VMware Summerschool vrealize Automation blueprint design deep dive i.c.m. VMware NSX Viktor van den Berg, Techonology Officer VCDX-DCV #121, VCIX-CMA, VCP-NV
the world is changing
Alles en iedereen verbonden Organisaties met elkaar verbinden Apparaten met elkaar verbinden Mensen met elkaar verbinden
IT moet bij blijven
Waarde toevoegen 03 Business Enabler Business en IT werken samen Containers, DevOps, uitbesteden commodity, mobile IT volwassenheid 01 02 Business Partner IT ondersteunt de business Automation, pro-actief, kostenreductie, schaalbaarheid, cloud Infrastructure Provider Virtualisatie, consolidatie, standaardisatie Relatie IT en business
Wat kan IT doen? Mobile Containers Automation Succesteams Productivity DevOps Software Defined Hybride cloud Managed Services Security
Software Defined Datacenter
It's moving from that kind of a specialized hardware world, to a world of standarized hardware blocks where increasingly all infrastructure functions that we know of, will be developed and deployed in software. The control of this datacenter is entirely be done by software. The datacenter is on its way to become programmable and automated. So we call this the Software Defined Datacenter. Raghu Raghuram, VMworld 2011
Van conventioneel naar SDDC Conventioneel Datacenter Software Defined Datacenter (SDDC) e-mail tickets telefoon self-service metrics workflows policies ITSM vservers ITSM API API API API API servers storage network security backup compute storage network security backup
VMware SDDC
Cloud Management met vrealize
Met cloud management
Cloud management Cloud Management Platform Self-Service Orchestration Capacity & Ops Management Compliance Security Configuration Management Financial Management
IaaS PaaS
Use cases Virtual Machines Applications Configuration API VM Lifce Cycle Management App Life Cycle Management Infrastructure Management XaaS Anything as a Service
vrealize Automation vrealize Automation Self-Service GUI CLI API Policy based Governance with Automated Delivery Infrastructure Services Applications Services Any IT Service Extensibility Virtual Public Cloud vsphere Hyper-V Xen Hosted Clouds Multi-Platform Hybrid Cloud
Service design Converged blueprint designer ٠Eén model voor automation; ٠Maak een service o.b.v. herbruikbare bouwblokken ٠Blueprints worden vast gelegd in YAML ٠Ontwerp binnen een grafisch canvas ( Viso-like )
Service design VM met applicatie VM s met OnDemand netwerk
Service design beschikbare componenten
Service design beschikbare componenten
NSX biedt... ٠ Micro segmentatie Controle op east/west verkeer ٠ Automation Geautomatiseerd uitrollen van netwerk componenten ٠ Optimalisatie van het netwerk Efficiëntere gegevensstromen ٠ Disaster recovery Geoptimaliseerde stretched networks
NSX componenten Logical Switch Logical switch L2 segment (VLAN) gebaseerd op een VXLAN Router Distributed Logical router L3 router gekoppeld aan VLAN(s) e/o VXLAN(s) Edge router Router appliance Logical firewall L2/L3 firewall Logical Firewall Logical load balancer One/two arm load balancer Logical Load Balancer
De combinatie vra + NSX Voordelen ٠ Unified Service Design & Delivery ٠ App-Centric Networking & Security Cloud Consumers ٠ Controle en zichtbaarheid Security Unified Service Catalog Applications ٠ Snellere uitrol ٠ Infrastructure as code ٠ Lifecycle management Networking Extensibility ٠ Gestandardiseerd en herhaalbaar Cloud Admin Converged Blueprint CONNECTIVITY AVAILABILITY SECURITY On-Demand Networks Network Profiles On-Demand Load Balancer Security Tags Security Groups Security Policies Network Admin Security Admin
De combinatie vra + NSX NSX vrealize Automation On Demand Application Delivery Service Catalog Logical Switch Resource Reservation Web Logical Router Cloud Management Platform App Logical Firewall Converged Blueprint DB Logical Load Balancer Security Policies Security Groups Network Profiles 26
Verbind vra met NSX
Netwerk componenten in vra Container network: Netwerk configuratie voor container hosts Existing network: Bestaande portgroup op vss/vds On-Demand Load Balancer: NSX load balancer On-Demand NAT Network: On- Demand NSX Edge + SNAT/DNAT rules On-Demand Routed Network: On- Demand routed netwerk gekoppeld aan een bestaande DLR Existing security group: NSX security group Existing security tag: NSX security tag On-Demand Security Group
Netwerk topologiën Web App DB
Netwerk profielen ٠ Netwerk profielen bepalen hoe VM s aan het netwerk gekoppeld worden ٠ Zijn benodigd voor reeds aanwezig netwerken of on-demand netwerken ٠ Drie type beschikbaar: ٠ External (bestaand) ٠ Routed (on-demand) ٠ NAT 1:1 ٠ NAT 1:many ٠ Netwerk profielen kunnen gecombineerd worden in blueprint, behalve
External network profile ٠ External network is een bestaande portgroup (VLAN, VXLAN) ٠ Vereiste als uplink voor routed & NAT netwerken ٠ Blueprints delen een external network profile ٠ IP s via vra/dhcp/infoblox Deployment #1 Existing VLAN or Logical Switch Existing ESG, DLR or physical VM VM VM VM Depl #1 One- Arm LB VM VM VM VM Depl #2 One- Arm LB Deployment #2
External network profile
External network profile
Routed network profile ٠ On-demand routeerbare netwerken, netwerken maken verbinding met een bestaande DLR ٠ Een logical switch (L2 VXLAN) wordt on-demand aangemaakt ٠ Iedere logical switch heeft een uniek netwerk ID/subnet, wat slechts eenmalig gebruikt wordt ٠ Geen DHCP, maar vaste IP adressen ٠ Een routed network profile heeft een subnet mask en een range subnet mask ٠ One arm load balancer mogelijk Provider NSX Edges (HA or ECMP) Transit L.S. DLR DLR One-Arm LB V M V M V M V M Web L.S. App L.S. DB L.S.
