Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Построение гибридных облачных решений с Cisco Intercloud Fabric.
1. Евгений Петякшев, SE, 3xCCIE: Security, DC, SP
epetyaks@cisco.com
Построение гибридных облачных
решений с Cisco Intercloud Fabric.
2. План
2
• Гибридные облака, что такое
• Cisco Intercloud Fabric
Архитектура
• Демонстрация
• Cisco Intercloud Fabric
сценарии использования
• Q & A
3. ЦОД, частное
облако
§ Детерминированная
нагрузка
§ Соблюдение
корпоративных политик
безопасности, требований
регуляторов
Публичное облако
§ Гибкая нагрузка
§ Скорость
Тип нагрузки
§ Выбор: строим ЦОД/
арендуем у провайдера
§ Возможность миграции
нагрузки
§ Целостность политик
безопасности
Гибридные облака
Гибридные облака
3
4. Преграды на пути к публичным облакам
4
УправлениеБезопасность Сложность/выбор
§ Небезопасное подключение
§ Ограниченная защита нагрузки
§ Перенастройка приложений
§ Связи между приложениями
§ Нет обратных связей, аудита
§ Отсутствие выбора так
такового
§ Нецелостные облачные
архитектуры
§ Решения только частично
закрывающие вопросы
связанные с безопаснотью,
сетью, приложениями
§ Разные системы управления
6. Решение Cisco Intercloud Fabric
6
Корпоративное облако Облако провайдера
vSphere
Hyper-V
Openstack/KVM
CloudStack/Xen
Intercloud
Fabric for
Business
Портал
User/Admin
Secure Extender:
Сеть,
вычислительные
ресурсы, данные
Azure APIs
EC2 APIs
Cloud
Providers
&
Cisco Powered
Services
Intercloud
Fabric
Provider
Intercloud
Fabric for
Provider
Централизованное управление, унифицированные политики
определяемые заказчиком без взаимодействия с облачным провайдером,
не видимые провайдеру, не зависимые от провайдера и от выбора
провайдера облачных услуг
8. Частное
облако
Public
Cloud
Intercloud Fabric
Director
Intercloud Fabric Secure Extender
Cisco
Powered
VM VM
Intercloud Fabric Provider
Platform (Опция)
Безопасное ‘растягивание’ сети,
Мобильность нагрузки
Портал Admin/User
Управление нагрузкой и
фабрикой
Cloud APIs
Cisco Intercloud Fabric Компоненты
8
9. Cisco Intercloud Fabric детали архитектуры
9
Публичное
VM
Intercloud
Fabric Director
Intercloud
Коммутатор
Intercloud Fabric
Provider Platform
VM
Manager
Частное
Облачные провайдеры
IT AdminsEnd Users
VM VM
Intercloud
Extender
Intercloud Fabric
Services
VM
Intercloud Fabric Secure Extender
Администратор
устанавливает
Intercloud Fabric
Director
Настраивается
автоматически
самим Intercloud
Fabric Director
Администратор
провайдера
устанавливает
10. Основные термины
Intercloud Virtual Data Center (vDC): Среда, содержащая виртуальные ресурсы, правила и
политики для обеспечения групповых требований.
Пользовательские группы: Логически соответствует контейнеру.
Пользователи: Пользователи – части групп. Поддерживаются различные типы
пользователей с различными правами доступа.
