4. Инфраструктура
физическая виртуальная облачная
Физические нагрузки Виртуальные нагрузки Облачные нагрузки
• 1 приложение/сервер • N приложений/сервер • N арендаторов/сервер
• Статичность • Мобильность • Эластичность
• Ручное выделение • Динамическое выделение • Автоматическое
ресурсов ресурсов масштабирование
HYPERVISOR
VDC-1 VDC-2
Требуется универсальная сетевая инфраструктура для …
Приложения: производительность, масштабируемость и безопасность
Процессы: управление и политики
5. Традиционное место сервисов в ЦОД
Data Center Core
Защита периметра
Оптимизаторы трафика приложений
Data Center
Aggregation
Балансировщики нагрузки
Межсетевые экраны
Системы предотвращения вторжений
Анализаторы трафика
Криптоакселераторы
Data Center Services Layer
Повсеместно:
ACL
Access Layer
QoS
CoPP
Port Security
VM VM VM VM VM VM
VM VM VM VM VM VM
Virtual Access Layer
6. Как внедрить сервис для виртуализированных приложений?
Направить трафик с помощью VLAN Внедрить в гипервизор сервисное
на внешнее сервисное устройство устройство Virtual Service Node (VSN)
Web App Database Web App Database
Server Server Server Server Server Server
Гипервизор Гипервизор
VLANs
Виртуальные контексты VSN
Virtual Service Nodes
Физическое устройство
7. Варианты реализации Virtual Service Node
VM VM VSN VM VM VM VM VM VM
VM VM VSN
Гипервизор Гипервизор
Гипервизор vSwitch
Гипервизор vSwitch
VM VM VSN
VM VM VSN
Гипервизор
Гипервизор vSwitch
• Виртуальная машина на каждом • Виртуальная машина на несколько
хосте, использующая API хостов, использующая распределенный
гипервизора для перехвата коммутатор для перехвата трафика
трафика
8. vPath
• Функция Nexus 1000V
– Встроен в Virtual Ethernet Module и не требует инсталляции/активации
• Интеллектуальное перенаправление трафика виртуальных машин
– На втором и третьем уровне
– Поддержка до трех сервисов в цепи передачи трафика
– Загрузка политики в виртуальный коммутатор
• Поддержка модели «коммерческий ЦОД»
• Основа для реализации виртуализированных сервисов Cisco
vPath
Nexus 1000V
9. Настройка vPath/Virtual Service Node для чередующихся сервисов
• Настроить сервисное устройство
VSM-MSK(config)# vservice node svc_node type ?
asa ASA Node
vsg VSG Node
vwaas VWAAS Node
• Настроить цепочку сервисов
VSM-MSK(config)# vservice path svc_path
VSM-MSK(config-vservice-path)# node svc_vwaas order 10
• Присоединить сервисы к профилю порта
VSM-MSK(config)# port-profile vm_data
VSM-MSK(config-port-prof)# vservice path svc_path vPath
Nexus 1000V
10. Настройка vPath/Virtual Service Node для одного сервиса
• Или присоединить один сервис к профилю
VSM-MSK(config-port-prof)# vservice node <node name> {profile <profile
name>}
vPath
Nexus 1000V
13. Cisco Virtual WAAS
• Виртуализированное дополнение линейки Cisco WAAS
• Привычные средства управления
• Оптимизация трафика виртуальных машин
– Поддержка vPath
• Традиционная оптимизация трафика
– Поддержка WCCP
• Хранение кэша DRE на дисковом массиве
14. vWAAS
1
Частное облако
• Традиционное расположение – периметр филиала или ЦОД
WAN or • Постепенная миграция с физического на виртуальное
Internet
VMware ESXi Server устройство
WCCP/AppNav
2 Частное облако, виртуальное частное облако,
VMware ESXi
публичное облако
• Дискретная оптимизация вплоть до виртуальной машины
• Предоставление ресурсов по требованию
vPATH
Nexus 1000V vPATH
VMware ESXi Server
Nexus 1000V vPATH
VMware ESXi Server
15. vWAAS
Distributed Power
Дистрибутив в формате Open Management
Virtualization Format (OVF)
Поддержка vMotion и Storage vMotion
VMware ESXi
VMware ESXi
VMware ESXi
VMware ESXi
Power Off
Distributed Resource Scheduler (DRS)
Перехват трафика с помощью vPath
(config)# port-profile vWAAS VMware ESXi VMware ESXi
(config-port-prof)# switchport mode access
(config-port-prof)# switchport access vlan 102
(config-port-prof)# vmware port-group vWAAS
(config-port-prof)# no shut
vWAAS
(config-port-prof)# state enabled
(config-port-prof)# vmware max-ports 12
17. Мониторинг трафика виртуальных машин
• Виртуальная машина для устройства Nexus 1100
• Анализ трафика и статистика по интерфейсам
каждой виртуальной машины Cisco Prime NAM для Nexus
• Анализ времени отклика 1100 Series
• Захват и декодирование пакетов
• История статистики NetFlow
ERSPAN
Nexus 1000V Cisco Nexus 1100 Series Appliance
19. Осутствие поддержки корпоративных сетевых сервисов в облаке
Безопасность Масштабируемость Интеграция
• Разные политики VPN-подключений • Ограничения в количестве VLAN • Разные IP-подсети
• Ограниченная надежность • Неоптимальный маршрут трафика • Различные инструменты управления
соединения
• Ограниченный перечень сетевых
сервисов
ЦОД
VPC/ vDC
VPC/ vDC
INTERNET/ Облако
MPLS WAN
Филиал
Филиал Филиал
20. Расширение корпоративной сети в облако провайдера
Cisco Cloud Services Router 1000V
Безопасность Масштабируемость Интеграция
• Унифицированные политики • Снижение зависимости от VLAN • Единая сеть организации
• Масштабируемые и надежные • Оптимизация трафика филиалов • Знакомые инструменты управления
