Marcin Motylski - Globalna Chmura ObliczeniowaPROIDEA
Zastosowanie globalnej Chmury Obliczeniowej i budowa własnej w oparciu o dostępną kontynentalną infrastrukturę. Uruchomienie jednego spójnego środowiska i zabezpieczenie całości rozwiązania z sieci Internet, wewnętrznie. Przykłady użycia Chmur Obliczeniowych, dostępnych technologii światy Intel, Power, Oracle. Przykłady budowy własnej infrastruktury OpenStack, Wirtualizacje, Kontenery. Sposoby zabezpieczenia, zarządzania, utrzymania.
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFXPROIDEA
Zaprezentowany zostanie obecny status rozwiązań NFV. Ich historyczne znaczenie w przeszłości, zmiany na rynku, które doprowadziły do ponownego odkrycia tej technologii. Pokazane zostana możliwe scieżki rozwoju rozwiązań NFV i co w chwili obecnej stanowi blokadę do szerszego wdrożenia tych technologii. Zaprezentowane zostaną przykłady implementacji technolgoii NFV z wykorzystaniem rozwiązań Juniper vSRX vMX oraz produktów z rodziny NFX
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?PROIDEA
To co było w branży sieciowej aksjomatami ugruntowanymi przez lata a nawet dekady dość gwałtownie przestaje obowiązywać. Współczesne sieci zmieniają swój kształt, dostosowując się do wymagań współczesnego świata. Ty, jako pan i władca routerów musisz wreszcie uznać że świat powyżej warstwy czwartej już dawno zaczął żyć swoim życiem i odpływa w nieznanych Tobie kierunkach, a jeśli go nie dogonisz, zostaniesz bezrobotnym sieciowcem. W krótkiej prezentacji postaram się obalić kilka aksjomatów pokutujących jeszcze wśród sieciowców oraz przedstawić kilka technologii i rozwiązań, którymi warto się zainteresować aby za pięć lat nie zostać telemarketerem w call center.
PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa PROIDEA
IPv6 - dwa kliknięcia i działa
- Czy jesteśmy gotowi na IPv6?
- Jedno kliknięcie i działa - ale czy bezpiecznie?
- Kilka modeli wdrożenia IPv6 u operatora
- WLAN na konferencji PLNOG
Marcin Motylski - Globalna Chmura ObliczeniowaPROIDEA
Zastosowanie globalnej Chmury Obliczeniowej i budowa własnej w oparciu o dostępną kontynentalną infrastrukturę. Uruchomienie jednego spójnego środowiska i zabezpieczenie całości rozwiązania z sieci Internet, wewnętrznie. Przykłady użycia Chmur Obliczeniowych, dostępnych technologii światy Intel, Power, Oracle. Przykłady budowy własnej infrastruktury OpenStack, Wirtualizacje, Kontenery. Sposoby zabezpieczenia, zarządzania, utrzymania.
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFXPROIDEA
Zaprezentowany zostanie obecny status rozwiązań NFV. Ich historyczne znaczenie w przeszłości, zmiany na rynku, które doprowadziły do ponownego odkrycia tej technologii. Pokazane zostana możliwe scieżki rozwoju rozwiązań NFV i co w chwili obecnej stanowi blokadę do szerszego wdrożenia tych technologii. Zaprezentowane zostaną przykłady implementacji technolgoii NFV z wykorzystaniem rozwiązań Juniper vSRX vMX oraz produktów z rodziny NFX
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?PROIDEA
To co było w branży sieciowej aksjomatami ugruntowanymi przez lata a nawet dekady dość gwałtownie przestaje obowiązywać. Współczesne sieci zmieniają swój kształt, dostosowując się do wymagań współczesnego świata. Ty, jako pan i władca routerów musisz wreszcie uznać że świat powyżej warstwy czwartej już dawno zaczął żyć swoim życiem i odpływa w nieznanych Tobie kierunkach, a jeśli go nie dogonisz, zostaniesz bezrobotnym sieciowcem. W krótkiej prezentacji postaram się obalić kilka aksjomatów pokutujących jeszcze wśród sieciowców oraz przedstawić kilka technologii i rozwiązań, którymi warto się zainteresować aby za pięć lat nie zostać telemarketerem w call center.
PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa PROIDEA
IPv6 - dwa kliknięcia i działa
- Czy jesteśmy gotowi na IPv6?
- Jedno kliknięcie i działa - ale czy bezpiecznie?
- Kilka modeli wdrożenia IPv6 u operatora
- WLAN na konferencji PLNOG
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacjePROIDEA
Operatorzy telekomunikacyjni na całym świecie zmagają się z wyzwaniami mającymi wpływ na ich model businesowy, oferowany usługi i osiągane przychody. Firma Cisco współpracuje od wielu lat z wieloma z nich, na liście tej znajduje się wielu polskich operatorów. Krzysztof Mazepa, architekt rozwiązań sieciowych, przedstawi w jaki sposób w tym trudnym okresie transformacji Cisco pomaga wielu z nich dzięki swoim innowacjom związanych z oprogramowaniem, urządzeniami oraz architekturą sieci.
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Redge Technologies
(Polish only)
Gaming/DDoS mitigation/x86 performance and elasticity.
Talk given at Net::IP meetup in Wrocław, Poland (2017.05): https://www.meetup.com/Wroclaw-Net-IP-Meetup/events/238738376/
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...PROIDEA
Większość z nas lubi podróżować. Zapraszam na egzotyczną “sieciową” podróż, gdzie poznamy nowe nieznane cywilizacje, odkryjemy na nowo koło z plemionami z github.com: Calico, Flannel, Canal, Weave, ale również spojrzymy z kosmosu na chmury, żeby zobaczyć, co oferują nam giganci stratosfery. Opowiem jak przygotować się do takiej wyprawy i jakie narzędzia się nam przydadzą. Na pewno w podróż warto wziąć słownik nowoczesnego sieciowca, żeby zrozumieć jak inni nazywają to, co my już dobrze znamy: subnet, load balancer, firewall. Jako, że jesteśmy przyjaźnie nastawieni na koniec zbudujemy mosty między naszą tradycyjną cywilizacją: „bare” i „virtual” metalu a Nowym Światem kontenerów i chmury.
http://plnog.pl
https://www.facebook.com/PLNOG/
https://twitter.com/PLNOG
Prezentacja dotycząca wydajnego przetwarzania ruchu IP na PC wygłoszona podczas IT Conference na WAT (http://itacademicday.azurewebsites.net/), listopad 2015.
(Polish only) Talk regarding effective IP traffic processing on x86 platforms, given at IT Academic Day / Military University of Technology in Warsaw, November 2015.
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacjePROIDEA
Operatorzy telekomunikacyjni na całym świecie zmagają się z wyzwaniami mającymi wpływ na ich model businesowy, oferowany usługi i osiągane przychody. Firma Cisco współpracuje od wielu lat z wieloma z nich, na liście tej znajduje się wielu polskich operatorów. Krzysztof Mazepa, architekt rozwiązań sieciowych, przedstawi w jaki sposób w tym trudnym okresie transformacji Cisco pomaga wielu z nich dzięki swoim innowacjom związanych z oprogramowaniem, urządzeniami oraz architekturą sieci.
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Redge Technologies
(Polish only)
Gaming/DDoS mitigation/x86 performance and elasticity.
Talk given at Net::IP meetup in Wrocław, Poland (2017.05): https://www.meetup.com/Wroclaw-Net-IP-Meetup/events/238738376/
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...PROIDEA
Większość z nas lubi podróżować. Zapraszam na egzotyczną “sieciową” podróż, gdzie poznamy nowe nieznane cywilizacje, odkryjemy na nowo koło z plemionami z github.com: Calico, Flannel, Canal, Weave, ale również spojrzymy z kosmosu na chmury, żeby zobaczyć, co oferują nam giganci stratosfery. Opowiem jak przygotować się do takiej wyprawy i jakie narzędzia się nam przydadzą. Na pewno w podróż warto wziąć słownik nowoczesnego sieciowca, żeby zrozumieć jak inni nazywają to, co my już dobrze znamy: subnet, load balancer, firewall. Jako, że jesteśmy przyjaźnie nastawieni na koniec zbudujemy mosty między naszą tradycyjną cywilizacją: „bare” i „virtual” metalu a Nowym Światem kontenerów i chmury.
http://plnog.pl
https://www.facebook.com/PLNOG/
https://twitter.com/PLNOG
Prezentacja dotycząca wydajnego przetwarzania ruchu IP na PC wygłoszona podczas IT Conference na WAT (http://itacademicday.azurewebsites.net/), listopad 2015.
