RZ-Zukunft: Standards oder Proprietäres?

Kommentieren Drucken

Die Entwicklung der Rechenzentren ist an einem Punkt angelangt, den man durchaus als Scheideweg bezeichnen kann. Die RZ-Betreiber können sich in die Obhut eines Herstellers begeben oder wo immer möglich herstellerunabhängigen Standards den Vorzug geben. Seit der Verdrängung von Mainframes ist der Weg in eine proprietäre Welt nie so verlockend gewesen wie heute. Sind Open Systems am Ende?

Zur Erinnerung: Kampf um das RZ
Anfang des Jahres 2014 erschien vom Autor dieser Zeilen ein Beitrag im ComConsult RZ Magazin, in dem es um den Kampf zwischen Cisco und VMware um die Dominanz im RZ ging (http://www.comconsult-research.de/magazin/rz-magazin1401.pdf). In jenem Beitrag wurde darauf hingewiesen, dass eines der dringendsten Anliegen der Verantwortlichen und Betreiber von Rechenzentren die Reduzierung der Summe des Zeit- und Ressourcenaufwands der für Server, Storage, Virtualisierung, Netz und Security zuständigen Organisationseinheiten für die Einrichtung und den Betrieb von Applikationen ist.

Aus dieser Überlegung wurde die Schlussfolgerung gezogen:

„Daher greift der Ansatz, mittels Software Defined Networking (SDN) nur die Effizienz der Einrichtung von Netzstrukturen zu erhöhen, eindeutig zu kurz.“

Als vom SDN nicht abgedeckter Bereich wurde die Pflege von Firewall-Regeln genannt und hinzugefügt:

„In vielen Gesprächen mit dem Autor haben die IT-Verantwortlichen den Bereich der Netzschichten 3 und 2 (also den Gegenstand von SDN) als den Bereich genannt, der den Zielen einer privaten Cloud am wenigsten entgegensteht.“

Der Autor vertritt daher seit Jahren die Meinung, dass statt ein Software Defined Network eher ein „Software Defined Data Center“ (SDDC) mit allen dazu gehörenden Infrastrukturbereichen notwendig ist.

Und genau dieses wird von Anbietern wie VMware versprochen. Das Versprechen lautet: man konzentriere so viele Funktionen wie möglich auf den Hypervisor, und decke damit nicht nur den Bereich Netz, sondern auch die Bereiche Compute, Storage und Security ab. Das klingt so verlockend, dass andere Hersteller hektisch versuchen, ein Gegenrezept zu entwickeln. Zu diesen anderen gehört zum Beispiel Cisco mit der „Application Centric Infrastructure“ (ACI).

Probleme mit den Standards
Wir bei ComConsult haben seit den 1980er Jahren Open Systems und Standards groß auf unsere Fahne geschrieben. ComConsult ist mit und in der Welt offener Systeme gewachsen. Wir waren immer der Meinung, dass eine auf herstellerunabhängigen Standards aufbauende IT-Infrastruktur ihren Eignern, Betreibern und Nutzern in der Summe so viele Vorteile bringt, dass man für diese Vorteile auf die eventuellen Mehrfunktionen von proprietären Lösungen verzichten sollte. Zu den Vorteilen standardbasierender Lösungen gehören die folgenden:

  • Wirtschaftlichkeit: Nur wenn man herstellerunabhängige Standards einsetzt, hat man eine echte Auswahl zwischen Herstellern und damit echten Wettbewerb und kann die wirtschaftlichen Vorteile des Wettbewerbs nutzen.
  • Zukunftssicherheit: Etablierte Standards überleben meistens proprietäre Mechanismen und sogar die Hersteller als solche.
  • IT-Sicherheit: „Security by obscuirty“ war nie unsere Empfehlung. IT-Sicherheit erreicht man am besten durch offengelegte Mechanismen, die sich der Herausforderung durch Millionen wachsame Hacker und Sicherheitsexperten stellen.

Aber uns ist auch bewusst, dass der Weg der Befolgung von Standards ein steiniger sein kann. Das ist vor allem dann der Fall, wenn es zu viele konkurrierende Standards gibt. Ein Blick auf die Standardisierungsversuche der letzten Jahre nur speziell für Clouds und RZ-Automatisierung genügt um dieses Problem nachzuvollziehen. Neben etablierten Standardisierungsorganisationen wie IEEE, ITU und NIST befasst sich eine Reihe von relativ neuen Gremien wie OpenStack mit der Standardisierung von Clouds. Jahre nach der Einführung von Clouds ist immer noch nicht klar, welcher und ob überhaupt ein standardisierter Ansatz sich durchsetzen wird.

