Upload
cisco-russia
View
513
Download
1
Tags:
Embed Size (px)
DESCRIPTION
Citation preview
Коммутация и сервисы в виртуализированной вычислительной среде
Игорь Гиркин системный инженер-консультант нобярь 2013
© 2013 Cisco and/or its affiliates. All rights reserved.
Содержание
Интеграция виртуальных машин в сетевую инфраструктуру ЦОД Распределенный программный коммутатор Nexus 1000V
§ Гипервизоры § Сервисы § Облака
Управление и оркестрация
ИНТЕГРАЦИЯ ВИРТУАЛЬНЫХ МАШИН В СЕТЕВУЮ ИНФРАСТРУКТУРУ ЦОД
Виртуальные машины в традиционном ЦОД
Добавление уровня коммутации виртуальных машин
§ Виртуальный коммутатор внутри гипервизора
Виртуальный коммутатор управляется серверным администратором
§ Как правило интерфейс управления коммутатором упрощен
Нарушение границы применения политик
§ Вариант решения – разделение трафика виртуальных машин с помощью VLAN
Граница применения политик
Почему важно видеть трафик виртуальных машин?
Настроенные политики должны следовать за виртуальной машиной
Необходимо применять политики к локально коммутируемому трафику
Нужно сохранить модель эксплуатации и обеспечить непрерывную работу
Policy
Администратор серверов
Администратор сети
Администратор безопасности
Сетевое обеспечение виртуальных машин Варианты реализации в продуктах Cisco
Программная коммутация Cisco Nexus 1000V
Аппаратная коммутация Cisco UCS VM-FEX
Сетевой адаптер UCS VIC
Сервер Cisco UCS
Гипервизор Гипервизор
Cisco Nexus 1000V
Адаптер Сервер
Сеть UCS
Fabric Interconnect
РАСПРЕДЕЛЕННЫЙ ПРОГРАММНЫЙ КОММУТАТОР NEXUS 1000V
Программный коммутатор Nexus 1000V
Распределенный коммутатор для среды виртуализации § Доступен с 2009 года
Основан на NX-OS § Знакомый сетевым администраторам интерфейс управления § Широкий набор функций
Интегрируется с системой управления средой виртуализации § Разделение зон ответственности
…
Гипервизор Гипервизор Гипервизор
Компоненты коммутатора Nexus 1000V
Модульный коммутатор 2 супервизора+линейные карты
VSM: Virtual Supervisor Module VEM: Virtual Ethernet Module
Управление
L2 MO D E
L3 M O D E
VSM-1 VSM-2 VEM-1 VEM-2
VEM-N
Supervisor-1 Supervisor-2 Linecard-1 Linecard-2
Linecard-N … B
ack
plan
e
Cisco Nexus 1000V VEM
Cisco Nexus 1000V VEM
Cisco Nexus 1000V VEM
Cisco Nexus 1000V VSM
Server Server Server
Распределенное поле коммутации
VM VM VM VM VM VM VM VM VM VM VM VM
Доступные функции
Коммутация § L2 Switching, 802.1Q Tagging, VLAN/VXLAN Segmentation, Rate Limiting (TX) § IGMP Snooping, QoS Marking (COS & DSCP), Class-based WFQ
Безопасность § Policy Mobility, Private VLANs w/ local PVLAN Enforcement § Access Control Lists (L2–4 w/ Redirect), Port Security, ACL Logging § Dynamic ARP inspection, IP Source Guard, DHCP Snooping
Установка § Automated Config, Port Profiles, VI Manager Integration § Optimised NIC Teaming with Virtual Port Channel – Host Mode
Мониторинг § NetFlow v.9 w/ NDE, CDP v.2 § VM-Level Interface Statistics § SPAN & ERSPAN (policy-based)
Высокая доступность § Process isolation § Process restartability § Supervisor stateful switchover
Сетевые сервисы § Virtual Services Datapath (vPath) support for traffic steering & fast-path off-load