Intercloud Fabric Driver: Часть каждой облачной виртуальной машины для обеспечения
безопасности; множества виртуальных адаптеров
Каталог: Администратор может опубликовать каталог в vDC для того чтобы конечные
пользователи заказывали ресурсы
Сервисный запрос: Инициирует WorkFlow, который включает в себя проверку бюджета,
динамическое распределение ресурсов, подтверждение, предоставление, жизненный
цикл и уведомление о состоянии запросов на обслуживание
10
12. Intercloud Fabric Secure Extender
12
VM VM
Trunk
VM VM
Intercloud Fabric
Extender
Intercloud Fabric
коммутатор VM VM
VM VM
Intercloud Fabric Secure Extender
Частное Публичное
Сети данных
Сети данных
‘растянутые’ в
облако
Layer 2
Extension(HA), TLS
Облачные
виртуальные
машины с ICF
драйвером
Intercloud Fabric
Виртуальные
сервисы
• Поддержка высокой доступности для ICF Extender, ICF комутатор
• Облачные виртуальные машины с драйвером ICF
• Холодная миграция нагрузки или создание из шаблонов
13. Intercloud Switch
VEM
Cloud VM
VLANs
Mgmt
Intercloud Extender
Data
Trunk
Intercloud Extender и Intercloud Switch Интерфейсы
13
• Management Interface – Для связи с Intercloud
Fabric Director. Так же может терминировать
шифрованный туннель
• Tunnel interface – шифрованный туннель до ICF
коммутатора
• Trunk interface – Транк с подсетями которые
необходимо ‘растягивать’
Mgmt
Tunnel Public IP
• Management Interface – для связи между ICF
Director и IFC Extender
• Public interface – Публичный IP адрес
• Cloud VM interfaces – интерфейс облачной
виртуальной машины в ‘растянутой’ сети
VEM
Internal
Enterprise
Trunk
Internal
Tunnel
Trunk
Internal
Tunnel
Trunk
14. Интерфейсы облачной виртуальной машины
14
Intercloud Fabric Драйвер
Overlay
Интерфейсы
Интерфейс
провайдера
Коммутатор провайдера
Cloud VEM Ports
Публичный IP
Provider Ports
vNIC
Порт доступа (частный IP)
Provider Public IP – Для связи с Intercloud Fabric Director
Private IP – Связь между ICF коммутатором и другими облачными
виртуальными машинами
15. Intercloud Fabric Extender – связь с множеством облаков
15
Intercloud Fabric
Switch
Intercloud Fabric
Extender VM VM
VM VM
Частное
Облако Б
Intercloud Fabric
Switch
VM VM
Облако AIntercloud Fabric
Extender
VM VM
16. Безопасность:
Данные между частным и публичным облаком
§ Шифрование, настройка ключей, хеш
Безопасность между облачными виртуальными
машинами
§ Intercloud Driver
§ Шифрование, настройка ключей, хэш
Layer 3 безопасность FW via IC CSR
Layer 2 безопасность FW via IC VSG
Алгоритмы шифрования– AES-128-GCM, AES-128-
CBC, AES-256-GCM (Suite B), AES-256-CBC
Хеширование– SHA-1, SHA-256, SHA-384
Все данные зашифрованы:
§ Заказчик-облако, между виртуальными
машинами
Ключ принадлежит заказчику
16
Публичное облакоЧастное Облако
VM
Intercloud
Extender
VMM
VM
with
ICD
Intercloud
Fabric Director
VM
Intercloud
коммутатор
Site-to-Site туннель
Access Data
Tunnel
Intercloud Fabric Secure Extender
17. Публичное ОблакоЧастне Облако
S2S Туннель
Control Channel
Access Data Tunnel
Control Channel
HTTPS/XML API SSH/SCP HTTP/HTTPS
ICFD PNSC
icfCloud
1. Сгенерировать глобальную SSH ключевую пару
когда идет настройка PNCS (ICFD*)
2. Сегенрировать и хранить SSH ключевую пару в
(ICFD*) на каждое облако
3. Вставить глобальный публичный SSH ключ в ICS и
