SlideShare une entreprise Scribd logo

Организация сети и безопасность

O
OpenStackRU
Technologie
1  sur  26
Организация сети и безопасность Топология сетей, виды трафика, безопасность, особенности реализации
сеть в Openstack • Nova-network – Управление бриджами и сетевыми интерфейсами brctl, ip, route
сеть в Openstack • Nova-network – Управление бриджами и сетевыми интерфейсами – Фильтрация трафика (общие правила) # iptables –S … -A nova-network-INPUT -i br100 -p udp -m udp --dport 67 -j ACCEPT -A nova-network-INPUT -i br100 -p tcp -m tcp --dport 67 -j ACCEPT -A nova-network-INPUT -i br100 -p udp -m udp --dport 53 -j ACCEPT -A nova-network-INPUT -i br100 -p tcp -m tcp --dport 53 -j ACCEPT …
сеть в Openstack • Nova-network – Управление бриджами и сетевыми интерфейсами – Фильтрация трафика (общие правила) – NAT # iptables –t nat –S … -A nova-network-snat -j nova-network-float-snat -A nova-network-snat -s 10.0.0.0/24 -j SNAT --to-source 192.168.122.177 …
сеть в Openstack • Nova-network – Управление бриджами и сетевыми интерфейсами – Фильтрации трафика (общие правила) – NAT – DHCP dnsmasq
сеть в Openstack • Nova-network – Управление бриджами и сетевыми интерфейсами – Фильтрации трафика (общие правила) – NAT – DHCP – Public (floating) network # iptables –t nat –S … -A nova-network-PREROUTING -d 172.40.0.1/32 -j DNAT --to-destination 10.0.0.4 -A nova-network-float-snat -s 10.0.0.4/32 -j SNAT --to-source 172.40.0.1 …
сеть в Openstack • Nova-network – Управление бриджами и сетевыми интерфейсами – Фильтрация трафика (общие правила) – NAT – DHCP – Public (floating) network • Nova-compute – Фильтрация трафика (Security groups)
Сетевые менеджеры • FlatNetworking (не используется)
Сетевые менеджеры • FlatNetworking (не используется) • FlatDHCPNetworking – Общая сеть для всех проектов
Сетевые менеджеры • FlatNetworking (не используется) • FlatDHCPNetworking – Общая сеть для всех проектов • VlanNetworking (наиболее часто используется в production инсталляциях) – Выделенная L2, L3 сеть для проекта – Необходима поддержка VLAN на сетевом оборудовании
Сетевая отказоустойчивость • Multi_host – multi_host=True
Сетевая отказоустойчивость • Multi_host – multi_host=True – nova-network на каждой compute ноде
Сетевая отказоустойчивость • Multi_host – multi_host=True – nova-network на каждой compute ноде – отдельный DHCP сервер на каждой ноде
Сетевая отказоустойчивость • Multi_host – multi_host=True – nova-network на каждой compute ноде – отдельный DHCP сервер на каждой ноде – виртуальные машины используют в качестве гейтвея адрес ноды
Сетевая отказоустойчивость • Multi_host – multi_host=True – nova-network на каждой compute ноде – отдельный DHCP сервер на каждой ноде – виртуальные машины используют в качестве гейтвея адрес ноды – Дополнительно на каждой compute ноде запускается также nova-api для metadata сервиса
Сеть на физических нодах
Схема сетевой топологии
Сетевые интерфейсы • Management (eth0) – public_interface=eth0 # nova-manage floating create –ip_range=172.40.0.0/30 --interface=eth0 # nova floating-ip-create # nova add-floating-ip <VM-UUID> 172.40.0.1
Сетевые интерфейсы • Management (eth0) – public_interface=eth0 • Vlan (eth1) – vlan_interface=eth1 – vlan_start=500 – trunk VLANs on switch # nova-manage network create –fixed_range_v4=10.10.0.0/24 –num_networks=1 – bridge_interface=eth1 --project_id=<TENANT_UUID>
Сетевые интерфейсы • Management (eth0) – public_interface=eth0 • Vlan (eth1) – vlan_interface=eth1 – vlan_start=500 – trunk VLANs on switch • Storage (eth2) (optional)
Security Groups • Основаны на IPTABLES • Фильтруется только входящий трафик • Возможность создавать гибкие правила • Поддержка в веб-интерфейсе (horizon) # nova secgroup-add-rule myservers tcp 22 22 192.168.1.1/0 # nova secgroup-add-rule myservers icmp -1 255 192.168.1.1/0 # nova boot --flavor 1 --image 9bab7ce7-7523-4d37-831f-c18fbc5cb543 -- key_name mykey myinstance --security_groups myservers
Будущий релиз Folsom • Релиз Folsom (release date Q3 2012): – Quantum совместит все сетевые функции (L2, IPAM)
Будущий релиз Folsom • Релиз Folsom (release date Q3 2012): – Quantum совместит все сетевые функции (L2, IPAM) – Сетевые плагины (OVS, Cisco, ryu, Nicira NVP)
Будущий релиз Folsom • Релиз Folsom (release date Q3 2012): – Quantum совместит все сетевые функции (L2, IPAM) – Сетевые плагины (OVS, Cisco, ryu, Nicira NVP) – Поддержка Openflow, возможность интегрироваться в существующую сетевую инфраструктуру
Будущий релиз Folsom • Релиз Folsom (release date Q3 2012): – Quantum совместит все сетевые функции (L2, IPAM) – Сетевые плагины (OVS, Cisco, ryu, Nicira NVP) – Поддержка Openflow, возможность интегрироваться в существующую сетевую инфраструктуру – Гибкое управление трафиком (OVS flows, openflow, iptables) (ожидается к Folsom-2)
Спасибо за внимание! Роман Соколков rsokolkov@mirantis.com

