comiiit
This commit is contained in:
Stanislav Hubacek
@@ -488,6 +488,84 @@ Průnik AI/ML a cloudového network managementu (Addition Publishing, 2026).
|
||||
- **Path Aware Networking** — aplikace si vybírá cestu podle aktuálních podmínek (latence, loss, cena).
|
||||
- **Self-optimizing networks** — uzavřená smyčka: telemetrie → AI analýza → automatická akce → zpětná vazba.
|
||||
|
||||
## OpenStack Networking (Neutron)
|
||||
|
||||
OpenStack Neutron je SDN framework pro správu virtuálních sítí v multi-tenant prostředí. Podporuje VLAN, VXLAN, GRE tunely, security groups, QoS, a LBaaS (Octavia).
|
||||
|
||||
### Backendy
|
||||
|
||||
| Backend | Popis | Vhodné pro |
|
||||
|---------|-------|-----------|
|
||||
| **OVN (Open Virtual Network)** | Nativní OpenFlow/OVSDB backend; nahrazuje OVS+agent architekturu | Produkce, škálovatelná nasazení |
|
||||
| **OVS (Open vSwitch)** | Klasický agent-based backend (neutron-openvswitch-agent) | Malé nasazení, legacy |
|
||||
| **Linux Bridge** | Jednoduchý backend bez OVS | Vývoj, testování, embedded |
|
||||
| **Hyper-V** | Windows Server backend | Hybridní prostředí |
|
||||
|
||||
### Důležité koncepty
|
||||
|
||||
- **Networks, Subnets, Ports** — základní síťové objekty
|
||||
- **Routers** — L3 forwarding mezi tenant sítěmi (DVR pro distribuovaný routing)
|
||||
- **Security Groups** — stateful firewall rules na úrovni portu
|
||||
- **Floating IPs** — veřejné IP mapované na instance (1:1 NAT)
|
||||
- **LBaaS / Octavia** — load balancing as a service (HAProxy, amphora)
|
||||
- **Trunk ports** — VLAN tagging pro instance (parent + subports)
|
||||
|
||||
### Performance tuning
|
||||
|
||||
- **DPDK** — userspace packet processing, bypass kernel, nižší latence
|
||||
- **SR-IOV** — passthrough VF do instance, minimální režie hypervisoru
|
||||
- **NUMA pinning** — afinita vCPU/memory/NIC pro výpočetní instance
|
||||
- **Hardware offload** — OVS TC Flower, ASAP²
|
||||
|
||||
### Use cases
|
||||
|
||||
- Multi-tenant cloud (veřejný i privátní)
|
||||
- Telco/NFVI (DPDK, SR-IOV, low-latency)
|
||||
- SDN lab / network function virtualization
|
||||
|
||||
## Zero Trust Networking
|
||||
|
||||
Zero Trust je bezpečnostní model "never trust, always verify" — žádná entita není implicitně důvěryhodná, bez ohledu na umístění v síti.
|
||||
|
||||
### Principy (NIST SP 800-207)
|
||||
|
||||
1. **All resources are external** — není důvěryhodná interní síť
|
||||
2. **Least privilege** — přístup jen k nezbytným zdrojům
|
||||
3. **Micro-segmentation** — izolace workloadů na úrovni jednotlivých procesů/kontejnerů
|
||||
4. **Encrypt everything** — TLS/mTLS pro veškerou komunikaci
|
||||
5. **Continuous verification** — každý request je autentizován a autorizován
|
||||
6. **Dynamic policies** — pravidla se mění podle kontextu (uživatel, zařízení, lokace, čas)
|
||||
|
||||
### Implementační vrstvy
|
||||
|
||||
| Vrstva | Technologie | Popis |
|
||||
|--------|-------------|-------|
|
||||
| **Identity** | OIDC, SAML, LDAP | Autentizace uživatelů a zařízení |
|
||||
| **Device** | MDM, UEM, device certificates | Ověření stavu zařízení (compliant, patch level) |
|
||||
| **Network** | Micro-segmentation, firewall, SDN | Izolace trafficu mezi workloady |
|
||||
| **Application** | mTLS, service mesh, API gateway | Aplikace si vynucují vzájemnou autentizaci |
|
||||
| **Data** | Encryption at rest + in transit, DLP | Ochrana dat bez ohledu na umístění |
|
||||
| **Analytics** | SIEM, UEBA, AI/ML | Detekce anomálií a hrozeb v reálném čase |
|
||||
|
||||
### Nástroje a platformy
|
||||
|
||||
| Kategorie | Nástroje |
|
||||
|-----------|----------|
|
||||
| **ZTNA (Zero Trust Network Access)** | Cloudflare Access, Zscaler, Netskope, Palo Alto Prisma |
|
||||
| **Service Mesh** | Istio, Linkerd, Consul Connect, Cilium |
|
||||
| **Micro-segmentation** | VMware NSX, Illumio, Guardicore, Akamai |
|
||||
| **BeyondCorp** | Google BeyondCorp (open-source: BeyondCorp Alliance) |
|
||||
| **Security Service Edge (SSE)** | SWG, CASB, ZTNA v jednom (Zscaler, Netskope, Cloudflare) |
|
||||
|
||||
### Zero Trust v datacentru
|
||||
|
||||
V privátním DC se Zero Trust nasazuje přes:
|
||||
- **EVPN VXLAN** — overlay síť s tenant isolation
|
||||
- **Network Policies** (Kubernetes) — per-pod firewall pravidla
|
||||
- **Cilium** — eBPF-based L3/L7 policy enforcement
|
||||
- **WireGuard / IPsec** — šifrování mezi uzly
|
||||
- **HashiCorp Boundary** — identity-based access k serverům bez bastion host
|
||||
|
||||
## Best practices
|
||||
|
||||
- **Segmentace sítě** — oddělení environmentů (dev/staging/prod), vrstev (web/app/db)
|
||||
|
||||
Reference in New Issue
Block a user