esquema de la arquitectura ha de los datacenternanotechnetworks.com/pdf/topologia.pdfventajas...
TRANSCRIPT
Esquema de la arquitectura HA de los Datacenter
Diagrama f uncional de componentes perimetral es.
Toda la plataforma en el DC se encuentra virtualizada con VMware vSphere 5.5 con los últimos parches de
seguridad y actualizados semanalmente por medio de VMware Update Manager.
Se habilita la infraestructura en un segmento con cluster de Cisco Nexus 5K - 5548UP a 10Gbps en Activo/Activo
y con la tecnología de Jumbo Frame habilitada.
Diagrama f uncional de A l macenamiento.
Se cuenta con servidores HP cada uno con 2x Intel Xeon L5640 y 288GB DDR3 RAM con sistema operativo
VMware ESXi 5.5, estos equipos tienen 4 puertos 10Gbps conectados por fibra óptica usando diferentes
caminos al sistema de almacenameinto Oracle ZFS.
El sistema de almacenamiento cuenta con tecnologías ZIL y ARC2 con discos de estado sólido y arreglos de 32
discos hot swap en pools de ZFS Z2 donde se pueden dañar hasta 8 discos sin ocasionar ninguna pérdida de
información o deterioro en el servicio prestado.
El sistema de almacenamiento utiliza tecnologías de Oracle ZFS para generar snapshots (Backups) cada hora.
Se cuenta con una unidad exactamente igual conectada como espejo de la principal haciendo replicación cada
12 horas.
Diagrama f uncional de red virtual .
En la configuración de la capa de virtualización, los servidores VMware ESXi están administrados por un
vCenter, el cual se encarga de mantener operativo el clúster y entrega funcionalidades de HA, DR y
administración de la plataforma, en la configuración se encuentran vswitches distribuidos con vLan dedicada
para los clientes, cada vswitch distribuido tiene asignado por lo menos 2 NICs de 10Gbps y se ha configurado
multipath para el envío de paquetes por múltiples caminos.
Diagrama f uncional de conexión VM ware.
Toda la arquitectura de virtualización está conectada en varias capas funcion ales que permiten la conectividad a
través de redes TCP/IP, las redes de administración, carga de trabajo y clientes están separadas por seguridad y
la comunicación entre los datacenters se hace por medio de redes privadas y se replica por medio de VMware
SRM (Site Recovery Manager)
Toda la comunicación entre los diferentes componentes de la solución se encuentra encriptada usando
certificados digitales de alta seguridad, y el acceso a las diferentes capas de comunicación está reservado
estrictamente a personal de administración y control dedicado para estas actividades.
Diagrama f uncional de arquitectura virtual .
Resumen de Servicios de Red:
✓ Internet dedicado 1:1 en datacenter (Segmento alimentado por 5 operadores y un
Sistema Autonomo (AS) alimentado por un router BGP). ✓ Dirección IP Pública.
✓ VLAN para los servidores
✓ Virtual Firewall Dedicado con módulos de IDS/IPS habilitados
✓ VPN site2site y client2site con diferentes protocolos y algoritmos.
Firewall perimetral CISCO ASA, Protección FORTINET (IDS/IPS)
Reglas de publicación como lo informe el cliente.
Diagrama f uncional de l os procesos de repl icación y backups.
Bases del respaldo.
El backup que se hace en todo el Datacenter es cada hora y el SLA estándar que se maneja incluye una retención
de 2 semanas, esto no es solo a las máquinas virtuales o recursos de infraestructura contratados, el proceso de
respaldo ocurre a nivel de storage, ya que usamos una tecnología llamada ins tantáneas (snapshots) a nivel de
bloques del sistema de archivos ORACLE ZFS, la cual permite crear puntos en el tiempo y congela lo que estaba
escrito para ser liberado una vez que la instantánea vence.
Instantáneas (Snapshots)
Como ZFS no sobrescribe datos, tomar una instantánea simplemente significa no liberar los bloques utilizados
por versiones antiguas de los datos. La ventaja es que las instantáneas se toman rápidamente y también son
eficientes desde el punto de vista del espacio, pues comparten los datos sin modificar con el sistema de ficheros.
Se pueden crear instantáneas modificables (llamadas clones), lo que resulta en dos sistemas de ficheros
independientes que se crean compartiendo un conjunto común de bloques. A medida que se re alizan cambios
los bloques del sistema de ficheros divergen, pero los bloques comunes se mantendrán independientemente de
cuantos clones existan.