Управление § DCNM § Cisco CLI, Radius, TACACs, Syslog, SNMP (v.1, 2, 3) § Hitless upgrade, SW Installer
Лицензионная политика Nexus 1000V
Nexus 1000V Essential Edition Nexus 1000V Advanced Edition
• VLAN, VXLAN, ACL, QoS • vPath • LACP • Multicast • Netflow, ERSPAN • Management
• Весь функционал Essential Edition
• Шлюз безопасности VSG • Cisco TrustSec SGA
• CISF: DHCP snooping, IP Source Guard, ARP Inspection
• Будущие разработки
Виртуальный коммутатор с функциональностью физического Дополнительный набор функций для ЦОД
Бесплатная версия Лицензируемая функциональность
Развитие сетевой виртуализации
MULTI-PLATFORM
MULTI-SERVICE
MULTI-CLOUD
MULTI-PLATFORM
MULTI-SERVICE
MULTI-CLOUD
Nexus 1100 Virtual Appliance
vWAAS VSG VSM NAM
Экосистема Cisco Nexus 1000
VSM: Virtual Supervisor Module
VEM: Virtual Ethernet Module
vPath: Virtual Service Data-path
VXLAN: Scalable Segmentation VSG: Virtual Security Gateway
vWAAS: Virtual WAAS
ASA 1000V: Adaptive Security Appliance
Virtual Service Blades Virtual Supervisor Module (VSM) Network Analysis Module (NAM) Virtual Security Gateway (VSG) Data Center Network Manager (DCNM)
VEM
Win Server 2012
vPath VXLAN
ASA 1000V
L3 C
onne
ctiv
ity
VEM
Open Source Hyp
vPath VXLAN VEM
VMware ESX
vPath VXLAN
VSM VSG Imperva
SecureSphere WAF
NetScaler 1000V
NetScaler 1000V
VXLAN GW
Экосистема Cisco Nexus 1000
Виртуальное частное облако
Nexus 1000V InterCloud
Частное облако Публичное облако
Nexus 1100 Virtual Appliance
vWAAS VSG VSM NAM
VSM: Virtual Supervisor Module
VEM: Virtual Ethernet Module
vPath: Virtual Service Data-path
VXLAN: Scalable Segmentation
VSG: Virtual Security Gateway
vWAAS: Virtual WAAS
ASA 1000V: Adaptive Security Appliance
Virtual Service Blades Virtual Supervisor Module (VSM) Network Analysis Module (NAM) Virtual Security Gateway (VSG) Data Center Network Manager (DCNM)
VEM
Win Server 2012
vPath VXLAN
ASA 1000V L3
Con
nect
ivity
VEM
Open Source Hyp
vPath VXLAN VEM
VMware ESX
vPath VXLAN
VSM VSG Imperva
SecureSphere WAF
NetScaler 1000V
NetScaler 1000V
Cisco Nexus 1000V VEM
Cisco Nexus 1000V VEM
Cisco Nexus 1000V VEM
Cisco Nexus 1000V VSM
System Center 2012 Virtual Machine Manager
Windows Server Hyper-V Windows Server Hyper-V Windows Server Hyper-V
Server Server Server
Распределенный коммутатор Cisco Nexus 1000V для Microsoft Windows 2012 Hyper-V
VM VM VM VM VM VM VM VM VM VM VM VM
Cisco Nexus 1000V for Hyper-V Операционная модель
Сетевые политики синхронизируются SCVMM
Добавляет хосты в распределенный коммутатор Настраивает сетевое подключение VM
Иноформация о политике и VM передается на VEM
Nexus 1000V VEM
Nexus 1000V VSM
Hyper-V
SCVMM
VM VM VM VM
Администратор сети
Создает сетевые политики
Администратор серверов
Распределенный коммутатор Cisco Nexus 1000V для OpenStack
Cisco Nexus 1000V VEM
Cisco Nexus 1000V VEM
Cisco Nexus 1000V VEM
KVM KVM KVM Server Server Server
VM VM VM VM VM VM VM VM VM VM VM VM
Cisco Nexus 1000V VSM
Сервисы
Подключаемые модули для управления
Nexus 1000V Restfull, OpenStack Powershell, Netconf
Предоставление сервисов и их оркестрация
Orchestration Infrastructure Provisioning
Tenant Provisioning (OpenStack)
MULTI-PLATFORM
MULTI-SERVICE
MULTI-CLOUD
Универсальная инфраструктура
