Архив метки: flow

Новости с .NEXT

В эти дни в New Orlean проходит наша большая ежегодная партнерская конференция, на которой, как обычно, представляют новинки и обнародуются планы. На днях там показали несколько новых интересных направлений развития Nutanix. Наверное это именно так надо называть, это не просто набор фич, перечисляемых в release notes, а вот прямо, на мой взгляд, направления развития компании.

Я не буду снова писать про Nutanix Flow, про инструмент сетевой микросегментации, встроенный в платформу Nutanix которая теперь называется Flow, я уже писал ранее, а в майском релизе она вышла в GA. Там добавилось несколько интересных возможностей, в частности с нашим недавним приобретением — Netsil.

С Netsil можно автоматически обнаруживать и анализировать приложения в VM, разбирать их топологию, категоризировать, и получать рекомендации по созданию и назначению им политик безопасности. Интеграция Netsil и Flow объявлена на вторую половину года.

Остановимся детальнее на оставшихся двух вчерашних анонсах.

Nutanix Era — это инструмент так называемого CDM — Copy Data Management, интересный, прежде всего, работающим с базами данных на Nutanix (а таких, напомню, почти половина из множества наши клиентов сегодня). Он поможет администраторам баз данных проводить операции с БД, например делать клонирование, восстановление или обновление баз данных, в том числе сложносвязанных, выполняемых на разных VM и расположенных на множестве томов данных (например отдельно файлы базы, отдельно — логи, отдельно — tempdb, бинарные файлы, локальные резервные копии, и так далее).

С помощью Nutanix Era dba может управлять всеми этими процессами жизненного цикла базы данных начиная от ее провижнинга, включая такие операции, как создание клонов или резервных копий для защиты данных. Например, для организации защиты данных dba может описать и назначить политики резервного копирования, работа с которыми будет интегрирована со сторонними решениями резервного копирования.
Клонирование или обновление данных в базе обычно также непростой процесс. Необходимо идентифицировать нужную копию данных, вместе с соответствующим ей набором логов, разместить эту копию на сервере, восстановить базу данных из копии, применить к ней записи из логов на нужный момент времени, затем, возможно, вовремя и корректно обновлять состояние данных этого клона базы, и так далее.
С десятками и сотнями инстансов современного большого Энтерпрайза все эти сложности возрастают в десятки и сотни раз, растут и шансы на ошибку, которая может стать фатальной для данных.

Инструмент Nutanix Era будет доступен пользователям во второй половине 2018 года.

В него предварительно будут входить такие функции, как One-Click time machine, использующая наши redirect-on-write снэпшоты для создания моментальных копий данных, и One-Click database clone/refresh, для уже описанного выше клонирования и обеспечения актуальности данных, нужного, например, для команд разработчиков.
Объявлено, что в список поддерживаемых баз данных уже попали Oracle DB и PostgreSQL, но этот список будет расширен популярными DB, такими, как MS SQL Server и MySQL (MariaDB).

Nutanix Beam — система мульти-облачного управления, результат интеграции в Nutanix разработчиков недавно приобретенных продуктов Minjar и Botmetric.
Начиная с представления в декабре Nutanix CALM движение компании к SaaS и гибридным облакам стало очевидным, это одно из наших новых направлений, и Nutanix уже не один из десятка разработчиков HCI, вот увидите, черз год-два такое обязательно будет и у VMware с HPE. :)

Nutanix Beam — это инструментарий оптимизации затрат при размещении инфраструктуры в облачных сервисах. Когда мы в Nutanix рассказываем и показываем CALM и Self-Service Portal, почти всегда задают вопросы про биллинг, или, по крайней мере инструменты для его построения. Вот Beam — один из шагов в этом направлении.

Nutanix Beam анализирует и отображает потребление облачных ресурсов как суммарное, так и с разбивкой и детализацией по приложениям, группам и бизнес-юнитам. Такая информация поможет бизнесу, IT-менджменту правильно оценивать и прогнозировать затраты подразделений и компании в целом на облачные сервисы.

Имеющиеся встроенные механизмы оптимизации, анализа затрат и неиспользуемых ресурсов, помогут экономить и правильно распределять ресурсы по облачным платформам.

Часто забытые старые снэпшоты, неиспользуемые больше тома с устаревшими данными, или инстансы RDS могут продолжать поедать ресурсы компании, с использованием Beam вы легко найдете подобные штуки.

Встроенный дашборд финансовой информации поможет проанализировать затраты облачной инфраструктуры и в целом, и с разбивкой по подразделениям, а также отследить тренды.

Важной возможностью Beam является то, что он позволяет оперировать затратами, например оценивая стоимость инстансов как вида on-demand, так и, например Reserve Instance (RI), в облачных инфраструктурах, например у Amazon Web Services (AWS) использование таких advanced методов заказа и покупки инстансов может быть одним из методов экономии немалых затрат.

Nutanix Beam доступен уже сейчас.