Einige herstellerunabhängige Ansätze haben sich als zu akademisch und einige als zu sehr auf einen Teilbereich fokussiert herausgestellt. Und einige weisen beide Mängel auf. Ein Beispiel ist SDN in der Ausprägung namens OpenFlow. Erstens hat dieser Ansatz bisher einen einseitigen Fokus auf Layer-2- und Layer-3-Switching und behandelt andere Netzkomponenten wie Load Balancer unzureichend bis gar nicht. Zweitens hat OpenFlow mit allen isolierten SDN-Ansätzen gemeinsam, dass die anderen für eine IT-Infrastruktur erforderlichen Bestandteile wie Server und Storage ausgeklammert werden. Bekanntlich umfasst eine IT-Infrastruktur mehr als nur Switches, wie aus Bild 1 hervorgeht. (Quelle: B. Moayeri, „Ist SDN die Lösung für dringende Betriebsprobleme?“, ComConsult SDN-Forum, Juni 2013)

Neben Switches umfasst die in Bild 1 dargestellte Infrastruktur, die einen mittleren und keineswegs den höchsten denkbaren Komplexitätsgrad aufweist, die folgenden Komponenten:

  • Physikalische Server in Rack- und/oder Blade-Ausführung
  • Virtuelle Server
  • Virtuelle Switches
  • Firewalls

Ein Cloud-Standardisierungsansatz muss alle diese Komponenten berücksichtigen und dabei die typischen Anforderungen an ein modernes RZ erfüllen, allen voran die effiziente, schnelle und am besten von einem Tool aus zu erfolgende Einrichtung einer Applikation oder zumindest der virtuellen Infrastruktur für eine Applikation.

Problemfeld Firewalls
Ein immer wieder als Problemfeld genannter Tätigkeitsbereich im Zusammenhang mit der IT-Infrastruktur ist der Bereich Firewall-Administration. Viele RZ-Verantwortliche haben das Problem, dass mit fast jeder neuen Applikation neue Freischaltungen auf Firewalls erforderlich sind. Sind diese Regeln erst einmal eingestellt, bleiben sie in der Regel für immer da. Meistens traut sich niemand, eine eingerichtete Firewall-Regel zu löschen, denn möglicherweise trifft man dabei eine laufende Anwendung. So häufen sich die Firewall-Regeln mit der Zeit, manchmal bis zu einem Maß, das nicht mehr beherrschbar ist.

Eine Abmilderung des Problems könnte eine denkbare Lösung schaffen, in der Regeln für die Kontrolle des Verkehrs zwischen verschiedenen Sicherheitszonen nicht mehr auf einzelnen Firewall-Systemen, sondern an einer zentralen Stelle erfolgte, von der aus die Regeln auf die einzelnen Firewalls verteilt würden (siehe Bild 2). Diese könnten zum Beispiel Komponenten mit Standard-Hardware sein, die nach der Anweisung der zentralen Komponente bestimmte Pakete weiterleiten und bestimmte Pakete blockieren würden. Genau dies ist das Konzept, das unter der Bezeichnung OpenFlow bekannt ist.

Hier kann sich für Herausforderer etablierter Firewall-Hersteller ein interessanter Markt öffnen, wie bereits auf dem SDN-Forum 2013 der ComConsult Akademie dargestellt wurde. Allerdings ist seitdem über ein Jahr vergangen, und auf dem Firewall-Markt sind keine OpenFlow-basierenden Firewall-Ansätze erkennbar.

SDN-Gurus erkennen die Schwächen
Es ist zumindest erfreulich, dass einige SDN-Gurus selbst die bisherigen Schwächen des Ansatzes erkannt haben. Rein zufällig hielt etwa zeitgleich zum SDN-Forum 2013 der ComConsult Akademie Scott Shenker beim Stanford University Department of Electrical Engineering einen Vortrag, dessen Mitschnitt auf Youtube verfügbar ist (https://www.youtube.com/watch?v=WabdXYzCAOU). Scott Shenker ist Dozent beim Computer Science Department in Berkeley. Sein Vortrag im Mai 2013 stand unter dem Titel “Software-Defined Networking at the Crossroads”.