подключения VPN
• Требуемые организации сетевые
сервисы
ЦОД
VPC/ vDC
VPC/ vDC
INTERNET/ Облако
MPLS WAN
Филиал
Филиал Филиал
21. Маршрутизатор облачных сред Cisco Cloud Services Router 1000v
• Cisco IOS XE Cloud Edition
– Набор функций Cisco IOS XE
• Шлюз для виртуального частного облака, ЦОД
– Оптимизирован под использование одним арендатором
CSR
• Прозрачен для инфраструктуры 1000V
– Серверы, коммутаторы, маршрутизаторы
App App
• Оптимизирован для управления RP
– CSR 1000V RESTful API OS OS FP
– Cisco Prime NCS VPC/vDC
– Cisco IOS CLI и SNMP Гипервизор
vSwitch
*В настоящее время продукт находится на стадии контролируемого внедрения
22. Шлюз арендатора в многопользовательском облаке
Организация А
ЦОД ЦОД провайдера
CSR
1000V
Филиал Арендатор А
CSR
1000V
Филиал
Физическая Виртуальная
инфраструктура инфраструктура
26. Шлюз безопасности Cisco Virtual Security Gateway
VM VM VM
VM VM VM VM VM VM VM
VM VM VM VM VM VM VM VM VM
Nexus 1000V vPath
Distributed Virtual Switch
Группирование виртуальных машин Защита нескольких хостов с Прозрачное добавление
на основе общих свойств виртуальными машинами виртуальных машин
Использование свойств виртуальных
Перемещение политик вслед за
машин для построения правил Отказоустойчивость
виртуальными машинами
защиты
27. Cisco VSG. Перенаправление трафика виртуальных машин
VM VM VM
VM VM VM VM VM VM VM
VM VM VM VM VM VM VM VM VM
4
Nexus 1000V vPath
Distributed Virtual Switch
VSG
3 Результат
политики в
кеше
2 Проверка пакета
1 Первый пакет
в сессии согласно политике Log/Audit
28. Cisco VSG. Повышение производительности
VM VM VM
VM VM VM VM VM VM VM
VM VM VM VM VM VM VM VM VM
Nexus 1000V vPath
Distributed Virtual Switch
Результат политики в кеше VSG
определяет дальнейшие
действия Nexus 1000v
Последующие
пакеты к сессии
Log/Audit
29. Виртуальный межсетевой экран Cisco ASA 1000V
• Защита периметра виртуального частного ЦОД
– Использование в публичном и частном облаке
• Тесная интеграция с Nexus 1000v
– Перехват трафика с помощью vPath
– Поддержка сегментации сети VXLAN
• Интеграция с VSG
– Перенос типовой модели традиционного ЦОД в облачную среду
• Свободный рост количества и мощности виртуальных машин
– Горизонтальная масштабируемость ASA 1000V
31. Всеохватывающая безопасность для любых видов нагрузок
Физические устройства Виртуальные устройства
Cisco ASA Cisco Catalyst® 6500 Cisco VSG Cisco ASA 1000V
5585-X Series ASA Services Cloud Firewall
Module
• Масштабируемая производительность • Проверенный код в формате
• Защита физического периметра ЦОД виртуальной машины
• Различные модели внедрения • Политики на уровне групп виртуальных
машин
32. Cisco Virtual Network Management Center.
Инструмент обеспечения традиционной модели управления в ЦОД
• Управление множеством устройств на
основе ролей
• Настройка устройств в соответствии с
Администратор
политиками серверов
VMware
vCenter
• Поддержка дерева оргструктур и
делегирование полномочий по
управлению
• Интеграция в корпоративные системы
управления
Cisco
Cisco Nexus
VNMC 1000V
Администратор Администратор
безопасности сети
33. Разделение обязанностей в виртуализированном ЦОД
Администратор серверов Администратор сети Администратор безопасности
vCenter Nexus 1000V VNMC
• Создает кластер • Настраивает VSM • Создает дерево оргструктур
• Определяет конфигурации устройств
• Определяет экземпляры VSG/ASA1000V и связывает с ними
конфигурации устройств
• Создает шаблон описания порта port- • Определяет зоны безопасности
profile • Создает политики безопасности на основе зон и атрибутов
• Создает шаблоны безопасности security-profile
• Назначает политики безопасности шаблонам безопасности
• Связывает шаблон безопасности security-
