CRA Cloud: Virtualizace sítí v Cloudu (NSX)

00:00:14
Dobrý den, jmenuji se Petra Kaděrova a vítám vás na webináři Českých radiokomunikací. Tématem dnešního webináře bude virtualizace sítí v cloudu. Jako své hosty jsem si pozvala Marka Ennekera, produktového manažera odpovědného za klaudové služby. Dobrý den. Ahoj Marku. Ahoj Peťo. Druhým kolegou, který přijal mé pozvání, je Jarda Ošťádal. Je to supervizor skupiny IT infrastruktury v Českých radiokomunikacích a pozvali jsme si ho jakožto uživatele virtuálního prostředí, aby nám taky ukázal tu praxi. Ještě než položím první otázku, ráda bych vás upozornila v případě jakýchkoliv dotazů, prosím, využijte náš čet. A na vaše otázky odpovíme po skončení webináře. Marku, takže virtualizace sítí. Co to je, co je to NSX a jak to zapadá do portfolia našich cloudových služeb?

00:01:17
Rozumím. My víme, co je virtualizace, nebo tak jako pracujeme s tím, že víme, co je virtualizace. Jsme dneska schopni vytvářet nějaké virtuální servery na nějakých fyzických hostech a tak podobně. Já si trochu pomůžu slajdem. Tak. Na tom slajdu vlastně můžeme vidět, že ta obrazovka dole nám ukazuje tu fyzickou topologii, kdy my ty fyzický hosty propojujeme pořád do nějakých switchů a máme nějakou topologii, lejí v spáji na podobné věci, což nás teď nemusí až tak moc trápit, ale v tom virtuálním světě chceme, abychom s těmi VMky, s těmi virtuálními servery dokázali ty sítě ovládat a pracovat s nimi výrazně jinak. Mnohem dynamičtěji nechceme řešit takový věci, jako že já chci propojit tohle VMko To, co přichází dneska, to, co jsme vlastně nedávno nasazovali a ty už to prozradila, je to NSX, konkrétně NSXT, tak je dá se říct, jakoby nová platforma pro virtualizaci sítí, která přichází nejenom s tím, že můžeš vytvářet takhle sítě a zapojovat VMK a komunikovat s nimi napříč navzájem, ona přichází s tím, že propojuje i svět třeba kontejnerizace, což je systém VMWare Tanzu, který jsme nasazovali před nějakým jiným časem, kdo propoje dokonce svět i nějakých baremetalu a dalších systémů, které můžou být moc nepoužíváme, jestli se napletu. Ale kdo neví, co to je, že od ACP server je systém, který rozdává IP adresy, takže v tom segmentu vy máte vlastně x výjemek a každý to výjemko musí dostat svoji IP adresu. Typicky ho používáme doma na Wi-Fi, to je běžný stav, připojím se doma na Wi-Fi s mobilem a dostane nějakou IP adresu. Tohle zajiště právě tenhle systém, ale jsou to i věci jako třeba VPNky. Takže v momentě, kdy já chci, abych se jako klient připojil do sítě a dostal se vyloženě do té vnitřní sítě, což bývá tř routingem a nejednou nemusím. Nejednou mi stačí tadyhle nějaká VPN, prostě distribuce, kterou se připojím tamhle do té sítě. Hotovo. A jsem tam. To je vlastně to, co je dneska NSX-T, nebo to, kam míří NSX-T. Ta oblast je mnohem širší, budeme se bavit, doufám, věřím, o dalších věcech, jako jsou load balancery a další věci, které zajišťují ač už třeba větší dostupnost, anebo třeba nějaký segmentace a mikrofirevolink, anebo naopak distribuovaný firework, které zajišťují větší bezpečnost. To je takový jako témat, k

00:05:25
Ty už to asi trošku naznačil, ale přece jenom, jestli můžeš teda ještě zdůraznit ten přínos, to usnadnění pro ty uživatele ty virtualizace sítí.

