Server streben Kontrolle über ihre Netzwerke an: „intelligente Dienste – dumme Netzwerke“, ist das die Zukunft?

Kommentieren Drucken


Erinnern Sie sich an ATM und RSVP? Als Tiger abgesprungen, als Maus gelandet. Immer wieder hat es in den letzten 20 Jahren den Versuch gegeben eine anwendungsspezifische Ende-zu-Ende-Kontrolle in Netzwerken zu etablieren. So dass eine Applikation eben sicher sein konnte, dass ihr spezifischer Bedarf erfüllt wird. Alle diese Versuche sind an der Komplexität der Aufgabe und der Umsetzung für den Betreiber gescheitert.

Nun ist es wieder so weit. Aus der Server-Welt kommt der Wunsch, Netzwerke durch Applikationen zu kontrollieren und dabei so zu gestalten, dass der Bedarf der Applikationen erfüllt wird. Die Idee ist, dass Applikationen zusammen mit passenden virtuellen Maschinen und einem „Netzwerk-Container“ ausgeliefert werden, der es ihnen erlaubt, ihr eigenes Netzwerk als zusätzliches Layer auf der Basis eines bestehenden IP-Netzwerkes umzusetzen. Was bedeutet „eigenes“ Netzwerk?

Folgende Eigenschaften sind damit verbunden:

  • Eine Applikation „sieht“ nur ihre Kommunikationspartner in anderen virtuellen Maschinen, Speichersystemen etc.
  • Die konkrete Hardware-Architektur des darunter liegenden realen Netzwerkes ist dabei unerheblich. Im Prinzip können Teile einer Applikation in unterschiedlichen Standorten oder auch in der Cloud liegen
  • Dieses applikationseigene Netzwerk wird komplett gegen den Rest der Welt abgeschottet. Die Applikation übernimmt die volle Verantwortung für ihre Netzwerksicherheit
  • Um dies zu erreichen, werden in dem „Netzwerk-Container“ alle notwendigen Netzwerk-Instanzen wie Firewalls, Load-Balancer als virtuelle Instanzen gleich mit geliefert

Man kann auch sagen, dass eine Applikation ihr eigenes virtuelles Netzwerk mit sich bringt. Hört sich das ziemlich verwegen für Sie an? Nun, Martin Casado von Nicira/VMware spricht über „a change to networking with the same level of disruption virtualization produced to the server environment“. Also auf Deutsch gesagt, werden Netzwerke einer genauso umwälzenden Veränderung ausgesetzt sein, wie wir das auf der Serverseite durch Virtualisierung hatten.

Hat der Mann vollständig seinen Verstand verloren oder ist da tatsächlich eine reale Gefahr gegeben? Nun, zumindest ist bei den traditionellen Netzwerk-Herstellern eine erhebliche Nervosität zu beobachten. Als Gegenbewegung werden Application-aware Networks ins Leben gerufen (die allerdings in der Tat einen Beigeschmack vom ATM-Desaster aufkommen lassen). Also, wo stehen wir wirklich:

  • Im Umfeld von Servern haben wir inzwischen deutlich mehr Software-Ports in virtuellen Switches als in der Hardware.
  • Wurden den virtuellen Switches zu Beginn mehr Probleme als Lösungen zugeordnet, so hat sich ihr Leistungsvermögen in den letzten Jahren immer weiter ausgedehnt. Nicht nur nähern sie sich der 10Gig-Grenze immer mehr an, auch der sonstige Funktionsumfang nimmt zu. Virtuelle Switches müssen als Netzwerk-Instanzen sehr ernst genommen werden.
  • Tatsächlich haben die Netzwerker den Bedarf der Server- und Applikations-Fraktion arrogant verschlafen. Seit Jahren wird auf der Server-Seite intensiv daran gearbeitet, eine One-Touch-Installation auch komplexer Anwendungen umzusetzen, so dass der alte Werbespruch der Virtualisierung, eine neue Applikation in Minuten ausgerollt zu haben, endlich Wirklichkeit wird. Tatsächlich ist das Netzwerk der Bereich, der diesem Ziel am intensivsten im Wege steht.

Natürlich treffen hier auch unterschiedliche Hersteller-Interessen aufeinander. VMware muss sein Geschäftsmodell dringend ausdehnen. Mit einfacher Virtualisierung ist längst kein Blumentopf mehr zu gewinnen. Schon gar nicht zu den Lizenzpreisen von VMware. Und schon gar nicht im direkten Kampf mit Microsoft, der zunehmend bedrohlicher für VMware wird. Wer als erster eine glaubwürdige Automatisierung von Applikationen von der Installation bis zum selbstoptimierenden Betrieb liefert, der hat wieder Argumente, um mehr Geld für Software zu verlangen. Also lohnt es sich aus der Sicht von VMware auch, eine Milliarden-Investition in Nicira zu tätigen und damit auch gleichzeitig ein Spitzenteam von Netzwerkern der Stanford-Universität einzukaufen.

Der Konflikt „VMware NSX kontra Cisco“ ist ein Konflikt der Software-Hersteller mit der gesamten Netzwerk-Branche. Allerdings trifft dieser Konflikt keinen so intensiv wie Cisco. Cisco ist der Anbieter, der Netzwerke über Zusatzdienste „intelligenter“ macht und so für seine dicken Schlachtschiffe der Bauart Catalyst 6000 und Nexus deutlich mehr Geld verlangen kann als für ein einfaches Standard-Netzwerk. Während sich Anbieter wie Alcatel-Lucent, Avaya, Extreme und HP darauf konzentrieren, Standardkomponenten mit Standard-Chips zu liefern, ist Cisco immer auf der Suche nach einer Zusatzleistung, die verkauft werden kann. Zum Teil mit Grund. Verfahren wie LISP und OTV sind ein gutes Beispiel dafür, dass es einen Bedarf über etablierte Standards hinaus gibt.

