Der Aufbau von Cloudumgebungen mit Oracle Solaris 11

Der Aufbau von Cloudumgebungen mit Oracle Solaris 11 Detlef Drewanz Master Principal Sales Consultant 1

The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle s products remains at the sole discretion of Oracle. 2

Cloud Computing 3

Cloud Computing 4

Zielsetzung Eine Umgebung zum einfachen Betrieb von (nicht nur) Oracle Software Kostengünstig Skalierbar Flexibel Stabil und verfügbar Sicher 5

Anforderungen Laufzeitumgebung - Solaris Zones CPU, Hauptspeicher Ressourcen Management Security Verfügbarkeit Datenablage - ZFS Storage Appliance Für die Laufzeitumgebung Für die Anwendung Netzwerk für die Bereitstellung und der Daten 6

Standard Setup Einfaches Setup mit Solaris Zones und iscsi Oracle Solaris 11 als Platform (SPARC oder x86) ZFS Storage Appliance zur Datenspeicherung iscsi Storage Solaris Zone als Laufzeitumgebungen Netzwerk Virtualisierung in Oracle Solaris zone Globale Zone VNIC ZFS Storage Appliance zfssa 7

8

ZFS Einfaches Storage Management mit hoher Daten Integrität Pool basiertes Storagekonzept Integrierte SSD Technologie Transaktionsbasiert und Prüfsummen zum Schutz gegen "Silent Data Corruption" Snapshots und Clones Encryption, De-Duplication, Shadow Migration Einfachste Administration ZFS Storage Appliance 9

Solaris Zones (a.k.a. Solaris Container) Konsolidierung und Virtualisierung ohne Peformanceverlust Isolierte virtuelle Umgebungen Shared Kernel/Treiber/Memory Separate File Systeme Ressourcen Management Im Standard Funktionsumfang von Solaris enthalten Kaum Overhead Stabil, Sicher, Performant, Skalierbar Simpel Zone S Zone R Zone G Global Zone 10

Netzwerk Virtualisierung Einfache Netzwerk Virtualisieruung und Bandbreiten Management Virtuelle NIC's und Switches Transparent nutzbar Integriert in Solaris Zonen Netzwerk Ressourcen Management 11

Zielsetzung zone-s zone-r zone-g cloud-1 VNIC VNIC VNIC VNIC zone-s zone-r zone-g cloud-2 ZFS Storage Appliance zfssa 12

Standard Setup Konfiguration je Zone Erzeugung iscsi-target und iscsi-lun zone-s zone-s cloud-1 VNIC Einrichtung iscsi am Cloud-Host cloud-2 Erzeugung rpool am Cloud-Host Konfiguration und Installation der Zone ZFS Storage Appliance zfssa 13

Standard Setup Konfiguration - Storage Appliance - Erzeugung iscsi-target 14

Standard Setup Konfiguration - Storage Appliance - Erzeugung iscsi-lun 15

Standard Setup Konfiguration - Einrichtung iscsi und zpool am Cloud-Host root@cloud-1 # iscsiadm add discovery-address 192.168.175.10:32:3260 root@cloud-1 # iscsiadm modify discovery -t enable root@cloud-1:~# format Searching for disks...done AVAILABLE DISK SELECTIONS: 0. c0t600144f09490562900005247f7840001d0 <SUN-Sun Storage 7000-1.0 cyl 1303 alt 2 hd 255 sec 63> /scsi_vhci/disk@g600144f09490562900005247f7840001... root@cloud-1:~# zpool create -m /zones/zone-s zone-s_rpool c0t600144f09490562900005247f7840001d0 16

Standard Setup Konfiguration - Konfiguration und Installation einer Zone root@cloud-1 # zonecfg -z zone-s zonecfg:zone-s> create zonecfg:zone-s> set zonepath=/zones/zone-s zonecfg:zone-s> verify zonecfg:zone-s> commit zonecfg:zone-s> exit root@cloud-1 # zoneadm -z zone-s install root@cloud-1... Boot der Zone # zoneadm und Betrieb -z zone-s... boot... Boot der Zone und Betrieb... zone-s cloud-1 ZFS Storage Appliance VNIC zfssa 17