Recommandé

Технополис: Сетевой стек
Технополис: Сетевой стекТехнополис: Сетевой стек
Технополис: Сетевой стекDmitry Samsonov
 
20201021 Технополис: Сетевой стек
20201021 Технополис: Сетевой стек20201021 Технополис: Сетевой стек
20201021 Технополис: Сетевой стекDmitry Samsonov
 
FlexVPN
FlexVPNFlexVPN
FlexVPNCisco Russia
 
Практические советы по выбору и настройке Cisco VPN
Практические советы по выбору и настройке Cisco VPNПрактические советы по выбору и настройке Cisco VPN
Практические советы по выбору и настройке Cisco VPNSkillFactory
 
Принципы функционирования ACI Запуск и эксплуатация фабрики ACI
Принципы функционирования ACI Запуск и эксплуатация фабрики ACIПринципы функционирования ACI Запуск и эксплуатация фабрики ACI
Принципы функционирования ACI Запуск и эксплуатация фабрики ACICisco Russia
 
Варианты внедрения ACI и миграции существующих сетей ЦОД
Варианты внедрения ACI и миграции существующих сетей ЦОДВарианты внедрения ACI и миграции существующих сетей ЦОД
Варианты внедрения ACI и миграции существующих сетей ЦОДCisco Russia
 
Интеграция и внедрение Cisco UCS. Практические аспекты
Интеграция и внедрение Cisco UCS. Практические аспекты Интеграция и внедрение Cisco UCS. Практические аспекты
Интеграция и внедрение Cisco UCS. Практические аспекты Cisco Russia
 
Вебинар по отказоустойчивости, 13.04.2017
Вебинар по отказоустойчивости, 13.04.2017Вебинар по отказоустойчивости, 13.04.2017
Вебинар по отказоустойчивости, 13.04.2017S-Terra CSP
 

Recommandé

Технополис: Сетевой стек
Технополис: Сетевой стекТехнополис: Сетевой стек
Технополис: Сетевой стекDmitry Samsonov
 
20201021 Технополис: Сетевой стек
20201021 Технополис: Сетевой стек20201021 Технополис: Сетевой стек
20201021 Технополис: Сетевой стекDmitry Samsonov
 
FlexVPN
FlexVPNFlexVPN
FlexVPNCisco Russia
 
Практические советы по выбору и настройке Cisco VPN
Практические советы по выбору и настройке Cisco VPNПрактические советы по выбору и настройке Cisco VPN
Практические советы по выбору и настройке Cisco VPNSkillFactory
 
Принципы функционирования ACI Запуск и эксплуатация фабрики ACI
Принципы функционирования ACI Запуск и эксплуатация фабрики ACIПринципы функционирования ACI Запуск и эксплуатация фабрики ACI
Принципы функционирования ACI Запуск и эксплуатация фабрики ACICisco Russia
 
Варианты внедрения ACI и миграции существующих сетей ЦОД
Варианты внедрения ACI и миграции существующих сетей ЦОДВарианты внедрения ACI и миграции существующих сетей ЦОД
Варианты внедрения ACI и миграции существующих сетей ЦОДCisco Russia
 
Интеграция и внедрение Cisco UCS. Практические аспекты
Интеграция и внедрение Cisco UCS. Практические аспекты Интеграция и внедрение Cisco UCS. Практические аспекты
Интеграция и внедрение Cisco UCS. Практические аспекты Cisco Russia
 
Вебинар по отказоустойчивости, 13.04.2017
Вебинар по отказоустойчивости, 13.04.2017Вебинар по отказоустойчивости, 13.04.2017
Вебинар по отказоустойчивости, 13.04.2017S-Terra CSP
 
Как настроить DMVPN и избежать проблем
Как настроить DMVPN и избежать проблемКак настроить DMVPN и избежать проблем
Как настроить DMVPN и избежать проблемCisco Russia
 
