Архитектура виртуализованного ЦОД - cisco virtual multi-service data...

© 2011 Cisco and/or its affiliates. All rights reserved. 1 © 2011 Cisco and/or its affiliates. All rights reserved. 1

Cisco Expo 2012

Архитектура виртуализованного ЦОД - Cisco Virtual Multi-Service Data Center Подход Cisco к минимизации рисков при построении облачной инфраструктуры.

Виктор Пустошилов Системный инженер

Ноябрь 21, 2012

© 2011 Cisco and/or its affiliates. All rights reserved. 2

• Зачем нужна архитектура VMDC?

• Обзор системы VMDC 2.2

Физическая платформа

Логическая платформа

• Облачный Мегатест


Вызовы бизнесу

Технологические тренды

Энергетическая

эффективность «Облака» Большие данные

Ограничения

бюджета

Соблюдение

нормативов

Угрозы

безопасности

Изменения

бизнеса

Появление новых

устройств


$ ИТ

бюджет

ФИНАНСИРОВАНИЕ

НОВЫХ ПРОЕКТОВ

ПОДДЕРЖКА: 70–80% УПУЩЕННЫЕ БИЗНЕС

ВОЗМОЖНОСТИ!

ПОДДЕРЖКА: 70–80%

ФИНАНСИ

РОВАНИЕ

НОВЫХ

ПРОЕКТОВ


Автоматизация

предоставления

услуг

Виртуализация

среды Стандартизация

операций

Увеличение операционной ИТ эффективности (Быстрота, Эффективность и

Простота)

Увеличение готовности к облаку (Физическая - Виртуальная - Облачная)

Консолидация

инфраструктуры

Консолидация

ЦОД

Объединение

сетей

Унификация

операций

Профилирование

приложений &

Готовность к

облаку

Развертывание

мультисервисной

инфраструктуры Развертывание

интегрированной

платформы

вычислений &

СХД Мобильность

VM

Автоматизация &

Оркестрация

World of Many

Clouds


Что такое облако

Cloud computing is a model for enabling

convenient, on-demand network access to a

shared pool of configurable computing

resources (e.g., networks, servers, storage,

applications, and services) that can be rapidly

provisioned and released with minimal

management effort or service provider

interaction.

NIST definition, http://www.nist.gov/itl/cloud/

Облачные вычисления это модель

предоставления удобного доступа по

требованию к совместно используемому пулу

настраиваемых компьютерных ресурсов (т.е.

сетей, серверов, устройств хранения,

приложений и сервисов) которые могут быть

быстро предоставлены и освобождены с

минимальными усилиями и минимальным

взаимодействием со службами сервис-

провайдера

http://www.nist.gov/itl/cloud/

http://www.nist.gov/itl/cloud/

© 2011 Cisco and/or its affiliates. All rights reserved. 8 Cisco Confidential © 2010 Cisco and/or its affiliates. All rights reserved. 8

Integrated Compute Stack

– Vblock, FlexPod, etc.

Уровень абстракции / Система управления

Система оркестрации облачной инфраструктурой

Se

rvic

e A

ssu

ran

ce

So

ftwa

re

IaaS, CaaS, PaaS, HCS, HVD, DR, … (включая ПО для автоматизации и оркестрации

приложений)

Масштабируемая, мультисервисная L2/L3

сеть ЦОД

Функции безопасности

L4-7 сервисы

Масштабируемая, мультисервисная L2/L3

сеть ЦОД

L4-7 сервисы

Модуль объединения ЦОД-ов - DCI







Интегрированный

Вычислительный

Стек – Vblock, FlexPod






Вычислительный

Стек – Vblock, FlexPod

Облачная

Инфраструк

тура

(VMDC)

Оркестрация

и управление

облаком

Data Center 1 Data Center n

Облачные

приложения

и Услуги

Функции безопасности


IaaS PaaS SaaS И другие…

VMDC – Модель Облака

унифицированного ЦОД Private

Public Hybrid

Community

Упрощение

Операций Увеличение ROI

Снижение Времени

Развертывания

vPrivate


• Виртуализация на всех уровнях

• Автоматическое развертывание типовых

сервисов

• Самообслуживание клиентов

• Эластичность

• Открытые интерфесы для интеграции новых

компонентов


• Гибкая, модульная и масштабируемая архитектура,

которая объединяет интегрированные

вычислительные стеки, сеть унифицированного ЦОД

и сегмент DCI в законченную архитектуру – Модель

для Облака

• Cisco® VMDC: одобренная референсная архитектура

– Руководства CVD Design & Implementation

– Сертифицированные системы оркестрации

– Снижение времени развертывания

– Снижение рисков

– Гибкость

– Повышение операционной эффективности

• Единое облачное решение для любого типа сервиса

(IaaS, PaaS и SaaS) и любой реализации

(Private, Public или Hybrid Cloud)

