VMware fördert mandantenfähige Cloud-Services Schutzzonen beim Software-defined Networking

Autor / Redakteur: Michael Matzer / Stephan Augsten

In Software-definierten Netzwerken lassen sich Zonen einrichten, die unter anderem für die Realisierung der Mandantenfähigkeit eines Cloud-Services erforderlich sind. VMware realisiert diese Sicherheitsfunktion mit seinem Lösungspaket vCloud Network and Security.

Firma zum Thema

Software-definierte Netzwerke unterstützen die Mandantenfähigkeit von Cloud Services.
Software-definierte Netzwerke unterstützen die Mandantenfähigkeit von Cloud Services.
(Bild: frank peters - Fotolia.com)

Alle Cloud Services müssen schon per Gesetz mandantenfähig sein (Multi-tenancy). Nur so lässt sich gewährleisten, dass ein Mandant (lies: Kunde) nicht die Daten eines anderen lesen und zu missbräuchlichen Zwecken verwenden kann.

Folglich muss es jedem Service Provider ein Anliegen höchster Priorität sein, die Zonen der beiden Mandanten voneinander abzuschotten. Mit einem Leistungsmerkmal des Software-defined Networking, kurz SDN, kann er dies einfach und automatisiert realisieren. Jeder Hersteller setzt das Feature jedoch in seiner Netzwerk-Software anders um.

Bildergalerie

In einem SDN sind die Kontroll- und die Datenebene voneinander entkoppelt. Daher kann die IT auf einer hohen Ebene Konfigurations- und Policy-Vorgaben machen, die dann in der Infrastruktur mit Hilfe des OpenFlow-Protokolls über- und umgesetzt werden.

Eine Open-Flow-basierte SDN-Architektur macht es überflüssig, jedes einzelne Netzwerkgerät bei Änderungen neu zu konfigurieren; beispielsweise wenn sich ein Endpunkt ändert, ein Service oder eine Anwendung hinzugefügt oder verlegt wird, oder wenn eine Policy überarbeitet wird.

Weil SDN-Controller der IT die vollständige Kontrolle über das Netzwerk in die Hand geben, lassen sich Merkmale wie Zugangskontrolle und Datensicherheit über ganze heterogene Netzwerk-Infrastrukturen hinweg einheitlich realisieren und nutzen. Das gilt beispielsweise für Firmenniederlassungen, verteilte Bildungsinstitute und selbstverständlich für verbundene Rechenzentren. Das ist nicht nur für Unternehmen wichtig, sondern auch für Dienstleister.

Vorteile von SDNs für Managed Service Provider

Managed Service Provider (MSPs) können mit SDN-Features geschützte Zonen und Mandantenfähigkeit auch in heterogenen Netzwerkinfrastrukturen realisieren. Mit dem OpenFlow-Protokoll können sie nämlich eine granulare Netzwerkkontrolle ausüben.

Im Rahmen der Netzwerkverwaltung lassen sich die Ebenen der Session, des Benutzers, des Geräts und der Anwendung automatisiert steuern. Cloud-Betreiber wie etwa MSPs können also ihren Nutzern zwar die Nutzung der gleichen IT-Infrastruktur (Server, Storage, Netzwerk) gestatten, sie zugleich aber in mandantenfähigen Zonen abschotten.

Ressourcen lassen sich so elastisch verwalten und Traffic isolieren. Beide Funktionen sind wichtig im Hinblick auf die Datensicherheit und Mandantenfähigkeit.

Die SDN-Umsetzung bei VMware

VMware hat zwei Sicherheitspakete im Portfolio. Das erste namens vShield Zones sorgt in virtuellen Rechenzentren für einen Schutz vor Bedrohungen aus dem Netzwerk. vShield Zones bietet grundlegenden Firewall-Schutz für den Datenverkehr zwischen virtuellen Maschinen und ermöglicht das Filtern und Gruppieren von Verbindungen, hat aber nichts mit SDN zu tun.

Für SDN ist das zweite Produkt „VMware vCloud Networking and Security (vCNS)“ zuständig. vCNS ist eine software-definierte Netzwerk- und Sicherheitslösung, die eine virtuelle Firewall, VPN, Lastausgleich und das Protokoll VXLAN (Virtual Extensible LAN) umfasst.

Virtuelle Workloads lassen sich damit ohne Einschränkungen durch das physische Netzwerk oder die Sicherheitsservices und ohne spezielle Appliances skalieren und verschieben. Die Integration von Netzwerk- und Sicherheitslösungen von Drittanbietern ist über die offene Architektur und Standard-APIs realisierbar.

