{"id":11362,"date":"2017-08-01T12:17:26","date_gmt":"2017-08-01T10:17:26","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=11362"},"modified":"2017-07-11T10:26:53","modified_gmt":"2017-07-11T08:26:53","slug":"virtuelle-netze-mit-vmware-nsx-automatisiert-spannen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=11362","title":{"rendered":"Virtuelle Netze mit VMware NSX automatisiert spannen"},"content":{"rendered":"
\"\"<\/a>
Onur \u00d6zt\u00fcrk, Consultant Data Center Solutions bei Axians Networks & Solutions (Quelle: Axians Networks & Solutions)<\/figcaption><\/figure>\n

Autor\/Redakteur: Onur \u00d6zt\u00fcrk, Consultant Data Center Solutions bei Axians Networks & Solutions<\/a>\/gg<\/p>\n

Ein Cloud-f\u00e4higes Rechenzentrum ben\u00f6tigt vor allem eine dynamische Last- und Ressourcenverteilung. Erf\u00fcllen l\u00e4sst sich dieses entscheidende Kriterium mit der Plattform VMware NSX, mit der sich die Netzwerktopologie im firmeneigenen Rechenzentrum virtualisieren l\u00e4sst. Somit wird die automatisierte Virtualisierung vom Server auf das Netzwerk \u00fcbertragen. Einblicke in Technologie und IT-Betrieb verdeutlichen, wie die Unternehmens-IT beim Bereitstellen von Netzwerken nun an Zeit, Agilit\u00e4t, Verf\u00fcgbarkeit und Sicherheit gewinnt.<\/p>\n

<\/p>\n

Der Hersteller VMware liefert mit NSX eine Suite, die Anwenderfirmen bef\u00e4higt, nach der Server- und Festplattenvirtualisierung den n\u00e4chsten logischen Schritt im Rechenzentrum zu gehen \u2013 zum Software-definierten Netzwerk. Dazu f\u00fchrt VMware ein Overlay-Netzwerk ein, das Hardware-unabh\u00e4ngig die Kommunikation von Applikationen gew\u00e4hrleistet. Noch wichtiger ist der Fakt, dass dieses Overlay-Netzwerk Ressourcen flexibel bereitstellt. Dazu wird die Hypervisor-basierte NSX-Plattform \u00fcber bestehende Layer-3-Netzwerke gespannt, wodurch sich das physikalische Netzwerk zum Transportmedium wandelt. Die notwendigen Hardware-typischen Funktionen wie Switching, Routing, Firewall und Load Balancing werden so direkt im Hypervisor abgebildet.<\/p>\n

Der Datenverkehr zwischen der virtuellen Welt und dem physischen Netzwerk wird \u00fcber Gateways abgewickelt. Die virtuelle Vernetzung bleibt unabh\u00e4ngig von der physischen Hardware. Diese muss jedoch in der Lage sein, das VXLAN-Protokoll (Virtual Extensible LAN) innerhalb von NSX bereitzustellen. Alle Netzwerke, die ein Administrator in VMware NSX anlegt, werden in einem physischen Netzwerk \u00fcber VXLAN gekapselt. Die Plattform beschr\u00e4nkt sich dabei nicht nur auf VMware-Netze. Sie l\u00e4sst sich \u00fcber die RESTful-API in jede Cloud-Management-Plattform integrieren oder an andere Netzwerksoftware anbinden.<\/p>\n

Die NSX-Technologie \u00fcberzeugt in der Praxis und stellt einen integralen Bestandteil der Strategie dar, das Ziel Software Defined Datacenter (SDDC) zu erreichen. Im SDDC virtualisiert eine Software alle aktiven Komponenten eines Rechenzentrums.<\/p>\n

Abschied vom alten Netzwerkbetrieb<\/strong><\/p>\n

Die Netzwerk-Virtualisierung bringt nun Bewegung ins gewohnte Betriebsmodell. Im Prinzip wird hier seit Jahrzehnten \u00fcberwiegend manuell konfiguriert, wobei die Leistungsmerkmale der physischen Topologie den Aufbau bestimmen. Switches und Router haben heute allerdings deutlich mehr Funktionalit\u00e4t. Sie werden nicht mehr als Einzelsystem betrachtet, sondern bilden Paare \u2013 in der sogenannten Multichassis Link Aggregation (M-LAG oder auch MC-LAG). Dahinter verbirgt sich das Prinzip, dass ein Paar von Switch-Interconnects gleichzeitig aktiv ist und den Datenverkehr abwickelt. M-LAG zielt darauf ab, das Spanning Tree Protocol (STP) aus dem Rechenzentrum zu verbannen. Das STP dient bisher zur Pfadoptimierung in Netzwerken und f\u00fchrt zu \u201eBaumtopologien\u201c. Dennoch bleibt festzuhalten: Gro\u00dfe Umstellungen hatten Netzwerkadministratoren bis dato nicht zu bew\u00e4ltigen.<\/p>\n

