Nebula pilvi 9.0 saatavuusalueiden välinen verkkoliikenne

Samankaltaiset tiedostot
Pilvi 9.0. Arkkitehtuuri. Esimerkki arkkitehtuurit

Tikon Ostolaskujenkäsittely versio SP1

Etäkäyttö onnistuu kun kamera on kytketty yleisimpiin adsl- tai 3G verkkoihin. Kts. Tarkemmin taulukosta jäljempänä.

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

opiskelijan ohje - kirjautuminen

WWW-PALVELUN KÄYTTÖÖNOTTO LOUNEA OY

Nebula Pilvi 9.0. Nebula-palvelut. Palvelukuvaus 9.1. Aito, avoin ja luotettava.

2) Sisäverkon RJ45-portit kamerakäytössä (alk. S. 7) - kamera ei näy jossain modeemin takaseinän portissa tai se saa oudon näköisen IP-numeron

Nebula Pilvi 9.0. Nebula-palvelut. Palvelukuvaus 9.0. Aito, avoin ja luotettava.

Yleinen ohjeistus Linux tehtävään

SALITE.fi -Verkon pääkäyttäjän ohje

Bitnami WordPress - Asenna WordPress koneellesi. Jari Sarja

Yleinen ohjeistus Linux-tehtävään

Tikon ostolaskujen käsittely

Joomla Pikaohje

Asennusopas. Huomautus. Observit RSS

PPTP LAN to LAN - yhteys kahden laitteen välille

VERKON ASETUKSET SEKÄ WINDOWSIN PÄIVITTÄMINEN

Olet tehnyt hyvän valinnan hankkiessasi kotimaisen StorageIT varmuuskopiointipalvelun.

Tiedostojen jakaminen turvallisesti

TW- EAV510/TW- EAV510AC: L2TP- OHJEISTUS

Aditro Tikon ostolaskujen käsittely versio 6.2.0

Älä vielä sulje vanhoja

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.3.0

Tikon ostolaskujen käsittely

ViLLE Mobile Käyttöohje

Valppaan asennus- ja käyttöohje

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.4.0

Harjoituksen aiheena on tietokantapalvelimen asentaminen ja testaaminen. Asennetaan MySQL-tietokanta. Hieman linkkejä:

TW- LTE REITITIN: GRE- OHJEISTUS

Internetin hyödyt ja vaarat. Miten nettiä käytetään tehokkaasti hyväksi?

Kompassin käyttöönotto ja kokeen luominen Opettaja

Pikaohje IPv6-ominaisuuksiin FreeBSD-järjestelmässä Päivitetty Niko Suominen

TW- EAV510: PORTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON

Tietokoneverkon luomiseen ja hallintaan

Sonera sovelluspalomuurin muutoshallintaohjeistus

BaseMidlet. KÄYTTÖOHJE v. 1.00

Netemul -ohjelma Tietojenkäsittelyn koulutusohjelma

Visma Liikkuvan työn ratkaisut

Ohjelmisto on selainpohjaisen käyttöliittymän tarjoava tietokantajärjestelmä merikotkien seurantaan WWF:n Merikotka-työryhmän tarpeisiin.

Tiedostojen siirto ja FTP - 1

KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikka / Tietoverkkotekniikka. Antti Parkkinen. ICTLAB tuotantoverkon IPv6 toteutus

Tapahtumakalenteri & Jäsentietojärjestelmä Ylläpito

URL-osoitteiden suunnittelu

Kirkkopalvelut Office365, Opiskelijan ohje 1 / 17 IT Juha Nalli

TW- EAV510/TW- EAV510AC:

Tekninen kuvaus Aineistosiirrot Interaktiiviset yhteydet iftp-yhteydet

TW- EAV510/TW- EAV510AC: PPTP- OHJEISTUS

Amazon Web Services (AWS) on varmaankin maailman suosituin IaaS-tarjoaja. Lisäksi se tarjoaa erilaisia PaaS-kategoriaan kuuluvia palveluita.