Standard Setup Verschiebung der Zone von cloud-1 zu cloud-2 root@cloud-1 # zoneadm -z zone-s shutdown root@cloud-1 # zoneadm -z zone-s detach root@cloud-1 # zpool export zone-s_rpool zone-s cloud-1 root@cloud-2 # iscsiadm add discovery-address 192.168.175.10:32:3260 root@cloud-2 # iscsiadm modify discovery -t enable root@cloud-2 # zpool import zone-s_rpool zone-s cloud-2 VNIC root@cloud-2 # zonecfg -z zone-s create -a /zones/zone-s root@cloud-2 # zoneadm -z zone-s attach root@cloud-2 # zoneadm -z zone-s boot... Boot der Zone und Betrieb... ZFS Storage Appliance zfssa 18

Setup mit Zones on Shared Storage Vereinfachtes Storagemanagement Oracle Solaris 11 als Platform (SPARC oder x86) ZFS Storage Appliance zur Datenspeicherung iscsi Storage Solaris Zonen als Laufzeitumgebungen Zones on Shared Storage (ZOSS) zur Vereinfachung des Storage Managements Netzwerk Virtualisierung in Oracle Solaris 19

Zones on Shared Storage (ZOSS) Einheitliches und einfaches Storage Management für Zonen Zoneroot und Daten auf Shared Storage (SAS, FC, iscsi) ZFS basiert Je Zone ein rpool (<zonename>_rpool) Daten auf zpool (<zonename>_<zpool>) Einheitliches Interface für das Setup zonecfg(1m) - Angabe des suri(5) zoneadm(1m) - Übernimmt Erzeugung, Import, Export Zonen einfach zwischen Systemen verschieben Einfach durch zoneadm(1m) detach/attach Zone B Zone A Zone C 20

Setup mit Zones on Shared Storage Konfiguration je Zone Erzeugung iscsi-target und iscsi-lun Einrichtung iscsi am Cloud-Host Wird vom Zones Framework (ZOSS) übernommen Erzeugung rpool am Cloud-Host Wird vom Zones Framework (ZOSS) übernommen Konfiguration und Installation der Zone 21

Setup mit Zones on Shared Storage Konfiguration - Konfiguration und Installation einer Zone root@cloud-1:~# zonecfg -z zone-s zonecfg:zone-s> create zonecfg:zone-s> set zonepath=/zones/zone-s zonecfg:zone-s> add rootzpool zonecfg:zone-s:rootzpool> add storage iscsi://zfssa/luname.naa.600144f09490562900005247f7840001 zonecfg:zone-s:rootzpool> end zonecfg:zone-s> verify zonecfg:zone-s> commit zonecfg:zone-s> exit root@cloud-1 # zoneadm -z zone-s install root@cloud-1 # zoneadm -z zone-s boot... 22

Setup mit Zones on Shared Storage Verschiebung der Zone von cloud-1 zu cloud-2 root@cloud-1 # zoneadm -z zone-s shutdown root@cloud-1 # zoneadm -z zone-s detach... zonecfg an cloud-2 erzeugen... root@cloud-2 # zoneadm -z zone-s attach root@cloud-2 # zoneadm -z zone-s boot... Boot der Zone und Betrieb... 23

Setup mit ZOSS und iscsi LUN-Masking Zugriffsschutz für iscsi-lun's Oracle Solaris 11 als Platform (SPARC oder x86) ZFS Storage Appliance zur Datenspeicherung iscsi Storage iscsi LUN-Masking Solaris Zonen als Laufzeitumgebungen Zones on Shared Storage (ZOSS) zur Vereinfachung des Storage Managements Netzwerk Virtualisierung in Oracle Solaris 24

Realisierung von iscsi-security Wer darf auf die iscsi Lun's zugreifen? Netzwerk Separierung Ein Exclusives Netzwerk zwischen iscsi-initiator und iscsi-target Target und iscsi-initiator Gruppen (Target Level Security) Bereitstellung von iscsi-lun's nur über bestimmte iscsi-targets Zugriff auf iscsi-target nur für bestimmte iscsi-initiatoren CHAP Authentisierung Unidirektional: Das Target authentisiert den Initiator Bidirektional: Target und Initiator authentisieren sich gegenseitig RADIUS Server 25

