Построение гибридных облачных решений с Cisco Intercloud Fabric

Евгений Петякшев, SE, 3xCCIE: Security, DC, SP [email protected]

Построение гибридных облачных решений с Cisco Intercloud Fabric.

План

2

•  Гибридные облака, что такое •  Cisco Intercloud Fabric Архитектура

•  Демонстрация •  Cisco Intercloud Fabric сценарии использования

•  Q & A

ЦОД, частное облако

§  Детерминированная нагрузка

§  Соблюдение корпоративных политик безопасности, требований регуляторов

Публичное облако

§  Гибкая нагрузка §  Скорость

Тип нагрузки

§  Выбор: строим ЦОД/арендуем у провайдера

§  Возможность миграции нагрузки

§  Целостность политик безопасности

Гибридные облака

Гибридные облака

3

Преграды на пути к публичным облакам

4

Управление Безопасность Сложность/выбор

§  Небезопасное подключение §  Ограниченная защита нагрузки

§  Перенастройка приложений §  Связи между приложениями §  Нет обратных связей, аудита §  Отсутствие выбора так такового

§  Нецелостные облачные архитектуры

§  Решения только частично закрывающие вопросы связанные с безопаснотью, сетью, приложениями

§  Разные системы управления

Open Ecosystem

Cisco Intercloud

Fabric

Корпоративный заказчик

Облачные Провайдеры

Cisco Powered Cloud Services

Выбор

Нет зависимости от поставщика облачных сервисов

Любой гипервизор/провайдер

Гетерогенная среда

Безопасность

Управление нагрузкой

Мобильность нагрузки

Подход Cisco к гибридным облакам

5

Решение Cisco Intercloud Fabric

6

Корпоративное облако Облако провайдера

vSphere

Hyper-V

Openstack/KVM

CloudStack/Xen

Intercloud Fabric for Business

Портал User/Admin

Secure Extender: Сеть,

вычислительные ресурсы, данные

Azure APIs

EC2 APIs

Cloud Providers

& Cisco Powered

Services Intercloud Fabric Provider

Intercloud Fabric for Provider

Централизованное управление, унифицированные политики определяемые заказчиком без взаимодействия с облачным провайдером, не видимые провайдеру, не зависимые от провайдера и от выбора провайдера облачных услуг

Cisco Intercloud Fabric - Архитектура

Частное облако

Public Cloud

Intercloud Fabric Director

Intercloud Fabric Secure Extender

Cisco Powered

VM VM

Intercloud Fabric Provider Platform (Опция)

Безопасное ‘растягивание’ сети, Мобильность нагрузки

Портал Admin/User Управление нагрузкой и фабрикой

Cloud APIs

Cisco Intercloud Fabric Компоненты

8

Cisco Intercloud Fabric детали архитектуры

9

Публичное

VM


Intercloud Коммутатор

Intercloud Fabric Provider Platform VM

Manager

Частное

Облачные провайдеры

IT Admins End Users

VM VM

Intercloud Extender

Intercloud Fabric Services

VM


Администратор устанавливает


Настраивается автоматически самим Intercloud Fabric Director

Администратор провайдера устанавливает

Основные термины Intercloud Virtual Data Center (vDC): Среда, содержащая виртуальные ресурсы, правила и политики для обеспечения групповых требований.

Пользовательские группы: Логически соответствует контейнеру.

Пользователи: Пользователи – части групп. Поддерживаются различные типы пользователей с различными правами доступа.

Intercloud Fabric Driver: Часть каждой облачной виртуальной машины для обеспечения безопасности; множества виртуальных адаптеров

Каталог: Администратор может опубликовать каталог в vDC для того чтобы конечные пользователи заказывали ресурсы

Сервисный запрос: Инициирует WorkFlow, который включает в себя проверку бюджета, динамическое распределение ресурсов, подтверждение, предоставление, жизненный цикл и уведомление о состоянии запросов на обслуживание

10



12

VM VM

Trunk

VM VM

Intercloud Fabric Extender

Intercloud Fabric коммутатор VM VM

VM VM Intercloud Fabric Secure Extender

Частное Публичное Сети данных Сети данных

‘растянутые’ в облако

Layer 2

Extension(HA), TLS

Облачные виртуальные машины с ICF драйвером

Intercloud Fabric Виртуальные сервисы

•  Поддержка высокой доступности для ICF Extender, ICF комутатор •  Облачные виртуальные машины с драйвером ICF •  Холодная миграция нагрузки или создание из шаблонов

