VMware Virtual Cloud Network
Intelligent vernetzte Wolken
Die Unternehmens-IT ist heute verteilt auf Private Cloud-, Public-Cloud- und Edge-Umgebungen, also Zweigstellen- oder IoT-Netze. Dieser Zoo geografisch und logisch getrennter Versatzstücke will performant, skalierbar und vor allem sicher vernetzt sein. Eben dies soll VMwares Virtual Cloud Network leisten. Es vereint dazu Technik für Netzwerkvirtualisierung, SD-WAN (Software-Defined WAN), Load-Balancing und die KI-basierte Netzwerkanalyse.
Die Technologien für sein Virtual Cloud Network (VCN) hat VMware teils im Hause entwickelt, teils durch eine ganze Reihe von Akquisitionen an Bord geholt und zu einem Angebot für die skalierbare Vernetzung von Hybrid-Cloud-Umgebungen integriert. Die Historie des Produkts reicht inzwischen schon zwei Jahre zurück: „Mit dem Angebot Virtual Cloud Network haben wir ab 2018 alle Elemente für ein Cloud-Netzwerk mit Visibility, Mikrosegmentierung und intrinsischer Sicherheit zusammengefasst“, erläuterte Martin Rausche, SE Director SD-WAN EMEA bei VMware, gegenüber LANline.
Dank der Übernahme des SD-WAN-Spezialisten VeloCloud Ende 2017 sei dabei
SD-WAN-Technik von Beginn an ein VCN-Baustein gewesen. Zu den weiteren Elementen zählen laut Rausche „Netz-werkeinblick mit ML-basiertem Flow-Monitoring mittels Veriflow, NSX Intelligence mit SD-Firewall, der softwarebasierte Load Balancer aus der Avi-Networks-Akquisition oder die KI-basierte Netzwerkanalyse aus der Nyansa-Akquisition Anfang des Jahres.“ Die Akquisitionsserie und die folgende Integrationsarbeit zielen laut Rausche auf den Ende-zu-Ende-Überblick über die Hybrid-Cloud-Umgebung.
Die letzten VCN-Neuerungen betreffen laut dem VMware-Mann die Bereiche SD-WAN, die KI-basierte Netzwerkanalyse mittels vRealize Network Insight (vRNI), aktuell in Version 5.2, sowie die Netzwerk-Virtualisierungslösung NSX-T 3.0. VMware unterscheidet zwei NSX-Varianten: NSX-V, basierend auf der Nicira-Akquisition von 2012, diente ursprünglich rein der Netzwerkvirtualisierung und Mikrosegmentierung im mittels vSphere virtualisierten oder „softwaredefinierten“ Datacenter (SDDC). Dem gegenüber erhebt die jüngere und erweiterte Variante NSX-T den Anspruch, ein softwaredefiniertes Netzwerk bis zur Applikationsebene (Layer 2 bis 7) zu etablieren, das sich für Multi-Hypervisor-Landschaften ebenso eignet wie für Bare-Metal- oder Cloud-native (also containerisierte) Umgebungen. NSX-T gibt es in den Geschmacksrichtungen NSX-T Data Center und NSX Cloud.
„NSX-T bringt in Version 3.0 zwei interessante neue Fähigkeiten mit“, sagt VM-
ware-Mann Rausche. Als erste nennt er Federation: „Dadurch kann man für mehrere Domains mit einem einzigen Global Manager agieren. Das heißt, eine Policy kann für Deployments im eigenen RZ ebenso gelten wie in fremden Domains, etwa in der Cloud.“ Dies soll laut VMware zum Beispiel das Management von Disaster-Recovery-Infrastukturen erleichtern, die Bausteine im Unternehmens-RZ wie auch in der Cloud umfassen.
Zweitens habe man die Mikrosegmentierung noch weiter getrieben: Mit NSX-T 3.0 wurde die Service-definierte Firewall in der NSX-Plattform um eine verteilte IDS/IPS-Lösung (Intrusion Detection/Protection System) erweitert, um den Ost-West-Verkehr selbst in dynamischen RZ-Umgebungen besser zu schützen. „Nun kann man auch ein IDS an Workloads binden“, erläutert Rausche, „bei einer Migration einer Workload zieht dann auch das IDS mit um.“
Des Weiteren unterstützt Version 3.0 laut einem VMware-Blog-Post zum Thema ein dynamisches Service-Chaining für den Datenverkehr von und zu VMs, Containern und Bare-Metal-Workloads. Der Edge-Knoten klassifiziere eingehenden Netzwerkverkehr dynamisch und verknüpfe Netzwerkdienste für applikationsbezogene Sicherheit und Monitoring.
Das Analyse-Tool vRealize Network Insight kann laut Rausche in der neuen Version 5.2 Flows mittels Machine Learning selbstständig erkennen. Allerdings gibt es diese ML-basierte automatische Erkennung von Applikationen auf Flow-Basis wegen der für ML nötigen CPU-Ressourcen derzeit nur in der SaaS-Variante – die On-premise-Version unterstützt dies hingegen noch nicht. Zudem bietet vRNI natürlich eine Integration mit NSX-T 3.0 für die Verarbeitung von Alerts des neuen IDS/IPS. Die Lizenzierung von vRNI basiere generell auf Workloads, also Sockets, vCPUs oder physischen Servern. Für reine SD-WAN-Umgebungen gebe es auch eine Lizenzierung nach Anzahl und Bandbreite der SD-WAN-Edge-Knoten.
In puncto SD-WAN wiederum unterstützt VMware nun eine netzwerkseitige Integration mit Azure, Azure Edge Zones und Azure Stack. So soll sich zum Beispiel Office-365-Traffic besser über Internetleitungen übertragen lassen. Zudem erleichtere VMwares SD-WAN damit die Umsetzung von Business-Continuity-Szenarien bei der Verwendung von Microsofts Cloud-Services – derzeit für viele Unternehmen ein heißes Thema.
Ebenfalls nützlich: Die Quality of Experience beim Videoconferencing lässt sich laut Rausche mittels Paketduplizierung verbessern: „Jedes Paket wird dann – sofern ausreichend Bandbreite vorhanden ist – doppelt geschickt, um Aussetzer oder Verpixelung durch gedroppte Pakete zu kompensieren“, erläutert der VMware-Experte.
VMware hat laut eigenen Angaben SD-WAN an 225.000 Kunden-Endpunkten im Betrieb. „Damit sind wir derzeit der größte SD-WAN-Anbieter“, sagt Rausche. „Erhältlich ist dies als kleine Appliances, etwa von der Größe eines DSL-Routers, oder auch als VNF (Virtual Network Function, d.Red.) für Telcos, im Einsatz etwa bei AT&T. Die Gegenstelle dazu bildet der Server im RZ oder ein Cloud-Gateway.“ Diese seien in der ganzen Welt verteilt. So könne man die Optimierungen zum Beispiel an den Peering Points und Exchange Points der SaaS-Anbieter nutzen oder SD-WAN-Gateways direkt in AWS-Cloud-Umgebungen und seit Kurzem eben auch in Azure installieren.
Lesen Sie mehr zum Thema
