Введение в виртуализацию. Обзор технологий VMwareSkillFactory
В рамках вебинара Константин Кряженков, сертифицированный специалист по технологиям VMware, рассказал о основных подходах к созданию виртуальной инфраструктуры, а также о преимуществах и трудностях, которые возникают в процессе ее развертывания. Кроме того, вы сможете наблюдать возможности миграции виртуальных машин в процессе живой демонстрации!
Вячеслав Таболин – старший программист-разработчик ЦПИКС «От Virtual Applian...ARCCN
Кратко рассмотрим что такое NFV (для тех, кто не знает)
День сегодняшний: Virtual Appliance
Переход от виртуального сервера к виртуальному сервису
Проблемы переходного периода
System Сenter - как комплекс управления жизненным циклом облачной информацион...Учебный центр Микротест
System Сenter - как комплекс управления жизненным циклом облачной информационной системы: ценности решения Microsoft Private Cloud и его компонентов
По материалам вебинара Георгия Гаджиева
Цифровое производственное предприятие в ЕвропеCisco Russia
Европейские производители отстают по важным показателям внедрения цифровых инноваций. Это особенно
очевидно в сравнении с азиатскими предприятиями. При этом, перед промышленными предприятиями в Европе стоит целый ряд задач и проблем.
Введение в виртуализацию. Обзор технологий VMwareSkillFactory
В рамках вебинара Константин Кряженков, сертифицированный специалист по технологиям VMware, рассказал о основных подходах к созданию виртуальной инфраструктуры, а также о преимуществах и трудностях, которые возникают в процессе ее развертывания. Кроме того, вы сможете наблюдать возможности миграции виртуальных машин в процессе живой демонстрации!
Вячеслав Таболин – старший программист-разработчик ЦПИКС «От Virtual Applian...ARCCN
Кратко рассмотрим что такое NFV (для тех, кто не знает)
День сегодняшний: Virtual Appliance
Переход от виртуального сервера к виртуальному сервису
Проблемы переходного периода
System Сenter - как комплекс управления жизненным циклом облачной информацион...Учебный центр Микротест
System Сenter - как комплекс управления жизненным циклом облачной информационной системы: ценности решения Microsoft Private Cloud и его компонентов
По материалам вебинара Георгия Гаджиева
Цифровое производственное предприятие в ЕвропеCisco Russia
Европейские производители отстают по важным показателям внедрения цифровых инноваций. Это особенно
очевидно в сравнении с азиатскими предприятиями. При этом, перед промышленными предприятиями в Европе стоит целый ряд задач и проблем.
Решение для контроля приложений и фильтрации URL-адресовCisco Russia
Решение для контроля приложений Sourcefire
Application Control обеспечивает экономию денежных
средств, повышает безопасность и минимизирует
правовую ответственность за счет контроля над
приложениями, которые могут создавать
уязвимости, обходить существующие средства
защиты, раскрывать конфиденциальную
информацию, занимать чрезмерный объем полосы
пропускания или нарушать политику использования.
Эти возможности успешно дополняет опция
фильтрации URL-адресов, с помощью которой
организации могут применить фильтрацию
веб-адресов на основе категорий и репутации, чтобы
внедрить политики допустимого использования
и сократить риск вторжения или заражения.
Архитектура защищенного мобильного доступа Cisco Russia
Организации часто сталкиваются с задачами обеспечения мобильного доступа к ресурсам. При чем доступ требуется обеспечить как с корпоративных так и персональных мобильных устройств. В большинстве случаев такой доступ предоставляется с использованием имеющихся технических средств. Зачастую при этом не обеспечивается комплексный подход и задачи безопасности уходят на второй план. В данной презентации будет представлена архитектура Cisco для предоставления безопасного мобильного доступа. Будут рассмотрены основные сценарии использования мобильных устройств в организации. В докладе будут освещено использование таких решений как Cisco ISE, AnyConnect, ASA, Web Security Appliance для защиты мобильного доступа от угроз безопасности. Также будут рассмотрена интеграция решений Cisco с продуктами эко-партнеров в области безопасности.