Виртуальная
Физическая Облачная
Безопасность внутри сегмента
Безопасность на границе сегмента
Ускорение отклика
приложений
Маршрутизация и протокольные
шлюзы
Безопасность web-
приложений
Балансировка нагрузки
Внедрение сервисов для виртуализированных приложений
Гипервизор
Физическое устройство
Виртуальные контексты
VLANs
App Server
Database Server
Web Server
Направить трафик с помощью VLAN на внешнее сервисное устройство
Virtual Service Nodes
VSN
Гипервизор
App Server
Database Server
Web Server
Внедрить в гипервизор сервисное устройство Virtual Service Node (VSN)
Сервисы для виртуализированных вычислений
Экосистема виртуализированных сервисов Layer 4-7 Прозрачная интеграция сервисов с технологией vPath Поддержка разных гипервизоров
Nexus 1000V VSG ASA 1000V vWAAS CSR 1000V vNAM Partner Services
• Распределенный коммутатор
• Привычные инструменты - NX-OS
• Зональный, прозрачный МСЭ
• Контроль доступа для VM
• МСЭ на периметре, VPN
• Инспекция протоколов
• Оптимизация трафика WAN в виртуальной и физической сетях
• Облачный маршрутизатор
• Маршрутизация и безопасность
• Анализ трафика виртуальных машин на всех уровнях L2-L7
• Citrix NetScaler 1000V
• Imperva Web Application FW
Nexus 1000V
vPath
Any Hypervisor
VM VM VM
Cisco Cloud Network Services (CNS) Citrix
NetScaler 1000V
Prime virtual NAM
Imperva SecureSphere
WAF
Virtual Security Gateway
ASA 1000V
Virtual WAAS
Cloud Services Router 1000V
Сервисы
Any Hypervisor
Nexus 1000V vPath
Механизм vPath
Компонента Nexus 1000V VEM Перехват и перенаправление трафика согласно настроенным политикам Поддержка цепи сервисного обслуживания Загрузка результата политики в виртуальный коммутатор Поддержка живой миграции машин Масштабируемая архитектура
Включение сервисов на основе политик
Цепь сервисного обслуживания
DB Tier
VM
VM VM
Web Tier
OS
OS OS
APP
APP APP
Клиент открывает соединение с веб-сервером (Server IP=VIP)
Client › LB-VIP 1
1
Cisco VEM
vPath
Cisco VEM
vPath
Citrix NetScaler
1000V
Imperva SecureSphere
WAF
Virtual Security Gateway
Цепь сервисного обслуживания
DB Tier
VM
VM VM
Web Tier
OS
OS OS
APP
APP APP
Балансировщик выбирает виртуальную машину Web Server 1
Client › S1 2
2
Cisco VEM
vPath
Cisco VEM
vPath
Citrix NetScaler
1000V
Imperva SecureSphere
WAF
Virtual Security Gateway
Цепь сервисного обслуживания
DB Tier
VM
VM VM
Web Tier
OS
OS OS
APP
APP APP
vPath перенаправляет согласно политике трафик на зональный МСЭ 3
3
Cisco VEM
vPath
Cisco VEM
vPath
Citrix NetScaler
1000V
Imperva SecureSphere
WAF
Virtual Security Gateway
Цепь сервисного обслуживания
DB Tier
VM
VM VM
Web Tier
OS
OS OS
APP
APP APP
Трафик возвращается на Virtual Ethernet Module 4
4
Cisco VEM
vPath
Cisco VEM
vPath
Citrix NetScaler
1000V
Imperva SecureSphere
WAF
Virtual Security Gateway
Цепь сервисного обслуживания
DB Tier
VM
VM VM
Web Tier
OS
OS OS
APP
APP APP
МСЭ прикладного уровня инспектирует пакеты для защиты от атак на уровне L7 5
5
Cisco VEM
vPath
Cisco VEM
vPath
Citrix NetScaler
1000V
Imperva SecureSphere
WAF
Virtual Security Gateway
Цепь сервисного обслуживания
DB Tier
VM
VM VM
Web Tier
OS
OS OS
APP
APP APP
5
vPath передает пакет виртуальной машине Web Server 6
6
Cisco VEM
vPath
Cisco VEM