Intercloud Switch

VEM

Cloud VM VLANs

Mgmt

Intercloud Extender

Data Trunk

Intercloud Extender и Intercloud Switch Интерфейсы

13

•  Management Interface – Для связи с Intercloud Fabric Director. Так же может терминировать шифрованный туннель

•  Tunnel interface – шифрованный туннель до ICF коммутатора

•  Trunk interface – Транк с подсетями которые необходимо ‘растягивать’

Mgmt

Tunnel Public IP

•  Management Interface – для связи между ICF Director и IFC Extender

•  Public interface – Публичный IP адрес •  Cloud VM interfaces – интерфейс облачной виртуальной машины в ‘растянутой’ сети

VEM

Internal Enterprise

Trunk

Internal Tunnel Trunk

Internal Tunnel Trunk

Интерфейсы облачной виртуальной машины

14

Intercloud Fabric Драйвер

Overlay Интерфейсы

Интерфейс провайдера

Коммутатор провайдера

Cloud VEM Ports

Публичный IP

Provider Ports

vNIC

Порт доступа (частный IP)

Provider Public IP – Для связи с Intercloud Fabric Director Private IP – Связь между ICF коммутатором и другими облачными виртуальными машинами

Intercloud Fabric Extender – связь с множеством облаков

15

Intercloud Fabric Switch

Intercloud Fabric Extender VM VM

VM VM

Частное Облако Б

Intercloud Fabric Switch

VM VM

Облако A Intercloud Fabric Extender

VM VM

Безопасность: Данные между частным и публичным облаком

§  Шифрование, настройка ключей, хеш

Безопасность между облачными виртуальными машинами

§  Intercloud Driver §  Шифрование, настройка ключей, хэш

Layer 3 безопасность FW via IC CSR

Layer 2 безопасность FW via IC VSG

Алгоритмы шифрования– AES-128-GCM, AES-128-CBC, AES-256-GCM (Suite B), AES-256-CBC

Хеширование– SHA-1, SHA-256, SHA-384

Все данные зашифрованы: §  Заказчик-облако, между виртуальными

машинами

Ключ принадлежит заказчику

16

Публичное облако Частное Облако

VM

Intercloud Extender

VMM

VM with ICD


VM

Intercloud коммутатор

Site-to-Site туннель

Access Data Tunnel


Публичное Облако Частне Облако

S2S Туннель

Control Channel

Access Data Tunnel

Control Channel

HTTPS/XML API SSH/SCP HTTP/HTTPS

ICFD PNSC

icfCloud

1.  Сгенерировать глобальную SSH ключевую пару когда идет настройка PNCS (ICFD*)

2.  Сегенрировать и хранить SSH ключевую пару в (ICFD*) на каждое облако

3.  Вставить глобальный публичный SSH ключ в ICS и cVM образы при формировании темплейтов в облаке, движении виртуальных машин,…

4.  Используя SSH глобальную пару - заменить на каждой cVM SSH публичным ключем уровня icfCloud

1

2

3

4

Cloud VM

Безопасность: механизм распределения ключей

Передача пакетов в ICF

Путь пакета между виртуальной машиной в частном и публичном облаке

19

Виртуальный коммутатор

Tunnel Port

Trunk Port

Intercloud Extender

VM

Туннель

Порт доступа

Транк

Enterprise Ports

Данные

И Н Т Е Р Н Е Т

Intercloud Коммутатор


VM IC Driver

Tunnel Outer MAC/IP/UDP L2X Данные


Данные

Приложение Приложение

Путь пакета между виртуальными машинами в публичном облаке

20

Enterprise Virtual Switch

Intercloud коммутатор VM

IC Driver

Данные


VM IC Driver



Приложение Приложение Данные

Intercloud Fabric Сервисы

Intercloud Fabric Сервисы

22

IC Virtual Security Gateway (VSG)

IC Cisco Cloud Services Router (CSR)