Системы Cisco HyperFlex™ объединяют вычислительные ресурсы, системы хранения и сети в простую и удобную платформу. Мы переносим экономический принцип оплаты по мере роста из облака в локальную инфраструктуру, чтобы вы могли достичь новых уровней гибкости, эффективности и адаптируемости.
Cisco Collaboration – как технологии позволяют видоизменять способы нашей работыCisco Russia
Каждый из нас – часть общества. Все люди постоянно взаимодействуют между собой как в личной жизни, так и, конечно, на работе. Условия нашей работы и задачи, которые приходится решать постоянно меняются – нам необходимо постоянно учиться чему-то новому, налаживать связи с новыми людьми. Технологии Cisco в области совместной работы позволяют людям по-новому взглянуть на привычные задачи и найти наиболее удобный способ работать эффективно и комфортно в любых условиях.
Проверка серийного номера устройства для доступа к сервисным услугамCisco Russia
- Что такое Service Entitlement
- Преимущества проверки прав доступа к сервисным услугам
- Уровни проверки прав доступа к услугам
- Приложение Support Case Manager
- Команда Global Service Relations (GSR)
- Дополнительные материалы и интерактивные приложения
Эволюция технологий для организации сервисных цепочек в ЦОДCisco Russia
Организация сервисных цепочек в виртуализированной среде - vPath.
Подключение сервисных устройств к DFA.
Интеграция сервисных устройств с ACI.
Архитектура Network Service Header.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Cisco Russia
Обзор Сервисных Услуг в России и странах СНГ.
Сервисные Услуги в России и странах СНГ делятсяна Базовую и Расширенную техническую поддержку.
БАЗОВАЯ ТЕХНИЧЕСКАЯ ПОДДЕРЖКА 1. Центр Технической Поддержки (ТАС) Центр технической поддержки Cisco TAC предоставляет Заказчикам быстрый доступ к технологическим экспертам с опытом диагностики и решения самых сложных проблем.
Cisco TAC обладает развитой системой управления запросами, которая позволяет оперативно направить проблему в соответствующую технологическую команду или перевести на следующий уровень поддержки, если проблема не решена в заданный период.
Cisco TAC предоставляет круглосуточную поддержку по всему миру.
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareCisco Russia
Клиентские контракты на услуги технической поддержки Cisco Smart Net Total Care
Cisco Smart Net Total Care (SNTC) — это контракт на услуги технической поддержки Cisco.
Cервис сочетает в себе ведущие в отрасли и получившие множество наград технические сервисы с дополнительно встроенными инструментами бизнес-аналитики, которые получает Заказчик через встроенные интеллектуальные возможности на портале Smart Net Total Care.
Запись вебинара "Решения компании Cisco для операторов связи по защите от взлома и вредоносного программного обеспечения": https://ciscoclub.ru/resheniya-kompanii-cisco-dlya-operatorov-svyazi-po-zashchite-ot-vzloma-i-vredonosnogo-programmnogo-o
Запись вебинара "Решения компании Cisco для операторов связи по защите от взлома и вредоносного программного обеспечения": https://ciscoclub.ru/resheniya-kompanii-cisco-dlya-operatorov-svyazi-po-zashchite-ot-vzloma-i-vredonosnogo-programmnogo-o
Запись вебинара "Решения компании Cisco для операторов связи по защите от взлома и вредоносного программного обеспечения": https://ciscoclub.ru/resheniya-kompanii-cisco-dlya-operatorov-svyazi-po-zashchite-ot-vzloma-i-vredonosnogo-programmnogo-o
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
Как реализовать SDA, создать стратегию, которая будет сопоставлена с бизнес задачами, оценить готовность к трансформации, успешно и максимально надежно реализовать намеченные планы.
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Cisco Russia
О работе группы исследователей компании Cisco, в которой доказана применимость традиционных методов статистического и поведенческого анализа для обнаружения и атрибуции известного вредоносного ПО, использующего TLS в качестве метода шифрования каналов взаимодействия, без дешифровки или компрометации TLS-сессии. Также рассказано о решении Cisco Encrypted Traffic Analytics, реализующем принципы, заложенные в данном исследовании, его архитектуре и преимуществах.
