Abo
  • Services:

Am konkreten Beispiel: Openstack

Besser verständlich ist die Idee hinter SDN und Open vSwitch anhand eines konkreten Beispiels. Openstack bietet sich an: Eine typische Openstack-Cloud enthält alle Faktoren, die SDN sinnvoll und effektiv nutzbar machen. Hier müssen Kunden ihre Netzwerke selbst verwalten können und gleichzeitig muss es möglich sein, eigene VMs mit der Außenwelt kommunizieren zu lassen und öffentliche IPs zu vergeben. Traffic verschiedener Kunden darf sich dabei keinesfalls behindern. Außerdem muss die Kommunikation von VMs, die zum gleichen Kundennetz gehören, auch dann funktionieren, wenn die VMs auf unterschiedlichen Computing-Hosts laufen. Damit VMs innerhalb von Kundennetzen überhaupt mitspielen können, bedarf es einer mit der Cloud integrierten Lösung für DHCP.

Stellenmarkt
  1. Dataport, Hamburg
  2. Visteon Electronics Germany GmbH, Karlsruhe

In fast allen Szenarien existieren in einer Openstack-Cloud mindestens zwei Arten von Server-Typen: Controller-Knoten betreiben alle Dienste, die für Openstack selbst relevant sind, und Hypervisor-Knoten beheimaten die VMs, die Kunden per API oder Webinterface starten. Zudem kümmert sich in Openstack ein eigener Dienst um das Thema SDN. Dieser heißt Neutron und besteht aus vielen Komponenten.

Die Neutron-API enthält die gesamte Konfiguration und dient als Anlaufstelle für Clients, die die SDN-Konfiguration verändern wollen. Sie läuft auf den Controller-Knoten. Auf allen Servern arbeitet im Default-Setup der Layer-2-Agent für Open vSwitch. Dieser richtet auf Basis der Konfiguration in der API auf jedem Host die lokalen virtuellen Switches so ein, dass virtuelle Maschinen dort andocken können. Er sorgt auch dafür, dass die GRE- oder auch VXLAN-Verbindung zwischen allen Hosts funktioniert. Im Grunde ist es also die Aufgabe des L2-Agents, Underlay und Overlay herzurichten. Daher rührt auch der Name: Der L2-Agent schafft den "virtuellen" Layer 2 nach dem OSI-Modell, also die virtuellen Switches, mit denen sich VMs anschließend verbinden.

Auf den Controllern ist außerdem der DHCP-Agent zu Hause: Weil die Controller zum Overlay gehören, kann auf ihnen für jedes Kundennetzwerk ein DHCP-Server laufen. In Openstack ist das in der Standardkonfiguration übrigens dnsmasq.

Internet per Network Namespace

Nicht zu vergessen sind auch die Layer-3-Agents. Sie versorgen Kunden-VMs mit Internet. Ihr Name ist wieder ein Verweis auf das OSI-Modell: Die L3-Agents legen die virtuellen Router an, über die VMs die Welt außerhalb des eigenen Netzwerks erreichen. Damit das funktioniert, definiert der Anbieter ein öffentliches Netz, das ins Internet geroutet ist. Kunden können anschließend ihre privaten Netze mit diesem öffentlichen Netz verbinden. Auf Systemebene der Controller ist die Verbindung zwischen Kunden- und Public-Netzwerken per Network Namespace realisiert. Das ist eine Art virtueller Netzwerk-Stack des Hosts, dessen virtuelle Netzwerkkarten außerhalb des Namespaces unsichtbar sind. Network Namespaces sind ein Kernel-Feature, das alle aktuellen Systeme bieten.

Ist ein Network Namespace mit einem externen Netzwerk verbunden, gibt es darin sowohl ein Interface mit öffentlicher IP als auch eines mit einer IP aus dem Kundennetz, das im Hintergrund an Open vSwitch andockt. SNAT-Regeln (Source Network Address Translation, also IP-Masquerading) innerhalb des Namespaces bieten VMs die Möglichkeit, mit der Außenwelt zu kommunizieren. Soll eine VM über eine öffentliche IP erreichbar sein, wird diese IP im Network Namespace aktiviert und per DNAT (Destination Network Address Translation, also gezielte Paket-Weiterleitungen) an die private IP der VM durchgereicht, der sie zugewiesen ist. Der Clou: Anwendungen, die in einem Network Namespace gestartet werden, können diesen nicht verlassen. So sorgt Openstack dafür, dass Traffic von unterschiedlichen Kunden nicht kollidiert, selbst wenn diese öffentliche IPs aus den gleichen Netzen verwenden.

Übrigens: DNAT für die Erreichbarkeit per öffentlicher IP-Adresse führt zwar in regelmäßigen Abständen zu Verwunderung, ergibt im SDN-Kontext aber Sinn. Die Idee dahinter ist, einen Pool von IPs zu haben, aus dem sich Kunden nach Bedarf bedienen können. Denkbar wäre theoretisch auch, einzelnen VMs IPs fix zuzuweisen. Allerdings wissen vermutlich nicht alle Kunden, wie sie in ihren VMs überhaupt eine IP einrichten. Zudem verstößt das Prinzip, Kunden statische IPs seitens des Anbieters fest zuzuweisen, gegen das Gebot der maximalen Skalierbarkeit. Denn niemandem ist geholfen, wenn ein Kunde IP-Adressen bezahlen muss, die er eigentlich gar nicht braucht.