Bevor eine App produktiv l\u00e4uft, muss die interne IT generell einen l\u00e4ngeren Prozess bew\u00e4ltigen: Erst setzt der Serveradministrator im Self-Service eine virtuelle Maschine auf, danach konfigurieren die Netzwerkexperten ein neues Netzwerk f\u00fcr die Applikation. Sie stellen zun\u00e4chst ein Layer-2-Netz bereit. Als n\u00e4chstes erfolgen die IP-Adressen-Vergabe, die Switching- und Routing-Konfiguration sowie die Integration logischer Teilnetze (VLAN) in den virtuellen Switch. Dies kann gut und gerne einen Tag oder sogar weitaus l\u00e4nger dauern. Der Sicherheitsadministrator k\u00fcmmert sich anschlie\u00dfend noch um das Durchsetzen der Firewall-Richtlinien. Nach dem Konfigurieren des Load Balancing l\u00e4sst sich die App endlich hochverf\u00fcgbar bereitstellen.<\/p>\n

<\/p>\n

Die einzelne App absichern<\/strong><\/p>\n

Die automatisierte Virtualisierung eines Netzwerkes dauert mit VMware NSX nur noch wenige Sekunden, wodurch der App-Bereitstellungsprozess erheblich verk\u00fcrzt wird. Eine Anwenderfirma gewinnt so enorm an Zeit, Agilit\u00e4t und Verf\u00fcgbarkeit. Die Plattform setzt beim logischen Switching und Distributed Routing derzeit Ma\u00dfst\u00e4be.<\/p>\n

Au\u00dferdem sorgt sie f\u00fcr einen Sicherheitsgewinn, weil sie im Gegensatz zur klassischen Infrastruktur die Mikrosegmentierung realisiert. Die Methode dient dazu, einzelne Applikationen abzusichern. Normalerweise wird die Sicherheit im Netzwerk mit Firewalls durchgesetzt. Eine solche Installation trennt das \u00f6ffentliche, unsichere Netz von dem internen, vertrauensw\u00fcrdigen Netz. Firewalls lassen sich zudem innerhalb eines Netzwerkes installieren, zum Beispiel im Rechenzentrum, um Netzwerke untereinander zu sch\u00fctzen. Damit das funktioniert, muss ein IP-Segment auf ein anderes IP-Segment zugreifen k\u00f6nnen, denn innerhalb eines Netzes wird nichts reglementiert.<\/p>\n

\"\"<\/a>
Screenshot VMware vSphere Web Client (Quelle: Axians Networks & Solutions)<\/figcaption><\/figure>\n

In der Praxis l\u00e4sst sich eine lokale Firewall auf dem Server installieren. Die Konfiguration der Regeln f\u00e4llt noch einigerma\u00dfen leicht \u2013 w\u00e4hrend das Management der lokalen Firewalls schon gr\u00f6\u00dferen Aufwand mit sich bringt. Die Alternative sind virtuelle Firewalls, die zwischengeschaltet werden. Sie erh\u00f6hen den Lizenzierungs- und den administrativen Aufwand.<\/p>\n

Die Mikrosegmentierung w\u00e4hlt einen anderen Ansatz \u2013 sie setzt direkt an der virtuellen Netzwerkkarte einer virtuellen Maschine (VM) an. F\u00fcr das Umsetzen des zentral konfigurierten und bereitgestellten Regelwerkes sind die VMs in ihrem virtuellen Netzwerk zust\u00e4ndig. Die Folge: Der Netzwerkbetrieb wird flexibler, denn Netzgrenzen verlieren ihre Bedeutung. Ein VMware-Administrator kann mehrere VMs in einem Netz betreiben und diese voneinander nochmal durch eine Firewall sch\u00fctzen und isolieren.<\/p>\n

An eine Firewall lassen sich weitere L\u00f6sungen wie Virenschutz anbinden. Mit VMware NSX dauert es keine f\u00fcnf Sekunden, eine globale Regel anzuwenden, die zum Beispiel festlegt: Alle Server innerhalb eines Netzwerksegments d\u00fcrfen nicht miteinander kommunizieren. Diese als Ost-West-Datenverkehr bezeichnete Kommunikationsbeziehung ben\u00f6tigt man nicht immer. Ein Webserver soll stattdessen direkt mit dem Internet, mit Anwendern, Applikations- oder Datenbankservern, also \u00fcber den sogenannten Nord-S\u00fcd-Datenverkehr, sprechen.<\/p>\n

