Евгений Петякшев, SE, 3xCCIE: Security, DC, SP [email protected]
Построение гибридных облачных решений с Cisco Intercloud Fabric.
План
2
• Гибридные облака, что такое • Cisco Intercloud Fabric Архитектура
• Демонстрация • Cisco Intercloud Fabric сценарии использования
• Q & A
ЦОД, частное облако
§ Детерминированная нагрузка
§ Соблюдение корпоративных политик безопасности, требований регуляторов
Публичное облако
§ Гибкая нагрузка § Скорость
Тип нагрузки
§ Выбор: строим ЦОД/арендуем у провайдера
§ Возможность миграции нагрузки
§ Целостность политик безопасности
Гибридные облака
Гибридные облака
3
Преграды на пути к публичным облакам
4
Управление Безопасность Сложность/выбор
§ Небезопасное подключение § Ограниченная защита нагрузки
§ Перенастройка приложений § Связи между приложениями § Нет обратных связей, аудита § Отсутствие выбора так такового
§ Нецелостные облачные архитектуры
§ Решения только частично закрывающие вопросы связанные с безопаснотью, сетью, приложениями
§ Разные системы управления
Open Ecosystem
Cisco Intercloud
Fabric
Корпоративный заказчик
Облачные Провайдеры
Cisco Powered Cloud Services
Выбор
Нет зависимости от поставщика облачных сервисов
Любой гипервизор/провайдер
Гетерогенная среда
Безопасность
Управление нагрузкой
Мобильность нагрузки
Подход Cisco к гибридным облакам
5
Решение Cisco Intercloud Fabric
6
Корпоративное облако Облако провайдера
vSphere
Hyper-V
Openstack/KVM
CloudStack/Xen
Intercloud Fabric for Business
Портал User/Admin
Secure Extender: Сеть,
вычислительные ресурсы, данные
Azure APIs
EC2 APIs
Cloud Providers
& Cisco Powered
Services Intercloud Fabric Provider
Intercloud Fabric for Provider
Централизованное управление, унифицированные политики определяемые заказчиком без взаимодействия с облачным провайдером, не видимые провайдеру, не зависимые от провайдера и от выбора провайдера облачных услуг
Частное облако
Public Cloud
Intercloud Fabric Director
Intercloud Fabric Secure Extender
Cisco Powered
VM VM
Intercloud Fabric Provider Platform (Опция)
Безопасное ‘растягивание’ сети, Мобильность нагрузки
Портал Admin/User Управление нагрузкой и фабрикой
Cloud APIs
Cisco Intercloud Fabric Компоненты
8
Cisco Intercloud Fabric детали архитектуры
9
Публичное
VM
Intercloud Fabric Director
Intercloud Коммутатор
Intercloud Fabric Provider Platform VM
Manager
Частное
Облачные провайдеры
IT Admins End Users
VM VM
Intercloud Extender
Intercloud Fabric Services
VM
Intercloud Fabric Secure Extender
Администратор устанавливает
Intercloud Fabric Director
Настраивается автоматически самим Intercloud Fabric Director
Администратор провайдера устанавливает
Основные термины Intercloud Virtual Data Center (vDC): Среда, содержащая виртуальные ресурсы, правила и политики для обеспечения групповых требований.
Пользовательские группы: Логически соответствует контейнеру.
Пользователи: Пользователи – части групп. Поддерживаются различные типы пользователей с различными правами доступа.
