Коммутация и сервисы в виртуализированной вычислительной среде

Коммутация и сервисы в виртуализированной вычислительной среде

Игорь Гиркин системный инженер-консультант нобярь 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

Содержание

Интеграция виртуальных машин в сетевую инфраструктуру ЦОД Распределенный программный коммутатор Nexus 1000V

§  Гипервизоры §  Сервисы §  Облака

Управление и оркестрация

ИНТЕГРАЦИЯ ВИРТУАЛЬНЫХ МАШИН В СЕТЕВУЮ ИНФРАСТРУКТУРУ ЦОД

Виртуальные машины в традиционном ЦОД

Добавление уровня коммутации виртуальных машин

§  Виртуальный коммутатор внутри гипервизора

Виртуальный коммутатор управляется серверным администратором

§  Как правило интерфейс управления коммутатором упрощен

Нарушение границы применения политик

§  Вариант решения – разделение трафика виртуальных машин с помощью VLAN

Граница применения политик

Почему важно видеть трафик виртуальных машин?

Настроенные политики должны следовать за виртуальной машиной

Необходимо применять политики к локально коммутируемому трафику

Нужно сохранить модель эксплуатации и обеспечить непрерывную работу

Policy

Администратор серверов

Администратор сети

Администратор безопасности

Сетевое обеспечение виртуальных машин Варианты реализации в продуктах Cisco

Программная коммутация Cisco Nexus 1000V

Аппаратная коммутация Cisco UCS VM-FEX

Сетевой адаптер UCS VIC

Сервер Cisco UCS

Гипервизор Гипервизор

Cisco Nexus 1000V

Адаптер Сервер

Сеть UCS

Fabric Interconnect

РАСПРЕДЕЛЕННЫЙ ПРОГРАММНЫЙ КОММУТАТОР NEXUS 1000V

Программный коммутатор Nexus 1000V

Распределенный коммутатор для среды виртуализации §  Доступен с 2009 года

Основан на NX-OS §  Знакомый сетевым администраторам интерфейс управления §  Широкий набор функций

Интегрируется с системой управления средой виртуализации §  Разделение зон ответственности

…

Гипервизор Гипервизор Гипервизор

Компоненты коммутатора Nexus 1000V

Модульный коммутатор 2 супервизора+линейные карты

VSM: Virtual Supervisor Module VEM: Virtual Ethernet Module

Управление

L2 MO D E

L3 M O D E

VSM-1 VSM-2 VEM-1 VEM-2

VEM-N

Supervisor-1 Supervisor-2 Linecard-1 Linecard-2

Linecard-N … B

ack

plan

e

Cisco Nexus 1000V VEM



Cisco Nexus 1000V VSM

Server Server Server

Распределенное поле коммутации

VM VM VM VM VM VM VM VM VM VM VM VM

Доступные функции

Коммутация §  L2 Switching, 802.1Q Tagging, VLAN/VXLAN Segmentation, Rate Limiting (TX) §  IGMP Snooping, QoS Marking (COS & DSCP), Class-based WFQ

Безопасность §  Policy Mobility, Private VLANs w/ local PVLAN Enforcement §  Access Control Lists (L2–4 w/ Redirect), Port Security, ACL Logging §  Dynamic ARP inspection, IP Source Guard, DHCP Snooping

Установка §  Automated Config, Port Profiles, VI Manager Integration §  Optimised NIC Teaming with Virtual Port Channel – Host Mode

Мониторинг §  NetFlow v.9 w/ NDE, CDP v.2 §  VM-Level Interface Statistics §  SPAN & ERSPAN (policy-based)

Высокая доступность §  Process isolation §  Process restartability §  Supervisor stateful switchover

Сетевые сервисы §  Virtual Services Datapath (vPath) support for traffic steering & fast-path off-load

Управление §  DCNM §  Cisco CLI, Radius, TACACs, Syslog, SNMP (v.1, 2, 3) §  Hitless upgrade, SW Installer

Лицензионная политика Nexus 1000V

Nexus 1000V Essential Edition Nexus 1000V Advanced Edition

•  VLAN, VXLAN, ACL, QoS •  vPath •  LACP •  Multicast •  Netflow, ERSPAN •  Management

•  Весь функционал Essential Edition

•  Шлюз безопасности VSG •  Cisco TrustSec SGA

•  CISF: DHCP snooping, IP Source Guard, ARP Inspection

•  Будущие разработки

Виртуальный коммутатор с функциональностью физического Дополнительный набор функций для ЦОД

