2. Kilka słów o prowadzącym sesję
Inżynier systemowy w VMware
• Wirtualizacja sieci, komunikacja aplikacji poprzez NSX.
Wcześniej architekt i konsultant w Cisco Systems
• Projekty Data Center dla firm w kraju i za granicą.
Przygoda z wirtualizacją: VLAN -> VRF -> VNF -> VMware
Sieci nakładkowe: IPSec -> MPLS -> FabricPath -> OTV -> VXLAN
Certyfikacje: CCDE 2012::7, CCIE#19476 SP/RS
3. 3
Software Defined
Data Center (SDDC)
Any Application
SDDC Platform
Any x86
Any Storage
Any IP network
Data Center Virtualization
Inter- Data Center
Any Application
Any x86
Any Storage
Any IP network
Hybrid- Data Center
Any Application
Any x86
Any Storage
Any IP network
SDDC Platform
Czy warto wybrać rozwiązanie sterowane programowo?
https://www.linkedin.com/pulse/innowacje-w-danych-oprogramowaniu-piotr-jablonski
4. Które z zalet SDN są najbardziej znaczące?
• Co z bezpieczeństwem?
Programowalność
Możliwość integracji systemów
Dostępne API
Wsparcie rozwiązań firm trzecich
Zcentralizowane zarządzanie
Automatyzacja
Szybsze uruchamianie usług
Uproszczone zarządzanie
Ułatwiona diagnostyka
Wsparcie bezpieczeństwa
Ciągłość działania
aplikacji
Wbudowane mechanizmy wysokiej
dostępności dla Data Center
5. Na jakim etapie rozwoju jesteśmy?
SDN
WAN
sterowany
programowo
Data Center
sterowane
programowo
http://blogs.gartner.com/andrew-lerner/2015/07/20/is-sdn-a-market/
“When will you publish an SDN Magic Quadrant?”
Gartner - The simple answer is:
We won’t, because SDN and NFV aren’t markets
8. Pełna infrastruktura Data Center
Bridging VLAN-ów
Mechanizmy
bezpieczeństwa
Load-balancer
Wirtualny
węzeł usługowy
FW,NAT,LB,SSL,BGP,OSPF,DHCP
Aplikacje
Maszyny wirtualne
Kontenery
1
9. Integracja funkcji Data Center w hypervisorze
9
vSphere
Compute – vSphere
Storage – VSAN
Networking & Security – NSX
Hyper-Converged – VxRail
13. Rozproszony firewall
Compute Rack
VXLAN DR DFWSecurity
Compute Rack
VXLAN DR DFWSecurity
vDS
vCenter server
VM1 VM2 VM3 VM4
NSX manager
NSX
controllers
Source Destination Service Action Applied To
VM1 VM2, VM3 TCP port 123 Allow VM1,VM2,VM3
VM1 VM4 UDP port 321 Allow VM1, VM4
Source Destination Service Action
VM1 VM2, VM3 TCP port 123 Allow
VM1 VM4 UDP port 321 Allow
Source Destination Service Action
VM1 VM2, VM3 TCP port 123 Allow
1
2
3 33 3
Source Destination Service Action Applied To
VM1 VM2, VM3 TCP port 123 Allow VM1,VM2,VM3
VM1 VM4 UDP port 321 Allow VM1, VM4
Source Destination Service Action
VM1 VM2, VM3 TCP port 123 Allow
Source Destination Service Action
VM1 VM4 UDP port
321
Allow
3
14. Mikrosegmentacja – większe bezpieczeństwo
Każda maszyna wirtualna ma swój firewall. Pełna ochrona nawet w ramach jednego segmentu sieci.
App
Usługi
Współdzielone
DB
Firewall
brzegowy
AD NTP DHCP DNS CERT
Firewall
Rozproszony
DMZ
App 1 App 2
§ Każda maszyna VM
może być osobnym
obszarem
§ Polityki przypisane do
grup maszyn VM
§ Włamanie do jednej z
maszyn nie oznacza
włamania do innych VM
§ Automatyczna
kwarantanna VM
§ Reguły FW
poruszają się za VM
4
15. Automatyczna kwarantanna
15
Security Group = Quarantine Zone
Members = {Tag = ‘ANTI_VIRUS.VirusFound’, L2
Isolated Network}
Security Group = Web Tier
Definicja polityki
Standardowa polityka
þ Anti-Virus – Skanowanie
Polityka kwarantanny
þ Firewall – Blokada za wyjątkiem AV, TS
þ Anti-Virus – Skanowanie i reagowanie
17. Podsumowanie
1. Pełna infrastruktura Data Center.
2. Widoczność aplikacji.
3. Rozproszony firewall.
4. Mikrosegmentacja – większe bezpieczeństwo.
5. Topologia Layer 3 zamiast Layer 2.
18. NSX na PLNOG16
Wtorek, 01.03, ścieżka 3:
Godz. 11:55, Magia SDN, czyli jak zostać czarodziejem w swojej firmie.
Godz. 14:15, VXLAN Gateway, efektywny sposób połączenia świata wirtualnego z fizycznym.
Godz. 15:10, Software Defined Networks w oparciu o rozwiązania VMware (case study) -
wdrożenie VMware NSX w DataCenter PPNT w Poznaniu.
Laboratoria Online
Labs: http://hol.vmware.com
Docs: http://docs.hol.vmware.com