lunes, 5 de marzo de 2018

Google cloud y La "Zona Andrómeda" O como controlar un ataque DDOS

Hoy  en google cloud español nos hemos preguntado como estamos de protegidos en Google Cloud ante un ataque DDOS.


Esta semana hemos sido informados toda la comunidad de como GitHub ha sufrido uno delos últimos ataques de DDOS, que por otro parte han sabido gestionar. Tienes mas información aquí o aquí. El ataque brutal de 1,35Tbs que fue repelido por  GitHub.



Por este motivo me pregunto como estamos ante ataques de este tipo si estamos con google cloud, y la respuesta es: Entramos en la Zona Andrómeda.

Dentro zona de Andrómeda: la última pila de redes de Google Cloud Platform.
La última tecnología de red que impulsa nuestros servicios internos a disposición de los usuarios de Cloud Platform en todo el mundo.

Andromeda, el nombre clave de la pila de virtualización de red de Google, ahora activa dos zonas de Google Compute Engine. Los clientes  verán automáticamente un mayor rendimiento en el rendimiento a través de nuestras conexiones de red rápidas.

Los desafíos de redes introducidos por la virtualización. Ofrecer el más alto nivel de rendimiento, disponibilidad y seguridad requiere la organización a través de máquinas virtuales, hipervisores, sistemas operativos, tarjetas de interfaz de red, conmutadores de rack, switches de fabric, enrutadores fronterizos e incluso nuestro extremo de peering de red.

En google cloud tienen   una posición única para aprovechar el control y la experiencia de Google sobre todo el hardware, el software, la LAN y la WAN para ofrecer una experiencia perfecta para los clientes de Cloud Platform.

En Googlec loud , nos beneficiamos de tener acceso programable a toda la pila de red, desde el hardware de nivel más bajo hasta los elementos de software de más alto nivel. En lugar de forzarnos a crear soluciones comprometidas basadas en los puntos de inserción disponibles, podemos diseñar soluciones integrales seguras y eficaces mediante la coordinación en toda la pila.

Andromeda es un sustrato basado en Software Defined Networking (SDN) para nuestros esfuerzos de virtualización de red. Es el punto de orquestación para el aprovisionamiento, la configuración y la administración de redes virtuales y el procesamiento de paquetes dentro de la red. La siguiente figura de mi presentación muestra la arquitectura de alto nivel de Andrómeda:

El objetivo de Andromeda es exponer el rendimiento sin procesar de la red subyacente a la vez que se expone la virtualización de funciones de red (NFV). Exponemos el mismo procesamiento dentro de la red que permite que nuestros servicios internos se escalen y permanezcan extensibles y aislados para los usuarios finales. Esta funcionalidad incluye protección de denegación de servicio (DDoS) distribuida, equilibrio de carga de servicio transparente, listas de control de acceso y firewalls.

Hacemos esto al mismo tiempo que mejoramos el rendimiento, con más mejoras por venir.
Por lo tanto, Andrómeda en sí no es un producto de red de Cloud Platform; más bien, es la base para brindar servicios de red de Cloud Platform con alto rendimiento, disponibilidad, aislamiento y seguridad. Por ejemplo, las reglas de cortafuegos, enrutamiento y enrutamiento de Cloud Platform aprovechan todas las API internas y la infraestructura de Andromeda.


Presenta  varios escenarios, como la publicación de equilibrio de carga de Google Compute Engine 1M RPS previamente descrita. También presenta mejoras en el rendimiento de transmisión TCP en Google Compute Engine (GCE), la más notable de las cuales fue una mejora significativa de la latencia, el rendimiento y la sobrecarga de la CPU a nivel de red. Si bien estas mejoras conducirán a algunos de los mejores rendimientos de red disponibles en la industria,.

Andromeda permite Cloud Platform exponer cada vez más el rendimiento de la infraestructura de red sin procesar de Google a todas las máquinas virtuales (VM) de GCE.

Algunas de las mejoras más valiosas permiten que las máquinas virtuales incorporadas al soporte de kernels de Linux exploten las capacidades de descarga / multi-cola.

Animo a los clientes interesados ​​a crear nuevas máquinas virtuales GCE utilizando la imagen de backports de Debian. Esta imagen tiene los últimos controladores necesarios para lograr el mejor rendimiento.
Para mostrar la magnitud del despliegue de mejoras, el equipo de Cloud Platform realizó una serie de experimentos de rendimiento. Un benchmark evaluó el rendimiento utilizando netperf TCP_STREAM en la misma zona GCE. Al comparar el rendimiento de línea base (antes de Andrómeda) con Andrómeda, podemos destacar los beneficios de la arquitectura de Andrómeda.


Andromeda es una nueva versión de la arquitectura de virtualización de red subyacente, y su núcleo SDN permite iterar rápidamente y ofrecer nuevas funcionalidades. Esto asegura que la red de Cloud Platform continuará siendo un agente de interrupción de la computación en nube en el futuro.