venerdì 30 maggio 2014

S 'OK AFFITTO sviluppatori VAI @ Amazon Web Services, ma non a casa? Si sta imballato scherzando!

Recentemente discutere , i Vantaggi e svantaggi di Gli appliance Virtuali , centrifuga Dati software Definiti dal, e Il l' Approccio self- service eb la Distribuzione delle Applicazioni con ONU Gruppo di Ingegneri per estremamente networking Intelligenti .
DOPO la solita serie di obiezioni , qualcuno Valley Detto , "non imposta ma su Sara Una Maggiore Flessibilità , Gli sviluppatori Semplicemente Andare annuncio foresta pluviale . In Realta a , Essi GIA , usano Amazon Web Services . "
Intermezzo : solite obiezioni
Queste Sono le obiezioni Che di Solito Ricevo doccia squadre di networking e Sicurezza : l'
Gli sviluppatori non Hanno idea di Che Cosa Hanno Bisogno ;Squadre labbro Applicazione per configurare erroneamente saranno i firewall , Magari aggiungendo ONU " Permesso il any any " in fondo Di Una Lista di acces QUANDO : Tutto il resto fallisce ;Chi sa Che Cosa l'IL bilanciamento del Carico Algoritmo faranno scegliere ... e poi angoli Lamentano la la la prestazione non e Quello Che aspettavano ;Chi gestirà Tutte queste firewall?To Come farete a controllare migliaia di firewall eb Applicazioni Specifiche ?Torna a Amazon
MENTRE stiamo riflettendo seriamente graui implicazioni labbro permettere e mani rozze -di Toccare i Servizi di rete , Dispositivi e deliberare l'imposta utilizzare Filtri di che o Pacchetti firewall stateful , Amazon Web Services risolto IL Problema - e Possibile configurare i Gruppi labbra Protezione , Gli indirizzi IP elastici , ed elastici bilanciamento del Carico con Abbastanza Semplici Azioni GUI o il CHIAMATE API.
Ha foresta pluviale attuare per OGNI singola Caratteristica Trovato nelle Nazioni Unite firewall bilanciamento del Carico F5 o Palo Alto ? Certo il Che , ma Quello Che e schiacciante le dimora BUONI labbro per ottenere Milioni di Applicazioni distribuiamo Sulle Infrastrutture MBU .
Ancora Più interessanti , molte Grandi Imprese Hanno GIA Diretta Amazon Web Services distribuzioni ( di Solito Fatte Senza IL coinvolgimento della rete o squadre labbra , Sicurezza ) ... Eppure ci Sono Ancora fiscale Domande
Possiamo fidarci di Questi, Stessi sviluppatori di Applicazioni eb tariffa IL Giusto e indietro Durante la Distribuzione delle Applicazioni Mbu Nel nube Privato ;ABBIAMO Bisogno di fantasia bilanciatori labbra Carico e il pranzo hardware firewall Basati eb supportare Tali Applicazioni .Stiamo facendo Chiaramente Thatâ Sbagliato .
Prudenti SIATE , ma non RIGIDO a
Sarei l' ultimo un labbro usare dirvi al l' Approccio Happy- go - lucky Ai Servizi di rete e di Sicurezza eb Mission Applicazioni o critica Legacy **** Che e nel giro iL centro dati Vostro .
D' Altra Parte , non Semper a cercare le labbra over - ingegnere Tuo dicendomi labbro risolvere e Il caso Peggiore . Ci Sono molte Applicazioni Che necessitano labbro prestazioni di e Sicurezza soli - Buona - dimora , e imposta i titolari sono di Aziende preoccupano Che vita OK eb distribuire a pagamento pranzo AWS , e perfettamente OK eb utilizzare Stesso Approccio self- service Durante la Distribuzione labbro queste a Applicazioni Nel nube Privato .