Yleinen ohjeistus Linux-tehtävään

1. päivä ip Windows 2003 Server ja vista (toteutus)

Suvi Junes Tietohallinto / Opetusteknologiapalvelut 2012

Googlen pilvipalvelut tutuksi / Google Drive

Asiakirjojen vertailu-kurssi

Lemonsoft SaaS -pilvipalvelu OHJEET

Sisältö. Työn idea Protokollat. Harjoitustyön käytäntöjä. Työn demoaminen. Etäisyysvektori Linkkitila. Palvelin Moodle SSH-tunnelit

j n j a b a c a d b c c d m j b a c a d a c b d c c j

Titan SFTP -yhteys mittaustietoja varten

ANVIA ONLINE BACKUP ASENNUSOPAS 1(7) ANVIA ONLINE BACKUP ASENNUSOPAS 1.0

HP:n WLAN-kontrollerin konfigurointi

Kirjanpidon ALV-muutos

Elisa Oyj Palvelukuvaus 1 (5) Elisa Yrityskaista Yritysasiakkaat versio 2.1. Elisa Yrityskaista

Autentikoivan lähtevän postin palvelimen asetukset

Pertti Pennanen DOKUMENTTI 1 (5) EDUPOLI ICTPro

Aditro Tikon ostolaskujen käsittely versio SP1

HAKUKONEMARKKINOINTI KOTISIVUJEN PÄIVITYSOHJE

Järjestelmänvalvontaopas

Tietokantasovellus (4 op) - Web-sovellukset ja niiden toteutus

Tikon Ostolaskujenkäsittely versio 6.2.0

Foscam kameran asennus ilman kytkintä/reititintä

Discendum Oy

ADE Oy Hämeen valtatie TURKU. Tuotekonfigurointi. ADE Oy Ly Tunnus:

Monikielinen verkkokauppa

Työt - Ohje Pääurakoitsijalle Työntekijän Ilmoittamiseen Verottajaa Varten

Enemmän voitonriemua. Vähemmän tylsiä hetkiä. Pelien ja sovellusten jakaminen Sonera Viihde -palvelussa

Kilpailuhakemuksen luonti IRMA-järjestelmässä

OSA 1 LUKON ASENNUS JA KYTKENTÄ. Lukon asennusosat

PPTP LAN to LAN - yhteys kahden laitteen välille

opiskelijan ohje - kirjautuminen

Automaatio mahdollistaa Software as a Service - arkkitehtuurin

Taitaja 2015 Windows finaalitehtävä

NAVITA BUDJETTIJÄRJESTELMÄN ENSIASENNUS PALVELIMELLE

PARAVANT REITTi-VARMENNUSPALVELU Yleinen palvelukuvaus

Ryhmät. Pauliina Munter/Suvi Junes Tampereen yliopisto/ Tietohallinto 2014

Ohjeistus uudesta tunnistuspalvelusta

Suvi Junes/Pauliina Munter Tietohallinto/Opetusteknologiapalvelut 2014

Asennusohje. Sahara-ryhmä. Helsinki Ohjelmistotuotantoprojekti HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos

Visman SEPA-ratkaisu Yleiskuvaus käyttöönotosta ja ohjeista. Käyttöönotto-opas

KÄYTTÖOHJE YRITYKSILLE

Tietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone

Tietokoneet ja verkot. Kilpailupäivä 1, keskiviikko Kilpailijan numero. Server 2003 Administrator. XP pro Järjestelmänvalvojan

Käyttöopas. ADAP-KOOL AK-ST 500 Oy Danfoss Ab / Kylmäosasto 1

Verkkosivun käyttöohje

Asenna palvelimeen Active Directory. Toimialueen nimeksi tulee taitajax.local, missä X on kilpailijanumerosi