Безопасность трафика между виртуальными машинами внутри

контейнера

Виртуальный маршрутизатор для ICF

VM контестные правила Контестная безопасность

Зоны Zone-based

Сохраняются при миграции Динамические

vPath цепочка сервисов Массштабиру-емость

IOS-XE L3 Routing

Гипервизора Не завивит от

REST APIs APIs

Intercloud/Отдельно Использование

Intercloud Fabric VSG

23

Test VM

Dev VM


Intercloud Fabric коммутатор

Web VM Intercloud Fabric Secure Extension

Публичное

Администратор

Intercloud Fabric

Director

Единая политика для кназрузки в частном и корпоративном облаке

Корпоративный

VSG – защищает VM в частном

облаке

Intercloud Fabric VSG – защищает

VM в облаке провайдера

Частное •  ICF VSG обладает такими же возможностями как и традиционный VSG

•  ICF VSG поддердивается на AWS, MAzure – Base VSG + ICF Driver

•  ICF VSG лицензия включена в ICF лицензию

Intercloud Fabric CSR

24

Intercloud Fabric CSR доступ к безопасной ICF сети Intercloud Fabric CSR этро CSR + Intercloud Fabric драйвер Поддержка в Amazon Web Services, Microsoft Azure Основные варианты использования: ü Шлюзпоумолчаниюдлявиртуальныхмашинвоблаке–маршрутизациямеждуподсетямивнутрипровайдера,безнеобходимости‘возврата’трафика.

ü ПрямойVPNдоступквиртуальныммашинамвоблакеизфиллиалов:поддержкаIPSec,DMVPNиFlexVPN

ü ДоступкоблачнойнагрузкеспомощьюстатическогоNAT

Маршрутизация между сетями без CSR

25

VM VM

Trunk

VM VM


Intercloud Fabric Switch VM VM

VM VM

Intercloud Secure Extender

Частное Публичное

Шлюз по умолчанию для VLAN A и B

VLAN A

VLAN B

VLAN A

VLAN B

Маршрутизация между сетями с CSR

26

VM VM

Trunk

VM VM



VM VM



Default Gateway for VLAN A &B

VLAN A

VLAN B

VLAN A

VLAN B


Администратор

Intercloud Fabric

Director

Шлюз по умолчанию для виртуальных машин в облаке -

Intercloud CSR

VPN доступ до облачных систем

27

VM VM

Trunk

VM VM



VM VM

Intercloud Fabric Secure Fabric


Шлюз по умолчанию для

VLAN A и B

VLAN A

VLAN B

VLAN A

VLAN B


Филлиал ISR

VPN VPN

Мобильный сотрудник

Доступ до приложения в облаке с помощью NAT

28

VM VM

Trunk

VM VM



VM VM



Шлюз по умолчанию для

VLAN A и B

VLAN A

VLAN B

VLAN A

VLAN B


Remote/Branch Office Mobile Worker

Static NAT 10.x.x.x к 192.168.x.x

19.2.168.x.x 192.168.x.x

10.x..x.x

54.x..x.x

Интерфейсы на CSR: внешний IP 54.x.x.x внутренний IP

10.x.x.x



30

VMM для гибридного облака

VMM/Частное облако Intercloud

Fabric Director

Портал самообслуживания

Каталог Сервисов

Отчетность

Настройка и Администрирование

Корпоративная интеграция (LDAP/AD, XML Export – CMDB, Metering data, SSO (SAML))

Open API

Intercloud Secure Fabric

Администраторы IT Операторы Собственние приложения

Политики


Единая консоль управления для гибридных облаков •  Портал администратора, портал самообслуживания •  Миграция виртуальных машин между облаками, создание виртуальных машин из шаблонов

Безопасность •  Пользовательские группы - контейнеры •  RBAC

Политики расположения нагрузки •  Администраторы создают каталоги для пользователей/групп пользователей

•  Политики ограничивают количество виртуальных машин и их расположение

Возможности

31


Настроить сетевые политики и политики ICF Intercloud Fabric Secure Extender – Создать инстанс ICF – ‘Cloud Instance’ к провадеру для автоматической установки ICF Extender и ICF коммутатор Настроить Virtual Data Center (vDC) Загрузить VM Templates в облако Создать VDC каталог с templates Настроить каталог Инстансы сервисов ICF в облаке: VSG, CSR

Задачи Администратора

32


Роли, разрешения, интеграция с AD(LDAP) Создание и управление контейнерами Настройка пользователей и групп Настройка workflow и цепочки подтверждений Настройка портала для разных контейнеров Квоты и емкости Миграция нагрузок, контроль виртуальных машин во всех облаках

Задачи Администратора

33


Пользовательский портал основан на vDC к которому пользователь получет доступ от Администратора Пользователь может управлять своими виртуальными машинами в частном облаке и мигрировать в публичное облако Пользователь может создать виртуальную машину в облаке из templates которые ему публикуе Администратор Для каждого запроса пользователя создается Сервсиный запрос с процессом автоматического или ручного подтверждения Пользователи могут управлять своими виртуальными машинами в зависимости от уровня доступа: включить/выклбчить, привоить IP адреса, удалить,…

