Styk z Internetem - nie tylko sprzęt, ale i usługi
Budowa bezpiecznego i niezawodnego styku z siecią Internet jest często elementem podstawowym dla profesjonalnego Data Center.  Wśród istotnych kwestii wpływających na jego funkcjonowanie wymienić można: styk z operatorami, odpowiednio dobrana wydajność, bezpieczeństwo (zabezpieczenie samych urządzeń oraz ruchu transmitowanego), kontrola zużycia pasma oraz niezawodność zarówno w warstwie sprzętowej jak i konfiguracyjnej (m.in. mechanizmy High Avability, routing dynamiczny)
 
Poza doborem sprzętu takiego jak routery, firewalle czy przełączniki proponujemy również zaawansowane usługi  dodane – pozwalające na optymalizację działania styku z siecią Internet:
 
  • dobór operatorów telekomunikacyjnych, łączy oraz przepustowości,
  • pomoc w uzyskaniu adresacji IP Provider Independent oraz własnego numeru Autonomous System (przygotowanie dokumentów dla RIPE),
  • optymalizacja i zabezpieczenie działania protokołu BGP-4,
  • tworzenie polityk sterowania ruchem wejściowym i wyjściowym z Systemu Autonomicznego,
  • Blackholing BGP – skuteczne zabezpieczenie Systemu Autonomicznego  przed sieciami generującymi ruch szkodliwy,
  • tworzenie polityk redystrybucji dla protokołów routing.

 

 
Nasi partnerzy w zakresie sprzętu do budowy styku z siecią Internet: Cisco, Juniper, CheckPoint

Rewolucja w architekturze
W ostatnich latach obserwujemy tendencję do coraz większego zamykania ruchu wewnątrz Data Center. Idea Cloud Computing, upowszechnienie się dostępu do aplikacji w oparciu o WEB oraz mechanizmy lekkiego klienta powodują, że ruch wychodzący z Data Center do klienta jest stosunkowo mały. Jednak w obrębie samego Data Center wolumen danych niezbędnych do obsłużenia pojedynczych transakcji gwałtownie wzrasta oraz coraz bardziej istotne są kwestie minimalizacji opóźnień w sieci LAN i zapewnienia gwarantowanego poziomu Quality of Service. Z tego powodu istotne jest nie tylko zaprojektowanie wydajnej sieci LAN w Data Center (która jest w stanie szybko transmitować duże ilości danych) – ale także sieci, w której transmisja będzie odbywać się w sposób zoptymalizowany. Powoduje to, że w budowie współczesnych sieci LAN w Data Center odchodzi się od paradygmatu trójwarstwowej budowy sieci (dostęp, dystrybucja oraz rdzeń) w kierunku:
  • sieci dwuwarstwowych – rdzeń zintegrowany z warstwą dystrybucyjną (ang. collapsed core) oraz warstwa dostępowa,
  • sieci jednowarstwowych – sieć w całym Data Center zbudowana jest w oparciu o jeden przełącznik wirtualny.
Przejście w kierunku sieci jedno- i dwuwarstwowych powoduje nie tylko obniżenie opóźnień w sieci oraz zwiększenie przepustowości (eliminacja tzw. wąskich gardeł). Wśród dodatkowych korzyści wymienić można:
  • eliminacja protokołu Spanning Tree – zdecydowanie szybsza konwergencja sieci w momencie awarii, eliminacja potencjalnych błędów w konfiguracji protokołu,
  • zmniejszenie ilości urządzeń sieciowych w Data Center - oszczędność miejsca w szafach, ograniczenie wymaganej mocy prądowej oraz klimatyzacyjnej,
  • ograniczenie ilości połączeń krosowych – łatwiejsze zarządzanie i administracja siecią.
 
Nasi partnerzy w zakresie sprzętu do budowy sieci LAN w Data Center: Cisco, Juniper
Wirtualizacja to nie tylko VMware
Trudno wyobrazić sobie współczesne Data Center w którym nie są wdrożone środowiska wirtualne bazujące na produktach VMware, Microsoft czy Citrix. Niestety najczęściej środowiska te są niejako oderwane od warstwy sieciowej oraz systemów bezpieczeństwa - które są nieświadome istnienia środowiska zwirtualizowanego na fizycznej infrastrukturze serwerowej. Efektem tego jest:
 
  • Obniżenie bezpieczeństwa danych i transmisji – często ruch w obrębie vswitcha nie jest widoczny z punktu widzenia sieci LAN jak i urządzeń bezpieczeństwa takich jak firewall czy IPS.
  • Zwiększenie pracochłonności oraz czasu trwania zmian – migracja maszyny wirtualnej (np. w oparciu o vmotion) na inny serwer fizyczny może wymagać zmian w konfiguracji portu dostępowego na przełączniku  oraz w systemach bezpieczeństwa. Powoduje to, że szybki proces migracji na poziomie środowiska wirtualnego jest opóźniany poprzez oczekiwanie na ręczne zmiany w warstwie sieciowej i systemach bezpieczeństwa
 
Problemy te powodują, że krytycznym elementem w projektowaniu środowisk w Data Center staje się zwirtualizowanie nie tylko warstwy serwerowej, ale także sieci LAN oraz systemów bezpieczeństwa – tak aby wszystkie te trzy elementy współpracowały ze sobą i stanowiły spójny system.
Kolejnym zagadnieniem związanym z wirtualizacją Data Center jest możliwość współdzielenia infrastruktury przez wielu niezależnych klientów:
 
  • Niezależne adresacje IP oraz tablice routingu – zastosowanie mechanizmu VRF lub VRF lite.
  • Niezależne zarządzanie systemami bezpieczeństwa – każdy klient posiada możliwość zarządzania i monitorowania stref bezpieczeństwa obejmujących własną infrastrukturę fizyczna i logiczną oraz jest nieświadomy istnienia zasobów innych klientów (separacja).
  • Dostęp do wspólnych zasobów dla wielu klientów (np. serwer DNS, NTP, Gateway Internet) przy zablokowaniu możliwości bezpośredniego ruchu między systemami klientów – prywatne sieci VLAN.
 
