Der Netzwerk Insider Juni 2021
Rechenzentrumsumzug: gut geplant, weniger Stress
Ein neues Rechenzentrum bzw. ein neuer Serverraum wurde gebaut und steht zur Nutzung bereit. In vielen Fällen geht es nicht um eine sukzessive Besiedelung der Flächen mit völlig neuem Equipment, sondern darum, dass die Server und Switches aus einem bestehenden Rechenzentrum in die neue Serverfläche „wandern“, d.h. in die neuen Racks. Der Großteil der Elektronik muss im alten Serverraum demontiert, dann transportiert und im neuen Serverraum eingebaut und in Betrieb genommen werden. Selbst für den Fall, dass ein komplettes weiteres RZ mit einer Spiegelung als Redundanz existiert, wird der Umzug nichts sein, bei dem man sich Zeit lassen kann. Eine genaue Planung und Hand-in-Hand-Durchführung sind gefragt.
Federführend wird dieses durch eine Organisationseinheit / Abteilung durchgeführt, die für den Betrieb des Serverraums verantwortlich ist. Der nachfolgende Artikel gibt allgemeingültige Erfahrungen wieder, die im Rahmen der Fachplanung solcher Umzüge bei kleineren bis mittleren Rechenzentren gewonnen wurden. Er geht insbesondere auf die Vorbereitung ein, die wesentlich zu einem erfolgreichen Umzug beiträgt.
Braucht das Campus-Netz nun eine Fabric?
Als IT-Berater mit dem Schwerpunkt Smart Technologies und Vater von zwei schulpflichtigen Kindern, eines in der Grundschule und eines auf der weiterführenden Schule, bin ich von der Digitalisierung der Schulen, oder dem Digitalpakt Schule, in doppelter Hinsicht betroffen. Zumal einem das letzte Jahr vor Augen geführt hat, was die Aufgaben der Lehrenden sind und wie es um die digitalen Kompetenzen dieser bestellt ist. Dabei ist das Thema „digitale Schule“ nun wirklich nicht neu, wie die Tagesschau vom 20. August 2000 beweist.
Neben meiner privaten Situation und den Herausforderungen des Homeschoolings kommt noch der Umstand hinzu, dass die ComConsult GmbH seit gut einem Jahr aktiv bei der Digitalisierung von Schulen durch Beratungs- und Planungsleistungen unterstützt. Das Volumen beträgt hier eine gut dreistellige Anzahl von Schulen, in denen die ComConsult die Infrastruktur plant, damit die Schulen den aktuellen und zukünftigen Anforderungen entsprechen können. Nur müssen diese Anforderungen erst einmal geklärt werden.
Dr. Johannes Dams
ComConsultInternetzugang direkt oder über die Zentrale?
Im Geleit vom März 2021 ging es um die Notwendigkeit der Anpassung der Internetanschlüsse von Organisationen an neue Anforderungen. Im Folgenden möchte ich auf die Frage eingehen, ob ein Standort direkt mit dem Internet verbunden werden soll oder alle Standorte einer Organisation über eine zentrale Lokation auf das Internet zugreifen sollen. Diese zweite Option wird Backhauling genannt.
Dr. Behrooz Moayeri
ComConsultDenunzianten wider Willen?
Sie erinnern sich an meinen letzten „Standpunkt“? Darin habe ich über die Funkortung mittels „Ultra Wide-band“ (UWB) berichtet, einer Technik, die auf ultrakurzen Impulsen von nur 1 ns Dauer basiert. Weil sie so kurz sind, belegen diese Impulse eine Bandbreite von 2 GHz bis über 10 GHz, daher der Name. Die Ortungsgenauigkeit von UWB liegt in der Größenordnung der Impulslänge, also bei etwa 30 cm.
Dr. Joachim Wetzlar
ComConsultInternetzugang direkt oder über die Zentrale?
Fortsetzung
Im Geleit vom März 2021 ging es um die Notwendigkeit der Anpassung der Internetanschlüsse von Organisationen an neue Anforderungen. Im Folgenden möchte ich auf die Frage eingehen, ob ein Standort direkt mit dem Internet verbunden werden soll oder alle Standorte einer Organisation über eine zentrale Lokation auf das Internet zugreifen sollen. Diese zweite Option wird Backhauling genannt.