1 YLEISKUVAUS Verkkoturvapalvelu Verkkoturvapalvelun edut Palvelun perusominaisuudet... 2

Käyttöoppaasi. F-SECURE MOBILE SECURITY 6 FOR ANDROID

TW- EAV510 / TW- EAV510 AC: OpenVPN

Harjoitustyö. Jukka Larja T Tietokoneverkot

Salusfin Älykäs lämmityksen ohjaus: Asennusohje

Transkriptio:

Nebula pilvi 9.0 saatavuusalueiden välinen verkkoliikenne

Sivu 2/9 1. Sisällysluettelo 2. Esipuhe 3 2.1. Saatavuusalueet 3 2.1.1. Taustaverkko missä instanssit ovat suoraan fyysisellä liitännällä kiinni 3 2.1.2. Liikenne kulkee reititettynä taustaverkon kautta 6 3. Yhteenveto 9

Sivu 3/9 2. Esipuhe Dokumentissa kuvataan muutama vaihtoehto millä Nebulan Openstack pilvessä voidaan liikennöidä saatavuusaluiden välillä parhaiden käytäntöjen mukaisesti. Dokumentti on tarkoitus julkaista asiakasohjeissa. Ohjeessa on myös useampi heat template asian havainnoimiseksi. 2.1. Saatavuusalueet Nebula Pilvi 9.0 sisältää kaksi saatavuusaluetta joihin asiakas voi itsenäisesti hajauttaa palvelut korkean saatavuuden takaamiseksi. Hajautus vaatii kuitenkin hieman suunnittelua verkon ja palvelimien roolien osalta, jotta haluttuun ratkaisuun päästään. Tässä ohjeessa näytetään muutama esimerkki yksikertaisen sovelluksen kautta millä tavoin palvelut voivat liikennöidä saatavuusaluiden välillä tehokkaasti ja turvallisesti. 2.1.1. Taustaverkko missä instanssit ovat suoraan fyysisellä liitännällä kiinni Esimerkissä luomme molemmille saatavuusalueille demilitarisoidut verkot jonka kautta instanssit voivat liikennöidä internettiin sekä käyttää julkisia ip-osoitteita. Luomme myös yhden taustaverkon josta ei ole suoraa yhteyttä internettiin, mutta instanssit voivat liikennöidä sen kautta keskenään. Verkkojen ja instanssien luomiseen käytetään esimerkissä heat templateja joilla voidaan automatisoida ja versioida kyseiset infrastruktuurit. Luotavat verkot ovat kuvattuna alla olevassa taulukossa: Saatavuusalue Verkko CIDR Rooli Reititin Helsinki-1 Helsinki-2 Useita dmz-hki1-10.0.1.0/24 dmz-hki2-10.0.10.0/24 multiaz-lan- 192.168.0.0/24 10.0.1.0/24 DMZ edge_router_hki1 10.0.10.0/24 DMZ edge_router_hki2 192.168.0.0/24 Taustaverkko - Huomioitavaa on se että instanssit voi myös liittää ristiin DMZ verkkoihin saatavuusalueiden välillä. Tätä ei ole Nebulan pilvessä estetty, mutta loogisuuden kannalta ei ole suositeltua käyttää verkkoja ristiin. Mikäli verkkoon liitetään reititin ja sen yhdyskäytävä määritetään esimerkiksi saatavuusalueelle helsinki-1 niin verkkoliikenne ulos pilvestä kulkee helsinki-1 kautta. Instanssi joka sijaitsee saatavuusalueella helsinki-2 voi käyttää verkkoa, mutta mikäli saatavuusalueella helsinki-1 on vikatilanne tai huoltokatko niin instanssien liikenne internettiin katkeaa. Tämän vuoksi paras käytäntö on luoda erilliset verkot internettiin päin suuntautuvaa liikennettä varten kyseiselle saatavuusalueelle mikäli tälle on tarvetta ja eriyttää saatavuusalueiden välinen liikenne omiin verkkoihin.