(Polish only) Talk regarding effective IP traffic processing on x86 platforms, given at IT Academic Day / Military University of Technology in Warsaw, November 2015.
“Dziesięć serwerów poproszę!“, czyli co może Ci zaoferować definiowanie infra...The Software House
Niezależnie od tego, czy jesteście developerami, sysadminami, czy też DevOps Engineers – prawie na pewno mieliście doświadczenie z webowymi panelami dostawców usług infrastrukturalnych takich jak AWS, GCP czy też OVH. Z poziomu tych paneli da się “wyklikać” wszystko, czego potrzeba, ale… czy aby na pewno tędy droga? Środowiskiem bardziej naturalnym dla każdego inżyniera jest wszakże edytor tekstu (czy też IDE) oraz różnorakie polecenia wydawane komputerowi w formie skryptów. Czemu by więc z tego nie skorzystać? Jeśli od klikania bez możliwości pomyłki boli Was ręka, zainwestuj w podkładkę pod mysz… ale przede wszystkim wpadnij na prelekcję Piotra, na której to opowie o założeniach podejścia IaC, jego zaletach oraz przedstawi najpopularniejsze narzędzia.
SDS implementation using Atlantis USX software
I presented this slides on 2nd Polish Citrix User Group meeting - September 18th, 2015.
Language: polish.
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...PROIDEA
Robert Ślaski – Chief network consultant at Atende S.A., with 15 years experience in ICT, responsible for most demanding and challenging company projects within operator networks and mobile technologies – i.e. for ATMAN, T-Mobile, Polkomtel, OST112. The Cisco Certified Internetwork Expert CCIE #10877 (Routing & Switching and Security).
Topic of Presentation: NFV, Virtualise networks or die – the voice of the realist
Language: Polish
Abstract: Currently we are on the leading edge of NFV (Network Function Virtualization) hype, but what does it entirely mean? Is the network element virtualization concept a quite new one? Does it mean the same as SDN? When it makes sense, when it is a salvation, and when it would probably fail? For the SP or for the enterprise? An introduction to the topic and a couple of unanswered questions.
Wprowadzenie do Kubernetesa oraz omówieni korzyści K8S w kontekście mojego doświadczenia z dwóch startupów, jeden z branży mobile ecommerce i jeden FinTech.
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.comLeszek Mi?
W dobie rozwijającego się w szybkim tempie rynku sprzedaży exploitów typu 0-day i wszechobecnych backdoorów w tzw. „drogich zabawkach”, coraz trudniejszym staje się utworzenie i utrzymanie bezpiecznej infrastruktury krytycznej. Aktualizacje oprogramowania jak i tzw. „old-schoolowe” triki utwardzające systemy i urządzenia sieciowe nadal uznawane są za poprawne, ale zdecydowanie nie są wystarczające. Potrzebujemy mechanizmów profilowania zachowania zarówno sieci, systemów jak i administratorów i użytkowników końcowych. Potrzebujemy więcej dedykowanych, „szytych na miarę” defensywnych konfiguracji oraz przede wszystkim izolacji na poszczególnych warstwach infrastruktury. Jednocześnie zdobywanie przez kadrę techniczną aktualnej, niepowiązanej z żadnym vendorem wiedzy z zakresu „offensive vs defensive” staje się kluczową kwestią w rozwoju technologicznym zespołów IT/ITSec.