„Mit dem Virtual Distributed Switch (vDS) von VMware wird der Virtuellen Maschine ein software-definierter Netzwerkzugang bereitgestellt“, erläutert Martin Niemer, Senior Product Manager bei VMware Deutschland. „Hierzu werden die Netzwerkkarten des Servers mit dem vDS gekloppelt und den VMs über Port-Groups auf dem vDS die Anbindung der vNICs ans Netzwerk ermöglicht.“

Diese Konfiguration erfolge ausschließlich Software-definiert. Da der vDS nicht an einen bestimmten Server gebunden sei, sondern über mehrere Server konfiguriert werde, entstehe ein SDN-Netzwerk. Die vDS sind untereinander durch das VMware-spezifische Protokoll VXLAN (Virtual Extensible LAN ) verbunden, das VMware zum IETF-Standard erklärt haben möchte ((http://tools.ietf.org/html/draft-mahalingam-dutt-dcops-vxlan-02)).

Netzwerksegmentierung mit VXLAN

VXLAN bietet Vorteile, die sich Niemer zufolge aus seiner speziellen Funktionsweise ergeben: „VXLAN erstellt logische Layer-2-Netzwerke, die in Layer-3-Standard-IP-Paketen gekapselt werden“, erklärt Niemer. Durch diese Kapselung entstehen logische VXLAN-Netzwerke. „Sie unterscheiden sich voneinander anhand einer 'Segment-Identität' in jedem Frame, sodass keine VLAN-Tags erforderlich sind.“

Dies ermögliche die Koexistenz einer sehr großen Anzahl von isolierten Layer-2-VXLAN-Netzwerken in einer gemeinsamen Layer-3-Infrastruktur. Konkret handelt sich bei dieser „sehr großen Anzahl“ um 16,7 Mio. logische Netzwerke, die ein MSP einrichten könnte - eine ganze Menge Mandanten, die ein MSP verwalten könnte.

vCloud-Gateway als Vermittler

In der vSphere-Architektur ist VXLAN sowohl für die Gast-VMs als auch für das zugrunde liegende Layer-3-Netzwerk transparent. Die vCloud Networking and Security Edge GatewayAppliance von VMware stellt Gateway-Services zwischen VXLAN- und anderen Hosts (z.B. einem physischer Server oder dem Internet-Router) bereit.

Das Gateway fungiert als Übersetzer von Segment-IDs zwischen virtuellen VXLAN-Servern und Hosts, die nicht auf VXLAN basieren. Das heißt, dass auch Nicht-VXLAN-Hosts von den Vorteilen profitieren, die VXLAN bietet:

1) Virtuelle Domänen: VXLAN ermöglicht das „Floating“ oder „Roaming“ von virtuellen Domänen in einer gemeinsamen Netzwerk- und Virtualisierungsinfrastruktur. „Unter Nutzung von branchenüblicher Ethernet-Technologie kann eine große Anzahl virtueller Domänen auf Basis eines vorhandenen Netzwerks erstellt werden. Diese Domänen können vollständig voneinander und vom zugrunde liegenden Netzwerk isoliert werden und somit mandantenfähig sein“, so Martin Niemer.

„VXLAN erlaubt die Roaming-Funktion für VMs in einem SDN, denn nun lassen sich VMs über Subnetzgrenzen hinweg verschieben.“ Das ist besonders wichtig für Hybrid-Cloud-Umgebungen: „Ein MSP etwa kann gleichzeitig verschiedene Cloud-Architekturen und -Technologien haben, analog zum Mobilfunk.“

2) Flexibilität: Die Auslastung und Flexibilität von Servern und Storage im Rechenzentrum wird durch die Unterstützung von „ausgedehnten Clustern“, die über Switch- und Pod-Grenzen hinausgehen, maximiert. (Pod: eine integrierte Hardware-Appliance, etwa zur Einrichtung einer Private Cloud.)

3) Rationalisierter Netzwerkbetrieb: VXLAN wird in Layer-3-Standard-IP-Netzwerken ausgeführt, sodass keine umfassende zugrunde liegende Layer-2-Transportschicht aufgebaut und verwaltet werden muss.

4) Investitionsschutz: VXLAN wird über Standard-Switch-Hardware ohne Software-Upgrades und spezielle Codeversionen auf den Switches ausgeführt.

Mit anderen Worten: VXLAN, erhältlich in vCNS, ist die Grundlage für die Einrichtung elastischer, portabler, virtueller Datacenter (vDC), die jedem Mandanten eine Schutzzone bieten, und zwar bis zu 16,7 Millionen Mandanten pro VXLAN-Infrastruktur.

Ausblick

Die Zahl der SDN-Anbieter im Networking-Markt steigt rasant an. Cisco, Juniper, HP, Brocade und viele mehr setzen die Vorteile, die OpenFlow und SDN-Architekturen bieten, auf unterschiedliche Weise um. Alle VMware-Partner stellen ihren Kunden die Leistungsmerkmale von vCNS und somit VXLAN zur Verfügung. Entscheidend ist jedoch der Mehrwert, den eine Plattform, etwa Cisco ONE, dem IT-Admin liefert, nicht zuletzt im Hinblick auf die Sicherheit.

(ID:39834010)