Ciemna strona wirtualizacji

Wirtualizacja serwerów w centrach danych coraz bardziej zaznacza swoją obecność, czemu sprzyjają trudne ekonomicznie czasy. Korzyści, jakie ze sobą niesie, to między innymi zmniejszenie całkowitych kosztów utrzymania (TCO), obniżenie zapotrzebowania na chłodzenie oraz zasilanie przy jednoczesnym zwiększaniu elastyczności środowiska. Bez wątpienia, stanowią one zalety dla biznesu oraz administratorów serwerów. Istnieje jednak ciemniejsza strona wirtualizacji - jej wdrożenie powoduje znaczące skomplikowanie zarządzania siecią.

Wirtualizacji serwerów towarzyszą dwa duże problemy sieciowe. Pierwszy to konfiguracja wirtualnych sieci LAN (VLAN). Administratorzy sieci muszą zagwarantować, że VLAN wykorzystywany przez maszynę wirtualną pracującą na danym serwerze fizycznym jest przypisany do tego samego portu na przełączniku co serwer, na którym ta maszyna wirtualna działa. Jednym z rozwiązań tego problemu jest poinformowanie zarządzających przez administratorów wirtualizacji serwerów o każdym serwerze fizycznym, na którym maszyna wirtualna może zostać uruchomiona, oraz właściwe skonfigurowanie portów na przełączniku. Nie jest to jednak najlepsze rozwiązanie, ponieważ może prowadzić do tego, że sieć VLAN będzie zdefiniowana na wysokim procencie wszystkich portów przełącznika. Może to również powodować dalsze komplikacje, gdy zespół odpowiedzialny za serwery nie do końca jest świadomy wszystkich serwerów fizycznych, na których dana maszyna może zostać odpalona, zwłaszcza w takich sytuacjach, jak przywracanie po awarii.

Drugim problemem, nie mniej ważnym, jest przypisywanie polityki QoS (Quality of Service) oraz egzekwowanie sieciowych reguł bezpieczeństwa, takich jak listy kontroli dostępu (ACL). W środowisku bez wdrożonej wirtualizacji przypisywanie reguł i zasad polityki sieciowej odbywa się tradycyjnie - na przełączniku sieciowym, do którego jest podłączony serwer z działającą na nim aplikacją. W przypadku korzystania z wirtualizacji serwerów należy pamiętać, że pod hypervisorem działa programowy przełącznik, a nie fizyczne urządzenie. Bardzo ważne jest, aby reguły i zasady polityki sieciowej były egzekwowane również na tym właśnie przełączniku. Przykładowo, jeśli reguła bezpieczeństwa zabrania komunikacji między dwiema maszynami wirtualnymi - VM1 i VM2 - działającymi na tym samym serwerze, to w razie przejęcia przez intruza kontroli nad maszyną VM1 może on otworzyć połączenia do maszyny VM2 i ukraść dane. Jeżeli listy ACL zostaną ustanowione na przełączniku programowym, sytuacja taka nie będzie miała miejsca. Przed erą wirtualizacji ten problem nie występował, ponieważ maszyny VM1 oraz VM2 działałyby na różnych serwerach fizycznych, a listy ACL zdefiniowane na fizycznym przełączniku sieciowym zapobiegałyby wzajemnej komunikacji. Obecność polityki na przełączniku programowym niewątpliwie poprawia bezpieczeństwo. Problemem okazuje się jednak sposób, w jaki ją zaaplikować.

Przezwyciężenie tych dwóch problemów ma krytyczne znaczenie dla poprawnego działania wirtualizacji. Najlepiej byłoby, gdyby stowarzyszenia producentów rozwiązań wirtualizacyjnych wypracowały wspólny standard, dzięki któremu możliwa będzie współpraca między ich urządzeniami. Jak to często bywa z nowymi technologiami, jeszcze takiej współpracy nie podjęto. Obecnie dostępne są cztery sposoby rozwiązywania wymienionych problemów.


TOP 200