vPath
Citrix NetScaler
1000V
Imperva SecureSphere
WAF
Virtual Security Gateway
Цепь сервисного обслуживания
DB Tier
VM
VM VM
Web Tier
OS
OS OS
APP
APP APP
Cisco VEM
vPath
7Cisco VEM
vPath
Политика безопасности зоны БД 7
Citrix NetScaler
1000V
Imperva SecureSphere
WAF
Virtual Security Gateway
Цепь сервисного обслуживания
DB Tier
VM
VM VM
Web Tier
OS
OS OS
APP
APP APP
Cisco VEM
vPath 8
Cisco VEM
vPath
Citrix NetScaler
1000V
Imperva SecureSphere
WAF
Virtual Security Gateway
Регламентируемое политиками чередование сервисов
Цепь сервисного обслуживания
DB Tier
VM
VM VM
Web Tier
OS
OS OS
APP
APP APP
Cisco VEM
vPath 8
Cisco VEM
vPath
Разрешить доступ к виртуальной машине DB Server 8
Citrix NetScaler
1000V
Imperva SecureSphere
WAF
Virtual Security Gateway
Аппаратная платформа виртуализированных сервисов
Выделенное устройство для размещения виртуальных модулей Предоставление ресурсов по требованию Команда сетевых администраторов полностью управляет сервисами
Cisco Nexus 1100 Cloud Services Platform
VSM = Virtual Supervisor Module DCNM = Data Center Mgt. Center
Nexus 1000V
vPath
Any Hypervisor
VM VM VM
Cisco Cloud Network Services (CNS) Citrix
NetScaler 1000V
Prime virtual NAM
Imperva SecureSphere
WAF
Virtual Security Gateway
Nexus 1100 Cloud Services Platform
VSM VSM DCNM
VXLAN Gateway
Модели Cisco Nexus 1100 CSP
Nexus 1100-X Nexus 1100-S
Базовая модель сервера Cisco UCS
C220 M3 C220 M3
Процессор 2x E5-2650 2x E5-2650
Объем ОЗУ 64GB 32GB
Объем дисков 4TB 2TB
Сетевые интерфейсы 6x 1GE, 2x 10GE 6x 1GE
Количество виртуальных модулей
10 6
Управление доставкой контента
Контроллер Citrix в виртуальном форм-факторе Поставляется и поддерживается только через канал Cisco Интегрируется с vPath Поддерживается на хосте виртуализации и Cisco Nexus 1100
Cisco NetScaler 1000V
Web Servers Internet
Citrix NetScaler
1000V
Преимущества использования vPath для SLB
Традиционный подход
Source NAT (SNAT) – скрывает адрес источника Policy Based Routing (PBR) – сложно Inline ADC – узкое горлышко
С ипользованием vPath
Сохранение Source IP – vPath направляет возвратный трафик на SLB Легкое внедрение – не зависит от физической топологии Встраиваение в цепь сервисов Оптимальная загрузка SLB только нужным трафиком Легкое внедрение для трафика east-west
Защита трафика Web-приложений Imperva Web Application Firewall
SecureSphere WAF on Cisco Nexus 1100
HTTP
HTTPS
SQL Injection
XSS Site Scraping
Web Fraud
Web Servers Firewall Internet Hacker and Bots
Гипервизор
vSwitch
VPC/vDC OS
App
OS
App
CSR 1000V
RP FP
Маршрутизатор облачных сред
Версия Cisco IOS XE с функциями для облачных инфраструктур § Routing, QoS, NAT, Firewall, AppNav, AVC, OTV, LISP, VPN, …
Шлюз для виртуального частного облака § Невысокие требования, оптимальная производительность
Прозрачен для инфраструктуры § Серверы, коммутаторы, гипервизоры (ESXi, KVM, Xen)
Временные и постоянные лицензии § Плавный рост производительности § 60-дневный пробный период
Оптимизирован для управления § CSR 1000V RESTful API § Cisco IOS CLI и SNMP
Cisco Cloud Services Router 1000v
MULTI-PLATFORM
MULTI-SERVICE
MULTI-CLOUD
Мир движется к гибридным облакам
Hybrid Cloud 45%
Источник: Gartner (February 2012)
