TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI TRƯỜNG ĐIỆN – ĐIỆN TỬ Khoa Kỹ thuật truyền thông LUẬN VĂN THẠC SĨ Đề tài: Xây dựng chuỗi chức mạng ảo hóa (SFC) sử dụng container tảng OpenStack Giáo viên hướng dẫn: TS Nguyễn Xuân Dũng Học viên: Nguyễn Minh Ngọc CB190170 Lớp: 19BKTVT Hà Nội, tháng 09/2022 LỜI NĨI ĐẦU Hệ thống mạng viễn thơng vận hành sử dụng thiết bị phần cứng độc quyền nhiều nhà cung cấp khác Việc vận hành dịch vụ mạng (network service) đồng nghĩa với việc sử dụng thêm nhiều thiết bị hơn, đòi hỏi phải mở rộng không gian để triển khai, đặt vấn đề việc chi phí lượng ngày tăng, thách thức vốn đầu tư, yêu cầu kỹ cần thiết để thiết kế, tích hợp vận hành thiết bị mạng vật lý ngày phức tạp Ngồi vịng đời thiết bị phần cứng khơng dài, u cầu có kế hoạch chu kì thiết kế - tích hợp - triển khai phù hợp Tệ hơn, vòng đời phần cứng ngày ngắn dần phát triển nhanh chóng dịch vụ cơng nghệ, gây khó khăn cho việc triển khai dịch vụ mạng để thu lợi nhuận, hạn chế đổi xu hướng hướng giải pháp mạng lưới tập trung Network Functions Virtualization (NFV) mang đến cách thức để thiết kế, triển khai quản lý dịch vụ mạng, sử dụng cơng nghệ ảo hóa tiêu chuẩn để hợp nhiều loại thiết bị mạng NFV tách biệt chức mạng (NAT, firewalling, intrusion detection, DNS, caching) khỏi thiết bị vật lý triển khai hình thức phần mềm chạy server vật lý truyền thống, đồng thời di chuyển khởi tạo nhiều vị trí hệ thống mạng theo yêu cầu mà không cần phải triển khai thiết bị trước Ngày nay, việc triển khai chức mạng bảo vệ ứng dụng bên trung tâm liệu mối quan tâm hàng đầu nhà cung cấp dịch vụ Tùy thuộc vào ứng dụng nhu cầu truy cập ứng dụng khách hàng, mà ứng dụng dịch vụ bên lại cần có chế bảo mật khác Ở trung tâm liệu ngày nay, máy chủ web server phải đối mặt với nhiều hiểm họa từ Internet Đó công mạng diễn ngày tinh vi, mức độ lớn khó đối phó Do đó, để giải vấn đề trên, luận văn trình bày nghiên cứu, thử nghiệm triển khai chuỗi chức mạng ảo hóa gồm chức Tường lửa Hệ thống phát xâm nhập dựa công nghệ NFV để bảo vệ máy chủ web server bên trung tâm liệu Trong đó, số cơng nghệ áp dụng là: Cơng nghệ ảo hóa, điện tốn đám mây, mã nguồn mở OpenStack, cơng nghệ ảo hóa chức mạng chuỗi dịch vụ mạng MỤC LỤC LỜI NÓI ĐẦU DANH MỤC KÝ HIỆU VÀ CHỮ VIẾT TẮT DANH MỤC HÌNH VẼ DANH MỤC BẢNG BIỂU TÓM TẮT CHƯƠNG MỞ ĐẦU 1.1 Đặt vấn đề 1.2 Đề xuất hướng giải CHƯƠNG CƠ SỞ LÝ THUYẾT CHUNG 10 2.1 Tổng quan điện toán đám mây 10 2.1.1 Giới thiệu điện toán đám mây 10 2.1.2 Các đặc trưng điện toán đám mây 11 2.1.3 Lợi ích hướng tiếp cận điện toán đám mây 16 2.2 Tổng quan cơng nghệ ảo hóa 17 2.2.1 Giới thiệu cơng nghệ ảo hóa 17 2.2.2 So sánh ảo hóa máy chủ ảo hóa Container 21 2.2.3 Cơng nghệ ảo hóa container sử dụng Docker 24 2.3 Giới thiệu OpenStack 25 2.3.1 Khái niệm đặc điểm OpenStack 25 2.3.2 Kiến trúc OpenStack 27 2.3.3 Containerlization OpenStack 29 2.3.4 Tích hợp ảo hóa máy chủ ảo hóa Container vào OpenStack 31 2.3.5 Kết luận đưa định hướng xây dựng đề tài nghiên cứu 34 2.4 Tổng quan cơng nghệ ảo hóa chức mạng – Network Function Virtualization (NFV) 35 2.4.1 Giới thiệu cơng nghệ ảo hóa chức mạng 35 2.4.2 Lợi ích cơng nghệ ảo hóa chức mạng 35 2.4.3 Các trường hợp sử dụng NFV 36 2.5 Tổng quan chuỗi chức mạng – Service Function Chaning (SFC) 42 2.5.1 Giới thiệu chuỗi chức mạng 42 2.5.2 Ứng dụng SFC số trường hợp cụ thể 43 2.6 Kết luận