cVM образы при формировании темплейтов в
облаке, движении виртуальных машин,…
4. Используя SSH глобальную пару - заменить на
каждой cVM SSH публичным ключем уровня
icfCloud
1
2
3
4
Cloud
VM
Безопасность: механизм распределения ключей
19. Путь пакета между виртуальной машиной в частном и
публичном облаке
19
Виртуальный коммутатор
Tunnel
Port
Trunk
Port
Intercloud
Extender
VM
Туннель
Порт доступа
Транк
Enterprise Ports
Данные
И
Н
Т
Е
Р
Н
Е
Т
Intercloud
Коммутатор
Коммутатор провайдера
VM IC Driver
Tunnel
Outer
MAC/IP/UDP L2X Данные
Tunnel
Outer
MAC/IP/UDP L2X Данные
Данные
Приложение Приложение
20. Путь пакета между виртуальными машинами в
публичном облаке
20
Enterprise Virtual Switch
Intercloud
коммутатор VM
IC Driver
Данные
Коммутатор провайдера
VM IC Driver
Tunnel
Outer
MAC/IP/UDP L2X Данные
Tunnel
Outer
MAC/IP/UDP L2X Данные
Приложение Приложение
Данные
22. Intercloud Fabric Сервисы
22
IC Virtual Security
Gateway (VSG)
IC Cisco Cloud Services
Router (CSR)
Безопасность трафика между
виртуальными машинами внутри
контейнера
Виртуальный маршрутизатор для ICF
VM контестные правила
Контестная
безопасность
ЗоныZone-based
Сохраняются при миграцииДинамические
vPath цепочка сервисов
Массштабиру
-емость
IOS-XEL3 Routing
ГипервизораНе завивит от
REST APIsAPIs
Intercloud/ОтдельноИспользование
23. Intercloud Fabric VSG
23
Test
VM
Dev
VM
Intercloud Fabric
Extender
Intercloud Fabric
коммутатор
Web
VMIntercloud Fabric Secure Extension
Публичное
Администратор
Intercloud
Fabric
Director
Единая политика для
кназрузки в частном и
корпоративном облаке
Корпоративный
VSG – защищает
VM в частном
облаке
Intercloud Fabric
VSG – защищает
VM в облаке
провайдера
Частное • ICF VSG обладает такими же возможностями
как и традиционный VSG
• ICF VSG поддердивается на AWS, MAzure –
Base VSG + ICF Driver
• ICF VSG лицензия включена в ICF лицензию
24. Intercloud Fabric CSR
24
Intercloud Fabric CSR доступ к безопасной ICF сети
Intercloud Fabric CSR этро CSR + Intercloud Fabric драйвер
Поддержка в Amazon Web Services, Microsoft Azure
Основные варианты использования:
ü Шлюз по умолчанию для виртуальных машин в облаке – маршрутизация между
подсетями внутри провайдера, без необходимости ‘возврата’ трафика.
ü Прямой VPN доступ к виртуальным машинам в облаке из филлиалов:
поддержка IPSec, DMVPN и Flex VPN
ü Доступ к облачной нагрузке с помощью статического NAT
25. Маршрутизация между сетями без CSR
25
VM VM
Trunk
VM VM
Intercloud Fabric
Extender
Intercloud Fabric
Switch VM VM
VM VM
Intercloud Secure Extender
Частное
Публичное
Шлюз по умолчанию для
VLAN A и B
VLAN A
VLAN B
VLAN A
VLAN B
26. Маршрутизация между сетями с CSR
26
VM VM
Trunk
VM VM
Intercloud Fabric
Extender
Intercloud Fabric
Switch VM VM
VM VM
Intercloud Fabric Secure Extender
Частное Публичное
Default Gateway
for VLAN A &B
VLAN A
VLAN B
VLAN A
VLAN B
Intercloud Fabric
CSR
Администратор
Intercloud
Fabric
Director
Шлюз по умолчанию
для виртуальных
машин в облаке -
Intercloud CSR
27. VPN доступ до облачных систем
27
VM VM
Trunk
VM VM
Intercloud Fabric
Extender
Intercloud Fabric
Switch VM VM
VM VM
Intercloud Fabric Secure Fabric
Частное
Публичное
Шлюз по умолчанию
для
VLAN A и B
VLAN A
VLAN B
VLAN A
VLAN B
Intercloud Fabric
CSR
Филлиал ISR
VPN VPN
Мобильный
сотрудник
