理查德Sillito
加拿大航空公司WestJet的公司是VMware的NSX网络虚拟化工具最早的客户,它最初达到以解决安全问题之一。有个足球雷竞技app网络世界主编约翰·迪克斯最近与WestJet的技术专家理查德Sillito找出哪些公司正在了解网络虚拟化。
让我们与您的环境的缩略图描述开始。
我们有两个地理上分散的数据中心,一个主要数据中心有大约2000台服务器,其雷竞技电脑网站中80%是虚拟化的,另一个中心有大约500台服务器用于灾难恢复。我们还将关闭第三个并列数据中心。雷竞技电脑网站
什么推动你走向SDN?
我们的环境最初设计为南北交通。你进来,打在DMZ,你也许打一个内部服务器,也许一个安全的内部服务器,然后你回来了一次。所以,这条道路是非常简单的。但是,一旦我们开始整合其他系统中,我们介绍了很多东西交通。
例如,电子商务和企业使用的互联网连接是分开的,我们的想法是这两者永远不会见面。然后,我们引入了身份管理,并表示身份将被用来进行身份验证,并为西捷的员工和客人提供服务。
人们登录Westjet.com,访客门户就会出现,他们会提供某些服务,但如果你以员工身份登录,你会得到所有这些服务以及额外的企业服务。所以突然之间,这两种服务的分割就没有任何意义了。你进入eCom,然后进入企业DMZ,连接到那个服务,然后进入企业服务。正是这种多重路径开始给我们的网络带来巨大压力。
此外,我们还增加了许多其他服务。我们的奖励计划最初是一个独立的网站,但后来我们把它整合到主网站中,而假期是一个独立的网站,我们也会整合它,因为客人不想登录一个网站做这个,登录另一个网站做那个。他们想要登录并能够访问他们所有的服务。所以当我们把这些整合到一个门户网站时,东西方的流量就会增加得更多。
所以,您意识到问题正在酝酿,那么您是如何使用SDN或网络虚拟化作为解决方案的呢?
这种东西交通问题扩散到了防火墙上。随着连接数量的增加,防火墙规则几乎呈指数级增长。所以我们看到了防火墙规则的快速增长。但随着服务规模的扩大,情况也会变得更糟,因为当您建立一个新服务器时,您需要为该服务器创建所有的防火墙规则。这意味着当你垂直扩展时,你承担了工作量。
所以这确实是个安全问题。我们处理安全问题的方式迫使网络去做一些事情,就像我老板说的,不自然的事情。这时我发现这是一个分割问题。分割的方式没有意义。
我研究了不同的分割模型,从基于数据分类的分割思想开始。但使用这种模型,您需要的防火墙规则数量——因为这些敏感数据系统仍然需要与非敏感数据系统通信——仍然会产生一个巨大的规则集。您仍有很多需要维护的规则。
然后我从遵从性的角度来看,同样的问题出现了。我们的PCI系统仍然需要与数据中心中的许多其他系统进行通信。雷竞技电脑网站所以这并没有解决分割问题。
然后我看了看网络,然后说,“网络是关于服务的。这就是它的作用。服务通常与端口相关联,如果您有一个组织良好的数据中心,那么它们通常与网络上的某个位置相关联。雷竞技电脑网站“所以,当我开始从服务的角度看问题时,事情就变得非常简单。
所以我开发了这个模型,我们把它的技术委员会,我们得到了批准,开始寻找技术。第一个想法是做配对层与我们的核心路由器2个透明防火墙。我把那个大铁溶液,因为路由器的桥接第2层模式下运行,你只插入一个业务流中的中间。所以基本上我们必须在核心路由器和公正的发夹交通关闭通过防火墙的核心路由器。所以这是它本身没有三层接口。
你不喜欢这种方式,为什么?
它是昂贵的,但是没有得到优化,东西交通。它所做的就是把那个东西的交通问题,并把它放在一个地方的网络,我们可以再扔掉它足够的资源来处理进去。但是,我们在看一些从一系列公司的期权当VMware与这家名为NSX新的东西出来。我们让他们降下来,目前并立即开始凝胶我们。
推动我们走向这种方法的重要因素是将物理设备带入虚拟世界的概念;事实上,我们可以创建由物理设备和虚拟设备组成的网络段。你可以用VLAN做到这一点,但它并不漂亮。这里的解决方案要优雅得多。
第二件事情是,因为能保持主机上的流量进行优化,东西交通的概念,这是东西,你不可能在现实世界做。我们的计划所涉及的所有这些不同的服务气泡,每个气泡必须将流量发送到核心,以聊到另一个泡沫。所以,就像我说的,如果我们集中这个问题,我们可以在它投入更多的硬件,但是这将是更好的是如果这些工作负载是在同一台主机上,所以我们可以有检查主机上的流量而不发送到核心和背部。
您是通过主机上的虚拟防火墙实现的吗?
这是正确的。他们把它叫做逻辑分布式防火墙。
你使用VMware的虚拟防火墙吗?
是的。现在我们专注于1-4层的防火墙。更高层次的检查通常是南北检查,所以我们仍然有硬件防火墙在边缘,我们有其他安全设备在它到达数据中心之前进行检查。雷竞技电脑网站但是我们知道我们想要增加一些东西交通的5-7层,所以我们正在寻找供应商。这就是所谓服务链接的有趣哲学。
随着服务链接我可以将设备分成业务流量,但没有典型的网络限制。路由是不是太具体,所以今天我得把所有的流量从这个工作量和路由到安全设备,然后筛选并发送。但我为什么要我的备份流量发送到像一个Web应用防火墙?因此,我们倾向于过载安全设备,因为我们不得不通过他们所有的车辆行人。
但是使用服务链接,控制器会很聪明地说:“哦,如果这是端口80或443,那么就将该流量分流到web应用程序防火墙,但是端口7777备份流量,没有必要将您发送到那里。”“所以我们可以对交通更加挑剔。整个想法就是减少我们需要为这些设备购买的容量。
回到将物理设备引入虚拟世界的想法,你能对此进行扩展吗?
