Ağlarda sanallaştırma nedir?
Nedir bu Software Defined
Network(SDN)? Network'ü nasıl sanallaştıracağız? Bu gibi sorular son zamanlarda
IT yöneticilerinin ve özellikle bizim gibi Network’e yıllarını vermiş
insanların kafasını bir hayli meşgul etmekte. Çünkü biz networkcüler her zaman
kabloyu switch’e veya router a bağlar ışığın yandığını görür ve
konfigürasyonumuza öyle başlarız. Peki şimdi ne değişti de network
sanallaşıyor? Aslında değişen şey data center'daki ihtiyaçlar. Yani data
center'larımız içinde artan doğu batı trafiği ve virtual machine (VM)
hareketliliği (mobility) network'ün de bu ihtiyaçlara cevap vermesini ve
esnek olmasını elzem hale getirdi. Bundan 4-5 yıl önce Data Centerlarda
trafiğin büyük bir çoğunluğu kuzey-güney (Client-Server trafiği) yönünde
iken geldiğimiz noktada ise bu trafiğin neredeyse yarısından fazlası doğu batı
yönünde oluşmaya başladı. Bunun en büyük sebebi tabi ki artan kullanıcı
ihtiyaçları ve buna ek olarak web, uyguluma ve veritabanı sunucu
sayılarının sürekli artmasıyla bu sunucuların birbirleri arasındaki
network trafiğinin (doğu-batı trafiği) artıyor olmasıdır. Tabi ki bu
sunucular arasındaki güvenliğin önemi de gün geçtikte artıyor.
Bundan
10 yıl önce aynı mevzular sunucu sanallaştırma için konuşuluyorken, geldiğimiz
noktada sistem yöneticilerinin hemen hemen hepsi IT altyapılarında sunucu
sanallaştırma kullanır oldu. Yine geçmiş yıllarda sunucularımızın markası
modeli çok önemliyken bugün geldiğimiz noktada bizim için sadece kaynaklarımız
yani RAM ve CPU değerleri önem arz ediyor. Bir işletim sistemini kurmak
onu bir sunucu dan diğerine taşımak önceleri saatlerimizi alırken şuanda dakikalar
hatta saniyeler içinde bu işlemleri yapabiliyoruz (Şekil-1). Aynı esnekliklerin
Data Center networkleri için de olması artık mümkün.
Şekil-1 Server ve Network
Sanallaştırma Mimarisi
Peki network dünyasına geri dönersek, bundan 6-7 yıl önce x marka bir router’ın içini merak edip açtığımda içinde anakart, bildiğiniz bilgisayar diski, ram ve dış kısmında ise ufacık bir flash disk görmüştüm. İşte diğer saydığım parçalara göre en ufak ekipman olan bu flash içerisinde, tüm fonksiyonları kontrol eden ve aslında esas işi yapan işletim sistemi bulunuyordu ve cihaza esas gücünü veren bu saydığım donanımlardan ziyade içinde koşan yazılımdı. İşte sunucu sanallaştırma için 10 yıl önce başlayan sürecin bir iki yıl önce network için başladığını görüyoruz. Bir iki mouse tıklaması ile bir router yaratmak aynı şekilde bir switch yaratıp makineleri bu switch e bağlayıp switch’i de bu yaratılan routera (gateway router) bir mouse tıklaması ile bağlamak kulağa hoş geliyor olsa gerek. Networkcüler hemen korkmasın işsiz mi kalacağız diye (özellikle CCIE’ler) hayır işsiz kalmayacağız gelişen ve değişen bu dünyaya bizde ayak uyduracağız.
Peki network dünyasına geri dönersek, bundan 6-7 yıl önce x marka bir router’ın içini merak edip açtığımda içinde anakart, bildiğiniz bilgisayar diski, ram ve dış kısmında ise ufacık bir flash disk görmüştüm. İşte diğer saydığım parçalara göre en ufak ekipman olan bu flash içerisinde, tüm fonksiyonları kontrol eden ve aslında esas işi yapan işletim sistemi bulunuyordu ve cihaza esas gücünü veren bu saydığım donanımlardan ziyade içinde koşan yazılımdı. İşte sunucu sanallaştırma için 10 yıl önce başlayan sürecin bir iki yıl önce network için başladığını görüyoruz. Bir iki mouse tıklaması ile bir router yaratmak aynı şekilde bir switch yaratıp makineleri bu switch e bağlayıp switch’i de bu yaratılan routera (gateway router) bir mouse tıklaması ile bağlamak kulağa hoş geliyor olsa gerek. Networkcüler hemen korkmasın işsiz mi kalacağız diye (özellikle CCIE’ler) hayır işsiz kalmayacağız gelişen ve değişen bu dünyaya bizde ayak uyduracağız.
