Kosten und Energieverbrauch deutlich senken Virtualisierung auch in kleinen Organisationen?

Redakteur: Gerald Viola

Kein größeres Unternehmen kommt ohne virtuelle Maschinen in der IT-Umgebung aus. Virtualisierung kann viele Vorteile bieten: Skalierbarkeit, Flexibilität, schnelle Bereitstellung neuer Server, Kosteneinsparungen oder Energieeffizienz. Es ist nicht verwunderlich, dass Virtualisierung die IT-Landschaft innerhalb kürzester Zeit verändert hat und entsprechende Projekte auch bei kleinen Unternehmen und Öffentlichen Einrichtungen diskutiert werden. Dieser Beitrag erläutert, wie auch kleine Öffentliche Einrichtungen, Zweigstellen und Organisationen vom Trend zur Virtualisierung profitieren und welche Aspekte der Netzwerkinfrastruktur und IT-Security dabei zu beachten sind.

Firma zum Thema

( Archiv: Vogel Business Media )

Eine kostengünstige und leistungsfähige Basis für kleine virtualisierte Infrastrukturen stellen Netzwerkspeicherlösungen für kleine und mittlere Organisationen sowie für Arbeitsgruppen und Außenstellen dar. Netzwerkspeichersysteme bieten ein einheitliches Speichersystem durch NAS- und SAN-Multiprotokoll-Unterstützung in einer preiswerten Speicherumgebung.

Organisationen mit bis zu 500 Benutzern verwenden die Lösung als Hauptspeicher für die Dateibereitstellung, die festplattenbasierende Sicherung und für virtuelle Umgebungen. Größere Organisationen nutzen sie als Sekundärspeicher oder in kleineren Zweigniederlassungen. Die automatische Laufwerkserweiterung, integrierte Snapshots, Replikation und eine integrierte Cloud-Sicherungsoption zeichnen diese vielseitigen Plattformen aus und ermöglichen Lösungen zu einem Preis, der weit unter dem von herkömmlichen Speichersystemanbietern liegt.

Die Netzwerkspeicherlösungen sind sowohl in der Anschaffung als auch im Betrieb sehr kostengünstig und garantieren Zukunftssicherheit. Selbst im laufenden Betrieb kann ein NAS um zusätzliche Speicherkapazitäten erweitert werden.

Die einfache Handhabung senkt die Kosten für Inbetriebnahme, laufenden Betrieb und Wartung sowie für den Schulungsaufwand der Administratoren. Auch die Investitionskosten sind überschaubar. Das sehr gute Preis-Leistungsverhältnis wird auch dadurch unterstützt, dass für NAS-Systeme keine Lizenzgebühren anfallen.

Nächste Seite: NAS funktioniert auch ohne zusätzliche Server

Mit NAS-Lösungen besteht für Behörden keine Notwendigkeit, zusätzliche Server anzuschaffen. NAS-Systeme sind sehr einfach in bestehende Infrastrukturen einzubinden und zu administrieren.

Speziell mit Servervirtualisierungsprojekten können Organisationen Betriebskosten einsparen. NAS-Systeme bieten eine zuverlässige Datenspeicherung mit integrierten Replikations- und Backup-Möglichkeiten in virtualisierten IT-Infrastrukturen für Organisationen, die ihre Flexibilität erhöhen und Kosten reduzieren möchten.

Ein erfolgreicher Anbieter am Markt für Speichersysteme unter 5.000 US-Dollar ist Netgear mit der ReadyNAS-Produktfamilie. Diese Systeme sind kompatibel zu Microsoft Hyper-V und Citrix XenServer und VMware-zertifiziert. Virtuelle Maschinen sind nicht an die Hardware gebunden.

Administratoren profitieren von einem geringen Verwaltungsaufwand, da nur eine Diskgruppe verwaltet werden muss. Sowohl die Erweiterung der Speicherkapazität als auch Backup-Optionen sind deutlich einfacher. Ebenso einfach ist es, Upgrades durchzuführen.

Öffentliche Einrichtungen können in virtualisierten Umgebungen NAS-Systeme als sekundäre Speicherlösung für ein Backup oder als primären Speicher definieren. Im Folgenden werden die beiden Anwendungsszenarien kurz dargestellt.

