Rešenje Server Farm Housing servisa Telekoma Srbija · • Virtuelizacija servera pruža...

"MDS Informatički inženjering"Cisco Expo

Rešenje Server Farm Housingservisa Telekoma Srbija

Irina Ercegović – MDS Informatički inž[email protected]

www.mds.rs

2MDS Informatički inženjeringCisco Expo 2008

Sadržaj

• Unapređenje arhitekture data centara• Virtuelizacija

• Distribuirani data centri

• Karakteristike SFH servisa Telekoma Srbija


Data centar virtuelizacija

Front-End virtuelizacija

Virtuelni mrežni servisi

Virtuelni serveri

Virtuelne SAN mreže

Virtuelni Storage


Front end virtuelizacijaVirtuelizacija mrežne opreme

• Virtuelizacija switch-a – VLAN-ovi• Virtuelizacija rutera – Virtual routing and

forwarding (VRF)

802.1q, LSP, fizički interfejs

802.1q, LSP, fizički interfejs

Logički ili fizički int (Layer 3)

Logički ili fizički int (Layer 3)


Front end virtuelizacijaVSS (Virtual Switch System)

• VSS je tehnologija mrežne virtuelizacije kojom se udružuju dva Cisco Catalyst 6500 switch-a u jedan virtuelni switch.

• Samo jedan control plane je aktivan, dok su oba data plane-a (switch fabric) aktivna – učestvuju u prosleđivanju podataka.

• multichassis etherchannel (MEC) funkcionalnost – etherchannel “proširen”na dva uređaja.


Front end virtuelizacijaVSS (nastavak)

Catalyst 6500 radi kao Active Control Plane za VSS

Catalyst 6500 radi kao Standby Control Planeza VSS

Definiše dva switch-a serije 6500 koja zajedno formiraju VSS

10GE link koji povezuje dva switch-a omogućavajući da funkcionišu kao jedan logički uređaj


Front end virtuelizacijaVSS (nastavak)

• Upravljanje manjim brojem uređaja i konfiguracija

• Optimizovano iskorišćenje propusnog opsega

• Loop-free topologija

• Manja zavisnost od STP


Virtuelni mrežni servisi

250FWSMVirtuelni firewall

250ACEVirtuelni load balancer

ACE

Servisni modul u Cat 6500

250Virtulni modul za terminaciju SSL sesija

Broj virtuelnih modula

Funkcija


Virtuelni mrežni servisiVirtuelizacija FWSM

• Na FWSM se definišu konteksti i klase

• Pojedinačni konteksti se mapiraju u klase

• U okviru klase, definišu se limiti za specifične resurse FWSM

• Limiti se definišu kao procenat ukupnih resursa

• Moguća je višestruka dodela resursa (oversubscribtion)


Virtuelni mrežni servisiVirtuelizacija ACE modula

AdminContext

Context Adefinition

Context Bdefinition

Resourceallocation

Adminmanagement

config

Physical module

ContextB

ContextA

VIP1VIP 2Farm1Farm2

VIP3Farm3Farm4SSL

cert1,2

Domain1 Domain2

Management station

Admin

Network/Security

Server Admin

Monitor

Role

AAA


Virtuelni mrežni servisiVirtuelizacija ACE modula

Kontrola po kontekstu• Nivo resursa za svaki kontekst• Višestruka dodela resursa (oversubscribtion)

ProtokProtok MemorijaMemorija

Ukupan protokData konekcija / secManagement konekcija / secSsl-protokSyslogs / sec

Access ListeRegular ExpressionsData konekcijeManagement konekcijeSSL konekcijeTranslacijeSticky tabela


Konsolidacija i virtuelizacija servera

• Tradicionalni pristup “jedna aplikacija – jedan server” stvaraproblem smeštanja u rack, napajanja i hlađenja velikog brojaservera.

• Virtuelizacija servera pruža postojanje različitih aplikacija i operativnih sistema na jednom fizičkom serveru.

• Virtuelizacija olakšava konsolidaciju servera omogućavajućizemenu brojnih neiskorišćenih servera, jednim serverom saviše virtuelnih mašina.

• Virtuelizacija pruža raspodelu opterećenja, mogućnostmigracije virtuelnog servera između različitih hardware-a olakšavajući samo održavanje hardware-a.

