Документ описывает подход к кросс-доменной автоматизации инфраструктуры с использованием открытых API в контексте Cisco Connect 2017. Обсуждаются вопросы управления политиками безопасности, развертыванием приложений и взаимосвязями между пользователями, политиками и приложениями. Также представлены детали прототипа и сценарии работы, связанные с динамической настройкой сетевых политик и управлением инфраструктурой.

1. Cisco
Connect
Москва, 2017
Цифровизация:
здесь и сейчас

2. Кросс-доменная
автоматизация (DC-WAN-
Campus) - как собрать
единую систему,
используя открытые API
Хаванкин Максим, Cisco
mkhavank@cisco.com
Хисамов Рустем, DECK
khisamov@deck.lc
© 2017 Cisco and/or its affiliates. All rights reserved.
+

3. Содержание
• Управление доменами инфраструктуры
• Постановка задачи
• DECK - партнер по разработке
• Сценарий работы прототипа
• Мониторинг кросс-доменной политики
• Декларативная модель
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 3

4. Управление инфраструктурными
доменами
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 4

5. Управление инфраструктурными доменами
Традиционный подход
СПД
предприятия
Ручной
процесс
настройки
Коммутаторы,
маршрутизаторы,
беспроводные
контроллеры
Системы инф.
безопасности
Ручной
процесс
настройки
МСЭ, IPS, SLB,
WAF, etc.
Центр обработки
данных
Ручной
процесс
настройки
Сеть
ЦОД
Координация и синхронизация на уровне
специалиста/группы/отдела/департамента

6. Автоматизация управления инфраструктурой
Контроллеры для каждого домена
СПД
предприятия
Контроллер
APIC-EM и
система
управления
Prime
Коммутаторы,
маршрутизаторы,
беспроводные
контроллеры
Системы инф.
безопасности
Контроллер
политик
безопасности
Cisco ISE
МСЭ, IPS, SLB,
WAF, etc.
Центр обработки
данных
Контроллер
политик
подключения
приложений
APIC
Сеть
ЦОД
Платформа оркестрации
Портал самообслуживания

7. Автоматизация управления инфраструктурой
С точки зрения архитектуры
СПД
предприятия
Контроллер
APIC-EM и
система
управления
Prime
Коммутаторы,
маршрутизаторы,
беспроводные
контроллеры
Системы инф.
безопасности
Контроллер
политик
безопасности
Cisco ISE
МСЭ, IPS, SLB,
WAF, etc.
Центр обработки
данных
Контроллер
политик
подключения
приложений
APIC
Сеть
ЦОД
Платформа оркестрации
Портал самообслуживания
ISE
Cisco TrustSec Cisco ACI

8. Автоматизация управления инфраструктурой
Что разрабатываем?
СПД
предприятия
Контроллер
APIC-EM и
система
управления
Prime
Коммутаторы,
маршрутизаторы,
беспроводные
контроллеры
Системы инф.
безопасности
Контроллер
политик
безопасности
Cisco ISE
МСЭ, IPS, SLB,
WAF, etc.
Центр обработки
данных
Контроллер
политик
подключения
приложений
APIC
Сеть
ЦОД
Платформа оркестрации
Портал самообслуживания
Прототип

9. Постановка задачи
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 9

10. • Как динамически связать
следующие объекты друг с
другом: Users Identity,
Security Policy, QoS Policy и
Application Policy?
• Есть ли возможность
развернув приложение в
ЦОД одновременно создать
сетевые политики доступа к
этому приложению и
настроить параметры QoS
для него?
Проблема кросс-доменных
политик
RAS VPN
LAN/WiFi
prj1.user
prj1.db.admin
prj1.admin
Security Policy
(TrustSec)
ISE
ACI Fabric
app1 app2
front db front db
Application Policy
(ACI)
Динамическая
связь?
QoS
Policy
Users Identity
Microsoft AD