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиCisco Russia
Как компания Cisco способствует цифровой трансформации предприятий нефтегазовой отрасли. Описание внедренных проектов, полученных результатов, обзор примененных архитектур.
3. Традиционный центр обработки данных
Сетевые
сервисы
Клиенты Приложения
• 1 сервер – 1 приложение
• Физическая среда коммутации видит весь трафик
• Схема работает в случае наличия резервных площадок
4. Виртуализированный центр обработки данных
Сетевые
сервисы
Приложения
Клиенты
Клиенты
• 1 сервер – множество приложений
• Виртуальные рабочие места
• Увеличение объема трафика
• Физическая среда коммутации не видит весь трафик
• Динамическое перемещение нагрузок на резервные площадки
6. ИТ как услуга
Построение
Построение
изолированных
систем
инфраструктуры
Требования
бизнеса
Требования
бизнеса
Приложения
Автоматическое
управление
Приложения
Точечное
управление
Серверы
VirtualizaCon-‐
Cisco
Nexus
Aware
Network
Сеть
Ethernet,
FC,
Ip
Хранение
Cisco
UCS
Пул
виртуализированных
ресурсов
8. Эталонная модель инфраструктуры ЦОД
Cisco Data Center Business Advantage
Unified Unified Network Unified
Fabric Services Computing
§ Nexus 1000V
§ Virtual Security Gateway § Unified Compute
§ Nexus 5K/2K
§ Virtual WAAS System
§ Nexus 7K
http://www.cisco.com/go/uns
9. Объединение физических и виртуализованных
сервисов
Физические устройства Виртуализованный ЦОД Облако
VDC-1
APP
OS
Hypervisor
VDC-2
FW WAN ADC/
Opt SLB
• Традиционная модель
эксплуатации оборудования • Форм-фактор – виртуальная машина
Virtual • Бесшовное внедрение/удаление
• Широкий выбор вариантов Service
форм-фактора • Перемещение виртуальных серверов
Node
Устройство • Масштабирование
(VSN)
Модуль • Делегирование полномочий
10. Как внедрить сервис для виртуализованных
приложений
Направить трафик с помощью Внедрить в гипервизор
1 VLAN на внешнее сервисное 2 сервисное устройство
устройство Virtual Service Node (VSN)
Web App Database Web App Database
Server Server Server Server Server Server
Hypervisor Hypervisor
VLANs
Виртуальные контексты VSN
VSN
Virtual Service Nodes
Физическое устройство
11. Примеры реализации Virtual Service Node
Virtual Network Virtual Central
Management Manager (vCM)/
Center (VNMC) Central Manager
Virtual WAAS
Virtual Security
Gateway (VSG)
vPath
Nexus 1000V
13. Проблемы виртуализации вычислений
1. Настроенные политики
должны следовать за
виртуальной машиной
2. Необходимо применять
политики к локально
Port
Group
коммутируемому трафику
3. Нужно сохранить модель
эксплуатации и обеспечить
непрерывную работу
Администратор
серверов
Администратор Администратор
безопасности сети
14. Коммутатор виртуальных машин Nexus 1000V
Модульный коммутатор
Supervisor-1
VSM-1
L2 L3
Supervisor-2
VSM-2
Back plane
M Linecard-1
MVEM-1
O O
Linecard-2
VEM-2
D D
E E …
Linecard-N
VEM-N