Podczas prezentacji, na bazie wieloletniej obserwacji „podwórka IT Security” postaram się przedstawić możliwości, jakie drzemią w rozwiniętych rozwiązaniach Open Source dedykowanych utwardzaniu, profilowaniu i monitorowaniu systemów i sieci. Na bazie rzeczywistych przypadków omówione zostaną wybrane sposoby ochrony i wykrywania zdarzeń wykorzystując:
– izolację (Apparmor, SELinux, Docker/LXC, chroot/jail) celem utrudnienia eskalacji uprawnień
– filtrowanie i profilowanie (seccomp, systemtap, sysdig, GRR, Volatility, modsecurity/naxsi)
– aktywną i pasywną analizę ruchu sieciowego celem wczesnego wykrywania zagrożeń
– hardening jądra systemowego i przestrzeni użytkownika
– centralne miejsce składowania logów i korelacji zdarzeń (Elastic, Logstash, Kibana)
Prezentacja jest swego rodzaju drogowskazem do zbudowania własnej „fortecy” w sposób odmienny od tego, jaki prezentują liderzy komercyjnego rynku. Zastrzyk merytoryki gwarantowany!
LocalStack to framework udostępniający łatwe w użyciu mocki usług stosu AWS. Podczas prezentacji Maciej skorzystał z serwisu zbudowanego z użyciem serverlessowego Boilerplate autorstwa The Software House oraz skorzystał z takich usług AWS jak API Gateway, DynamoDB, Lambda, StepFunctions czy SQS. Następnie omówił podejście do testowania rozwiązania. Dzięki prezentacji możecie poznać wady i zalety LocalStack. A na koniec Maciej pokazuje przepływ testowy w GitHub Actions, który zwiększy pewność przyszłych zmian.
PLNOG 18 - Marcin Motylski - Budowa wirtualnego Data Center
1. Budowa wirtualnego Data Center
w oparciu o technologie Open Source i komercyjne
Marcin Motylski
MITVision
2. Budowa VDC – historia DC w Polsce
1995 – Novell Netware, SGI/Irix, 10Mbps
2000 – boom Data Center, pierwsze ASP (Application Service Providers)
2004 – zarządzany hosting, duże instalacje HW
2009 – wirtualizacja, VMWare, LDOM, LPAR, KVM
2017 – Cloud, 10Gbps peering EU, EU Zones, Global Regions
3. Budowa VDC – historia DC w Polsce
1995 – Novell Netware, SGI/Irix, 10Mbps
2000 – boom Data Center, pierwsze ASP (Application Service Providers)
2004 – zarządzany hosting, duże instalacje HW
2009 – wirtualizacja, VMWare, LDOM, LPAR, KVM
2017 – Cloud, 10Gbps peering EU, EU Zones, Global Regions
4. Budowa VDC – historia DC w Polsce
1995 – Novell Netware, SGI/Irix, 10Mbps
2000 – boom Data Center, pierwsze ASP (Application Service Providers)
2004 – zarządzany hosting, duże instalacje HW
2009 – wirtualizacja, VMWare, LDOM, LPAR, KVM
2017 – Cloud, 10Gbps peering EU, EU Zones, Global Regions
5. Budowa VDC – historia DC w Polsce
1995 – Novell Netware, SGI/Irix, 10Mbps
2000 – boom Data Center, pierwsze ASP (Application Service Providers)
2004 – zarządzany hosting, duże instalacje HW
2009 – wirtualizacja, VMWare, LDOM, LPAR, KVM