Виртуализация ASR 9000: объединение шасси в кластер и подключение сателлитов
Виртуализация ASR 9000: объединение шасси в кластер и подключение сателлитовВиртуализация ASR 9000: объединение шасси в кластер и подключение сателлитов
Виртуализация ASR 9000: объединение шасси в кластер и подключение сателлитовCisco Russia
 
Развитие семейства коммутаторов Nexus 5000 и Nexus 2000
Развитие семейства коммутаторов Nexus 5000 и Nexus 2000Развитие семейства коммутаторов Nexus 5000 и Nexus 2000
Развитие семейства коммутаторов Nexus 5000 и Nexus 2000Cisco Russia
 
Управление секретами в кластере Kubernetes при помощи Hashicorp Vault / Серге...
Управление секретами в кластере Kubernetes при помощи Hashicorp Vault / Серге...Управление секретами в кластере Kubernetes при помощи Hashicorp Vault / Серге...
Управление секретами в кластере Kubernetes при помощи Hashicorp Vault / Серге...Ontico
 
Как правильно выбрать Cisco VPN?
Как правильно выбрать Cisco VPN?Как правильно выбрать Cisco VPN?
Как правильно выбрать Cisco VPN?SkillFactory
 
Get inside stage2 new
Get inside stage2 newGet inside stage2 new
Get inside stage2 newInfoTeCS
 
Зачем программистам Ansible
Зачем программистам AnsibleЗачем программистам Ansible
Зачем программистам AnsibleDenis Honig
 
Оверлейные сети ЦОД Технологии VXLAN и EVPN
Оверлейные сети ЦОД Технологии VXLAN и EVPN Оверлейные сети ЦОД Технологии VXLAN и EVPN
Оверлейные сети ЦОД Технологии VXLAN и EVPN Cisco Russia
 
[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/Linux
[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/Linux[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/Linux
[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/LinuxDefconRussia
 
5 способов деплоя PHP-кода в условиях хайлоада / Юрий Насретдинов (Badoo)
5 способов деплоя PHP-кода в условиях хайлоада / Юрий Насретдинов (Badoo)5 способов деплоя PHP-кода в условиях хайлоада / Юрий Насретдинов (Badoo)
5 способов деплоя PHP-кода в условиях хайлоада / Юрий Насретдинов (Badoo)Ontico
 
Обратная разработка бинарных форматов с помощью Kaitai Struct
Обратная разработка бинарных форматов с помощью Kaitai StructОбратная разработка бинарных форматов с помощью Kaitai Struct
Обратная разработка бинарных форматов с помощью Kaitai StructPositive Hack Days
 
Серверы стандартной архитектуры
Серверы стандартной архитектурыСерверы стандартной архитектуры
Серверы стандартной архитектурыГруппа компаний СИС
 
Networks in the cloud on OpenStask: problems we face and their solution
Networks in the cloud on OpenStask: problems we face and their solutionNetworks in the cloud on OpenStask: problems we face and their solution
Networks in the cloud on OpenStask: problems we face and their solutionVadim Ponomarev
 
Находим и эксплуатируем уязвимости. Теория и практические примеры уязвимых ре...
Находим и эксплуатируем уязвимости. Теория и практические примеры уязвимых ре...Находим и эксплуатируем уязвимости. Теория и практические примеры уязвимых ре...
Находим и эксплуатируем уязвимости. Теория и практические примеры уязвимых ре...Kristina Pomozova
 
Networking technology in modern Virtual Private Clouds (RUS, RootConf++ 2018)
Networking technology in modern Virtual Private Clouds (RUS, RootConf++ 2018)Networking technology in modern Virtual Private Clouds (RUS, RootConf++ 2018)
Networking technology in modern Virtual Private Clouds (RUS, RootConf++ 2018)Vadim Ponomarev
 
Nexus 7000 – архитектура передачи данных. Поиск и устранение неисправностей.
Nexus 7000 – архитектура передачи данных. Поиск и устранение неисправностей.Nexus 7000 – архитектура передачи данных. Поиск и устранение неисправностей.
Nexus 7000 – архитектура передачи данных. Поиск и устранение неисправностей.Cisco Russia
 
Whats new in_mikro_tik_ros_6_(megis,_mosсow_2013)_(russian_translate_by_white...
Whats new in_mikro_tik_ros_6_(megis,_mosсow_2013)_(russian_translate_by_white...Whats new in_mikro_tik_ros_6_(megis,_mosсow_2013)_(russian_translate_by_white...
Whats new in_mikro_tik_ros_6_(megis,_mosсow_2013)_(russian_translate_by_white...sami_11
 
TMPA-2013 Sartakov: Genode
TMPA-2013 Sartakov: GenodeTMPA-2013 Sartakov: Genode
TMPA-2013 Sartakov: GenodeIosif Itkin
 
