Вячеслав Таболин – старший программист-разработчик ЦПИКС «От Virtual Applian...ARCCN
Кратко рассмотрим что такое NFV (для тех, кто не знает)
День сегодняшний: Virtual Appliance
Переход от виртуального сервера к виртуальному сервису
Проблемы переходного периода
Евгений Киселев – эксперт по решениям VMware и инструктор авторизованных курсов – о том, как использовать самые популярные продукты VMware: платформу для серверной виртуализации vSphere 5.1, решения VMware Horizon View 5.2 и VMware Cloud Director 5.1.
Вячеслав Таболин – старший программист-разработчик ЦПИКС «От Virtual Applian...ARCCN
Кратко рассмотрим что такое NFV (для тех, кто не знает)
День сегодняшний: Virtual Appliance
Переход от виртуального сервера к виртуальному сервису
Проблемы переходного периода
Евгений Киселев – эксперт по решениям VMware и инструктор авторизованных курсов – о том, как использовать самые популярные продукты VMware: платформу для серверной виртуализации vSphere 5.1, решения VMware Horizon View 5.2 и VMware Cloud Director 5.1.
Эволюция технологий для организации сервисных цепочек в ЦОДCisco Russia
Организация сервисных цепочек в виртуализированной среде - vPath.
Подключение сервисных устройств к DFA.
Интеграция сервисных устройств с ACI.
Архитектура Network Service Header.
Создание публичного облака (VMware vCloud)areconster
Презентация Родиона Тульского, ведущего консультанта по решениям VMware, по вопросам создания публичного облака на платформе vCloud и других продуктов VMware
Ориентированная на приложения инфраструктура Cisco ACI Cisco Russia
Ориентированная на приложения
инфраструктура Cisco ACI. Решаемые задачи и преимущества.
Запись вебинара можно найти по ссылке: http://ciscoclub.ru/tektorial-po-cod-cisco-aci-arhitektura-preimushchestva-praktika-proektirovaniya-i-vnedreniya
Интеграция ACI с виртуальными средами
Запись вебинара можно найти по ссылке: http://ciscoclub.ru/tektorial-po-cod-cisco-aci-arhitektura-preimushchestva-praktika-proektirovaniya-i-vnedreniya
Cisco ACI. Инфраструктура, ориентированная на приложения (часть 2). Интеграци...Cisco Russia
В этой презентации мы продолжим глубокое погружение в архитектуру Cisco ACI и подробно обсудим детали интеграции APIС и доменов виртуализации на базе решений Microsoft, Openstack и VMware. Основной целью такой интеграции является увеличение количества автоматизированных операции при настройке сетевых свойств приложения в средах виртуализации и как следствие снижение количества ошибок конфигурации, минимизация времени, затрачиваемого при первоначальной настройке и последующей эксплуатации интегрированного решения. Так же у слушателей будет возможность познакомиться с тем, как архитектура ACI взаимодействует со внешними, по отношению к фабрике, сервисными устройствами L4-L7, таким как балансировщики нагрузки, межсетевые экраны, системы предотвращения вторжений и другие. Конструкция сервисного графа и модель управления политиками сервисных устройств, о которых пойдет речь, позволяют значительно упростить и централизовать сложный процесс интеграции сервисных устройств с фабрикой Ethernet.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Cisco Russia
Обзор Сервисных Услуг в России и странах СНГ.
Сервисные Услуги в России и странах СНГ делятсяна Базовую и Расширенную техническую поддержку.
БАЗОВАЯ ТЕХНИЧЕСКАЯ ПОДДЕРЖКА 1. Центр Технической Поддержки (ТАС) Центр технической поддержки Cisco TAC предоставляет Заказчикам быстрый доступ к технологическим экспертам с опытом диагностики и решения самых сложных проблем.
Cisco TAC обладает развитой системой управления запросами, которая позволяет оперативно направить проблему в соответствующую технологическую команду или перевести на следующий уровень поддержки, если проблема не решена в заданный период.
Cisco TAC предоставляет круглосуточную поддержку по всему миру.
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareCisco Russia
Клиентские контракты на услуги технической поддержки Cisco Smart Net Total Care
Cisco Smart Net Total Care (SNTC) — это контракт на услуги технической поддержки Cisco.
