COMPAREX AG
VMware NSX Netzwerkvirtualisierung Cloud

VMware NSX für Ihre Cloud 2.0

Inzwischen haben wir schon einiges über Cloud Computing gehört und gelesen. Wir kennen die verschiedenen Variationen der Public, Private und Hybrid Cloud. Doch wenn wir uns nun mit Cloud Computing beschäftigen, sollte das eigene Data Center auch dafür fit sein! Was bringt uns ein schicker Sportwagen bei 30cm Schnee beim Winterurlaub in den Alpen?

Ein Beitrag von Thomas Rupp, Principal Consultant

Die Cloud-Installationen, die ich in den letzten Jahren als Architekt und Projektleiter begleitet habe, erreichten ihren spannenden Höhepunkt meist an einer zentralen Stelle: Den klassischen Netzwerkkomponenten! Beispielsweise den Cisco Router, Palo Alto Firewall, Sophos UTM, etc.

Egal ob Citrix, VMware oder Microsoft Cloud. Oft heißt es: „In dem Netz haben wir noch kein DHCP eingerichtet“ oder: „Moment, da ist doch eine Firewall zwischen“ und „Keine Ahnung wer Zugriff auf diesen Router hat“. Gerade im Enterprise Umfeld grenzt die „vollständige Erfassung aller beteiligten Systeme im Vorfeld des Projektes“ an ein persönliches Utopia. Oftmals sind Projektlaufzeiten auch so lang, dass andere Projekte wie z.B. die Implementation einer neuen Firewall oder der Austausch eines Hardware Routers vorrangig durchgeführt werden.

Dann ist auf einmal ein Netzwerkpfad, der bis gestern noch offen war, mit einer Firewall geschlossen oder existiert nicht mehr, da Routen mit dem Hardwaretausch geändert oder gelöscht wurden. Gerade bei klassischen Netzwerkthemen kann dies durchaus problematisch werden. Die „Netzwerker“ sind in fast allen Unternehmen eine spezielle Einheit. Teilweise werden sie sogar organisatorisch anders gesteuert. Eine schnelle, pragmatische Lösung bietet sich deshalb nicht an und ist auch nicht gewollt, da die Systeme die Grundlage der kompletten IT-Infrastruktur sind. Schnellschüsse wären hier fatal!

Aber wie soll man ein modernes Cloud Data Center mit dynamischer Last- und Ressourcenverteilung realisieren? Natürlich mit Backupsystemen an verschiedenen Standorten und gegebenenfalls verschiedenen Computing Systemen auf anderen konvergenten Systemen. Der Schlüssel zu einer erfolgreichen Transformation in Richtung dynamisches DataCenter heißt:

VMware NSX

Mit VMware NSX Technologien wird die Netzwerktopologie innerhalb des Data Centers virtualisiert. Es ist somit der nächste logische Schritt nach der Hardware-Virtualisierung im Bereich Server und Storage. Software defined Networking (SDN) heißt die Entwicklung hierzu.

Ein kurzer Exkurs in die Technologie:

Das klassische Data Center sieht autonome Netzwerksysteme vor, welche unabhängig von der Bereitstellung der Computing- und Storage-Ressourcen installiert und gemanaged werden müssen. Switche sorgen für die Netzwerkverbindung, Router verbinden logische Netzwerksegmente miteinander und Firewalls schützen den Datenstrom zwischen Systemen (extern und intern).

Wenn neue Systeme installiert werden, z.B. eine neue SAP-Lösung oder eine neue Terminal-Serverfarm, müssen Routen auf den vorhandenen Systemen eingetragen und konfiguriert werden. Anschließend werden in den Firewalls die entsprechenden Ports freigegeben. Meist existieren auch nur Firewalls nach Extern, da der Installations- und Konfigurationsaufwand innerhalb der Infrastruktursysteme zu hoch ist. Dies wird in Abbildung 1, unter dem Punkt Traditional Data Center abgebildet. Dynamisch ist diese Art des Data Center-Aufbaus wirklich nicht. Es kann aber dynamisiert werden. Mit VMware NSX wird die Netzinfrastruktur weitgehend virtualisiert. Den Vergleich finden Sie wieder in Abbildung 1, unter NSX Data Center.

Aus Hardware Router werden Software Router, aus Hardware Firewalls werden Software Firewalls. Grundsätzlich ist das alles nicht neu, allerdings sind diese Softwarekomponenten nun vollständig integriert. Wenn Sie einen neuen Workload verteilen, können Sie diesen direkt mit Routing-Informationen sowie Firewall-Regeln bereitstellen. Somit sparen Sie Hardware und Zeit.

Die Switch-Infrastruktur wird nur noch für die physikalische Verbindung der Systeme benötigt. Das Routing findet innerhalb der virtualisierten Infrastruktur statt, Hardware Router werden innerhalb des Data Center nicht mehr benötigt. Auch können dedizierte Firewall-Systeme an die jeweiligen Workloads gebunden werden. Damit sind alle Systeme, auch innerhalb des Rechenzentrums, geschützt.

Software Defined Datacenter mit VMware NSX
Abb. 1: Software Defined Networking mit VMware NSX (Quelle: VMware)

Micro-Segmentierung mit VMware

Natürlich müssen Sie jetzt nicht sofort alle Router, Switches oder Firewalls aus Ihrem Data Center ausbauen und die halbe Networking-Mannschaft in Ihrem Haus entlassen. Entscheidend hierbei ist, dass Sie die Deployment-, Change- und Terminate- Prozesse von Tagen auf Minuten reduzieren. DHCP, VPN, Routing- Loadbalancing- und Firewall Services sind einige der Features, die Sie in Zukunft virtualisiert und direkt zu dem Workload zugehörig betreiben und automatisiert bereitstellen können.

