Switch und Appliance virtualiseren

Netzwerksicherheit in virtuellen Umgebungen

Der Switch verlässt den Hypervisor

Wenngleich sich die Konzepte der Implementierungen der verteilten virtuellen Switche unterscheiden, im Kern handelt es sich bei all diesen Varianten um übergreifende virtuelle Switche. Solch ein verteilter virtueller Switch ist damit für alle Hypervisors, die dafür konfiguriert sind, sichtbar. Wird nun eine VM von Host A nach Host B umgezogen, so behält sie alle Verbindungen zu den Ports des virtuellen Switchs. Angepasst werden muss lediglich der Uplink des Host zum externen Switch.

Der Einsatz eines virtuellen verteilten Switchs garantiert folglich, dass sämtliche Sicherheitsfunktionen bei einer Migration einer VM auch auf das Zielsystem übernommen werden. Dies vereinfacht die Migration erheblich. Die Definition eines verteilten virtuellen Switchs erfolgt immer außerhalb des Kontexts eines einzelnen Hypervisors. Im Idealfall kann damit die gesamte Konfiguration aller virtuellen Switche innerhalb einer einzigen Verwaltungskonsole erfolgen. Davon unberührt sind natürlich alle bestehenden physikalischen Switche und all jene, die innerhalb eines Hypervisors definiert wurden. Sie müssen entweder abgelöst werden oder sind in virtuelle Distributed-Switche zu überführen.

Verteilt: In Zukunft erfolgt die Verwaltung der virtuellen Switche außerhalb des jeweiligen ESX-Servers. Diese virtuellen Distributed-Switche überstreichen die gesamte vSphere-Infrastruktur.
Verteilt: In Zukunft erfolgt die Verwaltung der virtuellen Switche außerhalb des jeweiligen ESX-Servers. Diese virtuellen Distributed-Switche überstreichen die gesamte vSphere-Infrastruktur.

Die Verwendung von virtuellen Switchen und virtuellen Distributed-Switchen vereinfacht die Verwaltung enorm. Sie ist aber auch nicht ohne Risiken. Wenn durch wenige Konfigurationsschritte eine Verbindung zwischen virtuellen Geräten einzurichten ist, so genügt ein falscher Klick, und eine ungewollte Verbindung zwischen zwei VMs ist hergestellt. Das physische Patchen hingegen ist mit mehr Aufwand verbunden. Fehler sind daher nicht so schnell gemacht und lassen sich etwa durch farbig kodierte Kabel reduzieren.

In Enterprise-Umgebungen sollte in jedem Fall die Netzwerkverwaltung für die virtuelle Infrastruktur von den gleichen Netzwerkadministratoren vorgenommen werden, die auch die physischen Systeme verwalten. Sie können dann beide Umgebungen mit den gleichen Sicherheits- und Konfigurationseinstellungen versehen und aufeinander abstimmen.