Пару месяцев назад в числе обучающих семинаров, организованных заботливой компанией, в которой я тогда работал, был семинар по продуктам компании Crossbeam. Решив узнать побольше информации, я очень удивился тому, что на хабре нет ни одного упоминания этой компании и её продуктов.
Представьте себе коммутаторы, системы обнаружения и предотвращения вторжений, межсетевой экран и ещё кучу пряников внутри одной коробки.
Под катом рассказ о том, как это всё работает и какие преимущества даёт такая архитектура.
Два основных компонента:
По сути стандартный комплект, просто интегрированный в одно устройство, но самое главное здесь это:
Blade — это основная сетевая единица, из которых, как из конструктора Lego, можно собрать сетевую инфраструктуру для вашего предприятия.
Blade бывает трёх типов:
Как уже было отмечено выше NPN это обычный коммутатор, посему рассматривать его подробнее не будем.
Этот blade представляет собой компьютер с операционной системой XOS.
И, наконец, самое вкусное — управляющий модуль, который и позволяет всей системе работать.
Он хранит в себе образы всех приложений, которые могут быть развёрнуты на APM. При старте системы, в зависимости от настроек и количества подключенных APM, он загружает на них соответствующие образы.
CPM отслеживает нагрузку каждого APM и балансирует задачи, распределяя их между одинаковыми APM.
Рассмотрим небольшой пример:
у нас есть IPS и Firewall и 5 APM.
Администратор установил использовать 2 Blades как FW и 2 как IPS, а 5 оставил как запасной.
При старте системе CPM загрузит 4 APM c соответствующими образами.
Если 1 blade умрёт, вместо него сразу же загрузится запасной. Если умрёт ещё один, то распределение запасных APM будет происходить в соответствии с приоритетами, определенными администратором.
Таким образом, в случае выпадения звеньев цепи система продолжает полностью функционировать, и даёт вам возможность заменить испорченный blade на лету, просто вытащив старый и вставив новый.
Чем больше запасных blades, тем надежнее ваша система. И ничего страшного, если ночью умрёт какой-то элемент, системный администратор может спокойно спать, а утром просто заменить элемент, который дал сбой.
Также поддерживается система дублирования ( VRRP ) — вы используете 2 блока, один из которых работает, а второй на подхвате. Если у основного произойдут серьёзные неполадки ( сбой нескольких элементов, или, не дай бог конечно, «уборщица» случайно выдернет его из сети), моментально в работу включится запасной.
Как сказано в презентации продуктов про их операционную систему:
"… Работа платформы обеспечения безопасности следующего поколения осуществляется благодаря многофункциональному, запатентованному ПО Crossbeam XOS. ПО XOS виртуозно работает со сложными, требующими высокой производительности, настройками безопасности в сети и имеет ряд других ключевых преимуществ. Например, ПО XOS динамически распределает виртуализованные приложения безопасности по нескольким APM-модулям с усиленной защитой. Это обеспечивает интеллектуальную балансировку трафика в зависимости от текущих показателей степени использования APM-модулей. Приложения безопасности и настроечные данные автоматически передаются по сети посредством нескольких CPM-модулей. В результате обеспечивается легкость масштабирования при создании виртуальных кластеров и резервировании приложений, а также способность поддержания высокой доступности отдельных устройств благодаря функциям самовосстановления..."
На самом деле, покопавшись в образах, хранимых на CPM, мы определили, что это всего лишь доработанный linux:
Отсюда вытекают следующие вкусности:
Если тема интересна, то в следующей статье я опишу:
Представьте себе коммутаторы, системы обнаружения и предотвращения вторжений, межсетевой экран и ещё кучу пряников внутри одной коробки.
Под катом рассказ о том, как это всё работает и какие преимущества даёт такая архитектура.
