Объединенные сетевые сервисы для виртуализованных вычислений.

Объединенные
сетевые сервисы для
виртуализованных
вычислений

Игорь Гиркин
системный инженер
iggirkin@cisco.com

Зачем нужны
виртуализованные сервисы

Традиционный центр обработки данных

Сетевые
сервисы

Клиенты Приложения

•  1 сервер – 1 приложение
•  Физическая среда коммутации видит весь трафик
•  Схема работает в случае наличия резервных площадок

Виртуализированный центр обработки данных

Сетевые
сервисы

Приложения
Клиенты
Клиенты

•  1 сервер – множество приложений
•  Виртуальные рабочие места
•  Увеличение объема трафика
•  Физическая среда коммутации не видит весь трафик
•  Динамическое перемещение нагрузок на резервные площадки

Развитие виртуализации
Количество серверов
20 000 000

17 500 000
Переломный момент
15 000 000

12 500 000

10 000 000

7 500 000

5 000 000

2 500 000

0
2005 2006 2007 2008 2009 2010 2011 2012 2013 2014

Virtualized Non-Virtualized
Виртуализованный Невиртуализованный

Источник: IDC, Nov 2010

ИТ как услуга

Построение
Построение

изолированных
систем
инфраструктуры

Требования
бизнеса
Требования
бизнеса


Автоматическое
управление


Точечное
управление

Серверы
VirtualizaCon-‐
Cisco
Nexus

Aware
Network

Сеть

Ethernet,

FC,
Ip

Хранение
Cisco
UCS

Пул
виртуализированных
ресурсов

Архитектура объединенных
сетевых сервисов

Эталонная модель инфраструктуры ЦОД

Cisco Data Center Business Advantage

Unified Unified Network Unified
Fabric Services Computing

§  Nexus 1000V
§  Virtual Security Gateway §  Unified Compute
§  Nexus 5K/2K
§  Virtual WAAS System
§  Nexus 7K

http://www.cisco.com/go/uns

Объединение физических и виртуализованных
сервисов

Физические устройства Виртуализованный ЦОД Облако

VDC-1
APP

OS

Hypervisor
VDC-2
FW WAN ADC/
Opt SLB

•  Традиционная модель
эксплуатации оборудования •  Форм-фактор – виртуальная машина
Virtual •  Бесшовное внедрение/удаление
•  Широкий выбор вариантов Service
форм-фактора •  Перемещение виртуальных серверов
Node
Устройство •  Масштабирование
(VSN)
Модуль •  Делегирование полномочий

Как внедрить сервис для виртуализованных
приложений

Направить трафик с помощью Внедрить в гипервизор
1 VLAN на внешнее сервисное 2 сервисное устройство
устройство Virtual Service Node (VSN)

Web App Database Web App Database
Server Server Server Server Server Server

Hypervisor Hypervisor

VLANs

Виртуальные контексты VSN
VSN

Virtual Service Nodes
Физическое устройство

Примеры реализации Virtual Service Node

Virtual Network Virtual Central
Management Manager (vCM)/
Center (VNMC) Central Manager

Virtual WAAS
Virtual Security
Gateway (VSG)

vPath
Nexus 1000V

Обзор коммутатора
Nexus 1000V

Проблемы виртуализации вычислений

1. Настроенные политики
должны следовать за
виртуальной машиной

2. Необходимо применять
политики к локально
Port
Group
коммутируемому трафику

3. Нужно сохранить модель
эксплуатации и обеспечить
непрерывную работу
Администратор
серверов

Администратор Администратор
безопасности сети

Коммутатор виртуальных машин Nexus 1000V

Модульный коммутатор

Supervisor-1
VSM-1
L2 L3
Supervisor-2
VSM-2
Back plane

M Linecard-1
MVEM-1
O O
Linecard-2
VEM-2
D D
E E …
Linecard-N
VEM-N

Сервер 1 Сервер 2 Сервер 3

Коммутатор виртуальных машин Nexus 1000V
Virtual Appliance Nexus 1010
VSM: Virtual Supervisor Module
VEM: Virtual Ethernet Module VSM-A1 VSM-A4