Intercloud Fabric Driver: Часть каждой облачной виртуальной машины для обеспечения безопасности; множества виртуальных адаптеров
Каталог: Администратор может опубликовать каталог в vDC для того чтобы конечные пользователи заказывали ресурсы
Сервисный запрос: Инициирует WorkFlow, который включает в себя проверку бюджета, динамическое распределение ресурсов, подтверждение, предоставление, жизненный цикл и уведомление о состоянии запросов на обслуживание
10
Intercloud Fabric Secure Extender
12
VM VM
Trunk
VM VM
Intercloud Fabric Extender
Intercloud Fabric коммутатор VM VM
VM VM Intercloud Fabric Secure Extender
Частное Публичное Сети данных Сети данных
‘растянутые’ в облако
Layer 2
Extension(HA), TLS
Облачные виртуальные машины с ICF драйвером
Intercloud Fabric Виртуальные сервисы
• Поддержка высокой доступности для ICF Extender, ICF комутатор • Облачные виртуальные машины с драйвером ICF • Холодная миграция нагрузки или создание из шаблонов
Intercloud Switch
VEM
Cloud VM VLANs
Mgmt
Intercloud Extender
Data Trunk
Intercloud Extender и Intercloud Switch Интерфейсы
13
• Management Interface – Для связи с Intercloud Fabric Director. Так же может терминировать шифрованный туннель
• Tunnel interface – шифрованный туннель до ICF коммутатора
• Trunk interface – Транк с подсетями которые необходимо ‘растягивать’
Mgmt
Tunnel Public IP
• Management Interface – для связи между ICF Director и IFC Extender
• Public interface – Публичный IP адрес • Cloud VM interfaces – интерфейс облачной виртуальной машины в ‘растянутой’ сети
VEM
Internal Enterprise
Trunk
Internal Tunnel Trunk
Internal Tunnel Trunk
Интерфейсы облачной виртуальной машины
14
Intercloud Fabric Драйвер
Overlay Интерфейсы
Интерфейс провайдера
Коммутатор провайдера
Cloud VEM Ports
Публичный IP
Provider Ports
vNIC
Порт доступа (частный IP)
Provider Public IP – Для связи с Intercloud Fabric Director Private IP – Связь между ICF коммутатором и другими облачными виртуальными машинами
Intercloud Fabric Extender – связь с множеством облаков
15
Intercloud Fabric Switch
Intercloud Fabric Extender VM VM
VM VM
Частное Облако Б
Intercloud Fabric Switch
VM VM
Облако A Intercloud Fabric Extender
VM VM
Безопасность: Данные между частным и публичным облаком
§ Шифрование, настройка ключей, хеш
Безопасность между облачными виртуальными машинами
§ Intercloud Driver § Шифрование, настройка ключей, хэш
Layer 3 безопасность FW via IC CSR
Layer 2 безопасность FW via IC VSG
Алгоритмы шифрования– AES-128-GCM, AES-128-CBC, AES-256-GCM (Suite B), AES-256-CBC
Хеширование– SHA-1, SHA-256, SHA-384
Все данные зашифрованы: § Заказчик-облако, между виртуальными
машинами
Ключ принадлежит заказчику
16
Публичное облако Частное Облако
VM
Intercloud Extender
VMM
VM with ICD
Intercloud Fabric Director
VM
Intercloud коммутатор
Site-to-Site туннель
Access Data Tunnel
Intercloud Fabric Secure Extender
Публичное Облако Частне Облако
S2S Туннель
Control Channel
Access Data Tunnel
Control Channel
HTTPS/XML API SSH/SCP HTTP/HTTPS
ICFD PNSC
icfCloud
1. Сгенерировать глобальную SSH ключевую пару когда идет настройка PNCS (ICFD*)
2. Сегенрировать и хранить SSH ключевую пару в (ICFD*) на каждое облако
3. Вставить глобальный публичный SSH ключ в ICS и cVM образы при формировании темплейтов в облаке, движении виртуальных машин,…
4. Используя SSH глобальную пару - заменить на каждой cVM SSH публичным ключем уровня icfCloud
1
2
3
4
Cloud VM
Безопасность: механизм распределения ключей
Путь пакета между виртуальной машиной в частном и публичном облаке
19
Виртуальный коммутатор
Tunnel Port
Trunk Port
Intercloud Extender
VM
Туннель
Порт доступа
Транк
Enterprise Ports
Данные
И Н Т Е Р Н Е Т
Intercloud Коммутатор
Коммутатор провайдера
VM IC Driver
Tunnel Outer MAC/IP/UDP L2X Данные
Tunnel Outer MAC/IP/UDP L2X Данные
Данные
Приложение Приложение
Путь пакета между виртуальными машинами в публичном облаке
20
Enterprise Virtual Switch
Intercloud коммутатор VM
IC Driver
Данные
Коммутатор провайдера
VM IC Driver
Tunnel Outer MAC/IP/UDP L2X Данные
Tunnel Outer MAC/IP/UDP L2X Данные
Приложение Приложение Данные
Intercloud Fabric Сервисы
22
IC Virtual Security Gateway (VSG)
IC Cisco Cloud Services Router (CSR)
Безопасность трафика между виртуальными машинами внутри
контейнера
Виртуальный маршрутизатор для ICF
VM контестные правила Контестная безопасность
Зоны Zone-based
Сохраняются при миграции Динамические
vPath цепочка сервисов Массштабиру-емость
IOS-XE L3 Routing
Гипервизора Не завивит от
REST APIs APIs
Intercloud/Отдельно Использование
Intercloud Fabric VSG
23
Test VM
Dev VM
Intercloud Fabric Extender
Intercloud Fabric коммутатор
Web VM Intercloud Fabric Secure Extension
Публичное
Администратор
Intercloud Fabric
Director
Единая политика для кназрузки в частном и корпоративном облаке
Корпоративный
VSG – защищает VM в частном
облаке
Intercloud Fabric VSG – защищает
VM в облаке провайдера
Частное • ICF VSG обладает такими же возможностями как и традиционный VSG
• ICF VSG поддердивается на AWS, MAzure – Base VSG + ICF Driver
• ICF VSG лицензия включена в ICF лицензию
Intercloud Fabric CSR
24
Intercloud Fabric CSR доступ к безопасной ICF сети Intercloud Fabric CSR этро CSR + Intercloud Fabric драйвер Поддержка в Amazon Web Services, Microsoft Azure Основные варианты использования: ü Шлюзпоумолчаниюдлявиртуальныхмашинвоблаке–маршрутизациямеждуподсетямивнутрипровайдера,безнеобходимости‘возврата’трафика.
