Объединенные сетевые сервисы для виртуализованных вычислений.
0 likes589 views
Документ описывает объединенные сетевые сервисы для виртуализованных вычислений, акцентируя внимание на преимуществах виртуализированных центров обработки данных по сравнению с традиционными. Он включает информацию о архитектуре Cisco Nexus 1000V, механизмах управления и безопасности, а также о виртуальных сервисах и политике перемещения трафика. Основные выводы подчеркивают реализацию сетевых сервисов в виртуализированной среде и укрепление модели эксплуатации центров обработки данных.
![Широкий набор функций
L2 Switching, 802.1Q Tagging, VLAN Segmentation, Rate Limiting (TX)
Коммутация
§
§ IGMP Snooping, QoS Marking (COS & DSCP), Class-based WFQ
§ Policy Mobility, Private VLANs w/ local PVLAN Enforcement
Безопасность § Access Control Lists (L2–4 w/ Redirect), Port Security
§ Dynamic ARP inspection, IP Source Guard, DHCP Snooping
Virtual Services Datapath (vPath) support for traffic steering & fast-path
Сервисы
§
off-load [leveraged by Virtual Security Gateway (VSG) and vWAAS]
Automated vSwitch Config, Port Profiles, Virtual Center Integration
Внедрение
§
§ Optimized NIC Teaming with Virtual Port Channel – Host Mode
§ VMotion Tracking, NetFlow v.9 w/ NDE, CDP v.2
Мониторинг § VM-Level Interface Statistics
§ SPAN & ERSPAN (policy-based)
§ Virtual Center VM Provisioning, Cisco Network Provisioning, CiscoWorks
Управление § Cisco CLI, Radius, TACACs, Syslog, SNMP (v.1, 2, 3)
§ Hitless upgrade, SW Installer
Поддержка IPv6: As a Layer-2 switch, Nexus 1000V, коммутатор второго уровня, коммутирует пакеты IPv6 и
функционал Layer-2, такой как PVLAN и Port Security. Кроме того, интерфейсу управления можно
назначить адрес IPv6.](https://image.slidesharecdn.com/22-11-session03-uns-iggirkin-111207015957-phpapp02/85/-21-320.jpg)
![Настройка vPath/Virtual Service Node
vsm-N1k(config-port-prof)#
vn-service ip-address <ipv4> vlan <vlan#> [{security-
profile <profile-name> | fail {open | close}}]
• Минимум IPv4-адрес хоста с виртуализированным сервисом и номер его
VLAN
• Security-profile используется в случае VSG
• Реакция на недоступность VSN
Open: например, в случае недоступности сервиса vWAAS продолжить
коммутацию пакетов
Close: например, в случае недоступности сервиса VSG блокировать передачу
пакетов
• В данной версии не поддерживается настройка нескольких сервисов в
профиле порта](https://image.slidesharecdn.com/22-11-session03-uns-iggirkin-111207015957-phpapp02/85/-26-320.jpg)
Объединенные сетевые сервисы для виртуализованных вычислений.
- 1. Объединенные сетевые сервисы для виртуализованных вычислений Игорь Гиркин системный инженер iggirkin@cisco.com
- 3. Традиционный центр обработки данных Сетевые сервисы Клиенты Приложения • 1 сервер – 1 приложение • Физическая среда коммутации видит весь трафик • Схема работает в случае наличия резервных площадок
- 4. Виртуализированный центр обработки данных Сетевые сервисы Приложения Клиенты Клиенты • 1 сервер – множество приложений • Виртуальные рабочие места • Увеличение объема трафика • Физическая среда коммутации не видит весь трафик • Динамическое перемещение нагрузок на резервные площадки
- 5. Развитие виртуализации Количество серверов 20 000 000 17 500 000 Переломный момент 15 000 000 12 500 000 10 000 000 7 500 000 5 000 000 2 500 000 0 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 Virtualized Non-Virtualized Виртуализованный Невиртуализованный Источник: IDC, Nov 2010
- 6. ИТ как услуга Построение Построение изолированных систем инфраструктуры Требования бизнеса Требования бизнеса Приложения Автоматическое управление Приложения Точечное управление Серверы VirtualizaCon-‐ Cisco Nexus Aware Network Сеть Ethernet, FC, Ip Хранение Cisco UCS Пул виртуализированных ресурсов
- 8. Эталонная модель инфраструктуры ЦОД Cisco Data Center Business Advantage Unified Unified Network Unified Fabric Services Computing § Nexus 1000V § Virtual Security Gateway § Unified Compute § Nexus 5K/2K § Virtual WAAS System § Nexus 7K http://www.cisco.com/go/uns
- 9. Объединение физических и виртуализованных сервисов Физические устройства Виртуализованный ЦОД Облако VDC-1 APP OS Hypervisor VDC-2 FW WAN ADC/ Opt SLB • Традиционная модель эксплуатации оборудования • Форм-фактор – виртуальная машина Virtual • Бесшовное внедрение/удаление • Широкий выбор вариантов Service форм-фактора • Перемещение виртуальных серверов Node Устройство • Масштабирование (VSN) Модуль • Делегирование полномочий
