Victoria - Fotolia

Mit VMware NSX das Potenzial eines Software-defined Data Centers ausschöpfen

VMware NSX ist eine Lösung für die Netzwerk-Virtualisierung. Auf diese Weise lässt sich der Betrieb eines Data-Center-Netzwerks deutlich optimieren.

Seit einer Reihe von Jahren ist das Software-defined Data Center in der IT-Welt ein bekannter Begriff. Viele Kunden haben bereits die Vorteile, die sich durch die Virtualisierung von Servern und Storage ergeben, kennen und schätzen gelernt. Mit dieser Entwicklung hat das Data-Center-Netzwerk aber nicht Schritt gehalten und bleibt unflexibel, komplex und proprietär.

Heutzutage lassen sich Server und Storage schnell bereitstellen, einfach verwalten und sind flexibel, wenn sich die Ressourcenanforderungen bei Bedarf ändern. Diese Vorteile verpuffen jedoch, wenn man sich die konkrete Situation im Rechenzentrum vor Augen führt. So ist die virtuelle Maschine (VM) nach wie vor an das physische Netzwerk und Sicherheitsgerät gebunden, wodurch Sie auf anbieterspezifische Hardware und Topologien festgelegt sind.

Netzwerkservices benötigen immer noch eine manuelle Bereitstellung, was lange dauern kann. Das wirkt sich unmittelbar auf die Deployment-Zeit von Anwendungen aus, denn diese benötigen Compute-, Storage- und Netzwerkressourcen. Sicherstellen zu müssen, dass für eine Anwendung am Netzwerk vorgenommene Änderungen nicht andere Anwendungen beeinträchtigen, verstärkt die Komplexität und das Risiko weiter.

Als Fazit bleibt festzuhalten: Das Netzwerk ist in der Regel die letzte Hürde, die einer kompletten Nutzung der Virtualisierungs-Vorteile im Weg steht.

Netzwerk-Virtualisierung mit VMware NSX

Die gesamte Intelligenz in einem Software-defined Data Center (SDDC) befindet sich in der Softwareschicht, was Sie von Hardwaregeräten weniger abhängig macht. Dadurch erhalten Sie eine deutlich größere Flexibilität und können mit der Automatisierung Ihres Rechenzentrums beginnen, indem Sie Softwarerichtlinien erstellen, um Ressourcen oder Workloads bereitzustellen.

VMware NSX, die Plattform für die Netzwerk-Virtualisierung, ermöglicht es Data-Center-Operatoren, ihr physisches Netzwerk wie einen Pool von Transportkapazität zu behandeln, die verbraucht und bei Bedarf für einen anderen Zweck genutzt werden kann. So wie eine VM ein Softwarecontainer ist, der einer Anwendung eine logische CPU, logischen Arbeitsspeicher und Storage zur Verfügung stellt, ist auch ein virtuelles Netzwerk ein Softwarecontainer, der verbundenen Workloads logische Netzwerkkomponenten zur Verfügung stellt – logische Switches, Router, Firewalls, Load Balancer, virtuelle private Netzwerke (VPN) und anderes mehr.

Virtuelle Netzwerke werden programmgesteuert erstellt, bereitgestellt und verwaltet. Dabei dient das zugrundeliegende physische Netzwerk als einfache Backplane für die Weiterleitung von Paketen. Die Netzwerkservices werden unabhängig von der zugrundeliegenden Netzwerkhardware oder -topologie an jede VM verteilt. Das bedeutet, Workloads können überall im Rechenzentrum dynamisch hinzugefügt oder verschoben werden, wobei sich alle mit der VM verbundenen Netzwerk- und Sicherheitsservices mitbewegen.

Ein älterer sicherheitstechnischer Ansatz sieht vor, Richtlinien auf statische und feste Gruppen anzuwenden, die durch die Netzwerktopologie definiert und als Sicherheitszonen, IP-Subnetze oder virtuelle lokale Netzwerke (Virtual Local Area Networks, VLANs) dargestellt werden. Bei diesem Ansatz besteht das Problem darin, dass man von nur wenigen – oder überhaupt keinen – Veränderungen im Data Center ausgeht, entweder durch die Bereitstellung von neuen Anwendungen, Verschieben von Workloads oder Ändern von IP-Adressen. Da sich aber Workloads im Rechenzentrum durchaus regelmäßig ändern, lässt sich dieser althergebrachte Ansatz nur schwer neuen Gegebenheiten anpassen. Er führt aufgrund des erhöhten Zeitaufwands für die notwenigen manuellen Eingriffe häufig zu Sicherheitslücken.