Sivu 4/9 Vaikka alla oleva topologia on mahdollinen, se ei ole suositeltu tapa liittää instanssi julkiseen verkkoon: Luomme aluksi stackin, jossa määritetään verkot sekä security-group palomuurisäännöt: $ heat stack-create -f multiaz_net.yaml demo-network-multiaz fcda2042-b3b4-4d88-b485-590dd199081c demo-network-multiaz CREATE_IN_PROGRESS 2015-09-10T08:12:41Z

Sivu 5/9 Valmiin stackin verkkotopologia: Molemmilla saatavuusalueilla on erilliset DMZ verkot internetiin liikennöintiä varten ja taustaverkko johon ei ole liityntää yhdeltäkään reitittimeltä. Seuraavaksi luodaan stackki joka provisioi 2 instanssia. Toinen on frontend palvelin saatavuusaluella helsinki-1 ja toinen tietokantapalvelin saatavuusalueella helsinki-2. Huomaa että kyseinen skenaario on vain havainoillistamista varten. Oikeasti kyseinen ratkaisu ei olisi vikasietoinen koska molemmat palvelimet ovat riippuvaisia toisistaan. Huom: muuta tiedostosta parametri key_name -> default: demokey nimi vastaamaan omaa avaintasi. $ heat stack-create -f servers_with_multiaz_net.yaml wp-servers-net fcda2042-b3b4-4d88-b485-590dd199081c demo-network-multiaz CREATE_COMPLETE 2015-09-10T08:12:41Z eef11217-3268-4767-8c95-6462ad7ce981 wp-servers-net CREATE_IN_PROGRESS 2015-09-10T08:21:10Z

Sivu 6/9 Instanssit ovat luotuna eri saatavuusalueille ja ne liikennöivät keskenään taustaverkossa saatavuusalueiden välillä: Wordpress asennus tulee viimeistellä selaimella. Osoitteen voi tarkistaa suoraan valmiista stackista: $ heat output-show wp-servers-net website_url http://77.86.182.201/wordpress/ Lopuksi stackin voi tuhota komennolla: $ heat stack-delete wp-servers-net 2.1.2. Liikenne kulkee reititettynä taustaverkon kautta Vaihtoehtoisessa tavassa olemassa olevat reitittimet hoitavat reitityksen verkkojen välillä käyttäen saatavuusalueiden välillä olevaa taustaverkkoa. Mallia kannattaa käyttää silloin kun verkkotopologia on iso ja segmentoituja verkkoja on useita jotka eivät ole suoraan yhteydessä internettiin ja liikenteen tulee toimia kyseisten verkkojen välillä. Myös sisäisiä reitittimiä voi käyttää ilman liitosta internettiin. Päivitämme jo luodun stackin malliin missä reitittimiin liitetään portit saatavuusalueiden väliseen verkkoon: $ heat stack-update -f multiaz_net_routers.yaml demo-network-multiaz fcda2042-b3b4-4d88-b485-590dd199081c demo-network-multiaz UPDATE_IN_PROGRESS 2015-09-10T08:12:41Z

Sivu 7/9 Päivityksen jälkeen reitittimillä on linkit taustaverkkoon. Heat ei vielä suoraan tue staattisten reittien lisäämistä reitittimille joten toimenpide joudutaan tekemään neutronin omalla cli-työkalulla. Reitit DMZ verkkojen välillä reititetään ristiin taustaverkon kautta: $ neutron router-update edge-router-hki1 --routes type=dict list=true destination=10.0.10.0/24,nexthop=192.168.52 Updated router: edge-router-hki1 $ neutron router-update edge-router-hki2 --routes type=dict list=true destination=10.0.1.0/24,nexthop=192.168.53 Updated router: edge-router-hki2 Huom: kun reititin halutaan tuhota, staattiset reitit tulee poistaa ennen toimenpidettä: $ neutron router-update edge-router-hki1 --routes action=clear Voimme nyt luoda stackin, jossa instanssit ovat kiinni vain omissa DMZ verkoissaan, mutta ne voivat liikennöidä keskenään reitittimien kautta: $ heat stack-create -f servers_with_multiaz_net_routed.yaml wp-servers-routed fcda2042-b3b4-4d88-b485-590dd199081c demo-network-multiaz UPDATE_COMPLETE 2015-09-10T08:12:41Z 461ad670-139d-4c4d-b95b-1ce451678ef1 wp-servers-routed CREATE_IN_PROGRESS 2015-09-10T09:24:48Z

