Software-Defined Networking im Rechenzentrum

Virtuelle Netzwerke mit VMware NSX

| Autor / Redakteur: Thomas Joos / Andreas Donner

Bei einer Virtualisierung mit VMware vSphere bietet es sich an, auf VMware NSX zu setzen. Die SDN Suite kann aber auch mit anderen Hypervisoren und Netzwerktechniken umgehen.
Bei einer Virtualisierung mit VMware vSphere bietet es sich an, auf VMware NSX zu setzen. Die SDN Suite kann aber auch mit anderen Hypervisoren und Netzwerktechniken umgehen. (Bild: VMware)

Mit NSX bietet VMware eine umfassende Suite für den Aufbau eines Software-definierten Netzes im Rechenzentrum. Auf Basis von NSX können Unternehmen logische Switches, Router, Firewalls, Lastenausgleichs-Lösungen, VPNs und mehr effizient im virtuellen Rechen­zentrum zur Verfügung stellen.

Mit VMware NSX erstellen Unternehmen ein vollständig separiertes, virtuelles Netzwerk mit allen notwendigen logischen Geräten. Die physische Hardware im Netzwerk spielt dabei keine Rolle, da der Datenverkehr zwischen der virtuellen Welt und dem physischen Netzwerk über Gateways abgewickelt wird. Die Vernetzung der virtuellen Welt bleibt unabhängig von der physischen Hardware.

Generell können Unternehmen beim Einsatz von VMware NSX auf beliebige Netzwerkhardware setzen. Natürlich sollte es sich bei einem professionellen Einsatz aber dennoch um leistungsstarke Hardware handeln, die in der Lage ist den Overhead des VXLAN-Protokolls innerhalb von NSX bereitzustellen. Dieses Protokoll stellt eine wichtige Grundlage für NSX dar. Außerdem muss die Netzwerkhardware in der Lage sein, mit einem erhöhten Maximum-Transfer-Unit-Wert (MTU) zurecht zu kommen.

Im Netzwerk muss VMware vSphere eingesetzt werden, es lassen sich aber auch andere Hypervisoren und physische Netzwerke anbinden. Die grundlegenden Komponenten von VMware NSX laufen aber auf Basis von VMware vSphere. Die Netzwerke in NSX werden wiederum über Distributed Switches bereitgestellt.

Darum ist VMware NSX sinnvoll

In virtuellen Rechenzentren werden immer häufiger auch die Netzwerkdienste virtualisiert. Bei der Virtualisierung über VMware vSphere bietet es sich an, auf VMware NSX zu setzen. Die Software-Defined Networking Suite ist aber nicht nur auf VMware-Netze beschränkt, sondern kann auch mit anderen Hypervisoren und Netzwerktechniken zusammenarbeiten. VMware stellt dazu auch eine NSX-API zur Verfügung. Die RESTful-API ermöglicht eine Integration von VMware NSX in jede Cloud-Management-Plattform.

Vor allem große, virtuelle Netzwerke, mit zahlreichen virtuellen Servern, profitieren von den Möglichkeiten von VMware NSX. Durch automatisierte Bereitstellung lassen sich die VMs effizient vernetzen. In größeren Netzwerken lassen sich mit VMware NSX auch Self-Service-Portale bereitstellen, mit denen Administratoren untergeordneter Netzwerke neue virtuelle Netzwerke beantragen können. Das ermöglicht auch eine Delegierung von Netzwerken sowie mandantenfähige Netzwerkumgebungen für private oder hybride Clouds. Mit NSX lassen sich einzelnen Netzwerke auch komplett voneinander trennen.

Das sind die Funktionen von VMware NSX

VMware NSX kann vollständige L2- und L3-Switch-Funktionen in virtuellen Umgebungen über logische Switches bereitstellen. Beim Einsatz mehrerer logischer Switches kann NSX auch virtuelle Router zwischen Netzwerken erstellen. Damit ist dann auch ein virtueller Lastenausgleich möglich.

Zusätzlich kann NSX ein L2-Gateway für die Verbindung zwischen virtuellen und physischen Netzwerken bereitstellen. Für den Schutz des Netzwerks lassen sich virtuelle Firewalls einbinden. Diese schützen auch den Datenverkehr zwischen den virtuellen Switches. Zwischen verschiedenen Netzwerken lassen sich VPNs aufbauen, die durch die Firewalls geschützt sind. Auch ganze Standorte können mit VMware NSX verbunden werden.

Software-Defined Networking mit NSX

Durch VMware NSX abstrahieren Unternehmen physische Netzwerkgeräte wie Firewalls, Router und Switches von virtuellen Netzwerken. Es werden logische Einheiten geschaffen, die frei konfigurier- und zuordenbar sind. Herkömmliche Lösungen für die Virtualisierung von Netzwerken sind auf kompatible Server und vor allem auf kompatible Hardware beschränkt. Hier geht NSX einen anderen Weg.

Der NSX-Controller kommuniziert mit der NSX-Schicht und interagiert mit virtuellen Switches. NSX hat direkte Verbindung mit den virtuellen Servern im Netzwerk und kann deren Netzwerkverkehr umfassend verwalten. Die zugrundeliegenden Hardware-Geräte wie Switches, Router oder andere Geräte spielen hier keine Rolle. Um die virtuelle Infrastruktur mit der physischen Netzwerkinfrastruktur zu verbinden, setzt NSX auf Gateways. Außerdem lassen sich über APIs Cloudverwaltungstools oder andere Netzwerk-Software anbinden.