00:05:34
Dá se vlastně říct, že to, co vy v tu chvíli dostanete k dispozici, jaké souboru různých nástrojů, souboru různých služeb, který můžete libovolně deployovat, libovolně ovládat, jsou pro vás k dispozici a jsou v kontextu té virtualizace, jsou v kontextu toho prostředí, ve kterém pracujete. A tu chvíli vlastně můžete propojovat ten svět toho, co je normálně síť

00:06:25
a firewallová pravidla na jednom místě. Vidíte, co tam všechno běží. které porty jsou otevřené a máte to přímo na jednom virtuálním servru, takže vidíte tam tu souvstažnost, což je za mě naprosto super a myslím si, že to pomůže i našim kolegom v bezpečnosti. A druhá věc, která mě samozřejmě strašně zajímá, tak je jakási možnost automatizace. Typicky životní cyklus servru a takového, když ho vytváříme, máme předpisy na to, kolik to má mít paměti, kolik to má mít zdrojů a tak. Dokážu si představit prostě nějakou sekci, která bude říkat, tak a tady se konfiguruje síť, tady se konfigurují pravidla a všechno to bude automaticky udělat si nějaké předpisy na to, jak má vypadat defaultní komunikace Linuxového servru, Microsoftího servru, něčeho jiného

00:07:51
vyřešit nějak jinak, dám tam firewall, věřím, když se zeptám, Jardi, jestli tyhle ty služby, který dneska jakoby vidíme před sebou, tak jestli dneska umíme vyřešit, přesně mě ve všech případech řekneš, umíme. Všechno z toho, jako, ale to, co přináší ta virtualizace sítí, tak je něco, co je jakoby spojený s distribuovaností, to je vlastně schopnost tu službu nechápat jako centralizovanou, nechápat ji jako na jednom místě, to znamená, my dneska tu VPN-ku typicky vyřešíme, Jardi mi možná pomůže tím, že prostě nikam poslím nějakej A tím samozřejmě zvyšujeme i bezpečnost toho, že to pojede. Nám to spadne, ale ta služba je pořád někde aktivní, někde na nějakém jiném hostu a vlastně funguje úplně automaticky. Její nativní vlastnost je chovat se cloudově. To je v tomhle směru hrozně super, protože ten další efekt je, že pokud se na to podíváme právě v kontextu toho, že tím odbouráme tu centrální věc, to, čemu my za normální koností říkáme perimetrická kontrola, perimetrický firewall, to velký téma a jak to možná rozvine, protože vím, že s bezpečností je to pro nás velký téma vždycky.

00:09:58
Přesně tak, ta možnost toho náhledu, aby kolegové z bezpečnosti viděli prostě přehled toho, té zóny, kde vlastně jsou uvideny ty servery a jejich prostupy někam jinam, aby se na to mohli online podívat, protože jak to funguje dneska. Když se přihlásí na velkej firewall, tak vidí jenom sadu pravidel, bez jaké Mentálně. Ve výsledku bylo by to asi na dost nějaké zamýšlení toho, jak bych splnil tenhle požadavek, ale znovu musel bych dělat asi nějaké dokumenty, kde bych každému serveru musel udělat dokument a musel bych popisovat, kreslit obrázky. Asi bude lepší, když to ten systém udělá za mě a ukáže to přímo v tom apíčku, než abych já na to musel dělat něco statického. Samozřejmě víte, jak se dneska všechno mění a jak je doba. Jsme na mě dneska. Jak je doba dynamická, takže pak to, co uděláte, uděláte dokument a za měsíc je neaktuální.

00:11:25
Tady ty si vlastně dovedeš představit, že tohleto by si skutečně čerpal jako master data, pro tebe by ten zdroj byl skutečně tohle.

00:11:31
Tohleto by mohlo být jako zdroj pravdy.

00:11:34
Takže dokážu si to představit. Super. Dneska je vlastně docela běžný, že se kombinuje zdál ta perimeterická ochrana, která slouží vlastně pro ten trefik, který přichází z venčí. ty pravidla jsou v kontextu toho, jak se ten celý váš systém, jak celá ta vaša architektura stojí a jste potom vlastně schopný tvrdit, že v momentě, kdy některá z těch rolí se lže, v tom smyslu, že se v ní objeví zranitelnost a nikdo ji skutečně zneužije, dostane se do ní a teď vám to výjemko nějakým způsobem ovládá, nebo ho minimálně jako dostal do role, kdy pro vás neplní tu roli, kterou má a zároveň je nebezpečný pro okolí, tak je pro ní zároveň z tu chvíli mnohem těžší se dostat na ty ostatní role, protože vůč

00:13:15
zóny už neexistují žádná další pravidla, což tady NSX právě mění úplně od základu.