Fuente:
http://es.wikipedia.org/wiki/ZFS_(sistema_de_archivos).
Otra de las tecnologías de ORACLE ZFS que se emplea dentro del proceso de Backup es la replicación de bloques
y compresión con deduplicación de datos, estas tecnologías permiten en su configuración actual que una vez al
día, sean sincronizados los datos del storage con una parte de otro storage en otr a ubicación geográfica,
transmitiendo solo los datos cambiados durante las horas de desincronización y manteniendo una copia fresca
de los datos del volumen en un sitio remoto (Georeplicación), de esta forma no sólo permite hacer un mejor uso
del espacio, analizando los datos repetidos a nivel de bloques y creando punteros a los mismos, sino que
además realiza la compresión a nivel de sistema de archivos.
Ventajas adicionales que tiene el sistema de archivos empleado en nuestros datacenters son:
✓ Auto reparación (Self-healing)
✓ Modelo transaccional (Copy-on-write)
✓ Dynamic striping
✓ Espacios de almacenamiento (Storage pools)
✓ Prioridad I/O explícita con deadline scheduling.
✓ Ordenación y agregación de I/O globalmente óptima.
✓ Multiple independent prefetch streams with automatic length and stride detection.
✓ Parallel, constant-time directory operations.
Restauración del respaldo
Con respecto a la restauración del BACKUP, existen diferentes escenarios para el servicio estándar:
1) Restauración de cualquiera de los equipos contratados en el datacenter a un estado anterior en un
período de dos semanas (modo overwrite): Esta acción puede ser solicitada por el cliente en cualquier
momento a nuestro centro de soporte ([email protected]), normalmente este
tipo de requerimiento está asociados a situaciones de contingencias en las cuales la configuración o
datos del equipo en su estado más reciente resultan no viables para continuar en producción (ejemplo configuraciones que causan errores de pantalla azul en servidores windows) esto causará que el estado
del equipo y por consiguiente todos los datos almacenados en éste se verán reemplazados por el
snapshot o imagen del momento que el cliente haya considerado en su solicitud donde la situac ión de contingencia no se había presentado. Este proceso dura aproximadamente 20 minutos.
2) Restauración de cualquiera de los equipos a un estado anterior en un período de dos semanas (modo
offline): Es igual que el proceso anterior pero NO se sobreescribe el recurso en producción, sino que se
le habilita al cliente la opción de bajar la imagen del recurso a restaurar vía servicio FTP o similar a
fines de que éste pueda ejecutarlo localmente y realizar procesos de verificación o restauración selectiva de los datos que considere pertinente. El tiempo de este proceso varía en función del tamaño
de la imagen y del canal de conexión del que disponga el cliente para realizar la descarga de la misma.
3) Restauración de cualquiera de los equipos a un estado anterior en un período de dos semanas (modo
parallel online): En esta opción la imagen generada ni sobreescribe los recursos en producción ni es descargada por el cliente, en su lugar es empleada en unos recursos adicionales que son habilitados
temporalmente en nuestro datacenter a fin de poder ser cargada y trabajada en un espacio lógico
completamente aislado de la infraestructura de producción, a diferencia de las dos primeras opciones, esta alternativa implica un costo para el cliente que variará en función de los recursos temporales
necesarios para hacer la restauración y el tiempo que se necesite mantenerlos en línea.
En conclusión, con las características y SLA ofrecidos como parte de la propuesta estándar ofrece a sus
clientes la tranquilidad de tener sus datos no solo en los mejores equipos de cómputos del mercado sino que
además se contempla un esquema de respaldo que le permite recuperar el estado de su infraestructura en
cualquier momento a intervalos de una hora y hasta con dos semanas hacia atrás a partir de cualquier
incidente con georeplicación cada 24 horas y SIN afectar en ningún momento el performance de los recursos
contratados. Aun cuando el esquema planteado en nuestro servicio estándar es más que suficiente para la
mayoría de los escenarios de aplicación típicas, otros esquemas de backups (como por ejemplo un incremento
en la retención de la data) también están disponibles bajo la figura de contratación de recursos adicionales (el
costo viene dado en función de los requerimientos particulares de cada caso).
Diagrama f uncional de arquitectura de red.