我们有一些XML防火墙和一些负载平衡器和信用卡标记化箱,所以从我的应用程序的角度来看,如果我需要来标记信用卡号码我把它那边拿回来,而且同样适用于其他服务。
现在,如果我在提供这些服务的硬件盒上创建虚拟接口,那么我就可以将这些虚拟接口映射到覆盖网络,并使每个盒子出现在多个覆盖中。所以现在对于服务所有者来说非常简单。他们认为自己在和代币经纪人对话。它是相同的IP地址空间,所以它一定是我的令牌代理。“我们只是混淆了这一点,给了他们一个存在于泡沫中的空间。”
您会使用OpenFlow来绑定这些硬件吗?
硬件厂商的目标是参加了SDN网络。他们不得不因为整个事情与隧道串在一起,如果你看它。即使开流,但它仍然与隧道串在一起。因此,必须有某种方式为分组要知道,它得去到那个开关,然后将其传送到与VNI那个开关,并有VNI它转换为VXLAN。它从哪里获得这些信息?从得到它最好的地方是控制器。
但最大的问题是物理与虚拟空间。这几乎就像两个不同的阵营SDN,这世界是怎么样走到一起的?我个人的感觉是,我们要看到,而且我们已经开始看到,SDN控制器共享状态。
但是你还没有真正开始您的网络硬件组件集成到这个网络虚拟世界呢?
我们有,而且有挑战。我们必须克服的挑战,所以我们必须在虚拟世界中的物理的方式,但我们不会有它,我们最终想要的方式。但是,供应商正在成长到那个空间。
所以你决定使用NSX。你在这方面处于什么位置?
我们还在设计阶段,很快就会实现。我们在实验室里做了很多工作。我们很幸运地成为了第一个测试客户。NSX已经在我们实验室使用了一年多了。
你是一个纯粹的VMware商店吗?没有其他需要处理的管理程序吗?
不。如果使用其他虚拟机监控程序,真正的挑战是无法得到优化的东西通信。因为逻辑分布式路由器和逻辑分布式防火墙允许你保持主机上的流量。所以这是旧的东西,如果你想要所有的功能,你最终会被锁定。
多久这个拿地推出?什么是这一进程?
一根绳子有多长?我们的想法是从我们的网站开始,我们希望在12月之前完成。当然,我们希望看到它在今年年底前投入使用。大约有200个服务器。
+也在网络世界有个足球雷竞技app是企业准备好网络虚拟化?+
将转移到网络虚拟化需要你改变什么组织明智?
这是真正有趣的是,进化。这里还有很多方面。有些人想知道,“什么叫我的工作看起来像虚拟化之后?”然后还有的,“难道我们创建一个单独的团队,云团队的整体思路?还是这更多的是基于社区的办法吗?”实际上,我们有建筑师在寻找什么是最适合WestJet的运作模式。
我如何合理化它在早期阶段 - 因为我需要让人们开始对这个合作 - 我说,让我们只需要创建一个云团队;拉出来的资源的IT,并把它们放在一起。那么,一个挑战是我们没有那么大。我们只有大约230人的IT是。你开始拉一两个人了某些群体的且已按五分之一,减少了他们的能力。
如果你把这些人拉进一个团队,他们就会被孤立,与他们的世界分离。因此,现在您正在将虚拟网络与物理网络解耦。您正在将虚拟安全与物理安全解耦。你把这些都解耦了,这是健康的做法吗?当然,它使云的运行更容易,但它是否在您的it中创造了连续性?我认为没有。
所以最终我想,建立一个软件定义的数据中心和建立一个数据中心没有什么不同,当我们建立我们最后一个数据中心的时雷竞技电脑网站候,我们没有说,“好,我们要把人从它里面拉出来,把他们放到东部数据中心团队。“我们每个小组都派了代表参加,他们将是知识输入和输出的桥梁。
所以我从根本上用同样的方式看待它,并说:“让我们假装我们在建造一个数据中心。雷竞技电脑网站于是我召集了网络人员、服务器操作人员、安全人员和一群架构师,成立了一个名为V团队的团队。我们每周开会一次,制定设计方案,解决问题,听演讲,无论那周的日程安排是什么。
NSX在今天的实验室中是如何存在的?每一个细节都是你自己设计的吗?
它相对来说仍然是被包容的,但这是软件定义网络的优点之一。您可以使其非常复杂,但它不会影响物理层。只要有两台主机来回发送通信,你就验证了所有需要验证的东西。它很简洁,因为它缩放得很好。这就是它的美妙之处。现在所有的事情在规模上都失败了,所以总有一天会失败,对吧?与运行NSX的其他人相比,我们拥有一个相对较小的数据中心,这对我们来说很美妙。我们去到技术顾雷竞技电脑网站问委员会,听到他们提出的数字,我们会说,“是的,我们可能不用担心这个。”
还有什么,我们没有打,你认为需要传达这个旅程是非常重要的?
如果我真的要把它归结为,我们真的找到了一种方法来放置一个网络安全策略,它不依赖于网络的工作方式。我记得我们有一个关于web堆栈的白板会议,有人说我们必须考虑路由流量到防火墙。我说,“不,我们没有。你只是让交通顺畅。我将设置策略,该策略将在进入和离开虚拟机时应用。我不在乎你怎么走。这对我来说不再重要了,因为我可以在虚拟机周围设置策略。“我认为,这种能力将是巨大的。