1 / 27

Policy Based Management

Policy Based Management. Seminar Verteilte Systeme und Netzwerkmanagement Wintersemester 2001/02 Matthias Flohr. Überblick. Einführung / Motivation Terminologie Policies, Regeln, Bedingungen, Aktionen Aufbau eines Policy Based Management-Systems

patricia-whitley
Download Presentation

Policy Based Management

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Policy Based Management Seminar Verteilte Systeme und Netzwerkmanagement Wintersemester 2001/02 Matthias Flohr

  2. Überblick • Einführung / Motivation • Terminologie • Policies, Regeln, Bedingungen, Aktionen • Aufbau eines Policy Based Management-Systems • Framework der Distributed Software Engineering Group • Management Domains • Policies • Konflikte zwischen Policies 2

  3. Motivation • Wachsende Bedeutung der Vernetzung von Rechnersystemen • Netzwerke werden • größer • komplexer • heterogener • „Klassisches“ Netzwerkmanagement stößt bei der effizienten Verwaltung und Konfiguration zunehmend an seine Grenzen 3

  4. „Klassisches“ vs. Policy Based Management • „Klassisches“ Management: • Netzwerkelemente werden einzeln konfiguriert/gesteuert • Netzwerkadministrator muß auf veränderte Situation individuell reagieren • Policy Based Management: • Festlegen von Policies in Form von Regeln, die das gewünschte Verhalten beschreiben • Anwendung und Durchsetzung dieser Vorgaben erfolgt automatisch 4

  5. Anwendungsbereiche • Anwendungsbereiche des „klassischen“ Netzwerkmanagements • Sicherstellung der Dienstgüte (Quality of Service, QoS) • IP-Telefonie (Voice-over-IP) • Videokonferenzen 5

  6. Terminologie • Policies: • Allgemein: Ziele und Vorgehensweisen zum Erreichen dieser Ziele, an denen sich die Entscheidungen einer Organisation orientieren • Policy Based Management: Zusammenstellung mehrerer Regeln, die das gewünschte Verhalten unter verschiedenen Umständen und bei bestimmten Ereignissen festlegen • Regeln bestehen aus Bedingungen und Aktionen if <zu erfüllende Bedingungen> then <auszuführende Aktionen> 6

  7. Terminologie • Bedingungen • Zustände/Voraussetzungen für Aktionen • Angabe in Form von Relationen • in, not in, equal, not equal, less than, less than or equal, greater than, greater than or equal • Verknüpfung mehrerer Bedingungen mit boolschen Operationen • Aktionen • Maßnahmen zur Beeinflussung des Netzwerkverkehrs und der Konfiguration der Netzwerkgeräte 7

  8. Aufbau eines Policy Based Management-Systems 8

  9. Policy Management Tool • Eingabe und Veränderung von Policies • Formulierung auf hoher Abstraktionsebene • Übersetzung in Regeln in einer für die PDPs verständlichen Form 9

  10. Policy Management Tool • Beispiel: „Premium-Verkehr zwischen A und B“ source = 10.24.195.x, dest = 10.101.227.x, any protocol, perform Premium Service action source = 10.101.227.x, dest = 10.24.195.x, any protocol, perform Premium Service action 10

  11. Policy Management Tool • Validierung • Erkennen von synktatischen, semantischen oder logischen Fehlern • Beispiel: Fehler source = 10.24.195.5, dest = 10.24.195.5, any protocol, perform Premium Service action 11

  12. Policy Management Tool • Überprüfung der Regeln auf statische Konflikte mit exisitierenden Regeln • Statischer Konflikt: • Bedingungen mehrerer Regeln treffen zu • daraus folgende Aktionen widersprechen sich / schließen sich gegenseitig aus • Beispiel: „Im Netzwerk sind maximal 10 Verbindungen für Videokonferenzen erlaubt“ „8 Videokonferenz-Verbindungen sind für X an jedem Dienstag von 9-10 Uhr reserviert“ „3 Videokonferenz-Verbindungen sind für Y jeden Tag von 9-10 Uhr reserviert“ 12