Архитектура
Два основных компонента:
- Серверная стойка ( шасси )
- n-ое количество так называемых Blades ( аппаратный подключаемый модуль)
Шасси
- Слоты для blades
- Коннекторы обеспечивающие соединение blades друг с другом
- Вентиляторы
- Источник бесперебойного питания, и т.д
По сути стандартный комплект, просто интегрированный в одно устройство, но самое главное здесь это:
Blades
Blade — это основная сетевая единица, из которых, как из конструктора Lego, можно собрать сетевую инфраструктуру для вашего предприятия.
Blade бывает трёх типов:
- Network Processor Module (NPM) — обычный коммутатор
- Application Processor Module (APM) — модуль, выполняющий то или иное сетевое приложение ( FW, IPS, и т.п.)
- Control Processor Module (СPM) — модуль, выполняющий управление всеми остальными ( балансировка нагрузки, управление задачами)
Как уже было отмечено выше NPN это обычный коммутатор, посему рассматривать его подробнее не будем.
Application Processor Module (APM)
Этот blade представляет собой компьютер с операционной системой XOS.
Control Processor Module (СPM)
И, наконец, самое вкусное — управляющий модуль, который и позволяет всей системе работать.
Он хранит в себе образы всех приложений, которые могут быть развёрнуты на APM. При старте системы, в зависимости от настроек и количества подключенных APM, он загружает на них соответствующие образы.
CPM отслеживает нагрузку каждого APM и балансирует задачи, распределяя их между одинаковыми APM.
Рассмотрим небольшой пример:
у нас есть IPS и Firewall и 5 APM.
Администратор установил использовать 2 Blades как FW и 2 как IPS, а 5 оставил как запасной.
При старте системе CPM загрузит 4 APM c соответствующими образами.
Если 1 blade умрёт, вместо него сразу же загрузится запасной. Если умрёт ещё один, то распределение запасных APM будет происходить в соответствии с приоритетами, определенными администратором.
Таким образом, в случае выпадения звеньев цепи система продолжает полностью функционировать, и даёт вам возможность заменить испорченный blade на лету, просто вытащив старый и вставив новый.
Чем больше запасных blades, тем надежнее ваша система. И ничего страшного, если ночью умрёт какой-то элемент, системный администратор может спокойно спать, а утром просто заменить элемент, который дал сбой.
Также поддерживается система дублирования ( VRRP ) — вы используете 2 блока, один из которых работает, а второй на подхвате. Если у основного произойдут серьёзные неполадки ( сбой нескольких элементов, или, не дай бог конечно, «уборщица» случайно выдернет его из сети), моментально в работу включится запасной.
XOS
Как сказано в презентации продуктов про их операционную систему:
"… Работа платформы обеспечения безопасности следующего поколения осуществляется благодаря многофункциональному, запатентованному ПО Crossbeam XOS. ПО XOS виртуозно работает со сложными, требующими высокой производительности, настройками безопасности в сети и имеет ряд других ключевых преимуществ. Например, ПО XOS динамически распределает виртуализованные приложения безопасности по нескольким APM-модулям с усиленной защитой. Это обеспечивает интеллектуальную балансировку трафика в зависимости от текущих показателей степени использования APM-модулей. Приложения безопасности и настроечные данные автоматически передаются по сети посредством нескольких CPM-модулей. В результате обеспечивается легкость масштабирования при создании виртуальных кластеров и резервировании приложений, а также способность поддержания высокой доступности отдельных устройств благодаря функциям самовосстановления..."
На самом деле, покопавшись в образах, хранимых на CPM, мы определили, что это всего лишь доработанный linux:
Отсюда вытекают следующие вкусности:
- Можно написать произвольное сетевое приложение, и обрабатывать трафик так, как вам хочется ( Crossbeam также предоставляет SDK для работы с интерфейсами шасси)
- Можно модифицировать уже готовые образы по своему вкусу ( хотя тут придётся потрудится, но задача решаемая)
Если тема интересна, то в следующей статье я опишу:
- Какие сложности возникли при оценке возможности сертификации этого оборудования
- Какие модификации мы вносили в прошивку для того, чтобы эти сложности решить
- Пример написания собственного приложения для APM
- Принципиальный отличия XOS от linux, которые внесла компания Crossbeam