Тоже выход из положения. В Cacti, кстати, можно сделать точно так же. Каждый узел (node) — это объект, который характеризуется именем, изображение, подписью, описание и т.д. В качестве изображения, как уже отмечалось в статье, можно использовать стандартные рисунки или загрузить свои (а тут все ограничено фантазией администратора).
Вообще с Cacti (не реклама, статья о нем) можно рисовать замечательные вещи, просто нужно приложить немного усилий. Если у нас пара-тройка увлекательных карт, которые просто здорово смотрятся на 40" мониторах (но показать, к сожалению, не могу).
1. Фон и изображение устройств — дело поправимое, Вам ничего не мешает загрузить собственные.
2. Стрелки. Соглашусь с Вами только частично. Во-первых, толщину и тип стрелки возможно немного кастомизировать, во-вторых — если стрелки нарисует студия Лебедева, то мониторить необходимые параметры лучше Вы не станете. Также нес стоит забывать что Cacti софт бесплатный и развивается не семимильными шагами.
Есть системы мониторинга с замечательной отрисовкой элементов, но вот «почему-то» все они не бесплатные.
3. В Roadmap Cacti есть запись о том, что в скором времени разработчики планируют переписать большую часть кода используя AJAX+WEB 2.0. Ситуация должна измениться.
Располагая нескольким гипервизорами ESXi с помощью vSphere, установленного, например, на одну из виртуальных машин, живущей на одном из этих же гипервизоров, мы можем довольно легко управлять всеми подключенными гипервизорами, управлять всеми ресурсами, создавать, удалять, править виртуальные машины и т.д. Можем подключиться, например, с помощью vSphere Client и получить довольно приятный вид всей нашей виртуальной инфраструктуры.
Я раз пять перечитал. Наверное, Вы хотели сказать что сервера (ноды) можно объединить в pool. Управление всем пулом производиться централизированно. Также существуем pool master — сервер, который управляет остальными (и в данный момент считается главным).
Как же прекрасно я Вас понимаю. Но это еще не самое страшное.
Куда интереснее дела обстоят с технической поддержкой, администрированием и обслуживанием такого ПО и железа. Не владею ситуацией в России, но в Украине, в гос. секторе, все достаточно печально. Интеграторы «впаривают» где только нужно и не нужно самые дорогие и, чаще всего, сложные решения. А томом это железо и софт аутсорсят провайдеры и интеграторы. Официальных договоров конечно же нету — ибо это абсурд (мего дыра в безопасности). Вот Вам и защита информации.
Если мы будем рассматривать балансировку только ВЕБ сервисов, то можно использовать и nginx в том числе, но стоить отметить что функционал CISCO ACE (лучше сказать специализированных балансировщиков) является куда богаче. Здесь и функционал определения доступности сервиса и более гибкие механизмы распределения запросов. А также глубокое инспектирование HTTP протокола (для данного примера) — об этом не стоит забывать во избежания проблем.
Аппаратные промышленные балансировщики, как уже упоминалось раньше, могут балансировать не только HTTP. Здесь Вы можете заметить, что nginx может работать и как mail proxy. Также, они обвешены многим другим функционалом и технологиями, о которых писалось ранее.
А вообще, при ответе на этот вопрос можно привести много аналогий:
1) нужен firewall: FreebSD+PF, Linux+iptables vs. CISCO ASA, Juniper Netscreen;
2) маршрутизатор с кучей протоколов: Quagga vs. CISCO/Juniper Router;
3) IPS/IDS: Snort vs. CISCO IPS, Juniper IDP;
4) и т.д. примеры можно приводить до бесконечности.
При выборе решения учитывается множество параметров, поэтому рассматривая одно ТЗ — nginx будет превосходить решения CISCO ACE, F5, а в другом случае — все будет наоборот.
Что Вы подразумеваете под «ГОСТовыми сертификатами»?
Если сертификаты выданные (как в Украине) Аккредитованными Центрами сертификации, то проблем нет — позволяет импортировать любые сертификаты, но нужно понимать, что в браузере будем иметь Не доверенный сертификат безопасности. Браузеры не понимают наших АЦСК.
Если Вы подразумевали реализацию ГОСТ 28147-89, то дела никак не обстоят. Поддерживается: AES, 3DES, DES, RC4. И мне кажется что в обозримом будущем ситуация не изменится.
Вообще, ACE может балансировать все что угодно, это называется generic load-balance. В таком случае запросы просто напросто балансируются между доступными серверами в серверной ферме.
Такой подход может вызвать проблемы при использовании, например, протокола HTTP (cookies, ssl, etc.). Поэтому, такие протоколы как HTTP, FTP, DNS, SIP, RDP, RTSP, extended RTSP, RADIUS балансировщик «поминает» очень хорошо.
Можно сказать, что веб-сервера — это самое популярное применение такого рода устройств. По крайней мере у нас.