  13. Policy Management Tool • Durch Regeln, die von der aktuellen Netzsituation abhängig sind, können dynamische Konflikte entstehen • Dynamische Konflikte können „im Voraus“ nicht erkannt werden 13

  14. Policy Repository • Speicherung der Policies/Regeln • Bereitstellung bei Anforderung durch andere Komponenten • Directory Server oder Datenbank 14

  15. PDP und PEP • PDP wertet die Bedingungen der Policy-Regeln aus • PEP führt die Aktionen aus • Ablauf: • Auslöser: bestimmte Netzwerkparameter oder konkrete Anfragen durch andere Systemkomponenten (z.B. PEP) • Lokalisierung und Empfangen der relevanten Regeln • Auswertung • Senden des Ergebnisses an entsprechenden PEP • Ausführen der Aktionen durch PEP 15

  16. PDP und PEP • Kommunikation zwischen PDP und PEP beispielsweise per COPS(Common Open Policy Service)-Protokoll 16

  17. Framework der Distributed Software Engineering Group

  18. Management Domains • Zusammenfassung mehrerer Objekte in Domains • ermöglicht Strukturierung und Aufteilung der Verantwortung • Einteilung nach • geographischen Gegebenheiten • Typ der Objekte • Verantwortung und „Herrschaft“ für bzw. über die Objekte 18

  19. Management Domains • Domainkonzept ähnlich wie hierarchisches Dateisystem • Domain beinhaltet Referenzen auf die Objekte (direkte Members) • Domain kann Member einer anderen Domain sein (Subdomain) • Direkte Members einer Subdomain sind indirekte Members der Parent-Domain 19

  20. Management Domains B ist Subdomain von A direkter Member von B indirekter Member von A 20

  21. Management Domains • Beschreibung von Objekten durch Domain Scope Expressions • Angabe einer Domain durch Angabe des „Pfades“ • Verknüpfung mit Hilfe von Vereinigungs-, Durchschnitts- und Differenzoperatoren • Beispiel: Alle Members von B und C, aber nicht die von E: @/A/B + @/A/C - @/A/B/E 21

  22. Policies • beschreiben die Beziehung zwischen Subjekten(z.B. dem Manager) und Zielobjekten (den managed objects) • Vier Kategorien: • Authorisation Policies • Obligation Policies • Refrain Policies • Delegation Policies 22

  23. Policies • Authorisation Policies • positive Form(auth+) und negative Form(auth-) • beschreiben, was einem Subjekt erlaubt/verboten ist, mit den Zielobjekten zu machen • Implementierung auf dem Zielsystem • Obligation Policies • legen fest, welche Aktionen/Operationen ein Subjekt auf bestimmten Objekten durchführen muß • werden durch Ereignisse ausgelöst 23

  24. Policies • Refrain Policies • „Gegenteil“ von Obligation Policies • bestimmen Aktionen/Operationen, die ein Subjekt auf dem Zielobjekt nicht machen darf • Implementierung beim Subjekt • Delegation Policies • positive Form(deleg+) und negative Form(deleg-) • beschreiben, welche Aktionen Subjekte an andere (nicht) delegieren dürfen 24

  25. Policies 25

  26. Konflikte • Konflikte(modality conflicts) in folgenden Fällen: • Oblig / Refr • Auth+ / Auth- • Oblig / Auth- 26

  27. Literatur • RFC 3198: A. Westerinen, J. Schnitzlein et. al., Terminology for Policy Based Management, 2001 (vorher <draft-ietf-policy-terminology-04.txt> • M. Stevens, W. Weiss et al., Policy Framework, <draft-ietf-policy-framework-00.txt>, September 1999 • J. Strassner, Ed Ellesson, Terminology for describing network policy and services, <draft-ietf-policy-terms-02.txt>, Juni 1999 • G. Waters, J. Wheeler et al., Policy Framework Architecture, <draft-ietf-policy-arch-00.txt>, Februar 1999 • HTML-Dokumente der Distributed Software Engineering Group, Department of Computing, Imperial College, http://www-dse.doc.ic.ac.uk • E. Lupu, M. Sloman, A Policy Based Role Object Model, 1997 • E. Lupu, M. Sloman, Towards a role based framework for distributed systems management, 1997 27

More Related