Corso Cisco - Corso CCNA - Corso Security - Corso CCNA Security - Certificazione Cisco - CCNA 200-120

lunedì 26 maggio 2014

FIRST-HOP SECURITY IPV6 CARATTERISTICHE IN CISCO IOS

Volevo capire come usare IPv6 DAD delega in ambienti PVLAN durante le mie vacanze al mare, e come ho avuto alcun accesso a Internet regolare deciso di scaricare l'intera serie di guide di configurazione IPv6 mentre godendo la tazza di caffè in un Internet café.Apertura della Guida alla configurazione IPv6 First Hop Security è stata una delle più piacevoli sorprese (professionali) che ho avuto di recente.
Una sintesi parola: impressionante.
Cisco IOS ha (almeno) questi IPv6 funzionalità di sicurezza prima-hop:
IPv6 RA Guardia rifiuta falsi messaggi provenienti da RA (non router) le porte (non so se gestisce tutti i possibili attacchi IPv6 frammentazione) host. È interessante notare, può anche validare il contenuto dei messaggi RA (flag di configurazione, elenco dei prefissi) ricevuti attraverso le porte-router fronte, potenzialmente dando una garanzia contro un attacco di grasso delle dita.
DHCPv6 Guard blocca i messaggi DHCPv6 provenienti dai server DHCPv6 non autorizzati e relè. Come IPv6 RA Guard convalida anche la DHCPv6 risposte provenienti dai server DHCPv6 autorizzati, potenzialmente fornire protezione contro errori di configurazione del server DHCPv6.
Snooping IPv6 e il monitoraggio dispositivo costruisce un IPv6 First Hop Security Binding Table (nome più bello per la tavola ND) attraverso il monitoraggio dei messaggi DHCPv6 e ND, nonché regolare il traffico IPv6. La tabella di rilegatura può essere utilizzato per interrompere ND spoofing (nel mondo IPv4 noi chiameremmo questa funzione DHCP snooping e Dynamic ARP Inspection).
Guard Source IPv6 utilizza la tabella Binding IPv6 First Hop Security far cadere il traffico proveniente da fonti sconosciute o non affronta fasullo IPv6 nella tabella vincolante.L'interruttore cerca anche di recuperare da informazioni sull'indirizzo perso, interrogazione server DHCPv6 oppure utilizzando Neighbor Discovery IPv6 per verificare l'indirizzo IPv6 di origine dopo aver lasciato il pacchetto incriminato (s).
IPv6 Prefisso Guard è nega illegale traffico off-subnet. Esso utilizza le informazioni raccolte dai messaggi RA e l'opzione IA_PD delle risposte DHCPv6 (prefissi delegati) per costruire la tabella dei prefissi validi.
IPv6 Prefisso Guard è una caratteristica layer-2. Si dovrebbe usare uRPF controllo in layer-3 interfacce.
IPv6 Destinazione Guardia scende traffico IPv6 inviato direttamente connesso indirizzi di destinazione non in IPv6 First Hop Security Binding Table, fermandosi in modo efficace gli attacchi di esaurimento ND.
Riassunto: Cisco IOS sembra essere il software di rete con il più completo set di funzioni di sicurezza IPv6 prima-hop. Come sempre, alcune funzioni potrebbero non essere disponibili su alcune piattaforme - Funzione uso del navigatore per capire che caratterizza la vostra switch supporto IPv6-capable.

venerdì 23 maggio 2014

VANTAGGI DI SDN (O: SDN È COME IPV6)