Praxisbeispiel:

Sie möchten hochverfügbare Terminal-Serversysteme in Ihrem Data Center zur Verfügung stellen, auf die sich mittels VPN verbunden werden kann. Natürlich sollen die Systeme sicher durch eine Firewall geschützt werden, da Personaldaten zur Verfügung gestellt werden. Überlegen Sie mal welche Aufwände ein solches Projekt alleine in Ihrem Netzwerkteam erzeugt?

Mit VMware NSX können Sie z.B. einen Workload bestehend aus zehn virtuellen Maschinen erzeugen, welche mittels eines Software Loadbalancer hochverfügbar bereitgestellt werden. Dies direkt mit einem konfigurierten VPN Tunnel-Zugang in einem eigenen Subnetz. Zusätzlich werden alle Systeme durch Firewalls geschützt. Sie können dies auch mit einer Virenschutzlösung verbinden, so dass kompromittierte Systeme direkt isoliert werden. Vollautomatisch!

VMware NSX Netzwerkvirtualisierung
Abb. 2: Vereinfachte Ansicht der Netzwerk Virtualisierung mit VMware NSX (Quelle: VMware)

Dieses Thema ist naturgemäß sehr komplex und schwierig in einem Blogartikel komplett zu beschreiben. Gerade Betreiber größerer Data Center verstehen aber die Problematik, die ein dynamisches Rechenzentrum mit klassischen, aktiven Netzwerkkomponenten mit sich bringt.

Eine aktivierte Microsoft Windows Firewall, die mit Policys versorgt und vollständig auf den Server Systemen konfiguriert wird, reicht da leider nicht aus. Dafür sind die verfügbaren Features zu rudimentär.

Fazit

Ein modernes Cloud Data Center kommt nicht ohne zukunftsweisende Technologien im Bereich der Netzwerktechnik aus. VMware hat hier mit dem Produkt NSX eine Schlüsseltechnologie, welche aktuell den Markt mit anführt. Diese Lösung ist komplett heterogen und kann mit allen beliebigen Virtualisierungstechnologien kombiniert werden. VMware vSphere, Microsoft Hyper-V, Citrix XenServer etc.

VMware pflegt zudem ein großes ECO System an strategischen Partnern, das dafür sorgt, dass die schon vorhandenen NSX-Funktionen erweitert werden: Palo Alto Firewall, Redhat, Trendmicro, Juniper, Riverbed, f5, RSA…Um nur einige wenige zu nennen. So kann z.B. mit Trend Micro ein kompromittiertes System automatisch in eine Quarantäne isoliert, bereinigt und wieder in das Netzwerk integriert werden. Diese Funktion ist gerade für VDA-Lösungen sehr interessant.

Eine weitere Nutzung ist die Trend Micro Funktion „Virtual Patching“. Hiermit wird ein noch benötigtes Windows OS, welches nicht mehr supported und gepatcht werden kann, mit Schutzfunktionen für offene Angriffsstellen versehen. Dies spart natürlich auch Finanzmittel, die sonst in teure „Extended Support“ Verträge fließen würden. So aktuell für einen Windows 2003 Server. Riverbed und Palo Alto bieten Schnittstellen, mit denen von NSX automatisiert auch physikalische Firewalls und Loadbalancer angepasst werden können. Für physikalische DMZ Firewallsysteme ist das sehr interessant.

Die wichtigsten Funktionen von VMware NSX

  • Logisches Switching: Reproduzieren der vollständigen L2- und L3-Switching-Funktionalität in einer virtuellen Umgebung, unabhängig von der zugrundeliegenden Hardware

  • NSX-Gateway: L2-Gateway für die nahtlose Verbindung mit physischen Workloads und älteren VLANs

  • Logisches Routing: Routing zwischen logischen Switches, wodurch dynamisches Routing zwischen verschiedenen virtuellen Netzwerken ermöglicht wird

  • Logische Firewall: Verteilte Firewall, kernel-aktivierte optimierte Performance, virtualisierungs- und identitätsorientiert, mit Überwachung der Aktivität

  • Logischer Lastausgleich: Lastausgleich mit vollständiger Funktionalität und SSL-Beendigung

  • Logisches VPN: Standort zu Standort VPN und Remote- Zugriff-VPN als Software

  • NSX-API: RESTful API für die Integration in jede Plattform für Cloud-Management

COMPAREX und VMware – zwei starke Partner an Ihrer Seite.

Exklusive Webinarserie zu VMware NSX

VMware NSX und Trend Micro Deep Security – das „Dream Team“ für Ihre virtuelle Umgebung.

Erfahren Sie in unserem kostenfreien Webinar alles rund um die Vorteile und Kernfunktionen von VMware NSX und Trend Micro Deep Security. Melden Sie sich am besten heute noch an!
Termin: 02. Juni 2016 | 10:00 - 11:00 Uhr

Jetzt anmelden »

Diesen Artikel teilen

Artikel vom:
28.01.2016

geschrieben von:

TAGS:
Cloud Computing, Rechenzentrum, Virtualisierung, VMware

Thema:

Kommentieren sie diesen Artikel...

© COMPAREX AG
Zurück nach oben