11. app1.web app1.app app1.db
app1.web permit permit deny
app1.app permit permit permit
app1.db deny permit permit
RAS VPN
ACI FabricLAN
• MS AD для идентификации
пользователя
• Все политики в контроллерах
– TrustSec (LAN/WAN), APIC-
EM (QoS) и ACI (DC)
• TrustSec управляет сетевым
доступом пользователей к
приложению при помощи SGT
и SGT-ACL
• ACI управляет политиками
доступа компонент
приложений друг к другу при
помощи EPG и контрактов
• APIC-EM отвечает за QoS
• Прототип решает проблему
кросс-доменной оркестрации
Технические
детали
app1
app1.web app1.app app1.db
prj1.user permit deny deny
prj1.admin permit permit permit
prj1.db.admin deny deny permit
ISE policy matrix
prj1.user
prj1.db.admin
prj1.admin
web db
ACI ANP
Security Policy
Application
Policy
app
w2a a2d
ISE
QoS
Policy
IP Port Class
app1.web 10.2.1.1 80 Bronze
Прототип
User Identity
Group name Members
prj1.admin admin
MS AD

12. DECK – партнер по разработке
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 12

13. Компания DECK — это команда специалистов в проектировании и разработке программного обеспечения. Мы не делаем «коробочных» продуктов,
каждый проект для нас это новая разработка, состоящая из этапов определения задач и целей, проектирования и разработки. Мы готовы
разобраться с любой сложной задачей, и каждый клиент становится для нас «своим», ведь на этапе определения целей проекта мы проводим
тщательный анализ ваших задач и, в итоге, начинаем разбираться в ваших потребностях почти так же как и вы. Мы готовы помочь вам в любом
проекте, и на данный момент уже реализовали проекты в следующих направлениях:
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 13
Наша команда занимается
мобильными приложениями с 2006
года. Мы застали взлет и падение
Windows Mobile, ажиотаж вокруг
WebOS и революционное появление
iPhone.
Разработка мобильных
приложений
Вопросы навигации и отслеживания
перемещения пользователей
становятся все более и более
актуальными с каждым днем.
Компания DECK осуществляла
проекты, в которых использовался
GPS-трекинг, трекинг по
информации о GSM и WI-FI сетях.
Результатом дальнейшего развития
этих проектов стала отдельная
платформа - DECK WAYZ.
Разработка систем indoor
навигации
DECK AUTH реализует
аутентификацию абонентов с
помощью SMS подтверждения
номера сотового телефона, аккаунта
в социальных сетях и ваучера, что
отвечает требованиям 758-го
постановления Правительства РФ.
Система аутентификации в
публичных Wi-Fi сетях
Отдельное направление
деятельности нашей компании это
анализ бизнес процеcсов и их
автоматизация. При этом наши
аналитики глубоко погружаются в
предметную область бизнеса
заказчика и не просто
автоматизируют текущую ситуацию,
а предлагают изменения в
процессах, которые должны
увеличить эффективность бизнеса.
Бизнес-аналитика

14. Сценарий работы прототипа
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 14

15. RAS VPN
ACI FabricLAN
Безопасное приложение
4 простых шага
vDC
ISE policy matrix
Group name Members
prj1.admin admin
prj1.user user
prj1.db.admin db.admin
Microsoft AD
prj1.user
prj1.db.admin
prj1.admin
ACI ANP
Прототип
Create Project
Create vDC
Deploy app
Map user
app1.web app1.app app1.db
prj1.user permit deny deny
prj1.admin permit permit permit
prj1.db.admin deny deny permit
app1.web app1.app app1.db
app1.web permit permit deny
app1.app permit permit permit
app1.db deny permit permit
app1
web dbapp
w2a a2d
IP Port Class
app1.web 10.2.1.1 80 Bronze
APIC-EM Easy QoS

16. Демонстрация интерфейса

17. Сценарий работы пользователя
• Минимизация количества шагов
• Минимизация вводимой информации
• Ввод руками информации только на 1-м шаге – название проекта
Create Project Create vDC Deploy app Map user

18. Интерфейс пользователя
Версия № 2 – все действия
пользователя в одном интерфейсе
Версия № 1 – использование PSC и
плагина для отображения объектов
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 18

19. Где хранить взаимосвязи между объектами?
Или зачем мне внешняя БД?
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 19
• Для хранения зависимостей нужна БД
• Можно задействовать БД в Prime Service Catalog
• Можно «прикрутить» свою