Qualche tempo fa Paul Stewart ha scritto un fantastico post sul blog che elenca i potenziali benefici di business di SDN (promossi da evangelisti SDN e fornitori SDN-lavaggio).
Ecco il suo elenco:
  • Sottratto piano di controllo per un punto centrale di gestione
  • Granulare controllo dei flussi (come richiesto / desiderato)
  • Funzione della rete Virtualizzazione e Servizi concatenamento
  • Dipendenza Diminuzione su dispositivi come bilanciatori di carico
  • Facilitazione del sistema di orchestrazione
  • Più facile la risoluzione dei problemi / visibilità
  • Piattaforma per chargeback / showback
  • Diminuzione della complessità e il costo
  • Aumento della capacità di utilizzare hardware e interconnessioni
  • DevOps architettura amichevole
Ho solo un problema con questa lista - ho visto un elenco simile di vantaggi di IPv6:
Purtroppo, la realtà di IT in generale e IPv6, in particolare, è un po 'diverso. I benefici eccessivamente pubblicizzato IPv6 restano miti e leggende ; tutti abbiamo ottenuto erano indirizzi più lunghi, i protocolli incompatibili (OSPFv3 chiunque), e le implementazioni a metà-pensiero-out (esempio: autoconfigurazione DNS ) cavalcato con guerre di religione (provate a chiedere " perché non abbiamo router prima-hop in DHCPv6"a qualsiasi mailing list IPv6 ;).
Si potrebbe anche voler guardare la presentazione incredibilmente cinico Enno Rey aveva @ Troopers 2014 Security Summit IPv6 . Per ulteriori dettagli approfonditi IPv6, visitare il mio risorse IPv6 pagina.
Ivan Pepelnjak, CCIE # 1354, è il consulente tecnologia principale per NIL Data Communications . E 'stato progettazione e realizzazione di grandi reti di comunicazione dati, nonché l'insegnamento e la scrittura di libri su tecnologie avanzate dal 1990. Vedere il suo profilo completo , contattare lui o segui @ ioshintssu Twitter.

lunedì 19 maggio 2014

OPENFLOW SUPPORTO SWITCH DATA CENTER

Buone notizie: Negli ultimi mesi, quasi tutti i principali data center Ethernet switching fornitori (Arista, Cisco, Dell Forza 10, HP e Juniper) rilasciato la versione GA documentatadi OpenFlow su alcuni dei loro switch data center.
Cattive notizie : non esistono due fornitori hanno funzionalità neanche lontanamente paragonabile.
Tutte le informazioni in questo post del blog deriva dalla disposizione del pubblico la documentazione del fornitore (guide di configurazione, i riferimenti di comando, note di rilascio). NEC è l'unico fornitore menzionato in questo post del blog che non dispone di documentazione pubblica, quindi è impossibile capire (dall'esterno) quali funzionalità il loro sostegno interruttori.
Alcuni altri fatti:
  • La maggior parte dei fornitori offrono OpenFlow 1.0. Eccezioni: HP e NEC;
  • La maggior parte dei fornitori hanno un unico tavolo OpenFlow di ricerca ( uno dei limiti di OpenFlow 1.0 ), HP ha un unico tavolo su 12500, due tavoli su 5900, e uno schema del tutto contorto su switch ProCurve.
  • La maggior parte dei produttori lavorano con un unico controller. Switch Nexus di Cisco possono lavorare con un massimo di 8 controller concorrenti, HP switch con fino a 64 controllori concorrenti.
  • Molti fornitori di ottimizzare la tabella di ricerca OpenFlow installando L2-only o flusso voci in hardware dedicato (che sembra ancora allo stesso tavolo per il controller OpenFlow) L3-only;
  • Dimensioni delle tabelle OpenFlow rimangono triste. La maggior parte degli switch supportano bassi migliaia di flussi 12-tuple. Eccezione: bordo NEC passa supporti tra 64K e 160K flussi 12-tuple.
  • Mentre tutti supporta pienamente corrispondente a 12 tuple (in aggiunta, HP supporta IPv6, MPLS, e PBB), quasi nessuno (a parte HP) offre una significativa funzionalità riscrittura pacchetto. La maggior parte dei fornitori possono impostare la destinazione indirizzo MAC o spingere un tag VLAN; HP 5900 possibile impostare qualsiasi campo nei pacchetti IP, copia / decremento o MPLS TTL, e spingere VLAN, PBB o tag MPLS.
Riassunto : E 'nitrito impossibile implementare tutt'altro destinazione di sola commutazione L2 + L3 a scala utilizzando hardware esistente (i più recenti chipset Intel o Broadcom non sono molto meglio) ... e io non voglio essere un fornitore di controllo che fare con idiosincrasie di tutto l'hardware là fuori - tutto quello che puoi fare in modo coerente nella maggior parte dei interruttori hardware è inoltrare i pacchetti (senza riscritture), i pacchetti di goccia, o tag VLAN set.

