Darstellung der Datenströme in virtualisierten Umgebungen

virtual-reality-1802469_1920Die Virtualisierung bietet weitreichende Vorteile, denn die Rechner- und Netzsysteme werden durch diese Technologie besser ausgelastet. Darüber hinaus führt die Generierung von mehreren virtuellen Maschinen (VMs) auf den physikalischen Servern zu erheblichen Kosteneinsparungen, Flexibilität bei der Verwaltung und zu einer höheren Agilität der Unternehmens-IT. Die Virtualisierung hat jedoch den Nachteil, dass die früher genutzten Analysewerkzeuge nicht mehr genutzt werden können.

Die Virtualisierung der Netzwerke und der Rechenzentren schafft blinde Flecken und unsichtbare Netzwerke in der Server-Infrastruktur. Da ein großer Anteil des Verkehrs über Cloud-Infrastrukturen (in Form von virtuellen Tunnel-Endpunkten) übermittelt wird, berührt dieser Verkehr in vielen Fällen nicht einmal die physischen Netzwerke. Dadurch verlieren die VM- und Netzwerkadministratoren die Sichtbarkeit der Daten und zwangsläufig auch die Kontrolle über die Kommunikationsströme.

Da die Sicherheit und die Compliance auch in virtualisierten bzw. in Cloud-Umgebungen zu den wichtigen Aufgaben gehören, muss in den Unternehmen Vorsorge getroffen werden, dass diese Unternehmensanforderungen vollständig erfüllt werden.

Die von Vmware entwickelte „vSphere vMotion-Technologie“ ermöglicht das Verschieben von virtuellen Maschinen von einem physischen Server auf einen anderen. vMotion bildet die Grundlage für die Realisierung von dynamischen, und selbstoptimierende Datenzentren. Die in der Technologie integrierte Fehlertoleranz, hohe Verfügbarkeit sorgen für die Minimierung von Ausfallzeiten. Diese Agilität erfordert jedoch Änderungen der Server-Infrastrukturen und es wird eine völlig neue Ebene der Komplexität hinzugefügt. Eine effektive Überwachung dieser virtualisierten Systemumgebungen erfordert die nahtlose Darstellung aller Systemänderungen (in der Cloud bzw. im Datacenter). Die für die Überwachung notwendigen Monitoring-Lösungen müssen hierfür auf die virtualisierten Ressourcen und Datenströme zugreifen können.

Der einfachste Weg zur Anbindung der virtuellen Maschinen (VMs) an die Netzressourcen besteht in der Nutzung einer Virtual-Ethernet-Bridge (VEB). Diese wird auch als vSwitch bezeichnet. Ein virtueller Switch (vSwitch) ist somit eine Software-Anwendung, die die Kommunikation zwischen virtuellen Maschinen ermöglicht. Standardmäßig kann jede VM direkt mit jeder anderen VM auf dem gleichen physikalischen Rechner über den virtuellen Switch kommunizieren. Dadurch werden die Datenströme zwischen VMs auf gleichen physikalischen Rechnern nicht mehr über das angeschlossene physische Netzwerk übertragen. Folglich entziehen sich diese Datenströme dem Monitoring und der Netzüberwachung. Dieser Mangel an Transparenz erschwert die Fehlersuche und Fehlerbeseitigung drastisch und konterkariert die durch die Virtualisierung der Serversysteme erzielten Kosteneinsparungen.

Da immer mehr Anwendungen auf virtuelle Server migrieren, wird zwangsläufig in den Datacentern ein immer größerer Anteil des Netzwerkverkehrs zwischen VMs übertragen. Ohne einen Zugriff auf die über die virtuelle Switching-Infrastruktur übermittelten Daten ist keine Kontrolle und Analyse auf einer Ende-zu-Ende Basis mehr möglich. Daher werden Lösungen gesucht, die die betreffenden Datenströme zwischen virtuellen Maschinen abgreifen, ohne dabei die Systemsicherheit zu beeinflussen. Hierzu müssen mit Hilfe einer Software (inklusive der notwendigen Filtertechnologien) die spezifische Inter-VM Verkehrsflüsse abgegriffen und an die Überwachungs-, Analyse- oder Sicherheitseinrichtungen weitergeleitet werden.

Die Anbieter von Virtualisierungslösungen stellen hierfür beispielsweise einen Gastzugang zu einem virtuellen Netzwerkadapter zur Verfügung. Dieser Netzzugang wird in diesem Fall im Promiscuous-Modus betrieben und weist in der Praxis einige Probleme auf.

Allgemein gesprochen ermöglicht der Promiscuous-Modus die Weiterleitung aller auf dem virtuellen Switch auftretenden Datenpakete. Hierzu zählt jedoch auch der Verkehr anderer Nutzer. Dies kann dazu führen, dass die abgegriffenen Verkehrsströme an die falschen Adressaten weitergegeben werden. Der Promiscuous-Modus leitet alle Pakete – unabhängig davon, für wen die Verkehrsströme bestimmt sind – an den zugeordneten Netzwerkadapter weiter.

Die Nutzung der Port-Mirroring Funktion in vSphere 5.0 ist identisch mit der Funktionalität in physischen Switches. Hierbei wird der VM-zu-VM-Verkehr von der virtuellen Welt an das physische Netzwerk übermittelt. Je nach ausgeleiteter Netzlast und Auslastung des zugeordneten Netzadapters kann es dadurch zu Überlastungen der physischen Netzwerkkarte führen.

Die Inter-VM-Verkehrsflüsse lassen sich auch über eine native „VMware vSphere 5 Virtual Machine“ ausleiten. Die Notwendigkeit zur Installation von zusätzlichen Agenten oder Änderungen am Hypervisor entfallen, so dass die Systemadministratoren den Datenverkehr zwischen virtualisierten Anwendungen auf der Paketebene so darstellt, wie dieser normalerweise in nicht virtualisierten Umgebungen zu finden ist. Die Verkehrsströme zwischen den virtuellen Maschinen auf dem gleichen ESXi-Host lassen sich selektiv filtern und anschließend an den hierfür bestimmten Nutzer (Analyse-, Monitor- oder Sicherheitswerkzeug) im physikalischen Netz weitergeleitet.

Verbesserte Sichtbarkeit zum Monitoring