Cервис сочетает в себе ведущие в отрасли и получившие множество наград технические сервисы с дополнительно встроенными инструментами бизнес-аналитики, которые получает Заказчик через встроенные интеллектуальные возможности на портале Smart Net Total Care.
Запись вебинара "Решения компании Cisco для операторов связи по защите от взлома и вредоносного программного обеспечения": https://ciscoclub.ru/resheniya-kompanii-cisco-dlya-operatorov-svyazi-po-zashchite-ot-vzloma-i-vredonosnogo-programmnogo-o
Запись вебинара "Решения компании Cisco для операторов связи по защите от взлома и вредоносного программного обеспечения": https://ciscoclub.ru/resheniya-kompanii-cisco-dlya-operatorov-svyazi-po-zashchite-ot-vzloma-i-vredonosnogo-programmnogo-o
Запись вебинара "Решения компании Cisco для операторов связи по защите от взлома и вредоносного программного обеспечения": https://ciscoclub.ru/resheniya-kompanii-cisco-dlya-operatorov-svyazi-po-zashchite-ot-vzloma-i-vredonosnogo-programmnogo-o
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
Как реализовать SDA, создать стратегию, которая будет сопоставлена с бизнес задачами, оценить готовность к трансформации, успешно и максимально надежно реализовать намеченные планы.
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Cisco Russia
О работе группы исследователей компании Cisco, в которой доказана применимость традиционных методов статистического и поведенческого анализа для обнаружения и атрибуции известного вредоносного ПО, использующего TLS в качестве метода шифрования каналов взаимодействия, без дешифровки или компрометации TLS-сессии. Также рассказано о решении Cisco Encrypted Traffic Analytics, реализующем принципы, заложенные в данном исследовании, его архитектуре и преимуществах.
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиCisco Russia
Как компания Cisco способствует цифровой трансформации предприятий нефтегазовой отрасли. Описание внедренных проектов, полученных результатов, обзор примененных архитектур.
4. Инфраструктура
физическая виртуальная облачная
Физические нагрузки Виртуальные нагрузки Облачные нагрузки
• 1 приложение/сервер • N приложений/сервер • N арендаторов/сервер
• Статичность • Мобильность • Эластичность
• Ручное выделение • Динамическое выделение • Автоматическое
ресурсов ресурсов масштабирование
HYPERVISOR
VDC-1 VDC-2
Требуется универсальная сетевая инфраструктура для …
Приложения: производительность, масштабируемость и безопасность
Процессы: управление и политики
5. Традиционное место сервисов в ЦОД
Data Center Core
Защита периметра
Оптимизаторы трафика приложений
Data Center
Aggregation
Балансировщики нагрузки
Межсетевые экраны
Системы предотвращения вторжений
Анализаторы трафика
Криптоакселераторы
Data Center Services Layer
Повсеместно:
ACL
Access Layer
QoS
CoPP
Port Security
VM VM VM VM VM VM
VM VM VM VM VM VM
Virtual Access Layer
6. Как внедрить сервис для виртуализированных приложений?
Направить трафик с помощью VLAN Внедрить в гипервизор сервисное
на внешнее сервисное устройство устройство Virtual Service Node (VSN)
Web App Database Web App Database
Server Server Server Server Server Server
Гипервизор Гипервизор
VLANs
Виртуальные контексты VSN
Virtual Service Nodes
Физическое устройство
7. Варианты реализации Virtual Service Node
VM VM VSN VM VM VM VM VM VM
VM VM VSN
Гипервизор Гипервизор
Гипервизор vSwitch
Гипервизор vSwitch
VM VM VSN
VM VM VSN
Гипервизор
Гипервизор vSwitch
• Виртуальная машина на каждом • Виртуальная машина на несколько
хосте, использующая API хостов, использующая распределенный
гипервизора для перехвата коммутатор для перехвата трафика
трафика
8. vPath
• Функция Nexus 1000V
– Встроен в Virtual Ethernet Module и не требует инсталляции/активации
• Интеллектуальное перенаправление трафика виртуальных машин
– На втором и третьем уровне
– Поддержка до трех сервисов в цепи передачи трафика
– Загрузка политики в виртуальный коммутатор
• Поддержка модели «коммерческий ЦОД»
• Основа для реализации виртуализированных сервисов Cisco
vPath
Nexus 1000V
9. Настройка vPath/Virtual Service Node для чередующихся сервисов
• Настроить сервисное устройство
VSM-MSK(config)# vservice node svc_node type ?