Nutanix Flow — микросегментация виртуальной сети

Микросегментация — это, наряду с другим нашим ключевым продуктом, облачным оркестратором Nutanix Calm, одна из наиболее важных новинок в вышедшем в конце декабря релизе AOS 5.5 (codename Obelix).
Так как Microsegmentation слишком длинное имя для коммерческого продукта, как продукт данная технология будет носить имя Nutanix Flow.

В релизе 5.5 мы, как это у нас принято, представили Tech Preview, своеобразную «гамма»-версию для ознакомления в тестовой среде, а в следующем обновлении, выходящем в конце февраля-марте, и называющемся 5.5.1, микросегментация будет объявлена финальным, «продакшн-реди» релизом, готовым к использованию.

Nutanix Microsegmentation (Flow) можно рассматривать как своеобразный встроенный в систему виртуализации AHV распределенный файрволл виртуальных машин, защищающий виртуальные машины внутри «облака» инфраструктуры.
Вместо привычной схемы, когда внешним файрволлом защищается «периметр» облака, но при этом, как правило, внутри облака сетевая защита обычно либо довольно примитивна, либо вовсе не используется, и «зловред», попавший внутрь облачного пространства имеет все возможности «гулять по буфету» среди слабозащищенных VM и перехватывать любой трафик, в Nutanix предлагают использовать защиту не только периметра инфраструктуры, но всей инфраструктуры, каждой виртуальной машины, причем эта защита встроенная, легко конфигурируема с помощью групп VM и назначаемых политик, не использующая механизма оверлейных сетей, типа VXLAN, и не требующая перенастройки сетевого оборудования.

Возможно вы возразите, что, при необходимости, изоляцию групп VM можно реализовать с помощью механизмов VLAN. Однако, сетевики не дадут соврать, для инфраструктур даже в несколько десятков VM, конфигурирование, а также поддержание в случае нормальной жизни фермы хостов виртуализации, сложной схемы десятков сегментов VLAN-ов скоро превращается в серьезную головную боль. А что говорить не о десятках, а сотнях, тысячах виртуальных машин, мигрирующих между десятками хостов виртуализации датацентра, в зависимости от их загрузки, или даже перемещающихся между датацентрами!
Сегодня в крупном бизнесе, не только хостинговом, это уже реальность.

Было бы здорово, если бы можно было привязывать сегмент сети не на уровне внешнего коммутатора, а применяя политику в конкретной VM в среде виртуализации! И, разумеется, такие решения начали появляться. Наиболее известным таким решением является VMware NSX, который, несмотря на свою высокую цену и сложность, нашел себя на рынке, хотя, безусловно, сложность реализации, как и цена, затрудняют его широкое использование.
Nutanix в этой области, как и с нашим гипервизором AHV, пошел путем, когда реализуется наиболее востребованная функциональность в первую очередь, и не ставится задача сделать «швейцарский нож» (который обычно, давайте начистоту, как нож — никакой). Именно поэтому, поглядев на то, какая функциональность NSX пользователями виртуальных сред, используется более всего, мы начали делать свой «энэсикс» с поэтессами.

Итак, Nutanix Flow — это наша собственная реализация концепции микросегментации для нашего гипервизора AHV, и пока только для него. Если вы используете в качестве гипервизора на Nutanix vSphere — для вас есть NSX. Мы хотели бы реализовать Flow для vSphere, но пока это планы не ближайшего будущего.

Так как Flow — полностью софтверная реализация, он также будет работать на продуктах наших OEM-партнеров, например Dell XC, Lenovo HX, и так далее, в том числе и на Software-only инсталляциях.

Для использования Flow вам нужен AOS 5.5 и новее, свежая версия AHV и Prism Central, наш бесплатный инструмент администрирования, работающий из appliance VM, например, там же, в среде Nutanix. Несмотря на то, что Flow «встроен в ядро» AOS, и будет работать в том числе и без Prism Central, для настройки политик нужен Prism Central.

Основные возможности Flow это:

  • Распределенный stateful firewall, интегрированный в ядро AHV, минимально загружающий CPU и память при работе.
  • Централизованное управление этим firewall, встроенное в Prism Central, использующее схему политик, автоматически обновляемых в ходе жизненного цикла приложений и VM.
  • Встроенная визуализация правил и применяемых политик.
  • Возможность настраивать service chaining, например, перенаправлять сетевые потоки на системы контроля, аплаенсы файрволлов, антивирусов, помещать VM или их группы в карантин, простым назначением политики группе, и так далее.

Как происходит формирование и назначение политики для виртуальной машины? В отличие от классической настройки правил файрволла, состоящей из указания source IP address/port, destination IP address/port и протокола, то есть привязанных к категории IP-адреса, Nutanix Flow базируется на концепции «групп приложений». Вы создаете (или используете из предустановленных) категорию AppType (например: AppType:Microsoft Exchange), затем дополняете ее категорией AppTier (например: AppTier: Edge Transport Server или AppTier: Mailbox Server), и, наконец, связываете VM с соответствующей категорией в группу, которой в дальнейшем назначаете политику. В политике вы можете определить и задать inbound flows, которые могут быть ограничены набором источников, например, ими могут быть другие группы и категории, а также задать исходящие flows. Последние по умолчанию открыты, но вы также можете задать в них группы и категории.