• Rezultat virtuelizacije servera: smanjenje troškova, povećanaskalabilnost i dostupnost aplikacione infrastrukture.


Distribuirani data centri

FC FCFC

FC FCFC

SONET/SDH

DWDM mreža

IP/Metro Eth


Kontinuitet servisa

FC FCFC

FC FCFC

SONET/SDH

DWDM mreža

IP/Metro Eth

DC Front End kontinuitet serisa:

• Izbor Data centra• Active/Standby• Active/Active• Mehanizmi

• RHI• DNS baziran

DC Back End kontinuitet serisa:

• SAN ekstenzija• Udaljenost i protok• Sinhrona i/ili

asinhrona replikacija


Sadržaj





Karakteristike SFH servisa

• Mrežna infrastruktura• Dve lokacije

• Virtuelizacija bazirana na MPLS VPN tehnologiji

• Veza na IP/MPLS servisnu mrežu Telekoma Srbija

• Posebna komunikaciona oprema za SFH Internet servera

• Visoke performanse i skalabilnost

• Poseban firewall sistem za svakog korisnika

• Poseban server load balancing i SSL offload sistem za svakog korisnika

• Kontinuitet servisa baziran na IP mreži

• Unmanaged/Managed servis


Mrežna infrastruktura IP/MPLS mreža Telekoma Srbija

SFH Internet serveraSFH Intranet

servera


SFH servis

IP/MPLS mreža Telekoma Srbija

... ...

...

...

...

...

...

...


Kontinuitet servisa baziran na IP mreži Route Health Injection


... ...

...

...

...

...

...

...


Kontinuitet servisa baziran na IP mreži DNS bazirani izbor data centra

...

...

...

...

...

...

Keepalive

Kee

paliv

e

Klijent

http://www.firma.com

DNS Proxy

Root DNS AutorizovaniDNS za .com Autorizovani DNS

za firma.com

Autorizovani DNS za www.firma.com1

10

23 4

5 67

8

9


Skalabilnost SFH servisa Telekoma Srbija


... ...

...

...

...

...

...

...


Unmanaged/Managed SFH servis


Unmanaged service

... ...

...

...

...

...

...

...

SFH NOC

Managed ACE

Managed FWSM

Managed servers

"MDS Informatički inženjering"Cisco Expo

Rešenje Server Farm Housingservisa Telekoma Srbija

HVALA

www.mds.rs


Sadržaj




• Firewall i SLB sistemi koji se mogu ponuditikorisniku

• FWSM

• ACE

• GSS


Karakteristike FWSM

• Integrisan servisni modul

• Visoke performanse i skalabilnost

• 5 Gbps protok

• 1 milion istovremenihkonekcija

• 100.000 konekcija u sekundi

• 2.8 miliona paketa u sekundi

• Virtualizacija resursa

• Failover

• Statefull inspekcija soabraćaja

Millions of Packets vs. Packet size

01234

64 128 256 512 1024 1280 1518

Packet size

Mill

ions

of

pack

ets

Total No. of packets

GBs of throughput vs. Packet size

0

2

4

6

64 128 256 512 1024 1280 1518

Packet size

GB

of t

hrou

ghpu

t

Throughput


Karakteristike ACE modula

• Server load balancing• 4K VIP na 4M konekcija

• Content switching• Server Offload• Zaštita na aplikativnom nivou• Virtuelizacija

• 5 (default), 20, 50, 100 i 250 konteksta

• Visoke performanse i skalabilnost• Protok do 16Gbps mo modulu• Do 4 ACE modula u jednom uređaju

• Failover


ACELoad balancing

• 16,000 farmi servera i 16,000 servera

• Round Robin (RR)• Weighted Round Robin (WRR)• Least connections• Hash address (src ili dst) – koristi

se za firewall balancing• Hash header• Hash URL za cache servere• Partial server farm failover• SNMP bazirane probe

• Server Health Probes• 4,000 probe-a• 1,000 istovremenih socket-a• 16,000 ukupno• GSS KAL-AP za real time server

availability & load• Ping (L3)• TCP, UDP, echo TCP/UDP (L4)• L5 - HTTP, HTTPS (HW assisted),

FTP, telnet, DNS• L5 - SMTP, IMAP, POP, LDAP,

RADIUS, Finger• Scripted (L7) – CLI podrška


ACEContent switching

• Stickiness• 4M entry sticky table• Source IP• SSLv3 session ID• Server URL• Cookie (Zahteva SSL terminaciju)