2017 – Cloud, 10Gbps peering EU, EU Zones, Global Regions
6. Budowa VDC – historia DC w Polsce
1995 – Novell Netware, SGI/Irix, 10Mbps
2000 – boom Data Center, pierwsze ASP (Application Service Providers)
2004 – zarządzany hosting, duże instalacje HW
2009 – wirtualizacja, VMWare, LDOM, LPAR, KVM
2017 – Cloud, 10Gbps peering EU, EU Zones, Global Regions
7. Budowa VDC – historia DC w Polsce
1995 – Novell Netware, SGI/Irix, 10Mbps
2000 – boom Data Center, pierwsze ASP (Application Service Providers)
2004 – zarządzany hosting, duże instalacje HW
2009 – wirtualizacja, VMWare, LDOM, LPAR, KVM
2017 – Cloud, 10Gbps peering EU, EU Zones, Global Regions
8. Budowa VDC – historia DC w Polsce
1995 – Novell Netware, SGI/Irix, 10Mbps
2000 – boom Data Center, pierwsze ASP (Application Service Providers)
2004 – zarządzany hosting, duże instalacje HW
2009 – wirtualizacja, VMWare, LDOM, LPAR, KVM
2017 – Cloud, 10Gbps peering EU, EU Zones, Global Regions
9. Budowa VDC – wirtualne DC vs fizyczne DC
Fizyczne centrum danych
- Strzeżony budynek
- Zasilanie redundantne, UPSy
- Łącza do sieci Internet
- Serwery fizyczne
- Przełączniki fizyczne
- Przestrzeń dyskowa, macierze
- Tier III, - Tier IV
Wirtualne Data Center
- Bazuje na zasobach fizycznego data
center jednego lub wielu
- W lokalnym centrum danych na
serwerach, sieci, przestrzeni
dyskowej
- Jest instancją hypervisior np. ESX,
OpenStack, KVM
- może zawierać elementy fizyczne
lokalnego centrum danych
10. Budowa VDC – czym jest wirtualne Data Center
Wirtualne Centrum Danych
- instancja hypervisior w jednym lub wielu centrach danych,
- może zawierać fizyczne elementy sieciowe, przestrzeń dyskową,
- lokalne centrum danych może rozszerzać funkcjonalność
wirtualnego centrum danych,
- zawiera w sobie komponenty, funkcjonalność centrum danych z
~2000 roku tj. wirtualnych firewall, switch, router, serwer,
11. Budowa VDC – czym jest wirtualne Data Center
Wirtualne Centrum Danych
- … wirtualny dysk, wirtualna macierz dyskowa, wirtualna karta
sieciowa, wirtualny TAP, wirtualny IPS, IDS, wirtualne serwery
Windows, Linux, AIX, Solaris, BSD, serwery aplikacji, serwery baz
danych, instancje kopii zapasowych, systemy monitoringu, DNS,
firewall bazy danych, firewall aplikacji.
- ograniczenia ? warunki licencyjne, wsparcie produktów.
12. Budowa VDC – Open Source
- Czy da się zbudować wirtualne Centrum Danych w oparciu o Open
Source ?
- Czy będzie stabilnie, wydajnie, niezawodnie ?
- Czego nie da się zbudować w oparciu o Open Source ?
- Ile to będzie kosztować ?
- Ograniczenia ?
13. Budowa VDC – Open Source
- Czy da się zbudować wirtualne Centrum Danych w oparciu o Open
Source ? - tak
- Czy będzie stabilnie, wydajnie, niezawodnie ? - tak
- Czego nie da się zbudować w oparciu o Open Source ? - czas jest
ograniczeniem.
