Архитектура виртуализованного ЦОД - Cisco Virtual Multi-Service Data Center. Подход Cisco к минимизации рисков при построении облачной инфраструктуры.

Cisco Expo
2012
Архитектура виртуализованного
ЦОД - Cisco Virtual Multi-Service
Data Center
Подход Cisco к минимизации рисков при построении
облачной инфраструктуры.
Виктор Пустошилов
Системный инженер
Ноябрь 21, 2012

© 2011 Cisco and/or its affiliates. All rights reserved. 1

• Зачем нужна архитектура VMDC?
• Обзор системы VMDC 2.2
Физическая платформа
Логическая платформа

• Облачный Мегатест


© 2010 Cisco and/or its affiliates. All rights reserved.
2011 Cisco Confidential 3

Изменения Соблюдение Угрозы Ограничения
бизнеса нормативов безопасности бюджета

Вызовы бизнесу

Технологические тренды
Энергетическая Появление новых
«Облака» Большие данные
эффективность устройств


УПУЩЕННЫЕ БИЗНЕС
ПОДДЕРЖКА: 70–80%
ВОЗМОЖНОСТИ!

$ ПОДДЕРЖКА: 70–80%
ФИНАНСИ
РОВАНИЕ
НОВЫХ
ПРОЕКТОВ

ИТ ФИНАНСИРОВАНИЕ
бюджет НОВЫХ ПРОЕКТОВ


World of Many
Clouds

Развертывание
мультисервисной
Развертывание инфраструктуры
интегрированной Автоматизация &
платформы Оркестрация
вычислений &
СХД
Мобильность
Унификация
VM
операций

Консолидация Профилирование
ЦОД приложений &
Готовность к
облаку
Объединение
сетей
Автоматизация
Консолидация Стандартизация Виртуализация предоставления
инфраструктуры операций среды услуг
Увеличение операционной ИТ эффективности (Быстрота, Эффективность и
Простота)
Увеличение готовности к облаку (Физическая - Виртуальная - Облачная) 6

Что такое облако
Облачные вычисления это модель
предоставления is a удобного enabling
Cloud computing model for доступа по
требованию on-demand network access to a пулу
convenient, к совместно используемому
настраиваемых компьютерных ресурсов (т.е.
shared pool of configurable computing
сетей,
resources серверов, устройств хранения,
(e.g., networks, servers, storage,
приложений andсервисов)that can be могут быть
applications, и services) которые rapidly
быстро предоставлены with minimal
provisioned and released и освобождены с
минимальными усилиями provider
management effort or service и минимальным
взаимодействием
interaction. со службами сервис-
провайдера
NIST definition, http://www.nist.gov/itl/cloud/


Облачные IaaS, CaaS, PaaS, HCS, HVD, DR, …
приложения (включая ПО для автоматизации и оркестрации
и Услуги приложений)

Service Assurance Software
Оркестрация Система оркестрации облачной инфраструктурой
и управление
облаком Уровень абстракции / Система управления

Модуль объединения ЦОД-ов - DCI
Масштабируемая, Масштабируемая,
мультисервисная L2/L3 мультисервисная L2/L3
сеть ЦОД сеть ЦОД
Облачная Функции L4-7 Функции L4-7
Инфраструк безопасности сервисы безопасности сервисы
тура
(VMDC) Интегрированный Интегрированный
Integrated
Вычислительный Integrated
Вычислительный
Стек
Integrated
Compute Stack Integrated
Compute Stack
Стек
Integrated
Compute Stack
– Vblock, Integrated
Compute Stack
– Vblock,
– Vblock, FlexPod – Vblock, FlexPod
FlexPod, etc. Stack
–Compute
Vblock, FlexPod, etc. Stack
–Compute
Vblock,
– Vblock,
FlexPod, etc. – Vblock,
FlexPod, etc.
Data Center 1 FlexPod, etc. Data Center n FlexPod, etc.