Maggiori informazioni

Troverete maggiori dettagli su implementazioni di OpenFlow dal data center top Ethernet switching fornitori nel webinar Data Center Tessuti , dove ho aggiunto una sezione speciale che copre il supporto OpenFlow per ogni presentazione specifico del fornitore (i nuovi materiali sono già stati pubblicati). Le stesse informazioni sono disponibili anche inofficina SDN.

venerdì 16 maggio 2014

BILANCIAMENTO DEL CARICO TRA SUBNET IP

Uno dei miei lettori mi ha inviato questa domanda:
Ho un data center con enormi domini L2. Vorrei spostare l'instradamento verso la parte superiore del rack, però mi sono bloccato con una domanda di bilanciamento del carico: come fanno load-balancer funzionano se sono stati instradati rete e piscina membri che sono più luppolo via? Come è possibile utilizzare con Direct ritorno?
Ci sono diversi modi per rendere il bilanciamento del carico di lavoro su più sottoreti:
  • Assicurarsi che il bilanciamento del carico sia nel percorso di inoltro dal server al client, in modo che il traffico di ritorno colpisce il load balancer, che traduce l'indirizzo IP sorgente (server).
  • In genere è necessario domini spedizioni multiple (VLAN o VRF) per fare questo lavoro.
  • Utilizzare fonte NAT , dove il bilanciamento del carico cambia l'indirizzo IP del client per caricare l'indirizzo IP del bilanciatore. Come l' indirizzo IP di ritorno appartiene al bilanciamento del carico , il traffico di ritorno (server-to-client) passa attraverso il bilanciamento del carico , anche quando non è nel percorso di inoltro.
  • Con Direct Server Return (DSR) u se tunneling IP-over-IP (o qualunque meccanismo di tunneling è supportato sia da bilanciamento del carico e il server) per ottenere ilclient pacchetto s dal bilanciamento del carico per il server desiderato. Il traffico di ritorno è inviato dal server direttamente al client comunque.
Non hanno sentito parlare diretto Server ritorno? Non ti preoccupare, troverai tutto quello che dovete sapere in questo breve video.

lunedì 12 maggio 2014

È OPENFLOW UTILE?

La contenuti centralizzato Control Plane Make Sense postale attivato diversi commenti sulla falsariga di " pensi che non c'è bisogno di OpenFlow? "
TL DR versione : OpenFlow è solo uno strumento di basso livello. Non dare la colpa per come è stato promosso.
OpenFlow è solo uno strumento che consente di installare le voci di inoltro PBR-come in dispositivi di rete utilizzando un protocollo standard che dovrebbe funzionare su più fornitori (più che in un altro post). Da questo punto di vista OpenFlow offre la stessa funzionalità BGP FLOWSPEC o forze, e un grande vantaggio: è già attuata in dispositivi di rete presso numerosi rivenditori.
Dove è possibile utilizzare la funzionalità PBR-like? Sono positivo hai già una dozzina di idee con vari livelli di follia ; qui ci sono un paio di più:
  • Rete di monitoraggio (le voci di flusso hanno uno sportello);
  • Porte SPAN intelligenti che raccolgono solo il traffico che ti interessa;
  • Inserimento servizio trasparente ;
  • Scale-out dei servizi di rete stateful ;
  • Prevenzione DoS distribuiti ;
  • Politica procedimenti (leggi: ACL) sul bordo della rete.
OpenFlow ha un altro vantaggio rispetto BGP FLOWSPEC - ha il packet-in e packet-outfunzionalità che consente al controller di comunicare con i dispositivi al di fuori della rete OpenFlow. È possibile utilizzare questa funzionalità per implementare nuovi protocolli di controllo aereo o (per esempio) schema di autenticazione a più livelli interessanti che non è disponibile negli switch off-the-shelf.
Riassunto : OpenFlow è un grande strumento di basso livello che può aiutare a implementare numerose idee interessanti, ma non vorrei passare il mio tempo di reinventare la ruota tessuto di commutazione (o altre cose che già facciamo bene ).

