Система сетевой аналитики для ЦОД Cisco Tetration Analytics

1. Система сетевой
аналитики для ЦОД
Cisco Tetration Analytics
© 2017 Cisco and/or its affiliates. All rights reserved.
Александр Скороходов
Инженер-консультант

2. Проблемы ИТ сегодня
Размещение и
потребление
У себя или в облаке?
Построить/купить/
арендовать?
Гибкость и
скорость
Развёртывание
инфраструктуры
со скоростью
разработки
APP
Сокращение
рисков
Безопасность.
Соответствие
требованиям.
Суверенитет данных

3. Рост сложности современных ЦОД
• Оркестрация многих облаков
• Перенос приложений
• Модель нулевого доверия?
Гибридные облака
• Рост трафика внутри ЦОД
• Увеличение «поверхности атаки»
• Новая архитектура приложений
«Большие» и
«быстрые» данные
• Непрерывная разработка/
внедрение
• Мобильность приложений
• Микросервисы
Быстрое развёртывание
приложений

5. Cisco Tetration Analytics
Машина времени для вашего ЦОДа
© 2017 Cisco and/or its affiliates. All rights reserved. 5
Анализ
приложений и
выявление
зависимостей
Видимость:
каждый пакет,
каждый поток,
на любой
скорости
Соответствие
регуляторным
требованиям и
требованиям
аудиторов
Моделирование
политик и
оценка их
влияния
Автоматическое
создание
политик
«белого
списка»
Новое
Сегментация
приложений
(Автоматическое
применение
политик)
Новое
Отслеживание
ресурсов в
реальном
времени

6. Обзор архитектуры
Сбор данных
Программный сенсор и
агент применения
политик
Встроенный сетевой
сенсор
(только телеметрия)
Сторонние источники
(информация о конфигурациях)
Аналитический движок
Cisco
Tetration
Analytics
Cluster
Открытый доступ
Web GUI
REST API
Event Notification
Tetration Apps
 Самодостаточный
кластер
 Разворачивание в одно
касание
 Легкая интеграция посредством
открытых интерфейсов
 Открытое озеро данных (через
Tetration Apps)
 Не нужно знание Hadoop / Data Science
 Не нужно внешнее хранилище данных

7. Источники данных
 Низкие накладные расходы на CPU (применяется SLA)
 Низкие сетевые накладные расходы (применяется SLA)
 New! Место где применяются политики (программные
агенты)
 Высочайшая безопасность (код подписан и имеет проверку на
подлинность)
 Каждый поток (без сэмплирования), БЕЗ ПОЛЬЗОВАТЕЛЬСКИХ
ДАННЫХ
*Note: No per-packet Telemetry, Not an enforcement point
Программные
сенсоры
Universal*
(Basic Sensor for other OS)
Linux VM
Windows Server VM
Bare Metal
(Linux and Windows Server)
Nexus 9200-X
Nexus 9300-EX
Сетевые сенсоры
Коммутаторы серии N9K нового поколения
Сторонние источники
данных
Тэггирование ресурсов
Балансировщики
нагрузки
Системы управление IP
адресами
CMDB
…

8. Программные и
аппаратные сенсоры

9. Где могут располагаться
сенсоры Tetration
© 2017 Cisco and/or its affiliates. All rights reserved. 9
HYPERVISORHYPERVISOR HYPERVISOR
Программные сенсоры
Процессы и сокеты
События с пакетами и потоками
Аппаратные сенсоры
События с пакетами и потоками
Состояние буфера памяти и коммутатора

10. Возможности сенсоров
© 2017 Cisco and/or its affiliates. All rights reserved.
• Не находится на пути передачи данных
• Не оставляет следов (не может быть обнаружен)
• Не снижает производительность
• Не вносит задержки
• Полная информация о потоке
• Без сэмплирования
• Все пакеты
• Собирает информацию основываясь на извлеченных из заголовка
данных (не заглядывает внутрь и не собирает пользовательские
данные)

11. Управление сенсорами и безопасность
• Управляются централизованно
• Обновление и конфигурация осуществляются Tetration Cluster
• Безопасность
• Взаимная проверка сертификатов подлинности
• Кластер помещает сертификат в инсталлятор сенсора
• Сенсор может передавать данные только конкретному кластеру
© 2017 Cisco and/or its affiliates. All rights reserved.

12. Ethernet
Header
IP
Header
UDP
Header
VXLAN
Header
Ethernet
Header
IP
Header
TCP
Header
Payload
Ethernet
Header
IP
Header
TCP
Header
Payload
Ethernet
Header
IP
Header
UDP
Header
Payload
Meta-Data – Including Overlay VXLAN/GRE/IPinIP Encapsulated Header
Privacy Risk
Сбор метаданных, не содержимого!