Модульный коммутатор VSM-B1 VSM-B4

Supervisor-1
VSM-1
L2 L3
Supervisor-2
VSM-2
Back plane

M Linecard-1
MVEM-1
O O
Linecard-2
VEM-2
D D
…
E E
Linecard-N
VEM-N

ESX ESX ESX
…

VSM + VEM = виртуальное шасси коммутатора
Nexus 1000V
Virtual Appliance Nexus 1010

VSM-1 VSM-A1 VSM-A4

•  Более 200 виртуальных портов VSM-2
VSM-B4
на один модуль VEM VSM-B1

•  2048 портов на коммутатор
•  64 модуля VEM на коммутатор L2 L3
•  Несколько экземпляров
M M
коммутатора под управлением O O
vCenter D D
E E

VEM-N VEM-2 VEM-1
ESX ESX ESX
…

Типы интерфейсов Cisco Nexus 1000V

•  Ethernet Port (eth)
Po1
Физический порт сетевого адаптера в сервере
Принадлежит только одному модулю VEM Eth3/1 Eth3/2

Vmware vmnicX == Cisco ethx/y
До 32 физических портов на хост Veth1 Veth2

•  Port Channel (po) VM-1 VM-2

Агрегация физических портов Ethernet
До 8 портов Port Channel на хост

•  Virtual Ethernet Port (veth)
Порт виртуальной машины (vmnic) или service console и vmknic
Номер порта может сохраняться при перемещении, выключении/включении
виртуальных машин
До 216 портов veth на хост, до 2К портов на DVS

Механизм настройки сетевых политик

VM VM VM VM
•  Port-profile – шаблон, использующийся VNIC
для определения набора параметров и
VETH
их привязки к множеству интерфейсов
•  Однократный ввод и многократное
использование на физических и
виртуальных интерфейсах
•  Упрощение настройки
n1000v(config)# port-profile type vethernet WebServers VSM vCenter
n1000v(config-port-prof)# switchport mode access

Настройки профиля порта

n1000v# show port-profile name WebProfile
port-profile WebProfile
description: Поддерживаются команды:
status: enabled
capability uplink: no
ü  Shutdown/No shutdown
system vlans:
port-group: WebProfile ü  Switchport mode
config attributes: ü  VLAN
switchport mode access
switchport access vlan 110 ü  PVLAN
no shutdown ü  Port-channel
evaluated config attributes:
switchport mode access ü  ACL
switchport access vlan 110 ü  NetFlow
no shutdown
ü  Port Security
assigned interfaces:
Veth10 ü  QoS
ü  Port-Mirroring (ERSPAN)

Интеграция политики в vCenter

Широкий набор функций
L2 Switching, 802.1Q Tagging, VLAN Segmentation, Rate Limiting (TX)
Коммутация
§ 
§  IGMP Snooping, QoS Marking (COS & DSCP), Class-based WFQ

§  Policy Mobility, Private VLANs w/ local PVLAN Enforcement
Безопасность §  Access Control Lists (L2–4 w/ Redirect), Port Security
§  Dynamic ARP inspection, IP Source Guard, DHCP Snooping

Virtual Services Datapath (vPath) support for traffic steering & fast-path
Сервисы
§ 
off-load [leveraged by Virtual Security Gateway (VSG) and vWAAS]

Automated vSwitch Config, Port Profiles, Virtual Center Integration
Внедрение
§ 
§  Optimized NIC Teaming with Virtual Port Channel – Host Mode

§  VMotion Tracking, NetFlow v.9 w/ NDE, CDP v.2
Мониторинг §  VM-Level Interface Statistics
§  SPAN & ERSPAN (policy-based)

§  Virtual Center VM Provisioning, Cisco Network Provisioning, CiscoWorks
Управление §  Cisco CLI, Radius, TACACs, Syslog, SNMP (v.1, 2, 3)
§  Hitless upgrade, SW Installer
Поддержка IPv6: As a Layer-2 switch, Nexus 1000V, коммутатор второго уровня, коммутирует пакеты IPv6 и
функционал Layer-2, такой как PVLAN и Port Security. Кроме того, интерфейсу управления можно
назначить адрес IPv6.