Toda la arquitectura en la plataforma de datacenters es altamente redundante, el siguiente diagrama
muestra a nivel de arquitectura funcional el modelo de comunicaciones en el perímetro principal CORE.
cuenta con un direccionamiento de IP propio, alimentado con un Sistema Autonomo, en Intenet, la
comunicación subyacente se realiza por medio de protocolos BGP (Border Layer Protocol) creando así una
maya de diferentes caminos para encontrar un destino.
el direccionamiento IP es alimentado por varios proveedores los cuales entregan ancho de banda, si uno
de estos proveedores, el tráfico es enrutado inmediatamente y sin caída de servicio por un nuevo camino.
El diagrama funcional de nuestra arquitectura BGP se podría expresar de la siguiente manera:
En el diagrama anterior, se puede observar el comportamiento de un AS alimentado por 3 proveedores (ISP A,
ISP B, ISP C)
Diagrama de propagación de rutas de AS23367
Diagrama f uncional de arquitectura de borde de R ed.
Diagrama f uncional de arquitectura de borde de Red con redes
virtual es de l os cl ientes y Virtual Firewall .
La arquitectura perimetral protege a todos los clientes de los diferentes datacenters tiene presencia, sin
embargo, para una mayor granularidad y control de las reglas de negocio de cada cliente, las máquinas de la
arquitectura virtual están agrupadas en vLANs en las que se colocan servicios de seguridad virtualizados, entre
ellos, se encuentra el Virtual Firewall dedicado para la vLAN del cliente.
Como se observa en el diagrama anterior, se aprecian 2 vLans de 2 clientes, cada vLAN con 3 máqu inas virtuales
y un Virtual firewall en el perímetro de la red virtual.
Servicios de seguridad virtual adicional es.
Dentro de los componentes activos de protección de la arquitectura en los datacenters donde se tiene
presencia, se cuenta con appliance de seguridad como:
• Reverse Web Proxy
• SSL Encapsulation
• Load Balancer
• Web Application Firewall
• Layer 2 IDS/IPS/Monitoring
• Layer 3 IDS/IPS/Monitoring
• Layer 7 IDS/IPS/Monitoring
• SNMP Comunity Monitoring
• Advance Service monitoring
Servicios de seguridad: WA F (Web A ppl ication Firewal l) .
En la arquitectura contamos con firewall de capa 7 para la protección de sitios WEB.
Esto permite a nuestros clientes y usuarios implementar y/o desarrollar servicios WEB sin tener personal
especialista en seguridad de la información, como un apoyo adicional, el sistema genera registros de acciones
bloqueadas para que nuestros clientes/usuarios puedan tomar acciones que le permitan asegurar sus
componentes en el tiempo que lo requieran ya que el perímetro de seguridad estará protegiéndolos
7x24.
Servicios de seguridad: Detección y prevención de intrusos.
Las diferentes capas de seguridad permiten tener máximo control del tráfico generado desde y hacia las
diferentes redes de los clientes así como a la arquitectura perimetral y de administración.
En cada capa de seguridad se encuentran monitores pasivos que están analizando el tráfico y comportamiento
del uso de los servicios, este monitoreo pasivo tiene el rol de IDS (Detección de intrusos) el cual al detectar una
anomalía en el comportamiento o una regla de seguridad, informa al NOC/SOC y al mismo tiempo, depende del
tipo de amenaza, informa a los diferentes firewalls para que tomen acciones inmediatas como el bloqueo por IP
del atacante.
Servicios de seguridad: NOC y SOC.
Todos los datacenters cuentan con presencia, tienen por lo menos 2 conexiones separadas armando una red
privada virtual (VPN) contra nuestro Centro de Operaciones d e Red (NOC) o de Seguridad (SOC) en donde
hay personal altamente capacitado y certificado para la mitigación de riesgos informáticos ya sea por mal
funcionamiento o por servicios comprometidos, el NOC/SOC cuenta con las herramientas de monitoreo
más avanzadas y total control y visualización de la arquitectura.
Servicios de seguridad: H erramientas avanzadas.
Nuestro NOC/SOC distribuido cuenta con un detalle granular de todos los componentes de la arquitectura así
como de todos los protocolos y servicios dentro de los centros de datos. Así podemos apoyar acciones de
ingeniería forense debidamente solicitadas para encontrar vulnerabilidades y/o desconfiguraciones en los
componentes internos, externos, virtuales y de los clientes.
Dentro de los monitores, podemos contar con análisis de paquetes y control de operaciones.