13. 13
Аппаратные сенсоры
Nexus 9000 семейств EX и FX
Встроенный модуль в составе ASIC (Flow Cache)
Nexus 92160CY-X
Nexus 93180Y-EX & 9732C-EX Line Cards
Получает метаданные из конвеера коммутации
Нет влияния на производительность и задержки
PRX LUA LUB
Flow Cache
LUC

14. Развитие подходов к экспорту телеметрии
• Сбор и поддержание информации
о всех потоках в локальной
таблице коммутатора
• Требуемый размер таблицы
зависит от скорости и плотности
портов
• Полоса (за ту же цену) растёт
быстрее, чем размер памяти!
• Сэмплирование снижает
ресурсоёмкость ценой
потери точности и
детальности
• Поддержание небольшого кэша
и его частый экспорт
• Нагрузка переносится на
центральные ресурсы обработки
• Агрегированная «таблица
потоков» может быть гораздо
больше
512K
Flow
Table
Sampled
Flow Data
Flow Cache with
streaming export

15. Программный сенсор
© 2017 Cisco and/or its affiliates. All rights reserved. 15
• Произведение искусства
• Располагается в User Space
• Не нагружает CPU (< 3%)
• Спроектирован разработчиками ядра
• Безопасен
• Код подписан
• Применяется внутренний SLA с интеллектуальным QoS
• Защита CPU
NIC
Driver
Network Stack
Application
libpcap
Tetration Sensor

16. Какие ОС поддерживаются?(Q2CY17)
Full Sensor
• RHEL (64 bit) – 5.x, 6.x, 7.x
• CentOS (64 bit) – 5.x, 6.x, 7.x
• Oracle Linux (64 bit) – 6.x, 7.x
• SUSE – 11.2, 11.3, 11.4, 12.1, 12.2
• Ubuntu – 12.04, 14.04, 14.10
• Windows Server 2008 R1/R2 | Essentials |
Standard | Enterprise | DataCenter
• Windows Server 2012 R1/R2 | Essentials |
Standard | Enterprise | DataCenter
Universal Sensor
• AIX-ppc 5.3, 6.1, 7.1, 7.2 (trial)
• Solaris (x86_64)
• RHL 4.x, 5.x (32 bit -386/amd)
• CentOS - 4.x, 5.x (32 bit)
• Windows XP, 2003 (32 bit)
• Windows Server 2008 (32 bit)

17. Данные с сенсора
Информация о процессе
© 2017 Cisco and/or its affiliates. All rights reserved. 17
• Программный сенсор
собирает информацию о
процессах потребителя
(consumer) и поставщика
(provider)
• /proc
• Системная информация
(например, системная
память, монтируемые
устройства, аппаратная
конфигурация и т.д.)

18. Полная видимость
Поиск и анализ потоков

19. Information about
Consumer – Provider and
type of traffic
Detail information
about the flow
Видимость всех сетевых потоков в ЦОД

20. Визуальный поиск и исследование
 «Воспроизведение» деталей потоков
 Отображение информации в 25 различных измерениях
• Толстые линии – типичные потоки
• Тонкие линии – нетипичные потоки

21. Анализ приложений

22. Обнаружение приложений и группирование
серверов
Cisco Tetration
Analytics™ Platform
BM VM VM BM
BM VM VM BM
Brownfield
BM VM VM VM BM
Cisco Nexus® 9000 Series
Bare-metal, VM, &
switch telemetry
VM telemetry
(AMI …)
Bare-metal &
VM telemetry
BM VM
BM
VM
VM BM
VM
VM
VM BM
BMVM
BM
Network-only sensors,
host-only sensors, or both (preferred)
Bare metal and VM
On-premises and cloud workloads (AWS)
Unsupervised machine
learning
Behavior analysis

23. Визуализация взаимодействия приложений
Визуализация
взаимодействия
кластеров приложений
Детали
взаимодействия,
включая процессы

24. Обзор зависимостей - c точки зрения потоков
Анализируемое
приложение
Потоки к другим
приложениям (внутри
ЦОД)
Потоки в пределах
внутренней сети
Потоки в / из Интернета

25. Что даёт анализ приложений?
Картина взаимодействия между
компонентами приложений
Миграция в инфрастурктуре ЦОД
Слияния компаний
Организация или «синхронизация»
резервного ЦОД
Перенос в облачные сервисы
HYPERVISOR
VM VM VM VM VM VM

26. Отличия Cisco Tetration от традиционных
подходов к анализу приложений
Информация о структуре приложений на основе
фактического взаимодействия
Автоматическое объединение серверов/VM в кластеры
Возможность использования программных или аппаратных
сенсоров
Постоянное поддержание информации о приложениях в
актуальном состоянии

27. Создание, моделирование и
проверка политик

28. Сегментация приложений с помощью Tetration
Рекомендации по созданию политик
Cisco Tetration
Analytics™
Рабочие пространства
приложений
Политика сегментации
приложений
Публичное
облако
Частное
облако