NSX erweitert die Netzwerk-Funktionen von VMware vSphere

Mit NSX erweitern Unternehmen die Netzwerk-Funktionen von virtuellen Standard-Switches und verteilten Switches in virtuellen VMware vSphere-Umgebungen. Die Management-Ebene eines L3-Switches wird über den NSX-Manager verwaltet, der wiederum mit vCenter verbunden ist (siehe Abbildung 1). Zusätzlich zum vCenter lässt sich der NSX-Manager auch von anderen Tools wie VMware vRealize Automation, VMware Integrated Open Stack oder vCloud Directory nutzen.

Die Verwaltung der Umgebung kann direkt über den vSphere Web-Client erfolgen (siehe Abbildung 2). Die Serverlösung hinter VMware NSX ist also der NSX-Manager. Dieser lässt sich virtuell betreiben, zum Beispiel in einem vSphere HA-Cluster. Allerdings spielt der Ausfall des NSX-Managers, zum Beispiel bei einem Problem mit vSphere, für den Datenverkehr keine Rolle. Der Datenverkehr im NSX-Netzwerk läuft auch ohne den Manager weiter, ist aber dann nicht weiter konfigurierbar.

Die Steuer-Ebene im L3-Switch wird durch den NSX-Controller übernommen. Dieser besteht aus einem Cluster und verschiedenen VMs. Er verwaltet das NSX-Netzwerk auf Basis von VXLAN. Hier werden alle integrierten, logischen Geräte koordiniert. Die Kommunikation zwischen NSX-Manager und NSX-Controller findet über eine verschlüsselte Verbindung über das Management-Netzwerk in VMware statt. Die dritte Ebene im L3-Switch ist die Datenübertragungsebene. Diese wird durch eine Erweiterung der Distributed Switches in VMware erreicht. Dazu integriert NSX zusätzliche Kernels für VXLAN, Firewalls und das Routing.

NSX im Netzwerk integrieren

Die Basis einer NSX-Installation ist zunächst ein funktionierendes Cluster mit vSPhere. In diesem wird die NSX-Appliance integriert, die den Manager zur Verfügung stellt. VMware stellt diese über eine OVA-Datei bereit (siehe Abbildung 3). Nach der Integration erfolgt die Verwaltung über ein eigenes Webinterface und den vSphere Web Client. Auch eine Verwaltung über SSH ist möglich. Die Einrichtung des NSX-Netzwerkes erfolgt entweder über den vSphere Web-Client, oder automatisiert über die Schnittstelle, die der NSX-Manager zur Verfügung stellt. Dazu lassen sich auch Produkte wie vRealize Orchestrator nutzen.

Nachdem der NSX-Manager bereitsteht, wird der NSX-Controller im Cluster installiert. Auch hier stehen wieder Assistenten zur Verfügung, die bei der Einrichtung helfen. Der NSX-Controller ist ebenfalls eine Appliance, die in vSphere eingebunden wird. Anschließend werden die ESXi-Server erweitert, genauer gesagt die verteilten Switches (Distributed Switches, vDS). Diese erhalten zusätzliche Funktionen für Firewalls und das Routung im Netzwerk. Zum Abschluss wird VXLAN im NSX-Netzwerk bereitgestellt. Danach ist NSX bereit und lässt sich konfigurieren; am besten über den vSphere Web-Client.

Virtuelle Netzwerke mit NSX erstellen

Wenn die virtuellen Appliances für den NSX-Manager und den NSX-Controller zur Verfügung stehen, können Administratoren über den vSphere Web Client oder die API von NSX virtuelle Netzwerke erstellen (siehe Abbildung 4). Alle Netzwerke, die Administratoren in NSX anlegen, werden in einem physischen Netzwerk über VXLAN gekapselt. Ab dem Moment, an dem NSX im Netzwerk bereitsteht, ist keine Anpassung der physischen Netzwerkkomponenten oder von VLANs im Netzwerk notwendig.

Sobald ein NSX-Netzwerk als L2 in der virtuellen Umgebung erstellt ist, werden dessen Einstellungen und Funktionen an die Distributed Switches verteilt, die an NSX angebunden sind. Dazu nutzt VMware verschiedene Portgruppen. Neben L2-Switches lassen sich aber auch L3-Netzwerke mit Routing erstellen. Hier können Administratoren auch Router zwischen virtuellen Netzwerken erstellen. Sobald ein Routing von NSX in ein außenstehendes, physisches Netzwerk erfolgen soll, erstellt NSX eine VM auf Basis von NSX Edges. Diese verbindet NSX mit dem physischen Netzwerk.

Virtuelle Firewall mit NSX

Neben logischen Switches und Routern beherrscht NSX auch logische Firewalls (siehe Abbildung 5). Die Firewall wird direkt zwischen den VMs und den virtuellen Switches an der virtuellen Netzwerkkarte der VM positioniert. Die Steuerung der Firewall erfolgt zentral über den NSX-Manager. Das Betriebssystem auf den VMs übernimmt keinerlei Steuerung der Firewall. Die Firewall wird durch den NSX-Controller verteilt und direkt im Kernel der virtuellen Netzwerke auf den angebundenen ESXi-Hosts gebunden.

Die Firewall kann nicht nur herkömmliche Regeln umsetzen, sondern versteht auch die Anbindung von VMs, Switches und andere Objekte in vSphere. Dadurch lassen sich also spezielle Regeln umsetzen, die optimal an die vSphere-Umgebung angepasst sind. Die Firewall unterstützt dazu auch vSphere-Funktionen wie vMotion oder HA; das heißt, die Regeln einer VM wandern mit der VM mit, unabhängig davon, auf welchem Host sie gestartet wird.

Die Firewall bietet auch die Umsetzung von Richtlinien und Sicherheitsgruppen. Außerdem lassen sich weitere Lösungen anbinden, zum Beispiel ein Virenschutz. Dritthersteller erweitern die Funktionen der Firewall weiter, wenn die Standard-Funktionen nicht ausreichen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44187093 / Virtualisierung)