Sicherheit für virtualisierte Server durch garantierte und isolierte Bandbreiten Virtueller I/O verbessert Performance und Management des virtualisierten Rechenzentrums

Redakteur: Ulrich Roderer

Virtualisierung des I/Os ist die notwendige Konsequenz, um die Flexibilität der Server- und Speichervirtualisierung vollständig ausnutzen zu können und ein modernes und flexibles Rechenzentrum zu gestalten.

Firma zum Thema

Virtueller I/O ist die ideale Ergänzung zu vritualisierten Servern. Virtuellen Maschinen lassen sich virtuelle NICs bzw. HBAs zuweisen.
Virtueller I/O ist die ideale Ergänzung zu vritualisierten Servern. Virtuellen Maschinen lassen sich virtuelle NICs bzw. HBAs zuweisen.
( Archiv: Vogel Business Media )

Jedes moderne Rechenzentrum nutzt heute Virtualisierung sowohl der Server, des Speichers und der Netzwerkressourcen. Doch trotzt dieser modernen und flexiblen Infrastruktur haben sich die Server-Verbindungen nicht wesentlich verändert, im Rechenzentrum befindet sich ein komplexes Labyrinth aus Kabeln, Karten und LAN und SAN Switches/Routern.

Abhilfe schafft hier die Virtualisierung des I/O, bei der die Netzkarten durch virtuelle I/O-Ressourcen ersetzt werden. Die konsolidierte I/O-Infrastruktur hat den Vorteil, dass sich Änderungen in Minuten durchführen lassen. Die Kosten reduzieren sich um bis 50 Prozent, da deutlich weniger Kabel und vor allem nur noch wenige Netzkarten und entsprechende LAN und SAN Ports benötigt werden.

Bildergalerie

In Folge sinken dadurch auch die Stromkosten. Der amerikanische Hersteller Xsiego hat als einer der ersten eine Lösung für größere Infrastrukturen entwickelt, die die Vorteile des virtualisierten I/Os voll ausnutzt. Mit Xsigo können 1 HE Server verwendet werden, so dass geringerer Platzbedarf entsteht. Auch für den neuen Trend des Cloud Computings ist Xsigo ein nützlicher Baustein, da das Booten von San möglich ist.

Heutige I/O-Engpässe

Server-I/O ist meist ein Hinderniss, um Server effektiv zu virtualisierten. Gerade diese benötigen nicht nur mehr Bandbreite, sondern eine größere Anzahl an Verbindungen zu Netzwerken und Speicher, weil sie viele unterschiedliche Anwendungen in virtuellen Maschinen hosten. VMware empfiehlt deshalb dedizierte Verbindungen für geschäftskritische VMs und Management-Netzwerke. Nach Untersuchungen hat ein typischer virtualisierter Server sieben oder mehr Netzwerkkarten mit bis zu 16 Verbindungen pro Server. Diese brauchen Platz, sowohl rein physisch als auch die Anschlüsse, so dass deswegen nur 4U Server anstatt 1U Server notwendig sind. Darüber hinaus benötigt der Server häufiger eine Rekonfiguration des I/O.

Ein weiteres Problem besteht in Puncto Performance und Sicherheit. Wie lässt sich bei gemeinsam genutzten I/O sicherstellen, dass eine Anwendung die benötigte Bandbreite und Sicherheit erhält. In traditionellen Drei-Tier-Architekturen erhält beispielsweise der Datenbankserver nur eine Verbindung zum SAN und zur Applikationsebene. Dabei handelt es sich um physikalisch getrennte Netze, die die Verfügbarkeit und Sicherheit vor unerlaubten Zugriffen garantieren.

Virtualisierte Server

Durch Virtualisierung konsolidierte Server stellen ganz andere I/O-Anforderungen. Um denn Vorteil des flexiblen Einsatzes von Servern zu ermöglichen, benötigen diese Konnektivität zu allen Netzwerken. Um die Isolation der Anwendungen sicherzustellen, müssen viele Anwender separate Verbindungen zu diesen Netzen haben.

Zusätzlich erhöht sich die Last durch das Management der VMs, so empfiehlt VMware beispielsweise eine dedizierte Verbindung für das VMotion-Netzwerk. Durch die hohe Auslastung der virtualisierten Server wird zudem der Bandbreitenbedarf zusätzlich größer.

Der Ansatz mit traditionellen I/O diese Probleme lösen zu wollen ist begrenzt. Zwar lassen sich Server mit mehreren NICs (Network Interface Card) oder HBAs (Host Bus Adapter) aufrüsten, die von virtuellen Maschinen gemeinsam genutzt werden, dennoch kann es in Spitzenzeiten, beispielsweise während eines Backups von VMs, zu Engpässen kommen. Entweder müssen dann noch mehr Karten installiert werden oder die Workload eines Servers verändert. Unternehmen, die ein SAN im Einsatz haben, müssen in jedem Server eine oder zwei Fibre Channel-Karte (HBA) einbauen.