Die Netzwerk-Virtualisierung per VMware NSX erlaubt es Ihnen, die Netzwerkkontrollschicht von der zugrunde liegenden physischen Hardware zu entkoppeln. Das heißt, kein Workload und keine VM ist mehr fest an den physischen Switch-Port gebunden, über den die Kommunikation erfolgt. Herkömmliche Netzwerke erfordern, dass die VLAN-Konfiguration und alle anderen Netzwerkservices an einen Switch-Port gebunden sind. Bei einer VM-Migration zwischen Hosts müssen diese Netzwerkinformationen für jeden Switch, über den die VM kommunizieren kann, von Hand konfiguriert werden. NSX bindet die Netzwerkkonfiguration an die aktuelle VM, und wenn diese VM zu anderen Hosts migriert wird, folgen die Netzwerkeinstellungen, ohne dass eine Konfiguration der physischen Switch-Ports notwendig wäre.

NSX kann den Workload eines Kunden nachvollziehen, weil die Netzwerkservices sich im Kernel des Hypervisors befinden. Dies bedeutet, dass NSX Einblick sowohl in das physische Computing und Netzwerk als auch in die virtuelle Umgebung hat. Dieses tiefergehende Verständnis von Workload-Attributen erlaubt Endbenutzern eine größere granulare Steuerung mit einer dynamischen und intelligenteren Möglichkeit, Netzwerk- und Sicherheitsrichtlinien anzuwenden.

Anstatt einer Gruppierung auf Basis des Standorts einer Komponente im Netzwerk – zum Beispiel, mit welchem Switch-Port sie verbunden ist – können wir nun für die Gruppierung heranziehen, wie die Komponente genutzt wird oder wie die spezifischen Merkmale dieses Workloads aussehen, etwa die Version des Betriebssystems, der Host-Name, die zur Verfügung gestellten Services oder wer darauf zugreifen muss.

Darüber hinaus erstellt VMware NSX Richtlinien, um einen Ablauf automatisch zu korrigieren oder festzulegen, falls bestimmte Sicherheitsattribute erkannt werden. Wenn beispielsweise ein Virus oder Malware in einer virtuellen Maschine entdeckt wird, kann NSX diese VM automatisch unter Quarantäne stellen, indem rund um die virtuelle Maschine eine Firewall errichtet wird.

Ohne NSX wären ein manueller Scan und manuell durchgeführte Änderungen der Firewall-Regeln notwendig, um das Sicherheitsrisiko zu isolieren, was Stunden oder Tage dauern könnte. Ein weiteres Beispiel betrifft den Umgang mit nicht unterstützten Betriebssystemen. Traditionell könnte es Wochen oder Monate dauern, um auf jeden einzelnen Server händisch zuzugreifen, das installierte Betriebssystem zu identifizieren und eine Richtlinie zu erstellen, um den Zugriff für jeden Server einzuschränken. Mit NSX lässt sich eine Richtlinie anlegen, um anhand des in einer VM laufenden Betriebssystems eine Gruppe zu identifizieren und sofort danach diese Gruppe zu sichern – alles binnen weniger Minuten.

Die Hauptmerkmale von VMware NSX.
Abbildung 1: Die Hauptmerkmale von VMware NSX.

NSX-Netzwerk-Virtualisierung: Einsatzszenarien

VMware hat das Lizenzierungsmodell von NSX geändert. Ursprünglich war NSX lediglich als Single Edition erhältlich. Es war ein Alles-oder-nichts-Ansatz für Software-defined Networking (SDN), den Kunden als zu einschränkend empfanden. VMware hat das Feedback von Kunden und Partnern zum Anlass genommen, sein Lizenzierungsmodell zu überarbeiten, so dass NSX in vier Editionen verfügbar ist – je eine für die drei wichtigsten Einsatzszenarien. Die Standard Edition automatisiert IT-Workflows, was das Data-Center-Netzwerk flexibel macht sowie die Kosten und Komplexität des Netzwerkbetriebs reduziert. Die Standard Edition enthält Funktionen für virtuelle Netzwerke und Cloud Computing mit mehreren Mandanten und stellt automatisch Netzwerkservices über vRealize Automation bereit.

