보안과개방형혁신을 동시에잡는 IBM Cloud Private · 2017-11-15 · © 2017 IBM Corporation 박경미팀장 Technical Sales Leader IBM Hybrid Cloud 보안과개방형혁신을

© 2017 IBM Corporation

박경미 팀장Technical Sales LeaderIBM Hybrid Cloud

보안과 개방형 혁신을동시에 잡는IBM Cloud Private

© 2017 IBM Corporation 2Page

Private Cloud 시장 현황


Private Cloud 시장에 대한 예측Wikibon Research에따르면,• 2026 년까지 True Private Cloud 시장은 $237억으로성장할것으로전망

연평균성장률 (CAGR) 33.7 %


최근 한국IBM이 국내 한 매체사와 함께 진행한 기업 고객 370명을대상으로 조사한 클라우드 도입 현황 및 전망 조사에 따르면,

62%+2017년 대비 2020년 프라이빗 클라우드 형태로 IT 인프라를 운영, 이용할 것으로 전망하는 응답 비율 (현재 73명 향후 118명)

응답자의 32%가 향후 3년내 프라이빗 클라우드를 운영, 이용할 것으로답변

Private Cloud 시장에 대한 예측


Why the world needs private clouds


Private Cloud에 대한 니즈

애플리케이션에클라우드효율성을활용하고자하는금융기관. 하지만, 정부규제에의해데이타를국내에두어야함.

클라우드로옮기거나새로개발해야할앱이 10 – 15개파이프라인에추가된항공사. 이앱은운영에배포되어수천명의사용자가사용하게되어

미터링가시성및엔터프라이즈급의관리가필요함.


At the End of the Day—the Private Cloud is Still a Cloud

Risk #1: Security BreachesRisk #2: Performance ProblemsRisk #3: Expertise and Learning CurveRisk #4: Lack of VisibilityRisk #5: Limited ScaleRisk #6: Limited ServicesRisk #7: Data Loss

Private Cloud 프로젝트에서 고려해야하는 리스크

출처> https://www.ixiacom.com/resources/private-cloud-7-major-risks-you-may-not-know-about


클라우드 환경을 위한오픈소스 기술


클라우드 환경을 위한 오픈소스 기술의 성숙


Everybody Loves Containers


Ship More Software

App Portability

Resource Efficiency

환경설정의어려움을제거하고환경간의차이점을다루어개발, CI 및 CD 파이프라인을가속화합니다. 평균적으로 Docker 사용자는소프트웨어를 7 배더자주출하(Ship)합니다.

경량컨테이너는단일컴퓨터에서실행되며동일한 OS 커널을공유하면서,이미지는공통파일을공유하는계층화된파일시스템구조로 RAM 및디스크를효율적으로사용하고또한즉시시작할수있도록가볍습니다.

격리된컨테이너는애플리케이션, 종속성및구성/설정을함께패키지합니다. 이러한컨테이너는환경및인프라를 seamless하게이동할수있게합니다.

왜 Container인가?


More to Containers than just Docker

Container Engine

Container Orchestration

PaaS

Serverless

Swarm/

Swarm Mode


모두의컨테이너여행은하나의컨테이너로시작됩니다 ....


처음에는확장이쉽습니다 ....


그러나, 곧많은애플리케이션과인스턴스로늘어납니다 ...


때로는 예상대로 가지 않는 경우가 있습니다.


이것이오케스트레이션이필요한이유입니다.


Kubernetes가 오케스트레이션 플랫폼에 대한선호도 조사에서 가장 높음

In conjunction with CloudNativeCon + KubeCon Europe (March 29-30, 2017), the Cloud Native Computing Foundation (CNCF) conducted a survey of our attendees.


IBM Cloud Private신규 발표


퍼블릭클라우드의파워를방화벽내부의기업데이터센터로확장 !

컨테이너, 마이크로서비스, 오픈소스기반클라우드네이티브앱개발은물론기존방식의앱을현대화! 완벽한하이브리드환경지원 (Private Cloud 구축및 Public Cloud 통합)!