Netzwerkspeicher als Backup-Ziel

Netzwerkspeicher können als Speicherlösung für das Backup vorhandener virtueller Serverumgebungen verwendet werden. Zu diesem Szenario gehört die Einbindung von NAS-Systemen in eine virtualisierte Umgebung, in der virtuelle Maschinen (VM) von einem anderen Speichersystem ausgeführt werden.

Mithilfe von Backup-Software oder integrierten Backup-Funktionen wird das NAS für die VM als Backup-to-Disk-Ziel konfiguriert.

Wie bei physischen Serverumgebungen dient das NAS als Backup-Speicher für den oder die Server, wobei jedoch zusätzlich die vollständige VM-Umgebung erfasst wird, darunter Serverkonfiguration, Betriebssystem, Anwendungen und zugehörige Datendateien.

Der primäre Netzwerkspeicher ist für die Speicherung vollständiger Backups von VM und für die Replikation dieser Backups zu einem sekundären dezentralen NAS konfiguriert. Die VM können dann in einer anderen virtuellen Umgebung oder direkt auf dem sekundären NAS wiederhergestellt werden.

Durch Starten der VM direkt von einem NAS kann der Wiederherstellungsprozess auf dem Remote-Server übersprungen werden, da der sekundäre ReadyNAS sowohl als dezentraler Backup- als auch als VM-Speicher für Live-VM verwendet werden kann.

Nächste Seite: Primärer Speicher für virtuelle Umgebungen

Primärer Speicher für virtuelle Umgebungen

Bestimmte NAS-Systeme – wie beispielsweise ReadyNAS von Netgear – unterstützen die Verwendung eines Arrays als Virtualisierungsspeicherplattform für die Ausführung von Live-VM. Die VM-Replikation von einem NAS zu einem anderen bietet zusammen mit der Anwendungssicherung eine integrierte Disaster-Recovery-Lösung für virtuelle Serverumgebungen.

Dieses Szenario ist typisch für kleinere Umgebungen. Das primäre NAS ist zur Replikation zu einem sekundären dezentralen NAS konfiguriert. Durch Verwendung von Snapshots werden vollständige VM-Umgebungen erfasst, einschließlich Server, Anwendungen und zugehörige Datendateien.

Die VM können auf das sekundäre NAS durch Anschluss eines Hypervisors und Ausführung der replizierten VM unmittelbar aktiviert werden. Dies sorgt für eine schnelle Wiederherstellung von Anwendungen und Daten nach einem Notfall. Angesichts der Tatsache, dass sich jedes NAS zu einem anderen replizieren lässt, muss das sekundäre Gerät nicht dasselbe Modell oder dieselbe Kapazität wie das ursprüngliche Gerät aufweisen.

Es muss lediglich ausreichend Kapazität zur Unterstützung der Auslastung und der Daten verfügbar sein. Wenn mehrere NAS-Geräte an einem Standort eingesetzt werden, ist es darüber hinaus möglich, Daten live von einem Gerät zum anderen zu replizieren oder zu migrieren.

Virtualisierte Netzwerkarchitektur

Die STP Informationstechnologie AG mit Sitz in Karlsruhe ist einer der umsatzstärksten Anbieter für Rechtsanwalts-Software in Deutschland. Für eine zukunftssichere Modernisierung der IT- und insbesondere der Netzwerkarchitektur wurde die Entscheidung getroffen, sämtliche bestehenden Server und LAN-Komponenten durch eine neue IT zu ersetzen. Dabei sollten bestehende Altsysteme stufenweise abgeschaltet und die Server in eine virtualisierte Umgebung übertragen werden.

Durch die Umstellung auf eine virtualisierte Infrastruktur sollten Effizienz und Flexibilität gesteigert sowie das Ressourcenmanagement optimiert werden.

Bei der STP kamen bis zu 70 Server zum Einsatz, die durch Platzmangel im Serverraum nicht logisch strukturiert angeordnet werden konnten. Die STP AG setzt ein ESX-Cluster ein, das aus fünf Hosts mit redundanter SAN-Anbindung besteht.