Warum viele Organisationen Backhauling nutzen
Viele Organisationen nutzen zentrale Internetzugänge. Die Nutzung von Backhauling geht in der Regel auf folgende Gründe zurück:
- Einsparung der Kosten für eine Vielzahl von Internetzugängen
- Bessere Perimeter-Sicherheit durch einen zentralen Internetzugang
Die Perimeter-Sicherheit ist im Laufe der letzten 20 Jahre immer komplexer geworden. Viele Organisationen begnügen sich nicht mit einem Firewall-System an der Grenze zwischen dem eigenen Netz und dem Internet. Das Wettrüsten zwischen Angreifern und Verteidigern im Bereich Cybersicherheit machte die Ergänzung der Firewalls um solche Funktionen wie Application Level Gateway (ALG) und Intrusion Prevention System (IPS) notwendig. Mit zunehmender Nutzung von Transport Layer Security (TLS) als Basis von Internetkommunikation kann diese nicht ohne eine Entschlüsselung am Perimeter auf gefährliche Inhalte und Angriffsmuster untersucht werden. Diese Entschlüsselung macht den Perimeter noch komplexer.
Eine immer komplexere Perimeter-Umgebung erhöht die Gesamtkosten für den Internetübergang. Um die teure Perimeter-Umgebung nur an einer Stelle aufzubauen, haben sich viele Firmen und Behörden für Backhauling entschieden. Hinzu kommt, dass eine Vielzahl von Internetanschlüssen aus der Sicht vieler Organisation den Betrieb der Sicherheitskomponenten erschweren und damit das Niveau der IT-Sicherheit absenken würde.
Backhauling-Varianten
Backhauling bedeutet, dass die Kommunikation mit dem Internet immer nur über einen zentralen Internetanschluss erfolgt. Es muss daher von jedem Standort aus eine „private“ Netzverbindung zur Zentrale geben, über die auch die Internetkommunikation geführt wird. Übliche Backhauling-Varianten sind:
- Nutzung des zentralen Internetanschlusses über ein privates Wide Area Network (WAN) wie zum Beispiel ein WAN, das auf MPLS (Multi-Protocol Label Switching) basiert
- Verbindung zum zentralen Internetanschluss über ein internetbasiertes Virtual Private Network (VPN)
Im zweiten Fall nutzt ein Standort zwar einen lokalen Internetanschluss, jedoch ausschließlich für den Aufbau eines VPN-Tunnels zur Zentrale. Split Tunneling, d.h. Internetkommunikation am VPN-Tunnel vorbei, wird unterbunden. Was für einen ganzen Standort gilt, kann auch für ein mobiles bzw. Homeoffice-Endgerät gelten. Ein mobiles Endgerät soll dabei im internen Netz ohne VPN und ansonsten immer über VPN kommunizieren. Dazu muss das Endgerät zuverlässig erkennen, dass es sich im internen Netz befindet und keinen VPN-Tunnel aufbauen muss. Diese Entscheidung möchte ein Administrator nicht dem Benutzer des Endgeräts überlassen, sondern automatisieren. Eine solche Konfiguration ist im Falle von mobilen Geräten nicht trivial, aber möglich.
Nachteile von Backhauling
Backhauling hat seine Nachteile, zum Beispiel die folgenden:
- Für Backhauling wird mehr Übertragungskapazität im Netz benötigt. Ein Paket, das von einem Server im Internet ein Endgerät im internen Netz erreichen soll, belastet beim Erreichen der Zentrale und bei Weiterleitung zum Standort des Endgeräts die Ressourcen der externen Netzanbindungen der Zentrale. Im Falle der Nutzung eines privaten WAN zwischen den Standorten der Organisation wird mehr WAN-Kapazität benötigt, und zwar sowohl in der Zentrale als auch am Standort des Endgeräts. WAN-Kapazität ist in der Regel wesentlich teurer als Internetkapazität. Backhauling ist auch im Falle der Nutzung eines Internet-VPN zwischen der Zentrale und dem Standort des Endgeräts mit einer Mehrbelastung verbunden, und zwar am zentralen Internetübergang. Beim Download großer Datenmengen durch das Endgerät, z.B. bei Software-Updates, wirkt sich dieser Nachteil besonders aus.
- Backhauling erhöht die Latenz bei der Internetkommunikation. Die Übertragung zwischen dem Endgerät und dem Internet erfolgt über den Umweg der Zentrale. Folglich ist die Signallaufzeit um die Latenz zwischen dem Endgerät und der Zentrale höher. Ob sich diese erhöhte Latenz auf die Performance von Anwendungen auswirkt, hängt von zwei Faktoren ab. Der erste Faktor ist die Latenz zwischen der Lokation des Endgeräts und dem zentralen Internetanschluss in Relation zur Gesamtlatenz. Der zweite Faktor ist der Charakter der Anwendung. Zeitkritische Anwendungen sind zum Beispiel, aber nicht nur, Audio- und Videokonferenzen.