20. Замечания разработчика
• UX
• PSC
• продвинутый конструктор портала с одной стороны
• программист все равно нужен
• портал с нуля или конструктор – ?!
• Интерфейс для мобильных устройств
• еще один слой APIC для PSC - ?!
• собственные наработки
• Проектирование архитектуры БД и прототипа целиком
• Agile - ?!
• Традиционный подход - ?!
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 20

21. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 21
MAPPING DATABASE
VISUALIZATION
MODULE
NORTHBOUND
API
APPLICATION
CORE
LDAP GW API GW API GW API GW
MICROSOFT AD CISCO ISE CISCO APIC CISCO APIC-EM
MONITOR
ORCHESTRATION
API
(USC DIRECTOR)
USC DIRECTOR
10 NEW WORKFLOWS
APIC-EM CUSTOM STEPS
ISE CUSTOM STEPS
MAPPING CUSTOM STEPS

22. Что делать после нажатия на кнопку
«Submit»?
• Cisco Process Orchestrator
• Универсальный оркестратор
• Есть интеграция с PSC
• Расширяемость на основе базовых шагов REST
с XML/JSON paiload
• Network Service Orchestrator
• Оркестратор для настройки сетевых функций
• Опора на Netconf/Yang
• Требуется разработка NED-моделей (Java)
• Cisco UCS Director
• Большой набор встроенных шагов
• Есть интеграция с PSC
• Расширяемость при помощи custom steps
(JavaScript)

23. Cisco UCS Director
Архитектура платформы
23
Виртуальная инфраструктура
IT администраторы IT ПоддержкаКонечные пользователи
Физическая инфраструктура
Cisco UCS Cisco Nexus
Открытый API для
интеграции
UCS Director
Портал
самообслуживания
Развертывание ОС
и вирт. машин
Консоль управления
Управление на основе
политик
Dashboard
Пулы ресурсов

24. Cisco Prime Service Catalog
Cisco Cloud Center
Northbound Integration
REST API PowerShell
API
Other PowerShell Clients
Другие порталы
Расширяемость UCS Director
24
SDK
Экосистемные
партнеры
Southbound IntegrationОркестрактия
API
v Northbound Integration
v REST API
v Powershell
SDK
v Southbound Integration
v Open Automation SDK
Оркестрация
v Сценарии оркестрации
v Workflow Designer
v 2500+ Tasks (4 SMEs in a box)
v Custom Tasks
UCS Director

25. Основные действия в UI прототипа заканчиваются
запуском сценария оркестрации в UCS Director
• 5 сервисов для
создания
сущностей
• 5 сервисов для
удаления
• Доступны как
элементы
каталога в
UCS Director
• Вызов при
помощи API
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 25

26. app1.web app1.app app1.db
app1.web permit permit deny
app1.app permit permit permit
app1.db deny permit permit
app1.web app1.app app1.db
prj1.user permit deny deny
prj1.admin permit permit permit
prj1.db.admin deny deny permit
RAS VPN
ACI FabricLAN
Сценарий
Шаг 1: create project
ISE policy matrix
Group name Members
prj1.admin admin
prj1.user user
prj1.db.admin db.admin
Microsoft AD
prj1.user
prj1.db.admin
prj1.admin
ACI ANP
Прототип
1
1
1. Create User Group and Users in Cisco UCS-Director
2. Create User Group in Microsoft Active Directory
3. Create SGT in Cisco ISE
4. Create External Identity Groups in Cisco ISE
4. Create Authorization Policy in Cisco ISE
IP Port Class
app1.web 10.2.1.1 80 Bronze
APIC-EM Easy QoS

27. Создаем workflow в UCS Director
Определяем входные параметры workflow
Task-1 Task-2
Outputs Inputs
Inputs Inputs
Admin
Tenant
User
Workflow
Inputs
Workflow
Inputs
Workflow
Inputs
Task
Inputs
Task
Outputs
Используемые
обозначения
Сценарий автоматизации - Workflow
I/O
Chaining
Для каждого поля
ввода из интерфейса
пользователя
определяем входную
переменную для
workflow
1

28. Создаем workflow в UCS Director
Сколько мне нужно программистов?
• Workflow создают SME, отвечающие за инфраструктурные домены
• Программист для создания и отладки workflow не требуется