Бесплатная версия Лицензируемая функциональность

Развитие сетевой виртуализации

MULTI-PLATFORM

MULTI-SERVICE

MULTI-CLOUD

MULTI-PLATFORM

MULTI-SERVICE

MULTI-CLOUD

Nexus 1100 Virtual Appliance

vWAAS VSG VSM NAM

Экосистема Cisco Nexus 1000

VSM: Virtual Supervisor Module

VEM: Virtual Ethernet Module

vPath: Virtual Service Data-path

VXLAN: Scalable Segmentation VSG: Virtual Security Gateway

vWAAS: Virtual WAAS

ASA 1000V: Adaptive Security Appliance

Virtual Service Blades Virtual Supervisor Module (VSM) Network Analysis Module (NAM) Virtual Security Gateway (VSG) Data Center Network Manager (DCNM)

VEM

Win Server 2012

vPath VXLAN

ASA 1000V

L3 C

onne

ctiv

ity

VEM

Open Source Hyp

vPath VXLAN VEM

VMware ESX

vPath VXLAN

VSM VSG Imperva

SecureSphere WAF

NetScaler 1000V

NetScaler 1000V

VXLAN GW

Экосистема Cisco Nexus 1000

Виртуальное частное облако

Nexus 1000V InterCloud

Частное облако Публичное облако

Nexus 1100 Virtual Appliance

vWAAS VSG VSM NAM

VSM: Virtual Supervisor Module

VEM: Virtual Ethernet Module

vPath: Virtual Service Data-path

VXLAN: Scalable Segmentation

VSG: Virtual Security Gateway

vWAAS: Virtual WAAS

ASA 1000V: Adaptive Security Appliance

Virtual Service Blades Virtual Supervisor Module (VSM) Network Analysis Module (NAM) Virtual Security Gateway (VSG) Data Center Network Manager (DCNM)

VEM

Win Server 2012

vPath VXLAN

ASA 1000V L3

Con

nect

ivity

VEM

Open Source Hyp

vPath VXLAN VEM

VMware ESX

vPath VXLAN

VSM VSG Imperva

SecureSphere WAF

NetScaler 1000V

NetScaler 1000V





System Center 2012 Virtual Machine Manager

Windows Server Hyper-V Windows Server Hyper-V Windows Server Hyper-V

Server Server Server

Распределенный коммутатор Cisco Nexus 1000V для Microsoft Windows 2012 Hyper-V


Cisco Nexus 1000V for Hyper-V Операционная модель

Сетевые политики синхронизируются SCVMM

Добавляет хосты в распределенный коммутатор Настраивает сетевое подключение VM

Иноформация о политике и VM передается на VEM

Nexus 1000V VEM

Nexus 1000V VSM

Hyper-V

SCVMM

VM VM VM VM


Создает сетевые политики


Распределенный коммутатор Cisco Nexus 1000V для OpenStack




KVM KVM KVM Server Server Server



Сервисы

Подключаемые модули для управления

Nexus 1000V Restfull, OpenStack Powershell, Netconf

Предоставление сервисов и их оркестрация

Orchestration Infrastructure Provisioning

Tenant Provisioning (OpenStack)

MULTI-PLATFORM

MULTI-SERVICE

MULTI-CLOUD

Универсальная инфраструктура

Виртуальная

Физическая Облачная

Безопасность внутри сегмента

Безопасность на границе сегмента

Ускорение отклика

приложений

Маршрутизация и протокольные

шлюзы

Безопасность web-

приложений

Балансировка нагрузки

Внедрение сервисов для виртуализированных приложений

Гипервизор

Физическое устройство

Виртуальные контексты

VLANs

App Server

Database Server

Web Server

Направить трафик с помощью VLAN на внешнее сервисное устройство

Virtual Service Nodes

VSN


App Server

Database Server

Web Server

Внедрить в гипервизор сервисное устройство Virtual Service Node (VSN)

Сервисы для виртуализированных вычислений

Экосистема виртуализированных сервисов Layer 4-7 Прозрачная интеграция сервисов с технологией vPath Поддержка разных гипервизоров

Nexus 1000V VSG ASA 1000V vWAAS CSR 1000V vNAM Partner Services

•  Распределенный коммутатор

•  Привычные инструменты - NX-OS

•  Зональный, прозрачный МСЭ

•  Контроль доступа для VM

•  МСЭ на периметре, VPN

•  Инспекция протоколов

•  Оптимизация трафика WAN в виртуальной и физической сетях

•  Облачный маршрутизатор

•  Маршрутизация и безопасность

•  Анализ трафика виртуальных машин на всех уровнях L2-L7

•  Citrix NetScaler 1000V

•  Imperva Web Application FW

Nexus 1000V

vPath

Any Hypervisor

VM VM VM

Cisco Cloud Network Services (CNS) Citrix

NetScaler 1000V

Prime virtual NAM

Imperva SecureSphere

WAF

Virtual Security Gateway

ASA 1000V

Virtual WAAS

Cloud Services Router 1000V

Сервисы

Any Hypervisor

Nexus 1000V vPath

Механизм vPath

Компонента Nexus 1000V VEM Перехват и перенаправление трафика согласно настроенным политикам Поддержка цепи сервисного обслуживания Загрузка результата политики в виртуальный коммутатор Поддержка живой миграции машин Масштабируемая архитектура