Die Advanced Edition verfügt zusätzlich zu den Funktionen der Standard Edition über ein grundlegend sichereres Data Center mit der Möglichkeit der Mikrosegmentierung. Die Mikrosegmentierung garantiert die Sicherheit der Data-Center- und der virtuellen Desktop-Infrastruktur auf höchstem Niveau. Außerdem automatisiert die Advanced Edition auch das IT-Provisioning der Security und ermöglicht die Integration von Drittanbietern wie Trend Micro, Palo Alto Networks, Check Point und anderen.

Die Enterprise Edition bietet die gleichen Merkmale wie die Advanced Edition sowie domänenübergreifende Netzwerk- und Sicherheitsfunktionen. Dadurch kann das Data-Center-Netzwerk mehrere Standorte umspannen und eine Verbindung zu physischen Workloads mit hohem Durchsatz aufbauen. Die Enterprise Edition enthält NSX-Bereitstellungen für mehrere Standorte, Disaster Recovery und Hybrid-Cloud-Netzwerke.

Als vierte Variante kommt die Remote Edition dazu, die für Außenstellen und Zweigniederlassungen gedacht ist. Der Remote Edition fehlen im Vergleich zu den anderen Versionen einige Funktionen wie verteiltes Routing, Software-L2-Bridging zur physischen Umgebung, vCenter-übergreifendes NSX, Remote-Gateway und die Integration von Hardware-VTEPs. Verteiltes Switching ist außerdem nur VLAN-gestützt möglich.

Wenn Sie nur an den Vorteilen von virtuellen Netzwerken interessiert sind, zum Beispiel das Switching und Routing im Kernel zusammenführen, die Zeit für die Netzwerkbereitstellung verkürzen und die Netzwerkkonfiguration automatisieren wollen, sollte die Standard Edition ausreichen. Tatsächlich wird der Großteil der Kunden aber wohl die Advanced Edition bevorzugen, um in den Genuss von Sicherheitsfunktionen wie einer verteilten Firewall zu kommen, wodurch sie in der Lage sind, die Mikrosegmentierung zu implementieren. Die Integration von Drittanbietern ist ein weiterer Pluspunkt, der die Kunden zur Advanced Edition greifen lässt.

Die Mikrosegmentierung ist momentan die treibende Kraft hinter der NSX-Einführung, weil sich die meisten traditionellen Rechenzentren zur Verteidigung immer noch auf eine Perimeter-Firewall verlassen. Das mag zwar die Mehrzahl der Angriffe unterbinden, doch sobald eine Perimeter-Firewall einmal durchbrochen ist, gibt es nur eine begrenzte laterale Kontrolle, um zu verhindern, dass bösartiger Traffic ein Data Center durchwandert. Mittlerweile fließt mehr als die Hälfte aller Daten im Rechenzentrum als Ost-West-Traffic, und NSX bietet für diese Art des Datenverkehrs Einblick und Kontrolle.

Im Laufe des letzten Jahres hat VMware sich stark auf NSX konzentriert, und die Änderungen der Softwarelizenzierung haben geholfen, Kunden anzuziehen, indem die Kaufschwelle gesenkt wurde. Da NSX ein Overlay-Produkt ist, müssen die Nutzer keine wesentlichen Änderungen an der bestehenden Netzwerk-Infrastruktur vornehmen. Kunden sind somit eher geneigt, Software-defined Networking rasch einzuführen.

Fazit

Kunden führen VMware NSX deshalb ein, weil sie die Flexibilität, Effizienz und Sicherheit des SDDC wollen. Sie wollen die Vorteile der Compute- und Storage-Virtualisierung auf das gesamte Data Center übertragen. Die Virtualisierung des Netzwerks hat dazu beigetragen, dass das SDDC nicht ein Konzept geblieben ist, sondern in der Realität umgesetzt werden kann.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Crashkurs: So funktioniert VMware NSX

Die Vorteile der Netzwerk-Virtualisierung mit VMware NSX

Security-Features in VMware NSX erhöhen Sicherheit bei Netzwerk-Virtualisierung

Kostenloses E-Handbook: Grundlagen der Netzwerk-Virtualisierung

 

Artikel wurde zuletzt im August 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Software Defined Networking (SDN)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close