- 10. Как внедрить сервис для виртуализованных приложений Направить трафик с помощью Внедрить в гипервизор 1 VLAN на внешнее сервисное 2 сервисное устройство устройство Virtual Service Node (VSN) Web App Database Web App Database Server Server Server Server Server Server Hypervisor Hypervisor VLANs Виртуальные контексты VSN VSN Virtual Service Nodes Физическое устройство
- 11. Примеры реализации Virtual Service Node Virtual Network Virtual Central Management Manager (vCM)/ Center (VNMC) Central Manager Virtual WAAS Virtual Security Gateway (VSG) vPath Nexus 1000V
- 13. Проблемы виртуализации вычислений 1. Настроенные политики должны следовать за виртуальной машиной 2. Необходимо применять политики к локально Port Group коммутируемому трафику 3. Нужно сохранить модель эксплуатации и обеспечить непрерывную работу Администратор серверов Администратор Администратор безопасности сети
- 14. Коммутатор виртуальных машин Nexus 1000V Модульный коммутатор Supervisor-1 VSM-1 L2 L3 Supervisor-2 VSM-2 Back plane M Linecard-1 MVEM-1 O O Linecard-2 VEM-2 D D E E … Linecard-N VEM-N Сервер 1 Сервер 2 Сервер 3
- 15. Коммутатор виртуальных машин Nexus 1000V Virtual Appliance Nexus 1010 VSM: Virtual Supervisor Module VEM: Virtual Ethernet Module VSM-A1 VSM-A4 Модульный коммутатор VSM-B1 VSM-B4 Supervisor-1 VSM-1 L2 L3 Supervisor-2 VSM-2 Back plane M Linecard-1 MVEM-1 O O Linecard-2 VEM-2 D D … E E Linecard-N VEM-N ESX ESX ESX …
- 16. VSM + VEM = виртуальное шасси коммутатора Nexus 1000V Virtual Appliance Nexus 1010 VSM-1 VSM-A1 VSM-A4 • Более 200 виртуальных портов VSM-2 VSM-B4 на один модуль VEM VSM-B1 • 2048 портов на коммутатор • 64 модуля VEM на коммутатор L2 L3 • Несколько экземпляров M M коммутатора под управлением O O vCenter D D E E VEM-N VEM-2 VEM-1 ESX ESX ESX …
- 17. Типы интерфейсов Cisco Nexus 1000V • Ethernet Port (eth) Po1 Физический порт сетевого адаптера в сервере Принадлежит только одному модулю VEM Eth3/1 Eth3/2 Vmware vmnicX == Cisco ethx/y До 32 физических портов на хост Veth1 Veth2 • Port Channel (po) VM-1 VM-2 Агрегация физических портов Ethernet До 8 портов Port Channel на хост • Virtual Ethernet Port (veth) Порт виртуальной машины (vmnic) или service console и vmknic Номер порта может сохраняться при перемещении, выключении/включении виртуальных машин До 216 портов veth на хост, до 2К портов на DVS
- 18. Механизм настройки сетевых политик VM VM VM VM • Port-profile – шаблон, использующийся VNIC для определения набора параметров и VETH их привязки к множеству интерфейсов • Однократный ввод и многократное использование на физических и виртуальных интерфейсах • Упрощение настройки n1000v(config)# port-profile type vethernet WebServers VSM vCenter n1000v(config-port-prof)# switchport mode access
- 19. Настройки профиля порта n1000v# show port-profile name WebProfile port-profile WebProfile description: Поддерживаются команды: status: enabled capability uplink: no ü Shutdown/No shutdown system vlans: port-group: WebProfile ü Switchport mode config attributes: ü VLAN switchport mode access switchport access vlan 110 ü PVLAN no shutdown ü Port-channel evaluated config attributes: switchport mode access ü ACL switchport access vlan 110 ü NetFlow no shutdown ü Port Security assigned interfaces: Veth10 ü QoS ü Port-Mirroring (ERSPAN)
- 20. Интеграция политики в vCenter
- 21. Широкий набор функций L2 Switching, 802.1Q Tagging, VLAN Segmentation, Rate Limiting (TX) Коммутация § § IGMP Snooping, QoS Marking (COS & DSCP), Class-based WFQ § Policy Mobility, Private VLANs w/ local PVLAN Enforcement Безопасность § Access Control Lists (L2–4 w/ Redirect), Port Security § Dynamic ARP inspection, IP Source Guard, DHCP Snooping Virtual Services Datapath (vPath) support for traffic steering & fast-path Сервисы § off-load [leveraged by Virtual Security Gateway (VSG) and vWAAS] Automated vSwitch Config, Port Profiles, Virtual Center Integration Внедрение § § Optimized NIC Teaming with Virtual Port Channel – Host Mode § VMotion Tracking, NetFlow v.9 w/ NDE, CDP v.2 Мониторинг § VM-Level Interface Statistics § SPAN & ERSPAN (policy-based) § Virtual Center VM Provisioning, Cisco Network Provisioning, CiscoWorks Управление § Cisco CLI, Radius, TACACs, Syslog, SNMP (v.1, 2, 3) § Hitless upgrade, SW Installer Поддержка IPv6: As a Layer-2 switch, Nexus 1000V, коммутатор второго уровня, коммутирует пакеты IPv6 и функционал Layer-2, такой как PVLAN и Port Security. Кроме того, интерфейсу управления можно назначить адрес IPv6.