Уверенное Проектирование Облака


VM

DC

Интегрированные

Вычислительные

стеки (ICS)

(FlexPod, Vblock)

Сеть

Унифицированного

ЦОД

Модуль

объединения

ЦОД-ов - DCI

Управление Облаком

Поддержка

Бизнеса

Подготовка к

работе/

Конфигурирование

Переносимость/

Взаимна

совместимость

VM

DC

V

MD

C

VM

DC

VMDC

Сервисы

Агрегация/

Доступ

Ядро

Доступ

NAS SAN Compute

ЦОД


Phase 2.2 Публичные/Частные/Гибридные сети

Автоматизация и API

• Дополнительная гибкость

автоматизации услуг;

улучшенная модульность

• Инфраструктура для

предоставления SaaS услуг

• Унифицированная

коммутационная

фабрика ЦОД

• Миграция VM (из

частного/публичного или

виртуального частного облака)

между ЦОД-ми (Ent-SP и SPDC1-

SPDCn)

Phase 2.0-2.1 Частное и виртуальное

частное облако

• Интеграция со сторонней

системой облачной оркестрации

• Варианты масштабирования

инфраструктуры ЦОД

• Дополнительные

возможности безопасности

• Защищенное объединение

ЦОД с использованием VPN

Phase 1 Инфраструктура для

Частного/Публичного

облака

• Основа: Nexus + UCS

• Виртуализация

сервисов

• L2 (VPLS) для DCI


• Модульная конструкция, состоящая из группы интегрированных

вычислительных стеков с системой хранения и сетевой инфраструктурой

• PoD-ы можно развертывать и включать в работу независимо друг от друга

либо объединять вместе для обеспечения масштабирования

• VMDC предлагает 2 типа PoD-ов: Компактный и Большой


Вычислительный Стек

Compute Storage Network




Service Appliances

Domain Services

Node

PoD • Преимущества:

Простое планирование загрузки

Легкость внедрения новых технологий

Простое изолирование отказов

Надежная и эффективная работа


• Стандартизованные, протестированные инфраструктурные блоки с лучшими компонентами в своем классе

• Гибкость: единая платформа для различных нагрузок и сред

• Добавление приложений и нагрузок

• Масштабирование

• Упрощенное управление и повторное развертывание

• Руководства по дизайну и масштабированию

• Сервисы: ускорение развертывания различных сред

17

Блейд сервера

Cisco® UCS B-Series

и UCS Manager

Коммутаторы

семейства Cisco

Nexus® 5000

СХД NetApp® FAS

10GE и FCoE

© 2011 Cisco and/or its affiliates. All rights reserved. 18 18

Разработка и

тестирование

Начальный

уровень

Защита

данных и

резервное

копирование

Больше вычислительных ресурсов и меньше система

хранения

Меньше вычислительных ресурсов и больше система

хранения

Развертывание начальной системы;

Масштабирование в будущем

VDI

Блейд сервера повышенной производительности и

больше IOPS

Production

Infrastructure

IOPS

CPU

Capacity Memory

Сбалансированная

инфраструктура


• Преднастроенная облачная


Позволяет команде IT сфокусироваться на использовании инфраструктуры вместо настройки и поддержки отдельных компонентов

• Операционная модель поставщика облачных услуг

Подготовка к работе, предоставление услуги, управление транзакциями и т.д.

• Ускорение перехода к модели предоставления услуг из частного облака

Меньше времени на дискуссии, больше на использование


• Vblock Series 700

Система хранения: EMC Symmetrix Vmax

Сервера: Cisco UCS

Виртуализация: Vmware

Оркестрация: Unified Infrastructure

Manager (UIM)

Модель Vblock Series 700 MX

• Vblock Series 300

Система хранения: EMC VNX

Сервера: Cisco UCS

Виртуализация: VMware

Оркестрация: Unified Infrastructure

Manager (UIM)

4 модели EMC VNX


Минимум 64 сервера, 4,096 VM …….

Теоретический максимум - 384 сервера,

24,572 VM

Максимальная масштабируемость определяется лимитом в 128K MAC адресов на уровне агрегации/ядра

Минимум 512 сервера …….

