VMWARE NSX U BEOGRADSKIM ELEKTRANAMA

Kako bi unapredili mrežne i sigurnosne servise unutar data centra inženjeri JKP Beogradske elektrane odlučili su da implementiraju VMware NSX i vRealize Network Insight. NSX kao platforma za softverski definisane mreže nametnula se kao logično rešenje, s obzirom na integraciju sa postojećom VMware platformom za virtuelizaciju servera.

JKP Beogradske elektrane se već više od 50 godina bavi proizvodnjom i distribucijom toplotne energije za potrebe daljinskog grejanja i isporukom potrošne tople vode na teritoriji Beograda. Ispod beogradskih ulica nalazi se toplovodna mreža dužine preko 700 km, koja se svake godine proširuje za nekoliko desetina kilometara.

Serverska infrastruktura JKP Beogradske elektrane smeštena je u dva fizički odvojena data centra, a u planu je izgradnja još jednog centra na trećoj lokaciji. Virtuelizacijom kompjuterskih resursa uz korišćenje VMware tehnologije upravljanje serverskom infrastrukturom je pojednostavljeno i sistem administratorima je olakšan svakodnevni rad. Međutim, tradicionalni način organizacije mreže, kakav je primenjen u ovom slučaju, ograničava njihove najvažnije servise na fizičku lokaciju jednog data centra. Ovo znači da bi migracija nekog od servisa na drugu lokaciju data centra iziskivala promenu IP adrese virtuelne mašine i izmenu parametara na DNS-u, što usporava oporavak servisa na rezervnoj lokaciji. Dodatni problem predstavlja bezbednost virtuelnog serverskog okruženja, tj. nepostojanje data centar firewall-a, kao i nedostatak vidljivosti komunikacija unutar data centra.