IaaS PaaS SaaS И другие…

Public Hybrid
vPrivate
VMDC – Модель Облака
унифицированного ЦОД
Private Community

Упрощение Снижение Времени
Увеличение ROI
Операций Развертывания


• Виртуализация на всех уровнях
• Автоматическое развертывание типовых
сервисов
• Самообслуживание клиентов
• Эластичность
• Открытые интерфесы для интеграции новых
компонентов


• Гибкая, модульная и масштабируемая архитектура,
которая объединяет интегрированные
вычислительные стеки, сеть унифицированного ЦОД
и сегмент DCI в законченную архитектуру – Модель
для Облака
• Cisco® VMDC: одобренная референсная архитектура
– Руководства CVD Design & Implementation
– Сертифицированные системы оркестрации
– Снижение времени развертывания
– Снижение рисков
– Гибкость
– Повышение операционной эффективности
• Единое облачное решение для любого типа сервиса
(IaaS, PaaS и SaaS) и любой реализации
(Private, Public или Hybrid Cloud)

Уверенное Проектирование Облака


Модуль Управление Облаком

VMDC
объединения ЦОД
ЦОД-ов - DCI

Ядро
Сеть
Поддержка
Унифицированного Бизнеса
ЦОД

VMDC
Агрегация/
Доступ

VMDC
Подготовка к
работе/
Конфигурирование
Сервисы

Интегрированные Доступ
Вычислительные Переносимость/
стеки (ICS) Взаимна
совместимость

VMDC

(FlexPod, Vblock)
VMDC
NAS Compute SAN

Phase 2.2
Публичные/Частные/Гибридные сети
Автоматизация и API
Phase 2.0-2.1 • Дополнительная гибкость
Частное и виртуальное автоматизации услуг;
улучшенная модульность
частное облако
Phase 1 • Интеграция со сторонней • Инфраструктура для
Инфраструктура для системой облачной оркестрации предоставления SaaS услуг
Частного/Публичного
облака • Миграция VM (из
• Основа: Nexus + UCS • Защищенное объединение частного/публичного или
ЦОД с использованием VPN виртуального частного облака)
• Виртуализация
сервисов между ЦОД-ми (Ent-SP и SPDC1-
• Варианты масштабирования SPDCn)
инфраструктуры ЦОД
• Унифицированная
• Дополнительные
коммутационная
возможности безопасности
фабрика ЦОД
• L2 (VPLS) для DCI


• Модульная конструкция, состоящая из группы интегрированных
вычислительных стеков с системой хранения и сетевой инфраструктурой
• PoD-ы можно развертывать и включать в работу независимо друг от друга
либо объединять вместе для обеспечения масштабирования
• VMDC предлагает 2 типа PoD-ов: Компактный и Большой

• Преимущества: PoD
Простое планирование загрузки Service
Appliances
Легкость внедрения новых
технологий
Domain
Простое изолирование отказов Services
Node
Надежная и эффективная
работа Интегрированный Интегрированный
Вычислительный Стек Вычислительный Стек

Storage Network Compute Storage Network Compute


• Стандартизованные,
протестированные
инфраструктурные блоки с лучшими
Блейд сервера компонентами в своем классе
Cisco® UCS B-Series
и UCS Manager • Гибкость: единая платформа для
различных нагрузок и сред

Коммутаторы • Добавление приложений и нагрузок
семейства Cisco
Nexus® 5000 • Масштабирование

• Упрощенное управление и повторное
развертывание
СХД NetApp® FAS
• Руководства по дизайну и
10GE и FCoE
масштабированию
• Сервисы: ускорение развертывания
различных сред

© 2011 Cisco and/or its affiliates. All rights reserved. 17 17

Разработка и
VDI тестирование

Больше вычислительных
Блейд сервера повышенной ресурсов и меньше система
производительности и хранения
больше IOPS

Защита
Начальный данных и
уровень резервное
CPU копирование
Memory
Capacity
IOPS
Развертывание начальной
системы; Production
Сбалансированная Меньше вычислительных
Масштабирование в будущем Infrastructure ресурсов и больше система
инфраструктура хранения

© 2011 Cisco and/or its affiliates. All rights reserved. 18 18

• Преднастроенная облачная
инфраструктура
Позволяет команде IT
сфокусироваться на использовании
инфраструктуры вместо настройки и
поддержки отдельных компонентов

• Операционная модель
поставщика облачных услуг
Подготовка к работе,
предоставление услуги, управление
транзакциями и т.д.