- Ile to będzie kosztować ? – wdrożenie, rozwój oprogramowania
- Ograniczenia ? – wymagania wsparcia - komercyjne produkty
14. Budowa VDC – Open Source
- Hypervisior – KVM, Open Stack, PowerKVM, bhyve/FreeBSD
- Kontenery – LXC (Docker), Chroot, Jail/BSD
- Systemy – Linux Debian, Gentoo, CentOS
- Bazy danych – MariaDB, PostgreSQL, MySQL,
- Serwery aplikacji, kontenery serwletów – Tomat, WildFly,
- Firewall – OpenBSD/PF, NetBSD/PF, FreeBSD/PF/IPF, Linux/IPTables,
- Router – Quagga, OpenBGPD, Zebra
20. Budowa VDC – Komercyjne
- Cyberbezpieczeństwo – Fidelis, FireEye, DarkTrace
- MDM – AirWatch
- DLP – Symantec DLP
- Klastry – PowerHA, Veritas VCS
- TAPy – Gigamon
- Nagrywanie sesji administracyjnych – Balabit, CyberArk, Wheel
- Firewall DB / anonimizacja danych w DB – Imperva,
21. Budowa VDC – Open Source vs Komercyjne
Komercyjne
+ wsparcie producentów
- wykluczenia platform
- licencje / core factor
+ wyższe prawdopodobieństwo
dotrzymania SLA – banki, telco
Open Source
- własny rozwój
+ nowe środowiska bez licencji
- brak wsparcia
+ często szybkie poprawki
- interfejsy graficzne
22. Najciekawsze Open Source i technologie
- KVM i PowerKVM na IBM/Power
- Ganglia
- VPN – Racoon
- OpenvSwitch
- OpenStack
- Nasted Virtualization
- SR-IOV
23. Najciekawsze Open Source i technologie
- KVM, SR-IOV, Linux Kernel, NUMA
numastat –c qemu / sprawdzamy procesy które korzystają z NUMA, NODE1 (CPU1) / NODE2 (CPU2)
Włączamy w Kernelu dla dwóch, dwuportowych kart sieciowych funkcję SR-IOV
24. Najciekawsze Open Source i technologie
- KVM, SR-IOV, Linux Kernel, NUMA
fragment polecenia : dmesg
„Remove the specified CPUs, as defined by the cpu_number values, from the general
kernel SMP balancing and scheduler algroithms.”
Źródło : http://www.linuxtopia.org/online_books/linux_kernel/kernel_configuration/re46.html
Więcej informacji : https://codywu2010.wordpress.com/2015/09/27/isolcpus-numactl-and-taskset/
Izolowanie vCPU / Core w Linux np. na potrzeby KVM i pinowania vCPU do VM w KVM
25. Najciekawsze Open Source i technologie
ifconfig –a | grep –i enp | grep –i enp2s
portu SR-IOV do KVM
28. Najciekawsze Open Source i technologie
wirtualna maszyna KVM, wynik poleceń free i cat /proc/cpuinfo
29. Najciekawsze Open Source i technologie
numastat –c qemu / po uruchomieniu kilku maszyn wirtualnych KVM
30. Budowa VDC – historia Internetu w Polsce
~1995 – pobieranie 1Mb (goblins.zip) Kraków <-> Lublin 8-12 godzin (DOS)
~1997 – zarządzanie serwerami z Polski w USA z opóźnieniem ~200ms
(prędkości po USA ~35Mbps) (ascii / konsola)
~1999 – łącza do prywatnych Data Center – 20-40 Mbps – dzierżawy łącza
dla klientów na poziomie 1-2Mbps CIR/EIR
2000 – pierwsze internetowe serwisy muzyczne, boom portali internetowych
2004 – do obsługi 3-4 banków ING, WBK, Inteligo, BGŻ – wystarcza ~20Mbps
31. Budowa VDC – historia Internetu w Polsce
~1995 – pobieranie 1Mb (goblins.zip) Kraków <-> Lublin 8-12 godzin (DOS)
~1997 – zarządzanie serwerami z Polski w USA z opóźnieniem ~200ms
(prędkości po USA ~35Mbps) (ascii / konsola)
~1999 – łącza do prywatnych Data Center – 20-40 Mbps – dzierżawy łącza
dla klientów na poziomie 1-2Mbps CIR/EIR
2000 – pierwsze internetowe serwisy muzyczne, boom portali internetowych
2004 – do obsługi 3-4 banków ING, WBK, Inteligo, BGŻ – wystarcza ~20Mbps
32. Budowa VDC – historia Internetu w Polsce
~1995 – pobieranie 1Mb (goblins.zip) Kraków <-> Lublin 8-12 godzin (DOS)
~1997 – zarządzanie serwerami z Polski w USA z opóźnieniem ~200ms
(prędkości po USA ~35Mbps) (ascii / konsola)
~1999 – łącza do prywatnych Data Center – 20-40 Mbps – dzierżawy łącza
dla klientów na poziomie 1-2Mbps CIR/EIR
2000 – pierwsze internetowe serwisy muzyczne, boom portali internetowych
2004 – do obsługi 3-4 banków ING, WBK, Inteligo, BGŻ – wystarcza ~20Mbps
33. Budowa VDC – historia Internetu w Polsce
~1995 – pobieranie 1Mb (goblins.zip) Kraków <-> Lublin 8-12 godzin (DOS)
~1997 – zarządzanie serwerami z Polski w USA z opóźnieniem ~200ms
(prędkości po USA ~35Mbps) (ascii / konsola)
~1999 – łącza do prywatnych Data Center – 20-40 Mbps – dzierżawy łącza
dla klientów na poziomie 1-2Mbps CIR/EIR
2000 – pierwsze internetowe serwisy muzyczne, boom portali internetowych
2004 – do obsługi 3-4 banków ING, WBK, Inteligo, BGŻ – wystarcza ~20Mbps
34. Budowa VDC – UseCase
Migracja obecnych
usług do nowej
architektury
35. Budowa VDC – UseCase
Szybka budowa
nowego styku
z siecią Internet
36. Budowa VDC – UseCase
Szybka budowa środowiska developerskiego
37. Budowa VDC – Migracja
Migracje – do chmury, z chmury, kolokacji, hostingu
- Klasyfikacja usług
- Czas życia projektu
- Lokalizacja i bezpieczeństwo DC,
- Dostępność łączy do sieci Internet.