Program Unique APIs
Convert Image Format
Reconfigure Application
Insert Custom Tools
Recreate Services
Validate Operations
Onboard New Monitoring
Use Cloud Provisioning
Identify New Security
Translate Policies
Необходимость в гибридном облаке
Enterprise Cloud
VM VM VM VM
Provider Cloud
Миграция приложений Разработка приложений
Всплески потребления ресурсов Катастрофоустойчивость
Program Unique APIs
Convert Image Format
Reconfigure Application
Insert Custom Tools
Recreate Services
Validate Operations
Onboard New Monitoring
Use Cloud Provisioning
Identify New Security
Translate Policies
Продолжение корпоративного ЦОД в облако провайдера Nexus 1000V InterCloud
Enterprise Cloud
VM VM VM VM
Provider Cloud
Безопасно Удобно
Защищенное подключение и унифицированные политики
Миграция машин, централизация управления ресурсами
Cisco Prime Network Services Controller – eдиный пульт управления миграцией
виртуальных машин
Nexus 1000V InterCloud
VM VM VM VM Коммутация
Анализ
Оптимизация
Безопасность
УПРАВЛЕНИЕ И ОРКЕСТРАЦИЯ
Обеспечение традиционной модели управления в ЦОД
Новое имя для Virtual Network Management Center Управление множеством устройств на основе ролей Настройка устройств в соответствии с политиками Поддержка дерева оргструктур и делегирование полномочий по управлению Интеграция в корпоративные системы управления
Cisco Prime Network Services Controller
Администратор серверов
Администратор сети
Администратор безопасности
VI Manager
Cisco PNSC
Cisco Nexus
1000V
Разделение обязанностей в виртуализированном ЦОД
Администратор серверов Администратор сети Nexus 1000V
Администратор безопасности PNSC
• Создает VM • Назначает Port Group виртуальному vNIC
• Настраивает VSM • Создает дерево оргструктур • Определяет конфигурации устройств • Определяет экземпляры VSG/ASA1000V и связывает с ними конфигурации устройств
• Создает шаблон описания порта port-profile
• Определяет зоны безопасности • Создает политики безопасности на основе зон и атрибутов • Создает шаблоны безопасности security-profile • Назначает политики безопасности шаблонам безопасности
• Связывает шаблон безопасности security-profile с шаблоном порта port-profile
vNIC
VM
VSM ASA 1000V/VSG
port-profile web-server
security profile policy set
policy rule
Tenant 1
Root
Автоматизация и оркестрация
Функционал из коробки § Установка гипервизора на серверы § Добавление хостов виртуализации к Nexus 1000V § Настройка шаблонов описания портов, ACL,
VXLAN, QoS Портал самообслуживания Открытый API
Cisco UCS Director и Cisco Nexus 1000V
VM VM VM VM
Nexus 1000V VEM
Nexus 1000V
VSM
VM VM VM VM
Nexus 1000V VEM
VI Manager
UCS Director
Inter Cloud
Private Cloud
Hybrid Cloud
Virtualization
Public Cloud
В заключение
Требования пользователей: § Сохранить традиционную модель эксплуатации ЦОД
§ Обеспечить свободу выбора платформы гипервизора
§ Предоставить сетевые сервисы Стратегия развития Nexus 1000V:
§ multi-hypervisor § multi-service § multi-cloud
© 2013 Cisco and/or its affiliates. All rights reserved.
Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас.
Спасибо
Контактная иформация: Игорь Гиркин [email protected]
CiscoRu Cisco CiscoRussia
#CiscoConnectRu