• Ускорение перехода к модели
предоставления услуг из частного
облака
Меньше времени на дискуссии,
больше на использование


• Vblock Series 700
Система хранения: EMC Symmetrix Vmax
Сервера: Cisco UCS
Виртуализация: Vmware
Оркестрация: Unified Infrastructure
Manager (UIM)
Модель Vblock Series 700 MX

• Vblock Series 300
Система хранения: EMC VNX
Сервера: Cisco UCS
Виртуализация: VMware
Оркестрация: Unified Infrastructure
Manager (UIM)
4 модели EMC VNX


Минимум 64 сервера, 4,096 VM ……. Минимум 512 сервера …….
Теоретический максимум - 384 сервера, Теоретический максимум 3672 сервера,
24,572 VM 98,304 VM
Компактный Большой
PoD PoD
(Совмещенные Ядро & Агрегация) (Выделенные Ядро & Агрегация)
PoD1 PoD1
Service Service
Appliances Appliances

Domain Domain
Services Services
Node Node

Интегрированный Интегрированный Интегрированный Интегрированный
Вычислительный Стек Вычислительный Стек Вычислительный Стек Вычислительный Стек

Nexus 5k доступ Nexus 7k доступ
Storage Network Compute Storage Network Compute Storage Network Compute Storage Network Compute

Максимальная масштабируемость определяется лимитом в 128K MAC адресов на уровне агрегации/ядра


Масштабируемость ядра зависит от физической плотности портов и логических возможностей
платформы

Ядро

Агрегация Агрегация
Service Service
Appliances PoD1 Appliances PoDn

Domain Domain
Services Services
Node Node

Интегрированный Интегрированный Интегрированный Интегрированный
Вычислительный Стек Вычислительный Стек Вычислительный Стек Вычислительный Стек

Storage Network Compute Storage Network Compute Storage Network Compute Storage Network Compute


• Развитие инфраструктуры
Новые платформы безопасности и подключения к оператору (физические и
виртуальные)
• Платформа управления безопасностью
• Модуль объединения площадок ЦОД - DCI
Новые варианты использования IaaS включают поддержку гибридного облака
и подключения между инфраструктурой SP
• Поддержка моделей потребителя
Расширение модели аренды - “tenancy”
Поддержка Виртуального Частного ЦОД (VPDC - Virtual Private Data Center)
• Усовершенствованная модель QoS
Добавлена поддержка мультимедиа типов трафика и SLA
• Различные сервисные модели
Растянутый виртуальный ЦОД
Гибридный “Raw” контейнер


WAN периметр Компонент Версия ПО
/ DCI ASR9000 XR 4.1.0

Ядро ASR1006 XE 3.4.0 15.1(3)S
Cat 6509 IOS 12.2.33 SXJ

Агрегация/ ASA5585-60X 8.4.2
Доступ ACE30 A 4.2.1

Сервисы Nexus 7010 NXOS 5.2.1
UCS 6140, 1.4(2b)
B200
VSG 4.2(1)SV1(2) -
VNMC: 1.2(1b)
Сервера
Nexus 1000V NXOS 4.2.1
SV1(1.4a)
VMware vSphere 4.1 U1,
Система ESXi
хранени MDS9513 NXOS 5.0.4d
я


• Сервисный Узел ЦОД (DSN - vPC
Data Center Services Node) Nexus 7000 Peer-link
поддерживает как Агрегация
интегрированные сервисные Po1
модули так и выделенные
сервисные устройства
Сервисный
• Технология Multi-Chassis Узел ЦОД
EtherСhannel (MCE) позволяет
масштабировать и резервировать VSL Link
сервисные устройства Po2 Po1
VSS MCE оптимизирует передачу VSS Обнаружение
трафика используя в первую очередь Domain Dual-active
локальные подключения