•Server set cookie•SLB set cookie

• TCP off-load• SSL

• 4 Gbps SSL protok• SSL TPS 1K (default), 5K, 10K or 15K • SSL simultane konekcije: 100K• Session ID Re-use – Smanjuje opterećenje od gen RSA vrednosti & SSL session keys• Client Authentication – Verifikacija SSL sertifikata krajnjeg korisnika• HTTP Header Rewrite

•Server to Client - http-to-https header rewrite•Client to Server - map http port 80 to higher port number

• SSL Queue delay knob - Tune ACE buffers for unencrypted data from servers to an encrypted client

HTTPHTTPS


ACEMreža i zaštita

• Network• 4,000 VLAN• 4Gbps, 8Gbps i 16Gbps protok• 1M NAT xlates• Packets Per Second: 6+ miliona• Routed ili bridged mode• 12 service-policies po interfejsu• Rate Limiting (konekcije, CPS & bandwidth)• VIP traffic policing

• Security• 256,000 ACL linija sa name grouping i syslog za odbacivanje• IP normalization (ICMP, frag, MTU) • TCP normalization (flags, SeqNum, checksum, length)• Protocol compliance za HTTP, HTTPS, FTP, RTSP, ICMP, DNS, SIP,

H.323, SCCP & LDAP sa syslog-om

Stop


DNS bazirani izbor data centraGlobal Site Selector

• Radi kao autorizovani DNS server za servere raspoređene na više data centar lokacija

• Komunicira sa Cisco SLB uređajima ili serverima u data centrima

• Razrešava DNS upite na bazi:• IP adrese sa koje dolazi upit• Domena na koji se odnosi upit• Konfigurisanog metoda (redosled i prioritet)• Rastojanja između D-proxy servera i data centra• Stanja i opterećenja data centra

• Redundansa – do 8 GSS uređaja mogu da rade zajedno kao jedan sistem


GSS load balancing metodi

1. Ordered List• Koristi sledeći VIP kada su svi prethodni preopterećeni ili nedostupni

2. Static Based on Client’s DNS Address• Mapira IP adresu DNS servera klijenta na dostupne VIP-ove

3. Round Robin• Ciklično redom odgovara sa dostupnim VIP adresama

4. Weighted Round Robin• Težinski faktor uslovljava ponavljanje iste VIP adrese u odgovoru

5. Least Loaded• Najmanje opterećenje evidentirano na SLB uređaju• Opterećenje se dobija korišćenjem CAPP UDP

6. Source Address i Domain hash• IP adresu DNS servera klijenta i korišćeni domen• Uvek istom klijentu odgovara sa istom VIP adresom


GSS load balancing metodi (nastavak)

7. DNS Race• Inicira praćenje najbržeg A-record odgovora klijentu• Nalazi SLB koji je najbliži klijentovom d-proxy serveru

8. DRP-based Dynamic Network Proximity • Aktivno lokalizuje saobraćaj klijenta, šaljući probe na DNS servere

klijenta i rutira klijenta na najbliži data center na bazi najnižeg izmerenog RTT.

9. Global Sticky DNS Database• Dinamički prati gde se upućuju klijenti i obezbeđuje isti odgovor na

uzastopne zahteve klijenata• Zapisi su bazirani na IP adresi name servera klijenta i imenu

zahtevanog domena• Sticky odgovori se razmenjuju između GSS uređaja

10. Drop• Odbacuje DNS zahteve bez bilo kakvog odgovora


GSS DNS pravila

• Definišu kako se odgovara na DNS upite:• Za zahteve koji dolaze od određenog D-Proxy• i pitaju za određeni Hosted Domain• koristi odgovarajuću Answer Group-u• i koristi određeni Balance Method za odabir najboljeg odgovora

• Svako DNS pravilo podržava do 3 metoda balansiranja, koji se procesiraju redom

• Za svako DNS pravilo moduće je definisati napredne opcije• TTL• Broj A-zapisa koji se šalju kao odgovor• Sticky

• Podrška za NS prosleđivanje za upite koji ne traže A zapis

Rešenje Server Farm Housing servisa Telekoma Srbija · • Virtuelizacija servera pruža...

Documents

Transcript of Rešenje Server Farm Housing servisa Telekoma Srbija · • Virtuelizacija servera pruža...