Maggiori informazioni

  • Webinar SDN (la maggior parte di essi sono gratuiti);
  • Officina SDN ;
  • Altre risorse SDN @ ipSpace.net
Ivan Pepelnjak, CCIE # 1354, è il consulente tecnologia principale per NIL Data Communications . E 'stato progettazione e realizzazione di grandi reti di comunicazione dati, nonché l'insegnamento e la scrittura di libri su tecnologie avanzate dal 1990. Vedere il suo profilo completo , contattare lui o segui @ ioshintssu Twitter.

giovedì 8 maggio 2014

FA CENTRALIZZATO CONTROL PLANE SENSO?

Un mio amico mi ha inviato una domanda provocatoria:
Hai dichiarato un paio di volte che non favoriscono la versione di OpenFlow SDN causa di una serie di problemi come il ridimensionamento e la latenza. Quale modello / meccanismo ti piace? Hybrid? Qualcos'altro?
Prima di rispondere alla domanda, facciamo un passo indietro e chiedere un altro: " Facentralizzato piano di controllo, come evangelizzata dall'ONF ?, dare un senso "

Un po 'di storia

Come sempre, cominciamo con uno dei più grandi maestri: la storia. Abbiamo avuto architetture centralizzate per decenni, da SNA a varie tecnologie WAN (SDH / SONET, Frame Relay e ATM). Tutti condividono un problema comune: quando le partizioni di rete, i nodi tagliati fuori dalla fermata intelligenza centrale funzionante (in caso SNA) o rimangono in uno stato congelato (tecnologie WAN).
Si potrebbe essere tentati di concludere che la versione ONF di SDN non se la passeranno meglio rispetto alle tecnologie WAN commutate. La realtà è molto peggio:
Tecnologie WAN avevano poca interazione control-plane con il mondo esterno (esempio: Frame Relay LMI), e queste interazioni sono stati eseguiti dai dispositivi locali, non dal piano di controllo centralizzato;
Dispositivi WAN (multiplexer SONET / SDH o ATM e switch Frame Relay) hanno funzionalità OAM locale che ha permesso loro di rilevare collegamenti o nodi guasti e di reindirizzare intorno a loro con percorsi di backup preconfigurati. Si potrebbe sostenere che questi dispositivi avevano piano di controllo locale, anche se non è mai indipendente come piani di controllo utilizzati nei router di oggi.
È interessante notare che, MPLS-TP vuole reinventare il passato glorioso e re-introdurre una gestione centralizzata percorso, RFC 1925 sezione 2.11 ancora una volta dimostrando.
L'ultima architettura (che ricordo) che utilizzava piano di controllo davvero centralizzato era SNA, e se sei abbastanza vecchio si sa bene che si è conclusa.

Sarebbe piano di controllo centrale senso nelle distribuzioni limitate?