엔터프라이즈를 위한 신개념 클라우드, IBM Cloud Private



공통 서비스

(플랫폼 운영 관리)

Cloud Foundry

IBM Middleware, Data

& Analytics Services

Kubernetes 기반의

컨테이너 플랫폼Cloud Automation Manager


기존투자 활용및유연하게환경선택

벤더종속성을배제한Open by design

고객의하이브리드 IT

환경을포괄하는엔터프라이즈등급의운영

미들웨어, 데이터, 분석,

DevOps를 위한엔터프라이즈등급서비스

IBM 미들웨어, 데이터, 분석및개발서비스신속하게혁신해가면서현재의투자를최적화할수 있는, Cloud

enabled 미들웨어, 메시징, 데이터베이스, 분석및 코그너티브서비스

코어운영서비스운영관리, 보안및 하이브리드통합을단순화

멀티클라우드환경에 걸쳐인프라및 application을 provision

Kubernetes 기반컨테이너플랫폼

private, dedicated 및 public

클라우드에걸친 업계 선두의컨테이너 orchestration 플랫폼

Cloud Foundry

prescribed app 개발및 배포

기존인프라및 IaaS상에서실행: System Z IBM

Spectrum

Third Party 연계: Dell Cisco NetApp Lenovo Canonical …

CMS

DevOpsOpen

Source



IBM Cloud Private 기능


• Reuse existing infrastructure• IBM Data Center transformation to a proven

VMware SDDC architecture• IBM Managed Services• IBM Storage including optimization for

container-based workloads

• Automation & Infrastructure-as-Code

ICP Cloud Automation Manager(Terraform, Chef)

• Containers & Orchestration

ICP with Kubernetes

• Cloud Foundry

ICP with Cloud Foundry

• Function-as-a-Service

ICP with OpenWhisk

• IBM API Connect- Containerized on ICP - Open Standards

• ICP Catalog- Helm Charts- Patterns- Cloud Foundry

Services

• IBM Supported Languages & Frameworks- Container Images & Buildpacks for Java, Node, Swift. .Net- Frameworks: Spring, JEE, Mobile, Many Node & Reactive

• IBM DevOps Tools + Open Source- Urban Code Release/Deploy- Cloud Automation Manager- Containerized on ICP

• ICP-based Management- For

Containers &Cloud Foundry

- Metrics- Common

Opsfunctions

- Identity, RBAC &Policies

• ICP Common Services- Monitoring: Prometheus, Grafana- Logging: ELK- IAM: Built-in + Federation to Enterprise- Metering: Product insights- Key Management: Vault

IBM Cloud Private의 기능


카탈로그 관리애플리케이션 패키지를 빠르게 검색하고 클릭하여 설치할 수 있도록 하는 카탈로그로, 기본 제공되는

서비스 외에도 커뮤니티 카탈로그를 추가하여 다수의 패키지 추가

• 대시보드의 메뉴인 Catalog에서애플리케이션 패키지를 선택하여빠르게 배포

• IBM /오픈소스 서비스를 다양하게 제공

• Helm 기반의 애플리케이션 패키지관리

• Helm 커뮤니티 카탈로그를 추가하여다양한 Kubernetes 애플리케이션패키지 추가

* Helm : Kubernetes 네이티브 패키지 관리 시스템


IAM(Identity & Access Management)

Manage Groups

Identity ManagementManage

ServiceIDsManage

Users

Manage Credentials

ServiceAuthentication

Authentication ManagementUser

Authentication

Identity Federation

Policy Decision

Access Management

Policy EnforcementCRN

ManagementToken

Management

User Interfaces, APIs, CLIs

ICP Identity Service

KubernetesIntegration

Enterprise Directory

Manage Teams

Manage LDAP

Policy Administration

login success OAuth2 tokenRole based access on resources represented via CRNs

Private Cloud Identity and Access Management


미터링미터링 서비스를 통해 컨테이너별, 클러스터 노드별 사용량을 확인


Deployment 관리 및 Scaling

• 중지된 Deployment 자동재개

✓ Pod의개수는설정된 replica level에맞도록자동조정됨

• Deployment 수정을통한수동 Scale

✓ Deployment의 JSON 파일수정시rollout이시작됨

✓ Instance의 scale-in/out

• Deployment 삭제

✓ 불필요한 Deployment 삭제시해당오브젝트하위의모든항목 (replica sets, pods, services)이삭제됨

권한이있는사용자가대시보드에서생성한 Deployment 업데이트, 모니터링및관리

Deployment에대한관리수행

JSON을직접 edit하여수정


멀티 테넌시- One cloud, isolation across teams

QuotasCategories you can set

quotes in a

namespace:

• Compute

• Storage

• Object count (pods,

services, pvc, …)

• Scope

Namespace 1 Users: Quotas:

Kubernetes Cloud

Namespace 2 Users: Quotas:

kube-system Users: Quotas:Objects created by the Kubernetes system

Pod 1

Service 110.4.5.6

VolumePod 2 Pod 3

Service 210.4.5.7

VolumePod 4

Master Nodes

Master Nodes

Master Nodes

Master Nodes

Master Nodes

Proxy Nodes

Master Nodes

Master Nodes

Worker Nodes


IBM Cloud Automation Manager

• 다양한클라우드에서일관되게인프라및애플리케이션스택의 를자동화및표준화

• 복잡한환경을쉽게구성하여 툴체인을통해액세스하거나셀프서비스카탈로그에올릴수있는클라우드서비스로구성

• 여러클라우드에서워크로드및서비스인스턴스수명주기관리

• 벤더종속을피하기위한오픈소스기술로구축

Deployment & Process Orchestration

Flow Engine

3rd Party Integrations

Service Composer

Template Management

Template Library

Terraform

Instance Management

Workload

Service

IaaS Management & Common Services

Cloud Automation Manager

RES

T A

PI

Op

en Service B

roker

IBM Cloud

Private

Bare metal, VMs, cloud services

IBM Cloud


• Containerized cloud native 애플리케이션

• Helm chart를이용하여 IBM Cloud Private worker node 에설치됨

IBM Cloud Private

Core Services

LoggingIAM

Encryption & Key Management

API & Data Connect

UsageMetering

Monitoring

Event

Audit

Data & Analytics Services

Databases Analytics

Tenant Svcs

Kubernetes

InfrastructureSelf-

service catalog

Cloud Automation Manager

Workload Automation

Service Composition & Orchestration

Instance Management

Multi-cloud management servicesTem

pla

te L

ibra

ry

Multi-cloudInfrastructure

CAM

IBM Cloud Automation Manager


모니터링

• IBM Cloud Private 모니터링대시보드를 통해 클러스터와애플리케이션의 상태를모니터링

노드상태, 스토리지및Application의 deploy 현황

CPU, Memory,GPU 현황


모니터링

• IBM Cloud Private 모니터링대시보드를 통해 클러스터와애플리케이션의 상태를모니터링

• Grafana와 Prometheus를사용하여 클러스터 노드와컨테이너에 대한 상세 데이터표시

• ConfigMaps을 활용하여AlertManager 로 알람 전송


로깅

• ELK (Elasticsearch, Logstash, Kibana)는 로그를 스트림, 저장,검색하는 데에 사용할 수 있는도구의 스택으로 구성되어 있음.

• 시스템 로그를 위해 ELK 스택사용

• 애플리케이션 로그를 위해카탈로그에서 추가 ELK 스택배포

• ELK 스택이 디폴트로 지원은되며, 사용자의 필요에 따라다른 로깅 솔루션 사용 가능


Private Image Repository

• Bundled ImagesDocker 이미지를번들에서 Private 레지스트리로가져오거나 (import), 노드전체에배포할 Docker 이미지를가져옴.

• Secure Access개발자가신뢰할수있고승인된이미지로부터작업할수있도록승인한이미지만추가.

kubectl get serviceaccounts default -o json | jq

'del(.metadata.resourceVersion)' | jq

'setpath(["imagePullSecrets"];[{"name":"admin.registrykey"}])'

| kubectl replace serviceaccount default -f -

Command so all deploying pods can access private image repo

Docker 이미지를위한내부저장소


이미지의 보안: Vulnerability Advisor

• 정책 위반

• 취약점이 발견된 패키지

• 보안 misconfigurations

• 베스트 프랙티스

• 배포에 대한 관리 제어

• Live 컨테이너 스캐닝

• IBM X-Force와의 통합

Vulnerability Advisor는레지스트리에저장된이미지를스캔하여컨테이너이미지의보안준수여부를확인


IBM Cloud Private적용 오퍼링


클라우드를통해다음과같은비즈니스도전과제를해결하고싶으신가요?