Включение сервисов на основе политик

Цепь сервисного обслуживания

DB Tier

VM

VM VM

Web Tier

OS

OS OS

APP

APP APP

Клиент открывает соединение с веб-сервером (Server IP=VIP)

Client › LB-VIP 1

1

Cisco VEM

vPath

Cisco VEM

vPath

Citrix NetScaler

1000V


WAF



DB Tier

VM

VM VM

Web Tier

OS

OS OS

APP

APP APP

Балансировщик выбирает виртуальную машину Web Server 1

Client › S1 2

2

Cisco VEM

vPath

Cisco VEM

vPath

Citrix NetScaler

1000V


WAF



DB Tier

VM

VM VM

Web Tier

OS

OS OS

APP

APP APP

vPath перенаправляет согласно политике трафик на зональный МСЭ 3

3

Cisco VEM

vPath

Cisco VEM

vPath

Citrix NetScaler

1000V


WAF



DB Tier

VM

VM VM

Web Tier

OS

OS OS

APP

APP APP

Трафик возвращается на Virtual Ethernet Module 4

4

Cisco VEM

vPath

Cisco VEM

vPath

Citrix NetScaler

1000V


WAF



DB Tier

VM

VM VM

Web Tier

OS

OS OS

APP

APP APP

МСЭ прикладного уровня инспектирует пакеты для защиты от атак на уровне L7 5

5

Cisco VEM

vPath

Cisco VEM

vPath

Citrix NetScaler

1000V


WAF



DB Tier

VM

VM VM

Web Tier

OS

OS OS

APP

APP APP

5

vPath передает пакет виртуальной машине Web Server 6

6

Cisco VEM

vPath

Cisco VEM

vPath

Citrix NetScaler

1000V


WAF



DB Tier

VM

VM VM

Web Tier

OS

OS OS

APP

APP APP

Cisco VEM

vPath

7Cisco VEM

vPath

Политика безопасности зоны БД 7

Citrix NetScaler

1000V


WAF



DB Tier

VM

VM VM

Web Tier

OS

OS OS

APP

APP APP

Cisco VEM

vPath 8

Cisco VEM

vPath

Citrix NetScaler

1000V


WAF


Регламентируемое политиками чередование сервисов


DB Tier

VM

VM VM

Web Tier

OS

OS OS

APP

APP APP

Cisco VEM

vPath 8

Cisco VEM

vPath

Разрешить доступ к виртуальной машине DB Server 8

Citrix NetScaler

1000V


WAF


Аппаратная платформа виртуализированных сервисов

Выделенное устройство для размещения виртуальных модулей Предоставление ресурсов по требованию Команда сетевых администраторов полностью управляет сервисами

Cisco Nexus 1100 Cloud Services Platform

VSM = Virtual Supervisor Module DCNM = Data Center Mgt. Center

Nexus 1000V

vPath

Any Hypervisor

VM VM VM

Cisco Cloud Network Services (CNS) Citrix

NetScaler 1000V

Prime virtual NAM


WAF


Nexus 1100 Cloud Services Platform

VSM VSM DCNM

VXLAN Gateway

Модели Cisco Nexus 1100 CSP

Nexus 1100-X Nexus 1100-S

Базовая модель сервера Cisco UCS

C220 M3 C220 M3

Процессор 2x E5-2650 2x E5-2650

Объем ОЗУ 64GB 32GB

Объем дисков 4TB 2TB

Сетевые интерфейсы 6x 1GE, 2x 10GE 6x 1GE

Количество виртуальных модулей

10 6

Управление доставкой контента

Контроллер Citrix в виртуальном форм-факторе Поставляется и поддерживается только через канал Cisco Интегрируется с vPath Поддерживается на хосте виртуализации и Cisco Nexus 1100

Cisco NetScaler 1000V

Web Servers Internet

Citrix NetScaler

1000V

Преимущества использования vPath для SLB

Традиционный подход

Source NAT (SNAT) – скрывает адрес источника Policy Based Routing (PBR) – сложно Inline ADC – узкое горлышко

С ипользованием vPath

Сохранение Source IP – vPath направляет возвратный трафик на SLB Легкое внедрение – не зависит от физической топологии Встраиваение в цепь сервисов Оптимальная загрузка SLB только нужным трафиком Легкое внедрение для трафика east-west

