isoga - Fotolia

So finden Unternehmen das passende Container-Netzwerkmodell

Die Spezifikationen der Container-Anbieter unterscheiden sich oft vom Firmennetzwerk. Diese Konfigurationen passen zu jedem Netzwerkmodell.

Container-Systeme wie Docker sollen den Aufbau von Netzwerken beziehungsweise die Vernetzung vereinfachen. Das gilt aber meistens nur dann, wenn sich die Firmen nach dem Diktat der Container-Plattform richten. Es ist fast unmöglich, das Firmennetzwerk zu verändern, um sich den Containern anzupassen. Das heißt: Der andere Weg ist besser. Container müssen sich nach dem vorgegebenen Netzwerk richten.

Ein IT-Experte kann jeden in einem Container gekapselten Workload erfolgreich implementieren, wenn er das bestehende Netzwerkmodell kennt und versteht. Ohne dieses Wissen ist das Risiko einer Unterbrechung buchstäblich zu hoch, um es zu tolerieren.

Sie sollten daher ermitteln, welches Container-Netzwerkmodell sich am besten für ihr System eignet, um dessen produktiven Einsatz mit so wenig Aufwand wie möglich zu optimieren. Dazu gibt es drei primäre Modelle mit jeweils verschiedenen Variationen.

Einzelnes Subnetz, einfaches Setup

Das einfachste Container-Netzwerkmodell verwendet ein einzelnes Subnetz. Diese Netze mit einem einzigen Subnetz kommen typischerweise zum Einsatz in Unternehmen mit einem Standort und einer Einheit für Benutzer und das Internet für eine primäre WAN-Verbindung. Die meisten kleinen Unternehmen – und viele größere – verlassen sich auf dieses Modell.

Das Internet-Gateway stellt eine private IP-Adresse aus einem definierten Subnetz zur Verfügung; jedem Gerät wird eine IP-Adresse aus diesem Pool zugewiesen. IT-Organisationen können feste Adressen für Server auswählen und Client-Geräte über ein dynamisches Subnetzwerk verwalten. Um über ein Subnetz zu kommunizieren, sendet ein Gerät eine Anfrage für ein anderes Objekt, um sich selbst zu identifizieren, und dieses Objekt antwortet mit seiner IP-Adresse. Dieses Modell auf Basis eines einfachen Subnetzes ist einfach zu bedienen und eignet sich vor allem für die Bereitstellung von weniger komplexen Anwendungen.

Netzwerkmodell mit einem einzigen Subnetz.
Abbildung 1: Netzwerkmodell mit einem einzigen Subnetz.

Um Container mit diesem Netzwerkmodell zu verteilen, ordnen Sie die Adressen für die Container aus demselben DHCP-Server (Dynamic Host Configuration Protocol) wie für die anderen Benutzer und Server zu, um Duplikate zu vermeiden. Oder sie verwenden einen anderen Teil des Subnetzes für die Zuweisung. Die Maske des Subnetzes, sprich der Parameter, der definiert, wie viele Bits einer IP-Adresse die Subnetzadresse ausmachen, sollte alle Container-, Benutzer- und Server-Adressräume enthalten. Einige wenige Parameter in der Container-Plattform richten dann das Netzwerk korrekt ein.

Dieser Single-Subnetz-Ansatz funktioniert aber unter bestimmten Bedingungen nicht. Er ist ineffizient, wenn Benutzer an mehreren Standorten arbeiten. Dies gilt vor allem dann, wenn diese Standorte keine leistungsfähigen und schnellen Netzwerkverbindungen aufweisen. Unternehmen können mit diesem Netzwerkmodell zudem den Zugriff auf Anwendungen nicht mit Firewalls und dem Überprüfen von IP-Adressen kontrollieren und steuern. Und bereits eine große Anzahl der Benutzer in einem Subnetz kann zu Ineffizienzen führen.

Subnetze innerhalb eines IP-Adressbereiches

Subnetze innerhalb eines IP-Adressbereiches sind das am weitesten verbreitete Modell für die Vernetzung von Anwendungen. Es beruht auf einem definierten Firmennetzwerk mit einem öffentlichen oder privaten IP-Adressraum. Große Unternehmen bevorzugen die private IP-Adressklasse Klasse A, 10.x.x.x, die über 16 Millionen Zuordnungen bietet. Die Adressklasse A eignet sich für Anwender, die wenige Netzwerke und viele Rechner haben.

Der definierte Adressbereich der Firma ist in Subnetze für Benutzer an verschiedenen Standorten sowie für Server und Applikationen unterteilt. Innerhalb jedes Subnetzes erfolgen die Zuweisung der Adresse und die Verbindung mit der Partner-IP-Adresse wie beim Netzwerkmodell mit einem einzigen Subnetz.

Wenn ein Benutzer eine Adresse aus einem anderen Subnetz aufruft, erhält er diese von einem Domain Name System (DNS); und jedes Subnetz ist mit einem Router ausgestattet, der die Nachricht an das richtige Ziel-Subnetz weitergibt, wo sie den lokalen Prozess wiederholt, um den Benutzer zu finden.

Subnetze mit einem IP-Adressraum.
Abbildung 2: Subnetze mit einem IP-Adressraum.

Firmen, die in diesem Modell auf Container setzen, sollten jedes der vielen Subnetze als Cluster für Container behandeln, damit sich die Container innerhalb der und zwischen den Standorten bewegen lassen. Docker-Benutzer können sich entweder auf die native Schwarm-Modus-Fähigkeit verlassen oder ein Orchestrierungs-Tool wie Kubernetes nutzen.

Um dieses Container-Netzwerkmodell vollständig zu implementieren, erstellen Sie eine IP-Adressliste im DNS-Server für alle Ressourcen, die außerhalb des Subnetzes verwendet werden, um sie bereitzustellen. Diese Adresse leitet den Verkehr in das richtige Subnetz, wo die IP-Adresse dem richtigen Container zugeordnet wird. Diese Aktion wird wie im oben beschriebenen Netzwerk mit Single-Subnetz vollzogen.

Container folgen anderen Netzwerkregeln

Der Einsatz von Docker-Containern folgt nicht den gleichen Regeln wie das Wide Area Network (WAN) oder Virtual Private Networks (VPN). Daher sollten Unternehmen zunächst in Erfahrung bringen, wie die Kommunikation und Verbindung mit Containern funktioniert, bevor sie Docker produktiv einsetzen.

Das Modell der Subnetze in einem IP-Adressbereich hat sich seit Jahrzehnten bewährt und bildet die Basis für Firmennetzwerke und einen Großteil des Internets. Probleme entstanden erst durch das Wachstum der Virtualisierung. Da echte Server und echte Benutzer sich echten Orten zuordnen lassen – statisch und vorhersehbar –, ist es einfach, eine Netzwerkstruktur zu planen und zu optimieren. Eine virtuelle Maschine (VM) oder ein Container können in der Theorie überall sein. Das Subnetz für einen Container oder eine VM könnte ungeplant zu einem entfernten Rechenzentrum ausgedehnt werden, wenn die Applikation eine weitere Kopie benötigt oder eine fehlerhafte Anwendung ersetzen muss.

Virtuelle Subnetze als beste Option

Das Modell mit virtuellen Subnetzen unterstützt die Agilität der Virtualisierung und der Cloud. Dazu gehören der dynamische Austausch von fehlerhaften Komponenten, die Umleitung von Traffic bei Problemen und die horizontale Skalierung von Komponenten unter Last. Das Modell funktioniert am besten, wenn zwischen den Standorten Verbindungen mit hoher Kapazität bestehen, obwohl es möglich ist, mit Hilfe von Netzwerkrichtlinien Qualitätsprobleme bei der Interconnection zu umgehen.

 Virtuelle Subnetze.
Abbildung 3: Virtuelle Subnetze.

Die in diesem Container-Netzwerkmodell genutzten Adressen der Nutzer und Anwendungen müssen mit Änderungen am Standort synchronisiert werden. Dazu sind in der Regel spezielle Werkzeuge zur Verwaltung von Adressen notwendig. Ein Produkt rund um Software-defined Networking (SDN), wie VMware NSX, Nuage Networks von Nokia oder Juniper Contrail, verwaltet IP- sowie Subnetzadressen und übernimmt Änderungen an den Standorten der Applikations-Komponenten. SDN-Plattformen verwalten auch die Richtlinien, die den Zugriff auf Anwendungen steuern, und bestimmen, auf welche Art und Weise die Verbindung am Standort beeinflusst, wo eine Anwendung bereitgestellt oder neu implementiert wird. Die Orchestrierungs-Tools von DevOps arbeiten auch mit SDN-Produkten zusammen, um komplexe virtuelle Netzwerkimplementierungen zu erleichtern, die Container verbinden.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Wie Container den Netzwerkbetrieb revolutionieren

Probleme bei der Container-Vernetzung entschärfen

Software-Container können Probleme im Netzwerk verursachen

14 Fragen an SDN-Anbietern vor dem Kauf

Artikel wurde zuletzt im August 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Software Defined Networking (SDN)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close