Während virtuelle Server schon lange Standard sind, lösen sich erst allmählich auch die Netzwerkfunktionen von der Hardware. Doch bei der Einführung der Netzwerkvirtualisierung (Network Function Virtualization, NFV) im Rechenzentrum gibt es einige Herausforderungen und Stolpersteine zu beachten.

NFV ermöglicht es, Netzwerkfunktionen unabhängig von einer dedizierten Hardware zur Verfügung zu stellen. Während man bisher für jeden Router, Load Balancer und jede Firewall ein eigenes spezialisiertes Gerät benötigte, lassen sich solche Funktionen heute in virtuellen Maschinen auf Standardhardware betreiben. Dies bringt viele Vorteile: IT-Abteilungen sparen damit Hardwarekosten, Strom und Platz im Rack. Denn dank NFV können mehrere Netzwerkfunktionen parallel auf einem Standard-x86-Server laufen – wie viele, hängt von der Konfiguration des Servers und den benötigten Ressourcen ab. Zahlreiche Einzelgeräte lassen sich damit zu einem zusammenfassen.

Außerdem gewinnen Administratoren an Agilität: Sie können neue Funktionen schnell und einfach zur Verfügung stellen, ohne dass sie dafür das Netzwerk physisch umbauen müssen. Wollen sie zum Beispiel ein Intrusion-Prevention-System hinzufügen, setzen sie dafür einfach eine neue virtuelle Maschine auf und binden es in das virtuelle Netz ein. Die Hardware bleibt davon unberührt.

NFV eignet sich für alle Netzwerkfunktionen, die wenig Performance benötigen und bei denen Flexibilität wichtiger ist als Durchsatz. Für Anwendungen, die Hochleistungs-Forwarding mit sehr niedriger Latenz erfordern, ist NFV hingegen nicht geeignet. Dafür benötigt man nach wie vor spezialisierte Hardware. Auch große, zentrale Core-Knoten mit mehr als 50 GBit/s lassen sich nicht virtualisieren.

Unternehmen, die NFV einführen wollen, starten selten auf einer grünen Wiese. In der Regel haben sie eine bestehende IT-Landschaft, die es zu vereinfachen gilt. Vielleicht läuft für einzelne Komponenten demnächst die Wartung aus, sodass ohnehin eine Neuerung ansteht. Dies ist der ideale Zeitpunkt, um die Gerätezahl zu reduzieren und auf Virtualisierung umzusteigen.

Zur NFV-Einführung setzt eine IT-Organisation auf einem Standard-x86-Server einen Hypervisor auf, der die virtuelle Umgebung bereitstellt. Darauf laufen dann die jeweiligen VNFs (Virtual Network Functions), zum Beispiel Router, Load Balancer oder Firewall. Fast alle großen Hersteller von Netzwerkkomponenten bieten ihre Geräte mittlerweile in einer solchen virtuellen Version an. Sofern die im RZ bereits vorhandenen Server über ausreichend freie Ressourcen verfügen, muss die IT gar keine neue Hardware beschaffen. Denn VNFs können auf derselben Hardwareplattform laufen wie ein File-Server oder ein Active Directory.

Wie viel CPU und Speicher der Server benötigt, hängt vom jeweiligen Einsatzszenario ab. Wer für NFV einen neuen Server beschafft, sollte so kalkulieren, dass das Gerät mit den geplanten Anwendungen zu 50 Prozent ausgelastet ist. So bleibt genug Spielraum, um später weitere Funktionen hinzuzufügen, ohne dass gleich wieder die Hardware zu tauschen wäre. Ein einfaches Szenario kann beispielsweise anfangs aus drei VMs bestehen: einem virtuellen Router und einer redundanten virtuellen Firewall. Geeignete x86-Server gibt es von klassischen Server-Anbietern oder von den Netzwerkherstellern, die eine „angepasste Version“ mit mehr Netzwerk-Ports zur Verfügung stellen und den Support dafür übernehmen. Will man allerdings NFV an externen Standorten auf einem x86-Server nutzen, ist zu beachten, dass die Server in der Regel kein integriertes DSL-Modem enthalten. Dieses muss die IT zusätzlich besorgen und extern anschießen oder aber ein DSL-Router vorschalten.

Aufbau einer NFV-Umgebung. Bild: Axians Networks and Solutions

Für welchen Hypervisor man sich entscheidet, hängt von den Vorlieben der IT-Organisation und der bestehenden Umgebung ab. Am weitesten verbreitet sind VMware ESXi und das Open-Source-Projekt KVM/QEMU, das auf allen gängigen Unix-Derivaten läuft. Wer bisher schon mit VMware arbeitet, wird sich auch bei NFV für diesen Hypervisor entscheiden. KVM hat dagegen den Vorteil, dass es kostenfrei erhältlich ist. Beide Lösungen funktionieren gleichermaßen gut und haben ihre Anhänger.

So einfach NFV in der Anwendung ist, so komplex gestaltet sich das Management. Denn sobald eine VM hochgefahren ist, muss der Administrator sie konfigurieren. Jede virtuelle Netzwerkfunktion hat dabei ihr eigenes Management-System. Dafür benötigen Administratoren das entsprechende Know-how. Je mehr Funktionen zusammenkommen, desto komplizierter wird es also. Auch die virtuelle Umgebung will entsprechend konfiguriert sein. So gilt es zum Beispiel festzulegen, welche VM wie viele CPUs zur ausschließlichen Nutzung erhält, damit sich parallel laufende Anwendungen nicht gegenseitig die Ressourcen abgraben.

Eine spezielle Technik, mit der bisher nur wenige Administratoren vertraut sind, ist SR-IOV (Single-Root-I/O-Virtualisierung). Damit kann der Systemverwalter einer VM exklusiv ein physisches Interface zuordnen, auf das keine andere VM zugreifen kann. Da der Netzwerkverkehr dabei direkt zur VM geht und nicht erst durch den Hypervisor laufen muss, erhöht SR-IOV zudem den Durchsatz.

Eine weitere Herausforderung besteht darin, dass IT-Verantwortliche sich mit der Fehlersuche in einer virtuellen Umgebung auskennen müssen. Denn VNFs stecken noch in den Kinderschuhen und können durchaus den einen oder anderen Software-Bug enthalten. Nicht umsonst testen IT-Verantwortliche solche neuen Funktionen erst einmal in einem PoC (Proof of Concept).

Grundsätzlich empfiehlt es sich, NFV zunächst im kleinen Stil als Pilotprojekt zu testen. Provider, die ihren Business-Kunden Internetdienste zur Verfügung stellen und auf Netzwerkvirtualisierung umsteigen möchten, sollten dafür am besten einen kleinen, innovationsfreudigen Kundenkreis wählen. So bleibt das Risiko überschaubar, und sie können bei Problemen schnell noch einmal Anpassungen vornehmen. Funktioniert alles wie geplant, rollen sie das Projekt größer aus.

Schnell startklar mit dem Blackbox-Ansatz

Wer selbst nicht das nötige Fachwissen aufbauen möchte, sollte bei der Einführung von NFV mit einem externen Spezialisten zusammenarbeiten. Solche Berater kennen den aktuellen Markt und wissen, welche Produkte welcher Hersteller auf welchem Stand sind. Sie haben Erfahrung mit aktuellen Problemen und deren Lösung, übernehmen die Konfiguration der virtuellen Netzwerkfunktionen und kümmern sich auf Wunsch auch um den laufenden Betrieb und Support. Damit erhalten Unternehmen alles aus einer Hand und haben nur einen Vertrag für die Wartung – statt zehn verschiedener für die jeweiligen Komponenten.

Die komfortabelste Lösung für die NFV-Einführung ist ein Blackbox-Ansatz. Dabei erhält das Unternehmen einen nach seinen Bedürfnissen ausgestatteten Server, auch uCPE (Universal Customer Premises Equipment) genannt. Dieser ist entweder schon vorkonfiguriert oder erhält seine Einstellungen über das Internet. Dafür muss der IT-Verantwortliche das Gerät nur einstecken und online gehen. Die Blackbox meldet sich automatisch mit ihrer Seriennummer in der Cloud des Herstellers an, die den Kunden eindeutig identifiziert. Er wird nun an den Server des betreuenden Managed-Services-Providers oder Systemintegrators weitergeleitet, wo die Konfiguration für die NFV-Umgebung hinterlegt ist. Jetzt wird die CPE automatisch provisioniert, erhält die gewünschten virtuellen Netzwerkfunktionen und ist bei einer entsprechend schnellen Verbindung nach wenigen Minuten betriebsbereit.

Ein solcher Blackbox-Ansatz ist auch für Internet-Service-Provider oder Unternehmen attraktiv, die an Remote-Standorten ein Netzwerk einrichten wollen: Sie schicken einfach eine uCPE an ihren Business-Kunden oder an die Filiale und übertragen die Konfiguration dann automatisch via Internet. So müssen keine Experten vor Ort sein.

Noch steckt NFV in den Kinderschuhen und es gibt nur wenige Experten, die sich damit auskennen. Wer vor der Aufgabe steht, sein Netzwerk zu modernisieren, sollte sich jedoch jetzt schon damit auseinandersetzen. Denn Kostenersparnis, Flexibilität und Agilität sind Vorteile, auf die kein Unternehmen mehr verzichten sollte.

Ahmad Cheikh-Moussa ist Senior Consultant bei Axians Networks and Solutions, www.axians.de/de.