00:13:21
To je jako z našeho úlu pohledu to samozřejmě veliká změna a veliká změna je, nebo veliká změna, velká příležitost je i v tom, ty schopnosti propojit případně ten virtuální svět se světem kontejnerizace, protože NSX-T, respektive VMware Tanzu, NSX-T, VMware, vysfíra a podobné věci, tak jsou schopný komunikovat a dejme tomu jako se sploštit do té infrastruktury jako společně a samozřejmě potom hybridní klaudy, tak jak jsem je zmiňoval, nechci to rozvádět, ale vlastně to, co vy dokážete potom vydělat, Tady je jedna konkrétní služba, která musí komunikovat s támhletou druhou konkrétní službou a potřebuje nějaký tunel nebo podobné věci. Většinou na zónu, že jo? Tady je to. kus proti kus. Tak, tak, přesně. Jakoby seděli vedle sebe. To je velká výroda, jednoznačně. Co je tady ještě jedna služba, kterou bych možná vytáhl, tak je load balancing. Load balancing se stal, zase si malinko pomůžu, se stal vlastně nativní součástí NSXa. Dneska dokonce dovedeme dělat i L7 balancing, dovedeme koukat do těch pravidel, až do url, do ury a tak dále, ovlivňovat hlavičky a podobné věci.

00:14:59
Takže webový aplikační firmou v podstatě.

00:15:02
Ano, přesně tak. Dovedeme dělat i tu WAVku jako takovou, co je na tom samozřejmě super.

00:15:37
že nějakým způsobem reagovat. které jsou samozřejmě za nějakým webovým aplikačním firewallem. Takže tam, když jedna z těch nodů odpadne, tak vlastně on pozná, že servisa je dole a ty requesty na něj nejdou. Takže to vlastně funguje takhle? Přesně tak, přesně. Podobným způsobem my už teď jako fungujeme. Jenom tady to bude dohromady s tím. Tak, přesně.

00:17:37
je používal, on tam vůbec nebyl. Takže jsem schopen ho tam jenom chvíli předtím vydeployovat, tohle tu situaci nastavit, udělat si klon toho VMka, ten zupgradeovat, říct, povedlo se, nepovedlo se, přepnout provoz na něj, původní VMko zase někam zakonzerovat, zabackupovat si například a pak ho prostě kompletně smazat a odstranit ten úplný lancer, protože já jsem vlastně schopen díky tomu dělat ten rolling update, což je takový mechanismus, kdy prostě jako neustále dopředu jako roluju novou a novou verzi té servisy, taky dělat s tím, že řídím, ve který moment dojde

00:18:15
No super, tak teď jsi mě úplně natchnul a teď jako zákazník mám zájem.

00:18:20
Super.

00:18:20
Tak co mě čeká, pokud mám zájem o takovouhle službu, jaký je scénář, co mě jako zákazníka čeká?

00:18:29
No to je dobrá otázka. Teď těch scénářů, jak dojít k virtualizaci sítí, ať už jako v našem cloudu nebo potenciálně jinde, tak samozřejmě víc. Ta preference, kterou bych měl třeba typicky já A tohle vlastně překlopit do toho modelu, teď už to máme zvirtualizovaný a teprve potom to vylepšovat. To by byl můj postup. Já vím, že někdo má radši.

00:19:25
Je to, co prostředí, to unikátní přístup. Je potřeba podívat se na prostředí jako takové a zvolit nejlepší možnou metodu, ušitou na míru tomu prostředí. Není nějaký obecnej scénář nebo nějaký jednoduchý pravidlo, lusknem prsty a budete mít NSX.

00:19:42
Já bych řekl, že existuje ten druhý extrém. parolovací služba tady a to nahradíme tímhle a jde se dál, je to co nejjednodušší a potom to pojďte vylepšovat, anebo samozřejmě teď popadneme úplně přesně tu infrastrukturu celou i vlastně překlápíme službu po službě a tedy. Já bych se mu vyhybal osobně, myslím, že vlastně my tím nezlepšíme, neskvalitníme tu službu jako takovou, my tím zkvalitníme tu obsluhu a ta obsluha se na to stejně zvyká, je potřeba, aby jako bys integrovala do toho svýho procesu, abys integrovala APIčka, jsi mluvil o Ansiblu, předpokládám, že neexistuje firma, která by virtuální služby nepoužívala. Nedokážu si představit, že by existovala firma, která nemá routing, nemá firewall. Ne, co nedokážu představit. Jak to teda dělají? Třeba existuje firma bez IT? Náš takovou, ne? Ne. Takže jako dovedu si představit, že to obecně je to samozřejmě pro každýho. Já v tom vnímám víc asi takovou jako pototázku

00:22:01
celého toho, celé té virtualizace sítí.