28. Доступ до приложения в облаке с помощью NAT
28
VM VM
Trunk
VM VM
Intercloud Fabric
Extender
Intercloud Fabric
Switch VM VM
VM VM
Intercloud Fabric Secure Extender
Частное
Публичное
Шлюз по умолчанию
для
VLAN A и B
VLAN A
VLAN B
VLAN A
VLAN B
Intercloud Fabric
CSR
Remote/Branch Office Mobile
Worker
Static NAT
10.x.x.x к 192.168.x.x
19.2.168.x.x
192.168.x.x
10.x..x.x
54.x..x.x
Интерфейсы на CSR:
внешний IP 54.x.x.x
внутренний IP
10.x.x.x
30. Intercloud Fabric Director
30
VMM для гибридного облака
VMM/Частное
облако
Intercloud
Fabric
Director
Портал самообслуживания
Каталог Сервисов
Отчетность
Настройка и
Администрирование
Корпоративная интеграция
(LDAP/AD, XML Export – CMDB, Metering data, SSO (SAML))
Open API
Intercloud Secure Fabric
Администраторы IT ОператорыСобственние приложения
Политики
31. Intercloud Fabric Director
Единая консоль управления для гибридных облаков
• Портал администратора, портал самообслуживания
• Миграция виртуальных машин между облаками, создание виртуальных
машин из шаблонов
Безопасность
• Пользовательские группы - контейнеры
• RBAC
Политики расположения нагрузки
• Администраторы создают каталоги для пользователей/групп
пользователей
• Политики ограничивают количество виртуальных машин и их
расположение
Возможности
31
32. Intercloud Fabric Director
Настроить сетевые политики и политики ICF
Intercloud Fabric Secure Extender – Создать инстанс ICF – ‘Cloud
Instance’ к провадеру для автоматической установки ICF Extender и
ICF коммутатор
Настроить Virtual Data Center (vDC)
Загрузить VM Templates в облако
Создать VDC каталог с templates
Настроить каталог
Инстансы сервисов ICF в облаке: VSG, CSR
Задачи Администратора
32
33. Intercloud Fabric Director
Роли, разрешения, интеграция с AD(LDAP)
Создание и управление контейнерами
Настройка пользователей и групп
Настройка workflow и цепочки подтверждений
Настройка портала для разных контейнеров
Квоты и емкости
Миграция нагрузок, контроль виртуальных машин во всех облаках
Задачи Администратора
33
34. Intercloud Fabric Director
Пользовательский портал основан на vDC к которому пользователь
получет доступ от Администратора
Пользователь может управлять своими виртуальными машинами в
частном облаке и мигрировать в публичное облако
Пользователь может создать виртуальную машину в облаке из
templates которые ему публикуе Администратор
Для каждого запроса пользователя создается Сервсиный запрос с
процессом автоматического или ручного подтверждения
Пользователи могут управлять своими виртуальными машинами в
зависимости от уровня доступа: включить/выклбчить, привоить IP
адреса, удалить,…
Задачи конечного пользователя
34
35. Intercloud Fabric Director
vDC Политики
§ Intercloud Системная политика: Настроить префиксы для имен VM и
информацию DNS
§ Intercloud Политика вычислительных русурсов: Выбор VPC/IC
облако соответствующее vDC и политики вычислительных ресорсов,
такие как максимальное количество VM на облако
§ Intercloud Сетевая политика: Порт-профили и пулы IP адресов
Глобальные политики
§ Политики размещения нагрузки в зависимости от типа, стоимости
Политики
35
36. Cisco Intercloud Fabric
Корпоративный Virtual Machine Manager (VMM):
§ VMware vCenter version 5.0/5.1/5.5
§ MS Hyper-V
§ KVM+OpenStack (IceHouse)
§ Nexus 1000V или Enterprise Plus НЕ требуется.