asa ASA Node
vsg VSG Node
vwaas VWAAS Node
• Настроить цепочку сервисов
VSM-MSK(config)# vservice path svc_path
VSM-MSK(config-vservice-path)# node svc_vwaas order 10
• Присоединить сервисы к профилю порта
VSM-MSK(config)# port-profile vm_data
VSM-MSK(config-port-prof)# vservice path svc_path vPath
Nexus 1000V
10. Настройка vPath/Virtual Service Node для одного сервиса
• Или присоединить один сервис к профилю
VSM-MSK(config-port-prof)# vservice node <node name> {profile <profile
name>}
vPath
Nexus 1000V
13. Cisco Virtual WAAS
• Виртуализированное дополнение линейки Cisco WAAS
• Привычные средства управления
• Оптимизация трафика виртуальных машин
– Поддержка vPath
• Традиционная оптимизация трафика
– Поддержка WCCP
• Хранение кэша DRE на дисковом массиве
14. vWAAS
1
Частное облако
• Традиционное расположение – периметр филиала или ЦОД
WAN or • Постепенная миграция с физического на виртуальное
Internet
VMware ESXi Server устройство
WCCP/AppNav
2 Частное облако, виртуальное частное облако,
VMware ESXi
публичное облако
• Дискретная оптимизация вплоть до виртуальной машины
• Предоставление ресурсов по требованию
vPATH
Nexus 1000V vPATH
VMware ESXi Server
Nexus 1000V vPATH
VMware ESXi Server
15. vWAAS
Distributed Power
Дистрибутив в формате Open Management
Virtualization Format (OVF)
Поддержка vMotion и Storage vMotion
VMware ESXi
VMware ESXi
VMware ESXi
VMware ESXi
Power Off
Distributed Resource Scheduler (DRS)
Перехват трафика с помощью vPath
(config)# port-profile vWAAS VMware ESXi VMware ESXi
(config-port-prof)# switchport mode access
(config-port-prof)# switchport access vlan 102
(config-port-prof)# vmware port-group vWAAS
(config-port-prof)# no shut
vWAAS
(config-port-prof)# state enabled
(config-port-prof)# vmware max-ports 12
17. Мониторинг трафика виртуальных машин
• Виртуальная машина для устройства Nexus 1100
• Анализ трафика и статистика по интерфейсам
каждой виртуальной машины Cisco Prime NAM для Nexus
• Анализ времени отклика 1100 Series
• Захват и декодирование пакетов
• История статистики NetFlow
ERSPAN
Nexus 1000V Cisco Nexus 1100 Series Appliance
19. Осутствие поддержки корпоративных сетевых сервисов в облаке
Безопасность Масштабируемость Интеграция
• Разные политики VPN-подключений • Ограничения в количестве VLAN • Разные IP-подсети
• Ограниченная надежность • Неоптимальный маршрут трафика • Различные инструменты управления
соединения
• Ограниченный перечень сетевых
сервисов
ЦОД
VPC/ vDC
VPC/ vDC
INTERNET/ Облако
MPLS WAN
Филиал
Филиал Филиал
20. Расширение корпоративной сети в облако провайдера
Cisco Cloud Services Router 1000V
Безопасность Масштабируемость Интеграция
• Унифицированные политики • Снижение зависимости от VLAN • Единая сеть организации
• Масштабируемые и надежные • Оптимизация трафика филиалов • Знакомые инструменты управления