Инфрраструктура ЦОД - интерконнект от Qlogik
Инфрраструктура ЦОД - интерконнект от QlogikИнфрраструктура ЦОД - интерконнект от Qlogik
Инфрраструктура ЦОД - интерконнект от QlogikExpolink
 
Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018
Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018
Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018GigaCloud
 
SDN: Что это? Что оно нам дает и как его использовать
SDN: Что это? Что оно нам дает и как его использоватьSDN: Что это? Что оно нам дает и как его использовать
SDN: Что это? Что оно нам дает и как его использоватьCisco Russia
 
Создание и развитие отечественной платформы с открытым программным кодом для ...
Создание и развитие отечественной платформы с открытым программным кодом для ...Создание и развитие отечественной платформы с открытым программным кодом для ...
Создание и развитие отечественной платформы с открытым программным кодом для ...ARCCN
 

Contenu connexe

Tendances

Как настроить DMVPN и избежать проблем
Как настроить DMVPN и избежать проблемКак настроить DMVPN и избежать проблем
Как настроить DMVPN и избежать проблемCisco Russia
 
Виртуализация ASR 9000: объединение шасси в кластер и подключение сателлитов
Виртуализация ASR 9000: объединение шасси в кластер и подключение сателлитовВиртуализация ASR 9000: объединение шасси в кластер и подключение сателлитов
Виртуализация ASR 9000: объединение шасси в кластер и подключение сателлитовCisco Russia
 
Развитие семейства коммутаторов Nexus 5000 и Nexus 2000
Развитие семейства коммутаторов Nexus 5000 и Nexus 2000Развитие семейства коммутаторов Nexus 5000 и Nexus 2000
Развитие семейства коммутаторов Nexus 5000 и Nexus 2000Cisco Russia
 
Управление секретами в кластере Kubernetes при помощи Hashicorp Vault / Серге...
Управление секретами в кластере Kubernetes при помощи Hashicorp Vault / Серге...Управление секретами в кластере Kubernetes при помощи Hashicorp Vault / Серге...
Управление секретами в кластере Kubernetes при помощи Hashicorp Vault / Серге...Ontico
 
Как правильно выбрать Cisco VPN?
Как правильно выбрать Cisco VPN?Как правильно выбрать Cisco VPN?
Как правильно выбрать Cisco VPN?SkillFactory
 
Get inside stage2 new
Get inside stage2 newGet inside stage2 new
Get inside stage2 newInfoTeCS
 
Зачем программистам Ansible
Зачем программистам AnsibleЗачем программистам Ansible
Зачем программистам AnsibleDenis Honig
 
Оверлейные сети ЦОД Технологии VXLAN и EVPN
Оверлейные сети ЦОД Технологии VXLAN и EVPN Оверлейные сети ЦОД Технологии VXLAN и EVPN
Оверлейные сети ЦОД Технологии VXLAN и EVPN Cisco Russia
 
[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/Linux
[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/Linux[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/Linux
[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/LinuxDefconRussia
 
5 способов деплоя PHP-кода в условиях хайлоада / Юрий Насретдинов (Badoo)
5 способов деплоя PHP-кода в условиях хайлоада / Юрий Насретдинов (Badoo)5 способов деплоя PHP-кода в условиях хайлоада / Юрий Насретдинов (Badoo)
5 способов деплоя PHP-кода в условиях хайлоада / Юрий Насретдинов (Badoo)Ontico
 
Обратная разработка бинарных форматов с помощью Kaitai Struct
Обратная разработка бинарных форматов с помощью Kaitai StructОбратная разработка бинарных форматов с помощью Kaitai Struct
Обратная разработка бинарных форматов с помощью Kaitai StructPositive Hack Days
 
Networks in the cloud on OpenStask: problems we face and their solution
Networks in the cloud on OpenStask: problems we face and their solutionNetworks in the cloud on OpenStask: problems we face and their solution
Networks in the cloud on OpenStask: problems we face and their solutionVadim Ponomarev
 
Находим и эксплуатируем уязвимости. Теория и практические примеры уязвимых ре...
Находим и эксплуатируем уязвимости. Теория и практические примеры уязвимых ре...Находим и эксплуатируем уязвимости. Теория и практические примеры уязвимых ре...
Находим и эксплуатируем уязвимости. Теория и практические примеры уязвимых ре...Kristina Pomozova
 
Networking technology in modern Virtual Private Clouds (RUS, RootConf++ 2018)
Networking technology in modern Virtual Private Clouds (RUS, RootConf++ 2018)Networking technology in modern Virtual Private Clouds (RUS, RootConf++ 2018)
Networking technology in modern Virtual Private Clouds (RUS, RootConf++ 2018)Vadim Ponomarev
 

Tendances (15)

Как настроить DMVPN и избежать проблем
Как настроить DMVPN и избежать проблемКак настроить DMVPN и избежать проблем
Как настроить DMVPN и избежать проблем
 
