Развертывание сетевой инфраструктуры компании в Яндекс.Облака

Вводная часть. В современном мире облачные платформы набирают стремительную популярность и с каждым годом количество компаний, пользующихся услугами облачных провайдеров растет огромными темпами.

Многие фирмы отказываются от того, чтобы содержать свой собственный дата-центр и мигрируют в облака, это позволяет не только уменьшить расходы, но и увеличить надежность и доступность сервисов.

Наибольшей популярностью пользуются такие облака как Amazon Web Services (AWS), Microsoft Azure и Google Cloud. Данные компании обладают большим количеством дата-центров, расположенных по всему миру, и предоставляют множество разнообразных сервисов и поэтому неудивительно, что именно на эти платформы приходится основная доля рынка. Последний отчет Gartner тому подтверждение.
Почему зарубежные облака многим не подходят в России и что с этим делать?

К сожалению, ни у одной из вышеперечисленных компаний нет дата-центров в России. Это означает, что ни один из провайдеров не соответствует закону о персональных данных - ФЗ-152. В итоге получается, что все банки и другие крупные компании в России не могут использовать зарубежные облака в полной мере.

В этой ситуации вы можете воспользоваться услугами российских облачных провайдеров, например таких как Yandex.Cloud (облачная платформа от компании Яндекс) и SberCloud (облачная платформа от компании СБЕР).

Яндексу и СБЕРу еще предстоит пройти долгий путь, чтобы приблизится по функционалу к лидерам индустрии, но компании активно развивают облачное направление, постоянно совершенствуются и добавляют новые возможности в свои продукты. Текущего функционала данных платформ уже вполне достаточно, чтобы использовать их для развертывания инфраструктуры вашей компании и в большинстве сценариев отказаться от использования локальных дата-центров и серверов.
Давайте рассмотрим как Яндекс Облако может помочь при развертывании сетевой инфраструктуры компании.

Предположим, мы новая компания с несколькими офисами в городах России. В офисе у нас есть свитчи, роутеры, NGFW (next generation firewall), Wi-Fi точки доступа, но для построения современной сетевой инфраструктуры этого недостаточно. Wi-Fi точками нужно как-то управлять, поэтому нам нужен контроллер (далее WLC – Wireless Lan Controller). Еще мы хотим, чтобы управление нашими NGFW было централизовано и для этого необходим менеджмент центр. Также нашей компании нужно как-то разграничивать права разных пользователей и применять различные политики доступа для разных групп, для этого нам нужен AAA сервер, но мы хотим не просто AAA сервер, нам нужна целая система контроля доступа, которая поможет нам контролировать не только пользователей в сети, но и устройства и с помощью которой мы сможем осуществлять проверку устройств на соответствие корпоративным требованиям, например проверять актуальность антивирусных баз на устройстве. Отличным примером такой системы является Cisco ISE.

Для примера возьмем решения от компании Cisco:
1. Wi-Fi контроллер Cisco WLC 9800
2. Менеджмент центр Cisco Firepower Management Center (FMC)
3. Система контроля доступа Cisco ISE
Варианты развертывания.

1. Использовать программно-аппаратные решения (железные устройства).
Этот вариант наиболее затратный, стоимость таких решений значительно превышает стоимость развертывания на виртуальных машинах, так же не стоит забывать и о том, что в случае устаревания устройства или выхода из строя, его придется заново покупать, что еще повышает затраты. Также сроки поставки устройств в РФ может достигать 3 месяцев.

2. Развернуть все на виртуальных машинах на локальном сервере.
Этот вариант требует минимум два севера чтобы использовать их в качестве хостов для виртуальных машин, кроме того, эти серверы нужно куда-то разместить, а это дополнительные затраты на организацию специального помещения, кондиционеров, систем бесперебойного питания, так же нам желательно держать в резерве запасные комплектующие (жесткие диски, блоки питания и т.д.), кроме того, нам необходим в штате сотрудник, который все это сможет поддерживать. И не стоит забывать о том, что железо имеет свойство устаревать - года через 3-4 настанет пора его модернизировать, что приведет к новым затратам.

Такой вариант может подойти для компаний, у которых уже есть своя инфраструктура и сотрудники, которые могут все это поддерживать. Для компаний, у которых этого нет, данный вариант так же отпадает в связи с большими затратами.

3. Развернуть все в Яндекс.Облако.
Тут мы платим только за ресурсы в облаке, резервирование и поддержка осуществляется силами облачного провайдера, нам не нужно думать, о том куда разместить сервера, не нужно думать об электричестве. Данный вариант выглядит наиболее предпочтительным с точки зрения отказоустойчивости, масштабируемости, поддержки, простоты развертывания и экономии времени.

Давайте посчитаем во сколько нам обойдутся виртуальные машины на платформе Яндекс.Облако.