Rešenje za unapređenje efikasnosti i bezbednosti

Kako bi unapredili mrežne i sigurnosne servise unutar data centra inženjeri JKP Beogradske elektrane odlučili su da implementiraju VMware NSX i vRealize Network Insight (vRNI). NSX kao platforma za softverski definisane mreže nametnula se kao logično rešenje, s obzirom na integraciju sa postojećom VMware platformom za virtuelizaciju servera. NSX omogućava kompletan L2 do L7 mrežni i sigurnosni model u softveru. Ova platforma razdvaja mrežu od postojećeg hardvera, koristeći prednosti postojeće infrastrukture, ali na način koji omogućuje nove brzine pružanja usluga.
Koristeći fizičku underlay mrežu unutar data centra, NSX omogućava konfiguraciju kompleksnih mrežnih topologija i servisa bez potrebe za dodatnim konfigurisanjem fizičke mreže. Osnovne komponente NSX-a su virtuelni distribuirani switch (VDS), distribuirani logički ruter (DLR) i NSX EDGE ruter. Ove tri komponente imaju mogućnost da reprodukuju sve mrežne servise u softveru, od L3 statičkog i dinamičkog rutiranja do firewall-a, load balancer-a i SLL VPN-a. Dodatna pogodnost je što mrežni i sistem inženjeri pomoću NSX-a mogu sa jedne tačke konfigurisati, kreirati i modifikovati mrežne servise.
U slučaju Beogradskih elektrana instaliran je distribuirani logički ruter (DLR) i uključen je distribuirani firewall. DLR je logički ruter optimizovan za East-West komunikaciju, tj. komunikaciju unutar virtuelne infrastrukture, a sa fizičkom mrežom integrisan je korišćenjem OSPF ruting protokola. Dinamičkim ruting protokolom oglašavaju se mreže koje su prisutne u data centru i svaka izmena, u smislu dodavanja ili brisanja neke mreže, automatski je propagirana ka ostatku mreže. DLR omogućava da se jedan mrežni opseg prostire preko više fizički odvojenih lokacija, čak i ako su ESXi serveri u različitim mrežnim opsezima. Ova funkcionalnost je od izuzetnog značaja za inženjere Beogradskih elektrana zbog oporavka virtuelnih mašina na rezervnoj lokaciji bez izmene IP i DNS parametara. Distribuirani logički ruter prisutan je u hipervizoru ESXi servera, što znači da svaki server u klasteru može da vrši rutiranje i firewall kontrolu saobraćaja. Dodavanje novog servera u klaster povećava ukupne performanse distribuiranog firewall-a, što ovo rešenje čini skalabilnim.
Distribuirani firewall nudi servis u vidu mikrosegmentacije. Sam firewall mehanizam je ugrađen u hipervizor servera i primenjuje se na nivou mrežne kartice virtuelne mašine. Na ovaj način moguće je kontrolisati saobraćaj unutar virtuelnog okruženja, čak i između virtuelnih mašina koje pripadaju istom mrežnom segmentu. Dobra strana ovog rešenja je što se bilo koji objekat definisan u okviru vCenter servera može koristiti kao izvor ili destinacija u okviru sigurnosne polise. Sigurnosna polisa prati virtuelnu mašinu gde god se ona nalazila, a uklanjanje virtuelne mašine podrazumeva i uklanjanje polise koja je vezana za nju. Distribuirani firewall nudi zaštitu na L4 nivou OSI sistema, a moguće je integrisati ga sa sigurnosnim softverskim proizvodima drugih kompanija kako bi se povećala bezbednost virtuelnog serverskog okruženja.
VRealize Network Insight je alat koji se integriše sa vCenter serverom, NSX-om i drugom mrežnom infrastrukturom data centra, a cilj je da olakša svakodnevnu upotrebu NSX-a. Korisnicima vRNI daje uputstva i informacije o najboljim praksama kako bi poboljšali performanse i dostupnost virtuelne infrastrukture. VRNI prikuplja netflow informacije sa mreže kako bi stekao sveobuhvatnu sliku o komunikacijama koje se odvijaju unutar virtuelnog data centra, kao i sa ostatkom fizičke mreže. Korisniku pruža mogućnost da planira mikrosegmentaciju, vrši analizu postojećih i daje preporuke za dodavanje novih firewall pravila. Jednostavan grafički interfejs omogućava korisniku da pretražuje bilo koji objekat iz vCenter servera i dobije informaciju o komunikacijama koje su u vezi sa tim objektom.

Prednosti implementacije NSX-a i vRNI-ja

Implementacijom NSX-a JKP Beogradske elektrane dobile su agilnu, fleksibilnu softverski definisanu mrežu, koja je u potpunosti nezavisna od lokacije i hardverske opreme. Mikrosegmentacija koju omogućava distribuirani firewall povećala je nivo bezbednosti unutar virtuelnog serverskog okruženja, a sigurnosna polisa prati virtuelne servise gde god oni bili, na primarnoj ili rezervnoj lokaciji data centra. Sa alatom kakav je vRNI, inženjeri Beogradskih elektrana imaju potpunu vidljivost komunikacija unutar data centra i mogu da planiraju bezbednost trenutnih i budućih virtuelnih servisa.

Milan Vujović

0 %s Comments

Prosledi komentar

Vaša adresa e-pošte neće biti objavljena.

Najnoviji

Novi-NetApp-proizvodi

Novi NetApp proizvodi

Da li su vam već poznati novi NetApp sistemi C-serije, sa QLC Flash tipom ...
Veštačka-inteligencija-u-našim-rukama

Veštačka inteligencija u

Broj oblasti u kojima se eksperimentiše sa različitim dostignućima veštačke ...
Azure-Active-Directory--postaje-Entra-ID

Azure Active Directory

Azure Active Directory je sada Entra ID. I premda većina korisnika ovu promenu ...
Transformacija-tehničkog-duga--pomoću-DevOps-tehnologija

Transformacija tehničkog duga

Najveću opasnost za organizacije ne predstavlja samo postojanje tehničkog duga, ...