Виртуализация ASR 9000: объединение шасси в кластер и подключение сателлитов
Виртуализация ASR 9000: объединение шасси в кластер и подключение сателлитовВиртуализация ASR 9000: объединение шасси в кластер и подключение сателлитов
Виртуализация ASR 9000: объединение шасси в кластер и подключение сателлитов
 
Развитие семейства коммутаторов Nexus 5000 и Nexus 2000
Развитие семейства коммутаторов Nexus 5000 и Nexus 2000Развитие семейства коммутаторов Nexus 5000 и Nexus 2000
Развитие семейства коммутаторов Nexus 5000 и Nexus 2000
 
Управление секретами в кластере Kubernetes при помощи Hashicorp Vault / Серге...
Управление секретами в кластере Kubernetes при помощи Hashicorp Vault / Серге...Управление секретами в кластере Kubernetes при помощи Hashicorp Vault / Серге...
Управление секретами в кластере Kubernetes при помощи Hashicorp Vault / Серге...
 
Как правильно выбрать Cisco VPN?
Как правильно выбрать Cisco VPN?Как правильно выбрать Cisco VPN?
Как правильно выбрать Cisco VPN?
 
Get inside stage2 new
Get inside stage2 newGet inside stage2 new
Get inside stage2 new
 
Зачем программистам Ansible
Зачем программистам AnsibleЗачем программистам Ansible
Зачем программистам Ansible
 
Оверлейные сети ЦОД Технологии VXLAN и EVPN
Оверлейные сети ЦОД Технологии VXLAN и EVPN Оверлейные сети ЦОД Технологии VXLAN и EVPN
Оверлейные сети ЦОД Технологии VXLAN и EVPN
 
[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/Linux
[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/Linux[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/Linux
[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/Linux
 
5 способов деплоя PHP-кода в условиях хайлоада / Юрий Насретдинов (Badoo)
5 способов деплоя PHP-кода в условиях хайлоада / Юрий Насретдинов (Badoo)5 способов деплоя PHP-кода в условиях хайлоада / Юрий Насретдинов (Badoo)
5 способов деплоя PHP-кода в условиях хайлоада / Юрий Насретдинов (Badoo)
 
Обратная разработка бинарных форматов с помощью Kaitai Struct
Обратная разработка бинарных форматов с помощью Kaitai StructОбратная разработка бинарных форматов с помощью Kaitai Struct
Обратная разработка бинарных форматов с помощью Kaitai Struct
 
Серверы стандартной архитектуры
Серверы стандартной архитектурыСерверы стандартной архитектуры
Серверы стандартной архитектуры
 
Networks in the cloud on OpenStask: problems we face and their solution
Networks in the cloud on OpenStask: problems we face and their solutionNetworks in the cloud on OpenStask: problems we face and their solution
Networks in the cloud on OpenStask: problems we face and their solution
 
Находим и эксплуатируем уязвимости. Теория и практические примеры уязвимых ре...
Находим и эксплуатируем уязвимости. Теория и практические примеры уязвимых ре...Находим и эксплуатируем уязвимости. Теория и практические примеры уязвимых ре...
Находим и эксплуатируем уязвимости. Теория и практические примеры уязвимых ре...
 
Networking technology in modern Virtual Private Clouds (RUS, RootConf++ 2018)
Networking technology in modern Virtual Private Clouds (RUS, RootConf++ 2018)Networking technology in modern Virtual Private Clouds (RUS, RootConf++ 2018)
Networking technology in modern Virtual Private Clouds (RUS, RootConf++ 2018)
 

Similaire à Организация сети и безопасность

Nexus 7000 – архитектура передачи данных. Поиск и устранение неисправностей.
Nexus 7000 – архитектура передачи данных. Поиск и устранение неисправностей.Nexus 7000 – архитектура передачи данных. Поиск и устранение неисправностей.
Nexus 7000 – архитектура передачи данных. Поиск и устранение неисправностей.Cisco Russia
 
Whats new in_mikro_tik_ros_6_(megis,_mosсow_2013)_(russian_translate_by_white...
Whats new in_mikro_tik_ros_6_(megis,_mosсow_2013)_(russian_translate_by_white...Whats new in_mikro_tik_ros_6_(megis,_mosсow_2013)_(russian_translate_by_white...
Whats new in_mikro_tik_ros_6_(megis,_mosсow_2013)_(russian_translate_by_white...sami_11
 
TMPA-2013 Sartakov: Genode
TMPA-2013 Sartakov: GenodeTMPA-2013 Sartakov: Genode
TMPA-2013 Sartakov: GenodeIosif Itkin
 
Инфрраструктура ЦОД - интерконнект от Qlogik
Инфрраструктура ЦОД - интерконнект от QlogikИнфрраструктура ЦОД - интерконнект от Qlogik
Инфрраструктура ЦОД - интерконнект от QlogikExpolink
 
Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018
Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018
Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018GigaCloud
 
SDN: Что это? Что оно нам дает и как его использовать
SDN: Что это? Что оно нам дает и как его использоватьSDN: Что это? Что оно нам дает и как его использовать
SDN: Что это? Что оно нам дает и как его использоватьCisco Russia
 
Создание и развитие отечественной платформы с открытым программным кодом для ...
Создание и развитие отечественной платформы с открытым программным кодом для ...Создание и развитие отечественной платформы с открытым программным кодом для ...
Создание и развитие отечественной платформы с открытым программным кодом для ...ARCCN
 
SDN & DEVOPS ?= ❤: Практики использования SDN / Александр Шалимов (ЦПИКС, МГУ)
SDN & DEVOPS ?= ❤: Практики использования SDN / Александр Шалимов (ЦПИКС, МГУ)SDN & DEVOPS ?= ❤: Практики использования SDN / Александр Шалимов (ЦПИКС, МГУ)
SDN & DEVOPS ?= ❤: Практики использования SDN / Александр Шалимов (ЦПИКС, МГУ)Ontico
 
Разработка OpenFlow-коммутатора на базе сетевого процессора EZchip
Разработка OpenFlow-коммутатора на базе сетевого процессора EZchipРазработка OpenFlow-коммутатора на базе сетевого процессора EZchip
Разработка OpenFlow-коммутатора на базе сетевого процессора EZchipARCCN
 
Опыт внедрения OpenStack
Опыт внедрения OpenStackОпыт внедрения OpenStack
Опыт внедрения OpenStackYandex
 
Автономные сети – взгляд в будущее. Новые технологии построения сетей
Автономные сети – взгляд в будущее. Новые технологии построения сетейАвтономные сети – взгляд в будущее. Новые технологии построения сетей
Автономные сети – взгляд в будущее. Новые технологии построения сетейCisco Russia
 
Новая Cisco ASA: тотальный контроль над пользователем
Новая Cisco ASA: тотальный контроль над пользователемНовая Cisco ASA: тотальный контроль над пользователем
Новая Cisco ASA: тотальный контроль над пользователемSkillFactory
 
Евгений Потапов (Сумма Айти)
Евгений Потапов (Сумма Айти)Евгений Потапов (Сумма Айти)
Евгений Потапов (Сумма Айти)Ontico
 
Cisco ACI. Инфраструктура, ориентированная на приложения. Архитектура и принц...
Cisco ACI. Инфраструктура, ориентированная на приложения. Архитектура и принц...Cisco ACI. Инфраструктура, ориентированная на приложения. Архитектура и принц...
Cisco ACI. Инфраструктура, ориентированная на приложения. Архитектура и принц...Cisco Russia
 
Wi-Fi Audit Workshop
Wi-Fi Audit WorkshopWi-Fi Audit Workshop
Wi-Fi Audit WorkshopKirill Murzin
 
Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...
Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...
Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...Ontico
 
Отказоустойчивый микрокластер своими руками, Виталий Гаврилов (Ленвендо)
Отказоустойчивый микрокластер своими руками, Виталий Гаврилов (Ленвендо)Отказоустойчивый микрокластер своими руками, Виталий Гаврилов (Ленвендо)
Отказоустойчивый микрокластер своими руками, Виталий Гаврилов (Ленвендо)Ontico
 
Нехватка IPv4 адресов – практический подход к решению от Cisco Systems.
Нехватка IPv4 адресов – практический подход к решению от Cisco Systems. Нехватка IPv4 адресов – практический подход к решению от Cisco Systems.
Нехватка IPv4 адресов – практический подход к решению от Cisco Systems. Cisco Russia
 

Similaire à Организация сети и безопасность (20)

Nexus 7000 – архитектура передачи данных. Поиск и устранение неисправностей.
Nexus 7000 – архитектура передачи данных. Поиск и устранение неисправностей.Nexus 7000 – архитектура передачи данных. Поиск и устранение неисправностей.
Nexus 7000 – архитектура передачи данных. Поиск и устранение неисправностей.
 
Whats new in_mikro_tik_ros_6_(megis,_mosсow_2013)_(russian_translate_by_white...
Whats new in_mikro_tik_ros_6_(megis,_mosсow_2013)_(russian_translate_by_white...Whats new in_mikro_tik_ros_6_(megis,_mosсow_2013)_(russian_translate_by_white...
Whats new in_mikro_tik_ros_6_(megis,_mosсow_2013)_(russian_translate_by_white...
 