신규클라우드네이티브앱개발내장된마이크로서비스, 런타임, 컨테이너 , 쿠버네티스오케스트레이션과통합된관리

클라우드기반으로기존앱현대화기존애플리케이션을클라우드로마이그레이션하거나재설계하여신규개발및어플리케이션워크로드모델에사용

내부데이터센터와클라우드서비스를안전하게연계사내데이터를보호함과동시에활용하고활용하며외부에서안전하게사용하도록연계



IBM Cloud Private 오퍼링Community

The Community Edition is limited to 1 Master Node, and is for non-production use.

Use CaseCreate cloud-native applications in a non-production environment

Platform

• Kubernetes

• Core services (Security, logging,

monitoring, etc)

• Catalog of containerized content

Freely available in Docker Store

Use CaseCreate cloud-native applications in a non-production environment

Platform

• Kubernetes


monitoring, etc)


Use Case• Modernize and optimize existing

applications

• Open enterprise data centers

Platform

• Kubernetes


monitoring, etc)


Cloud Native Enterprise

IBM Enterprise Software

• Microservice Builder

• WebSphere Liberty

• IBM SDK for node.js

• Cloud Automation Manager

IBM Enterprise Software

• Everything in Cloud Native, plus:

+ WAS ND

+ MQ Advanced

+ API Connect Professional

+ Db2 Direct Advanced (separate PN)

+ UrbanCode Deploy (separate PN)

Cloud Foundry (Optional add-on) Cloud Foundry (Optional add-on)


IBM의 오픈소스에 대한지속적인 리더십IBM Cloud Private에 적극 적용


오픈 소스에 대한 IBM의 리더십 강화와IBM Cloud Private에 적용

Open Liberty ProjectOpen source runtime for Java Microservices

http://openliberty.io

Java EE 7

Servlet

CDI

EJB

JAX-RS

Servlet

CDI

EJB

JAX-RS

Servlet

CDI

EJB

JAX-RS

Eclipse License

Docker

Support upgrade

MicroProfile

http://grafeas.io/


오픈 소스에 대한 IBM의 리더십 강화와IBM Cloud Private에 적용

Istioopen platform to connect, manage, and secure microservices - Service Meshhttp://istio.io

A network for services, not bytes • Visibility • Resiliency & Efficiency • Traffic Control • Security • Policy Enforcement

http://istio.io/


IBM Cloud Private 활용 예시


IBM Cloud Private의 활용 예시컨테이너를활용한효과적인DevOps환경

CI/CD 연계를 통한컨테이너 기반워크로드의 빌드/배포 및운영

Build Run

Store

효율적인GPU공유솔루션 : Spectrum LSF

고가의 GPU들을효율적으로 공유하여활용률을 높이는Spectrum LSF 를 위한컨테이너 환경을 제공

Spark 분산컴퓨팅을위한플랫폼제공

분산 시스템 처리를 위한Spark 컴퓨팅 아키텍처활용시 노드 장애 및오류에 따른 서비스 중단에대응하기 위하여 IBM Cloud Private을 통해고가용성 유지

마이크로서비스환경대응

대부분의 응용 프로그램을계속 실행하면서 마이크로서비스의 문제 / 오류 / 가동중지 시간을 격리 및 해결


Why IBM Cloud Private


IBM Cloud Private의 차별점

Choice with Consistency

Enterprise Content Innovation Platform

Integration and Management

Multi-cloud

Management

Best Practices and Guidance


IBM Cloud Private 참조 아키텍처https://www.ibm.com/devops/method/content/architecture/private-cloud


바로시작해보십시오

Learn more and try the

IBM Cloud Private

Community Edition

http://ibm.biz/IBMCloudPrivate

http://ibm.biz/IBMCloudPrivate


감사합니다

Documents

보안과개방형혁신을 동시에잡는 IBM Cloud Private · 2017-11-15 · © 2017 IBM Corporation 박경미팀장 Technical Sales Leader IBM Hybrid Cloud 보안과개방형혁신을