 |
Анализ требований к подсистеме доступа к внешним сетям
|
|
|
|
Подсистема доступа к внешним сетям должна обеспечить контролируемый доступ как локальной сети в сеть интернет, так и пользователей интернет и избранным ресурсам центра обработки данных.
Функционально подсистема доступа к внешним сетям будет являться шлюзом в интернет с функциями межсетевого экрана (брэндмауэра).
Подсистема должна обеспечивать гибкую фильтрацию трафика, защиту локальной сети от внешних сетевых угроз, возможности для управления перенаправлением трафика в случае роста предприятия и увеличения количества внешних сетевых сервисов. Так же система должна предоставлять возможности настройки маршрутизации. Для решения этих задач должно быть реализовано гибкое и удобное управление шлюзом и межсетевым экраном.
В соответствии с техническим заданием надо поместить ПО шлюза и брэндмауэра на изолированном физическом хосте. Чтобы изолировать эту подсистему от локальной сети ЦОД на сетевом уровне можно разместить ее в отдельной подсети, разделив узлом маршрутизации от остального сетевого пространства.
Доступ в сеть должен предоставляться любому сегменту сети с сокрытием внутренней структуры сети предприятия. Для сокрытия внутренней структуры можно использовать технологию NAT (Network Address Translation - «преобразование сетевых адресов») - это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов.
Для защиты от угроз из внешней сети должна быть возможность управления трафиком (блокировка, правила трансляции и перенаправления, управление маршрутизацией) для различных этапов коммутации.
Для реализации этого функционала можно использовать как аппаратные (например, CISCO PIX Firewall), так и программные решения (Kerio, Netfilter, Uncomplicated Firewall, Outpost и.т.п.).
|
|
|
Наиболее простым и доступным решением для этой роли будет программная реализация данной подсистемы.
Для подобной реализации наиболее подходит надежный межсетевой экран с открытым исходным кодом и широкими возможностями конфигурирования и настройки netfilter/iptables.
С открытым исходным кодом данный сервис представлен мощным и надежным сетевым экраном netfilter и утилитами управления iptables для ОС семейства Linux/Unix. Поддержка других необходимых сетевых протоколов для доступа к сети и маршрутизации так же в полной мере реализована в ОС Linux/Unix.
Для дополнительной защиты локальной сети от сетевых угроз следует разместить сервисы, доступ к которым предоставляется из внешней сети, в отдельном изолированном сетевом сегменте.
Так же одним из требований было обеспечение отказоустойчивости подключения на уровне каналов связи. Для этого можно добавить и сконфигурировать дополнительный физический сетевой интерфейс и добавить скрипты проверки состояния канала связи. Концепция подключения показана на рисунке 4.1.
Рисунок 4.1 "Концепция изоляции сервисов с подсистемой доступа к внешним сетям"
Сетевые интерфейсы должны иметь различные каналы подключений к внешней сети (например, использование двух различных провайдеров для каждого подключения).
Для изоляции подсистемы доступа к внешним сетям на отдельном хосте требуется отдельный физический сервер. Отказоустойчивость на уровне каналов связи, как для сети ЦОД, так и во внешнюю среду требует несколько физических сетевых интерфейсов (как минимум четыре).
Планирование применения решений виртуализации
Виртуализация - это процесс представления набора вычислительных ресурсов, или их логического объединения, который даёт какие-либо преимущества перед оригинальной конфигурацией. Помимо широко применяемых возможностей виртуализации отдельных вычислительных ресурсов компьютера (виртуальная память, виртуальна файловая система, виртуальный режим работы процессора V86-mode) существует так же возможность преобразовать («виртуализировать») аппаратные ресурсы компьютера, включая ЦП, ОЗУ, жесткий диск и сетевой контроллер, для создания полнофункциональной виртуальной машины, на которой можно установить отдельную ОС и выполнять приложения, как на «физическом» компьютере.
|
|
|
Общий принцип такой виртуализации показан на рисунке 4.2.
Рисунок 4.2 "Модель работы гипервизора"
Преимущества применения подобных решений виртуализации очень значительны:
- Повышение отказоустойчивости.