đưa định hướng nghiên cứu 46 CHƯƠNG XÂY DỰNG CHUỖI CHỨC NĂNG MẠNG 47 3.1 Xây dựng tảng cloud quản lý chức mạng ảo hóa 47 3.1.1 Dựng OpenStack để triển khai NFV 47 3.1.2 Triển khai Container OpenStack 49 3.1.3 Một số thao tác quản lý Container OpenStack Zun 51 3.2 Xây dựng luồng chuỗi chức mạng SFC 52 3.2.1 SFC trung tâm liệu 52 3.2.2 Công nghệ xây dựng chuỗi chức mạng OpenStack 53 3.3 Xác định công nghệ sử dụng làm chức mạng 54 3.3.1 Chức mạng Firewall - Iptables 54 3.3.2 Chức mạng phát xâm nhập (IDS) – Suricata 56 3.3.2 Chức mạng giám sát – Grafana 57 3.4 Triển khai mơ hình 58 3.4.1 Đồ hình vật lý 58 3.4.2 Kịch kiểm thử 59 3.4.3 Kết dựng mơ hình 60 3.4.4 Kết dựng networking-SFC OpenStack 61 3.5 Kết luận 62 CHƯƠNG KẾT QUẢ ĐO ĐẠC VÀ ĐÁNH GIÁ 63 4.1 Kiểm chứng nguồn lưu lượng theo mô hình SFC dựng 63 4.2 Đo lượng sử dụng tài nguyên Suricata 65 4.3 Đánh giá kết 66 4.4 Hạn chế 66 KẾT LUẬN 67 TÀI LIỆU THAM KHẢO 68 DANH MỤC KÝ HIỆU VÀ CHỮ VIẾT TẮT Từ viết tắt Tiếng Anh NFV Network Function Virtualization SFC Service Function Chain CSP Cloud Service Provider ASP Application Service Provider ISP CNTT CPU RAM OS NAT IDS VPN DPI WAN VNF Internet Service Provider Công nghệ thông tin Central Processing Unit Random Access Memory Operating System Network Address Translation Intrusion Detection System Virtual Private Network Deep Packet Inspection Wide Area Network Virtual Network Function CPE Customer Premises Equipment CDN Content Delivery Network FTTH Firber to the Home DC NIDS HIDS VM IP DMZ QoS Data Center Network-based IDS Host-based IDS Virtual Machine Internet Protocol Demilitarized Zone Quality of Service DHCP Dynamic Host Configuration Protocol Tiếng Việt Ảo hóa chức mạng Chuỗi dịch vụ Nhà cung cấp dịch vụ đám mây Nhà cung cấp dịch vụ ứng dụng Nhà cung cấp dịch vụ Internet Bộ xử lý trung tâm Bộ nhớ truy cập ngẫu nhiên Hệ điều hành Chuyển đổi địa mạng Hệ thống phát xâm nhập Mạng riêng ảo Phân tích gói sâu Mạng diện rộng Chức mạng ảo Thiết bị mạng đặt phía khách hàng Mạng phân phối nội dung Mạng viễn thông băng rộng dùng cáp quang Trung tâm liệu Máy ảo Vùng mạng riêng máy chủ Chất lượng dịch vụ Giao thức cấp phát động địa IP DANH MỤC HÌNH VẼ Hình Mơ hình triển khai Cloud Computing 11 Hình 2 Hình ảnh định nghĩa mơ hình điện tốn đám mây 11 Hình Mơ hình Public Cloud 14 Hình Mơ hình Private Cloud 14 Hình Mơ hình Hybrid Cloud 15 Hình Kiến trúc x86 virtualization 18 Hình Ảo hóa loại – Bare-Metal Hypervisor 20 Hình Ảo hóa loại – Hosted-Metal Hypervisor 20 Hình Mơ hình máy chủ truyền thống 21 Hình 10 Mơ hình máy ảo Virtual Machine 22 Hình 11 Mơ hình ảo hóa Container 23 Hình 12 Hệ thống file cắt lớp container 23 Hình 13 So sánh khác biệt VM container 24 Hình 14 Vị trí OpenStack thực tế 26 Hình 15 Kiến trúc mức khái niệm Openstack 27 Hình 16 Các thành phần OpenStack 28 Hình 17 Thành phần môi trường OpenStack để tạo Instance 31 Hình 18 Tạo Instance OpenStack 32 Hình 19 Ba mơ hình tích hợp Container vào OpenStack 33 Hình 20 Mơ hình Ảo hóa chức mạng NFVIaas 37 Hình 21 Mơ hình triển khai CPE truyền thống vCPE 37 Hình 22 Các doanh nghiệp sử dụng chung tảng để thực phát triển dịch vụ mạng 38 Hình 23 VNF Forwarding Graph 39 Hình 24 Ứng dụng NFV mơi trường mạng gia đình 40 Hình 25 Các nút CDN ảo hóa triển khai mơi trường ảo hóa 41 Hình 26 Một chuỗi SFC đơn giản 42 Hình 27 Ứng dụng SFC mạng Fixed Boradband