Der ADMIN 05/13 wirft einen Blick auf die frei verfügbaren Cloud-Frameworks von Eucalyptus über OpenNebula bis OpenStack. Gute Aussichten für skalierbare ... (mehr)

Fortgeschrittenes Netzwerken

Das Advanced-Netzwerk-Modell bringt dem Anwender zusätzlich jede Menge mächtiger Features. So sind dort VLANs die Standardmethode der Isolation, noch darüber hinaus gehen aber die Angebote für Software Defined Networks (SDN) von Nicira, BigSwitch und bald auch von Midokura, die die Beschränkungen von VLANs hinter sich lassen.

CloudStack macht ausgiebigen Gebrauch von systemeigenen VMs zur Kontrolle und Automation von Storage und Netzwerk. Eine solche System-VM ist der CloudStack Virtual Router (Abbildung 4). Die VM mit dem unschuldig klingenden Namen stellt in Wirklichkeit folgende Dienste bereit: DNS und DHCP, Firewall, Client IPsec VPN, Load Balancing, Source/Static NAT und Port Forwarding. Alle diese Dienste sind vom Enduser über die CloudStack-GUI oder die CloudStack-API frei konfigurierbar.

Abbildung 4: Eine Konfigurationsseite für die Virtual-Router-VM in CloudStack.

Sobald ein Anwender ein neues Gast-netzwerk aufbaut und Gast-VMs in diesem Netzwerk erzeugt, werden diese VMs automatisch einer eigenen Layer-2-Broadcast-Domain zugeordnet, die von anderen Domains durch ein VLAN isoliert ist. Es besteht volle Kontrolle über den eingehenden und ausgehenden Traffic inklusive einer direkten Anbindung an das öffentliche Internet.

Firewall- und Port-Forwarding-Regeln erlauben es, IP-Adressen auf jede gewünschte Anzahl von VMs zu mappen. Das Load Balancing ist mit Round-Robin-, Least-Connections- und auch mit Source-Based-Algorithmen verfügbar. App-Cookie- oder LB-Cookie-Stickiness-Policies sind von Anfang an verfügbar.

Ein anderes leistungsstarkes Feature des Advanced-Network-Modells ist die Virtual Private Cloud (VPC). Damit ist es den Benutzern möglich, mehrschichtige Netzwerkkonfigurationen innerhalb der VLANs für ihre VMs anzulegen. Den Datenfluss zwischen den Netzwerkschichten und ins Internet kann der Anwender über ACLs steuern. Eine typische Konfiguration könnte beispielsweise die drei Schichten Web, App und DB enthalten, wobei nur der Web-Tier Internetzugang hätte.

VPCs bringen darüberhinaus weitere Features mit, etwa Site-2-Site-VPNs, mit denen sich persistente Verbindungen in andere Rechenzentren oder sogar andere Clouds aufbauen lassen. Weiter gibt es ein VPC-Private-Gateway, das ein zweites Gateway neben dem Virtual Router bereitstellt und die Verbindung zu anderer Infrastruktur, etwa einem MPLS-Network anstelle des Internet, ermöglicht.

Traffic aufteilen

CloudStack optimiert die Verwendung der Netzwerkarchitektur eines Rechenzentrums durch die Aufspaltung des Traffics auf verschiedene Gruppen einzelner oder gebondeter NICs eines Compute-Knotens. Insgesamt können vier Typen physischer Netzwerke konfiguriert werden, die jeweils ein Interface oder einen Interface-Verbund (Bond) nutzen. Die vier Typen sind:

Management: Zur Verwendung mit den CloudStack-Management-Servern und anderen Komponenten. Wird manchmal das Orchestration Network genannt.

Guest: Für alle Gast-VMs zur Kommunikation mit anderen Gästen oder Gateways wie den Virtual Routers, Juniper SX Firewalls, F5 Load Balancers und so weiter. Im Advanced-Modus lassen sich mehrere Gastnetzwerke einrichten, die dann einzelnen Gästen oder Funktionen zugeordnet werden können.

Public: Verbindet im Advanced-Modus die Virtual Router mit dem öffentlichen Internet. Im Basic Network Mode existiert es nur, wenn ein Citrix NetScaler verwendet wird. In diesem Fall stellt es die Elastic-IP- und Elastic-LB-Services bereit.

Storage: Wird verwendet, um die Verbindung zum Secondary Storage herzustellen. So optimiert es den Traffic, der beim Erstellen neuer VMs aus Templates oder beim Anlegen von Snapshots entsteht. Diese netzwerkintensiven Operationen beeinträchtigen so anderen Verkehr nicht.

Auch der Netzwerkverkehr zur Anbindung des Primary Storage lässt sich aus Gründen der Verfügbarkeit oder Performance auf bestimmte NICs auslagern.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021