ü ПрямойVPNдоступквиртуальныммашинамвоблакеизфиллиалов:поддержкаIPSec,DMVPNиFlexVPN
ü ДоступкоблачнойнагрузкеспомощьюстатическогоNAT
Маршрутизация между сетями без CSR
25
VM VM
Trunk
VM VM
Intercloud Fabric Extender
Intercloud Fabric Switch VM VM
VM VM
Intercloud Secure Extender
Частное Публичное
Шлюз по умолчанию для VLAN A и B
VLAN A
VLAN B
VLAN A
VLAN B
Маршрутизация между сетями с CSR
26
VM VM
Trunk
VM VM
Intercloud Fabric Extender
Intercloud Fabric Switch VM VM
VM VM
Intercloud Fabric Secure Extender
Частное Публичное
Default Gateway for VLAN A &B
VLAN A
VLAN B
VLAN A
VLAN B
Intercloud Fabric CSR
Администратор
Intercloud Fabric
Director
Шлюз по умолчанию для виртуальных машин в облаке -
Intercloud CSR
VPN доступ до облачных систем
27
VM VM
Trunk
VM VM
Intercloud Fabric Extender
Intercloud Fabric Switch VM VM
VM VM
Intercloud Fabric Secure Fabric
Частное Публичное
Шлюз по умолчанию для
VLAN A и B
VLAN A
VLAN B
VLAN A
VLAN B
Intercloud Fabric CSR
Филлиал ISR
VPN VPN
Мобильный сотрудник
Доступ до приложения в облаке с помощью NAT
28
VM VM
Trunk
VM VM
Intercloud Fabric Extender
Intercloud Fabric Switch VM VM
VM VM
Intercloud Fabric Secure Extender
Частное Публичное
Шлюз по умолчанию для
VLAN A и B
VLAN A
VLAN B
VLAN A
VLAN B
Intercloud Fabric CSR
Remote/Branch Office Mobile Worker
Static NAT 10.x.x.x к 192.168.x.x
19.2.168.x.x 192.168.x.x
10.x..x.x
54.x..x.x
Интерфейсы на CSR: внешний IP 54.x.x.x внутренний IP
10.x.x.x
Intercloud Fabric Director
30
VMM для гибридного облака
VMM/Частное облако Intercloud
Fabric Director
Портал самообслуживания
Каталог Сервисов
Отчетность
Настройка и Администрирование
Корпоративная интеграция (LDAP/AD, XML Export – CMDB, Metering data, SSO (SAML))
Open API
Intercloud Secure Fabric
Администраторы IT Операторы Собственние приложения
Политики
Intercloud Fabric Director
Единая консоль управления для гибридных облаков • Портал администратора, портал самообслуживания • Миграция виртуальных машин между облаками, создание виртуальных машин из шаблонов
Безопасность • Пользовательские группы - контейнеры • RBAC
Политики расположения нагрузки • Администраторы создают каталоги для пользователей/групп пользователей
• Политики ограничивают количество виртуальных машин и их расположение
Возможности
31
Intercloud Fabric Director
Настроить сетевые политики и политики ICF Intercloud Fabric Secure Extender – Создать инстанс ICF – ‘Cloud Instance’ к провадеру для автоматической установки ICF Extender и ICF коммутатор Настроить Virtual Data Center (vDC) Загрузить VM Templates в облако Создать VDC каталог с templates Настроить каталог Инстансы сервисов ICF в облаке: VSG, CSR
Задачи Администратора
32
Intercloud Fabric Director
Роли, разрешения, интеграция с AD(LDAP) Создание и управление контейнерами Настройка пользователей и групп Настройка workflow и цепочки подтверждений Настройка портала для разных контейнеров Квоты и емкости Миграция нагрузок, контроль виртуальных машин во всех облаках
Задачи Администратора
33
Intercloud Fabric Director