Network 43 Hình 28 Triển khai SFC mạng di động 44 Hình 29 Các mạng dùng chung chuỗi dịch vụ mạng 45 Hình 30 SFC trung tâm liệu 45 Hình 31 SFC thiết bị Cloud CPE 46 Hình Mơ hình testbed mức logic 47 Hình Mơ hình triển khai vật lý 47 Hình 3 Mơ hình triển khai testbed dựa OpenStack 48 Hình Kiến trúc project Zun 50 Hình Kiến trúc Kuryr 51 Hình Chuỗi chức mạng trung tâm liệu 53 Hình Cấu trúc networking – SFC OpenStack 54 Hình Q trình xử lý gói tin Iptables 55 Hình Hai loại hệ thống IDS 56 Hình 10 Giám sát số liệu hệ thống với Grafana .57 Hình 11 Đồ hình vật lý triển khai testbed 59 Hình 12 Đồ hình triển khai máy ảo OpenStack 60 Hình 13 Chuỗi chức mạng .61 Hình 14 Kết tạo port pair cổng nối container .61 Hình 15 Kết tạo port-pair-group 61 Hình 16 Kết tạo Flow Classifier 62 Hình 1.Thực ping từ máy bên ngồi vào máy chủ Web 63 Hình Luồng lưu lượng qua Iptables 64 Hình Luồng lưu lượng gửi qua Suricata 64 Hình 4.Lưu lượng gửi tới máy Webserver .65 Hình Kết sử dụng CPU Suricata tải tăng dần 65 Hình Lượng nhớ sử dụng để xử lý gói tin Suricata tải tăng dần 66 DANH MỤC BẢNG BIỂU Bảng Bảng so sánh mơ hình mạng truyền thống mơ hình mạng ứng dụng NFV .36 Bảng Thông số vật lý node 48 Bảng 3 Thơng số phần cứng cấu hình hai nút server 59 Bảng Thông số máy ảo triển khai OpenStack .60 TÓM TẮT Chuỗi chức dịch vụ (Service Function Chaining - SFC) cơng nghệ quy định sách chuyển tiếp lưu lượng tách biệt vùng chuỗi dịch vụ Chuỗi chức dịch vụ mạng SFC định nghĩa tạo chuỗi dịch vụ mạng theo thứ tự mong muốn điều khiển lưu lượng truy cập thông qua chúng Hiện nay, kiến trúc mạng nhà khai thác mạng phân bổ nhiều thiết bị phần cứng độc quyền Ứng với loại dịch vụ, chức mạng lại có thiết bị phần cứng chuyên trách đảm nhận Các thiết bị có số hạn chế như: chi phí thiết bị cao, khó quản lý tập trung, độ tương thích thấp với hệ thống nhiều hãng khác dẫn tới doanh nghiệp phải phụ thuộc vào số hãng phần cứng định Do đó, để cung cấp dịch vụ mạng khác cách linh hoạt cho khách hàng vấn đề gây đau đầu cho nhà cung cấp mạng Trong luận văn, xin trình bày cơng nghệ ảo hóa chức mạng (NFV) lợi ích chuỗi dịch vụ mạng (SFC), trường hợp sử dụng hai cơng nghệ đem lại lợi ích cho nhà cung cấp dịch vụ mạng khách hàng Đây sở tiền đề để phục vụ cho bước nghiên cứu xây dựng hệ thống chuỗi chức mạng sử dụng chức mạng ảo hóa tảng OpenStack với quy mơ nhỏ để kiểm thử tính đánh giá hiệu hoạt động chuỗi chức Mơ hình hệ thống triển khai với chức mạng ảo Tường lửa Hệ thống phát xâm nhập để bảo vệ máy chủ web trung tâm liệu Giám sát số liệu thống kê từ chức mạng ảo để tính tốn lượng tài ngun phù hợp sử dụng triển khai thực tế, đo đạc, đánh giá chất lượng dịch vụ chuỗi Qua đó, tạo bước đệm để nghiên cứu sâu lĩnh vực CHƯƠNG MỞ ĐẦU 1.1 Đặt vấn đề Ngày nay, triển khai chức mạng bảo vệ ứng dụng bên trung tâm liệu mối quan tâm hàng đầu nhà cung cấp dịch vụ Tùy thuộc vào ứng dụng nhu cầu truy cập ứng dụng khách hàng, mà ứng dụng dịch vụ bên lại cần có chế bảo mật khác nhau, luồng lưu lượng từ bên vào ứng dụng dịch vụ bên lại cần qua chuỗi dịch vụ mạng bảo vệ khác Tuy nhiên, tại, việc triển khai chuỗi dịch vụ chức số hạn chế sau: Phụ thuộc vào cấu trúc vật lý: hầu hết chức dịch vụ mạng đặt thiết bị phần cứng: tường lửa, cân tải, dịch vụ kết hợp cấu trúc liên kết vật lý Các chức mạng thêm vào chuỗi cần phải theo thứ tự nghiêm ngặt Do đó, việc xóa bổ sung