Сервер 1 Сервер 2 Сервер 3
15. Коммутатор виртуальных машин Nexus 1000V
Virtual Appliance Nexus 1010
VSM: Virtual Supervisor Module
VEM: Virtual Ethernet Module VSM-A1 VSM-A4
Модульный коммутатор VSM-B1 VSM-B4
Supervisor-1
VSM-1
L2 L3
Supervisor-2
VSM-2
Back plane
M Linecard-1
MVEM-1
O O
Linecard-2
VEM-2
D D
…
E E
Linecard-N
VEM-N
ESX ESX ESX
…
16. VSM + VEM = виртуальное шасси коммутатора
Nexus 1000V
Virtual Appliance Nexus 1010
VSM-1 VSM-A1 VSM-A4
• Более 200 виртуальных портов VSM-2
VSM-B4
на один модуль VEM VSM-B1
• 2048 портов на коммутатор
• 64 модуля VEM на коммутатор L2 L3
• Несколько экземпляров
M M
коммутатора под управлением O O
vCenter D D
E E
VEM-N VEM-2 VEM-1
ESX ESX ESX
…
17. Типы интерфейсов Cisco Nexus 1000V
• Ethernet Port (eth)
Po1
Физический порт сетевого адаптера в сервере
Принадлежит только одному модулю VEM Eth3/1 Eth3/2
Vmware vmnicX == Cisco ethx/y
До 32 физических портов на хост Veth1 Veth2
• Port Channel (po) VM-1 VM-2
Агрегация физических портов Ethernet
До 8 портов Port Channel на хост
• Virtual Ethernet Port (veth)
Порт виртуальной машины (vmnic) или service console и vmknic
Номер порта может сохраняться при перемещении, выключении/включении
виртуальных машин
До 216 портов veth на хост, до 2К портов на DVS
18. Механизм настройки сетевых политик
VM VM VM VM
• Port-profile – шаблон, использующийся VNIC
для определения набора параметров и
VETH
их привязки к множеству интерфейсов
• Однократный ввод и многократное
использование на физических и
виртуальных интерфейсах
• Упрощение настройки
n1000v(config)# port-profile type vethernet WebServers VSM vCenter
n1000v(config-port-prof)# switchport mode access
21. Широкий набор функций
L2 Switching, 802.1Q Tagging, VLAN Segmentation, Rate Limiting (TX)
Коммутация
§
§ IGMP Snooping, QoS Marking (COS & DSCP), Class-based WFQ
§ Policy Mobility, Private VLANs w/ local PVLAN Enforcement
Безопасность § Access Control Lists (L2–4 w/ Redirect), Port Security
§ Dynamic ARP inspection, IP Source Guard, DHCP Snooping
Virtual Services Datapath (vPath) support for traffic steering & fast-path
Сервисы
§
off-load [leveraged by Virtual Security Gateway (VSG) and vWAAS]
Automated vSwitch Config, Port Profiles, Virtual Center Integration
Внедрение
§
§ Optimized NIC Teaming with Virtual Port Channel – Host Mode
§ VMotion Tracking, NetFlow v.9 w/ NDE, CDP v.2
Мониторинг § VM-Level Interface Statistics
§ SPAN & ERSPAN (policy-based)
§ Virtual Center VM Provisioning, Cisco Network Provisioning, CiscoWorks
Управление § Cisco CLI, Radius, TACACs, Syslog, SNMP (v.1, 2, 3)
§ Hitless upgrade, SW Installer
Поддержка IPv6: As a Layer-2 switch, Nexus 1000V, коммутатор второго уровня, коммутирует пакеты IPv6 и
функционал Layer-2, такой как PVLAN и Port Security. Кроме того, интерфейсу управления можно
назначить адрес IPv6.