29. Создаем workflow в UCS Director
Шаг № 1: создание проекта
Часть шагов в
сценарии
стандартные и
присутствуют в
библиотеке шагов
1
Для создания
объектов в Cisco ISE
были созданы новые
custom tasks
2

30. Создание SGT в Cisco ISE
REST API с XML payload
Это метки безопасности,
которые сетевые устройства
используют для «окрашивания»
трафика от различных групп
пользователей в разные
«цвета»
1
Метку можно создать
при помощи REST API
вызова к Cisco ISE
2

31. Создание SGT в Cisco ISE
REST API с XML payload
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<ns4:sgt description="description" id="id" name="name"
xmlns:ers="ers.ise.cisco.com" xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:ns4="trustsec.ers.ise.cisco.com"> <value>2</value>
</ns4:sgt>
Идентификатор
метки1
Имя метки должно быть
уникальным2

32. Custom Task в UCS Director – что это?
Код Custom Task
• Javascript
• Библиотеки Cloupia
• API доступ к UCS-D
UCS Director Runtime
DB Inventory Libraries
Inputs Outputs
Java API
function createXML(id) {
output.OUTPUT_GROUP_VALUE = id;
var prefix; if (input.PROJECT_TASK) {
prefix = ctxt.getOutput(input.PROJECT_TASK +
'.PROJECT_ID', ctxt.getSrId()); }
return '<?xml version="1.0" encoding="UTF-8"
standalone="yes"?><ns4:sgt description="' +
description + '" name="' + (prefix ?
(prefix + '_') : "") + name + '"
xmlns:ers="ers.ise.cisco.com"
xmlns:xs="http://www.w3.org/2001/XMLSche
ma" xmlns:ns4="trustsec.ers.ise.cisco.com">
<value>' + id + '</value></ns4:sgt>' }
Создаем SGT в ISE
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Public 32

33. 33BRKDCT-1456
Custom task можно использовать в других
workflow или в других системах

34. Замечания разработчика
• Custom task
• Примеры на community
• Среда отладки
• Существенная часть кода прототипа
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 34

35. Создаем workflow в UCS Director
Шаг № 1: создание проекта
Часть шагов в
сценарии
стандартные и
присутствуют в
библиотеке шагов
1
Для создания
объектов в Cisco ISE
были созданы новые
custom tasks
2
Для создания
объектов в Microsoft
Active Directoy
используются
Powershell script
3

36. PowerShell Agent (PSA)
Агент для запуска скриптов PowerShell
UCS Director
MS-Domain-2
MS-Domain-1
Default TCP Port: 43891
PSA запускается как Windows
Service
Enable Remote Shell
Enable Remote Management
PSA
Достаточно одного агента на домен
BRKDCT-1456 36

37. Запуск PowerShell Script Execution
Создание
проекта
Создание
группы
Пример
Шаг 1
BRKDCT-1456 37

38. Запускаем workflow UCS Director при
помощи REST API вызова
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 38
{
param0:"<WORKFLOW_NAME>",
param1:{
"list":[
{“name":"<INPUT_1>","value":"<INPUT_VALUE>"},
{"name":"<INPUT_2>","value":"<INPUT_VALUE"}
]
},
param2:-1
}
Делаем REST API
вызов сценария
автоматизации
в сторону
UCS Director из
прототипа
1
HTTP GET
http://<UCSD_IP>/app/api/rest?formatType=json
&opName=userAPISubmitWorkflowServiceRequest
&opData={SOME_JSON_DATA_HERE}
Формируем JSON с
параметрами
Workflow
2
Пример: https://communities.cisco.com/docs/DOC-57426

39. app1.web app1.app app1.db
app1.web permit permit deny
app1.app permit permit permit
app1.db deny permit permit
app1.web app1.app app1.db
prj1.user permit deny deny
prj1.admin permit permit permit
prj1.db.admin deny deny permit
RAS VPN
ACI FabricLAN
Сценарий
Шаг 2: create vDC
vDC
ISE policy matrix
Group name Members
prj1.admin admin
prj1.user user
prj1.db.admin db.admin
Microsoft AD
prj1.user
prj1.db.admin
prj1.admin
ACI ANP
прототип
1
1
2
1. Create vDC in UCS Director and also
all corresponding policies:
• System Policy
• Compute policy
• Storage Policy
• Network Policy
IP Port Class
app1.web 10.2.1.1 80 Bronze
APIC-EM Easy QoS