Das Cluster betreibt wiederum 50 bis 60 virtuelle Maschinen, die in einer heterogenen Umgebung auf Microsoft- und Linux-Betriebssystemen laufen und wichtige Prozesse in unterschiedlichen Geschäftsbereichen steuern. An den Servern sind etwa 200 Desktop-Rechner angeschlossen. Daneben werden bei STP auch etwa 100 mobile Endgeräte und 30 Notebooks eingesetzt, die sich über 15 WLAN Access Points oder per VPN mit dem Firmennetz verbinden. Geschützt wird das Netzwerk durch vier DMZ und drei Firewalls.

Nächste Seite: Neue Sicherheitsbedrohungen durch virtuelle Maschinen?

Das Netzwerk in Karlsruhe basiert auf 22 Netgear Switches. Die Switches verbinden mehrere Netzbereiche sowie die DMZ. Die Umstellung auf eine virtualisierte Umgebung hat sich für STP gelohnt. Mit der Realisierung der virtuellen Umgebung konnte der Energiebedarf spürbar gesenkt werden und Kühlaggregate mussten nicht mehr pausenlos in Betrieb sein.

Auch die logische Anordnung der VM ist möglich. Seit der Umstellung werden weniger Server benötigt. Für die IT-Abteilung reduziert sich dadurch auch der administrative Aufwand. Daneben waren auch finanzielle Gründe für die Umstellung von einem physikalischen Serversystem zu einer virtualisierten Infrastruktur ausschlaggebend.

Virtuelle Maschinen und Sicherheitsbedrohungen

Dem Sicherheitsaspekt bei der Virtualisierung kommt eine wachsende Bedeutung zu. Auch hier haben sich Anbieter einiges einfallen lassen, um Anwendern eine möglichst einfache und umfassende Sicherheit zu gewährleisten.

Dabei spielt es keine Rolle, ob es sich um ein großes Unternehmen oder um eine kleine lokale Behörde handelt. Da Netzwerkbedrohungen wahllos im Internet verbreitet werden, machen sie keinen Unterschied zwischen DAX-Konzern und dem Standesamt der Gemeindeverwaltung.

Jede Organisation mit Internetverbindung, unabhängig von der Größe, ist mit den gleichen Gefahren konfrontiert. Gefahren, die auch für Anwendungsserver, Datenbanken und sonstige Komponenten der Netzwerkinfrastruktur bestehen.

Während Öffentliche Einrichtungen häufig die gleichen Sicherheitsanforderungen haben wie Großunternehmen, verfügen sie über erheblich weniger Ressourcen. Ein Großunternehmen unterhält eine eigene IT-Sicherheitsabteilung, um den laufenden Sicherheitsanforderungen des Betriebs nachzukommen. Dazu zählt die Bereitstellung komplexer Systeme, um alle Netzwerkkomponenten des Unternehmens an sämtlichen Standorten abzusichern.

Daneben werden die rasch wechselnden Bedrohungen stets im Blick behalten und die Sicherheitsrichtlinien des Unternehmens gegebenenfalls den aktuellen Gefahren angepasst. Vor allem gehört jedoch dazu, dass man den Finger am Puls des Netzwerkverkehrs hat und beispielsweise Protokolldateien analysiert, um festzustellen, ob ungewöhnliche Verkehrsmuster vorliegen. Ein Großunternehmen verfügt über den finanziellen Spielraum, um solche Systeme zu erwerben, und über das Personal, um sie wirksam zu betreiben.

Öffentliche Einrichtungen haben jedoch nicht unbedingt eine Vollzeit-IT-Abteilung. Meist haben sie einen Mitarbeiter, der sich um sämtliche IT-Belange kümmert, darunter auch die Sicherheit. Andere geben alle IT-Aufgaben extern in Auftrag. Kleinere Behörden verfügen in der Regel weder über die Zeit noch die finanziellen Mittel, um eine komplexe Sicherheitslösung auf Großunternehmensniveau zu implementieren.

Angesichts ihrer angespannten Ressourcenlage müssen Öffentliche Einrichtungen einige schwierige Sicherheitsentscheidungen treffen. Was können sie sich in der Anschaffung leisten und auch langfristig unterhalten? Die meisten Sicherheitsanbieter, die traditionell das Großunternehmenssegment bedient haben, gehen noch immer nicht in angemessener Form auf die IT-Sicherheitsanforderungen des öffentlichen Bereiches ein.