Задачи конечного пользователя

34


vDC Политики §  Intercloud Системная политика: Настроить префиксы для имен VM и информацию DNS

§  Intercloud Политика вычислительных русурсов: Выбор VPC/IC облако соответствующее vDC и политики вычислительных ресорсов, такие как максимальное количество VM на облако

§  Intercloud Сетевая политика: Порт-профили и пулы IP адресов Глобальные политики

§  Политики размещения нагрузки в зависимости от типа, стоимости

Политики

35

Cisco Intercloud Fabric

Корпоративный Virtual Machine Manager (VMM): §  VMware vCenter version 5.0/5.1/5.5 §  MS Hyper-V §  KVM+OpenStack (IceHouse) §  Nexus 1000V или Enterprise Plus НЕ требуется.

Провайдеры: §  Amazon Web Services §  Azure §  Cisco Powered (ICFPP Enabled)

OS Версии: —  Red Hat Enterprise Linux (RHEL) 6.0, 6.1, 6.2, 6.3, 6.4 (64-bit and 32-bit versions) —  CentOS 6.3 (64-bit and 32-bit versions), SUSE 11 SP2/SP3 —  Microsoft Windows 2008 R2 (Service Pack 1 [SP1]) with AMI and VMware Virtual Machine Disk (VMDK) templates —  Microsoft Windows 2012, 2012 R2 —  ICF 2.2.1, расширение поддерживаемых ОС

Поддерживаемые версии

36

Cisco Intercloud Fabric Требования к правилам на МСЭ перед установкой ICF

37

Граничный маршрутизатор/файрволл должны быть открыты следующие порты:

§  Протокол: UDP & TCP §  Порты: §  80 – HTTP доступ для AWS и связи между виртуальными машинами в публичном облаке

§  443 – HTTPS доступ для AWS и связи между виртуальными машинами в публичном облаке

§  22 – SSH §  UDP 6644 – TLS data туннель (если UDP используется в качестве транспорта)

§  TCP 6646 – TLS data туннель (если TCP используется в качестве транспорта)

§  TCP 6644 – TLS control туннель

38

Cisco Intercloud Fabric, цифры

-  До 100 виртуальных машин на облако -  До 16 различных облачных провайдеров одновременно (больше не тестировалось)

-  До 1000 виртуальных машин на все облака -  До 8 vNIC на каждую виртуальную машину -  До 16 ‘растянутых’ подсетей не облако -  Скорость в туннеле (ICFExtender <-> ICFSwitch) ~ 900 мбит/сек (*) -  Скорость в туннелях по всем облакам ~ 14Гбит/сек

На текущий момент:

* Если процессоры у провайдера поддерживают технологии crypto offload (250 мбит/сек без)

Что нужно продумать дополнительно

39

•  Требования приложений - ОС, HDD, Задержки, размер VM image, Связи между приложениями

•  Связь с Сервис Провайдерами– Полоса пропускания, задержка, надежность

•  Требования к безопасности

•  SLA

•  Требования регуляторов

Демонстрация

40

23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 41

Intercloud Fabric Provider Platform (ICFPP)

ICFPP Возможности

Intercloud Fabric Provider Platform (ICFPP) виртуальный аплайнс который провайдер устанавливает в своей сети; предоставляет провайдеру облачное управление и API ICFPP интегрируется с облачной платформой провайдера (например vCloud Director, vCenter, OpenStack, CloudStack, …) Предоставляет стандартный API для Cisco-powered провайдеров Предоставляет облачный API для провайдеров у которых нет публичных API Уровень абстракции для различных сложных облачных API SP может запускать несколько ICFPP для высокой доступности ICFPP поддерживает контейнеризацию

Что такое ICFPP?