подключения VPN
• Требуемые организации сетевые
сервисы
ЦОД
VPC/ vDC
VPC/ vDC
INTERNET/ Облако
MPLS WAN
Филиал
Филиал Филиал
21. Маршрутизатор облачных сред Cisco Cloud Services Router 1000v
• Cisco IOS XE Cloud Edition
– Набор функций Cisco IOS XE
• Шлюз для виртуального частного облака, ЦОД
– Оптимизирован под использование одним арендатором
CSR
• Прозрачен для инфраструктуры 1000V
– Серверы, коммутаторы, маршрутизаторы
App App
• Оптимизирован для управления RP
– CSR 1000V RESTful API OS OS FP
– Cisco Prime NCS VPC/vDC
– Cisco IOS CLI и SNMP Гипервизор
vSwitch
*В настоящее время продукт находится на стадии контролируемого внедрения
22. Шлюз арендатора в многопользовательском облаке
Организация А
ЦОД ЦОД провайдера
CSR
1000V
Филиал Арендатор А
CSR
1000V
Филиал
Физическая Виртуальная
инфраструктура инфраструктура
26. Шлюз безопасности Cisco Virtual Security Gateway
VM VM VM
VM VM VM VM VM VM VM
VM VM VM VM VM VM VM VM VM
Nexus 1000V vPath
Distributed Virtual Switch
Группирование виртуальных машин Защита нескольких хостов с Прозрачное добавление
на основе общих свойств виртуальными машинами виртуальных машин
Использование свойств виртуальных
Перемещение политик вслед за
машин для построения правил Отказоустойчивость
виртуальными машинами
защиты
27. Cisco VSG. Перенаправление трафика виртуальных машин
VM VM VM
VM VM VM VM VM VM VM
VM VM VM VM VM VM VM VM VM
4
Nexus 1000V vPath
Distributed Virtual Switch
VSG
3 Результат
политики в
кеше
2 Проверка пакета
1 Первый пакет
в сессии согласно политике Log/Audit
28. Cisco VSG. Повышение производительности
VM VM VM
VM VM VM VM VM VM VM
VM VM VM VM VM VM VM VM VM
Nexus 1000V vPath
Distributed Virtual Switch
Результат политики в кеше VSG
определяет дальнейшие
действия Nexus 1000v
Последующие
пакеты к сессии
Log/Audit
29. Виртуальный межсетевой экран Cisco ASA 1000V
• Защита периметра виртуального частного ЦОД
– Использование в публичном и частном облаке
• Тесная интеграция с Nexus 1000v
– Перехват трафика с помощью vPath
– Поддержка сегментации сети VXLAN
• Интеграция с VSG
– Перенос типовой модели традиционного ЦОД в облачную среду
• Свободный рост количества и мощности виртуальных машин
– Горизонтальная масштабируемость ASA 1000V
31. Всеохватывающая безопасность для любых видов нагрузок
Физические устройства Виртуальные устройства
Cisco ASA Cisco Catalyst® 6500 Cisco VSG Cisco ASA 1000V
5585-X Series ASA Services Cloud Firewall
Module
• Масштабируемая производительность • Проверенный код в формате
• Защита физического периметра ЦОД виртуальной машины
• Различные модели внедрения • Политики на уровне групп виртуальных
машин
32. Cisco Virtual Network Management Center.
Инструмент обеспечения традиционной модели управления в ЦОД
• Управление множеством устройств на
основе ролей
• Настройка устройств в соответствии с
Администратор
политиками серверов
VMware
vCenter
• Поддержка дерева оргструктур и
делегирование полномочий по
управлению
• Интеграция в корпоративные системы
управления
Cisco
Cisco Nexus
VNMC 1000V
Администратор Администратор
безопасности сети
33. Разделение обязанностей в виртуализированном ЦОД
Администратор серверов Администратор сети Администратор безопасности
vCenter Nexus 1000V VNMC
• Создает кластер • Настраивает VSM • Создает дерево оргструктур
• Определяет конфигурации устройств
• Определяет экземпляры VSG/ASA1000V и связывает с ними
конфигурации устройств
• Создает шаблон описания порта port- • Определяет зоны безопасности
profile • Создает политики безопасности на основе зон и атрибутов
• Создает шаблоны безопасности security-profile
• Назначает политики безопасности шаблонам безопасности
• Связывает шаблон безопасности security-