Интересно показало себя устройство при одной DDoS атаке. При резком возрастании вредоносного и легитимного трафика (с учетом работы средств защиты), виртуальному серверу клиента не хватало остаточных ресурсов ноды (на этой ноде были и другие клиенты). Клонирование виртуальной машины клиента на дополнительные разные ноды (в т.ч. территориально разнесенные) в объединение серверов в ферму, позволило избежать простоя. (Просто вспомнилось — прошу особо не цепляться к примеру и не устраивать разбор полетов).
Кто эти компании? Нечего особенного, клиенты которые готовы платить за такого рода сервисы. На самом деле таких не мало. Естественно, конкретных имен Вы тут не найдете. Но как Вы догадываетесь, горизонтальное масштабирование делают очень многие растущие проекты.
Кто покупает такое железо? Линейка этого оборудования предназначена для инфраструктуры ДЦ. Покупают его себе ЦОД, возможно крупные провайдеры. Виртуализация устройств позволяет полностью предоставить клиенту полнофункциональный балансировщик, причем клиент не обязательно должен разместить свои сервера в данном ДЦ. Об этом планирую отдельную заметку.
Также, планирую рассказать как имея такого рода устройства (имеется ввиду упомянутое ранее), можно реализовать сервис защиты от DDoS-on-demand, концептуально похожий на QRATOR.
Наверное глупо спрашивать о том, производилось ли обновление версии ПО/прошивки.
У самих используется множество сервисных модулей — FWSM, IDSM-2, Detector, GUARD и скажу что удовлетворенность — 98%. Как-то был не особо понятный момент с CISCO GUARD. Оборудование присутствует на двух тех. площадках. Однажды (сначала на первой, а потом на второй площадке) наблюдалась такая проблема: защита зоны не активировалась из-за переполнения Flash. В документации черным по белому написано, что когда заполнение флеша подходит к 80% — устройство начинает автоматически удалять старую информацию для избежания переполнения. На флеше не было ни логов, ни дампов пакетов, одним словом ничего… Вылечилось перезагрузкой сервисного модуля. Работают эти модули в таком режиме, что их downtime не приводит к недоступности сервисов для пользователей. За 2 года такое было всего 1 раз, но тогда я очень сильно удивился.
Как я писал в статье, жалобы на оборудование есть, но чаще всего все заканчивается на фразе «глючноватое». А что именно происходит, с чем проблемы — детальнее не пишут. На своей памяти проблем с балансировщиками не было.
На этих устройствам возможно создавать ACL (L3-L7), устанавливать ограничения на количество коннектов, pps, Mbps (и т.д.) в серверную ферму, но это далеко не защита от DDoS, так как в случае атаки отфильтруеются (подрежится) как легитимный траффик, так и траффик атаки.
В портфеле компании CISCO было (уже end-of-sale) такое аппаратное обеспечение как CISCO Anomaly Detector CISCO Anomaly Guard. Одно выполняет роль анализатора траффика и атаки (мозги), другое — средство фильтрации/защиты траффика (мускулы). Тем не менее пара этих сервисным модулей активно используется у нас в сети. Ресурсы этого оборудования позволяют отфильтровать до 3 Гбит/сек. Есть планы написать статью о возможностях и настройке этого оборудования.
Если говорить об этом направлении (защиты от DDoS), то сейчас CISCO активно сотрудничает с Arbor Networks и рекомендует ее продукты для внедрения при построении Центров очистки траффика. Оборудование Arbor Networks качественно отличается техническими характеристиками и алгоритмами обнаружения атак.
К слову, на днях инсталируем у себя набор из SP+TMS Peakflow от Arbor. Будем делать пилот. Потестируем — посмотрим. А если найдется свободный выходной, то еще и постараюсь рассказать от этом.
Вообще с Cacti (не реклама, статья о нем) можно рисовать замечательные вещи, просто нужно приложить немного усилий. Если у нас пара-тройка увлекательных карт, которые просто здорово смотрятся на 40" мониторах (но показать, к сожалению, не могу).
2. Стрелки. Соглашусь с Вами только частично. Во-первых, толщину и тип стрелки возможно немного кастомизировать, во-вторых — если стрелки нарисует студия Лебедева, то мониторить необходимые параметры лучше Вы не станете. Также нес стоит забывать что Cacti софт бесплатный и развивается не семимильными шагами.
Есть системы мониторинга с замечательной отрисовкой элементов, но вот «почему-то» все они не бесплатные.
3. В Roadmap Cacti есть запись о том, что в скором времени разработчики планируют переписать большую часть кода используя AJAX+WEB 2.0. Ситуация должна измениться.
Улыбнуло. Еще и со знаком восклицая в конце.
Я раз пять перечитал. Наверное, Вы хотели сказать что сервера (ноды) можно объединить в pool. Управление всем пулом производиться централизированно. Также существуем pool master — сервер, который управляет остальными (и в данный момент считается главным).
Куда интереснее дела обстоят с технической поддержкой, администрированием и обслуживанием такого ПО и железа. Не владею ситуацией в России, но в Украине, в гос. секторе, все достаточно печально. Интеграторы «впаривают» где только нужно и не нужно самые дорогие и, чаще всего, сложные решения. А томом это железо и софт аутсорсят провайдеры и интеграторы. Официальных договоров конечно же нету — ибо это абсурд (мего дыра в безопасности). Вот Вам и защита информации.
