‐segmentaja  ˥  Zwiększenie  skalowalności  ˥  Aktualność  reguł  

˥  Większa  dostępność  aplikacji  ˥  Krótszy  czas  dostarczenia  usługi  ˥  Większe  bezpieczeństwo  danych  

Wszyscy  wygrywają  !!!  

WITAMY  W  NOWEJ  ARCHITEKTURZE  

1/10/25/40/100G Optics

Multi-Silicon Strategy Innovative Systems Innovative Software

QFX Series Switching

QFABRIC SRX Series Security

EX & MX Series Universal SDN

Gateway

Virtual Chassis Fabric

MH

---------- B/OSS, ITSMs, DevOps, Platforms & Apps ---------

FOUNDATION TECHNOLOGIES

UNDERLAY ARCHITECTURE

OVERLAY ARCHITECTURE

SERVICE VIRTUALIZATION

INTEGRATED MANAGEMENT

Network Director

Security Director

Service Insertion and Chaining

vSRX

VNF Partners (Security, ADC, NAT…)

Distributed VXLAN Overlay

vMX