Безопасность виртуальных рабочих мест

Функции безопасности
Desktop
Applications
Applications
•  Access Control List
Desktop OS
•  Port Security
Desktop Virtualization Software
•  Private VLAN
Hypervisor Nexus •  DHCP Snooping
1000V
WAAS
•  Dynamic ARP Inspection
Nexus
•  IP Source Guard
Switch

ACE

Эталонные архитектуры:
•  1000V for VMware View
•  1000V for Citrix XenDesktop
WAAS: Wide Area Application Service
•  1000V and VSG for VXI Reference Architecture
ACE: Application Control Engine

Механизмы обеспечения качества обслуживания

•  Использование MQC для гарантии
полосы пропускания
VMK NIC До 64 классов трафика
VM VM VM
vMotion
•  8 преднастроенных классов трафика
vMotion
Nexus FT-Logging
1000V
VEM iSCSI
NFS
vMotion
ESX Management
N1K Control
15%
VM_Platinum 20% N1K Packet
15%
N1K Management
VM_Gold
•  Пользователь может настроить
5%
Default 30% классы трафика и параметры
15%
очередей
ESX_Mgmt
•  Дифференцированный подход к
N1K_Control, трафику VM
N1K_Packet

Динамическое перемещение нагрузок между
площадками
Long-distance vMotion
•  Настроенные политики
перемещаются вслед за
Nexus
1000V
виртуальной машиной
•  Пример интеграции виртуальных
vSphere

и физических сервисов
Cisco Nexus
7000 Series

Nexus
1000V
vSphere
O T V
Cisco Nexus
7000 Series

Design Guides: Virtual Workload Mobility
OTV: Overlay Transport Virtualization (Long-distance vMotion)
Cisco, VMware and EMC (with 1000V and VSG)
Cisco, VMware and NetApp (with 1000V and VSG)

Virtual Service Datapath (vPath)
Связующее звено с виртуализованными сервисами

•  Обязательный элемент архитектуры UNS
•  Компонент виртуальной линейной карты Nexus
1000V VEM
•  Интеллектуальное перенаправление трафика
виртуальных машин
•  Поддержка модели «коммерческий ЦОД»
•  Virtual Security Gateway (VSG), vWAAS

vPath

Nexus 1000V VEM

Настройка vPath/Virtual Service Node

vsm-N1k(config-port-prof)#

vn-service ip-address <ipv4> vlan <vlan#> [{security-
profile <profile-name> | fail {open | close}}]

•  Минимум IPv4-адрес хоста с виртуализированным сервисом и номер его
VLAN
•  Security-profile используется в случае VSG
•  Реакция на недоступность VSN
Open: например, в случае недоступности сервиса vWAAS продолжить
коммутацию пакетов
Close: например, в случае недоступности сервиса VSG блокировать передачу
пакетов
•  В данной версии не поддерживается настройка нескольких сервисов в
профиле порта

Шлюз безопасности Virtual
Security Gateway

Виртуализация и безопасность

•  Виртуализация
Быстрота внедрения
Масштабируемость
Снижение стоимости внедрения
•  Нагрузки с разными профилями риска разделяют вычислительную
инфраструктуру
CRM
Разработка/тестирование
Финансы/кадры
Унифицированные коммуникации
Виртуальные рабочие места
DMZ
•  Как
Соответствовать внутренним политикам/законодательству
Обеспечить непрерывность администрирования/работы

Пример – трехзвенная архитектура

Оганизация A Организация B
Разрешить доступ к Разрешить доступ к
серверам приложений серверам баз данных
только веб-серверам только серверам
VLAN-X VLAN-Y
через HTTP/HTTPS приложений

Web! App! DB! Web! App! DB!
Web!
Server! App!
Server! DB! Web!
Server! App!
Server! DB!
server! server!
Server! Server! server! Server! Server! server!