22. Безопасность виртуальных рабочих мест
Функции безопасности
Desktop
Applications
Applications
• Access Control List
Desktop OS
• Port Security
Desktop Virtualization Software
• Private VLAN
Hypervisor Nexus • DHCP Snooping
1000V
WAAS
• Dynamic ARP Inspection
Nexus
• IP Source Guard
Switch
ACE
Эталонные архитектуры:
• 1000V for VMware View
• 1000V for Citrix XenDesktop
WAAS: Wide Area Application Service
• 1000V and VSG for VXI Reference Architecture
ACE: Application Control Engine
23. Механизмы обеспечения качества обслуживания
• Использование MQC для гарантии
полосы пропускания
VMK NIC До 64 классов трафика
VM VM VM
vMotion
• 8 преднастроенных классов трафика
vMotion
Nexus FT-Logging
1000V
VEM iSCSI
NFS
vMotion
ESX Management
N1K Control
15%
VM_Platinum 20% N1K Packet
15%
N1K Management
VM_Gold
• Пользователь может настроить
5%
Default 30% классы трафика и параметры
15%
очередей
ESX_Mgmt
• Дифференцированный подход к
N1K_Control, трафику VM
N1K_Packet
24. Динамическое перемещение нагрузок между
площадками
Long-distance vMotion
• Настроенные политики
перемещаются вслед за
Nexus
1000V
виртуальной машиной
• Пример интеграции виртуальных
vSphere
и физических сервисов
Cisco Nexus
7000 Series
Nexus
1000V
vSphere
O T V
Cisco Nexus
7000 Series
Design Guides: Virtual Workload Mobility
OTV: Overlay Transport Virtualization (Long-distance vMotion)
Cisco, VMware and EMC (with 1000V and VSG)
Cisco, VMware and NetApp (with 1000V and VSG)
25. Virtual Service Datapath (vPath)
Связующее звено с виртуализованными сервисами
• Обязательный элемент архитектуры UNS
• Компонент виртуальной линейной карты Nexus
1000V VEM
• Интеллектуальное перенаправление трафика
виртуальных машин
• Поддержка модели «коммерческий ЦОД»
• Virtual Security Gateway (VSG), vWAAS
vPath
Nexus 1000V VEM
26. Настройка vPath/Virtual Service Node
vsm-N1k(config-port-prof)#
vn-service ip-address <ipv4> vlan <vlan#> [{security-
profile <profile-name> | fail {open | close}}]
• Минимум IPv4-адрес хоста с виртуализированным сервисом и номер его
VLAN
• Security-profile используется в случае VSG
• Реакция на недоступность VSN
Open: например, в случае недоступности сервиса vWAAS продолжить
коммутацию пакетов
Close: например, в случае недоступности сервиса VSG блокировать передачу
пакетов
• В данной версии не поддерживается настройка нескольких сервисов в
профиле порта
28. Виртуализация и безопасность
• Виртуализация
Быстрота внедрения
Масштабируемость
Снижение стоимости внедрения
• Нагрузки с разными профилями риска разделяют вычислительную
инфраструктуру
CRM
Разработка/тестирование
Финансы/кадры
Унифицированные коммуникации
Виртуальные рабочие места
DMZ
• Как
Соответствовать внутренним политикам/законодательству
Обеспечить непрерывность администрирования/работы
29. Пример – трехзвенная архитектура
Оганизация A Организация B
Разрешить доступ к Разрешить доступ к
серверам приложений серверам баз данных
только веб-серверам только серверам
VLAN-X VLAN-Y
через HTTP/HTTPS приложений
Web! App! DB! Web! App! DB!
Web!
Server! App!
Server! DB! Web!
Server! App!
Server! DB!
server! server!
Server! Server! server! Server! Server! server!
Открыть порты Открыть на Запретить
80 (HTTP) серверах весь
и 443 (HTTPS) приложений только остальной
веб-серверов порт 22 (SSH) трафик
30. Шлюз безопасности Virtual Security Gateway
Использование свойств виртуальных
Контекстная машин для построения правил
безопасность защиты
Контроль на основе Группирование виртуальных машин
Virtual зон безопасности на основе общих свойств
Security
Политики следуют за
Gateway
Динамика перемещаемыми виртуальными
(VSG) машинами
Отказоустойчивая, масштабируемая
Зрелая архитектура (Nexus 1000V vPath)
Virtual Сохранение модели Подразделение ИТ-безопасности
эксплуатации настраивает параметры безопасности
Network
Management Централизация управления,
Center Использование масштабируемость,
(VNMC) политик многопользовательская среда