- 22. Безопасность виртуальных рабочих мест Функции безопасности Desktop Applications Applications • Access Control List Desktop OS • Port Security Desktop Virtualization Software • Private VLAN Hypervisor Nexus • DHCP Snooping 1000V WAAS • Dynamic ARP Inspection Nexus • IP Source Guard Switch ACE Эталонные архитектуры: • 1000V for VMware View • 1000V for Citrix XenDesktop WAAS: Wide Area Application Service • 1000V and VSG for VXI Reference Architecture ACE: Application Control Engine
- 23. Механизмы обеспечения качества обслуживания • Использование MQC для гарантии полосы пропускания VMK NIC До 64 классов трафика VM VM VM vMotion • 8 преднастроенных классов трафика vMotion Nexus FT-Logging 1000V VEM iSCSI NFS vMotion ESX Management N1K Control 15% VM_Platinum 20% N1K Packet 15% N1K Management VM_Gold • Пользователь может настроить 5% Default 30% классы трафика и параметры 15% очередей ESX_Mgmt • Дифференцированный подход к N1K_Control, трафику VM N1K_Packet
- 24. Динамическое перемещение нагрузок между площадками Long-distance vMotion • Настроенные политики перемещаются вслед за Nexus 1000V виртуальной машиной • Пример интеграции виртуальных vSphere и физических сервисов Cisco Nexus 7000 Series Nexus 1000V vSphere O T V Cisco Nexus 7000 Series Design Guides: Virtual Workload Mobility OTV: Overlay Transport Virtualization (Long-distance vMotion) Cisco, VMware and EMC (with 1000V and VSG) Cisco, VMware and NetApp (with 1000V and VSG)
- 25. Virtual Service Datapath (vPath) Связующее звено с виртуализованными сервисами • Обязательный элемент архитектуры UNS • Компонент виртуальной линейной карты Nexus 1000V VEM • Интеллектуальное перенаправление трафика виртуальных машин • Поддержка модели «коммерческий ЦОД» • Virtual Security Gateway (VSG), vWAAS vPath Nexus 1000V VEM
- 26. Настройка vPath/Virtual Service Node vsm-N1k(config-port-prof)# vn-service ip-address <ipv4> vlan <vlan#> [{security- profile <profile-name> | fail {open | close}}] • Минимум IPv4-адрес хоста с виртуализированным сервисом и номер его VLAN • Security-profile используется в случае VSG • Реакция на недоступность VSN Open: например, в случае недоступности сервиса vWAAS продолжить коммутацию пакетов Close: например, в случае недоступности сервиса VSG блокировать передачу пакетов • В данной версии не поддерживается настройка нескольких сервисов в профиле порта
- 27. Шлюз безопасности Virtual Security Gateway
- 28. Виртуализация и безопасность • Виртуализация Быстрота внедрения Масштабируемость Снижение стоимости внедрения • Нагрузки с разными профилями риска разделяют вычислительную инфраструктуру CRM Разработка/тестирование Финансы/кадры Унифицированные коммуникации Виртуальные рабочие места DMZ • Как Соответствовать внутренним политикам/законодательству Обеспечить непрерывность администрирования/работы
- 29. Пример – трехзвенная архитектура Оганизация A Организация B Разрешить доступ к Разрешить доступ к серверам приложений серверам баз данных только веб-серверам только серверам VLAN-X VLAN-Y через HTTP/HTTPS приложений Web! App! DB! Web! App! DB! Web! Server! App! Server! DB! Web! Server! App! Server! DB! server! server! Server! Server! server! Server! Server! server! Открыть порты Открыть на Запретить 80 (HTTP) серверах весь и 443 (HTTPS) приложений только остальной веб-серверов порт 22 (SSH) трафик
- 30. Шлюз безопасности Virtual Security Gateway Использование свойств виртуальных Контекстная машин для построения правил безопасность защиты Контроль на основе Группирование виртуальных машин Virtual зон безопасности на основе общих свойств Security Политики следуют за Gateway Динамика перемещаемыми виртуальными (VSG) машинами Отказоустойчивая, масштабируемая Зрелая архитектура (Nexus 1000V vPath) Virtual Сохранение модели Подразделение ИТ-безопасности эксплуатации настраивает параметры безопасности Network Management Централизация управления, Center Использование масштабируемость, (VNMC) политик многопользовательская среда Интеграция со средствами XML API, профили безопасности автоматизации
