Was Netzwerker von der Virtualisierung halten

Hartmut Voigt ist Manager Consulting bei der connectis AG, www.connectis.ch

Mein Job ist Netzwerker. Ich bin kein Servermann und auch kein Applikationsbetreuer. Zu meinen Aufgaben gehört es, Netze zu planen, aufzubauen und zu betreiben. Dabei gelten immer die gleichen Ziele: Das Netz muss performant, verfügbar und sicher sein. In den letzten Jahren ist uns dies durch hierarchische Modelle gelungen, die im Baukastenprinzip zusammengestellt werden: Jeder Baustein hat seine Aufgabe zu erfüllen und wird möglichst optimal ausgelegt. Grundlage des Prinzips sind Layer-3-Netzwerke - geroutete Netze mit kleinen Failure Domains.

Diese Netze werden heute von vielen Kunden und Applikationen genutzt, die individuellen Service und den Schutz ihrer Daten verlangen. Wir haben unser Netzwerkequipment daher partitioniert. Ein physikalisches Gerät besteht nun aus vielen logischen Devices, die unterschiedliche Services anbieten. VLAN, VDC, VRF, VPN, logische Kontexte sind Stichworte, die jeder Netzwerker kennt. Die Daten unterschiedlicher Kunden werden über gemeinsame Verbindungen transportiert, hier sind Mechanismen wie Trunks, GRE und natürlich MPLS zu nennen. Aus der Vogelperspektive betrachtet, realisieren wir heute mehrere logische Netze auf der gleichen Infrastruktur.

Bisher konnte das Netz klar abgegrenzt und identifiziert werden. Man hatte eine 1:1-Abbildung zwischen einem Server und/oder dem Operating System (OS) sowie dem Switchport. Server-seitig bildete die Adapterkarte die Schnittstelle zum Netz, eindeutig identifiziert per IP-Adresse.

Wer ist verantwortlich?

Heute kommen Virtualisierungstechniken ins Spiel. Diese bilden mehrere logische Maschinen auf dem gleichen physikalischen Device ab. Jede virtuelle Maschine (VM) nutzt ihr eigenes Set an virtueller Hardware: RAM, CPU und NIC. Dabei hat das OS eine konsistente Sicht des von ihm genutzten Device. Mehrere VMs können über virtuelle Switches verbunden werden. Applikationen, OS, BIOS und virtuelle Hardware bestehen nur noch aus einem kleinen File und können binnen Sekunden von einem Server auf den anderen gezügelt werden. Pakete zwischen den VM eines Servers werden nicht mehr über das Netz übertragen. Wir Netzwerker verlieren dadurch die Kontrolle, Netzwerk Security und Policy Enforcement erreichen die VMs nicht mehr. Unterschiedliche VLAN, QoS oder Security-Setzungen laufen mit der Beweglichkeit der VMs nicht mit. Das Managementmodell hat ein Loch, Ping-Pong-Effekte zwischen den Abteilungen bei Zuständigkeit und Troubleshooting sind die Folge. Wer ist für das virtuelle Netz verantwortlich? Der Netzwerker oder ein Serveradministrator? Das Problem lässt sich jedoch auf verschiedene Weise lösen:

- Lösung 1: Ein naheliegender Ansatz ist, die Schnittstelle der Zusammenarbeit von der Interface-Karte auf den Server zu verlagern, etwa mit Software-Switches wie Ciscos Nexus 1000v. Dieser verfügt über die gleichen Möglichkeiten zur Konfiguration, zum Management und zum Troubleshooting, wie man es von den klassischen Systemen gewohnt ist. Über den Switch werden Policies an die vNIC der virtuellen Maschine gebunden. Wenn die VM zügeln, wandert die Netzkonfiguration mit - ohne manuellen Eingriff des Administrators. Die Sicht auf das Paket und den Datentransfer innerhalb einer VM wird dem Netzwerker durch Portstatistiken und Netflow-Datenexport zurückgegeben.

- Lösung 2: Die Netzwerkspezialisten drehen den Spiess um. Cisco lanciert zum Beispiel mit dem Unified Computing System (UCS) selbst Serversysteme und verschiebt damit den Machtbereich auf das Endsystem. Die Argumente für den Kauf von UCS: mehr Rechenleistung und weniger Ethernet/Fiber-channel-Switches, Adapterkarten, Patch-Kabel etc. Ein integriertes Management für Switches und Blade-Server ist inbegriffen. Ich bin gespannt, wie die Serverwelt reagiert.

Fazit: die sicht aufs Ganze bewahren

Virtualisierung soll für Rechenzentren Backups bilden und redundant gestalten. Dies ist für uns Netzwerker so lange o.k., wie es überschaubar bleibt. Unser geordneter Layer-3-Netzwerkaufbau wird jedoch zunehmend in Frage gestellt. Die Vorteile der Servervirtualisierung verwandeln sich bei einer unkoordinierten Nutzung zum Nachteil beim Aufbau und Betrieb des Netzes.

Eine viel diskutierte Frage unter Netzwerkern lautet: «Will virtualization kill networking?» Meine Antwort: nein. Der technische Baukasten ist da, er muss nur richtig verwendet werden. Grundlage ist eine Zusammenarbeit von Server- und Netzwerkleuten. Die Architektur muss gesamtheitlich betrachtet werden, um sie performant, verfügbar und sicher gestalten zu können. Virtualisierungstechniken helfen dabei, Applikationen und Services unabhängig von der zugrunde gelegten Infrastruktur einzuführen, zu betreiben und sicher zu gestalten. Richtig eingesetzt, versetzen sie die Unternehmens-IT in die Lage, schneller auf heutige Herausforderungen reagieren zu können.