Markus Mainka - Fotolia

Crashkurs: So funktioniert VMware NSX

NSX ist ein komplexes Produkt. Mit unserem Überblick loten Sie die Möglichkeiten der Software aus und wie Ihr Data Center am besten davon profitiert.

VMware NSX im Speziellen und Software-defined Networking (SDN) im Allgemeinen wurden viele Fähigkeiten zugesprochen, aber Einsatzszenarien und Funktionen für Einsteiger finden sich oft nur vereinzelt. In vielen Fällen scheinen sie noch nicht einmal zu Ihren Anforderungen zu passen, es sei denn auf einem sehr abgehobenen Niveau.

Je nach Marketing-Material, das Ihnen vorliegt, lässt sich mit den Funktionen von NSX so ziemlich alles bewerkstelligen, angefangen von den kleinsten Aufgaben bis zum Versetzen von Bergen. Als Einführung in VMware NSX ist es daher gut zu wissen, dass NSX irgendwo zwischen diesen Extremen anzusiedeln ist. NSX und Software-defined Networking sind breit gefächerte Themen, so dass es beinahe unmöglich ist, alle Aspekte abzudecken, wenn man nicht gleich ein ganzes Buch darüber schreiben will. Wir hoffen, dass dieser Tipp einige elementare Komponenten der Software hervorheben kann, die Ihnen zeigen, warum das Produkt die Spielregeln im Data Center angeblich neu definieren soll.

Die Grundlagen von VMware NSX

Beginnen wir unser Einführungstraining zu VMware NSX mit dem, was NSX ausmacht. VMware NSX ist eine Softwareschicht innerhalb Ihrer virtualisierten Umgebung. Da es sich um eine Softwareschicht und keine Hardware-Appliance handelt, funktioniert NSX – und SDN generell – am besten in Infrastrukturen, die zum größten Teil virtualisiert sind.

Der beste Weg, um den Nutzen von NSX zu verstehen, besteht darin, es mit dem Nutzen der physischen Umgebung zu vergleichen. Im traditionellen physischen Netzwerkdesign der Vergangenheit wurden die Server im Data Center durch Router und Firewalls geschützt, die sie vor internen und externen Bedrohungen abschirmen sollten. Dieses herkömmliche, Edge-basierte Sicherheitsmodell konzentrierte sich auf den Perimeterschutz. Einige Unternehmen gingen noch einen Schritt weiter, indem sie weitere, interne Firewalls für eine mehrstufige Verteidigung hinzufügten, aber der erhöhte Einsatz von Hardwareressourcen hatte seinen Preis. Dieses Netzwerkmodell blieb die Standardplattform, sogar als die Virtualisierung ins Data Center Einzug hielt. Doch im Laufe der Zeit löste sich die Perimetersicherheit mit der Virtualisierung nicht einfach auf, sondern sie veraltete.

Als immer mehr Workloads in die virtualisierte Umgebung verschoben wurden, fiel der Aspekt der physischen Trennung im Data Center aufgrund von Virtualisierung, virtuellen LANs und anderen softwarebasierten Separationstechnologien schlicht und ergreifend weg. Als das Data Center diese neue Umgebung und innovativen Konzepte aufnahm, ging die Methode, die Hardware zu abstrahieren, langsam in andere Technologien im Rechenzentrum über.

Zwar deckt NSX eine Vielzahl von Gebieten ab, doch zwei der wichtigsten sind Sicherheit und Portabilität.

Wenn es um Netzwerke geht, werden Router und Firewalls nicht durch die Hardware definiert, sondern vielmehr durch die auf ihnen laufende Software. Storage wurde als Erstes mittels dieser neuen Konzepte abstrahiert, doch der Netzwerkbetrieb sollte bald folgen. Im Jahre 2013 führte VMware NSX ein, das auf Technologie basiert, die dem Unternehmen im Zuge der Übernahme von Nicira seit 2012 zur Verfügung steht.

Die wichtige Rolle von Sicherheit und Portabilität

Obwohl NSX die Karten neu mischen sollte, wurde dessen Bedeutung nicht unmittelbar offensichtlich. Wie die meisten neuen und revolutionären Technologien brauchte auch diese ein wenig Zeit, bis ein Markt und Verwendungszweck gefunden war. Aber sobald das geschehen war, und sobald die Nutzer auf ein besseres Training für VMware NSX zurückgreifen konnten, war der Knoten geplatzt. Zwar deckt NSX eine Vielzahl von Gebieten ab, doch zwei der wichtigsten sind Sicherheit und Portabilität. Mit NSX kam die Mikrosegmentierung in die Welt der Informationstechnik und revolutionierte dabei die Themen Sicherheit und Portabilität.