- Procesory, pamięć RAM, przestrzeń dyskowa, sieć – szybkie łącza do
sieci Internet
38. Budowa VDC – Migracja
- Power8 24C, 512GB RAM, 750Mbps 1 500 USD/m (online.net)
- Xeon 24C (E5-2690v3), 256GB RAM, 500Mbps ~860 USD/m
- ARM 12C, 24GB RAM, 100Mbps 20 USD/m (beta projekt)
- Oracle T5 (?)
- Obecnie Oracle Cloud M7, IBM Cloud (Power8), Azure/AWS – x86
- Tanie alternatywy do nauki – SoYouStart, Kimsufi.
klasyczne bezpieczeństwo wymaga przeniesienia części funkcjonalności do chmury
świadome przeniesienie odpowiedzialności za część usług na dostawcę chmury
obliczeniowej, monitorowanie, zarządzanie, backup
39. Budowa VDC – Projekt Techniczny
Główne strefy bezpieczeństwa :
• siec INET.
• sieci DMZ.
• sieci PZ.
• siec CORE.
• siec BACKUP.
• siec MGMT.
• siec WAN.
Elementy infrastruktury konieczne
do budowy bezpiecznego
ośrodka obliczeniowego :
• Połączenia głownie 10Gbps
(PROD, BACKUP).
• Połączenia management
1Gbps.
• Separacja sieciowa stref
funkcjonalnych tj. PROD,
MGMT, BACKUP.
40. Budowa VDC – Projekt Techniczny
• Zapasowy ośrodek obliczeniowy
• Połączenie ośrodków dwoma niezależnymi łączami (szyfrowanie L2).
• Architektura sieciowa – bezpieczeństwa – zdefiniowanie i nazwanie
najważniejszych stref
• Architektura sieciowa – schemat główny – wysoki poziom
• Architektura sieciowa.
• Główne założenia polityki bezpieczeństwa
• Główne założenia dot. bezpieczeństwa – standardy.
• Główne założenia dot. bezpieczeństwa – rekomendacje.
• Warstwa sieciowa – szkielet rozwiązania.
• Routery brzegowe – styk z siecią Internet.
• Routery brzegowe – styk z siecią WAN.
• Switche brzegowe.
41. Budowa VDC – Projekt Techniczny
• Firewalle brzegowe styk z siecią Internet.
• Firewalle brzegowe styk z siecią WAN.
• Firewalle wewnętrzne – ochrona sieci PZ, MGMT.
• Systemy czasu.
• Systemy autoryzacji.
• Systemy Firewall Zewnętrzne DMZ.
• Systemy Firewall Wewnętrzne DMZ.
• Systemy Firewall Zewnętrzne PZ.
• Systemy Firewall Wewnętrzne PZ.
• Systemy Firewall WAN.
• Systemy Firewall INET.