Теоретический максимум 3672 сервера,

98,304 VM







Service

Appliances

Domain

Services

Node

PoD1







Service

Appliances

Domain

Services

Node

PoD1

Компактный

PoD

(Совмещенные Ядро & Агрегация)

Nexus 5k доступ Nexus 7k доступ

Большой

PoD

(Выделенные Ядро & Агрегация)


Масштабируемость ядра зависит от физической плотности портов и логических возможностей платформы







Service

Appliances

Domain

Services

Node

Агрегация

PoD1







Service

Appliances

Domain

Services

Node

Агрегация

PoDn

Ядро


• Развитие инфраструктуры Новые платформы безопасности и подключения к оператору (физические и виртуальные)

• Платформа управления безопасностью

• Модуль объединения площадок ЦОД - DCI Новые варианты использования IaaS включают поддержку гибридного облака и подключения между инфраструктурой SP

• Поддержка моделей потребителя Расширение модели аренды - “tenancy”

Поддержка Виртуального Частного ЦОД (VPDC - Virtual Private Data Center)

• Усовершенствованная модель QoS Добавлена поддержка мультимедиа типов трафика и SLA

• Различные сервисные модели Растянутый виртуальный ЦОД

Гибридный “Raw” контейнер


Компонент Версия ПО

ASR9000 XR 4.1.0

ASR1006 XE 3.4.0 15.1(3)S

Cat 6509 IOS 12.2.33 SXJ

ASA5585-60X 8.4.2

ACE30 A 4.2.1

Nexus 7010 NXOS 5.2.1

UCS 6140, B200

1.4(2b)

VSG 4.2(1)SV1(2) -

VNMC: 1.2(1b)

Nexus 1000V NXOS 4.2.1

SV1(1.4a)

VMware vSphere 4.1 U1,

ESXi

MDS9513 NXOS 5.0.4d

Агрегация/

Доступ

Сервера

Сервисы

Ядро

WAN периметр

/ DCI

Система

хранени

я


• Сервисный Узел ЦОД (DSN - Data Center Services Node) поддерживает как интегрированные сервисные модули так и выделенные сервисные устройства

• Технология Multi-Chassis EtherСhannel (MCE) позволяет масштабировать и резервировать сервисные устройства

VSS MCE оптимизирует передачу трафика используя в первую очередь локальные подключения

• ASA в режиме active/active

• ASA – виртуальные контексты в режиме маршрутизации с поддержкой балансировки

Po1

Po1 VSS

Domain

Сервисный

Узел ЦОД

Nexus 7000

Агрегация

Po2

Обнаружение

Dual-active

VSL Link

vPC

Peer-link

Po5

Po7

Po6

Подключения Failover и

State ASA 5585-X ASA 5585-X



Dual-active

• ASA 5580 для обеспечения VPN сервисов

• ASA 5580 поддерживают удаленный VPN доступ с подключением по

Cisco VPN Client

SSL VPN с ПО Cisco Secure Desktop или Cisco AnyConnect

• ASA в режиме active/standby

• ASA в режиме single context mode для поддержки функций VPN

• Использование Group VLAN ID или Tunnel Group для разделения трафика

Политики поддерживаются внутренней БД на ASA или на внешнем AAA сервере

Po1

Po1 VSS

Domain

Сервисный

Узел ЦОД

Nexus 7000

Агрегация

Po2

VSL Link

vPC

Peer-link

Po3 Po7

Po3

Подключения Failover и

State ASA 5580 ASA 5580

Po4 Po4

Po31 Po32 Po41 Po42



Dual-active

VSL Link • Сервисные модули используют VSL каналы для передачи данных и контроля состояния

• VLAN интерфейсы назначаются сервисным модулям через Супервизор

Виртуальные контексты поддерживают множество VLAN интерфейсов

• ACE в режиме active/active с балансировкой контекстов на разных устройствах

• ACE поддерживают создание политик потребления на основе группы ресурсов

Память, полоса пропускания CPS и т.п.

• NAM обеспечивает функции сетевого анализа NetFlow, ERSPAN, SPAN

VSS

Domain

Failover link

ACE-30

NAM


Internet

Edge

• Фильтрация внешнего

трафика

• Расширенная поддержка

приложений

• VPN доступ, снижение угроз

Internal

Security

• Сегментация внутренней сети

• Политики применяются к

VLAN

• Проверка прикладных

протоколов

• Виртуальные контексты

Virtual

Security

• Политики применяются к

зонам VM

• Динамическая,

масштабируемая работа

• Контроль на основе

контекста VM

ASA 55xx

ASA 55xx

ASASM

VSG


Управление

безопасностью

• Сопоставление событий,

syslog, централизованная

аутентификация

• Экспертиза инцидентов

• Обнаружение аномалий

• Соответствие

требованиям

Безопасность

инфраструктуры

• Функции безопасности инфраструктуры используются для защиты устройств, пути передачи и управления

• 802.1ae и vPC реализуют внешнее/внутренне разделение

Сервисы

• IPS/IDS обеспечивают доп. защиту и экспертизу инцидентов

• Сетевой Анализ обеспечивает мониторинг трафика и анализ передаваемых данных

• Балансировка нагрузки серверов и приложений

Сервисы

• Фильтрация входящего/исходящего трафика ЦОД. Виртуальные Контексты используются для разделения политик фильтрации сервер-сервер

• Дополнительные сервисные функции межсетевых экранов для для защиты серверных ферм

UCS Virtual

Access

СХД

Доступ

Сервисы

Агрегация

Ядро

Data security

authenticate

& access

control

Virtual Firewall

Real-time

Monitoring

Firewall Rules

ACL, Port Security, VN Tag, Netflow, ERSPAN,

QoS, CoPP, DHCP snooping


Объединение 8 ЦОД-ов

посредством 32,000 pseudo-

wires

L2 VPLS

Extension

L3 IP/NGN

N-PE1

N-PE2

N-PE3

N-PE4

MST-AG

(Active/blocked)

ASR

vPC

4x10GE 4x10GE

MEC MEC

vPC

4x10GE 4x10GE

MEC MEC


Потребитель облака

Заказчики Подразделение

Департамент

• Потребители облака используют общие ресурсы инфраструктуры

• Каждая организация должна выбрать подход к разделению и выделению ресурсов

• Выбранные политики определяют форму разделения – по пользователям или по арендаторам

Разделяемая ИТ инфраструктура

Приложения


• Модели потребителей – это логические конструкции, реализуемые на инфраструктуре VMDC

• Модели потребителей можно настраивать

• Модели потребителей должны отвечать требованиям приложений

• Модели потребителей не должны зависеть от используемой технологии

• Модели развиваются с появлением новых технологий

Потребитель облака “X”


• Сетевые требования Устойчивость сессий

Высокая доступность

Масштабируемость

Снижение задержек

Надежный транспорт

• Требования безопасности Возможно есть необходимость в защищенных сессиях с шифрованием

Каждый уровень стека приложений аутентифицирует передачу данных

Потребитель облака “Y” Потребитель облака “X” Потребитель облака “Z”

Виртуальные

рабочие столы Совместная работа Приложения


• L2 разделение с помощью

VLAN-ов

• Защищенный VRF для L3

сервисов

Шлюз по умолчанию для

виртуальных машин

• Выделенный

виртуальный контекст

ASA применяется для

реализации политик

безопасности с контролем

состояния на входе и

выходе потребителя ЦОД

Разделение на зоны

• Сервис безопасности

VSG на уровне

виртуальной

вычислительной среды

применяется для

реализации политик VM

Зона Front-End

VRF

Потребитель облака “X” Зона 3

Зона 2

Зона 1

vPath

Защищенный VRF

(точка контроля)

Nexus

1000v

Общая

зона

VSG

ASA Context

Зона 3 Зона 2

Зона 1

vPath Nexus

1000v

Общая

зона

VSG

Сервера без

виртуализации

ACE

Context ACE

Context


Публичная/Общая

VRF

vPath

Защищенный VRF (точка контроля)

Nexus

1000v VSG

ASA Context

(на тенант)

Публичная

зона(DMZ) Protected FE Зона 1 Зона 2 Zone 3

Sub-

Zone

W

Sub-

Zone

X

Sub-

Zone

Y

Sub-

Zone

Z

Частная сеть

(Тенант VRF) Менее доверенные Зоны

Зоны Front-End Зоны Back-End

Front-End периметр

Тенанта

Back-End периметр

Тенанта

Back-End периметр

управления

• Виртуализированный ЦОД должен обеспечивать такой же уровень безопасности и набор сервисов как и ЦОД традиционной архитектуры.


MPLS Core

Общая физическая


Логическое разделение

по пользователям

• Универсальная физическая

архитектура

• VLAN-ы и VRF-ы изолируют

L2 / L3 трафик потребителей

• Возможность выделения

сетевых сервисов в виде

контекстов на аппаратных

устройствах – SLB, FW и т.п.