Аппаратные промышленные балансировщики, как уже упоминалось раньше, могут балансировать не только HTTP. Здесь Вы можете заметить, что nginx может работать и как mail proxy. Также, они обвешены многим другим функционалом и технологиями, о которых писалось ранее.
А вообще, при ответе на этот вопрос можно привести много аналогий:
1) нужен firewall: FreebSD+PF, Linux+iptables vs. CISCO ASA, Juniper Netscreen;
2) маршрутизатор с кучей протоколов: Quagga vs. CISCO/Juniper Router;
3) IPS/IDS: Snort vs. CISCO IPS, Juniper IDP;
4) и т.д. примеры можно приводить до бесконечности.
При выборе решения учитывается множество параметров, поэтому рассматривая одно ТЗ — nginx будет превосходить решения CISCO ACE, F5, а в другом случае — все будет наоборот.
Если сертификаты выданные (как в Украине) Аккредитованными Центрами сертификации, то проблем нет — позволяет импортировать любые сертификаты, но нужно понимать, что в браузере будем иметь Не доверенный сертификат безопасности. Браузеры не понимают наших АЦСК.
Если Вы подразумевали реализацию ГОСТ 28147-89, то дела никак не обстоят. Поддерживается: AES, 3DES, DES, RC4. И мне кажется что в обозримом будущем ситуация не изменится.
Такой подход может вызвать проблемы при использовании, например, протокола HTTP (cookies, ssl, etc.). Поэтому, такие протоколы как HTTP, FTP, DNS, SIP, RDP, RTSP, extended RTSP, RADIUS балансировщик «поминает» очень хорошо.
Можно сказать, что веб-сервера — это самое популярное применение такого рода устройств. По крайней мере у нас.
Интересно показало себя устройство при одной DDoS атаке. При резком возрастании вредоносного и легитимного трафика (с учетом работы средств защиты), виртуальному серверу клиента не хватало остаточных ресурсов ноды (на этой ноде были и другие клиенты). Клонирование виртуальной машины клиента на дополнительные разные ноды (в т.ч. территориально разнесенные) в объединение серверов в ферму, позволило избежать простоя. (Просто вспомнилось — прошу особо не цепляться к примеру и не устраивать разбор полетов).
Кто эти компании? Нечего особенного, клиенты которые готовы платить за такого рода сервисы. На самом деле таких не мало. Естественно, конкретных имен Вы тут не найдете. Но как Вы догадываетесь, горизонтальное масштабирование делают очень многие растущие проекты.
Кто покупает такое железо? Линейка этого оборудования предназначена для инфраструктуры ДЦ. Покупают его себе ЦОД, возможно крупные провайдеры. Виртуализация устройств позволяет полностью предоставить клиенту полнофункциональный балансировщик, причем клиент не обязательно должен разместить свои сервера в данном ДЦ. Об этом планирую отдельную заметку.
Также, планирую рассказать как имея такого рода устройства (имеется ввиду упомянутое ранее), можно реализовать сервис защиты от DDoS-on-demand, концептуально похожий на QRATOR.
У самих используется множество сервисных модулей — FWSM, IDSM-2, Detector, GUARD и скажу что удовлетворенность — 98%. Как-то был не особо понятный момент с CISCO GUARD. Оборудование присутствует на двух тех. площадках. Однажды (сначала на первой, а потом на второй площадке) наблюдалась такая проблема: защита зоны не активировалась из-за переполнения Flash. В документации черным по белому написано, что когда заполнение флеша подходит к 80% — устройство начинает автоматически удалять старую информацию для избежания переполнения. На флеше не было ни логов, ни дампов пакетов, одним словом ничего… Вылечилось перезагрузкой сервисного модуля. Работают эти модули в таком режиме, что их downtime не приводит к недоступности сервисов для пользователей. За 2 года такое было всего 1 раз, но тогда я очень сильно удивился.
В портфеле компании CISCO было (уже end-of-sale) такое аппаратное обеспечение как CISCO Anomaly Detector CISCO Anomaly Guard. Одно выполняет роль анализатора траффика и атаки (мозги), другое — средство фильтрации/защиты траффика (мускулы). Тем не менее пара этих сервисным модулей активно используется у нас в сети. Ресурсы этого оборудования позволяют отфильтровать до 3 Гбит/сек. Есть планы написать статью о возможностях и настройке этого оборудования.
Если говорить об этом направлении (защиты от DDoS), то сейчас CISCO активно сотрудничает с Arbor Networks и рекомендует ее продукты для внедрения при построении Центров очистки траффика. Оборудование Arbor Networks качественно отличается техническими характеристиками и алгоритмами обнаружения атак.
К слову, на днях инсталируем у себя набор из SP+TMS Peakflow от Arbor. Будем делать пилот. Потестируем — посмотрим. А если найдется свободный выходной, то еще и постараюсь рассказать от этом.