В Nutanix Flows существует три типа политик: Application policies, Isolation policies и Quarantine policies.
Первая, application policy, может применяться для защиты приложений в VM, путем выборочного задания входящих и исходящих потоков к приложению и от него.
Вторая, isolation policy, применяется для изоляции всего трафика групп, например, отделить группу «DevTest» от «Production», «HR» от «Finance» или «MoscowDC» от «StPetersburgDC».
Наконец, третья, quarantine policy, применяется для полной изоляции группы или контейнера от всех прочих VM и приложений, например, в случае необходимости расследования инцидента взлома, подозрений на вирус, и так далее.
Политики могу комбинироваться между собой, при этом приоритет комбинирования политик осуществляется в порядке: Quarantine — Isolation — Application. То есть, например, назначение политики карантина автоматически перекрывает все действующие ниже по приоритету политики Isolation и Application, немедленно после ее применения.

Сложные схемы действия и комбинации упрощаются наличием специального monitoring mode, при котором созданные политики применяются в специальном тестовом режиме, позволяя проверить правильность настроек пред фактическим применением политик.

Ну и, конечно, облегчает процесс настройки и назначения политик наш интерфейс визуализации.

Например, мы хотим подразделению HR в группе San Jose разрешить доступ к отправке электронной почты на Edge-сервер по порту SMTP. Необходимая политика в визуальном редакторе будет выглядеть:

А если мы захотим пропускать исходящий трафик через service chain, например через application-level firewall, просто добавим его, щелкнув ниже на галку Redirect through service chain и выберем нужный firewall в списке.

Nutanix Flow не использует оверлейные сети, например, VXLAN, что существенно упрощает настройку и использование, и не требует специального отдельного контроллера SDN. Вся работа осуществляется на стандартных сетевых уровнях. Например, firewall в Flow работает на уровне L4 (TCP), и осуществляет stateful проверку сетевого трафика с L2 по L4 включительно. При этом, при необходимости более глубокой проверки на уровнях выше L4, возможна интеграция со сторонними продуктами, так, например, уже реализована совместная работа с Palo Alto Networks PANW VM-series firewall, для контроля трафика вплоть до Application Layer (L7). Если у пользователя уже развернуты свои средства firewall, они могут продолжать работать параллельно с Flow.

Обычно, для начала использования Flow не требуется изменений в топологии сети, если она уже сконфигурирована у пользователя. Все операции Flow происходят внутри виртуальной инфраструктуры, на AHV vSwitch. Политики, назначенные VM, продолжают исполняться даже в случае изменения выданного VM IP-адреса (при этом используется ARP spoofing, чтобы идентифицировать VM и ее новый IP, и обновить установки политики), и в случае переезда VM на другой хост.

Пока не поддерживается и не обрабатывается трафик IPv6 (но мы планируем добавить его обработку в будущем), поэтому сейчас, чтобы гарантировать отсутствие «бреши» через IPv6, и, если, как правило, ваша инфраструктура его не использует, лучше его полностью блокировать на файрволлах периметра.

Максимальное число политик, которые можно создать и применить достаточно велико и определяется доступной памятью CVM. При тестировании в Nutanix был создан однажды миллион правил на хосте, и это все работало, так что Flow готов работать даже в очень больших и сложных сетевых инфраструктурах.

Ну и самое приятное: в настоящий момент для Tech Preview микросегментация в AHV бесплатна. После выхода ее в статус GA, пользователю потребуется лицензия, приобретаемая отдельно. Квант — на хост, на срок от года до 5 лет (per-node, per-year), техподдержка включена в стоимость. Общая стоимость останется невысокой, я не могу говорить о ценах, но она будет минимум вдвое ниже чем, например, лицензия NSX Advanced, дающую схожую функциональность для vSphere. Будет существовать, конечно, и Trial (на 60 дней).

Для наших клиентов, у которых системы находятся на поддержке, обновление AOS и AHV приедет автоматически (его только останется скачать и установить обновление, без прерывания работы системы), и, если они уже используют Prism Central, обновление его позволит сразу же начать использовать Flow.

Таким образом, Acropolis Hypervisor — теперь сегодня это не только гипервизор, но и встроенная в гипервизор SDN (Software-defined Network), и если вы искали решение для микросегментации виртуальной среды, а NSX показался вам слишком дорогим и сложным, то самое время посмотреть на Nutanix Flow, возможно это то, что вам нужно.

Оригинал орубликован в блоге компании на Habrahabr: https://habrahabr.ru/company/nutanix/blog/348846/