Открыть порты Открыть на Запретить
80 (HTTP) серверах весь
и 443 (HTTPS) приложений только остальной
веб-серверов порт 22 (SSH) трафик

Шлюз безопасности Virtual Security Gateway
Использование свойств виртуальных
Контекстная машин для построения правил
безопасность защиты

Контроль на основе Группирование виртуальных машин
Virtual зон безопасности на основе общих свойств
Security
Политики следуют за
Gateway
Динамика перемещаемыми виртуальными
(VSG) машинами

Отказоустойчивая, масштабируемая
Зрелая архитектура (Nexus 1000V vPath)

Virtual Сохранение модели Подразделение ИТ-безопасности
эксплуатации настраивает параметры безопасности
Network
Management Централизация управления,
Center Использование масштабируемость,
(VNMC) политик многопользовательская среда
Интеграция со
средствами XML API, профили безопасности
автоматизации

Сохранение модели эксплуатации

VNMC
VM VM VM

VM VM VM VM VM VM VM

VM VM VM VM VM VM VM VM VM

Nexus 1000V vPath
Distributed Virtual Switch

VSG

Зонирование на уровнеПрименение политик
Multi-tenancy
VM или VLAN «на лету»
Политики следуют Администраторы
Бесшовное внедрение
за vMotion безопасности Log/Audit
Делегирование
Отказоустойчивость XML API
административных прав

Перенаправление трафика

VNMC
VM VM VM



4

Nexus 1000V vPath
VSG
Кеширование
Access Log
результата в 3
(syslog)
таблице
сессий

Первый пакет 2 Проверка сессии
1
в сессии согласно политике Log/Audit

Повышение производительности

VNMC
VM VM VM



Nexus 1000V vPath

VSG
Результат политики
записан в таблице
сессий

Последующие
пакеты в сессии
Log/Audit

Анализ и контроль прикладного протокола
VNMC

VM VM VM VM VM VM


Nexus 1000V vPath

VSG

FTP Control
FTP Data

Virtual Network Management Center
•  Виртуальная машина
•  Инструмент работы подразделения ИТ-безопасности
•  Использование простых правил для создания политик

vCenter Nexus 1000V VNMC

Port Group Port Profile Security Profile

Администратор сервера Администратора сети Администратор безопасности

Сборная конструкция политики безопасности
Профиль безопасности

Набор политик

Политика 1 Политика 2 Политика N

Правило Правило Правило
1 1 1

2 2 2

N N N

Правило – ACE, политика – ACL

Построение правила

Правило þ þ
Условие Условие
выбора выбора Действие
источника назначения



Условие Attribute Type

Network

VM

Custom




Network

VM

Custom

VM Attributes Network Attributes
Instance Name IP Address
Guest OS full name Network Port
Zone Name

Parent App Name

Port Profile Name

Cluster Name

Hypervisor Name




Network

VM

Custom

VM Attributes Network Attributes Operator Operator
Instance Name IP Address eq member
Guest OS full name Network Port neq Not-member
Zone Name gt Contains
Parent App Name lt
Port Profile Name range
Cluster Name
Not-in-range
Hypervisor Name
Prefix

Пример – трехзвенная архитектура

Оганизация A Организация B
Разрешить доступ к Разрешить доступ к
серверам приложений серверам баз данных
только веб-серверам только серверам
VLAN-X VLAN-Y
через HTTP/HTTPS приложений

Web! App! DB! Web! App! DB!
Web!
Server! App!
Server! DB! Web!
Server! App!
Server! DB!
server! server!
Server! Server! server! Server! Server! server!
Web-Zone App-Zone DB-Zone

Открыть порты Открыть на Запретить
80 (HTTP) серверах весь
и 443 (HTTPS) приложений только остальной
веб-серверов порт 22 (SSH) трафик

Безопасность на всех уровнях

vCenter

Virtual Network Management Center (VNMC)

Организация A Организация B
VDC VDC

vApp

VSG VSG VSG
vApp

VSG

Virtual ASA Virtual ASA

vPath
Nexus 1000V

vSphere

Выводы

•  Распространить традиционные сетевые сервисы на
виртуализованные вычисления реально
•  vPath – основа виртуализованных сетевых сервисов
Перенаправление трафика
Поддержка модели «коммерческий ЦОД»
•  Виртуализованные сервисы сохраняют модель
эксплуатации ЦОД

vPath
Nexus 1000V

Hypervisor

VNMC VSG

Спасибо!
Просим Вас заполнить анкеты.
Ваше мнение очень важно для нас!

Объединенные сетевые сервисы для виртуализованных вычислений.

More Related Content

What's hot

Viewers also liked

Similar to Объединенные сетевые сервисы для виртуализованных вычислений.

More from Cisco Russia

Объединенные сетевые сервисы для виртуализованных вычислений.