chức trở nên phức tạp u cầu thay đổi cấu trúc mạng vật lý Điều làm ngăn cản nhà khai thác mạng sử dụng tối ưu tài nguyên mạng Sự phụ thuộc vào cấu trúc vật lý dẫn đến hạn chế tính linh hoạt việc phân phối dịch vụ u cầu thay đổi đáng kể cấu hình mạng Các nhà khai thác mạng khơng có cách quán để áp đặt xác minh vị trí thứ tự chức dịch vụ mạng Từ dẫn tới việc cung cấp dịch vụ chậm, không linh hoạt 1.2 Đề xuất hướng giải Triển khai SFC cách kết hợp NFV với điều khiển luồng lưu lượng VNF giải pháp tuyệt với để xử lý hạn chế tồn nêu Với mục đích cuối bảo vệ máy chủ web server khỏi hiểm họa từ bên ngoài, giải pháp đưa triển khai chuỗi chức mạng có tính tường lửa hệ thống phát xâm nhập để lọc luồng lưu lượng trước đưa vào máy chủ web Chuyên đề nghiên cứu gồm phần sau: • Tìm hiểu cơng nghệ ảo hóa điện tốn đám mây • Tổng quan mã nguồn mở OpenStack triển khai điện tốn đám mây • Tìm hiểu SFC trường hợp triển khai SFC Nội dung chia thành phần sau: Chương 1: Nêu vấn đề, phân tích từ trình bày lý chọn đề tài đề xuất hướng giải quyết, khắc phục Chương 2: Trình bày tóm tắt sở lý thuyết chung, thành phần liên quan tới việc chuyên đề nghiên cứu Từ đưa kết luận định hướng xây dựng mơ hình kiểm thử cho nghiên cứu sau Chương 3: Thực xây dựng mơ hình kiểm thử chuỗi chức mạng ảo hóa Trình bày thành phần mơ hình kiểm thử SF cho phép gắn với port port đóng hai vai trị, coi port cho phép lưu lượng theo hai chiều vào Mỗi chuỗi port (port chain) coi service chain vô hướng Một SFC bao gồm hai port chain vô hướng SFC hai chiều Một flow classifier thuộc port chain để tránh việc bối rối hệ thống định xem chain xử lý gói tin Một port chain gắn với nhiều classifier nhiều loại lưu lượng yêu cầu SFP Project networking-sfc project neutron, triển khai port chain plug-in với Open vSwitch driver SDN Controller drivers (networking - odl networkingonos) cho phép tương tác với SFC provider khác (Open vSwitch agent SDN Controller OpenDaylight ONOS) Project cung cấp driver API chung để hỗ trợ driver khác nhằm cung cấp giải pháp khác triển khai SFP Hình Cấu trúc networking – SFC OpenStack Hình 3.7 mơ tả quan hệ thành phần cấu trúc mạng Networking SFC OpenStack 3.3 Xác định công nghệ sử dụng làm chức mạng 3.3.1 Chức mạng Firewall - Iptables Iptables tiện ích firewall linh hoạt xây dựng hệ điều hành linux Iptables chương trình chạy khơng gian người dùng (user space) cho phép người quản trị hệ thống cấu hình quy tắc để chặn lọc gói Iptables miễn phí tích hợp sẵn nhân linux Iptables thuộc loại firewall có khả nhận biết trạng thái gói tin Từ đưa định chặn, lọc gói tin cách thơng minh Hơn Iptables cịn hỗ trợ khả giới hạn tốc độ kết nối kiểu kết nối khác từ bên ngoài, hữu hiệu để ngăn chặn kiểu công từ chối phục vụ (DoS) mà 54 mối đe doạ hàng đầu đối vói website giới Một đặc điểm bật Iptables hỗ trợ chức dị tìm chuỗi tương ứng (string pattern matching), chức cho phép phát triển firewall lên mức cao hơn, đưa định loại bỏ hay chấp nhận packet dựa việc giám sát nội dung Chức xem can thiệp đến mức ứng dụng HTTP, TELNET, FTP thực Netfilter Iptables hoạt động mức mạng (lớp theo mơ hình OSI lớp) Hình Q trình xử lý gói tin Iptables Q trình xử lý gói tin Iptables mơ tả Hình 3.8 sau: Các gói tin từ bên vào (1) ban đầu xử lý thông qua chain PREROUTING (1, 2, 3) Chain có chức thay đổi nguồn gói tin (nếu cần) trước qua bước xử lý tiếp theo, để