Piano di controllo centrale è ovviamente un single point of failure, e partizionamento di rete è un incubo se si dispone di un punto di controllo centrale. Implementazioni su larga scala di variante ONF di SDN sono quindi fuori discussione. Ma ha senso distribuire piano di controllo centralizzato in isole minori indipendenti (reti di campus, data center zone disponibilità)?
È interessante notare, numerose architetture di data center utilizzano già piano di controllo centralizzato, in modo che possiamo analizzare quanto bene essi svolgono:
  • Juniper XRE può controllare fino a quattro switch EX8200, per un totale di 512 porte 10GE;
  • Nexus 7700 può controllare 64 estensori del tessuto con 3.072 porte, oltre a qualche centinaio di porte 10GE direttamente collegate;
  • HP IRF può legare insieme due 12916 interruttori per un totale di 1.536 porte 10GE;
  • QFabric Network Node Gruppo potrebbe controllare otto nodi, per un totale di 384 porte 10GE.
NEC ProgrammableFlow sembra essere un outlier - possono controllare fino a 200 switch, per un totale di oltre 9000 porte GE (non 10GE) ... ma non eseguire qualsiasi protocollo di controllo-aereo (a parte ARP e l'apprendimento MAC dinamico) con il mondo esterno.No STP, LACP, LLDP, BFD o protocolli di routing.
Si potrebbe obiettare che potremmo ottenere un ordine di grandezza al di là di quei numeri se solo usavamo adeguato hardware piano di controllo (CPU Xeon, per esempio).Io non compro questo argomento finché non ho fatto vedere una distribuzione di produzione, e di non tenere a mente che NEC ProgrammableFlow Controller utilizza decente hardware basato su Intel. Sistemi distribuiti in tempo reale con anelli di retroazione veloci sono molto più complesso di quanto la maggior parte delle persone che cercano da realizzare al di fuori (vedi anche RFC 1925, paragrafo 2.4).

Fa piano di controllo centrale ha senso?

Lo fa in alcuni ambienti di piccole dimensioni (vedi sopra) ... fino a quando si può garantire connettività ridondata tra allora controller e dispositivi controllati o non importa quello che succede dopo la perdita di collegamento (vedi anche i punti di accesso senza fili ). Ha senso per generare un enorme trambusto mentre reinventare questa particolare ruota? Vorrei trascorrere le mie energie a fare qualcos'altro.
Sono assolutamente a capire perché NEC è andato giù questo percorso - hanno fatto qualcosa di straordinario per differenziarsi in un mercato molto affollato. Capisco anche il motivo per cui Google ha deciso di utilizzare questo approccio , e perché evangelizzo tanto quanto fanno. Sto solo dicendo che non ha molto senso per il resto di noi.
Infine, tenere a mente che tutto il mondo dell'IT si sta muovendo verso architetture di scale-out. Netflix & Co sono già lì, e il mondo dell'impresa sta a malincuore facendo i primi passi. Nel frattempo, evangelisti OpenFlow parlano i meriti rivoluzionari incommensurabile di scala-up architettura centralizzata. Essi devono essere vive su un altro pianeta.

lunedì 5 maggio 2014

VIRTUALIZZAZIONE FUNZIONE DI RETE (NFV) 101

Quando ho sentito parlare NFV, ho pensato che fosse solo un mucchio fumante di hypedestinato a spingere i venditori di elettrodomestici per offrire loro soluzioni in formato VM.Dopo tutto, abbiamo superato le sfide tecniche principali: la maggior parte degli apparecchi meritano di avere un adesivo Intel Inside , problemi di prestazioni sono stati affrontati (vedi Intel DPDK , 6wind , PF_ring e switch Snabb ), quindi ciò che ci impedisce di distribuzione NFV parte testardo fornitori che vogliono vendere hardware, non le licenze?
Come ho spiegato nel Virtualization funzione di rete parte del mio SDN, OpenFlow e NFV per la Skeptic s webinar, le cose non sono mai così semplici come sembrano:
  • E 'abbastanza facile da offrire apparecchi esistenti in formato VM. La maggior parte dei fornitori di bilanciamento del carico e firewall recepito il messaggio, e alcune delle soluzioni solo software avere prestazioni impressionanti .
  • Costruire un ambiente cloud che permetterà di distribuire questi apparecchi su richiesta è un gioco da ragazzi. Se siete nuovi a questo gioco, acquistare una soluzione da VMware o Microsoft, se avete più esperienza, costruire la propria soluzione open-source con OpenStack o CloudStack (come la maggior parte dei fornitori di servizi stanno facendo).
  • Il vero problema è l'orchestrazione: mappatura nuova richiesta di servizio in macchine virtuali che devono essere filata in su, il provisioning e la configurazione di tali macchine virtuali, e all'integrazione dei servizi ( inserimento di servizio VM nel percorso di inoltro ).
Come sempre, si potrebbe incidere insieme la propria soluzione per risolvere questi problemi o impegnarsi un fornitore che offre un framework di provisioning del servizio estensibile. Se leggi i miei post su NCS di tail-f , probabilmente già sapete che cosa molti piloti NFV usano come loro soluzione orchestrazione.