• ASA в режиме active/active Po5 Po6

• ASA – виртуальные контексты в Po7
режиме маршрутизации с
поддержкой балансировки Подключения Failover и
ASA 5585-X State ASA 5585-X


• ASA 5580 для обеспечения VPN vPC
сервисов Nexus 7000 Peer-link
Агрегация
• ASA 5580 поддерживают Po1
удаленный VPN доступ с
подключением по
Cisco VPN Client Сервисный
SSL VPN с ПО Cisco Secure Desktop или Узел ЦОД
Cisco AnyConnect
VSL Link

• ASA в режиме active/standby Po2 Po1
VSS Обнаружение
• ASA в режиме single context mode Domain Dual-active
для поддержки функций VPN
Po31 Po41 Po32 Po42
• Использование Group VLAN ID
или Tunnel Group для разделения Po3 Po4
Po7
Po3 Po4

трафика
Политики поддерживаются внутренней Подключения Failover и
БД на ASA или на внешнем AAA сервере ASA 5580 State ASA 5580


• Сервисные модули используют VSL VSL Link
каналы для передачи данных и
контроля состояния VSS
Domain
• VLAN интерфейсы назначаются Обнаружение
сервисным модулям через Супервизор Dual-active
ACE-30
Виртуальные контексты поддерживают
множество VLAN интерфейсов Failover link
• ACE в режиме active/active с NAM
балансировкой контекстов на разных
устройствах
• ACE поддерживают создание политик
потребления на основе группы
ресурсов
Память, полоса пропускания CPS и т.п.
• NAM обеспечивает функции сетевого
анализа NetFlow, ERSPAN, SPAN


• Политики применяются к
зонам VM
Virtual • Динамическая,
Security масштабируемая работа
VSG • Контроль на основе
контекста VM
• Сегментация внутренней сети
• Политики применяются к
ASASM
Internal VLAN
Security • Проверка прикладных
протоколов
• Виртуальные контексты
ASA 55xx
• Фильтрация внешнего
Internet трафика
Edge • Расширенная поддержка
приложений
ASA 55xx • VPN доступ, снижение угроз


Управление Ядро
безопасностью Безопасность
Агрегация инфраструктуры
• Сопоставление событий,
• Функции безопасности
syslog, централизованная
инфраструктуры
аутентификация используются для
• Экспертиза инцидентов защиты устройств, пути
• Обнаружение аномалий передачи и управления
• Соответствие Сервисы • 802.1ae и vPC
требованиям реализуют
Доступ внешнее/внутренне
разделение
Сервисы
• Фильтрация ACL, Port Security, VN Tag, Netflow, ERSPAN,
Сервисы
входящего/исходящего
трафика ЦОД. QoS, CoPP, DHCP snooping
• IPS/IDS обеспечивают
Виртуальные Контексты доп. защиту и
используются для экспертизу инцидентов
разделения политик СХД Virtual UCS
• Сетевой Анализ
фильтрации сервер-
сервер Access обеспечивает
• Дополнительные мониторинг трафика и
сервисные функции Data security Virtual Firewall анализ передаваемых
межсетевых экранов для authenticate Real-time данных
для защиты серверных & access Monitoring • Балансировка нагрузки
ферм Firewall Rules серверов и приложений
control


ASR L3 IP/NGN

N-PE1 N-PE3

L2 VPLS
N-PE2 Extension N-PE4

MST-AG
(Active/blocked)

MEC MEC MEC MEC

vPC vPC

Объединение 8 ЦОД-ов
посредством 32,000 pseudo-
4x10GE 4x10GE 4x10GE 4x10GE
wires


• Потребители облака используют общие ресурсы инфраструктуры
• Каждая организация должна выбрать подход к разделению и
выделению ресурсов
• Выбранные политики определяют форму разделения – по
пользователям или по арендаторам

Потребитель облака

Заказчики Подразделение

Приложения Департамент

Разделяемая ИТ инфраструктура

• Модели потребителей – это логические конструкции,
реализуемые на инфраструктуре VMDC
• Модели потребителей можно настраивать