profile с шаблоном порта port-profile
• Создает VM Root
• Назначает Port Group
виртуальному vNIC
VSM ASA 1000V/VSG
VM Tenant 1
port-profile security
vNIC policy set
web-server profile
policy
rule
37. Модель внедрения Cisco VSG
• VSG фильтрует трафик между виртуальными машинами, относящимся к разным профилям
безопасности
• Интерфейсы VSG находятся в сети, отдельной от сети виртуальных машин
• Каждый VSG принадлежит одной организации
• Правила безопасности основаны на атрибутах сетевых и виртуальных машин
Port Profile 2
Port Profile 1 Security Profile:
Security Profile: db-server
web-server
Port Group 2
Port Group 1 VSG
VM VM VM VM VM VM
Сеть VM организации
Служебная сеть
38. Модель внедрения Cisco ASA1000V
Port Profile 1 Port Profile 2 • ASA 1000V имеет только два
Edge Security Profile: Edge Security Profile: интерфейса
web-server db-server
– inside, outside
Port Group 1 Port Group 2
• Сегментация защищаемых
Nexus 1000
ресурсов достигается
VM VM VM VM VM VM
применением профилей
безопасности
inside – присоединяются к
Nexus 1000V интерфейсу inside
• Один экземпляр ASA1000V
ASA Port Group 3 защищает периметр одной
1000V
VM Port Profile 3 организации
outside
39. Модель внедрения Cisco ASA1000V Interface security-profile 2
security-profile db-server 1
Interface security-profile
Port Profile 1 Port Profile 2 security-profile web-server
nameif db
Edge Security Profile: Edge Security Profile:
web-server db-server nameif web
no ip address
no ip address
Port Group 1 Port Group 2
security-level 100
VM VM Nexus 1000
VM VM VM VM
Interface GigabitEthernet0/0
nameif inside
inside ip address 192.168.0.1
Nexus 1000V security-level 100
service-interface security-profile all inside
ASA Port Group 3
1000V
VM Port Profile 3 Interface GigabitEthernet0/1
outside nameif outside
ip address 201.24.56.11
security-level 0
40. Пример реализации ДМЗ
Использование двух экземпляров ASA1000V Использование ASA1000V и VSG
• По одному граничному МСЭ на зону • Общий VLAN на две зоны
• Внутри VLAN не используются средства • VSG обеспечивает защиту
фильтрации • Общий граничный МСЭ ASA1000V
Port-profile Port-profile Port-profile Port-profile
Inside DMZ Inside DMZ
(VLAN 200) (VLAN 400) (VLAN 200) (VLAN 200)
VM VM VM VM VM VM VM VM
Interface Interface Inside DMZ
Inside DMZ
Interface
Interface Ouside
Ouside
41. Защита приложений трехуровневой архитектуры
Оганизация A Зоны безопасности
на VSG
Разрешить доступ к серверам Разрешить доступ к серверам
приложений только веб- баз данных только серверам
серверам через HTTP/HTTPS приложений
Web App DB
Web
Server App
Server DB
server
Server Server server
Web-Zone App-Zone DB-Zone
Открыть порты 80 (HTTP) Открыть на серверах Запретить весь
и 443 (HTTPS) веб- приложений только остальной трафик
серверов порт 22 (SSH)
42. ЦОД поставщика облачных услуг
Организация А Департамент А Департамент Б
ASA
CSR 1000V
VSG VSG
1000V vWAAS
AppNav
Servers vPath
WAN Switches
Router
Nexus 1000V
Virtual Infrastructure
Гипервизор
Физическая среда Виртуальная среда
43. В заключение
• Сетевые сервисы:
– традиционные с привычными механизмами встраивания в поток данных
– виртуализированные, но использующие механизмы традиционных сервисов
для встраивания в поток данных
– виртуализированные и использующие характерные для среды виртуализации
механизмы получения трафика
• Виртуальные машины нужно и можно обеспечить сетевыми сервисами
• Cisco Nexus 1000V vPath является основой для реализации
виртуализированных сервисов в ЦОД
• Виртуализированные сервисы сохраняют модель эксплуатации ЦОД
44. Спасибо!
Заполняйте анкеты он-лайн и получайте подарки в Cisco
Shop: http://ciscoexpo.ru/expo2012/quest
Ваше мнение очень важно для нас!