PLNOG15: Virtualization and automation of network and security services in Data Center

1. Wirtualizacja
i
automatyzacja
usług
sieci
i
bezpieczeństwa
w
DC
Przemysław
Misiak

2. Jak
obecnie
wygląda
świat
w
którym
żyją
nasi
bohaterowie?

3. I
to
wszystko
przez
te
Chmury
…
** Gartner, Sept. 2013, “Private Cloud Matures, Hybrid cloud is Next”
* Gartner, May 2014, “Public Cloud Services, Worldwide, 1Q14 Update”
VM
VM
VM
VM
VM
VM
Business
is
moving
to
“As
a
Service”
-­‐
Cloud
72%
Only 11% no plans to
deploy private cloud**
PRIVATE CLOUD
My on-premises
data center
APPS IN THE CLOUD
$54.5B
19% CAGR*
My hosted
service provider
My managed
service provider
$158B
19% CAGR*
PUBLIC CLOUD
My cloud
service provider
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM

4. Współczesne dostarczanie usług
Oczekiwane jest natychmiastowe
dostarczanie usługi
Tradycyjne dostarczanie usług
User
CLICK HERE
User IT Admin

5.
Współczesne
aplikacje
zmieniają
rozkład
ruchu
Kiedyś:
80%
ruchu
kierowane
do
Internetu
Dziś:
20%
ruchu
kierowane
do
Internetu
(80%
zostaje
w
DC)
80%
wydatków
DC
przeznaczane
jest
na
“CPU”
oraz
“storage”
Sieć
powinna
zapewniać
łączność
bez
ograniczania
architektury
obliczeniowej
(get
out
of
the
way
of
compute)
Zasada
Pareto

6. Co
jeszcze
się
zmieniło
w
obrazie
świata
˥ Serwisy
internetowe
stały
się
krytycznie
ważne
$$$$$
˥ Ataki
w
Internecie
stały
się
profesjonalne
i
komercyjne
$$$$$
˥ Systemy
w
DC
opierają
się
na
zwirtualizowanych
serwerach

7. Sprzęt
w
Data
Center
staje
się
produktem
masowym
Wprowadzenie
Rozwój
Dojrzałość
Schyłek
Skupienie
na
cenie
Skupienie
na
funkcjonalności
Cena
Jesteśmy
tutaj

8. Spowszednienie
sprzętu
w
Data
Center

9. Czterej
Bohaterowie
–
Ekspert
Sieciowy
˥ IPv4,
IPv6
˥ BGP,
OSPF,
ISIS,
˥ MPLS,
MP-­‐BGP,
RSVP,
LDP
˥ QOS
(RTT,
Jijer,
Packet
Lost)
˥ Internet
˥ Ethernet,
Vlan,
QinQ
˥ Spanning
Tree
Protocol

10. Problemy
-­‐
Eksperta
Sieciowego
˥ Ilość
VLAN’ów!
˥ Topologie
L2
˥ Przenoszenie
L2
między
DC
˥ Tworzenie
i
dokumentowanie
˥ Stosowanie
dodatkowych
przełączników
˥ A
do
tego
rozwój
systemów
sieciowych,
styk
z
Internetem,
Rounng
BGP,
zarządzanie
etc.

11. WAN
Problemy
architektury
L2
w
dzisiejszym
DC
VM
ESX
VM
ESX
VM
ESX
SRV
SRV
VM
ESX
VM
ESX
VM
ESX
VM
ESX
SRV
SRV
VM
ESX
Problemy
L2
pomiędzy
DC
§ Koszt
ciemnych
włókien
§ Redundancja
Acnve-­‐Passive
§ Brak
Control
Plane
Learning
Standardowe
problemy
L2
§ Pętle
§ ARP
§ Broadcast
storm

12. A
jak
by
tak
….
Pozbyć
się
L2
….
Czyste
L3
w
sieci…

13. L3 L3
L3
L3
L3
L3
L2
L3
L2
L2 L2 L2
Tradycyjna architektura Ethernet Fabric IP Fabric
L2/L3 L2/L3
Tylko
L3
*TRILL,
Shortest
Path
Bridging
(SPB)