• Модели потребителей должны отвечать требованиям
приложений
• Модели потребителей не должны зависеть от используемой
технологии
• Модели развиваются с появлением новых технологий

Потребитель облака “X”


• Сетевые требования
Устойчивость сессий
Высокая доступность
Масштабируемость
Снижение задержек
Надежный транспорт
• Требования безопасности
Возможно есть необходимость в защищенных сессиях с шифрованием
Каждый уровень стека приложений аутентифицирует передачу данных

Совместная работа Приложения Виртуальные
рабочие столы

Потребитель облака “X” Потребитель облака “Y” Потребитель облака “Z”


• L2 разделение с помощью
VLAN-ов
VRF
• Защищенный VRF для L3
сервисов
ASA Context
ACE
Шлюз по умолчанию для ACE
Context Context
виртуальных машин
vPath
Nexus
• Выделенный 1000v VSG Защищенный VRF
(точка контроля)
виртуальный контекст
ASA применяется для Общая Сервера без vPath
зона Зона 1
реализации политик Зона 2 виртуализации Nexus
1000v VSG
Зона 3
безопасности с контролем
состояния на входе и Зона Front-End
выходе потребителя ЦОД Общая
зона Зона 1
Разделение на зоны Потребитель облака “X” Зона 2
Зона 3
• Сервис безопасности
VSG на уровне
виртуальной
вычислительной среды
применяется для
реализации политик VM

• Виртуализированный ЦОД должен обеспечивать такой же уровень безопасности
и набор сервисов как и ЦОД традиционной архитектуры.

Front-End периметр
Частная сеть Публичная/Общая
(Тенант VRF)
Менее доверенные Зоны Тенанта
VRF

ASA Context
(на тенант)

Back-End периметр
Защищенный VRF Тенанта
(точка контроля)

Nexus vPath
1000v VSG

Sub-
Zone
W
Sub-
Zone
X
Back-End периметр
управления
Публичная Sub-
Zone
Sub-
Zone

зона(DMZ) Protected FE Зона 1 Зона 2 YZone 3Z

Зоны Front-End Зоны Back-End


• Универсальная физическая
архитектура MPLS Core

• VLAN-ы и VRF-ы изолируют
L2 / L3 трафик потребителей

• Возможность выделения
сетевых сервисов в виде
контекстов на аппаратных
устройствах – SLB, FW и т.п.

• Дополнительное
изолирование и
балансировка трафика

• Выделение ресурсов
происходит без перерыва
обслуживания Логическое разделение Общая физическая
по пользователям инфраструктура


Global
VRF
Глобальные
общие/
Незащищенные
зоны

ASA Context ASA Context

Защищенная Защищенная
Защищенный VRF Защищенный VRF
зона (точка контроля)

Nexus Nexus
1000v 1000v
vPath vPath
VSG VSG

Общая Общая
зона Зона 1 зона Зона 1
Потребитель облака “X” Зона 2 Потребитель облака “Y” Зона 2
Зона 3 Зона 3


Клиент -> Сервер
Потребитель -> Общий сегмент
Global Между Потребителями
VRF Внутри Потребителя
Глобальные (внутри сегмента)
общие/ Внутри Потребителя
(между сегментами)
Незащищенные
зоны

ASA Context ASA Context

Защищенная Защищенная
Защищенный VRF Защищенный VRF

Nexus Nexus
1000v 1000v
vPath vPath
VSG VSG

Общая Общая
зона Зона 1 зона Зона 1
Потребитель облака “X” Зона 2 Потребитель облака “Y” Зона 2
Зона 3 Зона 3


Bronze Gold Expanded
L3 L3 Protected FW
Front-End

VMDC FW VMDC
2.0 2.1 LB
VSG
L3 Silver L3 Palladium
Protected FW
L3 L2 Back-End
L2
LB L3
LB
Public Zone L2
LB FW
Private Zone VSG
VMDC L3 VMDC L3
2.0 2.0 LB
L2 L2
VMDC
2.2