Setup mit ZOSS und iscsi LUN-Masking Konfiguration je Zone Erzeugung iscsi-target und iscsi-lun Erzeugung von Target und Initiator Gruppen Einrichtung iscsi am Cloud-Host Wird vom Zones Framework (ZOSS) übernommen Erzeugung rpool am Cloud-Host Wird vom Zones Framework (ZOSS) übernommen Konfiguration und Installation der Zone 26

Setup mit iscsi LUN-Masking iscsi Target Gruppe erzeugen und LUN zuweisen 27

Setup mit iscsi LUN-Masking iscsi-qualifier Name (iqn) des Initiator ermitteln, iscsi-initiator Gruppe erzeugen und LUN zuweisen root@cloud-1:~# iscsiadm list initiator-node Initiator node name: iqn.1986-03.com.sun:01:e00000000000.5284e1e5 Initiator node alias: cloud-1 28

ZOSS, LUN-Masking und ZFS Encryption Daten-Verschlüsselung Oracle Solaris 11 als Platform (SPARC oder x86) ZFS Storage Appliance zur Datenspeicherung iscsi Storage iscsi LUN-Masking Solaris Zonen als Laufzeitumgebungen Zones on Shared Storage (ZOSS) zur Vereinfachung des Storage Managements Encrypted ZFS Datasets Netzwerk Virtualisierung in Oracle Solaris ZFS Storage Appliance zfssa zone-s cloud-1 VNIC 29

ZFS Dataset Encryption Verschlüsselung auf Datenblockebene Encryption nur bei der Erzeugung des Dataset setzen Keys Wrapping Key: durch Nutzer wählbar Quelle: prompt, file, https, pkcs#1 Enryption key: zufällig Unverschlüsselt zpool Metadaten, Konfiguration, Properties, Dataset Namen Verschlüsselt Anwendungsdaten, Pool metadata, inodes, ZVOL-Daten 30

ZOSS, LUN-Masking, ZFS Encryption Konfiguration je Zone Erzeugung iscsi-target und iscsi-lun Erzeugung von Target und Initiator Gruppen Konfiguration der Zone Einrichtung iscsi am Cloud-Host Erzeugung rpool am Cloud-Host zpool muß manuell erzeugt werden Ablage des Keys im Filesystem der globalen Zone Installation der Zone Weiter wie mit ZOSS 31

Setup mit ZOSS und ZFS Encryption Konfiguration - manuell zpool erzeugen, ZOSS erzeugt die Zone root@cloud-1:~# zonecfg -z zone-s info rootzpool rootzpool: storage: iscsi://zfssa/luname.naa.600144f09490562900005247f7840001 root@cloud-1:~# suriadm map iscsi://zfssa/luname.naa.600144f09490562900005247f7840001 PROPERTY VALUE mapped-dev /dev/dsk/c0t600144f09490562900005247f7840001d0s0 root@cloud-1:~# echo "geheim" > /etc/zones/zone-s_key.txt root@cloud-1:~# chmod 600 /etc/zones/zone-s_key.txt root@cloud-1:~# zpool create -O encryption=on -O keysource=passphrase,file:///etc/zones/zone-s_key.txt \ zone-s_rpool /dev/dsk/c0t600144f09490562900005247f7840001d0 root@cloud-1:~# zpool export zone-s_rpool root@cloud-1:~# zoneadm -z zone-s install 32

Zusammenfassung Zonen bieten Möglichkeiten zum Aufbau von Cloud Umgebungen Ohne Extrakosten in Solaris enthalten Neue Funktionen in Oracle Solaris 11.1 vereinfachen die Anbindung von Shared Storage ZFS Encryption ermöglicht die Sicherung von Daten- Übertragungswegen und die Datenablage selbst 33

Q&A Detlef.Drewanz@oracle.com 34

35

36