hệ thống nhận biết gói tin có phải dành cho hay chuyển tiếp tới nút mạng Sau qua chain từ PREROUTING, gói tin kernel định tuyến (4) Sẽ có hai trường hợp: - Nếu gói tin dành cho hệ thống (7), đưa tới chain INPUT bảng mangle (8) filter (9) để thực quy tắc bảng đó, cuối đưa tới tiến trình đảm nhận dịch vụ cho gói tin để xử lý 55 - Nếu gói tin khơng dành cho dịch vụ hệ thống (5), gói tin đưa tới chain FORWARD qua bảng mangle filter (5, 6) để thực quy tắc trước chuyển tiếp gói tin sang đích xác Nếu gói tin sinh từ hệ thống, ban đầu chúng định tuyến (bước 10) để xác định địa mà cần chuyển đến để xác định interface mà gói tin chuyển Gói tin sau qua chain OUTPUT bảng mangle, nat filter (11, 12, 13, 14) để thực quy tắc bảng Sau cùng, gói tin đưa tới chain POSTROUTING (đổi nguồn) (15) gửi gói tin trở lại mạng 3.3.2 Chức mạng phát xâm nhập (IDS) – Suricata Ngày nay, mạng Internet phủ sóng khắp nơi thách thức vấn đề xâm phạm công khiến tổ chức phải bổ sung thêm chức mạng có tính phát kiểm tra lỗ hổng bảo mật Hệ thống phát xâm nhập (IDS) hệ thống phịng chống có khả phát hành vi khả nghi cơng vào mạng Tính hệ thống nhận biết hàng động khơng bình thường đưa cảnh báo cho người dùng Hệ thống IDS phát xâm nhập dựa dấu hiệu đặc biệt mối nguy biết trước gói tin, so sánh lưu lượng mạng với thông số hoạt trạng thái bình thường để tìm dấu hiệu bất thường Hệ thống IDS chia thành hai loại bản: - Network-based IDS (NIDS): sử dụng liệu toàn lưu lượng mạng để phát bất thường Kiểu NIDS suốt với người dùng cuối, cài đặt bảo trì đơn giản, khơng ảnh hưởng tới mạng, có khả xác định lỗi tầng network độc lập với hệ điều hành - Host based IDS – HIDS: Bằng cách cài đặt phần mềm máy chủ, IDS dựa máy chủ quan sát tất hoạt động hệ thống file log, lưu lượng mạng thu thập Hệ thống HIDS theo dõi hệ điều hành, lời gọi hệ thống thông điệp báo lỗi máy chủ HIDS thường đặt máy tính định thay giám sát hoạt động mạng, HIDS thường đặt máy chủ quan trọng server vùng DMZ Hình Hai loại hệ thống IDS 56 Hình 3.9 mơ tả hai loại hệ thống IDS triển khai thực tế: NIDS HIDS Suricata công cụ phát mối đe dọa mạng miễn phí, nguồn mở, mạnh mẽ nhanh chóng Suricata có khả phát xâm nhập thời gian thực (IDS), phòng chống xâm nhập (IPS), giám sát an ninh mạng (Network Security Monitoring - NSM) xử lý pcap ngoại tuyến Suricata kiểm tra lưu lượng mạng cách sử dụng quy tắc (rule) xử lý mạnh mẽ có hỗ trợ kịch LUA để phát mối đe dọa phức tạp Các rule Suricata cập nhật thường xuyên phát Lý em lựa chọn Suricata thực chức IDS mơ hình phát triển nhanh chóng Suricata dựa cộng đồng tập trung vào tính bảo mật, khả sử dụng hiệu quả, hỗ trợ đa tiến trình, sử dụng nhiều CPU thời điểm, hỗ trợ nhiều tảng hệ điều hành Unix/Linux, FreeBSD Windows 3.3.2 Chức mạng giám sát – Grafana Grafana công cụ tin tưởng yêu thích cộng đồng, tảng phân tích tất loại metric Grafana cho phép truy vấn, visualize (hiển thị), cảnh báo giúp người quản trị hiểu metric dù chúng lưu đâu Tạo, khám phá chia sẻ dashboard với nhóm thúc đẩy văn hóa luồng liệu Hình 10 Giám sát số liệu hệ thống với Grafana Hình 3.10 giao diện giám sát số liệu hệ thống hiển thị Grafana Các tính năng: - Visualize (trực quan hóa): Vẽ biểu đồ từ metric cung cấp Grafana có nhiều tùy chọn visualize giúp người dùng vẽ biểu đồ cách nhanh chóng linh hoạt Các panel plugin với nhiều cách khác để trực quan hóa metric log hệ thống 