Защита трафика Web-приложений Imperva Web Application Firewall

SecureSphere WAF on Cisco Nexus 1100

HTTP

HTTPS

SQL Injection

XSS Site Scraping

Web Fraud

Web Servers Firewall Internet Hacker and Bots


vSwitch

VPC/vDC OS

App

OS

App

CSR 1000V

RP FP

Маршрутизатор облачных сред

Версия Cisco IOS XE с функциями для облачных инфраструктур §  Routing, QoS, NAT, Firewall, AppNav, AVC, OTV, LISP, VPN, …

Шлюз для виртуального частного облака §  Невысокие требования, оптимальная производительность

Прозрачен для инфраструктуры §  Серверы, коммутаторы, гипервизоры (ESXi, KVM, Xen)

Временные и постоянные лицензии §  Плавный рост производительности §  60-дневный пробный период

Оптимизирован для управления §  CSR 1000V RESTful API §  Cisco IOS CLI и SNMP

Cisco Cloud Services Router 1000v

MULTI-PLATFORM

MULTI-SERVICE

MULTI-CLOUD

Мир движется к гибридным облакам

Hybrid Cloud 45%

Источник: Gartner (February 2012)

Program Unique APIs

Convert Image Format

Reconfigure Application

Insert Custom Tools

Recreate Services

Validate Operations

Onboard New Monitoring

Use Cloud Provisioning

Identify New Security

Translate Policies

Необходимость в гибридном облаке

Enterprise Cloud

VM VM VM VM

Provider Cloud

Миграция приложений Разработка приложений

Всплески потребления ресурсов Катастрофоустойчивость

Program Unique APIs

Convert Image Format

Reconfigure Application

Insert Custom Tools

Recreate Services

Validate Operations

Onboard New Monitoring

Use Cloud Provisioning

Identify New Security

Translate Policies

Продолжение корпоративного ЦОД в облако провайдера Nexus 1000V InterCloud

Enterprise Cloud

VM VM VM VM

Provider Cloud

Безопасно Удобно

Защищенное подключение и унифицированные политики

Миграция машин, централизация управления ресурсами

Cisco Prime Network Services Controller – eдиный пульт управления миграцией

виртуальных машин

Nexus 1000V InterCloud

VM VM VM VM Коммутация

Анализ

Оптимизация

Безопасность

УПРАВЛЕНИЕ И ОРКЕСТРАЦИЯ

Обеспечение традиционной модели управления в ЦОД

Новое имя для Virtual Network Management Center Управление множеством устройств на основе ролей Настройка устройств в соответствии с политиками Поддержка дерева оргструктур и делегирование полномочий по управлению Интеграция в корпоративные системы управления

Cisco Prime Network Services Controller



Администратор безопасности

VI Manager

Cisco PNSC

Cisco Nexus

1000V

Разделение обязанностей в виртуализированном ЦОД

Администратор серверов Администратор сети Nexus 1000V

Администратор безопасности PNSC

• Создает VM • Назначает Port Group виртуальному vNIC

• Настраивает VSM • Создает дерево оргструктур • Определяет конфигурации устройств • Определяет экземпляры VSG/ASA1000V и связывает с ними конфигурации устройств

• Создает шаблон описания порта port-profile

• Определяет зоны безопасности • Создает политики безопасности на основе зон и атрибутов • Создает шаблоны безопасности security-profile • Назначает политики безопасности шаблонам безопасности

• Связывает шаблон безопасности security-profile с шаблоном порта port-profile

vNIC

VM

VSM ASA 1000V/VSG

port-profile web-server

security profile policy set

policy rule

Tenant 1

Root

Автоматизация и оркестрация

Функционал из коробки §  Установка гипервизора на серверы §  Добавление хостов виртуализации к Nexus 1000V §  Настройка шаблонов описания портов, ACL,

VXLAN, QoS Портал самообслуживания Открытый API

Cisco UCS Director и Cisco Nexus 1000V

VM VM VM VM

Nexus 1000V VEM

Nexus 1000V

VSM

VM VM VM VM

Nexus 1000V VEM

VI Manager

UCS Director

Inter Cloud

Private Cloud

Hybrid Cloud

Virtualization

Public Cloud

В заключение

Требования пользователей: §  Сохранить традиционную модель эксплуатации ЦОД

§  Обеспечить свободу выбора платформы гипервизора

§  Предоставить сетевые сервисы Стратегия развития Nexus 1000V:

§  multi-hypervisor §  multi-service §  multi-cloud

© 2013 Cisco and/or its affiliates. All rights reserved.

Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас.

Спасибо

Контактная иформация: Игорь Гиркин [email protected]

CiscoRu Cisco CiscoRussia

#CiscoConnectRu

Technology

Коммутация и сервисы в виртуализированной вычислительной среде