Пользовательский портал основан на vDC к которому пользователь получет доступ от Администратора Пользователь может управлять своими виртуальными машинами в частном облаке и мигрировать в публичное облако Пользователь может создать виртуальную машину в облаке из templates которые ему публикуе Администратор Для каждого запроса пользователя создается Сервсиный запрос с процессом автоматического или ручного подтверждения Пользователи могут управлять своими виртуальными машинами в зависимости от уровня доступа: включить/выклбчить, привоить IP адреса, удалить,…
Задачи конечного пользователя
34
Intercloud Fabric Director
vDC Политики § Intercloud Системная политика: Настроить префиксы для имен VM и информацию DNS
§ Intercloud Политика вычислительных русурсов: Выбор VPC/IC облако соответствующее vDC и политики вычислительных ресорсов, такие как максимальное количество VM на облако
§ Intercloud Сетевая политика: Порт-профили и пулы IP адресов Глобальные политики
§ Политики размещения нагрузки в зависимости от типа, стоимости
Политики
35
Cisco Intercloud Fabric
Корпоративный Virtual Machine Manager (VMM): § VMware vCenter version 5.0/5.1/5.5 § MS Hyper-V § KVM+OpenStack (IceHouse) § Nexus 1000V или Enterprise Plus НЕ требуется.
Провайдеры: § Amazon Web Services § Azure § Cisco Powered (ICFPP Enabled)
OS Версии: — Red Hat Enterprise Linux (RHEL) 6.0, 6.1, 6.2, 6.3, 6.4 (64-bit and 32-bit versions) — CentOS 6.3 (64-bit and 32-bit versions), SUSE 11 SP2/SP3 — Microsoft Windows 2008 R2 (Service Pack 1 [SP1]) with AMI and VMware Virtual Machine Disk (VMDK) templates — Microsoft Windows 2012, 2012 R2 — ICF 2.2.1, расширение поддерживаемых ОС
Поддерживаемые версии
36
Cisco Intercloud Fabric Требования к правилам на МСЭ перед установкой ICF
37
Граничный маршрутизатор/файрволл должны быть открыты следующие порты:
§ Протокол: UDP & TCP § Порты: § 80 – HTTP доступ для AWS и связи между виртуальными машинами в публичном облаке
§ 443 – HTTPS доступ для AWS и связи между виртуальными машинами в публичном облаке
§ 22 – SSH § UDP 6644 – TLS data туннель (если UDP используется в качестве транспорта)
§ TCP 6646 – TLS data туннель (если TCP используется в качестве транспорта)
§ TCP 6644 – TLS control туннель
38
Cisco Intercloud Fabric, цифры
- До 100 виртуальных машин на облако - До 16 различных облачных провайдеров одновременно (больше не тестировалось)
- До 1000 виртуальных машин на все облака - До 8 vNIC на каждую виртуальную машину - До 16 ‘растянутых’ подсетей не облако - Скорость в туннеле (ICFExtender <-> ICFSwitch) ~ 900 мбит/сек (*) - Скорость в туннелях по всем облакам ~ 14Гбит/сек
На текущий момент:
* Если процессоры у провайдера поддерживают технологии crypto offload (250 мбит/сек без)
Что нужно продумать дополнительно
39
• Требования приложений - ОС, HDD, Задержки, размер VM image, Связи между приложениями
• Связь с Сервис Провайдерами– Полоса пропускания, задержка, надежность
• Требования к безопасности
• SLA
• Требования регуляторов
ICFPP Возможности
Intercloud Fabric Provider Platform (ICFPP) виртуальный аплайнс который провайдер устанавливает в своей сети; предоставляет провайдеру облачное управление и API ICFPP интегрируется с облачной платформой провайдера (например vCloud Director, vCenter, OpenStack, CloudStack, …) Предоставляет стандартный API для Cisco-powered провайдеров Предоставляет облачный API для провайдеров у которых нет публичных API Уровень абстракции для различных сложных облачных API SP может запускать несколько ICFPP для высокой доступности ICFPP поддерживает контейнеризацию
Что такое ICFPP?