14. Dobrze
ale
co
z
usługami
L2
w
DC
?

15. Czterej
Bohaterowie
–
Ekspert
ds.
Systemów
˥ Linux,
RedHat,
Windows
˥ Perl,
Bash,
.NET,
Java
˥ Vmware,
vCenter
,
vMonon,
KVM
˥ Środowisko
produkcyjne,
developerskie
i
testowe
˥ Wie
jak
skonstruowane
są
aplikacje
˥ Współpracuje
z
developerami
aplikacji
˥ Aplikacje
i
VM
potrzebują
łączności
L2

16. Problemy
–
Eksperta
ds.
Systemów
˥ Wzrost
wielkości
i
skomplikowania
aplikacji
˥ Zmiany
konfiguracyjne,
które
zgłasza
do
zespołu
sieci
i
bezpieczeństwa
nie
nadążają
za
zmianami
w
jego
domenie
˥ Jest
ofiarą
pomyłek
konfiguracyjnych

17. OVERLAY!

18. Architektura
Overlay
MH
Distributed VXLAN
Overlay
…
…

19. Zmieńmy
podejście
do
DC
à
SDDC
19
Sozware
Hardware
Wirtualne
Maszyny
Wirtualne
Sieci
Wirtualny
Storage
Zasoby
mocy
obliczeniowej
Zasoby
sieciowe
Zasoby
Storage
Aplikacje
Niezależność
od
lokalizacji

20. Usługi
w
architekturze
Overlay
L3
Service
L2
Service
L3
router
L2
Service
L2
Service
Topologia
fizyczna
Możliwe
są
usługi
transportu
L2
lub
L3
lub
mieszane
Komunikacja
L3

21. VMware
NSX
wprowadza
“Next-­‐Gen
Networking”
w
świat
DC
21
Applica@ons
Virtual
Machines
Virtual
Networks
Virtual
Storage
Data
Center
Virtualiza@on
Sozware
Hardware
L2 Switching
L3 Routing
Firewalling/ACLs
Load Balancing
Zautomatyzowany model operacyjny SDDC
Usługi dostępna bezpośrednio
Na Hypervisor
Zasoby:
Mocy
obliczeniowej,
sieci
i
storage.
Niezależne
jakiego
producenta,
Uproszczone
zarządzanie
I
konfiguracja
Compute
Capacity
Network
Capacity
Storage
Capacity

22. ullets
• VTEP
(VXLAN
TUNNEL
End
Point):
Miejsce
gdzie
VXLAN
tunel
zaczyna
się
i
kończy
• VXLAN
Gateway:
• Miejsce
gdzie
VXLAN
spotyka
VLAN,
• Miejsce
gdzie
świat
wirtualny
spotyka
świat
fizyczny
Non-­‐VXLAN
IP/MPLS
Network
Hypervisor
Hypervisor
Hypervisor
Physical
Server
• Inter-­‐VXLAN
Rounng:
Umożliwia
Rounng
pomiędzy
podsieciami
VXLAN
overlay
virtual
network
VTEP
Czy
to
znaczy,
że
nie
potrzebujemy
już
“żelaza”
?

23. Jak
w
nowej
sytuacji
znajduje
się
ekspert
od
Systemów
?
˥ Otrzymuje
możliwość
zarządzania
połączeniami
pomiędzy
VM
w
ramach
DC
jak
i
między
DC
(nie
musi
już
prosić
kolegów
o
konfigurowanie
VLANów)
˥ Polityki
bezpieczeństwa
przypisywane
są
automatycznie
do
VM
(również
wypadku
automatyzacji),
a
więc
nie
musi
już
czekać
na
konfiguracje
firewalli
˥ Wszystkim
zarządza
z
dobrze
mu
znanego
narzędzia

24. Ale
co
z
bezpieczeństwem
?

25. Czterej
Bohaterowie
-­‐
Ekspert
Bezpieczeństwa
˥ Polityka
bezpieczeństwa
˥ Firewalle,
NG
Firewalle,
IPS,
˥ Web
Applicanon
Firewall(
WAF)
˥ Systemy
anty-­‐DDOS
˥ Uważa,
że
trzeba
mieć
pełną
kontrolę
nad
każdym
systemem,
użytkownikiem,
maszyną
wirtualną
i
każdym
pakietem
podróżującym
w
sieci
˥ Uważa,
że
każdy
system,
każdy
użytkownik,
każda
maszyna
wirtualna
powinny
być
w
osobnej
strefie
bezpieczeństwa