Erfolgreich im Virtualisierungseinsatz<\/strong><\/p>\n

F\u00fcr die Praxis zeichnen sich Einsatzszenarien ab, f\u00fcr die sich VMware NSX besonders gut eignet. Wenn zum Beispiel ein Rechenzentrum mehr als 500 virtuelle Maschinen betreibt, automatisiert und beschleunigt die NSX-Technologie das Bereitstellen virtueller Netze. Virtuelle und physische IT-Services wie Switches, Router, Firewalls, Lastausgleichsfunktionen, VPNs und Sicherheitsfunktionen lassen sich zudem spielend integrieren. Das Vernetzen der VMs erfolgt effizient, wobei die Sicherheitsrichtlinien f\u00fcr VMs individuell konfigurierbar sind.<\/p>\n

Au\u00dferdem ist die Self-Service-IT pr\u00e4destiniert, auf das automatisierte Virtualisieren zu setzen. VMware NSX sollten dar\u00fcber hinaus Unternehmen nutzen, die Entwicklungs-, Test- und Produktionsumgebungen innerhalb derselben virtualisierten Infrastruktur isoliert darstellen wollen. Die Plattform erleichtert es zudem, mandantenf\u00e4hige Netzwerke einzurichten und eine Private-Cloud-Architektur aufzubauen.<\/p>\n

Unabh\u00e4ngig vom Einsatzfeld gilt, dass VMware NSX den Administrator bef\u00e4higt, schnell und einfach physikalische Netzwerk-, Speicher- und Server-Ressourcen zu virtualisieren. Allerdings bleibt die Verwaltung eine Aufgabe von Experten, weil an der Stelle tiefes Know-how gefragt ist.<\/p>\n

Unverzichtbare virtuelle Wegbereiter<\/strong><\/p>\n

Auch das Implementieren der Netzwerkvirtualisierung sollten ausgewiesene Spezialisten \u00fcbernehmen. Ein IT-Dienstleister wie Axians Networks & Solutions muss nachweisen, dass er \u00fcber das Know-how und die Erfahrung f\u00fcr solche Projekte verf\u00fcgt. Nur wer technologisch auf dem neuesten Stand ist, kann die NSX-Plattform bedarfsgerecht anpassen. In erster Linie bedeutet das, eine dynamische Last- und Ressourcenverteilung zu realisieren. Dadurch wird das firmeneigene Rechenzentrum Cloud-f\u00e4hig, das sich \u00fcber VMware NSX sicher mit Public Clouds wie AWS, Azure oder vCloud Air, lokalen Service Providern und On-Premise Datacentern verbinden l\u00e4sst. Der Anwendernutzen bei der NSX-Technologie \u00e4u\u00dfert sich vor allem darin, dass virtuelle Netze nach Minuten oder noch weniger Zeit einsatzbereit sind. VPN, Routing, Load Balancing und Firewall lassen sich losgel\u00f6st von der Hardware virtualisiert und direkt f\u00fcr den Workload betreiben sowie automatisiert bereitstellen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Autor\/Redakteur: Onur \u00d6zt\u00fcrk, Consultant Data Center Solutions bei Axians Networks & Solutions\/gg Ein Cloud-f\u00e4higes Rechenzentrum ben\u00f6tigt vor allem eine dynamische<\/p>\n","protected":false},"author":3,"featured_media":11358,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,18],"tags":[2021,4135,9942,176,6257,9948,825,2339,9943,5053,9945,9946,1608,2909,5297,35,4487,184,61,9947,269,4476,3160,21,180,9944],"class_list":["post-11362","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-virtualisierung","tag-avm","tag-aws","tag-axian","tag-azure","tag-cloud","tag-distributed-routing","tag-firewall","tag-hypervisor","tag-layer-3","tag-load-balancing","tag-m-lag","tag-mc-lag","tag-netz","tag-nsx","tag-restful-api","tag-router","tag-sddc","tag-server","tag-speicher","tag-stp","tag-switch","tag-vcloud-air","tag-vlan","tag-vmware","tag-vpn","tag-vxlan"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11362","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=11362"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11362\/revisions"}],"predecessor-version":[{"id":11363,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11362\/revisions\/11363"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/11358"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=11362"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=11362"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=11362"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}