TMPA-2013 Sartakov: Genode
TMPA-2013 Sartakov: GenodeTMPA-2013 Sartakov: Genode
TMPA-2013 Sartakov: Genode
 
Инфрраструктура ЦОД - интерконнект от Qlogik
Инфрраструктура ЦОД - интерконнект от QlogikИнфрраструктура ЦОД - интерконнект от Qlogik
Инфрраструктура ЦОД - интерконнект от Qlogik
 
Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018
Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018
Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018
 
SDN: Что это? Что оно нам дает и как его использовать
SDN: Что это? Что оно нам дает и как его использоватьSDN: Что это? Что оно нам дает и как его использовать
SDN: Что это? Что оно нам дает и как его использовать
 
Создание и развитие отечественной платформы с открытым программным кодом для ...
Создание и развитие отечественной платформы с открытым программным кодом для ...Создание и развитие отечественной платформы с открытым программным кодом для ...
Создание и развитие отечественной платформы с открытым программным кодом для ...
 
SDN & DEVOPS ?= ❤: Практики использования SDN / Александр Шалимов (ЦПИКС, МГУ)
SDN & DEVOPS ?= ❤: Практики использования SDN / Александр Шалимов (ЦПИКС, МГУ)SDN & DEVOPS ?= ❤: Практики использования SDN / Александр Шалимов (ЦПИКС, МГУ)
SDN & DEVOPS ?= ❤: Практики использования SDN / Александр Шалимов (ЦПИКС, МГУ)
 
Разработка OpenFlow-коммутатора на базе сетевого процессора EZchip
Разработка OpenFlow-коммутатора на базе сетевого процессора EZchipРазработка OpenFlow-коммутатора на базе сетевого процессора EZchip
Разработка OpenFlow-коммутатора на базе сетевого процессора EZchip
 
Управление сервисами дата-центра
Управление сервисами дата-центраУправление сервисами дата-центра
Управление сервисами дата-центра
 
Опыт внедрения OpenStack
Опыт внедрения OpenStackОпыт внедрения OpenStack
Опыт внедрения OpenStack
 
Автономные сети – взгляд в будущее. Новые технологии построения сетей
Автономные сети – взгляд в будущее. Новые технологии построения сетейАвтономные сети – взгляд в будущее. Новые технологии построения сетей
Автономные сети – взгляд в будущее. Новые технологии построения сетей
 
Новая Cisco ASA: тотальный контроль над пользователем
Новая Cisco ASA: тотальный контроль над пользователемНовая Cisco ASA: тотальный контроль над пользователем
Новая Cisco ASA: тотальный контроль над пользователем
 
Евгений Потапов (Сумма Айти)
Евгений Потапов (Сумма Айти)Евгений Потапов (Сумма Айти)
Евгений Потапов (Сумма Айти)
 
Cisco ACI. Инфраструктура, ориентированная на приложения. Архитектура и принц...
Cisco ACI. Инфраструктура, ориентированная на приложения. Архитектура и принц...Cisco ACI. Инфраструктура, ориентированная на приложения. Архитектура и принц...
Cisco ACI. Инфраструктура, ориентированная на приложения. Архитектура и принц...
 
Wi-Fi Audit Workshop
Wi-Fi Audit WorkshopWi-Fi Audit Workshop
Wi-Fi Audit Workshop
 
Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...
Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...
Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...
 
Отказоустойчивый микрокластер своими руками, Виталий Гаврилов (Ленвендо)
Отказоустойчивый микрокластер своими руками, Виталий Гаврилов (Ленвендо)Отказоустойчивый микрокластер своими руками, Виталий Гаврилов (Ленвендо)
Отказоустойчивый микрокластер своими руками, Виталий Гаврилов (Ленвендо)
 
Архитектура Метафабрика. Универсальный шлюз SDN.
Архитектура Метафабрика. Универсальный шлюз SDN.Архитектура Метафабрика. Универсальный шлюз SDN.
Архитектура Метафабрика. Универсальный шлюз SDN.
 
Нехватка IPv4 адресов – практический подход к решению от Cisco Systems.
Нехватка IPv4 адресов – практический подход к решению от Cisco Systems. Нехватка IPv4 адресов – практический подход к решению от Cisco Systems.
Нехватка IPv4 адресов – практический подход к решению от Cisco Systems.
 