26. Problemy
-­‐
Ekspert
Bezpieczeństwa
˥ Jak
bronić
każdej
maszyny
wirtualnej
?
˥ Jak
przenosić
reguły
w
momencie
przenoszenia
maszyn
wirtualnych
˥ Skalowalność
Firewalli
˥ Możliwości
przerobowe
w
zakresie
zmian
konfiguracyjnych
reguł

27. 27
Rozproszony
Firewall
Sieć
NSX
vSphere
Elementy
sieciowe
i
bezpieczeństwa
wbudowane
w
hypervisor,
Każda
VM
ma
swój
firewall
Automatyczne
uruchamianie,
przenoszenie,
usuwanie
polityk
razem
z
VM

28. Network
Overlays
zapewnia
mikro-­‐segmentację
Bezpieczeństwo
w
tradycyjnym
Data
Center
Bezpieczeństwo
w
Data
Center
typu
Overlay

29. Czterej
Bohaterowie
–
Menedżer
DC
˥ Sieci,
bezpieczeństwo,
systemy
to
tylko
środki
do
uzyskania
celu
nadrzędnego
Menedżera
˥ Odpowiada
za
to
aby
:
˥ aplikacje
były
dostępne
˥ wszystko
realizowane
było
przy
najniższym
możliwym
koszcie
˥ Chce
aby
pozostali
trzej
efektywnie
współpracowali
˥ Ma
na
głowie
jeszcze
inne
ważne
sprawy
takie
jak:
˥ Prąd
˥ Powierzchnia
˥ Klimatyzacja
˥ Gaszenie
˥ DRC
(Disaster
Recovery
Center)

30. Problemy
–
Menedżera
DC
˥ Stale
podnoszona
poprzeczka
dostępności
˥ Ochrona
danych
˥ Oczekiwanie
minimalizacji
kosztów

31. Co
o
SDDC
sądzi
Pan
Menedżer
?
˥ Mam
możliwość
szybszego
dostarczania
usług
dla
biznesu
˥ Mam
lepsze
wykorzystanie
zasobów
˥ Otrzymałem
możliwość
łatwiejszego
tworzenia
DRC
w
chmurze
˥ Jest
mniej
błędów
konfiguracyjnych
˥ Wzrosła
ziarnistość
i
nadążanie
infrastruktury
bezpieczeństwa
za
aplikacjami
˥ Moje
aplikacje
są
bardziej
dostępne

32. ˥ Czysta
sieć
L3
˥ Brak
konieczności
tworzenia
usług
L2
˥ Możliwość
samodzielnego,
szybkiego
tworzenia
usług
L2
i
L3
˥ Automatyzacja
˥ Znane
narzędzia
˥ Micro-­‐segmentaja
˥ Zwiększenie
skalowalności
˥ Aktualność
reguł
˥ Większa
dostępność
aplikacji
˥ Krótszy
czas
dostarczenia
usługi
˥ Większe
bezpieczeństwo
danych

33. Wszyscy
wygrywają
!!!

35. WITAMY
W
NOWEJ
ARCHITEKTURZE

36. 1/10/25/40/100G
Optics
Multi-Silicon Strategy Innovative Systems Innovative Software
QFX Series
Switching
QFABRIC SRX Series
Security
EX & MX Series
Universal SDN
Gateway
Virtual Chassis
Fabric
MH
---------- B/OSS, ITSMs, DevOps, Platforms & Apps ---------
FOUNDATION
TECHNOLOGIES
UNDERLAY
ARCHITECTURE
OVERLAY
ARCHITECTURE
SERVICE
VIRTUALIZATION
INTEGRATED
MANAGEMENT Network
Director
Security
Director
Service Insertion
and Chaining
vSRX
VNF Partners
(Security, ADC, NAT…)
Distributed VXLAN
Overlay
vMX