42. Budowa VDC – Projekt Techniczny
• Systemy wirtualizacji DMZ.
• Systemy wirtualizacji PZ.
• Systemy monitoringu.
• Systemy logowania zdarzeń (osobne dla stref DMZ i PZ).
• Systemy proxy.
• Systemy WAF.
• Systemy IDS/IPS.
• Systemy TAP.
• Systemy SIEM.
• Systemy terminacji tuneli VPN – użytkownicy.
• Systemy terminacji tuneli VPN – inne firmy (ew. dedykowane łącza).
43. Budowa VDC – Projekt Techniczny
• Systemy terminacji tuneli VPN – połączenia WAN (inne lokalizacje).
• Systemy Firewall DB.
• Systemy backupu konfiguracji.
• Systemy DNS.
• Switche storage SAN DMZ.
• Switche storage SAN PZ.
• Switche storage SAN Interconnect DR (DWDM).
• Switche LAN Interconnect DR (DWDM).
• Switche LAN – szkielet CORE.
• Switche LAN – szkielet DMZ.
• Switche LAN – szkielet PZ.
44. Budowa VDC – Projekt Techniczny
• Switche LAN – szkielet WAN.
• Switche LAN – szkielet INET.
• Switche LAN – szkielet MGMT (każda sieć funkcjonalna musi posiadać
osobną strefę MGMT realizowana na osobnych fizycznych
przełącznikach).
• Switche LAN – szkielet BACKUP.
• Switche LAN – akceleracja i wsparcie wirtualizacji DMZ
• Switche LAN – akceleracja i wsparcie wirtualizacji PZ
• Macierze dyskowe DMZ (układ HA).
• Macierze dyskowe PZ (układ HA).
• Systemy równoważenia obciążenia (load balancers).
• Systemy optymalizacji ruchu TCP.
45. Budowa VDC – Projekt Techniczny
• Systemy akceleracji ruchu.
• Systemy anty DDOS (Internet).
• Centralny system DLP.
• Centralny system AV.
• Systemy APT.
• Systemy automatycznych audytów bezpieczeństwa.
• Systemy analizy sum kontrolnych.
• Systemy analizy NetFlow.
• Systemy akceleracji SSL.
• Systemy ReverseProxy.
46. Budowa VDC – Projekt Techniczny
• Systemy deszyfracji SSL.
• Akceleratory aplikacyjne.
• Systemy QoS.
• Systemy kompresji i cache HTTP.
• Systemy nagrywania ruchu IP.
• Dedykowana infrastruktura do obsługi VoIP.
• Centralny system utrzymania i kontroli nad kontami użytkowników w
systemach.
47. Budowa VDC – Projekt Techniczny
•
Dwie architektury wirtualnego data center – połączone w jedno środowisko.
48. Budowa VDC – Open Source DC
- zapraszam do współpracy przy budowie projektu wirtualnego
centrum danych w oparciu o technologie Open Source,
- darmowa alternatywa dla startup, organizacji non-profit,
- rozwój, testy do dużych projektów, stosujących technologie Open
Source
49. Budowa VDC – Podsumowanie
- jakie usługi chcemy uruchomić w chmurze – czym będą za 2-4 lata
- koszt pobrania/migracji danych
- klasyfikacja danych / planowanie / rozwój
- wirtualne data center / prywatna chmura
50. Budowa VDC – historia Internetu w Polsce
2016 – UPC ofertuje łącza 300/30 Mbps ~150PLN modem kablowy,
Orange ofertuje łącza 600/60 Mbps światłowód ~110PLN (duże miasta
– łącze domowe)
2016 – OVH daje możliwość podłączenia serwerów Francja <->
Warszawa/LIM/Mariott łączem 10Gbps.
51. Budowa VDC – historia Internetu w Polsce
2016 – UPC ofertuje łącza 300/30 Mbps ~150PLN modem kablowy,
Orange ofertuje łącza 600/60 Mbps światłowód ~110PLN (duże miasta
– łącze domowe)
2016 – OVH daje możliwość podłączenia serwerów Francja <->
Warszawa/LIM/Mariott łączem 10Gbps.