29. Рекомендации по политикам
«белого списка»
Application Discovery Whitelist Policy Recommendation
(Available in JSON, XML, and YAML)
{
"src_name": "App",
"dst_name": "Web",
"whitelist": [
{"port": [ 0, 0
],"proto": 1,"action":
"ALLOW"},
{"port": [ 80, 80
],"proto": 6,"action":
"ALLOW"},
{"port": [ 443, 443
],"proto": 6,"action":
"ALLOW"}
]
}

30. Моделирование применения политик
• Validating policy impact assessment in real time
• Simulating policy changes over historic traffic
• View traffic “outliers” for quick intelligence
• Audit becomes a function of continuous machine learning
Cisco Tetration Analytics™
Platform
VM BM
VMVM
BM VM
VMVM
VM BM
VMVM
VM

31. What was seen on the
network that was out of
Policy
Permitted Traffic Seen on
the network
Проверка соответствия политикам

32. Немедленное принятие решений по
политикам
Should I allow this flow?

33. Реализация политик

34. Переход к модели «нулевого доверия»
(принцип «белого списка»)
APIC
Рекомендации по политикам
Импорт с использованием
ACI Toolkit
Автоматическое создание
EPG и контрактов
Real
Time
Data
Network
Policy
App Policy
Tetration
Analytics
UCS
Cisco Nexus 9000 Series
UCS

35. Применение политик на любой платформе
Cisco
Tetration
Analytics™
Cisco ACI™ and
Cisco Nexus® 9000 Series Standalone
Linux and
Microsoft Windows
Servers and VM
Public
Cloud
Data
Whitelist policyWhitelist policy
{
"src_name": "App",
"dst_name": "Web",
"whitelist": [
{"port": [ 0, 0 ],"proto": 1,"action": "ALLOW"},
{"port": [ 80, 80 ],"proto": 6,"action": "ALLOW"},
{"port": [ 443, 443 ],"proto": 6,"action": "ALLOW"}
]
}
• Cisco ACI EGP/Contract
Integration via Cisco ACI
Toolkit
• Traditional Network ACL
• Firewall Rules
• Host
Firewall Rules
Amazon Web
Services
Microsoft
Azure
Google
Cloud

36. Data
Программиру-
емая фабрика
Cisco Tetration
Analytics
Cisco
CloudCenter
Программиру-
емая сеть
ACI
App
Policy
App
Policy
Совместное внедрение: CloudCenter и Tetration
• Видимость и применение
политик на уровне приложений
• Самодокументирующаяся сеть
• Анализ и автоматизация в
реальном времени
• Поддержка внедрения и
защиты в собственном ЦОД и в
облаке – ключ к созданию
гибридных облаков!

37. Tetration Analytics: открытая платформа
Внешние
приложения
Kafka Broker
Внешние
потребители
Внешние
потребители
Программный
интерфейс
Отправка
сообщений
Tetration
Apps
REST API
• Поиск потоков с Tetration
• Управление сенсорами
Отправка уведомлений
• Преднастроенные события
• События задаваемые пользователем
Tetration Apps
• Доступ к “озеру данных”
• Создание собственных приложений
Платформа Cisco Tetration Analytics
Kafka

38. Tetration Analytics: варианты
развертывания
© 2017 Cisco and/or its affiliates. All rights reserved. 38
Cisco Tetration Analytics
(Large Form Factor)
• Подходит для внедрений с
более чем 1000 серверов
• Встроенная
отказоустойчивость
• Масштабируется до 10 000
серверов
Включает в себя:
• 36 серверов UCS C-220
• 3 коммутатора Nexus
9300
Cisco Tetration-M (Small
Form Factor)
• Подходит для внедрений с
не более чем 2000
серверов
Включает в себя:
• 6 серверов UCS C-220
• 2 коммутатора Nexus 9300
Cisco Tetration Cloud
• Платформа располагается
в облаке Amazon AWS
• Подходит для внедрений с
менее чем 1000 серверов
• Ресурсы используемые в
облаке AWS принадлежат
заказчику
Варианты размещения в ЦОДе В публичном облаке

39. Платформа построенная для
масштабируемости и гибкости
© 2017 Cisco and/or its affiliates. All rights reserved. 39
Масштабируемая и
работающая в
реальном времени
Каждый пакет, каждый
поток
Сегментация
приложений для тысяч
приложений
Хранение данных
длительный период
времени
Избирательное
применение
политик
Последовательное
применение политик
Обнаружение отклонение
от политик в режиме
близком к реальному
времени
Поддержка мобильности
серверов
Простота
использования
Развертывание в одно
касание
Само-мониторинг
Самодиагностика
Открытость
Стандартный Web UI
REST API (Pull)
Event Pub/Sub (Push)
Tetration Apps

40. Спасибо за внимание!
© 2017 Cisco and/or its affiliates. All rights reserved.