Nasi partnerzy w zakresie środowisk wirtualnych w Data Center: Cisco (seria Nexus), Juniper (seria vGW), CheckPoint (seria VSX-1) oraz Trend Micro (Deep Security)
Sieć od strony administracji
Ośrodki Data Center pracują w trybie 24/7  z coraz częściej implementowanym  standardem Tier IV gwarantującym 99,999% dostępności infrastruktury.  Przy oferowaniu takiego poziomu Service Level Agreement (SLA) nie ma miejsca na awarie oraz błędy administracyjne. Stąd kluczowe jest zbudowanie w Data Center systemów zarządzania oraz monitorowania pracy urządzeń i systemów.  Nie jest to zagadnienie trywialne:
 
  • Duża ilość urządzeń, systemów oraz ilość przetwarzania danych powoduje, że źle zaprojektowany system zarządzania i monitoringu zamiast dostarczać administratorom istotnych danych oferuje tylko bezużyteczny szum informacyjny. Systemy zarządzania i monitoringu muszą posiadać wbudowaną logikę, która z natłoku danych potrafi wydobyć istotne informacje pomagające administratorom zarówno w codziennej pracy jak i w szybkiej detekcji awarii i problemów.
  • Konieczność przejścia z reagowania na już zaistniałe problemy na tryb proaktywny. System zarządzania i monitoringu poza informowaniem o zaistniałych problemach i awariach powinien być w stanie dostarczać danych o ważnych trendach oraz korelować pojedyncze (często nieistotne) informacje w powiadomienia o zagrożeniach dla systemu.
  • Wielowarstwowe monitorowanie – dla pracy Data Center istotne jest zarządzanie oraz monitorowanie pojedynczych urządzeń.  Jednak dla klienta całe Data Center widziane jest jak „czarna skrzynka” i zainteresowany jest on przede wszystkim działaniem usługi. Stąd dobry system zarządzania i monitoringu powinien działać od warstwy fizycznej (sprzęt) aż po warstwę aplikacyjną (czyli sprawdzać, czy użytkownicy uzyskują właściwe dane z aplikacji).
 
Ważne jest także, aby w codziennej pracy administratorzy posiadali do dyspozycji systemy typu OOBM (Out of Band Management). Pozwala to na odseparowanie sieci administracyjnej od sieci transmisyjnej. Dzięki temu zwiększone jest bezpieczeństwo fizyczne w dostępie do urządzeń oraz zminimalizowane ryzyko utraty łączności między systemem a administratorem (np. wynikające z błędów w konfiguracji)
Nasi partnerzy w zakresie zarządzania i monitoringu: Cisco (CiscoWorks), Juniper (Junos Space, NSM, STRM), RSA (enVision), Linux (rozwiązania bazujące na Nagios i Cacti), Digi (OOBM).
Aby wszystkie urządzenia miały spójny czas systemowy
Synchronizacja czasu dla systemów komputerowych jest zagadnieniem rzadko poruszanym w kontekście budowy Data Center – mimo że jest to zagadnienie kluczowe z punktu widzenia właściwego zarządzania infrastrukturą oraz dla celów informatyki śledczej. Właściwa konfiguracja synchronizacji czasu jest niezbędna m.in. z następujących powodów:
 
  • Pozwala na właściwe działanie systemów korelacji danych SIEM oraz NBAD – przy rozsynchronizowanych czasowo urządzeniach nie jest możliwe odtworzenie ścieżki czasowej dla przeprowadzonego ataku czy też innego zdarzenia systemowego
  • Poprawna data i czas jest ważna dla sygnowania kluczy i dokumentów w systemach klucza publicznego (PKI)
  • W przypadku włamań i incydentów sieciowych zbierane logi powinny być oznaczone znacznikiem czasowym – który jednoznacznie potrafi udowodnić, że logi pochodzą z danego czasu i nie były modyfikowane (falsyfikowane) [zasada autentyfikacji w procesie weryfikacji dowodów elektronicznych]
 
Zegary wbudowane w popularne urządzenia sieciowe takie jak routery, firewalle czy systemy operacyjne są wysoko nieprecyzyjne. Dla zbudowania systemu synchronizacji czasu konieczne jest wykorzystanie protokołu NTP (Network Time Protocol) i synchronizacja z serwerami czasu poziomu STRATUM-0 lub STRATUM-1 poprzez:
 
  • Sieć Internet – rozwiązanie rzadko spotykane w profesjonalnych Data Center
  • Specjalizowane serwery czasu synchronizujące się z zegarami nadrzędnymi STRATUM-0 poprzez GPS i posiadające własne zegary zapasowe bazujące na  oscylatorach (OCXO oraz Rubidium) – stosowane w przypadku zaniku sygnału GPS
 
W naszej ofercie posiadamy zarówno serwery czasu NTP dla całej sieci (komunikacja po IP), jak i dla odseparowanych od siebie segmentów sieci Ethernet (np. dla sieci zarządzającej)
 
Nasi partnerzy w zakresie synchronizacji czasu: Spectracom, Juniper
Serdecznie zapraszamy do współpracy!
Jeżeli mają Państwo pytania, prosimy o kontakt na adres: sales@apius.pl
Wszelkie prawa zastrzeżone © APIUS technologies 2011       Projekt i wykonanie: Projekt strony WWW - Artcards / NetSoftware