Die Rolle von Netzwerkvirtualisierung und SDN im Data Center
SDN, Zero Trust und IaC sind beliebte Formen der Netzwerkvirtualisierung im Rechenzentrum und führen weg von manuellen VLANs hin zu richtliniengesteuerter Virtualisierung.
Unternehmen und Organisationen aller Größen und Arten befinden sich inmitten mehrerer Netzwerkrevolutionen, und die Netzwerkvirtualisierung ist für alle von ihnen von zentraler Bedeutung.
Die zunehmende Verbreitung von Ransomware und anderer sich seitlich ausbreitender Malware veranlasst Unternehmen, die Netzwerksicherheit zu überdenken, auch im Rechenzentrum. Dieses Wachstum trägt dazu bei, dass das Interesse an Zero-Trust-Architekturen steigt. Und der anhaltende Aufstieg von DevOps und all seinen Abkömmlingen – das heißt, NetOps, DevSecOps, SecDevOps und DevNetSecOps – rückt die Idee von Infrastructure as Code (IaC) in den Vordergrund.
Wie passen diese Initiativen also zur Netzwerkvirtualisierung?
Virtuelle Netzwerke sind ein Dauerbrenner, der regelmäßig wiederentdeckt oder neu entwickelt wird. Im Wesentlichen ermöglicht ein virtuelles Netzwerksystem der IT-Abteilung die Überlagerung mehrerer logischer Netzwerke in einem gemeinsamen physischen Netzwerk. IT-Teams können virtuelle Netzwerke implementieren, um Teilmengen von Endpunkten aus Sicherheitsgründen abzutrennen oder um die Anforderungen bestimmter Protokolle oder Anwendungen zu erfüllen.
Technologien zur Virtualisierung von Netzwerken reichen mindestens bis in die 1980er Jahre zurück und umfassen virtuelle Ethernet-LANs (VLAN) und MPLS.
Der Weg in die Zukunft für virtuelle Netzwerke im Rechenzentrum liegt im Übergang von manuell verwalteten VLANs zur richtliniengesteuerten Virtualisierung.
Das typische Data Center schwimmt in virtuellen Netzwerken. VLANs sind seit Jahrzehnten ein Standardmerkmal von Netzwerkdesigns in Rechenzentren. Auch die Servervirtualisierung ist mittlerweile gang und gäbe, um neue Virtualisierungsebenen innerhalb und zwischen Host-Servern zu schaffen.
SDN ist nicht dasselbe wie die zentrale Verwaltung von Netzwerk-Switch-Konfigurationen, da es davon ausgeht, dass die Autonomie der Data-Plane-Geräte begrenzt ist und nicht in Harmonie verwaltet wird. In SDN steckt die Idee, dass jedes Netzwerk unzählige Overlays unterstützen kann und in der Lage sein sollte, flexibel und dynamisch zu steuern, wie Ports virtuellen Netzwerken zugeordnet und welche Dienste über sie bereitgestellt werden.
Ursprünglich war SDN als Open-Source-Strategie konzipiert, um Unternehmen mehr Kontrolle über das Netzwerk zu geben, sowohl im Rechenzentrum als auch im LAN. Ziel war es, die Kontrolle über die Netzwerkarchitekturen aus dem engen Griff der Netzwerkanbieter zu entreißen, indem sie unabhängig von der Architektur und dem Funktionsumfang eines einzelnen Anbieters gemacht werden sollten.
Die offenen und plattformübergreifenden Strategien brachten unzählige Implementierungen hervor, etwa Open vSwitch, OpenDaylight, Open Network Operating System (ONOS) und andere. Sie machten genügend Fortschritte, um die Anbieter unter Druck zu setzen, das grundlegende Modell von Control Plane und Data Plane in den allgemeinen Gebrauch zu bringen. Diese Strategien haben auch Startups dazu inspiriert, sich das Modell zu eigen zu machen.
Der erste Ort, an dem Unternehmen SDN einführten, war jedoch nicht das Rechenzentrum, sondern das WAN. Seit etwa 2015 hat das softwaredefinierte WAN (SD-WAN) die WAN-Strategien von Unternehmen mit SDN-Konzepten durchdrungen.
Abbildung 1: Drei Initiativen zur Netzwerkvirtualisierung im Rechenzentrum.
IaC: Mehr Wege und Mittel zur Virtualisierung
Das Overlay-Konzept ist nun eine Schicht tiefer in die Infrastruktur eingetaucht, da die Verbreitung von Software-Containern wie Docker eine weitere Netzwerkschicht für die Kommunikation zwischen Containern geschaffen hat. Der damit verbundene Aufstieg von DevOps hat die Idee von IaC in den Vordergrund gerückt.
Die Idee von IaC ist, dass Teams, die Softwareentitäten zur Steuerung virtueller Netzwerke zwischen Containern und VMs bereitstellen, diese auf die gleiche Weise verwalten sollten wie andere Code-Artefakte in der Umgebung. Dies führt zu einer Schicht virtueller Netzwerke, die auf der gleichen temporären Zeitskala wie die Container liegen, denen sie dienen. Es führt auch zu neuen Tools und Konzepten, wie Service-Mesh, für die Verwaltung dieser Virtualisierung.
Zero Trust: Ein Endzustand für die Virtualisierung
In einer echten Zero-Trust-Umgebung findet nur genehmigte Kommunikation über das Netzwerk statt. Jede Anwendung, jeder Benutzer oder jeder Endpunkt kann nur mit denjenigen anderen Anwendungen, Benutzern und Endpunkten kommunizieren, für die er/sie im Voraus eine Genehmigung erhalten hat. Wenn also der Umgebung nicht mitgeteilt wurde, dass eine bestimmte Konversation erlaubt ist, wird sie verhindert.
Auf der Netzwerkebene lässt sich Zero Trust in ein Konzept übersetzen, das als Software-defined Perimeter (SDP) bekannt ist. Wenn Endpunkt A Pakete an Endpunkt B sendet, B aber nicht angewiesen wurde, Pakete von A anzunehmen, ignoriert oder verwirft B diese Pakete. Für den Knoten A ist der Knoten B im Netz nicht sichtbar. Wenn B und A kommunizieren dürfen, tun sie dies über einen verschlüsselten Tunnel. In diesem Szenario findet jede Kommunikation über ein virtuelles Punkt-zu-Punkt-Netz, ein VLAN mit zwei Knoten, statt.
Mit virtuellen Netzwerken im Rechenzentrum vorankommen
Der Weg in die Zukunft für virtuelle Netzwerke im Rechenzentrum liegt im Übergang von manuell verwalteten VLANs zur richtliniengesteuerten Virtualisierung. Dieser Übergang wird über plattformübergreifende SDN-Controller und Automatisierungs-Tools erfolgen –allerdings wahrscheinlich von einem Anbieter und nicht Open Source – sowie über Service-Meshes und IaC. Die Anforderungen von Zero Trust, der Wechsel zu Containern und Microservices sowie die immer knapper werdenden Zeitvorgaben für Netzwerktechniker machen diesen Wechsel zu einer Notwendigkeit.