• Дополнительное

изолирование и

балансировка трафика

• Выделение ресурсов

происходит без перерыва

обслуживания


Глобальные

общие/

Незащищенные

зоны

Global

VRF


Зона 2

Зона 1

vPath



Nexus 1000v

Общая

зона

VSG

Защищенная зона

ASA Context

Потребитель облака “Y” Зона 3

Зона 2

Зона 1

vPath



Nexus 1000v

Общая

зона

VSG


ASA Context


Потребитель облака “Y” Зона 3

Зона 2

Зона 1

vPath



Nexus 1000v

Общая

зона

VSG


ASA Context


Зона 2

Зона 1

vPath



Nexus 1000v

Общая

зона

VSG


ASA Context

Глобальные

общие/

Незащищенные

зоны

Global

VRF

Клиент -> Сервер

Потребитель -> Общий сегмент

Между Потребителями

Внутри Потребителя

(внутри сегмента)

Внутри Потребителя

(между сегментами)


Gold

VMDC

2.0

FW

L2

L3

L3

Bronze

VMDC

2.0

L2

L3

L3

Silver

LB

L2

L3

L3

VMDC

2.0

Palladium

L2

L3

FW

LB

LB

VMDC

2.1

Public Zone

Private Zone

Expanded

L2

L3

FW

LB

LB

VSG

VSG

FW

VMDC

2.2

Protected Back-End

Protected Front-End


Bronze

L2

L3

L3

Bronze

L2

L3

L3

Гибридный “Raw” Контейнер

Растянутый виртуальный

частный ЦОД


• VMDC предлагает открытую платформу управления через хорошо документированный набор API компонентов

• Открытый подход по управлению VMDC исключает vendor lock-in

• Открытая платформа ускоряет интеграцию VMDC c уже используемыми системами управления

• Cisco предлагает управление отдельными элементами и специализированные сетевые решения:

Cisco Network Services Manager (NSM)

Cisco Data Center Network Manager

Cisco UCS Manager

• Управление СХД зависит от вендора

Агрегация/

Доступ

Cервера

vPC

vPC

4x10GE 4x10GE

vPC

Сервисы MEC MEC

Ядро

WAN Граница /

DCI

Система

хранени

я

API

API

API

API

API

API

API


• Высокая масштабируемость & множество сервисов

• Сложные требования • Сильные позиции на рынке • Комплексные облачные

проекты/SP

• Другие системы как OpenStack

• Использование возможностей партнеров Cisco

• Автоматизация ИТ процессов • Интеграция приложений в

бизнес процессы • Частное облако/ Крупные

компании

ЕДИНАЯ ТЕХНОЛОГИЯ CISCO

Network Services Manager

CCN, и т.д.

OpenStack/

Другие Cisco CIAC BMC CLM


Комплексность

Независимость

Реалистичность

Первое всестороннее тестирование

публичного облака, включая

архитектуру центра обработки данных,

сети и облачных приложений для

бизнеса и конечных пользователей

Совместное независимое

тестирование издания Light Reading и

лаборатории EANTC

Тестирование не спонсировалось

Cisco

Тесты, разработанные EANTC,

основаны на реальных требованиях

заказчиков


Cisco Cloud

Enablement

Services

BMC CLM, QoS, Isolation, Cisco

FabricPath (и технологию Cisco Fabric

Extender Technology [FEX ]), LISP, Cisco

Data Center Virtual Machine FEX (VM-FEX),

Cisco VSG, Cisco Network Services Manager

(Overdrive), Cisco UCS™, Cisco HCS и Siebel

Cisco Videoscape™

и Mobile Videoscape

NAT64, 6RD, Dual

Stack, Cisco Prime™

Network Registrar,

Cisco Network

Positioning System

(NPS) и Mobile

PCRF

Cisco Cisco ONS 100

GE на 3000 км

Cisco

Cloud

Intelligent

Network

Cisco®

Unified

Data

Center

Cloud

Applications


• Готовое решение сегодня, развитие в будущем

Снижение сложности благодаря усилиям по проверке реализуемости и наличию документации

• Упрощение автоматизации, управление известными и понятными пулами ресурсов включая сеть, сервера и системы хранения

• Упрощение развертывания дополнительных прикладных сервисов (например HCS, HVD, DR, DP)

• Меньше требования по экспертизе

Сотрудники специализируются на сопровождении определенной среды

• Упрощение обеспечения безопасности платформы и автоматизация операций безопасности

Конфигурирование

Аудит

Управление патчами

• Доступность

Отказоустойчивая, масштабируемая архитектура


Спасибо!

Архитектура виртуализованного ЦОД - cisco virtual multi-service data...

Technology

cisco andor

cisco confidential

cisco virtual

cisco expo

dci cisco vmdc

servicedata center cisco

flexpod vblock

flexpod flexpod