57 - Alerting - Cảnh báo: Giúp người dùng xác định ngưỡng metric, hiển thị ngưỡng metric cảnh báo định nghĩa quy tắc cảnh báo Grafana liên tục đánh giá metric gửi cảnh báo metric vượt ngưỡng cho phép Cảnh báo gửi qua Slack, Mail, PagerDuty, Telegram, - Unify – Hợp nhất: Kết hợp liệu để có nhìn tồn cảnh tốt Grafana hỗ trợ hàng chục loại database cách tự nhiên, kết hợp chúng với giao diện dashboard - Open - Mở: Grafana đưa bạn nhiều tùy chọn Nó hồn toàn nguồn mở, hỗ trợ cộng đồng sơi động Có thể dễ dàng cài đặt Grafana sử dụng Hosted Grafana tảng - Extend: Khám phá hàng trăm daaashboard plugin thư viện thức Nhờ đam mê động lực cộng đồng, dashboard plugin thêm vào tuần - Collaborate - Cộng tác: mang người lại với nhau, chia sẻ liệu dashboard với nhóm Grafana trao quyền cho người dùng giúp ni dưỡng văn hóa hướng liệu - Dynamic Dashboards: Tạo sử dụng lại dashboards với biến template xuất phần đầu dashboard - Annotations - Chú thích : Biểu đồ thích có kiện phong phú từ nguồn liệu khác Di chuột qua kiện cho bạn thấy siêu liệu kiện đầy đủ thẻ tag Tóm lại: Grafana cơng cụ sử dụng với nhiệm vụ trực quan hóa phần tích liệu thời gian thực – tức khơng phải thu thập metric từ hệ thống cân giám sát mà công cụ để hiển thị phân tích liệu Với giao diện đẹp mắt nhiều tính tuyệt vời, Grafana cộng đồng tin tưởng u thích sử dụng Có 150000 hệ thống grafana hoạt động toàn giới với nhiều usecase sử dụng phong phú Với lợi ích trên, em chọn Grafana làm chức giám sát thông số mạng Grafana biểu thị thông tin metric thu thập Collectd [13] cài chức mạng Iptables Suricata Để thu thập số liệu thống kê (metric) hệ thống, máy ảo mạng cài đặt cơng cụ collectd, cấu hình gửi metric tới máy Grafana Máy Grafana tích hợp cài Graphite [14] (là công cụ kết hợp với Collectd để thu thập metric giám sát metric, Grafana hiển thị thông số mà Graphite ghi lại) 3.4 Triển khai mơ hình 3.4.1 Đồ hình vật lý Hệ thống triển khai máy vật lý thật có đồ sau: 58 Hình 11 Đồ hình vật lý triển khai testbed Hình 3.11 mơ tả đồ hình vật lý kết nối mạng nút server triển khai xây dựng tảng OpenStack Các thông số vật lý: Thông số tài nguyên phần cứng thông tin cấu hình IP mơ tả Bảng 3.3: Bảng Thơng số phần cứng cấu hình hai nút server Thông số tài nguyên Nút Core RAM CPU (GB) Controller 24 Compute 32 Thơng số cấu hình IP (Cấu hình tĩnh) eno1 eno2 64 192.168.101.201 10.10.10.201 64 192.168.101.202 10.10.10.202 Hạ tầng mạng kết nối sử dụng switch chia thành VLAN - Dải Vlan 1: Vlan mặc định switch, kết nối với router để ngồi Internet IP dải Vlan cấp phát từ router – địa 192.168.101.0/24 - Dải Vlan 2: cấu hình để làm mạng Management phục vụ giao tiếp dịch vụ kết nối Controller Compute Cấu hình IP dải Vlan2: 10.10.10.0/24 Cấu hình máy chủ Controller Compute nối với dải mạng tương ứng Thực cài đặt OpenStack theo hướng dẫn từ trang chủ OpenStack[11] 3.4.2 Kịch kiểm thử 59 Sau cài đặt, triển khai máy ảo container với thơng số sau: Hình 12 Đồ hình triển khai máy ảo OpenStack Các máy ảo kết nối chung với thông qua mạng ảo private1 (cấp phát dải IP: 10.1.0.0/24) Thơng số cấu hình máy ảo mơ tả Bảng 3.4: Bảng 3 Thông số máy ảo triển khai OpenStack Máy ảo Webserver gán thêm Floating IP (IP lấy từ mạng vật lý Internet) để làm IP public ứng dụng Web 3.4.3 Kết dựng mơ hình Sau dựng xong mơ hình máy ảo, cài đặt cấu hình chức mạng Iptables, Suricata, Grafana ta