Интеграция со
средствами XML API, профили безопасности
автоматизации
31. Сохранение модели эксплуатации
VNMC
VM VM VM
VM VM VM VM VM VM VM
VM VM VM VM VM VM VM VM VM
Nexus 1000V vPath
Distributed Virtual Switch
VSG
Зонирование на уровнеПрименение политик
Multi-tenancy
VM или VLAN «на лету»
Политики следуют Администраторы
Бесшовное внедрение
за vMotion безопасности Log/Audit
Делегирование
Отказоустойчивость XML API
административных прав
32. Перенаправление трафика
VNMC
VM VM VM
VM VM VM VM VM VM VM
VM VM VM VM VM VM VM VM VM
4
Nexus 1000V vPath
Distributed Virtual Switch
VSG
Кеширование
Access Log
результата в 3
(syslog)
таблице
сессий
Первый пакет 2 Проверка сессии
1
в сессии согласно политике Log/Audit
33. Повышение производительности
VNMC
VM VM VM
VM VM VM VM VM VM VM
VM VM VM VM VM VM VM VM VM
Nexus 1000V vPath
Distributed Virtual Switch
VSG
Результат политики
записан в таблице
сессий
Последующие
пакеты в сессии
Log/Audit
34. Анализ и контроль прикладного протокола
VNMC
VM VM VM VM VM VM
VM VM VM VM VM VM VM
Nexus 1000V vPath
Distributed Virtual Switch
VSG
FTP Control
FTP Data
35. Virtual Network Management Center
• Виртуальная машина
• Инструмент работы подразделения ИТ-безопасности
• Использование простых правил для создания политик
vCenter Nexus 1000V VNMC
Port Group Port Profile Security Profile
Администратор сервера Администратора сети Администратор безопасности
36. Сборная конструкция политики безопасности
Профиль безопасности
Набор политик
Политика 1 Политика 2 Политика N
Правило Правило Правило
1 1 1
Правило Правило Правило
2 2 2
Правило Правило Правило
N N N
Правило – ACE, политика – ACL
38. Построение правила
Правило þ þ
Условие Условие
выбора выбора Действие
источника назначения
Условие Attribute Type
Network
VM
Custom
39. Построение правила
Правило þ þ
Условие Условие
выбора выбора Действие
источника назначения
Условие Attribute Type
Network
VM
Custom
VM Attributes Network Attributes
Instance Name IP Address
Guest OS full name Network Port
Zone Name
Parent App Name
Port Profile Name
Cluster Name
Hypervisor Name
40. Построение правила
Правило þ þ
Условие Условие
выбора выбора Действие
источника назначения
Условие Attribute Type
Network
VM
Custom
VM Attributes Network Attributes Operator Operator
Instance Name IP Address eq member
Guest OS full name Network Port neq Not-member
Zone Name gt Contains
Parent App Name lt
Port Profile Name range
Cluster Name
Not-in-range
Hypervisor Name
Prefix
41. Построение правила
Правило þ þ
Условие Условие
выбора выбора Действие
источника назначения
Условие Attribute Type
Network
VM
Custom
VM Attributes Network Attributes Operator Operator
Instance Name IP Address eq member
Guest OS full name Network Port neq Not-member
Zone Name gt Contains
Parent App Name lt
Port Profile Name range
Cluster Name
Not-in-range
Hypervisor Name
Prefix
42. Пример – трехзвенная архитектура
Оганизация A Организация B
Разрешить доступ к Разрешить доступ к
серверам приложений серверам баз данных
только веб-серверам только серверам
VLAN-X VLAN-Y
через HTTP/HTTPS приложений
Web! App! DB! Web! App! DB!
Web!
Server! App!
Server! DB! Web!
Server! App!
Server! DB!
server! server!
Server! Server! server! Server! Server! server!
Web-Zone App-Zone DB-Zone
Открыть порты Открыть на Запретить
80 (HTTP) серверах весь
и 443 (HTTPS) приложений только остальной
веб-серверов порт 22 (SSH) трафик
43. Безопасность на всех уровнях
vCenter
Virtual Network Management Center (VNMC)
Организация A Организация B
VDC VDC
vApp
VSG VSG VSG
vApp
VSG
Virtual ASA Virtual ASA
vPath
Nexus 1000V
vSphere
44. Выводы
• Распространить традиционные сетевые сервисы на
виртуализованные вычисления реально
• vPath – основа виртуализованных сетевых сервисов
Перенаправление трафика
Поддержка модели «коммерческий ЦОД»
• Виртуализованные сервисы сохраняют модель
эксплуатации ЦОД
vPath
Nexus 1000V
Hypervisor
VNMC VSG