Microsoft Ignite_edited

Proxsys @ Microsoft Ignite - Dag 5

30 september 2017 door Erik Loef

Hooray, hooray, it is the last day! Na het Microsoft feest bij Universal kun je merken dat er al veel mensen de laatste (halve) dag voor gezien houden. Wij zijn uiteraard gewoon van de partij, alleen al het ontbijt en lunch wil je al niet missen (ahum). Een kortere blog dan de andere dagen, gezien het evenement maar tot 14:00 uur duurde.

Zaken die ons zijn opgevallen:

Azure IAAS Design Considerations

Bij het selecteren van een Azure Virtual Machine komt meer kijken dan slechts wat CPU , Memory en schijfruimte bepalen, als je tegen de juiste kosten de beste performance wil halen. In deze presentatie kwamen er diverse vergelijkingssheets en aanbevelingen naar boven. Zo wordt elke Azure VM ‘gerate’ met ACU punten (Azure Compute Units), op basis van die punten kun je dan de performance verschillen zien van de verschillende VM types.

Een belangrijk punt is om RSS aan te zetten, om zodoende de netwerk performance van de VM te upgraden. Hiermee wordt de network load verdeeld over de verschillende cores, ipv één core. Hiermee kan de netwerk performance in sommige gevallen verdubbelen.

Er werd op het hart gedrukt in alle gevallen met managed disks te werken ipv storage accounts. Dit biedt veel meer mogelijkheden en kent niet de storage account limitaties van IOPS.

Het is ook mogelijk om de disken in Azure te versleutelen (middels Azure Disk Encryption) en te zien wat de performance impact is op de VM en de verschillende storage opties. Bottom-line kwam het er op neer dat het in bijna alle gevallen 3% CPU belasting kost.

Algemeen

De sessies van deze afsluitende dag gingen meer in de diepte op onderwerpen die voor de techneuten relevanter zijn. Microsoft heeft een groot marketing apparaat dat veel moeite steekt in het overbrengen van de visie over hoe de werkplek van de toekomst eruit ziet. De onderliggende technieken hebben niet de voornaamste plek op het Microsoft –uithangbord.

SDN in Windows Server

Een goed voorbeeld van een onderliggend bouwblok is de Software Defined Networking–stack die in Windows Server zit ingebouwd. SDN in deze context betreft het kunnen configureren van klantspecifieke netwerkregels (beveiliging/routering/loadbalancing) zonder hiervoor netwerk apparaten te configureren. Alle functionaliteit wordt in Windows Server nagebouwd en het netwerk heeft als enige versimpelde taak om een fout-tolerant transport tussen alle servers te verzorgen. Microsoft gebruikt dit SDN bouwblok in de lokale Azure Stack oplossing en in de Software Defined DataCenter producten.

Proxsys heeft met de 1e versie die Microsoft van deze techniek uitbracht in Windows Server 2012 een Proof-of-concept gemaakt. Omdat de uitkomsten van deze PoC aangaven dat het een vrij complex product was dat niet goed aansloot bij het Proxsys dienstennetwerk is hier nooit productie mee gedraaid. Vrijdag was er met een Product Manager van Microsofts SDN oplossing een sessie die uitleg gaf bij de 2016 versie van het product en implementatietips hiervoor.

Wat opvalt is dat de SDN stack in 2016 rigoureus anders wordt aangestuurd. SDN heeft z’n eigen Network Controller rol in Windows gekregen die los van System Center Virtual Machine Manager werkt. Met drie van deze Network Controllers wordt een cluster opgebouwd dat gezamenlijk alle decentrale Dataplane componenten aanstuurt.

De decentrale componenten in de SDN stack bestaan uit vSwitches en VM's. Dit is een model wat zich goed laat uitschalen en fouttolerantie beter regelt dan in 2012. Zo zijn er losse VM's voor de loadbalancing MUX en Routing Gateway. Beide componenten kunnen met BGP aan het onderliggende netwerk worden gekoppeld. Het grote bulkwerk van de netwerktaken wordt uitgesmeerd over alle vSwitches van de Hyper-V hosts.

Dit model is afgekeken van de grote broer Azure. Veel functionaliteiten lopen hier toch nog wel flink op achter, maar het raamwerk lijkt zich te lenen voor een inhaalslag. Het is de vraag of Microsoft hier ook de resources voor vrijmaakt. IPv6 is een voorbeeld wat in Azure al gedeeltelijk werkt, maar in Windows Server SDN volledig ontbreekt. Wat ook jammer blijft is de afhankelijkheid van gateway VM's die gebruikt worden om al het verkeer naar het SDN te koppelen. De concurrerende oplossingen maken gebruik van het gestandaardiseerde OVSDB om een SDN klantnetwerk met fysieke gateway VTEP's te kunnen koppelen. Microsoft heeft z’n eigen extensies op OVSDB gemaakt die nu een blok aan het been vormen om ook fysieke gateways te kunnen aansturen.