Wer wird diesen Kampf gewinnen? Wird die Software-Industrie die Hardware-Netzwerke überrollen? Nun, so einfach ist es natürlich nicht. Die schöne heile Welt der Netzwerk-Container und Virtualisierung setzt dummerweise ein leistungsfähiges und funktionierendes Basis-Netzwerk voraus. Und das hat im Zeitalter eines 10/40/100-Gigabit-Designs seine eigenen Herausforderungen. Aber auf jeden Fall wird es weiterhin aus Hardware bestehen.

Die Kernfrage liegt in der Floskel „Intelligente Dienste – dumme Netze“. Hier deutet sich an, dass wir eine Intelligenz brauchen, die es bisher nicht gibt. Und die Frage ist, wer diese in Zukunft liefern wird: die Serverseite oder die Netzwerk-Fraktion. Ein aktuelles Beispiel dazu: virtualisierte Server brauchen bei wandernden virtuellen Maschinen eine ortsneutrale IP-Adressierung, die nicht an lokale Subnetzbereiche gebunden ist. Das kann man natürlich mit den Nicira-Overlays oder einer sogenannten Edge-Provisioning realisieren. Man kann aber auch auf der Netzwerkseite neue Dienste wie LISP schaffen. LISP separiert zwar die Applikationsnetze nicht und schafft somit keine neue Form von VLAN wie das NSX macht, aber es löst das Adressierungsproblem. Genauso könnte man sich eine neue Form der Netzwerk-Virtualisierung und eine neue VLAN-Technik auf Netzwerk-Ebene vorstellen. Tatsache ist, dass die Netzwerk-Entwickler hier seit vielen Jahren gemütlich schlafen. Die Kritik an QoS und VLANs ist so alt wie die Geschichte der Netzwerke. Und immer noch gibt es keine runde Lösung dafür. In diese Unfähigkeit der Weiterentwicklung stößt das Nicira/VMware-Lager. Hoffen wir, dass jetzt die Netzwerk-Entwickler aufwachen und endlich wieder kreativ werden. Tatsache ist, dass Eile geboten ist. Natürlich weiß auch Martin Casado, dass er sich im Moment noch auf das vorhandene Hardware-Basis-Netzwerk abstützen muss und darauf keinen Einfluss hat. Aber wie es der Zufall so will, ist er auch einer der Gründungsväter von SDN. Ein Schelm, der Böses dabei denkt. Hat VMware wirklich das viele Geld nur für NSX bezahlt oder geht es in Wirklichkeit um mehr? Ist NSX vielleicht in Wirklichkeit nur der erste Baustein einer wesentlich weitergehenden Strategie?

Auf jeden Fall eine spannende Situation. Wir greifen das Thema auf dem ComConsult Netzwerk Forum 2014 auf und kombinieren das mit der Diskussion um neue Design-Ansätze für den Campus und die sichere und wirtschaftliche Integration mobiler Teilnehmer.

Auf dem Forum diskutieren wir Fragen wie:

  • Brauchen wir das alles? Reicht nicht ein gutes 10/40/100 Bandbreiten-Design aus, um auch wirklich jeden Bedarf abzudecken?
  • Wie sieht denn ein modernes 10/40/100 Design denn zum Beispiel für den Campus und den Access-Bereich aus? Wir haben in den letzten Jahren viel über das Rechenzentrum diskutiert, aber wo stehen wir in den anderen Netzwerk-Bereichen? Lassen sich die neuen Fabric-Ansätze aus dem RZ zum Beispiel sinnvoll auf den Campus übertragen?
  • Das universelle Netzwerk für alles und jeden existiert ind dieser Form sicher nicht mehr so wie früher. Nichts unterstreicht das so stark wie die Diskussion um die RZ-Netzwerke. Der Ost-West-Verkehr zwischen Servern und Speicher-Systemen in Kombination mit der potenziellen Ablösung von Fibre Channel hat hier ganz spezielle Anforderungen geschaffen, die nur mit speziellen Verfahren wie DCB zu erfüllen waren. Aber kann trotzdem der Anspruch eines Dienst-neutralen Netzwerks aufrecht erhalten werden, auch wenn immer mehr Spezialfälle in unsere Netzwerke Einzug halten?
  • Wie sieht es dann mit der Integration mobiler Teilnehmer aus? Hier besteht ein erheblicher Sicherheitsbedarf auch im Netzwerk. Wie decken wir denn „Dienstneutral“ ab?
Netzwerk Insider monatlich erhalten

Falls Ihnen als registrierter User diese Ausgabe des Netzwerk-Insiders nicht mehr vorliegt, senden wir Ihnen diese gerne auf Anfrage zu: Insider anfordern
Wenn Sie zukünfitg auch den Netzwerk Insider kostenfrei beziehen wollen, dann müssen Sie sich nur registrieren. Sie erhalten dann aktuelle Informationen und den Netzwerk Insider als PDF-Dokument per E-Mail zugesandt. Zur Registrierung

Sie fanden diesen Beitrag interessant? Sie können



Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.