Dedizierte Angebote dieser Sicherheitsanbieter weisen weniger und schwächere Hardwarekomponenten auf als die entsprechenden Enterprise-Angebote, was sich deutlich auf ihre Leistung auswirkt. Die meisten dieser Anbieter reduzieren einfach ihre Enterprise-Produkte um Funktionen und Fähigkeiten, um so ein Angebot zu einem niedrigeren Preis für den Öffentlichen Bereich zu schaffen.

So könnte beispielsweise ein Enterprise-Class-Produkt zur URL-Filterung, das eine Blacklist von 50 Millionen Adressen enthält, für die Public-Sector-Version auf nur 5 Millionen Adressen reduziert werden. Manche Sicherheitsanbieter verringern sogar die Leistung und Funktionalität ihres Produkts drastisch. Reduktionen führen jedoch zu erheblichen Sicherheitseinbußen für Organisationen, sodass ihre Netzwerke im Kern weniger sicher sind als die von Großunternehmen.

Nächste Seite: Hochverfügbar und skalibar

UTM Appliances als Lösung

UTM (Unified Threat Management) Appliances sind echte All-In-One-Geräte. Sie kombinieren elegant und clever den Funktionsumfang von Proxy Firewall, VPN (IPSec und SSL), Anti Virus, Anti Spyware, Anti Spam, Intrusion Prevention (IPS) und URL Filtering. Hohe Investitionen in zahlreiche Geräte, Lösungen oder Lizenzen sind nicht notwendig.

Die Websicherheit schützt vor allen Gefahren aus dem Internet. Auch der eMail-Verkehr ist sicher. Spam-Ausbrüche werden beispielsweise noch in der Minute, in der sie entstehen identifiziert und gestoppt. Die Performance wird dabei nicht beeinträchtigt. Netgear liefert mit den ProSecure UTM Appliances beispielsweise ein besonderes technologisches Highlight: Stream Scanning.

Die Technologie ermöglicht den Einsatz einer umfassenden Viren- und Maleware-Datenbank. Gleichzeitig bleibt ein hohes Maß an Durchsatz erhalten, während durch das Scanning bedingte Latenzen minimiert werden. Die flexible, modulare Architektur überprüft Dateien und Datenverkehr bis zu fünf Mal schneller als konventionelle Methoden. In Kombination mit Netgears etablierten Firewall- und VPN-Funktionalitäten wird mit den UTM Appliances auch Netzwerksicherheit zur Verfügung gestellt.

Die Firewall-Funktionen liefern eine Reihe von Sicherheitstechnologien wie SPI, IPS und DoS-Schutz. Daneben bieten UTM Appliances sowohl SSL als auch IPSec VPN für einen sicheren Fernzugriff. Ein intuitiver, browserbasierender Setup Wizard hilft bei Installation und Konfiguration. Die Einstellung von Richtlinien und Alarmen ist ebenso übersichtlich und einfach wie die Auswertung von Statistiken und Berichten.

Updates für Maleware- und IPS-Signaturen sowie für die Firmware werden automatisiert durchgeführt.

Hochverfügbarkeit und Skalierbarkeit

Neben der Sicherheit, die über den Einsatz von UTM Appliances, gewährleistet werden kann, sind in einer virtualisierten Umgebung auch Hochverfügbarkeit und Skalierbarkeit des Netzwerkes wichtige Voraussetzungen.

Gerade virtualisierte Umgebungen benötigen Switches, die mehr leisten als Datenpakete entgegenzunehmen und weiterzuleiten. Die zentrale Core-Switching-Technologie muss ein Maximum an Datendurchsatz und Flexibilität dort bieten, wo es erforderlich ist – bei hochintegrierten High-Speed-Arbeitsgruppen an der Peripherie des Netzwerkes, im Backbone expandierender Netzwerke oder bei bandbreitenintensiven Datei- und Anwendungsservern.

Core Switches werden im zentralen Bereich platziert und über einen Stack skalierbar betrieben. Hochverfügbarkeit wird mit Rapid Spanning Tree, VRRP und der Link Aggregation sichergestellt. Sie sollten 10 Gigabit Ethernet (GE) Ports haben. Die Unterstützung von IPv6 garantiert Investitionsschutz.

(ID:2047529)