Blade Servers lösen nicht alle Probleme

Server-Blades verringern zwar das Kabelproblem durch den Einsatz einer internen Backplane. Aber sie verfügen nur über einen begrenzte Anzahl von Verbindungen bzw. Steckplätze für Adapterkarten, so dass bei hohen I/O-Aufkommen entweder teure Erweiterungs-Blades gekauft werden müssen oder die Limitierung der Bandbreite und Anschlüsse bestehen bleibt. Hier müssen die Adapter Karten genauso wie bei Rackmount Servern dazugekauft werden.

Virtueller I/O: Architektur

Am Beispiel der Xsigo I/O-Virtualisierung soll in folgenden die Komponenten eines virtuelle I/O dargestellt werden. Xsigo gehört zu den Pionieren der I/O-Virtualisierung.

Anwendungsserver haben über individuelle Verbindungen (eine oder redundant zwei) Zugang zu einen virtuellen virtuellen I/O-Director, der sie mit Ethernet- und SAN-Geräten verbindet. Als Hochgeschwindigkeitsverbindung zwischen Server und Director kommt Infiniband zum Einsatz, weil darüber sowohl Ethernet als auch FC-Verkehr laufen kann. (Höchste Bandbreite [20Gb], niedrigste Latenzzeiten, erprobte Technologie)

In jedem Server muss nur ein Host Channel Adapter (HCA) installiert werden, der die Konnektivität mit anderen I/O-Directoren herstellt.

Virtuelle NICs (vNIC) lassen sich einfach während des Betriebs nach Bedarf einrichten. Im Gegensatz zu physikalischen NICs entfällt der Reboot. Auf einem Server lassen sich mehrere vNIcs erzeugen und sie haben den Vorteil, dass sie sich von einem Server auf andere verschieben lassen. Dabei bleiben die MAC-Adressen persistent, so dass Administratoren den I/O rekonfigurieren können, ohne die Netzwerkeinstellungen verändern zu müssen. Das gleiche Prinzip gilt auch für virtuelle HBAs. Administratoren könne zudem über Parameter die Performance für einzelne NICs beziehungsweise HBAs festlegen.

I/O- und Servervirtualisierung ergänzen sich

Virtualisierter I/O ist die notwendige Ergänzung zu virtualisierten Servern. Beide sind in der Lage, dynamisch Ressourcen nach Bedarf zu allokieren. Zu den Vorteilen eines virtualisierten I/O zählen:

  • Flexibilität: vNICs und vHBAs lassen sich auf virtualisierten Server ohne Reboots einrichten.
  • Konsolidierung: Ein Kabel reicht aus für alle VM-Verbindungen und das Management.
  • Kontinuität: Hypervisoren sehen virtuelle Ressourcen genau wie physikalische Karten.
  • Isolation: VMs lassen sich aus Sicherheitsgründen bei Bedarf mit spezifischen I/O-Ressourcen verknüpfen. Über die Software lässt sich leicht ein Server von einem speziellen Netzwerk trennen. Benötigen beispielsweise nur einige VMs Zugang zum Internet über die DMZ (Demilitarized Zone) der Firewall, ist es möglich auch nur diesem Server die Verbindung zuzuweisen.
  • Mobilität: Virtueller I/O lässt sich zwischen Servern migrieren und unterstützt damit ebenso die Migration von virtuellen Maschinen.
  • Voraussagbares Verhalten: Quality of Service garantiert die Bandbreite für eine bestimmte VM. Eine Leitung mit 10 bis 20Gbyte zu jedem Server wird dynamisch von den virtuellen Maschinen je nach Bedarf genutzt. Bandbreitenzuweisung kann sowohl über die virtuelle Maschine als auch über vNICs und vHBAs konfiguriert werden. Diese Einstellungen bleiben auch bei einer Migration von einem Server auf einen anderen erhalten.Lokaler Server-to-Server Verkehr läuft schnell und braucht nicht über das LAN gehen.

Sicheres Verschieben mit VMotion

In den meisten VMware-Installationen wird die Information für VMotion, also das Verschieben von VMs im laufenden Betrieb, über die gleiche Ethernet-Infrastruktur übermittelt wie der Verkehr der produktiven Systeme. Durch den Einsatz einer performanten Fabric lässt sich mit virtualisiertem I/O der VMotion-Verkehr in einem eigenen Netz isolieren.

(ID:2017787)