profile с шаблоном порта port-profile
• Создает VM Root
• Назначает Port Group
виртуальному vNIC
VSM ASA 1000V/VSG
VM Tenant 1
port-profile security
vNIC policy set
web-server profile
policy
rule
37. Модель внедрения Cisco VSG
• VSG фильтрует трафик между виртуальными машинами, относящимся к разным профилям
безопасности
• Интерфейсы VSG находятся в сети, отдельной от сети виртуальных машин
• Каждый VSG принадлежит одной организации
• Правила безопасности основаны на атрибутах сетевых и виртуальных машин
Port Profile 2
Port Profile 1 Security Profile:
Security Profile: db-server
web-server
Port Group 2
Port Group 1 VSG
VM VM VM VM VM VM
Сеть VM организации
Служебная сеть
38. Модель внедрения Cisco ASA1000V
Port Profile 1 Port Profile 2 • ASA 1000V имеет только два
Edge Security Profile: Edge Security Profile: интерфейса
web-server db-server
– inside, outside
Port Group 1 Port Group 2
• Сегментация защищаемых
Nexus 1000
ресурсов достигается
VM VM VM VM VM VM
применением профилей
безопасности
inside – присоединяются к
Nexus 1000V интерфейсу inside
• Один экземпляр ASA1000V
ASA Port Group 3 защищает периметр одной
1000V
VM Port Profile 3 организации
outside
39. Модель внедрения Cisco ASA1000V Interface security-profile 2
security-profile db-server 1
Interface security-profile
Port Profile 1 Port Profile 2 security-profile web-server
nameif db
Edge Security Profile: Edge Security Profile:
web-server db-server nameif web
no ip address
no ip address
Port Group 1 Port Group 2
security-level 100
VM VM Nexus 1000
VM VM VM VM
Interface GigabitEthernet0/0
nameif inside
inside ip address 192.168.0.1
Nexus 1000V security-level 100
service-interface security-profile all inside
ASA Port Group 3
1000V
VM Port Profile 3 Interface GigabitEthernet0/1
outside nameif outside
ip address 201.24.56.11
security-level 0
40. Пример реализации ДМЗ
Использование двух экземпляров ASA1000V Использование ASA1000V и VSG
• По одному граничному МСЭ на зону • Общий VLAN на две зоны
• Внутри VLAN не используются средства • VSG обеспечивает защиту
фильтрации • Общий граничный МСЭ ASA1000V
Port-profile Port-profile Port-profile Port-profile
Inside DMZ Inside DMZ
(VLAN 200) (VLAN 400) (VLAN 200) (VLAN 200)
VM VM VM VM VM VM VM VM
Interface Interface Inside DMZ
Inside DMZ
Interface
Interface Ouside
Ouside
41. Защита приложений трехуровневой архитектуры
Оганизация A Зоны безопасности
на VSG
Разрешить доступ к серверам Разрешить доступ к серверам
приложений только веб- баз данных только серверам
серверам через HTTP/HTTPS приложений
Web App DB
Web
Server App
Server DB
server
Server Server server
Web-Zone App-Zone DB-Zone
Открыть порты 80 (HTTP) Открыть на серверах Запретить весь
и 443 (HTTPS) веб- приложений только остальной трафик
серверов порт 22 (SSH)
42. ЦОД поставщика облачных услуг
Организация А Департамент А Департамент Б
ASA
CSR 1000V
VSG VSG
1000V vWAAS
AppNav
Servers vPath
WAN Switches
Router
Nexus 1000V
Virtual Infrastructure
Гипервизор
Физическая среда Виртуальная среда
43. В заключение
• Сетевые сервисы:
– традиционные с привычными механизмами встраивания в поток данных
– виртуализированные, но использующие механизмы традиционных сервисов
для встраивания в поток данных
– виртуализированные и использующие характерные для среды виртуализации
механизмы получения трафика
• Виртуальные машины нужно и можно обеспечить сетевыми сервисами
• Cisco Nexus 1000V vPath является основой для реализации
виртуализированных сервисов в ЦОД
• Виртуализированные сервисы сохраняют модель эксплуатации ЦОД
44. Спасибо!
Заполняйте анкеты он-лайн и получайте подарки в Cisco
Shop: http://ciscoexpo.ru/expo2012/quest
Ваше мнение очень важно для нас!