43
ICFPP Архитектура
ICFPP состоит из трех основных модулей: Northbound API – Набор API для настройки аплайнсов, настройки контейнеров и пользователей, мониторинг контейнеров Southbound API – Адаптеры, которые отвечают за связь с облачными платформами, напримеи vCloud Director API Translation Logic – логика транзакций между API гибридных облаков и специфичными облачными платформами
44
ICFPP API Northbound API
46
Набор API для настройки аплайнсов, настройки контейнеров и пользователей, мониторинг контейнеров POST v1/global_details SP шлет admin учетные данные и LDAP для ICFPP POST v1/provider_details SP детали провайдера для ICFPP POST v1/provision_tenant SP шлет информацию для настройки контейнера ICFPP GET v1/tenant_info SP запрашивает ICFPP информацию о контейнере GET v1/all_tenants SP опрашивает ICFPP об информации о всех своих контейнерах GET v1/getkeys SP запрашивает ICFPP для генерации ключа
ICFPP API Southbound API
47
Действия: Get all vdc Get all private networks Get all image catalogs Get public IP network details Upload image to Image catalog Get details about a template Get all templates for this vdc Delete a given template from Image catalog Apply network details to VM Apply compute details to VM
Apply storage details to VM Apply security rules to VM Deploy a VM Perform stop/start/reboot on a VM Get list of VM Get all details of a VM Update a VM Download a template from Image Catalog
API для интеграции с разными облачными платформами: vCloud Director, CloudStack и OpenStack
Сценарии применения гибридных облаков
49
Dev/Test
Dev/Test приложения в публичном и частном облаках Bring back workload for production scale
Shadow IT Control
Быстрый доступ к облачным мощностям
IT управляет какие приложения и где будут развернуты
Требуется больше ресурсов
Расширение в сторону публичных облаков приложений требующих много ресорсов
Без изменения структуры приложений,
сетевой части и безопасности
Катастрофо-устойчивость
Публичные облака для резервного копирования и восстановления Безопасно с целостными политиками
Dev/Test
Production
WAN
Private Cloud VPC/Public Cloud Common Peak Workloads
Intercloud тогда когда требуется больше ресурсов Маркетинговая акция требует больше ресурсов для веб приложений
50
Облако провайдера
Гибридное облако
Частное облако
DB DB
Бизнес драйвер: маркетинговые прилоежения, быстро требуется больше ресурсов
Нагрузка
Создать нагрузку в облаке
Размер по требованию
§ Гибкость § Эластичная емкость § Безопасно и основано на политиках
Intercloud тогда когда требуется тестовая среда Команда разработчиков игр требует больше ресурсов для тестирования игр
51
Публичное облако Б
Private Cloud
Публичное облако А Ресурсы Dev/Test по требованию
Утвердить в пробуктив
§ Портируемость нагрузки из частного в публичное облака и обратно
§ SLA на размещение нагрузки § Выбор облаков
Необходимо больше Dev/
Test ресурсов
Выбрать другие облака
Обратная миграция в частное облако
Сценарии применения
Предложение Сервиса IaaS/Bursting
Катастрофоустойчивость
Гибридные облака для сервис провайдеров
52
Увеличение Емкости
DR как сервис IaaS/DevOps
Dev/Test
Production
Dev/Test
Shadow IT
Сервисы оптимизации IT
Cisco Intercloud для провайдеров
53
Привлечение корпоративных заказчиков
Безопасное и массштабируемое подключение расширения корпоративных заказчиков в публичные облака
Мобильность нагрузки
Унифицированное управление гибридными блаками для управления нагрузкой внутри и во вне организации
Преимущества
Предложение гибридного облака управляемого заказчиком
‘One-Stop shop’ для лббой модели потребления ресурсов
Расширенные возможности безопасности и мобильности для приложений на стоечных серверах - Cisco powered
Дополнительные сервисы
Соответствие региональным регуляторам нагрузка заказчика остается внутри страны
Предложение новых сервисов Катастрофоустойчивость, сервисы
Расширенные возможности управления компонентами сети и безопасности
‘Уменьшение трения’ Технологические преимущества Expand Cloud Services
Полезные ссылки:
54
1. Cisco ICF: http://www.cisco.com/c/en/us/products/collateral/cloud-systems-management/intercloud-fabric/datasheet-c78-732856.html
2. Гайды по настройке/установке: http://www.cisco.com/c/en/us/support/cloud-systems-management/intercloud-fabric/products-installation-guides-list.html
3. Тестовая среда в облаке: dcloud.cisco.com (искать по слову ICF) 4. Cisco Powered Providers:
http://www.cisco.com/web/solutions/trends/cisco-powered/iaas.html 5. Кто такие Cisco Powered провайдеры, что для этого нужно ? -> спрашивать у [email protected]