Организация сети и безопасность

  • 1. Организация сети и безопасность Топология сетей, виды трафика, безопасность, особенности реализации
  • 2. сеть в Openstack • Nova-network – Управление бриджами и сетевыми интерфейсами brctl, ip, route
  • 3. сеть в Openstack • Nova-network – Управление бриджами и сетевыми интерфейсами – Фильтрация трафика (общие правила) # iptables –S … -A nova-network-INPUT -i br100 -p udp -m udp --dport 67 -j ACCEPT -A nova-network-INPUT -i br100 -p tcp -m tcp --dport 67 -j ACCEPT -A nova-network-INPUT -i br100 -p udp -m udp --dport 53 -j ACCEPT -A nova-network-INPUT -i br100 -p tcp -m tcp --dport 53 -j ACCEPT …
  • 4. сеть в Openstack • Nova-network – Управление бриджами и сетевыми интерфейсами – Фильтрация трафика (общие правила) – NAT # iptables –t nat –S … -A nova-network-snat -j nova-network-float-snat -A nova-network-snat -s 10.0.0.0/24 -j SNAT --to-source 192.168.122.177 …
  • 5. сеть в Openstack • Nova-network – Управление бриджами и сетевыми интерфейсами – Фильтрации трафика (общие правила) – NAT – DHCP dnsmasq
  • 6. сеть в Openstack • Nova-network – Управление бриджами и сетевыми интерфейсами – Фильтрации трафика (общие правила) – NAT – DHCP – Public (floating) network # iptables –t nat –S … -A nova-network-PREROUTING -d 172.40.0.1/32 -j DNAT --to-destination 10.0.0.4 -A nova-network-float-snat -s 10.0.0.4/32 -j SNAT --to-source 172.40.0.1 …
  • 7. сеть в Openstack • Nova-network – Управление бриджами и сетевыми интерфейсами – Фильтрация трафика (общие правила) – NAT – DHCP – Public (floating) network • Nova-compute – Фильтрация трафика (Security groups)
  • 9. Сетевые менеджеры • FlatNetworking (не используется) • FlatDHCPNetworking – Общая сеть для всех проектов
  • 10. Сетевые менеджеры • FlatNetworking (не используется) • FlatDHCPNetworking – Общая сеть для всех проектов • VlanNetworking (наиболее часто используется в production инсталляциях) – Выделенная L2, L3 сеть для проекта – Необходима поддержка VLAN на сетевом оборудовании
  • 12. Сетевая отказоустойчивость • Multi_host – multi_host=True – nova-network на каждой compute ноде
  • 13. Сетевая отказоустойчивость • Multi_host – multi_host=True – nova-network на каждой compute ноде – отдельный DHCP сервер на каждой ноде
  • 14. Сетевая отказоустойчивость • Multi_host – multi_host=True – nova-network на каждой compute ноде – отдельный DHCP сервер на каждой ноде – виртуальные машины используют в качестве гейтвея адрес ноды
  • 15. Сетевая отказоустойчивость • Multi_host – multi_host=True – nova-network на каждой compute ноде – отдельный DHCP сервер на каждой ноде – виртуальные машины используют в качестве гейтвея адрес ноды – Дополнительно на каждой compute ноде запускается также nova-api для metadata сервиса
  • 18. Сетевые интерфейсы • Management (eth0) – public_interface=eth0 # nova-manage floating create –ip_range=172.40.0.0/30 --interface=eth0 # nova floating-ip-create # nova add-floating-ip <VM-UUID> 172.40.0.1
  • 19. Сетевые интерфейсы • Management (eth0) – public_interface=eth0 • Vlan (eth1) – vlan_interface=eth1 – vlan_start=500 – trunk VLANs on switch # nova-manage network create –fixed_range_v4=10.10.0.0/24 –num_networks=1 – bridge_interface=eth1 --project_id=<TENANT_UUID>
  • 20. Сетевые интерфейсы • Management (eth0) – public_interface=eth0 • Vlan (eth1) – vlan_interface=eth1 – vlan_start=500 – trunk VLANs on switch • Storage (eth2) (optional)
  • 21. Security Groups • Основаны на IPTABLES • Фильтруется только входящий трафик • Возможность создавать гибкие правила • Поддержка в веб-интерфейсе (horizon) # nova secgroup-add-rule myservers tcp 22 22 192.168.1.1/0 # nova secgroup-add-rule myservers icmp -1 255 192.168.1.1/0 # nova boot --flavor 1 --image 9bab7ce7-7523-4d37-831f-c18fbc5cb543 -- key_name mykey myinstance --security_groups myservers
  • 22. Будущий релиз Folsom • Релиз Folsom (release date Q3 2012): – Quantum совместит все сетевые функции (L2, IPAM)
  • 23. Будущий релиз Folsom • Релиз Folsom (release date Q3 2012): – Quantum совместит все сетевые функции (L2, IPAM) – Сетевые плагины (OVS, Cisco, ryu, Nicira NVP)
  • 24. Будущий релиз Folsom • Релиз Folsom (release date Q3 2012): – Quantum совместит все сетевые функции (L2, IPAM) – Сетевые плагины (OVS, Cisco, ryu, Nicira NVP) – Поддержка Openflow, возможность интегрироваться в существующую сетевую инфраструктуру
  • 25. Будущий релиз Folsom • Релиз Folsom (release date Q3 2012): – Quantum совместит все сетевые функции (L2, IPAM) – Сетевые плагины (OVS, Cisco, ryu, Nicira NVP) – Поддержка Openflow, возможность интегрироваться в существующую сетевую инфраструктуру – Гибкое управление трафиком (OVS flows, openflow, iptables) (ожидается к Folsom-2)
  • 26. Спасибо за внимание! Роман Соколков rsokolkov@mirantis.com