Ratgeber - Virtualisierung im Netz (Teil 2)

Netz-Know-how fürs Data Center

31.01.2011
Von Markus Nispel

Virtuelle Switches einbeziehen

Man kann die virtuellen Switches nicht ausblenden, sondern sollte sein Betriebskonzept darauf abstimmen und sie integrieren, ohne zu viele Funktionen hineinzuverlagern: Das würde die Betriebskosten und die Komplexität erhöhen und eventuell zu nicht erwünschten Effekten führen.

Virtuelle Maschinen lassen sich durch Sicherheitselemente auf Switch-Ebene kontrollieren.
Virtuelle Maschinen lassen sich durch Sicherheitselemente auf Switch-Ebene kontrollieren.
Foto: Enterasys

Ein großer Netzhersteller verfolgt den Ansatz, den virtuellen Switch durch einen eigenen zu ersetzen, um das "Command Line Interface" (CLI) identisch zu gestalten und so die Konfiguration zu vereinfachen. Damit bindet sich der Anwender allerdings komplett an die Anbieterkombination aus Netz- und Virtualisierungstechnik. Dies ist erfahrungsgemäß nicht erstrebenswert. Ein immer wieder auftretendes Problem sind etwa die "Version Lock-ins": Zieht ein Partner nicht rechtzeitig mit, kann eine neue Version aus Kompatibilitätsgründen eventuell nicht eingespielt und genutzt werden.

Management-Systeme als Alternative

Einen grundlegend anderen Ansatz verfolgt dagegen Enterasys. Dabei ist die Integration über Management-Systeme eine Variante. Eine andere sieht die vollständige Unabhängigkeit von der Virtualisierungstechnik als primäres Ziel.

Wie dies konkret aussehen könnte, lässt sich an einigen Beispielen verdeutlichen. Eine Vorgehensweise ist die Reduktion der Integration auf ein Minimum. Jede neue VM wird dabei durch Sicherheitsmechanismen auf Virtual-Switch-Ebene wie Protected Ports oder Private VLANs vom Server-Administrator separiert. Für die gesamte Zuordnung von VLAN, Access-Listen, Quality of Service etc. (eine so genannte Policy) sorgt die Netzinfrastruktur. Das hat den Vorteil, dass wirklich nur an einer Stelle eine komplexere Konfiguration erfolgen muss.

Die Netzinfrastruktur und ihr Management sollten diese Konfiguration dynamisch an die VM-Identität (MAC-Adresse, IP, Host-Name oder ein digitales Zertifikat auf der VM) binden, damit beim "Umzug" einer VM aus Redundanz- oder Lastverteilungsgründen der Netzadministrator nicht eingreifen muss. Die Netzkomponenten müssen speziell darauf ausgelegt sein und beispielsweise die unterschiedlichen Policies pro VM und Port in entsprechender Skalierung unterstützen. Die Policies werden dann dynamisch nach einer VM-Identifizierung beziehungsweise Authentifizierung an diesem Port der entsprechenden VM zugeordnet. Damit kann dann auch das Tracking der VM erfolgen. Dafür werden Basistechniken aus dem NAC-Bereich (NAC= Network Access Control) genutzt wie etwa die Erkennung neuer Endpunkte, deren Identifzierung und Authentifizierung sowie die nachfolgende Autorisierung.