40. app1.web app1.app app1.db
app1.web permit permit deny
app1.app permit permit permit
app1.db deny permit permit
app1.web app1.app app1.db
prj1.user permit deny deny
prj1.admin permit permit permit
prj1.db.admin deny deny permit
RAS VPN
ACI FabricLAN
Сценарий
Шаг 3: deploy application
vDC
ISE policy matrix
Group name Members
prj1.admin admin
prj1.user user
prj1.db.admin db.admin
Microsoft AD
prj1.user
prj1.db.admin
prj1.admin
ACI ANP
PSC+UCSD
1
1
2
app1
web dbapp
w2a a2d
3
3
1. vCenter: deploy VM’s using UCS Director
2. ACI: create EPG, contracts, VMM domain mapping
3. vCenter: attach VM’s to ACI Port Groups
4. ISE: create SGT for application components
5. ISE: create Static IP-SGT mapping for just deployed
VM’s
6. ISE: create SGT-ACL for different groups of users
7. ISE: Create SGT policy matrix
8. APIC-EM: create QoS Policy
IP Port Class
app1.web 10.2.1.1 80 Bronze
APIC-EM Easy QoS
3

41. app1.web app1.app app1.db
app1.web permit permit deny
app1.app permit permit permit
app1.db deny permit permit
app1.web app1.app app1.db
prj1.user permit deny deny
prj1.admin permit permit permit
prj1.db.admin deny deny permit
RAS VPN
ACI FabricLAN
Сценарий
Шаг 4: map user to group
vDC
ISE policy matrix
Group name Members
prj1.admin admin
prj1.user user
prj1.db.admin db.admin
Microsoft AD
prj1.user
prj1.db.admin
prj1.admin
ACI ANP
PSC+UCSD
1
1
2
3
app1
web dbapp
w2a a2d
3
4
IP Port Class
app1.web 10.2.1.1 80 Bronze
APIC-EM Easy QoS
3

42. Мониторинг кросс-доменной политики
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 42

43. RAS VPN
ACI FabricLAN
Функция policy compliance
vDC
ISE policy matrix
Group name Members
prj1.admin admin
prj1.user user
prj1.db.admin db.admin
Microsoft AD
prj1.user
prj1.db.admin
prj1.admin
ACI ANP
Prototype
app1.web app1.app app1.db
prj1.user permit deny deny
prj1.admin permit permit permit
prj1.db.admin deny deny permit
app1.web app1.app app1.db
app1.web permit permit deny
app1.app permit permit permit
app1.db deny permit permit
app1
web dbapp
w2a a2d
IP Port Class
app1.web 10.2.1.1 80 Bronze
APIC-EM Easy QoS
þ
Состояние политики
обновлено
Политика
изменилась
þ
Policy compliance
1
2
3

44. Замечания разработчика
• Масштабируемый мониторинг
• Контейнеризация компонент, отвечающих за мониторинг
• Приближение агентов к контроллерам
• ACI AppCenter
• ISE PxGrid
• APIC-EM -> DNA-Center
• Шина обмена сообщениями
• MQ
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 44

45. Декларативная модель
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 45

46. Описание желаемого состояния объекта
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 46
Выгружаем из
системы JSON с
описанием состояния
существующего
проекта
1
Вносим изменения в декларативную
модель руками или при помощи средств
автоматизации
2

47. Описание желаемого состояния объекта
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 47
Импортируем измененный JSON обратно
в систему
3
Видим автоматически запуск нового
Workflow с измененными
характеристиками
4

48. #CiscoConnectRu
Спасибо за внимание!
Оцените данную сессию в мобильном приложении
конференции
© 2017 Cisco and/or its affiliates. All rights reserved.
Контакты:
Тел.: +7 495 9611410
www.cisco.com
www.facebook.com/CiscoRu
www.vk.com/cisco
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia