Sie sind hier: HomeDatacenter

Datacenter-Architektur: Monitoring, Managing und Absichern von SDN-Lösungen

Das Konzept des Software-Defined-Networkings (SDN) verändert die Vernetzung der Rechnersysteme nachhaltig und rüttelt an den bisher genutzten Netzarchitekturen. SDN verspricht die Entkoppelung der Netzkoppelsysteme (Switches und Router) von der physikalischen Infrastruktur und sorgt dadurch für eine Reduzierung der Betriebskosten. Bei der Fehleranalyse, Fehlerbehebung und dem Monitoring der Verkehrsströme können viele Fehler gemacht werden. In der Konsequenz kann dies dazu führen, dass die durch SDN angestrebten Kosteneinsparungen neutralisiert werden.

Bildquelle: © swisshippo - fotolia.com
Traditionelles Netzwerk mit verteilter Steuerungs- und Datenebene Bildquelle: © Simac ICT

Traditionelles Netzwerk mit verteilter Steuerungs- und Datenebene

Netzwerke basieren heute auf einem komplexen Satz von Protokollen zur Weiterleitung der zur Übertragung zwischen Sender und Empfänger anstehenden Datenströme. Das Routing hat sich von den einfachen Distance-Vector-Protokollen hin zu den komplexeren Link-State-Protokollen entwickelt. Höhere Verfügbarkeit und die Notwendigkeit die Datenströme für unterschiedliche Verkehrsarten über unterschiedliche Routen zu transportieren führt zwangsläufig zu einer Integration eines Policy-Routings. Bedenkt man, dass man eine Multi-Protokoll-BGP-Konfiguration für die Realisierung von Layer-3-VPNs benötigt, entsteht eine ziemlich komplexe Netzwerkkonfiguration. Ein solches Netzkonstrukt lässt sich nur mit gehörigem Aufwand managen und die Fehlersuche wird durch die ineinander verschachtelten Protokolle nicht einfacher. Außerdem leidet oftmals die Redundanz unter den komplexen Protokollabhängigkeiten.

In der Vergangenheit drehte sich für Netzwerker alles um Datenpakete. In Wirklichkeit geht es nicht um Pakete, sondern nur um die Layer 2 und Layer 3. Daher müssen alle OSI-Schichten viel besser in das Netzgeschehen integriert werden, um zu verstehen, was wirklich im Netz vorgeht. Durch die Virtualisierung werden heute hochdynamische IT-Infrastrukturen benötigt und die Netzwerke müssen auf die daraus folgenden Veränderungen schnell reagieren. Das Netzwerk muss sich automatisch an VLANs, die benötigten Dienstgüten (QoS) und die Zugriffslisten (ACL) anpassen, wenn ein Administrator eine virtuelle Maschine von einem Server auf einen anderen Server verschiebt. Derzeit benötigt der Umzug einer virtuellen Maschine im Durchschnitt zwei Tage, weil der Prozess nicht automatisiert abläuft. Auf der Serverseite ist die Grundlage der Automatisierung bereits vorhanden, aber im Netzwerk werden in der Praxis die Anpassungen noch immer von einem Netzwerktechniker vorgenommen. Erst nach den Änderungen im Netzwerk kann die virtuelle Maschine umziehen.

Zentralisierung der Kontrollebene in einem SDN-Umfeld Bildquelle: © Simac ICT

Zentralisierung der Kontrollebene in einem SDN-Umfeld

Im Grunde genommen ist die Netzwerkwelt noch immer von den Applikationen getrennt und beschränkt sich auf das reine Weiterleiten von Paketen. Bei einem Software-Defined-Network geht es darum, die Server- und Netzwerkwelt effizienter zu gestalten und enger miteinander zu verzahnen. Es geht um die Fähigkeit, die Arbeitslasten auf den verschiedenen Koppelkomponenten zu verstehen und aufgrund der vorhandenen Informationen den Weg der Datenströme zu bestimmen. Somit geht es um eine Effizienzverbesserung und die bestmögliche Ausnutzung vorhandener Systeme.

Durch die von SDN angestrebte Entkoppelung der Kontrollebene von der Nachrichtenebene wird eine zentrale Steuerung des Netzwerks ermöglicht. Ein SDN-Controller verwaltet die Verkehrsströme und hat eine zentrale Sicht auf alle im Netzwerk integrierten Switches und konfiguriert die Switches für den optimalen Transport der Verkehrsströme. Durch die Zentralisierung der Steuerebene sorgt
das SDN-Modell für ein vereinfachtes Betriebsmodell für große Netzwerke, welche durch hochdynamische Verkehrslasten, ständig wechselnde Benutzer beziehungsweise Kommunikationsgeräte und einer zunehmenden Anwendungsmobilität gekennzeichnet sind.

Ein positiver Nebeneffekt des SDN-Modells besteht darin, dass in den Netzwerkkomponenten (Switches und Router) bestimmte Funktionen entfernt werden können. Dadurch vereinfacht sich die Soft- und Hardware der Switches und Router und die Kosten der einzelnen Geräte werden drastisch gesenkt. Die „fehlende Intelligenz“ der Netzwerkgeräte wird durch die dynamisch vom SDN-Controller bereitgestellten Funktionen ersetzt.
Im Markt wird auch unter dem Mantel von SDN die Idee von standardisierten Routern und Switches vorangetrieben. Standard-Switches beziehungsweise Router werden von einem Netzbetreiber/Unternehmen zusammen mit einem Open-Source-Netzwerk-Betriebssystem und in Verbindung mit einem Open-Source-Controller eingekauft und auf Basis dieser Plattform ein auf das Unternehmen zugeschnittene SDN-Lösung realisiert. Dieses standardisierte Konzept wurde bei einigen Internet-Giganten bisher in Teilen ihrer eigenen Backbones realisiert. Der allgemeinen Verbreitung dieser Lösungen stehen erhebliche Hindernisse entgegen und es darf bezweifelt werden, ob die Hersteller von Netzkomponenten ein Interesse an einer solchen Lösung für Mainstream-Netzwerke haben. Die Herausforderungen reichen von mangelnder Reife der Software, über die fehlende Interoperabilität bis hin zu Support- und Wartungsproblemen. Darüber hinaus kann die Zentralisierung der Netzintelligenz und die Vereinfachung des Betriebs unter Umständen zu höchst komplexen Netzwerkstrukturen führen.

Mit Hilfe einer Gigamon-Visibility-Fabric wird der Verkehr an die jeweiligen Monitoring-Werkzeuge weitergeleitet. Bildquelle: © Simac ICT

Mit Hilfe einer Gigamon-Visibility-Fabric wird der Verkehr an die jeweiligen Monitoring-Werkzeuge weitergeleitet.


Während sich SDN als Gesamtkonzept noch in der Entwicklungsphase befindet, haben einige für SDN notwendigen Technologien und Applikationen bereits eine gewisse Marktreife erlangt. Zu diesen Technologien gehört beispielsweise Openflow. Openflow wird durch die Open Networking Foundation (ONF) standardisiert und gilt als Paradebeispiel einer gelungenen Realisierung einer zentralen Steuerung für die Verwaltung verteilter Netzwerk-Switches. Openflow ist jedoch nur eine von vielen Ausprägungen der Software-Defined-Networks. Eine Reihe anderer Technologien, werden darüber hinaus vor allem von den Herstellern der SDN-Komponenten vorangetrieben. Im Gegensatz zu Openflow werden diese zusätzlichen Technologien gezielt zur Lösung spezifischer Probleme entwickelt. Ein solcher Bereich ist beispielsweise die Netzwerkvirtualisierung. Bei diesem Verfahren wird gezielt ein dynamisches Netzwerk-Overlay auf Basis der vorhandenen physikalischen Netzwerkinfrastruktur realisiert. Die Overlays bilden logische Tunnel zwischen verschiedenen Endpunkten, die zu einem logischen Netzwerkdienst gehören oder eine spezifische Form der Verkehrskapselung bieten. Eine der Schlüsseltechnologien im Bereich der Netzwerkvirtualisierung wird als Virtual-Extensible-LAN (VXLAN) bezeichnet. Mit Hilfe des VXLAN-Encapsulation-Protokolls wird ein Overlay-Netzwerk auf einer existierenden Layer-3-Infrastruktur realisiert. Das primäre Ziel von VXLANs besteht in der VLAN-Erweiterung. Hierzu wurde den VLAN-Mechanismen ein 24 Bit langes Segment hinzugefügt. Dadurch beträgt die Anzahl der verfügbaren VLAN/VXLAN-IDs nun 16 Millionen. Durch das Einfügen der VXLAN-Segment-ID in jedes Paket können die individuellen logischen Netze unterschieden werden und es können Millionen an isolierten Layer-2-VXLAN-Netzwerken auf einer herkömmlichen Layer-3-Infrastruktur koexistieren.

Durch VXLAN können Netzwerk-Administratoren virtuelle Maschinen über große Distanzen migrieren. Mit dieser Technologie teilen Server oder Controller den Netzwerk-Switchen mit, wohin Pakete gesendet werden sollen.