Ein weiterer essenzieller Bestandteil des Trainings zu VMware NSX ist die traditionelle Serversicherheit. Zu ihr gehörte stets der Schutz der Perimetersicherheit, was nur wenig zur tatsächlichen Abwehr beitrug, wenn ein Eindringling es schaffte, die erste Firewall zu überwinden. Die Mikrosegmentierung ermöglicht es, dass sich vor jeder bereitgestellten VM eine eigene, individuell konfigurierte, softwarebasierte Firewall befindet.

Obwohl es dedizierte Firewalls für spezielle Server schon immer gegeben hat, ist dies nun in einem Umfang möglich, der zuvor utopisch schien. Sie können die Perimetersicherheit für die Außenseite Ihres Systems nach wie vor nutzen, doch sobald dieser Schutzschild durchbrochen ist, sehen sich Eindringlinge mit einer Firewall für jeden einzelnen Server, den sie attackieren, konfrontiert. Das ist kein mehrstufiger Sicherheitsansatz, sondern eher eine konkrete Vorgehensweise, die auf eine dichtgestaffelte Abwehr in der gesamten Umgebung setzt. Ein Angreifer sieht sich nicht einer, zwei oder sogar einem Dutzend Sicherheitsschichten gegenüber – jede VM in der Umgebung ist sicher.

Dieses Sicherheitsniveau wäre in einer nicht virtualisierten Umgebung alleine aufgrund der Kosten für die Hardware nicht möglich. Da es sich bei NSX allerdings um eine reine Softwareressource handelt, kann es die komplette Bandbreite an Sicherheitsbarrieren bieten, ohne dass dazu mehr Hardware notwendig ist oder zusätzliche Kosten entstehen.

Portabilität ist genauso wichtig wie Sicherheit. Für die Disaster Recovery (DR) ist es mittlerweile notwendig, dass Coud-Bursting und -Migrationen portabel sind. Idealerweise sollten Sie in der Lage sein, eine transparente Portabilität ohne administratives Eingreifen zu erreichen. Dadurch wird DR oder Cloud-Bursting automatisiert, so dass jeder Prozess so schnell wie möglich ohne manuelle Intervention erfolgt.

Leider ist es unwahrscheinlich, dass Ihr DR-Standort oder Cloud-Provider über das gleiche IP-Schema wie Sie verfügt. Sie könnten sich infolgedessen gezwungen sehen, die IP-Adresse für jeden Server zu ändern, um die Netzwerkkonnektivität herzustellen. Obwohl diese Änderung in der Regel nicht dramatisch ist, kann sie unerwartete Auswirkungen auf den Server oder die Anwendung haben. Dies lässt sich am einfachsten berücksichtigen, indem Sie zwischen Ihrem Server und dem Netzwerk, mit dem er sich verbindet, einen Router einsetzen. Dadurch brauchen Sie die Server-IP nicht zu ändern und können die Änderungen auf dem Router vornehmen.

NSX ist ein umfangreiches Produkt mit einer Reihe von Funktionen, die unzählige Einsatzmöglichkeiten für den Netzwerkbetrieb erlauben. Die Software mag mitunter etwas verwirrend sein, aber das Gleiche wurde anfangs auch über die ESX-Plattform von VMware gesagt. NSX ähnelt der ESXi-Plattform insofern, als dass es den Benutzern zahlreiche Möglichkeiten bietet. Wenn Sie im Umgang mit VMware NSX entsprechend intensiv geschult sind, können Sie NSX nutzen, damit Ihr Data Center die nächste Stufe bei Sicherheit und Portabilität erreicht. Sie müssen lediglich den ersten Schritt wagen.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Die Vorteile der Netzwerk-Virtualisierung mit VMware NSX.

Wie sich VMware NSX von traditioneller Netzwerk-Virtualisierung unterscheidet.

VMware NSX wird die Rolle des Netzwerk-Administrators verändern. Sind Sie bereit?

VMware NSX als Schutzschirm fürs Data Center.

Erfahren Sie mehr über Software-defined Networking