Virtual Ethernet Port Aggregation
Weg aus der Virtualisierungsfalle
Die Server-Virtualisierung ist heute für die meisten Unternehmen keine Frage des "ob", sondern höchsten noch des "wann". Doch die Vorteile zentralisierter Ressourcen, besserer CPU-Auslastung und höherer Verfügbarkeit haben auch ihren Preis. Denn Server-Virtualisierung führt zu mehr Komplexität beim Netzwerk-Management. Abhilfe versprechen neue Standards, die sich bei der IEEE in Entwicklung befinden. Ein Beispiel dafür ist der Standard Virtual Ethernet Port Aggregation, kurz VEPA.
Die Netzwerkarchitektur eines Rechenzentrums ähnelt der eines klassischen Two- oder
Three-Tier-Netzes zur Anbindung von Arbeitsplatzrechnern. Den Tier 1 eines RZ-Netzwerks bilden
ebenfalls die Core-Switches. Die Server sind dann entweder direkt mit dem Core
(Two-Tier-Architektur) oder über so genannte Top-of-Rack- oder End-of-Row-Switches
(Three-Tier-Architektur) mit dem Netzwerk verbunden. Anders als beim Unternehmensnetz ist im
Rechenzentrum hier jedoch oft noch nicht Schluss. Kommen beispielsweise Blade-Server zum Einsatz,
bilden die Switches der Blade-Center eine weitere Netzwerkebene (Tier 4). Laufen auf einem
Blade-Server dann noch mehrere virtuelle Server, fügt der virtuelle Switch innerhalb des
Hypervisors noch eine Ebene hinzu. Im Extremfall findet man in einem Datacenter also eine
Five-Tier-Architektur (Bild). Jede weitere Ebene erhöht die Komplexität bei der Administration des
Netzes. Daher versuchen IT-Verantwortliche, die Zahl der Netzwerk-Tiers auch im Rechenzentrum so
gering wie möglich zu halten.
Virtualisierung bereitet
Probleme im Netz
Die Hypervisoren von Virtualisierungslösungen stellen einen virtuellen Switch in ihrer Software
bereit, um virtuelle Netzwerkkarten in ihren virtuellen Maschinen (VMs) miteinander und mit der
Außenwelt kommunizieren zu lassen. Doch je mehr VMs einen solchen virtuellen Switch nutzen, desto
mehr CPU-Leistung muss dieser zur Verarbeitung des Netzwerkverkehrs konsumieren, die dann wiederum
den virtuellen Maschinen fehlt. Aus Unternehmenssicht sollte ein virtueller Switch zudem in der
Lage sein, dieselben Funktionen zur Verfügung zu stellen, die auch seine realen Switch-Kollegen
liefern. Hierzu zählen beispielsweise VLANs, Access Control Lists (ACL) oder Quality of Service
(QoS).
Doch selbst wenn ein virtueller Switch alle benötigten Features abbilden kann, lässt er sich
meist nicht über die Management-Software des Netzwerkherstellers administrieren, der auch die
physischen Switches stellt. Neben höherem Aufwand bei der Administration erschwert dies vor allem
die Fehlersuche im Netzwerk. Schließlich stellen verschiedene Hersteller von
Virtualisierungslösungen jeweils unterschiedliche Funktionen in ihren virtuellen Switches zur
Verfügung. Gerade in größeren Rechenzentren mit verschiedenen Hypervisoren erhöht dies die
Komplexität der Administration weiter.
Kompetenzgerangel
ist vorprogrammiert
Die Virtualisierung von Netzwerk-Switches führt auch zu neuen Herausforderungen im
organisatorischen Bereich. Denn da die Administration von Hypervisoren normalerweise der Gruppe der
Server-Administratoren obliegt, die Netzwerkabteilung aber den Rest des Netzwerks verwaltet, ist an
der Schnittstelle "virtueller Switch" Kompetenzgerangel vorprogrammiert. Jede Fehlersuche und jede
Konfigurationsänderung am Netzwerk erfordert auf ein Neues die Abstimmung zwischen beiden
Abteilungen. Die dabei auftretenden Reibereien kosten nicht nur Zeit und Geld, sondern können
schlimmstenfalls sogar die Sicherheit des Netzwerks beeinträchtigen.
Der VEPA-Standard als Hoffnungsträger
Zum Glück haben auch die Hersteller von Netzwerkkomponenten diese Probleme erkannt und arbeiten
gemeinsam an einer Lösung. In der Diskussion befinden sich derzeit zwei Standards für die Virtual
Ethernet Port Aggregation (VEPA), auch bekannt unter IEEE 802.1Qbg (Edge Virtual Bridging) und IEEE
802.1Qbh (Bridge Port Extension). Während beide Spezifikationen noch unterschiedliche Methoden der
Umsetzung propagieren, ist die Idee dahinter dieselbe: Das erklärte Ziel ist es, die Aufgaben
virtueller Switches auf physische Switches zu übertragen.
Vereinfacht gesagt kann in zukünftigen VEPA-fähigen Switches ein Datenpaket auf demselben
physischen Switch-Port wieder in dasselbe Gerät hineinwandern, auf dem es gekommen ist. Dies ist
bei einer VEPA-Implementation dann notwendig, wenn eine VM Daten an eine andere VM auf demselben
Hypervisor sendet. Bislang war das nicht möglich, da die Ethernet-Spezifikation diesen "Hairpin
Turn" genannten Verkehrsfluss ausschloss. Switches mit VEPA-Unterstützung erlauben aber zukünftig
solche Hairpin Turns. Unternehmen können damit die Verarbeitung des Netzwerkverkehrs zwischen
virtuellen Maschinen desselben Hypervisors auf dedizierte Netzwerk-Switches übertragen und dort
wieder zentral administrierte ACLs, QoS und VLANs umsetzen.
Bessere Skalierbarkeit
im virtualisierten RZ
Neben organisatorischen Vorteilen bei der Administration führt dies auch zu einer besseren
Skalierbarkeit eines virtualisierten Rechenzentrums, da dies nicht nur die Zahl erforderlicher
Netzwerkebenen senkt, sondern auch die zu administrierender Switches. Gleichzeitig wird das
Netzwerk unabhängig von dem oder den eingesetzten Hypervisoren. Ein kleiner Nachteil von VEPA ist
dabei der zusätzliche Netzwerkverkehr auf dem Edge-Switch, da jedes Datenpaket zwischen zwei VMs
eines Hypervisors jetzt über das Ethernet-Kabel zum Switch und wieder zurück wandern muss. Doch
sind unter anderem die Analysten der Enterprise Service Group der Auffassung, dass der Zugewinn an
CPU-Leistung auf dem physischen Server die Kosten dafür rechnerisch mehr als aufwiegt. Mit
40-Gigabit-Ethernet (aktuell in der Testphase) und 100-Gigabit-Ethernet (in der Standardisierung)
wird dieser zusätzliche Datenverkehr in der Zukunft noch weiter an Bedeutung verlieren.
Fazit
VEPA wird in virtuellen Server-Umgebungen das Netzwerk-Management deutlich vereinfachen und die
Anzahl zu administrierender Netzwerkebenen weiter reduzieren. Wer in naher Zukunft den Kauf von
Datacenter-Switches zum Anschluss von Servern plant, sollte daher darauf achten, dass dessen
Hardware VEPA bereits unterstützt und sich die entsprechenden Funktionen nach Ratifizierung der
Standards einfach per Firmware-Update nachrüsten lassen.
Lesen Sie mehr zum Thema