00:22:05
Takže jako jasně, když budeš mít čtyři VMK a nad tím máš firewall, který jednou tak za dva roky na něj šáneš, aby si teda něco udělala, tak virtualizace sítí by ti nabídla, že mnohem jednodušší formou se dostaneš do lepších způsobů zabezpečení. Vytvoříš ty mikrosegmenty a tedy. Ale nenutí tě k tomu. Můžeš to udělat, nemusíš to udělat. Je to tvoje věc. Když to neuděláš, nic nevylepšíš. Takže to vylepšení skutečně přichází až v momentě, kdy tu slu Takže tam je ten přínos rapidně vyšší, ale zase bude platit. Dokud se nepoužije ten mechanismus toho, co ti to nově nabízí, tak ten přínos je čistě jen o tom, že jsme něco, co donedávno bylo fyzický nebo donedávno bylo třeba virtualizovaný, ale nebylo to v té úrovni té virtualizace nativní, tak jsme jenom zvirtualizovali. Tak to je dobrý, to je takový good point. No, to je jako kdybych přetřel verandu, co bych nějak nezmínil. Dobrý, má hezčí barvu možná, ale to slouží pořád stejně. Dokud prostě nezačnu vyrábět v té svý síti ty konkrétnosti, kterými to začnou vylepšovat, ať už mikrosegmentace, load balancery, začnu některé z ty služby, které dneska dělám, na AD máš DNS, přepokládám, a tak dále. Dokud na některých z těch služeb nezačneš vlastně jako využívat otamtať a neulehčí ti to práci, no tak pak je to, Jak řekl?

00:24:03
Tak co nevýhody takového řešení? Nevýhody. Nevýhody.

00:24:08
Jarda, napadejte nějaký nevýhody. Určitě žádný. No, dokáže si já. Já mám pevnou mysl, já si dokážu představit spoustu.

00:24:16
Ale na co si dát pozor? Při rozmyšlení, jestli využít toho službu.

00:24:23
Možná, že jako jeden z těch témat může být na co dát pozor při té potenciální migraci, při té práci dál. Zkusím nechat možná Jardu v rozmysle, protože to, co já vnímám, dá se říct, něco samozřejmě berete dolů, respektive výkonnostně berete dolů tím, že virtualizujete. Dneska v těch sítích je to tak, že je strašná spousta různých hardwareovejch precedence, hardwareovejch komponent, který když správným způsobem sestavíte dohromady, tak tu strátu výkonnosti vůbec nepoznáte. Ten slide, který tady mám u sebe, který jsem tam promítnul, tak je vlastně výkonnostní graf propustnosti v nějakém konkrétním podle guida, což je tenhle setup. A není zdaleka nejlepší. Tenhle setup dovoluje ještě pořád vylepšování toho typu, že použijeme nějaký sítěvky, které z tu virtualizaci vlastně offloadujou a podobné věci, že jenom trochu jiný hardware setup může být o 10, 15, 20 tisíc v tom pořizovacím nákladu dražší a dosáhnout i 100, 200, 300 a tak dále. Budete je škálovat vlastně tím způsobem, že prostě jako už jsem v cloudu a jsem schopen přidáváním další a další servoru škálovat celou tu službu. Takže já si těžko dovedu představit case, k V tom kontextu, jak to dneska používáme, možná já nevím, jaký máme propustnosti, jaký my dneska používáme, jak skutečně toky. Ale já si nedokážu představit, že jsme kromě záloh nabývali.

00:27:13
Která vlastně dneska už ani nepůjde po sítě.

00:27:16
Jsou to scénáře, které nás nějak neafektují. Ale možná, jestli jsi se stihl zamyslet nad tím, jak vy vypadala vlastně ta nevýhoda toho, že ty to máš jako jinak.

00:27:30
Dejme tomu třeba, kdybych se rozhodl, Matice, která mi řekne, který ADčko, jakého schématu, s čím už jako, s kterým DNSkem.

00:28:12
Tak jestli, já v tom žádný další nevýhody nevidím a troufnu si tvrdit, že ta největší obava a samozřejmě jako smysluplně bude ta do toho přejít. Ale zase na druhou stranu ten scénář, kdy ten extrém je vlastně přecházím do toho, jak to je. Nic jinýho neměním. Jen jsem jako vlastně řekl dobře, já jsem tady něco natoval, no tak to budu natovat v rámci NSXa. To je jako relativně jednoduchý úkol. Takže pro mě jako admina

00:29:03
procesů zatím, tak tím by to pak mohlo být komplikovanější, ale nenutně. Vždycky je potřeba podívat se na ten danej case.