kết đồ hình mạng hình 3.10: 60 Hình 13 Chuỗi chức mạng Các container mạng riêng nội mạng private1, kết nối ngồi mạng đưa thơng qua router ảo router1 đến mạng provider nhà cung cấp để Internet 3.4.4 Kết dựng networking-SFC OpenStack Theo mơ hình thiết kế tạo port chain port group cổng p1 (ingress port), p2 (egress port) (nối vào VM Iptables) p3, p4 (nối vào Suricata) Kết sau: Hình 14 Kết tạo port pair cổng nối container Trong đó, PP1 port pair nối p1 p2 container Iptables, PP2 port pair nối cổng p3 p4 container Suricata Tạo port pair group chứa port pair (đại diện cho nhiều service function) Nhiều port pair cho phép cân tải phân bố lưu lượng xử lý tập service function instance chức Ở đại diện cho chức Firewall (Iptables) chức NIDS (Suricata) Hình 15 Kết tạo port-pair-group 61 Tạo Flow Classifier: Tập hợp thuộc tính định nghĩa nên flow, gồm thuộc tính nguồn đích flow Phân biệt luồng lưu lượng khác qua chức mạng khác Hình 16 Kết tạo Flow Classifier Trong mơ hình tạo chuỗi phân loại luồng ICMP, UDP TCP Cuối tạo port-chain gồm chuỗi Flow Classifier vừa tạo kết hợp port group PG1 PG2 Trên switch ảo trì mạng private máy ảo, thêm luồng điều khiển để lưu lượng theo trình tự mong muốn 3.5 Kết luận Chương mô tả trình thực tìm hiểu xác định yếu tố cần thiết, dựng mơ hình testbed SFC có hai chức mạng Iptables Suricata có tác dụng bảo vệ máy chủ Web server bên Testbed dựng tảng OpenStack với chức mạng máy ảo bên OpenStack 62 CHƯƠNG KẾT QUẢ ĐO ĐẠC VÀ ĐÁNH GIÁ Sau hoàn thiện mơ hình testbed, phần thực số kiểm chứng đo đạc hiệu hoạt động hệ thống Kịch kiểm chứng bảo gồm: 1) Kiểm chứng luồng lưu lượng theo mô hình SFC dựng 2) Thực đo đạc thông số hoạt động chuỗi SFC đẩy tải vào chuỗi - Thực đo đạc tài nguyên sử dụng Suricata hoạt động tải đánh giá để biết mức tài nguyên cần thiết cấp phát cho chức mạng - Thực đo đạc thông đánh giá thông số chất lượng dịch vụ chuỗi chức năng: độ trễ tỉ lệ gói lưu lượng qua chuỗi chức mạng 4.1 Kiểm chứng nguồn lưu lượng theo mơ hình SFC dựng Để kiểm chứng lưu lượng từ bên truy cập vào ứng dụng web, lưu lượng qua chức mạng Iptables, Suricata tới Web server bên Từ bên ngoài, thực ping vào địa IP public máy chủ Webserver, thấy lưu lượng đi qua chuỗi chức mạng sau: Hình 1.Thực ping từ máy bên vào máy chủ Web 63 Hình Luồng lưu lượng qua Iptables Như Hình 4.2, sử dụng cơng cụ tcpdump để bắt gói tin vào interface ens3 (tức port p1) thấy có lưu lượng máy client từ bên ngồi gửi đến Webserver (vào mạng private bên NAT thành địa private 10.1.0.15) Kiểm tra Suricata, ta thấy có lưu lượng chuyển qua Hình 4.3: Hình Luồng lưu lượng gửi qua Suricata Cuối cùng, lưu lượng gửi tới đích Webserver để xử lý: 64 Hình 4.Lưu lượng gửi tới máy Webserver Như vậy, luồng lưu lượng từ vào qua chức mạng Iptables Suricata Hoạt động theo mơ hình SFC dựng 4.2 Đo lượng sử dụng tài nguyên Suricata Sau xây dựng mơ hình, thực đo đạc thông số sử dụng CPU memory chức mạng Suricata Suricata kích hoạt sử dụng 15 000 rule phát hành vi khả nghi công vào mạng Trên Suricata, Iptables máy chủ Webserver, cài đặt thêm công cụ collectd để thu thập tham số hệ thống, gửi máy Grafana (có cài đặt Graphite) Số liệu hiển thị Grafana cho phép giám sát tài nguyên máy ảo Để kiểm chứng khả hoạt động chức mạng hệ thống, phát gói TCP vào chuỗi SFC với tốc độ tăng dần để tăng tải (sử dụng cơng cụ phát gói: Bonesi [10]) Kết thu sau: Hình Kết sử dụng CPU Suricata tải tăng dần 65 Biểu đồ 4.5 cho thấy mức sử dụng CPU Suricata tải đầu vào tăng dần Ban đầu, chưa đẩy tải vào chuỗi chức mạng, mức sử dụng CPU Suricata Sau đó, tăng tải từ từ, mức sử dụng CPU tăng dần, đạt đến mức ngưỡng 100000 gói tin/s (gói TCP) Hình Lượng nhớ sử dụng để xử lý gói tin Suricata tải tăng dần Qua hai biểu đồ ta thấy, lượng tài nguyên CPU, memory sử dụng Suricata tăng dần tải đầu vào tăng dần Như vậy, với thơng số cấu hình 2G RAM, core CPU, Suricata chịu tải tối đa 110 000 gói TCP/s Lượng RAM sử dụng không đáng kể 4.3 Đánh giá kết Từ kết kiểm chứng ta thấy: mơ hình chuỗi chức mạng dựng thành công Luồng lưu lượng trước tới máy chủ Web server đưa qua chức mạng Iptables Suricata để lọc lưu lượng Mức tiêu thụ tài nguyên chức mạng ảo tăng dần tải lưu lượng qua chuỗi SFC tăng dần Với lượng tài nguyên core CPU, Suricata chịu tải TCP tối đa 100k gói/s Lượng RAM sử dụng Suricata khoảng khơng tới 700MB 4.4 Hạn chế - Mơ hình nhỏ, có chức mạng Iptables Suricata Chưa chưa thực đo đạc tỉ lệ gói độ trễ hệ thống đặt 66 KẾT LUẬN Như luận văn trình bày được hiểu biết tương đối cơng nghệ ảo hóa chức mạng chuỗi dịch vụ mạng Triển khai thành cơng mơ hình chuỗi chức mạng bảo vệ máy chủ Web server bên trung tâm liệu Định hướng phát triển luận văn: - Kết hợp công nghệ Mạng định nghĩa phần mềm (Software Defined Networking) để điều khiển luồng lưu lượng chuỗi SFC linh hoạt - Triển khai nhiều luồng nhiều chuỗi dịch vụ với tính khác - Sau tính tốn lượng tài ngun tối thiểu cần thiết để chức mạng hoạt động bình thường mức tải đưa 67 TÀI LIỆU THAM KHẢO [1] Peter Mell, Tim Grance, The NIST Definition of Cloud Computing, September 2011 [2] Wikipedia [Online] Available: http://en.wikipedia.org/wiki/Data_center [3] Tutorialspoint [Online] Available: https://www.tutorialspoint.com/cloud_computing/cloud_computing_overview.ht ml [4] "Virtualization Overview", Vmware White Paper [5] Docker [Online] Available: https://www.docker.com/resources/what-container [6] A Janrmyr (21/03/2015) A Not Very Short Introduction to Docker [Online] Available: https://blog.jayway.com/2015/03/21/a-not-very-short-introduction-todocker/ [7] OpenStack [Online] Available: https://www.openstack.org [8] OpenStack Compute [Online] Available: http://docs.openstack.org/grizzly/openstack-compute/admin/content/images-andinstances.html [9] Leveraging Containers and OpenStack [Online] Available: https://www.openstack.org [10] Pradeep Kumar Singh, Madhuri Kumari, Container in OpenStack, Birmingham, Packt Publicing, December 2017 https://docs.openstack.org/install-guide/ [11] [12] [13] Grafana [Online] Availble: https://grafana.com/ Collectd [Online] Availble: https://collectd.org/ Graphite [Online] Availble: https://graphiteapp.org/ [14] 68 ... nghệ ảo hóa chức mạng chuỗi chức mạng, lợi ích số trường hợp ứng dụng hai công nghệ Qua trường hợp sử dụng NFV SFC vào hạ tầng mạng trình bày trên, tơi lựa chọn xây dựng chuỗi chức mạng ảo hóa bảo... 46 CHƯƠNG XÂY DỰNG CHUỖI CHỨC NĂNG MẠNG 47 3.1 Xây dựng tảng cloud quản lý chức mạng ảo hóa 47 3.1.1 Dựng OpenStack để triển khai NFV 47 3.1.2 Triển khai Container OpenStack ... tác dụng phát hành vi khả nghi công vào mạng Chuỗi chức bảo vệ máy chủ Web server bên 46 CHƯƠNG XÂY DỰNG CHUỖI CHỨC NĂNG MẠNG Chương mô tả phần xây dựng testbed chuỗi chức mạng đề xuất chương Xây