Sivu 8/9 Instanssit ovat omissa verkoissaan eri saatavuusalueilla ja liikenne kulkee taustaverkkoa pitkin reititettynä: Wordpress asennus tulee taas viimeistellä selaimen kautta: $ heat output-show wp-servers-routed website_url http://77.86.182.202/wordpress/ Stackit voi lopuksi tuhota järjestyksessä: $ heat stack-delete wp-servers-routed fcda2042-b3b4-4d88-b485-590dd199081c demo-network-multiaz UPDATE_COMPLETE 2015-09-10T08:12:41Z 461ad670-139d-4c4d-b95b-1ce451678ef1 wp-servers-routed DELETE_IN_PROGRESS 2015-09-10T09:24:48Z $ neutron router-update edge-router-hki1 --routes action=clear Updated router: edge-router-hki1 $ neutron router-update edge-router-hki2 --routes action=clear Updated router: edge-router-hki2 $ heat stack-delete demo-network-multiaz fcda2042-b3b4-4d88-b485-590dd199081c demo-network-multiaz DELETE_IN_PROGRESS 2015-09-10T08:12:41Z

Sivu 9/9 3. Yhteenveto Esimerkissä käytiin läpi kaksi tapaa liikennöidä saatavuusaluiden välillä. Muitakin vaihtoehtoja on, mutta esitetyt mallit olivat suositeltavat tavat miten Nebula Pilvi 9.0 liikenne kannattaa toteuttaa. Huomioon otettavia asioita kun verkkoja suunnitellaan: Pidä instanssit ja niiden verkot samalla saatavuusalueella. Älä liikennöi internettiin tai käytä floating-osoitteita ristiin saatavuusalueiden välillä. Mikäli instanssi ei tarvitse julkista floating-osoitetta niin älä käytä niitä turhaan. Tietokanta tai applikaatiopalvelimen ei välttämättä tarvitse näkyä internettiin suoraan. Suunnittele verkot kokonaisuuksina. Mikäli pilvessä pyörivä palvelu on tarkoitus myöhemmin yhdistää toiseen verkkoon tai palveluun niin vältä avaruuksien päällekkäisyyksiä. Hyvä käytäntö on pitää pilvessä esim. 172.16.0.0/12 verkkoja tai toimipisteissä 10.0.0.0/8 tai toisinpäin. Tee aina security-group säännöt palvelukohtaisesti, vältä kaikki auki ratkaisuja vaikka verkot eivät suoraan olisikaan yhteydessä julkisiin verkkoihin. Instansseja voi segmentoida verkkoihin joista ei ole suoraa pääsyä internettiin. Mikäli näiden palvelimien on tarkoitus päästä ajamaan esimerkiksi tietoturvapäivitykset niin käytä NATinstansseja. Mikäli käytät heat-templateja, tee jokaiselle toiminnolle oma template ja viittaa niihin keskenään. Esimerkiksi verkot omanaan, tietokanta ja applikaatiopalvelimet ominaan jne. Näin muutokset voi tehdä tiettyyn osaalueeseen kerrallaan. Lisäkysymyksissä tai kommenteissa voitte olla yhteydessä meihin. Avustamme mielellämme!

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute