Mandantenfähige Netzwerke sicher und schnell betreiben

Software-defined Networking (SDN) und NVRE-Gateways sind Technologien, die Administratoren verstehen müssen. Wir erläutern wissenswerte Hintergründe.

Software-defined Networking (SDN) wird eine der wichtigsten Technologien für IT-Experten in den nächsten fünf Jahren...

sein. Administratoren müssen daher einige Grundlagen über SDN, unter anderem zur Virtualisierung von Netzwerken mit Hyper-V, erlernen. Dabei ergeben sich besondere Herausforderungen für die Integration in physische Netzwerke oder VLANs.

Software-defined Networking stellt Administratoren vor allem vor zwei Herausforderungen. Die erste ist Mandantenfähigkeit. Viele Dienstleister setzen auf Multi-Tenant-Netzwerke, aber auch Enterprise-Netzwerke werden mandantenfähig betrieben. Das liegt daran, dass immer mehr Unternehmen eine Private Cloud betreiben, die Self-Service-Bereitstellung von virtuellen Maschinen (VMs) erlaubt. Administratoren benötigen eine Funktion, die Mandanten die Möglichkeit bietet, gegenseitig auf Netzwerke zuzugreifen, die aber gleichzeitig den Zugriff auf die Kernnetzwerk-Infrastruktur verhindert. Oft reicht es nicht aus, wenn Mandanten nur auf ihr eigenes Netzwerk zugreifen können, sondern sie müsssen Daten mit Partnerunternehmen austauschen. Hier müssen umfassende, funktionsfähige, aber auch effizient verwaltbare Lösungen her.

Das andere Problem ist, dass sich in vielen Unternehmen das Data Center nicht mehr auf die eigenen vier Wände beschränkt, sondern Server an verschiedenen Orten befinden. Traditionelle Netzwerke werden ausgeweitet, mit Hybrid Clouds verbunden, oder werden oft auch auf Basis geographisch getrennter Failover-Rechenzentren miteinander verbunden.

Software-definierte Networking ist für beide Probleme eine Lösung, indem es eine Reihe von logischen Netzwerken auf einem physikalischen Netzwerk erstellt. Grundsätzlich ist dieser Ansatz nicht neu: Virtual Private Networks (VPNs), die seit über einem Jahrzehnt existieren, nutzen eine ähnliche Technik zur sicheren Übertragung von Daten über das Internet.

Aus der Sicht der Grundfunktionen arbeitet SDN ähnlich wie ein VPN. Beide Technologien verwenden Datenkapselung als eine Möglichkeit, den Datenverkehr über ein physisches Netzwerk zu tunneln. Diese Datenkapselung ermöglicht die Abschottung von verschiedenen Paketen und stellt sicher, dass die Daten privat bleiben und sich nicht mit anderen virtuellen Netzen im physischen Netzwerk vermischen. Im Fall von SDN bedeutet dies, dass die Client-Adressräume getrennt und privat bleiben (was für Mandantenfähigkeit wichtig ist). Außerdem stellt die Technologie sicher, dass sich ein logisches Teilnetz über mehrere physische Netzwerke spannen kann.

Separate Adressräume machen diese Architektur möglich. Auf der Host-Ebene werden IP-Adressen als Anbieter-Adressen behandelt. Anbieter-Adressen sind also die IP-Adressen, die einzelnen Hyper-V-Hosts zugeordnet sind. Die andere Art der Adressierung benutzt Consumer-Adressen, die auf Basis von VMs zugewiesen werden. Da jeder Verbraucher oder Mandant sein eigenes virtuelles Netzwerk hat, welches auf der Softwareebene definiert wird, ist es problemlos möglich für mehrere Mandanten die gleichen Consumer-Adressen zu verwenden. In der Tat können Mandanten sogar überlappende MAC-Adressen nutzen, da die Software-defined Networks vollständig voneinander getrennt gehalten werden.

Natürlich ist das Erstellen von virtuellen Netzwerken, die vollständig voneinander isoliert sind, ein guter Weg. Aber in der realen Welt müssen die Systeme, zum Beispiel virtuelle Netzwerke, oft auch Zugang zu externen Netzwerken nutzen können. Ebenso müssen externe Kunden die Dienste von den Servern im virtuellen Netzwerk nutzen können. Die Microsoft-Lösung in Hyper-V ist, eine Netzwerk-Virtualisierung mit Generic-Routing-Encapsulation- (NVGRE-) Gateways zu nutzen. Das NVGRE-Gateway erfüllt verschiedene wichtige Funktionen.

Erstens stellt das Gateway Routing-Funktionen bereit. Routing ist für die Kommunikation mit dem physikalischen Netzwerk aus virtuellen Netzwerken notwendig. Beachten Sie aber, dass Mandanten wahrscheinlich mehrere VMs auf Hyper-V-Hosts betreiben wollen. Das NVGRE-Gateway  ist nicht für die Kommunikation zwischen VMs auf unterschiedlichen Hosts notwendig, es wird nur für die Erleichterung der Kommunikation zwischen physischen Hosts und virtuellen Maschinen verwendet.

Dies wirft die Frage auf, wie VMs auf separaten Hyper-V-Hosts in der Lage sind miteinander zu kommunizieren, wenn SDN verwendet wird. Wenn eine VM mit einer VM auf einem anderen Host kommunizieren will, muss Hyper-V wissen, wohin die Datenkapsel gesendet werden soll. Die Lösung ist, System Center Virtual Machine Manager zu verwenden, um die verschiedenen Hyper-V-Hosts zu verwalten. Dies ermöglicht Virtual Machine Manager, eine Hyper-V Netzwerk-Lookup-Tabelle zu erstellen und zu pflegen. Diese bietet einen Überblick, welche VM auf welchem Host betrieben wird. Da in einem solchen Szenario jeder einzelne Host eine Verbindung mit Virtual Machine Manager hat, ist es für jeden Host möglich, alle VMs zu suchen und zentral zu verwalten.

Ein NVGRE-Gateway fungiert auch als Network-Address-Translation-Gerät, veröffentlicht Anwendungsserver in das Internet, und zwar auch dann, wenn sich die Serverdienste tatsächlich auf virtuellen Servern innerhalb eines SDNs befinden. Dies ermöglicht VMs auf Software-defined Networks als öffentlich zugänglicher Web–Server zu fungieren, oder andere mit dem Internet verbundene Serverdienste zur Verfügung zu stellen.

Wie Sie sehen, ist Software-defined Networking ein wichtiges Konzept, speziell um Legacy-Netzwerken den Weg für Private- und Hybrid-Clouds zu ermöglichen. Denken Sie daran, dass, obwohl Microsoft eigene SDN-Tools anbietet, das Konzept von SDN und NVGRE-Gateways nicht proprietäre Microsoft–Technologien sind, sondern Industrie-Standards.

Artikel wurde zuletzt im Februar 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Server-Hardware und -Virtualisierung

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close