VMware NSX Genel Bakış
VMware 2012 yılında , şimdilerde kıymeti daha iyi anlaşılan bir satın alma ile bu alanda faaliyet gösteren Nicira firmasını bünyesine kattı. Özellikle distribute (dağıtık) edilen network kaynakları anlamında VMware NSX ürünü bize muazzam yenilikler sağlıyor. Aslında VMware ortamımızda NSX den önce de Distributed Switch (VDS) kullanılıyordu. NSX ile beraber VMware , çözüm yelpazesine distributed firewall (Burası çok iddalı), distributed router , distributed load balancer ve bunlara ek olarak VPN özelliklerini de sağlıyor. Büyük bir datacenter networkünde , oluşturduğunuz sanal bir switch veya routerın , fiziksel altyapıda kullanılan cihazların marka/model ve yapılandırmasından bağımız olarak tüm sunucu altyapısına dağıtık olarak hizmet verdiğini düşünün. Kullanıcılara IT yönetimi açısından muazzam bir operasyonel kolaylık ve zaman tasarrufu sağlıyor.
VMware 2012 yılında , şimdilerde kıymeti daha iyi anlaşılan bir satın alma ile bu alanda faaliyet gösteren Nicira firmasını bünyesine kattı. Özellikle distribute (dağıtık) edilen network kaynakları anlamında VMware NSX ürünü bize muazzam yenilikler sağlıyor. Aslında VMware ortamımızda NSX den önce de Distributed Switch (VDS) kullanılıyordu. NSX ile beraber VMware , çözüm yelpazesine distributed firewall (Burası çok iddalı), distributed router , distributed load balancer ve bunlara ek olarak VPN özelliklerini de sağlıyor. Büyük bir datacenter networkünde , oluşturduğunuz sanal bir switch veya routerın , fiziksel altyapıda kullanılan cihazların marka/model ve yapılandırmasından bağımız olarak tüm sunucu altyapısına dağıtık olarak hizmet verdiğini düşünün. Kullanıcılara IT yönetimi açısından muazzam bir operasyonel kolaylık ve zaman tasarrufu sağlıyor.
Şekil-2 Network Sanallaştırma
SDN (Software Defined Network)’ün tam manası ile ne olduğunu ve bize nasıl bir dünyanın kapılarını araladığını VMware NSX ile ilgilenmeye başladıktan sonra daha net anlamaya başladım. VMware NSX çözümü , Distributed Firewall, Router ve Load Balancer gibi dağıtık servis özelliklerini kendi yerel yazılım kodu ile sağlayabilirken buna ek olarak bu alanlarda çözüm sunan diğer üreticiler içinde entegrasyona açık bir altyapı sağlamaktadır. VMware NSX , Palo Alto, Mcafee (Intel Security), Checkpoint ve Trend Micro gibi üreticilerin çözümlerini kendi altyapılarına (Hypervisor) entegre etme fırsatı vermektedir. Yani Rest API üzerinden haberleşerek bu üreticilerin yapabilirliklerini NSX ortamına taşımalarına izin vermiştir. Örneğin VMware NSX üzerindeki Firewall Layer 4 çalışmaktadır , eğer layer 7 bazında FW filtreleri uygulamak istersek Palo Alto veya Checkpoint ile entegrasyon sağlayarak Data Center içindeki bu East-West trafiğini Layer7 FW üzerinden geçirebiliyor ve uygulama bazında güvenlik politikaları belirleyebiliyoruz. İleriki makalelerde Palo Alto FW entegrasyonun nasıl olduğu konusuna da değinmeye çalışacağım.
