Centric connect.engage.succeed

Koffer- en rugtasvirtualisatie op VMworld?

Geschreven door Arjan Hummel - 29 november 2018

Arjan Hummel
Begin november bezocht ik VMware’s grootste evenement: VMworld. En als eerste wil ik iets kwijt over wat ik gemist heb. Iets waar juist een bedrijf als VMware hét verschil kan maken: virtualisatie van koffer en rugtas! Hoewel het natuurlijk hartstikke gaaf is om VMworld te bezoeken, valt het gezeul met koffer en rugtas tijdens het reizen mij altijd tegen. Je maakt namelijk heel wat kilometers te voet. Zodra hier iets op gevonden wordt, ben ik de eerste die het gebruikt!

VMware en netwerken

Maar zonder gekheid, waarom ga ik als netwerkarchitect naar een evenement van VMware? Iedereen kent VMware als dé partij voor server- en desktopvirtualisatie – hiermee is het bedrijf groot geworden. Maar met de overname van Nicira in 2012 heeft VMware ook een belangrijke stap gezet richting de netwerkwereld met het product NSX (een afkorting die nergens voor staat, zoals dat ook het geval is bij ESX en Wifi). Daarnaast kocht VMware eind 2017 VeloCloud. Met deze organisatie  houdt VMware zich bezig met cloud based WAN-verbindingen (vaak onder de noemer SD-WAN). Door deze ontwikkelingen is VMware een interessante onderneming voor iedereen die zich binnen de IT richt op netwerken, waaronder netwerkarchitecten.

Virtualisatie?

Voor ik je over mijn avonturen tijdens deze twintigste editie van VMworld vertel, nog even het volgende: virtualisatie gaat nooit over het kunnen ‘opruimen’ van hardware. Of het nu om server- of netwerkvirtualisatie gaat, er is hardware nodig om elektronen (elektriciteit) te verplaatsen van A naar B en daarvoor is simpelweg een fysieke infrastructuur nodig. De belofte van virtualisatie is vooral het efficiënter inzetten van de infrastructuur: meer doen met dezelfde hardware.

NSX-keynote

Tijdens de NSX-keynote werd NSX vooral besproken als onderdeel van Virtual Cloud Network. Het viel me op dat de keynote daarmee over meer ging dan alleen NSX. Het Virtual Cloud Network bestaat uit drie pijlers:

  • End-to-End Fabric: een netwerk dat zich overal naartoe uitstrekt. Dus niet naar één locatie, maar ook naar alle nevenlocaties en datacenters over verschillende geografische locaties. Of, zoals VMware het zelf zegt, ‘from branch to core to cloud’ of ‘NSX everywhere’. Ook het eerder genoemde SD-WAN maakt hier deel van uit.
  • All in software: alles is volledig software gebaseerd. Een wijziging in functionaliteit betekent alleen een wijziging in de software. Dat is over het algemeen makkelijker en sneller te realiseren dan wijzigingen in de hardware.
  • Intrinsic security. Omdat de securityfunctionaliteit in de hypervisor kernel kan draaien, is er op securitygebied veel meer mogelijk dan bij agent gebaseerde software dat ‘bovenop’ de hypervisor kernel draait.

Vooral die laatste pijler vond ik erg interessant. Omdat NSX (of eigenlijk ESX) over een hypervisor beschikt, kan van daaruit ‘naar boven’ worden gekeken (dus naar het operating system dat in de virtual machine draait bovenop de hypervisor). Dit geeft op securitygebied veel meer mogelijkheden dan wanneer een op agent software gebaseerde oplossing wordt gebruikt. Als een aanvaller ‘root’-rechten weet te krijgen, is dat op het niveau van het operating system en de eventuele securitysoftware die daarop draait niet tegen te gaan. Root kan geen root tegenhouden! Op het niveau van de hypervisor is er eigenlijk sprake van een soort super-root en kunnen we alles wat op  operating system-niveau gebeurt in de gaten houden. Dit geeft nieuwe mogelijkheden. Zo kun je een lijst hebben met zaken die nooit mogen veranderen (zoals executable operating system bestanden) en een lijst met zaken die nooit mogen gebeuren (zoals een webserver die root-shells start). In beide gevallen gaat het om slecht gedrag. VMware is, door de vele workloads die ze zien, ook in staat om lijsten met goed gedrag te maken. Hoe gedraagt bijvoorbeeld een apache webserver zich in een normale situatie? Door dit goede gedrag te kennen, kunnen afwijkingen geconstateerd worden en kan er actie worden ondernomen als dat nodig is. Ik vond het interessant om te zien dat er niet alleen gekeken wordt naar bekend slecht gedrag, maar dat in dit geval ook kennis wordt gebruikt van bekend goed gedrag dat niet (zomaar) mag veranderen.