Bronze Bronze
L3 L3

L3 L3

L2 L2
Гибридный “Raw” Контейнер

Растянутый виртуальный
частный ЦОД


• VMDC предлагает открытую
WAN Граница / API платформу управления через
DCI хорошо документированный набор
Ядро
API компонентов
API
• Открытый подход по управлению
VMDC исключает vendor lock-in
Агрегация/ API
Доступ • Открытая платформа ускоряет
интеграцию VMDC c уже
Сервисы
MEC MEC используемыми системами
API
vPC управления
vPC vPC • Cisco предлагает управление
API отдельными элементами и
Cервера
специализированные сетевые
4x10GE 4x10GE
решения:
API
Cisco Network Services Manager (NSM)
Система
Cisco Data Center Network Manager
хранени API
я Cisco UCS Manager
• Управление СХД зависит от
вендора

• Высокая • Автоматизация ИТ процессов • Другие системы как
масштабируемость & • Интеграция приложений в OpenStack
множество сервисов
• Сложные требования бизнес процессы • Использование
• Сильные позиции на рынке • Частное облако/ Крупные возможностей
• Комплексные облачные компании партнеров Cisco
проекты/SP

OpenStack/
BMC CLM Cisco CIAC Другие
ЕДИНАЯ ТЕХНОЛОГИЯ CISCO
Network Services Manager
CCN, и т.д.


Первое всестороннее тестирование
публичного облака, включая
Комплексность архитектуру центра обработки данных,
сети и облачных приложений для
бизнеса и конечных пользователей
Совместное независимое
тестирование издания Light Reading и
Независимость лаборатории EANTC
Тестирование не спонсировалось
Cisco

Тесты, разработанные EANTC,
Реалистичность основаны на реальных требованиях
заказчиков


Cisco Videoscape™ NAT64, 6RD, Dual
и Mobile Videoscape Stack, Cisco Prime™
Network Registrar,
Cisco Network
Positioning System
(NPS) и Mobile
PCRF

Cloud
Applications

Cisco® Cisco
Unified Cloud
Data Intelligent
Center Network
BMC CLM, QoS, Isolation, Cisco Cisco Cisco ONS 100
FabricPath (и технологию Cisco Fabric GE на 3000 км
Extender Technology [FEX ]), LISP, Cisco
Data Center Virtual Machine FEX (VM-FEX), Cisco Cloud
Cisco VSG, Cisco Network Services Manager Enablement
(Overdrive), Cisco UCS™, Cisco HCS и Siebel Services


• Готовое решение сегодня, развитие в будущем
Снижение сложности благодаря усилиям по проверке реализуемости и наличию документации

• Упрощение автоматизации, управление известными и понятными пулами
ресурсов включая сеть, сервера и системы хранения
• Упрощение развертывания дополнительных прикладных сервисов
(например HCS, HVD, DR, DP)
• Меньше требования по экспертизе
Сотрудники специализируются на сопровождении определенной среды

• Упрощение обеспечения безопасности платформы и автоматизация
операций безопасности
Конфигурирование
Аудит
Управление патчами

• Доступность
Отказоустойчивая, масштабируемая архитектура


Спасибо!


Архитектура виртуализованного ЦОД - Cisco Virtual Multi-Service Data Center. Подход Cisco к минимизации рисков при построении облачной инфраструктуры.

Recommended

Recommended

More Related Content

What's hot

What's hot (18)

Viewers also liked

Viewers also liked (6)

Similar to Архитектура виртуализованного ЦОД - Cisco Virtual Multi-Service Data Center. Подход Cisco к минимизации рисков при построении облачной инфраструктуры.

Similar to Архитектура виртуализованного ЦОД - Cisco Virtual Multi-Service Data Center. Подход Cisco к минимизации рисков при построении облачной инфраструктуры. (20)

More from Cisco Russia

More from Cisco Russia (20)

Архитектура виртуализованного ЦОД - Cisco Virtual Multi-Service Data Center. Подход Cisco к минимизации рисков при построении облачной инфраструктуры.