Провайдеры:
§ Amazon Web Services
§ Azure
§ Cisco Powered (ICFPP Enabled)
OS Версии:
— Red Hat Enterprise Linux (RHEL) 6.0, 6.1, 6.2, 6.3, 6.4 (64-bit and 32-bit versions)
— CentOS 6.3 (64-bit and 32-bit versions), SUSE 11 SP2/SP3
— Microsoft Windows 2008 R2 (Service Pack 1 [SP1]) with AMI and VMware Virtual Machine Disk (VMDK) templates
— Microsoft Windows 2012, 2012 R2
— ICF 2.2.1, расширение поддерживаемых ОС
Поддерживаемые версии
36
37. Cisco Intercloud Fabric
Требования к правилам на МСЭ перед установкой ICF
37
Граничный маршрутизатор/файрволл должны быть открыты следующие
порты:
§ Протокол: UDP & TCP
§ Порты:
§ 80 – HTTP доступ для AWS и связи между виртуальными машинами в
публичном облаке
§ 443 – HTTPS доступ для AWS и связи между виртуальными машинами в
публичном облаке
§ 22 – SSH
§ UDP 6644 – TLS data туннель (если UDP используется в качестве
транспорта)
§ TCP 6646 – TLS data туннель (если TCP используется в качестве
транспорта)
§ TCP 6644 – TLS control туннель
38. 38
Cisco Intercloud Fabric, цифры
- До 100 виртуальных машин на облако
- До 16 различных облачных провайдеров одновременно (больше не
тестировалось)
- До 1000 виртуальных машин на все облака
- До 8 vNIC на каждую виртуальную машину
- До 16 ‘растянутых’ подсетей не облако
- Скорость в туннеле (ICFExtender <-> ICFSwitch) ~ 900 мбит/сек (*)
- Скорость в туннелях по всем облакам ~ 14Гбит/сек
На текущий момент:
* Если процессоры у провайдера поддерживают технологии crypto offload (250 мбит/сек без)
39. Что нужно продумать дополнительно
39
• Требования приложений - ОС, HDD, Задержки,
размер VM image, Связи между приложениями
• Связь с Сервис Провайдерами– Полоса
пропускания, задержка, надежность
• Требования к безопасности
• SLA
• Требования регуляторов
43. ICFPP Возможности
Intercloud Fabric Provider Platform (ICFPP) виртуальный аплайнс который
провайдер устанавливает в своей сети; предоставляет провайдеру облачное
управление и API
ICFPP интегрируется с облачной платформой провайдера (например vCloud
Director, vCenter, OpenStack, CloudStack, …)
Предоставляет стандартный API для Cisco-powered провайдеров
Предоставляет облачный API для провайдеров у которых нет публичных API
Уровень абстракции для различных сложных облачных API
SP может запускать несколько ICFPP для высокой доступности
ICFPP поддерживает контейнеризацию
Что такое ICFPP?