Cisco ISE – рекомендованные требования для Small Network Deployment 16 CPU, 32 GB оперативной памяти и жесткий диск на 600 GB

Cisco FMC – 4 CPU, 32 GB оперативной памяти и жесткий диск на 250 GB

Cisco WLC 9800 – 4 CPU, 8 GB оперативной памяти и жесткий диск на 16 GB

Для отказоустойчивости нам нужно по 2 виртуальной машины для каждого из наших решений. К сожалению, Cisco FMC, в данный момент, не поддерживает кластеризацию в облаке, следовательно, мы обойдемся только одним хостом. Но не стоит думать, что это сильно скажется на отказоустойчивости - в случае, если наш FMC выйдет из строя, все наши межсетевые экраны продолжат функционировать и это не приведет к сбоям в работе сети, а вышедшую из строя виртуальную машину можно восстановить из резервной копии.

Получается:

Cisco ISE – 350 тыс. рублей в год за 2 виртуальные машины

Cisco FMC – 87 тыс. рублей в год за 1 виртуальную машину

Cisco 9800 – 80 тыс. рублей в год за 2 виртуальные машины

Итого – 517 тыс. рублей в год, плюс небольшие затраты на хранение резервных копий и затраты на траффик, общая сумма не превысит 600 тыс. рублей в год.
Процесс деплоя в Яндекс Облако.

В отличие от крупных игроков рынка, таких как AWS, Microsoft Azure и GCP, в маркетплейсах которых уже есть нужные нам образа, у Яндекса в данный момент они отсутствуют. Но это не мешает нам скачать образ с официального сайта Cisco и попробовать развернуть его самостоятельно.

Высокоуровневая схема выглядит следующим образом:
Для большей отказоустойчивости мы размещаем наши виртуальные машины в разных зонах доступности (каждая зона доступности это отдельный дата-центр), в таком случае даже если произойдет падение дата-центра на стороне Яндекса, то наша сеть останется полностью в работоспособном состоянии. Как уже упоминалось выше, FMC в данный момент не поддерживает кластеризацию в облаке, поэтому вторую виртуальную машину создавать не имеет смысла.

В рамках данной статьи мы не будем рассматривать, каким способом можно организовать связь между Яндекс облаком и офисом компании. Подробно об этом будет другая статья.
После загрузки образов с официального сайта Cisco и создания виртуальных машин, видим следующую картину:

Firepower Management Center (FMC) запустился без проблем, заходим в браузер, вводим адрес FMC и видим окно ввода логина и пароля.
В процессе конфигурирования и тестирования работы никаких проблем не было выявлено. Cisco Firepower, развернутый в Яндекс облаков, успешно работает в нескольких компаниях уже больше года.

Cisco WLC 9800 и Cisco ISE не удалось запустить также просто. WLC развернутый из оригинального образа застрял на следующем экране:
Что касается Cisco ISE, то образа нужного нам формата не нашлось на сайте Cisco. Яндекс.Облако поддерживает следующие форматы образов: Qcow2, VMDK и VHD. Образа Cisco ISE можно скачать только в формате ISO файла либо в виде OVA файла. Несмотря на то, что ova файл содержит внутри себя диск формата VMDK, запустить виртуальную машину с таким диском не удастся.

Казалось бы, полный провал и остается либо все-таки покупать сервера и ставить все локально в офисе, либо ждать, когда данные образа появятся в маркетплейсе Яндекс.Облака. Но есть и другой вариант - попробовать самим решить проблему и сделать образ, который сможет запуститься на данной платформе.
Не вдаваясь в технические детали, при помощи QEMU нам удалось создать образа Cisco WLC 9800 и Cisco ISE, которые должны запуститься в Яндекс облаке, осталось это проверить.

После запуска WLC показал окно первоначальной конфигурации, пока все хорошо.
Пропустим авто установку и перейдем в режим конфигурации.
Все ОК, после базовой настройки веб страница WLC успешно открывается.
После настройки контроллера точки доступа успешно к нему подключились. Wi-Fi сеть в офисе почти полностью работоспособна. Но для полного функционала нам еще нужно настроить Cisco ISE. Образ ISE так же запустился без каких-либо проблем. Скриншот веб портала Cisco ISE представлен ниже.
Кластер из двух ISE нод был успешно сконфигурирован, во время настройки проблем замечено не было.После того как все системы были настроены, мы смогли получить полностью рабочую сетевую инфраструктуру компании на мощностях в Яндекс облаке.

Поэтому если по какой-то причине у вас нет возможности или желания пользоваться услугами зарубежных облачных провайдеров, то всегда можно найти альтернативу на отечественном IT рынке. Несмотря на небольшие проблемы с образами на старте, нам все же удалось развернуть сетевую инфраструктуру на облачной платформе от Яндекс, что позволило сэкономить время и деньги для компании и обеспечило отличную масштабируемость и отказоустойчивость.
Остались вопросы? Напишите нам