NAT network profile ٠ On-demand NAT netwerk (1:1 of 1:many), met SNAT en eventueel DNAT regels ٠ IP range wordt herbruikt binnen een vra blueprint ٠ Voor een deployment is vereist: ESG + logical switch(es) ٠ In-line load balancer is mogelijk Provider NSX Edge (HA only) Transit L.S. On-Demand NSX Edge (NAT + Inline LB) VM VM Web L.S. VM App L.S. VM DB L.S.
1:1 NAT ٠ Iedere VM krijgt een netwerk adres aan de buitenkant ٠ SNAT en DNAT regels worden aangemaakt op de ESG ٠ Eventueel FW regels (vro), of via DFW (security groups/tags) ٠ Geen DHCP beschikbaar (ivm SNAT/DNAT regels) Provider NSX Edge (HA only) Transit L.S. On-Demand NSX Edge (NAT + Inline LB) VM VM Web L.S. VM App L.S. VM DB L.S.
1:many NAT ٠ Een extern IP adres voor de hele NAT deployment ٠ Standaard wordt een SNAT regel geconfigureerd voor uitgaand verkeer ٠ DHCP of statische IP adressen ٠ Optioneel DNAT regels (statische adressen verplicht) Provider NSX Edge (HA only) Transit L.S. On-Demand NSX Edge (NAT + Inline LB) VM VM Web L.S. VM App L.S. VM DB L.S.
Load balancing Provider NSX Edges (HA or ECMP) Transit L.S. Provider NSX Edge (HA only) Transit L.S. DLR DLR One-Arm LB On-Demand NSX Edge (NAT + Inline LB) VM VM VM VM Web L.S. Web L.S. VM VM App L.S. App L.S. VM VM DB L.S. DB L.S. One arm load balancer Two arm load balancer
NSX Security Opties Bestaande Security Groups On-Demand Security Groups Bestaande Security Tags App Isolation
Wat zijn security groups? Security policies Guest introspection services Tags Virtual machines Firewall rules Network introspection services
Wat zijn security policies?
Koppel bestaande security groups ٠Security is al aangemaakt binnen NSX ٠Security group wordt in vra gekoppeld: ٠ Op reservation niveau, geldt voor alle VMs binnen de reservation ٠ Op blueprint niveau, geldt voor VMs die gekoppeld zijn aan de security group binnen de blueprint ٠VMs worden automatische toegevoegd/verwijderd
Koppel bestaande security groups
Koppel on-demand security groups ٠SG wordt aangemaakt tijdens deployment ٠Bestaande security policies worden gekoppeld aan de on-demand SG (in de blueprint) ٠Elke deployment heeft z n eigen SG s ٠SG wordt verwijderd bij verwijderen blueprint
Koppel bestaande security tags ٠Bestaande tags worden gekoppeld aan een VM ٠Koppeling tag ßà security group ٠3 rd party oplossingen gebruiken tags ٠VMs worden verwijderd uit de SG, indien verwijderd uit vra
Day 2 operation: change security
App isolation ٠Zero trust optie ٠Al het inbound/outbound netwerk verkeer is geblokkeerd ٠Verkeer binnen de blueprint wordt toegestaan ٠Andere policies hebben een hogere precedence Web App DB
Micro segmentatie ٠Micro segmentatie = DFW op slimme manier inzetten ٠Slimme manier gebruken van SG s ٠ SG voor common services ٠ SG voor intra blueprint traffic ٠ App isolation voor isolatie blueprint ٠Policy weight voor de juiste prioriteit
Multi-Tier Wordpress applicatie access-lan (external VLAN) tcp/80 www (round robin) Word Press WWW Word Press WWW Word Press DB web-lan (on-demand NAT/VXLAN) db-lan (on-demand NAT/VXLAN)
Service design in vra
Execution information
Wordpress website
En nu zelf aan de slag! Module 1 - Introduction to advanced topis Module 2 App-Centric networking & security http://labs.hol.vmware.com - HOL-1721-USE-2
Wat kan PQR voor u doen? strategisch IT advies hybride cloud managed services Stip op de horizon Doelarchitectuur Selectie clouds Selectie CMP Ontwerp, bouw, implementatie vsan/nsx Realisatie automation workflows Ondersteuning beheer Ondersteuning CMP Bouwen en onderhouden van workflows