43
44. ICFPP Архитектура
ICFPP состоит из трех основных модулей:
Northbound API – Набор API для настройки аплайнсов, настройки контейнеров и
пользователей, мониторинг контейнеров
Southbound API – Адаптеры, которые отвечают за связь с облачными платформами,
напримеи vCloud Director
API Translation Logic – логика транзакций между API гибридных облаков и
специфичными облачными платформами
44
46. ICFPP API
Northbound API
46
Набор API для настройки аплайнсов, настройки контейнеров и пользователей, мониторинг
контейнеров
POST v1/global_details SP шлет admin учетные данные и LDAP для ICFPP
POST v1/provider_details SP детали провайдера для ICFPP
POST v1/provision_tenant SP шлет информацию для настройки контейнера ICFPP
GET v1/tenant_info SP запрашивает ICFPP информацию о контейнере
GET v1/all_tenants SP опрашивает ICFPP об информации о всех своих
контейнерах
GET v1/getkeys SP запрашивает ICFPP для генерации ключа
47. ICFPP API
Southbound API
47
Действия:
Get all vdc
Get all private networks
Get all image catalogs
Get public IP network details
Upload image to Image catalog
Get details about a template
Get all templates for this vdc
Delete a given template from Image catalog
Apply network details to VM
Apply compute details to VM
Apply storage details to VM
Apply security rules to VM
Deploy a VM
Perform stop/start/reboot on a VM
Get list of VM
Get all details of a VM
Update a VM
Download a template from Image Catalog
API для интеграции с разными облачными платформами: vCloud Director, CloudStack и
OpenStack
49. Сценарии применения гибридных облаков
49
Dev/Test
Dev/Test приложения в
публичном и частном
облаках
Bring back workload for
production scale
Shadow IT Control
Быстрый доступ к
облачным мощностям
IT управляет какие
приложения и где
будут развернуты
Требуется больше
ресурсов
Расширение в сторону
публичных облаков
приложений требующих
много ресорсов
Без изменения
структуры приложений,
сетевой части и
безопасности
Катастрофо-
устойчивость
Публичные облака для
резервного
копирования и
восстановления
Безопасно с
целостными
политиками
Dev/Test
Production
WAN
Private Cloud VPC/Public CloudCommon Peak
Workloads
50. Intercloud тогда когда требуется больше ресурсов
Маркетинговая акция требует больше ресурсов для веб приложений
50
Облако провайдера
Гибридное облако
Частное облако
DB DB
Бизнес драйвер:
маркетинговые прилоежения,
быстро требуется больше
ресурсов
Нагрузка
Создать нагрузку
в облаке
Размер по
требованию
§ Гибкость
§ Эластичная емкость
§ Безопасно и основано на политиках
51. Intercloud тогда когда требуется тестовая среда
Команда разработчиков игр требует больше ресурсов для тестирования игр
51
Публичное облако Б
Private Cloud
Публичное облако А
Ресурсы Dev/Test по
требованию
Утвердить в
пробуктив
§ Портируемость нагрузки из частного в публичное
облака и обратно
§ SLA на размещение нагрузки
§ Выбор облаков
Необходимо
больше Dev/
Test
ресурсов
Выбрать другие
облака
Обратная миграция
в частное облако
53. Cisco Intercloud для провайдеров
53
Привлечение
корпоративных
заказчиков
Безопасное и массштабируемое
подключение
расширения корпоративных
заказчиков в публичные облака
Мобильность нагрузки
Унифицированное управление
гибридными блаками для
управления нагрузкой внутри и во
вне организации
Преимущества
Предложение гибридного облака
управляемого заказчиком
‘One-Stop shop’ для лббой модели
потребления ресурсов
Расширенные возможности
безопасности и мобильности
для приложений на стоечных
серверах - Cisco powered
Дополнительные
сервисы
Соответствие региональным
регуляторам нагрузка заказчика
остается внутри страны
Предложение новых сервисов
Катастрофоустойчивость, сервисы
Расширенные возможности
управления компонентами сети
и безопасности
‘Уменьшение трения’ Технологические преимущества Expand Cloud Services
54. Полезные ссылки:
54
1. Cisco ICF:
http://www.cisco.com/c/en/us/products/collateral/cloud-systems-management/
intercloud-fabric/datasheet-c78-732856.html
2. Гайды по настройке/установке:
http://www.cisco.com/c/en/us/support/cloud-systems-management/intercloud-
fabric/products-installation-guides-list.html
3. Тестовая среда в облаке: dcloud.cisco.com (искать по слову ICF)
4. Cisco Powered Providers:
http://www.cisco.com/web/solutions/trends/cisco-powered/iaas.html
5. Кто такие Cisco Powered провайдеры, что для этого нужно ? ->
спрашивать у dkhorosh@cisco.com