- Auch wenn die Preisgabe der Lokation des Endgeräts gegenüber dem Server im Internet dem Datenschutz nicht dienlich ist, gibt es Anwendungsfälle, in denen man dies nicht nur akzeptiert, sondern wünscht. Eine einfache Beispielanwendung ist ein Routenplaner. Backhauling erschwert die Nutzung solcher Anwendungen, die anhand der IP-Adresse Rückschlüsse auf die Lokation des Endgeräts bestimmen. Backhauling im Falle der Nutzung des zentralen Internetanschlusses durch ein sich im Ausland befindliches Endgerät hat zusätzliche Nachteile. Möglicherweise wird das Endgerät am Zugriff auf bestimmte Webseiten des Staates gehindert, in dem es sich gerade befindet. Umgekehrt können beim Webzugriff Inhalte eingeblendet werden, die hinsichtlich Sprache und anderer lokaler Faktoren nicht zur Lokation des Endgeräts passen. Ferner kann Backhauling einen Verstoß gegen Gesetze und Verordnungen des Staates darstellen, in dem sich das Endgerät befindet.
- Nicht bei allen Endgeräten kann Backhauling konsequent durchgesetzt werden. Einige Smartphones bauen nach einer bestimmten Zeit automatisch die VPN-Verbindung ab, um Energie zu sparen.
Software-Defined WAN
Immer mehr Organisationen nutzen Software-Defined WAN (SD-WAN). Die Kernidee von SD-WAN ist die Bildung eines logischen Overlay-Netzes für standortübergreifende Kommunikation. Das Overlay-Netz kann für physische Verbindungen das WAN und das Internet nutzen. Mehrere physische Verbindungen können von einem Standort aus mittels SD-WAN parallel genutzt werden. Die SD-WAN-Komponente am Standort (Edge genannt) kann die Netzlast auf die verschiedenen Leitungen verteilen.
Alle SD-WAN-Lösungen unterstützen folgende Funktionen:
- VPN-Gateway-Funktionalität (bei Nutzung des Internets als Transportnetz zwischen verschiedenen Standorten der Organisation unverzichtbar)
- Split Tunneling (sinnvoll zum Beispiel beim Zugriff auf Public Clouds)
Weitere Funktionen, die zu unterschiedlichen Graden von SD-WAN-Lösungen unterstützt werden, sind unter anderem die folgenden:
- Verkehrsoptimierung durch Deduplizierung, Kompression und Nutzung optimierter Protokolle
- Filter-Regeln für die selektive Freigabe der Nutzung von Split Tunneling
- Web-Proxy-Funktion für den Internetzugriff
Filter-Regeln auf SD-WAN-Edge-Geräten können dazu genutzt werden, den direkten Internetzugriff in bestimmten Fällen zu erlauben. Das kann beim Zugriff auf Public Clouds sinnvoll sein. Die automatische Aktualisierung der Filter-Regeln durch den SD-WAN-Hersteller erleichtert die Administration dieser Regeln. Ein Beispiel für die Sinnfälligkeit solcher Aktualisierungen ist Microsoft Office 365. Microsoft fügt der Liste der für die Nutzung von Office 365 relevanten Ziele immer wieder Adressen hinzu. Der SD-WAN-Hersteller kann entsprechende Anpassungen der Filter-Regeln für Office 365 in Form von automatisierten Updates anbieten.
Ist Backhauling dem Tode geweiht?
Backhauling als Konzept für den zentralisierten Internetanschluss stammt aus einer Zeit, in der die Internetkommunikation keine so große Bedeutung hatte wie heute. Es ist daher richtig, dieses Konzept infrage zu stellen. Dies bedeutet jedoch nicht, dass Backhauling für alle denkbaren Szenarien eine nicht mehr zeitgemäße Lösung ist. Die Kombination der folgenden Umstände kann ein Grund sein, am Backhauling festzuhalten:
- Ein privates WAN mit ausreichend Übertragungsleistung ist vorhanden.
- Die Round Trip Time (RTT) zwischen den Standorten und dem Ort des zentralen Internetanschlusses liegt, gemessen in Millisekunden, im einstelligen oder niedrigen zweistelligen Bereich.
- Die Anforderungen an die Perimeter-Sicherheit sind hoch und werden von der zentralen Perimeter-Umgebung erfüllt.
- Ein leistungsfähiger zentraler Internetanschluss ist vorhanden.
Es gibt eine Reihe Organisationen, für die die oben genannten Umstände zutreffen. Insbesondere in einem relativ kleinen Land wie Deutschland sind die Kosten für landesinterne WAN-Dienste sowie die WAN-Latenzen in der Regel nicht so hoch, dass sie die Abkehr von Backhauling erzwingen. Anders sieht es in internationalen Netzen aus. Der Trend geht in Richtung lokaler Internetanschlüsse in jedem Land.
Ihr Dr. Behrooz Moayeri
Sehr interessanter Artikel.
Danke für die gute Aufbereitung !