Interessant ist insbesondere der Teil, der ab Minute 43 beginnt. Hier geht Shenker auf sogenannte „Middleboxes” ein, die aus seiner (korrekten) Sicht bereits heute den Any-to-Any-Ansatz relativieren. Dazu zählt Shenker die folgenden Komponenten:

  • Firewalls
  • WAN-Optimization
  • Proxies
  • Gateways
  • VPNs
  • Load Balancers
  • Intrusion Detection

Shenkers Erwähnung der “Middleboxes” ist ein Versuch darzustellen, auf welche Probleme SDN eine Antwort geben sollte. Auch die Erfinder von SDN haben also erkannt, dass Layer-2/3-Switching nicht das eigentliche Problem ist. Die Problemfelder sind an anderer Stelle zu suchen, und zwar dort wo komplexe Funktionen für Entscheidungen bzgl. der Weiterleitung oder der Verarbeitung von Paketen zu treffen sind.

Ab Minute 47 kommt Shenker zu einer klaren Empfehlung der Richtung, die SDN in der weiteren Entwicklung einschlagen sollte. Diese Empfehlung ist in bemerkenswerter Übereinstimmung mit der auf dem SDN-Forum 2013 der ComConsult Akademie dargestellten Einschätzung der Problematik. Wir haben die „Middleboxes“ nicht so genannt, weil diese eher nicht immer im Kern der Netze angesiedelt sind, auch wenn die meisten Datenströme den Weg über diese „Middleboxes“ nehmen. Aber die Einschätzungen stimmen überein: Die „Middleboxes“ sind das eigentliche Problem. Die klare Empfehlung von Shenker ist Bild 3 zu entnehmen. Shenker sagt ganz klar:

  • SDN muss die Funktion der Middelboxes abbilden.
  • Diese Implementierung muss am Rande des Netzes auf Software-Basis erfolgen.
  • Mit dieser Implementierung werden die dedizierten Middleboxes überflüssig.
  • Der Kern des Netzes wird damit zu einem System von „dummen Röhren“ degradiert.
  • Alles Interessante geschieht in Software und am Rande des Netzes unter der Kontrolle durch SDN.

Nach Einschätzung von Shenker machen die o.g. Punkte den wahren Kern der Revolution aus, die SDN auslösen soll.

Die Einschätzungen von Scott Shenker und ComConsult stimmen also überein, soweit es die Vergangenheit von SDN betrifft: Der Standardisierungsansatz OpenFlow hatte die Middelboxes nicht als Fokus und griff daher zu kurz. Was die Zukunft von SDN betrifft, kommen SDN-Gurus wie Shenker nicht umhin, weiter dazu zu stehen. Sie haben in den letzten Jahren ihr ganzes Ansehen mit diesem Ansatz verbunden.

Von einer neutralen Position aus lassen sich aber umfassendere Beobachtungen anstellen, auf die im Folgenden eingegangen wird.

Reichen Netzstandards?
Selbst wenn es zu der von Scott Shenker empfohlenen Richtungsänderung bei SDN kommt, bleibt die Feststellung gültig, dass für eine funktionierende IT-Infrastruktur Netzstandards allein nicht ausreichen. Das ganze aus Switches und Middleboxes bestehende System „Netz“ ist bekanntlich nur ein Bestandteil der Infrastruktur in einem RZ, die ja ohne Server und Storage nicht funktioniert. Will man mit einem standardisierten Ansatz die Abhängigkeit von Herstellern reduzieren und den Markt revolutionieren, braucht man über Netzstandards hinaus noch weitere Standards, deren Gesamtheit die klassischen Hardware-Komponenten in einem RZ austauschbar machen.

Natürlich hat es in den letzten Jahren hinsichtlich der Standardisierung von Server-Hardware Fortschritte gegeben. Im Zuge dieser Fortschritte ist die x86-Plattform zum de facto Standard für „Computing“ geworden. Bedeutet dies, dass in heutigen Rechenzentren die Server-Hardware austauschbar geworden ist?

Dies stimmt leider nur bedingt. Ja, ein x86-basierender Rack Server ist heute als Einzelsystem austauschbar. Aber die heutigen Serverstrukturen sind komplexer. Viele Unternehmen setzen zur effizienteren Nutzung der RZ-Schränke, für die Erleichterung der laufenden Erweiterung um Rechenleistung und zur Nutzung eines zentralen Managements Blade Server ein. Zusätzlich zu der auf Hypervisor-Basis implementierten Management-Ebene existiert die Ebene des Managements der reinen Hardware. Die Formfaktoren und Managementmechanismen auf dieser Ebene sind keineswegs standardisiert und hochgradig proprietär.

Gleiches gilt für Storage. Ja, es gibt standardisierte Schnittstellen wie Fiber Channel, iSCSI und NFS. Aber wer einen Blick auf die Supportbedingungen der Anbieter von Applikationen, Servern und Storage geworfen hat, weiß, dass die Einhaltung herstellerübergreifender Standards längst nicht die Gewähr dafür ist, dass alle involvierten Hersteller ihren Supportverpflichtungen nachgehen. Es gibt die sogenannten „Interoperabilitätsmatrizes“, die angeben, welche Hardware- und Software-Kombinationen von Server, Host Bus Adapter und Storage von den Herstellern unterstützt werden.

Zur Abhilfe gegen die Probleme vieler RZ-Verantwortlichen mit solchen Einschränkungen vermarkten seit einigen Jahren einige Hersteller bzw. Zusammenschlüsse verschiedener Hersteller Konstellationen, die unter verschiedenen Bezeichnungen wie „Data Center in a Box“ oder „Stack-Lösungen“ bekannt sind. Ein Gesamtsystem bestehend aus Server Hardware, Storage, Virtualisierung und Netz ist Gegenstand solcher Angebote. Das mit diesen Angeboten verbundene Versprechen besteht vor allem darin, dass sich der Betreiber einer solchen Konstellation nicht um das Zusammenspiel innerhalb dieser Konstellation kümmern muss, denn die Hersteller übernehmen für die Funktionalität des Gesamtkonstrukts die Verantwortung. Das Gebilde besteht aus Einzelkomponenten, deren Interoperabilität von den Herstellern getestet und gewährleistet wird. Gibt es Probleme mit der Lösung, tritt anstelle der Betreiber- die Herstellerverantwortung.

Hier versuchen also die Hersteller, die Standardisierungslücke mit Proprietärem zu füllen. Die Entscheidung für solche proprietären Kombinationen ist eine weitreichende, die ein RZ noch weiter von einer auf Standards basierenden Konstellation entfernt. Damit begibt man sich nicht nur in eine Abhängigkeit von einzelnen Herstellern, sondern zudem auch noch in die Abhängigkeit von einer Zusammenarbeit zwischen verschiedenen Herstellern. Man setzt darauf, dass alle Hersteller der Komponenten der Gesamtkonstellation weiter zusammenarbeiten und gemeinsam für die Funktionalität der Lösung geradestehen. Wenn man sich die Herstellerzusammenschlüsse aber etwas genauer anschaut, kann man gewisse potenzielle Bruchstellen erkennen. Cisco und VMware sind bekanntlich in einer Art Rivalität, was die Kontrolle über RZs angeht. Die beiden Hersteller sind jedoch auch die Anbieter von Komponenten, die im Rahmen der beiden Gesamtlösungen Vblock und FlexPod eingesetzt werden. Wer garantiert die anhaltende Qualität eines gesamten Supports durch diese beiden Hersteller?

Es mag Unternehmen geben, die wohlwissend solche Risiken eingehen in der Erwartung, dass mit den Gesamtkonstellationen dringende Probleme in der Einrichtung und dem Betrieb von RZ-Infrastrukturen gelöst werden. Dem Autor sind durchaus RZ-Betreiber bekannt, deren bisherigen Erfahrungen mit diesen kombinierte Gesamtlösungen durchaus positiv sind.

Zu empfehlen ist aber auf jeden Fall eine Strategie für die ungünstigsten der denkbaren Fälle. Ein solcher ungünstiger Fall läge zum Beispiel vor, wenn die involvierten Hersteller die Zusammenarbeit aus unternehmenspolitischen Gründen nicht mehr fortsetzen oder weiter entwickeln. Dann könnte es zum Beispiel dazu kommen, dass die Lösung nicht mehr erweitert werden kann, etwa um gestiegenen Leistungs- und Skalierungsanforderungen zu genügen. In dem Moment, in dem man die Lösung auf eigene Initiative und ohne Einhaltung der Herstellervorgaben verändert und erweitert, begibt man sich wieder zurück auf die Ebene der Betreiberverantwortung. Für diesen Tag muss man gewappnet sein, vor allem durch Vorhalten der erforderlichen Expertise.

Offene Systeme sind nicht am Ende
Auch wenn die Verlockung, offene Systeme durch proprietäre zu ersetzen, nie so groß gewesen ist wie heute, sind wir der Meinung, dass offene Systeme nicht am Ende sind. Nur ein Teil der Unternehmen wird den Weg zurück zu einer proprietären Welt im RZ einschlagen, und von diesen Unternehmen werden die meisten nur Teile ihrer Rechenzentren mit proprietären Lösungen versehen und andere Teile weiterhin als offene Systeme gestalten.

Ob und wenn ja welche neuen Standards den Betrieb der offenen Systeme erleichtern werden ist noch offen.

zugeordnete Kategorien: LAN
zugeordnete Tags:

Sie fanden diesen Beitrag interessant? Sie können



Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.