Dit soort mogelijkheden op securitygebied worden geïmplementeerd door AppDefense. Tijdens de keynote werd aangekondigd dat deze functionaliteit standaard aanwezig zal zijn in vSphere Platinum.

Adaptive Microsegmentation

Met de hierboven besproken mogelijkheden van AppDefense in combinatie met NSX is het mogelijk om een volledige applicatieketen te beschermen en daar microsegmentering te gebruiken. Omdat gezien wordt hoe een applicatieketen zich gedraagt, kunnen er automatisch firewall rules gegenereerd worden. Wanneer dat handmatig zou moeten, kan dat nogal wat werk zijn als microsegmentering gewenst is. Door de kennis van normaal gedrag te combineren met inzicht in de verkeersstromen kan het systeem jou vertellen welke firewallregels noodzakelijk zijn voor de applicatie.

SD-WAN met VeloCloud

Met SD-WAN met VeloCloud heb ik in de praktijk nog niet te maken gehad, maar qua techniek vond ik dit product zo interessant dat ik er op VMworld aandacht aan heb besteed. Als organisatie kun je te maken hebben met meer dan één soort WAN-verbinding. Een locatie kan bijvoorbeeld een internetverbinding hebben, met daarnaast een WAN-koppeling die wordt afgenomen bij een telecomprovider, bijvoorbeeld een MPLS-wolk tussen datacenters. En wellicht zijn er situaties dat er niet één internetverbinding wordt afgenomen bij een ISP, maar twee (vaak bij verschillende ISP’s) om zo verstoringen op te vangen.

Met de VeloCloud-oplossing kunnen al deze verbindingen als een gezien worden, waarbij de software de kwaliteit en eigenschappen van elke beschikbare fysieke verbinding in de gaten houdt (bandbreedte, latency, jitter et cetera). Hiervoor worden de locaties voorzien van de VeloCloud edge. Dit kan een hardware device of virtuele oplossing zijn. De netwerk-engineer kan aangeven welke soorten verkeer er over het WAN verstuurd moeten worden en welke eisen dan aan het WAN gesteld worden. Zo is het bijvoorbeeld bij VoIP-verkeer wenselijk dat de latency van een verbinding laag is. De VeloCloud-oplossing zal op basis van de aangemaakte policies continu bepalen over welke fysieke verbinding (of verbindingen als extra bandbreedte gewenst is) het beste verkeer verstuurd kan worden  Zo’n oplossing maakt het ook makkelijker om te migreren, bijvoorbeeld als er een vaak dure MPLS-verbinding uitgefaseerd wordt. Om WAN-verkeer van één VeloCloud-locatie naar een andere te sturen, wordt één UDP-poort gebruikt. Dat is dan ook de enige firewallpoort die voor deze oplossing open hoeft te staan.

Sessies

De sessies die ik bezocht gingen vaak over NSX en/of de SD-WAN VeloCloud-oplossing van VMware. En zelfs van de sessies over die thema’s heb ik niet alles gezien wat ik had willen zien. Het is dan ook belangrijk je sessies op tijd te boeken, want naarmate de startdatum van het evenement dichterbij komt, zijn veel populaire sessies volgeboekt. Gelukkig zijn veel sessies (ook die van eerdere jaren) terug te zien via de website

Party time

Na alle serieuze sessies had VMworld ook gezorgd voor ontspanning: een bezoek aan het VMworld Fest, met een optreden van The Kooks! Dat was erg vermakelijk. Het was ook mooi om te zien hoe ze een saaie fabriekshal weten om te toveren tot een feestje met muziek en aankleding.

Na 43 gelopen kilometers was het tijd naar huis te reizen. Met fysieke koffer en rugtas. Voor wie volgend jaar naar VMworld gaat: probeer er meteen een dagje Barcelona aan vast te plakken. De stad is zeker de moeite waard!


Bronnen
https://superuser.com/questions/1290785/what-does-the-abbreviation-nsx-stand-for-in-vmware-nsx-for-vsphere

Over Arjan

Craft Expert Arjan Hummel is onderdeel van Team Cloud binnen Craft, hét groeiprogramma voor IT’ers (powered by Centric). Wil je zijn blogs volgen? Schrijf je in voor de Craft-nieuwsbrief.
Wil je meer weten over Craft, hét groeiprogramma voor IT’ers? Neem een kijkje op de Craft-website!

Tags:Cloud

       
Schrijf een reactie
  • Captcha image
  • Verzenden