- 31. Сохранение модели эксплуатации VNMC VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM Nexus 1000V vPath Distributed Virtual Switch VSG Зонирование на уровнеПрименение политик Multi-tenancy VM или VLAN «на лету» Политики следуют Администраторы Бесшовное внедрение за vMotion безопасности Log/Audit Делегирование Отказоустойчивость XML API административных прав
- 32. Перенаправление трафика VNMC VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM 4 Nexus 1000V vPath Distributed Virtual Switch VSG Кеширование Access Log результата в 3 (syslog) таблице сессий Первый пакет 2 Проверка сессии 1 в сессии согласно политике Log/Audit
- 33. Повышение производительности VNMC VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM Nexus 1000V vPath Distributed Virtual Switch VSG Результат политики записан в таблице сессий Последующие пакеты в сессии Log/Audit
- 34. Анализ и контроль прикладного протокола VNMC VM VM VM VM VM VM VM VM VM VM VM VM VM Nexus 1000V vPath Distributed Virtual Switch VSG FTP Control FTP Data
- 35. Virtual Network Management Center • Виртуальная машина • Инструмент работы подразделения ИТ-безопасности • Использование простых правил для создания политик vCenter Nexus 1000V VNMC Port Group Port Profile Security Profile Администратор сервера Администратора сети Администратор безопасности
- 36. Сборная конструкция политики безопасности Профиль безопасности Набор политик Политика 1 Политика 2 Политика N Правило Правило Правило 1 1 1 Правило Правило Правило 2 2 2 Правило Правило Правило N N N Правило – ACE, политика – ACL
- 37. Построение правила Правило þ þ Условие Условие выбора выбора Действие источника назначения
- 38. Построение правила Правило þ þ Условие Условие выбора выбора Действие источника назначения Условие Attribute Type Network VM Custom
- 39. Построение правила Правило þ þ Условие Условие выбора выбора Действие источника назначения Условие Attribute Type Network VM Custom VM Attributes Network Attributes Instance Name IP Address Guest OS full name Network Port Zone Name Parent App Name Port Profile Name Cluster Name Hypervisor Name
- 40. Построение правила Правило þ þ Условие Условие выбора выбора Действие источника назначения Условие Attribute Type Network VM Custom VM Attributes Network Attributes Operator Operator Instance Name IP Address eq member Guest OS full name Network Port neq Not-member Zone Name gt Contains Parent App Name lt Port Profile Name range Cluster Name Not-in-range Hypervisor Name Prefix
- 41. Построение правила Правило þ þ Условие Условие выбора выбора Действие источника назначения Условие Attribute Type Network VM Custom VM Attributes Network Attributes Operator Operator Instance Name IP Address eq member Guest OS full name Network Port neq Not-member Zone Name gt Contains Parent App Name lt Port Profile Name range Cluster Name Not-in-range Hypervisor Name Prefix
- 42. Пример – трехзвенная архитектура Оганизация A Организация B Разрешить доступ к Разрешить доступ к серверам приложений серверам баз данных только веб-серверам только серверам VLAN-X VLAN-Y через HTTP/HTTPS приложений Web! App! DB! Web! App! DB! Web! Server! App! Server! DB! Web! Server! App! Server! DB! server! server! Server! Server! server! Server! Server! server! Web-Zone App-Zone DB-Zone Открыть порты Открыть на Запретить 80 (HTTP) серверах весь и 443 (HTTPS) приложений только остальной веб-серверов порт 22 (SSH) трафик
- 43. Безопасность на всех уровнях vCenter Virtual Network Management Center (VNMC) Организация A Организация B VDC VDC vApp VSG VSG VSG vApp VSG Virtual ASA Virtual ASA vPath Nexus 1000V vSphere
- 44. Выводы • Распространить традиционные сетевые сервисы на виртуализованные вычисления реально • vPath – основа виртуализованных сетевых сервисов Перенаправление трафика Поддержка модели «коммерческий ЦОД» • Виртуализованные сервисы сохраняют модель эксплуатации ЦОД vPath Nexus 1000V Hypervisor VNMC VSG
- 45. Спасибо! Просим Вас заполнить анкеты. Ваше мнение очень важно для нас!