00:29:09
Když jsi zmínil, že máme možná stovku sítí, tak já se celkem těším.

00:29:14
Jak to budeme dělat? Jo, jo. Mezávidím sítěvýmu architektovi.

00:29:21
To je určitě v pohodě. Určitě, určitě. Tak jak my normálně v těch sítích, že jo, máme to omezení třeba VLANou nebo něčím podobným, pardon, jsem tady překlikl omylem na ovladače, počtem VLAN nebo

00:30:03
vlastně zjednodušení. daleko větší důraz na bezpečnost.

00:30:08
Takže kolegové, když o tom si mal komunikuju, tak nepoužívají, aby si chápala, VLAN je technický pojem, později dejme tomu rozšířený na VXLANu a ještě později rozšířený na Genev a takový věci. Tady se bavíme spíše o těch jako Genev a VXLANách, ale vlastně kolegové se vyhybají tady těm termínům a používají segment. Jako chvílinku jsem váhal, jestli pořád ještě mluvíme o tom, co je prostě jedna síť, protože to je jako to a oni používají segment, takže OK, mikrosegmentace, segment,

00:30:57
No tak fajn, takže teď už jenom řekli jsme, že to zapadá teda do našich klaudových, po portfoliu klaudových služeb. Tak jak teda můžou české radiokomunikace pomoci s tím scénářem, s tou implementací, s čímkoliv sporadenstvím tím potenciálním zákazníkům?

00:31:17
My dneska máme vlastně virtualizaci sítí právě v té podobě NSX, to je nasazenou v rámci klaudu, takže kdo je zákazníkem našeho business cloudu, a v momentě, kdyby ten zákazník chtěl dál používat, tak mu je volně k dispozici soubor různých služeb, který už může do toho házet. Jeden z těch možností, jak my můžeme pomoct, je, jasně, budete-li u nás v cloudu, tak tohle je věc, kterou nativně dostanete jako součástí vašeho prostředí a využívejte ji, jak potřebujete. My vám k tomu budeme dávat maximum podkladů, abyste věděli, jak se to chová, co to pro vás bude znamenat, jakou službu vám to přinese. Alternativa číslo dva v úzovkách, když se do toho cloudu že bude vyžadovat analýzu, je to prostě jako zdlouhý proces, kdy to znamená ty služby jako, nechci říct jednu po druhý, ale do nějaký míry detailů projít, pochopit, co dělají a adekvátně je vůči tomu nastavit, protože jinak se riskuje, že vlastně zejména tady v tomto case, kdy je tam fyzické prostředí, virtuální prostředí, kontainerizace a další věci, tak se riskuje, že vlastně ty věci spolu nebudou komunikovat tak jako předtím. Je to ta velmi plochá architektura, která tam třeba vzniká, A to je vlastně ta analýza, to je to, co vyplývá z té analýzy a to doporučení toho, jak to přenést do cloudu, jak to přenést do virtualizace sítí. Dá se asi říct, že existuje i třetí varianta a to je vytvoření toho hybridního scénáře, kdyby se vlastně instalovala nějaká jako, co se mu říká výtepa, prostě jako instaloval nějaký komponent, který by ti dovolil, aby si se do téhle virtualizace sítí připojila a ty si to mohla potom čerpat z nějakého prostředí, který jinak virtuální není, není třeba VMwareovský nebo není včeračka, u těch externích systémů je to prostě jako něco, co musíme sledovat trochu jiným způsobem.

00:35:03
No výborně. Tak já myslím, jestli teda ještě k tomu něco chcete říct, že jsme obsáhli tohle téma, byť teda obsáhli. Marek asi namítne, že bychom o tom mohli hovořit další hodinu.

00:35:14
A mohli bychom jít mnohem do větší hloubky a podobně. A samozřejmě nejlepší by bylo se podívat na nějaké konkrétní prostředí a začít toho rozebírat. To bylo jako moc hezký. Díky moc, Jaro, za to, že jsi dorazil, protože ten hled z toho

00:35:40
V případě, že by naši diváci měli další otázky, buď to můžou využít na štět, jak jsem řekla, a pokud vaše dotazy jsou komplexnější, tak pak se prosím obraťte na naše webové stránky www.cra.cz, kde můžete vyplnit formulář a potom dál už komunikovat s našimi kolegy. Pánové, já vám moc děkuji za účast. Vám divákům děkuji za sledování a těšíme se na příště.