Das "Floating-IP"-Prinzip löst dieses Problem, indem es Kunden die Option gibt, einzelne IPs bei Bedarf zu reservieren oder wieder freizugeben. Verwalten lässt sich das in der Cloud aber nur dann ordentlich, wenn das gesamte Handling öffentlicher IP-Adressen auf der SDN-Ebene und außerhalb der VMs passiert. Obendrein ermöglicht das Floating-IP-Prinzip auch die einfache Migration von öffentlichen IPs hin zu neuen VMs. Das kann besonders bei Updates hilfreich sein: Wer ein neues MySQL ausrollen möchte, kann eine neue VM mit entsprechender Datenbank und passendem Datenstand im Hintergrund vorbereiten und am Tag der Migration einfach die IP auf die neue VM umstellen.

Das beschriebene Setup ist ein guter Beweis für die Möglichkeiten, die SDN in Clouds bietet. Denn Kunden können in diesem Konstrukt virtuelle Netze nach Gutdünken anlegen und mit der Außenwelt verbinden. Traffic verschiedener Kunden ist strikt voneinander getrennt, ohne dass es auf Hardware-Ebene kompliziert wird. Nach dem anfänglichen Setup entsteht für den Anbieter nur bei Updates oder Wartungsarbeiten Aufwand; im Alltag muss er sich mit dem Thema Kundennetze nicht weiter befassen.

  • Open vSwitch ist eine offene Implementation von Openflow, die den Betrieb einer Control Plane auf einem normalen Server ermöglicht. (Bild: Openflow-Projekt)
  • Open vSwitch legt auf den SDN-Hosts virtuelle Switches an, deren Konfiguration mittels "ovs-vsctl show" einsehbar ist. (Screenshot: Martin Loschwitz)
  • Das Ziel eines SDN-Setups besteht darin, Kunden die Verwendung von Netzwerk in einer Cloud vollständig selbst zu überlassen. (Screenshot: Martin Loschwitz)
  • Kommerzielle Lösungen wie Midonet von Midokura bieten erheblichen Mehrwert gegenüber einer reinen Open vSwitch-Installation. (Bild: Midokura)
Das Ziel eines SDN-Setups besteht darin, Kunden die Verwendung von Netzwerk in einer Cloud vollständig selbst zu überlassen. (Screenshot: Martin Loschwitz)
 Das Zauberwort heißt EntkopplungKommerzielle Lösungen bieten mehr Funktionalität 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Blu-ray-Angebote
  1. (u. a. Deadpool, Alien Covenant, Assassins Creed)
  2. (u. a. Der Marsianer, Spaceballs, Titanic, Batman v Superman)
  3. (2 Monate Sky Ticket für nur 4,99€)
  4. 4,99€

quasides 04. Apr 2016

Lol Hetzner :) naja billig issa Ansonsten kann man auch mal bei Rackspace und consorten...

quasides 04. Apr 2016

OP wünscht sich einen Stillstand in der Entwicklung damit er mit seinem begrenztem Wissen...

Proctrap 03. Apr 2016

der gute arbeitet, wie sehr gut sichtbar unten bei syseleven ist daher selber...


Folgen Sie uns
       


Kameravergleich Smartphones

Samsungs Galaxy S9+ macht gute Fotos - auch im Vergleich zur Konkurrenz, wie unser Vergleichstest zeigt.

Kameravergleich Smartphones Video aufrufen
P20 Pro im Kameratest: Huaweis Dreifach-Kamera schlägt die Konkurrenz
P20 Pro im Kameratest
Huaweis Dreifach-Kamera schlägt die Konkurrenz

Mit dem P20 Pro will Huawei sich an die Spitze der Smartphone-Kameras katapultieren. Im Vergleich mit der aktuellen Konkurrenz zeigt sich, dass das P20 Pro tatsächlich über eine sehr gute Kamera verfügt: Die KI-Funktionen können unerfahrenen Nutzern zudem das Fotografieren erleichtern.
Ein Test von Tobias Költzsch

  1. Android Huawei präsentiert drei neue Smartphones ab 120 Euro
  2. Wie Samsung Huawei soll noch für dieses Jahr faltbares Smartphone planen
  3. Porsche Design Mate RS Huawei bringt 512-GByte-Smartphone für 2.100 Euro

Physik: Maserlicht aus Diamant
Physik
Maserlicht aus Diamant

Ein Stickstoff-Fehlstellen-basierter Maser liefert kontinuierliche und kohärente Mikrowellenstrahlung bei Raumtemperatur. Eine mögliche Anwendung ist die Kommunikation mit Satelliten.
Von Dirk Eidemüller

  1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
  2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
  3. Crayfis Smartphones sollen kosmische Strahlung erfassen

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

    •  /