43

ICFPP Архитектура

ICFPP состоит из трех основных модулей: Northbound API – Набор API для настройки аплайнсов, настройки контейнеров и пользователей, мониторинг контейнеров Southbound API – Адаптеры, которые отвечают за связь с облачными платформами, напримеи vCloud Director API Translation Logic – логика транзакций между API гибридных облаков и специфичными облачными платформами

44

ICFPP Архитектура

45

ICFPP API Northbound API

46

Набор API для настройки аплайнсов, настройки контейнеров и пользователей, мониторинг контейнеров POST v1/global_details SP шлет admin учетные данные и LDAP для ICFPP POST v1/provider_details SP детали провайдера для ICFPP POST v1/provision_tenant SP шлет информацию для настройки контейнера ICFPP GET v1/tenant_info SP запрашивает ICFPP информацию о контейнере GET v1/all_tenants SP опрашивает ICFPP об информации о всех своих контейнерах GET v1/getkeys SP запрашивает ICFPP для генерации ключа

ICFPP API Southbound API

47

Действия: Get all vdc Get all private networks Get all image catalogs Get public IP network details Upload image to Image catalog Get details about a template Get all templates for this vdc Delete a given template from Image catalog Apply network details to VM Apply compute details to VM

Apply storage details to VM Apply security rules to VM Deploy a VM Perform stop/start/reboot on a VM Get list of VM Get all details of a VM Update a VM Download a template from Image Catalog

API для интеграции с разными облачными платформами: vCloud Director, CloudStack и OpenStack

Сценарии применения гибридных облаков

Сценарии применения гибридных облаков

49

Dev/Test

Dev/Test приложения в публичном и частном облаках Bring back workload for production scale

Shadow IT Control

Быстрый доступ к облачным мощностям

IT управляет какие приложения и где будут развернуты

Требуется больше ресурсов

Расширение в сторону публичных облаков приложений требующих много ресорсов

Без изменения структуры приложений,

сетевой части и безопасности

Катастрофо-устойчивость

Публичные облака для резервного копирования и восстановления Безопасно с целостными политиками

Dev/Test

Production

WAN

Private Cloud VPC/Public Cloud Common Peak Workloads

Intercloud тогда когда требуется больше ресурсов Маркетинговая акция требует больше ресурсов для веб приложений

50

Облако провайдера

Гибридное облако

Частное облако

DB DB

Бизнес драйвер: маркетинговые прилоежения, быстро требуется больше ресурсов

Нагрузка

Создать нагрузку в облаке

Размер по требованию

§  Гибкость §  Эластичная емкость §  Безопасно и основано на политиках

Intercloud тогда когда требуется тестовая среда Команда разработчиков игр требует больше ресурсов для тестирования игр

51

Публичное облако Б

Private Cloud

Публичное облако А Ресурсы Dev/Test по требованию

Утвердить в пробуктив

§  Портируемость нагрузки из частного в публичное облака и обратно

§  SLA на размещение нагрузки §  Выбор облаков

Необходимо больше Dev/

Test ресурсов

Выбрать другие облака

Обратная миграция в частное облако

Сценарии применения

Предложение Сервиса IaaS/Bursting

Катастрофоустойчивость

Гибридные облака для сервис провайдеров

52

Увеличение Емкости

DR как сервис IaaS/DevOps

Dev/Test

Production

Dev/Test

Shadow IT

Сервисы оптимизации IT

Cisco Intercloud для провайдеров

53

Привлечение корпоративных заказчиков

Безопасное и массштабируемое подключение расширения корпоративных заказчиков в публичные облака

Мобильность нагрузки

Унифицированное управление гибридными блаками для управления нагрузкой внутри и во вне организации

Преимущества

Предложение гибридного облака управляемого заказчиком

‘One-Stop shop’ для лббой модели потребления ресурсов

Расширенные возможности безопасности и мобильности для приложений на стоечных серверах - Cisco powered

Дополнительные сервисы

Соответствие региональным регуляторам нагрузка заказчика остается внутри страны

Предложение новых сервисов Катастрофоустойчивость, сервисы

Расширенные возможности управления компонентами сети и безопасности

‘Уменьшение трения’ Технологические преимущества Expand Cloud Services

Полезные ссылки:

54

1.  Cisco ICF: http://www.cisco.com/c/en/us/products/collateral/cloud-systems-management/intercloud-fabric/datasheet-c78-732856.html

2.  Гайды по настройке/установке: http://www.cisco.com/c/en/us/support/cloud-systems-management/intercloud-fabric/products-installation-guides-list.html

3.  Тестовая среда в облаке: dcloud.cisco.com (искать по слову ICF) 4.  Cisco Powered Providers:

http://www.cisco.com/web/solutions/trends/cisco-powered/iaas.html 5.  Кто такие Cisco Powered провайдеры, что для этого нужно ? -> спрашивать у [email protected]

CiscoRu Cisco CiscoRussia

Ждем ваших сообщений с хештегом #CiscoConnectRu

CiscoRu

Technology

Построение гибридных облачных решений с Cisco Intercloud Fabric