Open Source řešení pro Mission critical systémy Software Defined Networks v praxi 15.5.2018, Praha Martin Vaňous Síť, spol. s.r.o martin.vanous@e-sys.cz, +420 725 893 855
Agenda Software Defined Networks v praxi Úvod do problematiky, historie produktu FISd Požadované parametry řešení problematiky Netradiční aplikace Open vswitch infrastruktury na Power architektuře
Úvod do prostředí charakteristika produkce Produkční prostředí pro výrobu automobilů (IBM AIX) Provázanost fyzických zařízení (razičky, lisy, utahovačky, tiskárny, výrobní periferie, atp) s IT Provázanost se subdodavateli dle výrobního taktu (Just In Time) Nefukčnost systémů může znamenat dlouhé kolony nákladních automobilů či odchod zaměstnanců na lince domů.
Úvod do prostředí charakteristika produkce Systém komunikuje s centrálními systémy (generování VIN, atp) Výroba vozů s centrálními databázemi a aplikačními servery v různých lokacích země vyžaduje dostupnost systémů 7x24 po celý rok Nutnost koordinovaného nasazování nových verzí software aby byla umožněna výroba (unifikace dílů) Software Defined Networks jsou v tomto případě využívány pro urychlení upgrades OS, Middleware a aplikací společně s integračními testy.
Úvod do prostředí Okolnosti upgrade a úkol dne.. Obvyklá doba upgrade je 14 dnů čistého času a 4 týdny přípravy (600 000 mio ) Obvyklá velikost týmů je 10-15 lidí z různých částí zeměkoule v prostředí, kde selhání/chyba je zpoplatněna pokutami v řádech desítek mio CZK Z důvodů centralizace IT pro různé země není možné využít celozávodní dovolenou.. a je nutné provést upgrade a otestování během 1-dnoho dne
Řešení.. System for Production environments updates - 1 CLONE OS a Data s Izolací sítě - 2 Upgrade, testy - 3 Production stop, Dynamic Data Update (DDU) and MOVE Environments za běhu 1 2 3
Task: MOVE A clusters to IE and via versa Live Environment (production) Isolation Environments Production IE A Z66SYS53A Z66SYS63A Z66SYS53X Z66SYS63X IE X - Výměna prostředí mezi izolovanou a produkční sítí - Řešení pomocí záměny sítí pomocí různých VLAN tagů -.. s běžícími aplikacemi a clusterware, protože je třeba minimalizovat čas odstávky - Přechodný suspend cluster funkcí - Odstínění problému s pomíchanými daty pomocí FW a OvS
Řešení v podobě Open vswitch technologie na SUSE Linuxu Ovládáním Open vswitchů jsme schopni změnit VLAN ID.. a tím pádem i řídit izolovanost nadřazených OS Different Environments and OS components Live Environment (car production) Production Isolated Environments IE A S824 Server Z66SYS52 Z66SYS51 X X Z66SYS62 Z66SYS61 X X Z66SYS52 AIX Z66SYS51 A A Z66SYS62 Z66SYS61 A A Firewall Firewall IE X AIX Z66SYS56 Z66SYS55 A A Z66SYS66 Z66SYS65 A A AIX Z66SYS56 Z66SYS55 X X Z66SYS66 Z66SYS65 X X SAN Switch SAN Switch LAN Switch LAN Switch LAN traffic s SAN traffic
Závěr Úspora cca 400 000 ročně Zkrácení doby odstávek (finančně nevyčíslitelné) ze 14-ti dnů na 2 dny Umožňuje provádět bezpečně (s možnosti rollback) upgrades i během roku
Prostor pro dotazy Martin Vaňous Síť, spol. s.r.o martin.vanous@e-sys.cz, +420 725 893 855
Open Source řešení pro Mission critical systémy Firewall Manager 15.5.2018, Praha Martin Vaňous Síť, spol. s.r.o martin.vanous@e-sys.cz, +420 725 893 855
Motivace nasazení lokálních Firewallů Rozhodnutí bezpečnostního oddělení o nasazení lokálních Firewallů Zabezpečení aplikací (např. standardizovaná hesla ) Nemožnost dostatečného oddělení komunikace pomocí FW na úrovni aktivních prvků Řešení: Použití Open Source Django Framework pro vývoj aplikace ke zmapování a nastavení lokálních Firewallů Finančně a projektově nemožné bylo implementováno během 1-dnoho roku Vývoj stál 1.2 mio Kč
Proces nasazení lokálních FW pomocí Firewall Manager (technická část) Prostředí AIX OS Prostředí AIX OS AIX Firewall v režimu Prostředí zaznamenávání AIX OS AIX Firewall v režimu Prostředí zaznamenávání AIX OS AIX Firewall v režimu zaznamenávání AIX Firewall Filesystém v režimu /fw zaznamenávání Filesystém /fw Filesystém /fw Filesystém /fw Zjištění dat o komunikaci a Import dat do databáze Postgress Analýza spojení a definice pravidel Export konfigurace a aktivace Firewallu Databáze s FW průchody
Proces nasazení lokálních FW pomocí Firewall Manager (technická část) Prostředí AIX OS Prostředí AIX OS AIX Firewall v režimu Prostředí zaznamenávání AIX OS AIX Firewall v režimu Prostředí zaznamenávání AIX OS AIX Firewall v režimu zaznamenávání AIX Firewall Filesystém v režimu /fw zaznamenávání Filesystém /fw Filesystém /fw Zjištění dat o komunikaci a Import dat do databáze Analýza spojení a definice pravidel Export konfigurace a aktivace Firewallu Filesystém /fw Aplikační administrátor Databáze s FW průchody
Proces nasazení lokálních FW pomocí Firewall Manager (technická část) Prostředí AIX OS Prostředí AIX OS AIX Firewall v režimu Prostředí zaznamenávání AIX OS AIX Firewall v režimu Prostředí zaznamenávání AIX OS AIX Firewall v režimu zaznamenávání AIX Firewall Filesystém v režimu /fw zaznamenávání Filesystém /fw Filesystém /fw Zjištění dat o komunikaci a Import dat do databáze Analýza spojení a definice pravidel Export konfigurace a aktivace Firewallu Filesystém /fw Aplikační administrátor Databáze s FW průchody
Vlastní aplikace Firewall Manager GUI Skupiny pravidel Templates Clustery User management Built-in Workflow Generování pravidel pro Firewall
Vlastní aplikace Firewall Manager GUI Skupiny pravidel Templates Clustery User management Built-in Workflow Generování pravidel pro Firewall
Závěry Za 2 mio Kč (1.2 mio vývoj, 0.8 nasazení) byl nasazen FW na 300 virtuálních serverech Doba projektu 1 rok (0.5 roku vývoj, 0.5 nasazení) Komerční řešení buď neexistují anebo by projekt stál násobně více s násobně delší dobou implementace
Prostor pro dotazy Martin Vaňous Síť, spol. s.r.o martin.vanous@e-sys.cz, +420 725 893 855