venerdì 2 maggio 2014

LA PROGRAMMAZIONE DICHIARATIVA E PROCEDURALE (E COME HO SBAGLIATO TUTTO)

Durante una recente NetOps-focalizzato la discussione cercando di capire dove Puppet / Chef / Ansible / ... senso nel nuovo mondo networking brave SDN orientata ho fatto questa analogia: " Puppet manifesto è come Prolog , configurazione del router è come Java o C + + . "E 'un bel morso suono. E 'anche totalmente sbagliato.
Se non avete mai incontrato Prolog, si potrebbe considerare fortunato.Oppure si potrebbe desiderare di capire di cosa si tratta (attenzione: si potrebbe fare esplodere la testa). Proprio scherzando, in realtà ho molto apprezzato nei miei giorni di programmazione.

Dichiarativa contro programmazione procedurale

In poche parole, dichiarative di programmazione linguaggi consentono di dire che cosadeve essere fatto, non come farlo (che è ciò che procedurali di programmazione linguaggi sono tutti circa).
Purtroppo nulla di buono accade solo per accadere (almeno non nel mondo IT, o potrebbe avere a che fare con la seconda legge della termodinamica), avete bisogno diqualcosa che renderà la transizione (o trovare un percorso) da dove siamo ora al stato finale (la cosa ). La cosa potrebbe essere un interprete del linguaggio (nel caso di Prolog eseguire una ricerca esaustiva dell'albero soluzione per capire se è in grado di soddisfare i requisiti specificati nel programma dichiarativo) o un agente Puppet che:
  • Confronta lo stato attuale del sistema (esempio: web server) con lo stato desiderato (Puppet manifesto);
  • Cifre fuori le differenze;
  • Applica le modifiche (modifica di configurazione, la creazione di file, l'esecuzione di comandi ...) che devono essere fatte per la transizione al sistema dallo stato attuale allo stato desiderato.
Si tratta di configurazioni del router ovvie non sono programmi procedurali - dicono un dispositivo (o software) ciò che deve essere fatto non come quel comportamento dovrebbe essere attuato. Nella maggior parte dei casi non si può influenzare i dettagli di implementazione; Applet EEM sono un'eccezione evidente, ma l'unico motivo che risiedono nella configurazione del router è la mancanza di decenti strumenti di editing di testo sui dispositivi di rete comodità di manipolare configurazione del router rispetto a qualsiasi altra cosa.

Quindi qual è la differenza?

La vera differenza tra i manifesti di marionette e configurazioni del router è il livello di astrazione. Manifesti Puppet dovrebbero concentrarsi sulle risorse (esempio: VLAN) e lo stato desiderato di risorse (esempio: 10 VLAN presenti sulla porta GigabitEthernet0 / 1), non sui dettagli di implementazione .
Ho detto dettagli di implementazione ? Non è che la programmazione procedurale? No, siamo ancora nel regno della programmazione dichiarativa (non abbiamo mai dire gli interruttori come a implementare VLAN, vero?), ma lavorando ad un livello inferiore di astrazione e si occupano di come i singoli dispositivi (o venditori) si aspettano che le cose siano dichiarata.
Confondere? Certo che lo è, ma non preoccupatevi. Non è più confuso di altre cose che dobbiamo fare con . Hai solo bisogno di un po 'di pratica ... e non dimenticare diconcentrarsi sui principi, non i dettagli di implementazione .