SDN (Software Defined Network)’ün tam manası ile ne olduğunu ve bize nasıl bir dünyanın kapılarını araladığını VMware NSX ile ilgilenmeye başladıktan sonra daha net anlamaya başladım. VMware NSX çözümü , Distributed Firewall, Router ve Load Balancer gibi dağıtık servis özelliklerini kendi yerel yazılım kodu ile sağlayabilirken buna ek olarak bu alanlarda çözüm sunan diğer üreticiler içinde entegrasyona açık bir altyapı sağlamaktadır. VMware NSX , Palo Alto, Mcafee (Intel Security), Checkpoint ve Trend Micro gibi üreticilerin çözümlerini kendi altyapılarına (Hypervisor) entegre etme fırsatı vermektedir. Yani Rest API üzerinden haberleşerek bu üreticilerin yapabilirliklerini NSX ortamına taşımalarına izin vermiştir. Örneğin VMware NSX üzerindeki Firewall Layer 4 çalışmaktadır , eğer layer 7 bazında FW filtreleri uygulamak istersek Palo Alto veya Checkpoint ile entegrasyon sağlayarak Data Center içindeki bu East-West trafiğini Layer7 FW üzerinden geçirebiliyor ve uygulama bazında güvenlik politikaları belirleyebiliyoruz. İleriki makalelerde Palo Alto FW entegrasyonun nasıl olduğu konusuna da değinmeye çalışacağım.
VMware NSX ürününün bize vadettiği en büyük yeniliklerden
bir diğeri de Micro-Segmentation. Belki bu kelimeyi şu sıralar sıklık ile
duyuyor olabilirsiniz. Micro-Segmentation Data Center içindeki segmentasyonumuzu
micro seviyelere yani VM başına yapabiliyoruz. (Şekil-3)Peki bu nasıl oluyor?
Her bir VM başına FW mu kuracağız? Her birine ayrı ayrı kural mı yazacağız?
Şekil-3 VMware NSX Micro-Segmentation
Tabi ki her bir sanal makine için tek tek kural yazmayacağız. Daha sonraki makalelerde daha detaya gireceğimizden sadece şunu söylemek istiyorum ki genel ekranda yazacağınız Security Gruplar için (sanal makineler çeşitli filtrelere göre dinamik olarak bu gurupların üyesi oluyor) yazacağınız kurallar bu sanal makinelerin NIC lerine yazılıyor. Yani daha trafik sanal makineden çıkarken firewall kural yazabiliyor oluyoruz. Bu kısımlara ileride daha detaylı girilmesi gerektiğini düşündüğümden bu kadar bilginin yeterli olduğunu düşünüyorum.
Tabi ki her bir sanal makine için tek tek kural yazmayacağız. Daha sonraki makalelerde daha detaya gireceğimizden sadece şunu söylemek istiyorum ki genel ekranda yazacağınız Security Gruplar için (sanal makineler çeşitli filtrelere göre dinamik olarak bu gurupların üyesi oluyor) yazacağınız kurallar bu sanal makinelerin NIC lerine yazılıyor. Yani daha trafik sanal makineden çıkarken firewall kural yazabiliyor oluyoruz. Bu kısımlara ileride daha detaylı girilmesi gerektiğini düşündüğümden bu kadar bilginin yeterli olduğunu düşünüyorum.
Şimdiye kadar olan bölümde Network Sanallaştırma, NSX’in esneklik ve güvenlik
özelliklerinden bahsettik. Bunların yanında VMware’in vRealize automation (veya
open olarak OpenStack) ürünü ile de entegre edildiğinde muazzam otomasyon
özellikleri ortaya çıkıyor. Bu kısmın da kafamızda biraz şekillenmesi amaçlı
bir örnek verecek olursak, istek yapılacak bir sanal makine ile beraber
oluşturulacak olan network, security ve L4/L7 servisler sizin bir onayınız ile
otomatik oluşturulmasını düşünebiliriz. Bu bölüm de data center içindeki
özellikle provisioning sürelerini çok kısaltacağa benziyor.
Kaynakça
https://tr.linkedin.com/pulse/network-sanalla%C5%9Ft%C4%B1rma-ve-vmware-nsx-ahmet-eri%C5%9F
Kaynakça
https://tr.linkedin.com/pulse/network-sanalla%C5%9Ft%C4%B1rma-ve-vmware-nsx-ahmet-eri%C5%9F
Yorumlar
Yorum Gönder