Von: Dr. Klaus Plessner
"Viele Firmen ersetzen ihre Host-Rechner durch mehrere kleine Systeme, wenn sie ihre Dienste online bringen wollen", sagte Guido Thater, Product Manager Web-Computing beim Beratungshaus CC Compunet. Mithilfe von Server-Loadbalancern verbinden die Firmen die Modularität moderner Infrastrukturen für Webservices mit den Stärken ihrer klassischen Host-Umgebungen, nämlich mit Hochverfügbarkeit, Sicherheit, Skalierbarkeit und Administrierbarkeit.
Unternehmen wollen vermeiden, dass der Ausfall eines Systems einen Service zum Zusammenbruch bringt. Daher müssen sie alle erforderlichen Geräte wie die Firewall, den Webserver oder den Content-Filter mindestens doppelt auslegen. "Der Loadbalancer oder Content-Switch sorgt für eine dynamische Lastverteilung, solange beide Komponenten funktionieren. Setzt eine aus, leitet er alle Daten an das übrige Gerät", so Thater.
Höhere Sicherheit: Entlastung der Firewall
Dazu kommen Aufgaben der IT-Sicherheit. Die Firma Radware, Hersteller von Hardware-Loadbalancern, bezeichnet sich selbst als Security-Anbieter, weil ihre Geräte nach Inhalten filtern und Denial-of-Service-Angriffe bekämpfen. "Sie kommen dort zum Einsatz, wo sie die größte Wirkung haben", erklärte Thorsten Scheuermann, Marketingleiter von Radware. Sooft der Loadbalancer, der direkt hinter dem Access-Router installiert ist, eine DoS-Attacke abhält, entlastet er die Firewalls.
Loadbalancer beschleunigen die Virenprüfung auf dem Server und auch URL-Filter. Wenn Virenscanner den gesamten Mailverkehr nach Schädlingen durchsuchen, werden sie schnell zum Flaschenhals des Firmennetzes. Lastenverteiler wie der "Content Inspection Director" von Radware können die Performance um 500 Prozent erhöhen, schätzt Scheuermann. Einerseits schalten sie mehrere Filter parallel und sorgen für eine gleichmäßige Auslastung. Andererseits treffen sie selbst bereits eine Vorauswahl und verringern den Arbeitsaufwand der Content-Filter.
Im Gegensatz zu Clustering-Tools, die mehrere gleiche Komponenten zu einem ausfallsicheren Verband zusammenschließen, können Loadbalancer Firewalls oder Virenscanner verschiedener Hersteller kombinieren. "Wenn eine Firma von einer Firewall auf eine andere migrieren will, kann sie mit dem Loadbalancer in der Übergangsphase beide Systeme parallel betreiben, sodass die Migration keine Serviceunterbrechung erfordert", sagte Thater von CC Compunet.
Mehr Effizienz: Bessere Auslastung der Server
Neben der Sicherheit und der Hochverfügbarkeit verbessern Loadbalancer schließlich die Effizienz einer IT-Umgebung. Bevor Firmen einen weiteren Server oder eine Firewall installieren, können sie damit die Arbeitslast besser verteilen. Sind zum Beispiel die VPN-Gateways zweier Abteilungen verschieden ausgelastet, eines zu zwanzig Prozent und das andere zu 90 Prozent, so kann ein Loadbalancer die freien Kapazitäten des unterforderten Gateways für das überlastete nutzen.
Für eine Effizienzsteigerung des Internetzugangs sorgen Loadbalancer, welche die Datenströme mehrerer Verbindungen zu verschienenen Providern managen. Michael Frohn, General Manager Central Europe bei F5, einem Hersteller von Content-Switches, schildert, wie Firmen mit dem Loadbalancer "Big IP Link Controller" von F5 sparen können: Wenn sie den Webserver standardmäßig über einen möglichst billigen Link ans Internet anschließen. Ein zweiter Anschluss zu einem Provider mit Servicegarantien überträgt die VPN-Daten der Firmenkommunikation und dient als Reserveleitung, wenn die erste ausfällt oder überlastet ist. Das Umschalten übernimmt der Switch. "Alteon Link Optimizer" von Nortel Networks oder "Linkproof" von Radware leisten dasselbe.
Auch im Unternehmensnetz erhöhen Loadbalancer die Servicequalität, sofern sie die Applikations-Header der Datenpakete auslesen können. F5 beruft sich hier auf Partnerschaften mit Softwareanbietern wie Bea, Citrix, Microsoft, Oracle, Peoplesoft, SAP oder Siebel. Mit Interfaces zu verschiedenen Produkten vermittelt die Software "Application Traffic Management", die auf allen Appliances des Herstellers läuft, den Zugriff auf parallel geschaltete Anwendungsserver.
Redundanter Aufbau: Doppelte Auslegung aller Knoten
Die Architektur eines Loadbalancing-Systems ist nicht immer gleich und hängt von mehreren Umständen ab. Carsten Queisser, Product-Marketing-Manager bei Cisco Systems, nennt den Grad der Hochverfügbarkeit als Faktor, ebenso wie die Zahl der gemanagten Server und weiterer Komponenten sowie das Maß an Intelligenz, dass der Loadbalancer haben muss. "Generell kann gesagt werden, dass jeweils ein Paar von Lastenverteilern sinnvoll ist", so Queisser.
Die Geräte sollten möglichst dicht an den Servern stehen. "Im ersten Schritt können die Server direkt und später aus Gründen der Skalierbarkeit auch über VLANs angeschlossen werden", sagte Matthias Hinkel, Senior Consultant Partner bei Nortel Networks Deutschland. Es komme oft vor, dass Kunden zu einem späteren Zeitpunkt neue Funktionen benötigen, zum Beispiel eine SSL-Terminierung, wie sie der Alteon-Loadbalancer "SSL Accelerator" durchführt; oder auch das Gerät "Certain T" von Radware. F5 hat ein SSL-Modul für Big-IP-Switches im Programm.
Was die Auswahl der Techniken anbelangt, ob man einen IP-Switch mit Zusatzfunktionen für das Port-Loadbalancing verwendet, einen Content-Switch, der bis zur Ebene 7 des OSI-Modells filtert, oder eine Softwarelösung, so glauben die Hardwareanbieter, dass ihre Produkte gegenüber Loadbalancer-Programmen schneller und zuverlässiger sind. "Produkte, die auf Software basieren, laufen über kurz oder lang in Performance, Skalierungs- und Hochverfügbarkeitsengpässe", sagte der Cisco-Manager.
Der Vorteil von Softwarelösungen wie "B-100 IP Loadbalancer OS" von der Berliner Firma Brainforce Software GmbH liegt im günstigen Preis. Sie bieten zwar weder den großen Umfang an Filterfunktionen wie eine Appliance von Radware oder F5, noch die hohe Performance und Portdichte eines Content-Switches von Cisco oder Nortel Networks. Für Anwender mit geringeren Ansprüchen erlauben sie jedoch einen preiswerten Einstieg in die Technik des Loadbalancing.