Voor Proxsys lijkt Server 2016, zeker met recente verbeteringen in de 1709–versie, goed genoeg te kunnen werken om hier gebruik van te maken. De grote achilleshiel hierbij is het relatief gesloten ecosysteem van Microsoft. De huidige VMware hypervisors kunnen op geen bruikbare manier worden ingekoppeld. Een meer service-provider gerichte oplossing lijkt vooralsnog onoverkomelijk.

BranchCache

Nog een enorm onderbelichte techniek die veel voordelen kan opleveren is BranchCache. Een absolute expert en fanatiek evangelist van deze techniek is Andreas Hammarskjold van het Noorse bedrijf 2Pint. In een diep technische sessie heeft Andreas toegelicht hoe BranchCache werkt in de verschillende scenarios.

BranchCache werkt op basis van een intelligente netwerktoegangfilter in Windows 7 en hoger. Dit filter gaat voor elk gedeelte van een bestand dat wordt opgevraagd op het netwerk, proberen om het datablok op een alternatieve, snellere locatie op te halen. Dit kan de lokale BranchCache zijn, waar een ander bestand met veel overlappende blokken al een keer voorbij is gekomen, maar ook een andere Windows client op het lokale netwerk die hetzelfde datablok in z’n cache heeft zitten.

Proxsys heeft toen deze functie in Windows 7 uitkwam wat ervaring opgedaan met de 1e versie hiervan. De basale- en niet goed werkende functionaliteit in het beoogde scenario, plus ontoereikende documentatie heeft ons toen doen besluiten hier niet mee verder te werken.

Inmiddels heeft Windows 10 /Server 2016 een sterk verbeterde BranchCache (V2) code aan boord die het voor Proxsys interessant maakt hier nogmaals naar te kijken. In elke versie van Windows is ondersteuning voor acceleratie van BITS (HTTP) bestandoverdracht. Dit kan gebruikt worden voor distributie van updates. Gecombineerd met een nieuwe bandbreedte management methode genaamd LEDBAT kan hiermee zonder impact op gebruikersverkeer, in bijna elke situatie, snel een bestand worden overgezet. Voor acceleratie van SMB/netwerk verkeer is de Enterprise versie nodig.

Covert Channels

Een interessante sessie over verborgen communicatie. Hiermee wordt dus niet het versleutelen van communicatie bedoeld (dat kun je namelijk zien, wanneer er van punt A naar B wordt gecommuniceerd), maar het onzichtbaar kunnen communiceren. Dit is op dit moment heel hot, denk bijvoorbeeld aan een forum voor terroristen, waar een foto op wordt gezet. Ogenschijnlijk een gewone foto, maar in de foto kan met diverse tools een geheime boodschap worden gezet. Inmiddels zijn er al meer dan 600+ tools om dit soort zaken te doen en is een opkomend gevaar om hier grip op te krijgen.

Tijdens de presentatie met diverse demonstraties hierover, werd er ook stilgestaan bij wanneer de informatie op je laptop staat. Dit moet je dan ook opbergen, zodat niemand erbij kan. Dit kan eenvoudig met Alternate Datastreams , maar ook met diverse tools.

Al met al een aardige eye-opener waar mensen allemaal mee bezig zijn en dat er dus een underground communicatie mechanisme bestaat die je aan de oppervlakte niet eens ziet.

Modern Management

Als afsluitende presentatie was er de presentatie over Modern Management. Hier hadden we al wel wat presentaties van gevolgd, echter was het wel goed om met een soort wrap-up af te sluiten. Volgens Microsoft zijn we in 2020 alleen nog maar Modern Management aan het uitvoeren, dat zie ik zelf nog wel iets anders, maar het is een mooi doel.

In de presentatie werden de huidige technieken die we al meer dan 15 jaar gebruiken (AD, domain join, GPO, printserver, fileshares) doorgenomen en waar de problemen liggen op het front van bruikbaarheid als de gebruiker meer buiten het kantoor is dan op kantoor. Ook kwamen de huidige security uitdagingen i.c.m. systemen die 15 jaar lang hetzelfde doen (windows 7 die tot januari 2020) meegaat, aan de orde. Uitdagingen die je niet voor je uit moet schuiven.

Een mooie uiteenzetting hoe van deze huidige manier van werken, via een hybrid constructie naar een uiteindelijke modern management omgeving kan gaan migreren. De presentator zelf zag liever geen migratie, maar gewoon alles nieuw, omdat de werelden zo van elkaar verschillen.

Microsoft heeft verder nog wat tools gemaakt om te helpen met migreren, denkhierbij aan een GPO analyse tool, die aangeeft welke policies problemen opleveren in de Windows 10 MDM omgeving (Intune) en daar een mooi rapport van maakt.

Tot slot

Hiermee sloten we het evenement af en werd er bekend gemaakt waar Ignite volgend jaar wordt gehouden. Hopelijk tot volgend jaar!

Delen via

Altijd en overal Ongestoord en ongemerkt veilig werken

Proxsys werkt met deze partners