- Возможность плавного обновления и наращивания аппаратной платформы.
- Увеличение возможностей масштабирования информационной системы.
- Изоляция служб.
- Возможность гибкого распределения ресурсов между службами.
- Использование операционной системы, которая наилучшим образом подходит для решения задачи.
Недостатки решений виртуализации:
- Сложность реализации.
- Проблемы с поддержкой оборудования на уровне гостевых ОС (надо заранее планировать взаимодействие внутри виртуальной среды).
- Некоторые платформы виртуализации требовательны к конкретному аппаратному обеспечению (требуется предварительное планирование аппаратной составляющей для мониторов виртуальных машин).
- Снижение производительности гостевых ОС (с применением технологий "паравиртуализации" и "аппаратной виртуализации" потери производительности минимальны).
В структуре ЦОД для достижения описанных преимуществ можно виртуализировать весь серверный сегмент за исключением подсистемы доступа к внешним сетям (что заранее оговорено в ТЗ). Виртуализация сервисов ЦОД должна происходить с учетом отсутствия потерь функциональных качеств сетевых сервисов. С учетом предварительного планирования виртуальной среды недостатки систем виртуализации возможно свести к минимуму.
Таким образом, применение решений виртуализации возможно при использовании ПО мониторов виртуальных машин (гипервизоров) с открытым исходным кодом (согласно требованию ТЗ к сервисам). Подобные решения виртуализации представлены гипервизорами OpenVZ, KVM (Kernel-based Virtual Machine) и XEN, каждый из которых обладает высоким быстродействием и широкими возможностями конфигурирования. Важным требованием к системе виртуализации является поддержка операционных систем, которые будут использованы для выполнения требуемых сервисов.
|
|
|
Использование систем виртуализации позволит эффективно распределить сервисы центра обработки данных, уменьшить количество простоев и непродуктивной работы серверного оборудования. Так же с помощью этих систем будет возможно автоматическое восстановление работоспособности сервисов в случае аппаратных или программных сбоев серверов.
Для обеспечения этих возможностей необходимо использовать как минимум два физических сервера, единообразие сетевой среды в сегменте виртуализации и единое хранилище для реализации концепции кластера виртуализации. При этом, в случае отказа одного сервера, мощности оставшихся серверов должно быть достаточно для выполнения всех сервисов.
Важно предусмотреть использование решений виртуализации при выборе программной и аппаратной составляющей, а так же при проектировании сети ЦОД.
Планирование сетевой архитектуры ЦОД
Взаимодействие узлов в центре обработки данных происходит через локальную вычислительную сеть. Планирование сетевой архитектуры, сегментации и сетевого взаимодействия узлов в сети является важным звеном в процессе проектирования ЦОД.
Сетевая архитектура определяет топологию и метод доступа к среде передачи данных, кабельную систему или среду передачи данных, формат сетевых кадров тип кодирования сигналов, скорость передачи.
Исходя из требований сервисов, работа которых необходима согласно требованиям технического задания, для создания сети ЦОД нужно использовать технологию "Ethernet". Ethernet - в настоящее время наиболее популярная в мире технология для передачи данных. Популярность обеспечивается простыми, надежными и недорогими технологиями. Стандарты Ethernet определяют проводные соединения и электрические сигналы на физическом уровне, формат кадров и методы управления доступом к среде (CSMA/CD).
|
|
|
Для организации сети необходимо так же выбрать топологию, локальной сети. Под топологией обычно понимается способ описания конфигурации сети, схему расположения и соединения сетевых устройств.
На уровне общего логического взаимодействия узлов внутри ЦОД, с учетом узла маршрутизации, который необходим для разделения сети на сегменты, исходя из требований технического задания, топология будет гибридной (древовидной), структура отражена на рисунке 4.3.
Рисунок 4.3 "Логическая топология взаимодействия сетевых сегментов"
Вершиной дерева будет серверный сегмент центра обработки данных, ветви будут представлять линии связи к коммутационным узлам. На уровне одного коммутационного узла логическая организация будет подобна звездообразной топологии.
|
|
|
