Virtuelle Server, virtuelle Switches
Virtualisierung verändert Netzdesign
Fortsetzung des Artikels von Teil 1
Lösungsansatz
Eine Integration über die jeweiligen Netzwerk-, Security- und VM-Management-Systeme in einer Art SOA-Architektur ist die präferierte Variante. Hiermit sind auch unterschiedlichste Systeme koppelbar. Als Beispiel sei hier die Integration des Enterasys-Network-Management-Systems an »Vmware-vSphere« und an »Citrix-XenCenter« – beides im Folgenden als »VM-Management« bezeichnet – genannt. Dabei wird auf Web-Services via XML/SOAP gesetzt, um Daten zwischen VM-Management und NMS auszutauschen und zu synchronisieren.
Das NMS verwaltet zentral alle am Netzwerk angeschlossene Endsysteme wie auch alle VMs. Dies geschieht mit Hilfe von NAC-Technologie. Diese ermöglicht auch eine dynamische Zuweisung von so genannten Policies, die eine Gruppierung VLAN, Access-Listen, Rate-Limiting, Quality of Service-Parameter pro VM und pro Applikation darstellen. Für die entsprechende Skalierung der Policies wäre ein Datacenter-Switch der S-Serie von Enterasys notwendig. Es ist nun möglich, mit zusätzlichen Softwareoptionen vom NMS aus dem VM-Management in Echtzeit den Status, die zugewiesene Policy und die Location – den physischen Switchport an dem sich die VM befindet – zu liefern. Dadurch bekommt der Serveradministrator den vollen Überblick über alle relevanten Parameter.
Zuvor werden auch vom NMS im VM-Management alle potenzielle Netze (VLANs und Port-Groups auf den jeweiligen »vSwitches«) angelegt. Alle relevanten »vSwitches« werden dann mit dieser Konfiguration ausgestattet. Wenn der Serveradministrator dann ein Interface einer VM diesen vorkonfigurierten Netzen zuweist, wird diese Information sofort ins NMS synchronisiert und hier an eine netzwerkspezifische Policy gebunden. Taucht die VM dann auf der physischen Infrastruktur auf, wird die entsprechende Policy angewandt und stimmt mit der VLAN/Port-Group-Konfiguration auf dem »vSwitch« sofort überein. Damit muss der Netzwerkadministrator nicht eingreifen, hat aber ebenfalls alle Daten einer VM direkt im Zugriff. Diese werden ebenfalls ans NMS weiter gegeben. Das umfasst Daten wie VM-Name, UUID und Betriebssystem. Diese sind für das Troubleshooting, die Kapazitätsplanung und ein eventuelles Reporting unabdingbar.
Um zu vermeiden, dass ein Serveradministrator versehentlich oder absichtlich eine VM in ein kritisches Netz wie eine virtualisierte DMZ einstellen kann, ist ein Approval-Prozess verfügbar. Dieser hält die VM in einem Pending-Approval-Status, bis eine Freigabe erfolgt ist. Dabei wird automatisch ein entsprechendes Protokoll erstellt.
Ein weiterer kritischer Faktor ist die Tatsache, dass der »vSwitch« auf dem Host lokale Inter-VM-Kommunikation ermöglicht. Damit aber greifen Netzwerkpolicies nicht mehr so ohne weiteres. Mittelfristig wird dies vermutlich durch neue Standards wie den Virtual-Ethernet-Port-Aggregator eliminiert, die den »vSwitch« auf das nur absolut Notwendige zurückstutzen und die Entscheidungen zurück an den physischen Switch geben. Bis dahin jedoch sind Übergangstechnologien notwendig. Vmware bietet hierzu eine spezielle API – die so genannte »VMSafe API« – an, die es externen Sicherheitsprodukten ermöglichen soll, den Host-internen Verkehr ebenfalls zu inspizieren. Einfacher geht es mit »vSphere« und so genannten Private-VLANs. Diese sind mit dem »dvSwitch« (distributed vSwitch) in der Version 4.0 mit einer entsprechenden Lizenz verfügbar. Sie erlauben eine absolute Isolation von VM-Systemen untereinander, im gleichen (Sub)netz, aber auch auf dem gleichen Host. Die Kommunikation untereinander ist dabei über einen externen Router immer noch möglich. Allerdings benötigt dieser einige Spezialfunktionen. Über die Enterasys-NMS-Integration kann dies ebenfalls voll automatisch konfiguriert werden. Die Policies wiederum können durch den physischen Switch angewandt werden. Zusätzlich lassen sich darüber sehr einfach Intrusion-Prevention-Systeme (IPS) mit einschleifen, was eine höhere Kontrolle auf den Verkehr im entsprechenden Netz erlaubt. Flow-Statistiken für den Inter-VM-Verkehr können dann ebenfalls durch den physischen Switch erzeugt werden.
Die intelligente Integration von Netzwerk-, Security- und VM-Management-Systemen ermöglicht es, die neuen Herausforderungen durch die Servervirtualisierung im Rechenzentrum zu adressieren. Ein höherer Automatisierungsgrad und damit geringere Betriebskosten sind also mit hohen Sicherheitsansprüchen ohne weiteres vereinbar. Vor allem aber müssen organisatorische Hürden genommen werden und Server- sowie Netzwerkteams zusammen an einen Tisch gebracht werden. Dann steht auch dem Erfolg großer Virtualisierungsprojekte nichts im Weg.
Markus Nispel, Vice President Solutions Architecture, Enterasys Networks
E-Mail: markus.nispel@enterasys.com
- Virtualisierung verändert Netzdesign
- Lösungsansatz
Lesen Sie mehr zum Thema
