Con la calura estiva succede che ovunque si vede e sente scorrere e discorrere dell’ acqua…mi è capitato anche di vedere un arcobaleno nella reception di un albergo causato dalla rottura dell’impianto di condizionamento.
L’acqua scorre e come non può venirti in mente, anche solo per un attimo, lui: Eraclito, lo strenuo difensore del concetto del divenire come risultato della continua dialettica tra i contrari che convivono negli esseri sensibili, famoso per l’aforisma riportato nel titolo.
Poi le ferie sono finite, lavori nell’informatica ed il tuo volo pindarico vira verso altri lidi e ti viene in mente Nutanix Flow e quello che fa: micro-segmentazione east-west all’interno del perimetro di cluster Nutanix basati su AHV…ovvero???

Flow evidenzia di che pasta è fatto già nel nome: regolamenta i flussi dati come un firewall distribuito che è attivo sui nodi di un cluster Nutanix su cui ci sono sia AOS per l’iperconvergenza, sia AHV come hypervisor, ed è sempre gestito dalla console Prism Central o via API. Flow può operare tra macchine virtuali, che possono essere raggruppate in categorie in modo da avere un layer insiemistico più astratto con cui regolare i flussi, oppure tra queste e le reti esterne. In pratica potete far coesistere ed isolare allo stesso tempo su un unico cluster: 

  • ambienti di produzione da ambienti di sviluppo;
  • intranet da DMZ e/o ZAC; 
  • ambienti compliant a PCI ed HIPAA con altri non regolamentati;
  • segregare le vostre applicazioni multi-layer tra i vari layer e con altre entità della rete;
  • segmentare i vostri VDI per mitigare le potenziali propagazioni di malware;

il tutto non necessariamente operando una segmentazione fisica. 
Operando da console, o via API, potete anche mettere in isolamento totale o in quarantena una o più virtual machine per sottoporle per esempio ad analisi forense da parte di un’altra macchina con dell’apposito sw.
Facile intuire come ne consegua un datacenter che si consolida fortemente. 

Anche le network functions possono essere virtualizzate su AHV: attraverso la creazione di una service chain, per esempio, possiamo definire un flusso logico di comunicazione che permette al traffico di fluire attraverso un’altra macchina che, posta virtualmente nel mezzo, può analizzare il traffico di rete con vari intenti ed in genere introdurre intelligenza e conseguenti azioni.
Da un semplice sniffer, ad un firewall virtualizzato, passando per un WAF o più semplicemente un load balancer, possiamo fare in modo che questi siano in grado di vedere, o di verdersi fluire attraverso, il traffico da e verso una o più vm e, per esempio, raccoglierlo per analisi o inibirlo.
Checkpoint, Citrix, F5, Fortinet, Juniper, Palo Alto, in ordine alfabetico, sono alcune delle soluzioni di networking e sicurezza attualmente virtualizzabili su AHV che permettono di coprire il segmento north-south.
Ovviamente ci sono altrettanti player lato switching con cui AHV è anche in grado di interagire in maniera automatizzata per il CRUD delle reti et simila.

Immaginate un ambiente VDI dove c’è Flow: potete regolamentare il traffico da e verso le vm dei vari desktop group in base alla tipologia stessa (ovvero la loro pila di applicazioni) per creare categorie a cui associare policy per limitare le comunicazioni solo con chi serve.
Oppure potete creare una service chain, di cui sopra, che fa il redirect del traffico verso un’entità firewall con capacità di filtering per il web.

E pensate alle PVLAN che risolvono il problema della segmentazione di una VLAN in vlan più piccole ed isolate tra loro per esempio. Queste richiedono la compatibilità con lo switch di turno e possono essere complicate a piacere a seconda dei casi. 
Con Flow potreste fare esattamente la stessa cosa ma in maniera molto più facile e senza doversi complicare la vita con le matrici di compatibilità ed i bug dietro l’angolo. Basta prevedere un piano d’indirizzamento flat ed una singola vlan per creare diversi gruppi di vm segmentati, in pochi click e senza cambiare o complicare la configurazione di rete sottostante.

Insomma, che Eraclito avesse davvero ragione o no, mi sembra che almeno Flow permetta di semplificare l’implementazione e gestione dei flussi di rete quando l’iperconvergenza di Nutanix è il modello operativo prescelto: qui è davvero facile come bere un bicchier d’acqua.
Buon proseguimento.

Categorie: AHVFlow

0 commenti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *