Netzwerksicherheit in virtuellen Umgebungen

Virtuelle Switche vereinfachen die Migration

Bei der Migration einer virtuellen Maschine auf einen anderen Host muss dessen Anbindung an die Umgebung berücksichtigt werden. Hierbei gilt es einige Fallstricke zu beachten. Die heute verfügbaren virtuellen Netzwerk-Switche der Virtualisierungslösungen existieren nur im Kontext eines einzelnen Hypervisor. Nach außen sind sie nicht sichtbar. Wird nun eine VM von einem Host auf einen anderen umgezogen, so verliert sie ihre Verbindung zum virtuellen Switch des ursprünglichen Hosts. Daher müssen bei der Umschichtung virtueller Maschinen immer auch die Netzwerkanbindungen beachtet werden.

Probleme mit der Netzwerkanbindung kann man vermeiden, indem auf beiden Hosts ein virtueller Switch mit den gleichen IP-Segmenten und Adressen eingerichtet wird. Allerdings erfordert dies die Konfiguration von je einem identischen Switch pro Host. Einfacher wird es hingegen, wenn die Netzanbindung aus dem Kontext des einzelnen Hypervisors herausgelöst wird und stattdessen eine zentral verwaltete Netzwerkkomponente die Aufgabe übernimmt.

Hierzu dienen sogenannte virtuelle Distributed-Switche, die VMware im Kontext von vSphere 4 liefert. Um auch Drittanbietern eine Integration ihrer Switche zu ermöglichen, öffnet der Virtualisierungsspezialist das Interface in der vNetwork API nach außen. In dieses klinkt sich beispielsweise Cisco mit seinem Nexus 1000V ein, der dann über die Standard-IOS-Tools verwaltet wird. Der virtuelle Switch kommuniziert über die vNetwork API mit vSphere und stellt virtuelle Switch-Funktionen bereit. Auch Citrix will in Zukunft virtuelle Switche im XenServer anbieten.