Sich um Netzwerke kümmern

Kommen wir noch einmal auf das Beispiel einer modernen Produktwebsite aus dem vorigen Kapitel zurück; sie ist die virtuelle Eingangstür eines Unternehmens und ein Beispielsystem, das du verwalten könntest.

Ein Nutzer öffnet einen Webbrowser auf seinem Handy, um ein Produkt deines Unternehmens zu kaufen. Sein Mobilfunkanbieter leitet seine Anfrage an ein CDN weiter, das sich in einem Rechenzentrum in seiner Nähe befindet. Wenn das CDN nicht über die nötigen Daten verfügt, um die Anfrage zu erfüllen, wird die Anfrage weitergeleitet. Als Nächstes leitet ein Load Balancer die Anfrage an einen physischen Server weiter, auf dem der Hypervisor bestimmt, zu welcher VM in deiner Cloud-Infrastruktur weitergeleitet werden soll. Sobald der Linux-Kernel der VM den Datenverkehr erhalten hat, verarbeitet deine Anwendung die Anfrage, und die Antwort folgt einem ähnlichen Weg zurück zum Kunden.

Hier ist eine Menge los. Wie viele verschiedene Netzwerke hast du gezählt? Jedes Netzwerk erfordert einen gewissen Verarbeitungsaufwand, da ein Router den besten Weg zum nächsten Ziel bestimmt. Mehr Netzwerksprünge und verschiedene Netzwerktypen mit unterschiedlichen Übertragungsgeschwindigkeiten führen zu uneinheitlichen und langen Antwortzeiten. Wie viele Arten von Netzwerkgeräten waren beteiligt?

Deinen Nutzern sind diese Implementierungsdetails in der Regel egal, solange der Datenverkehr zuverlässig abgewickelt wird. Wenn Anfragen jedoch nicht durchkommen, ist das sehr wichtig, und du musst herausfinden, was jetzt passiert. Anstatt später auf Anfragen zu reagieren, ist es hilfreich, den Kontext der Netzwerke deines Systems zu verstehen und sie auf der Grundlage dieses Wissens aufzubauen und zu verwalten. Wenn du die Bedürfnisse deines Systems verstehst, kannst du fundierte Entscheidungen treffen, wie das Beispiel der Zwischenspeicherung von Daten näher am Kunden mit einem CDN und der Weiterleitung von Anfragen an das richtige Ziel mit Load Balancern zeigt.

Wie bei allen Entscheidungen über die Bausteine deiner Systeme kommt es auf den Kontext dessen an, was du baust. Wenn du die dir zur Verfügung stehenden Ressourcen und Optionen effektiv einsetzt, kannst du die Kosten für die Menschen im Team, die das System verwalten, sowie die Auswirkungen auf deine Kunden und das Gesamtergebnis des Unternehmens verbessern.

Wichtige Merkmale von Netzwerken

Wie bei der Speicherung gibt es auch bei den Netzwerkoptionen zwei Hauptrichtungen - kabelgebunden und kabellos - und innerhalb jeder dieser großen Kategorien gibt es unterschiedliche Medien (z. B. Kupferkabel, Glasfaserkabel) und Kommunikationsprotokolle.

Netzwerke haben eine Topologie, eine Elementanordnung und einen Datenfluss. Je nach Medium bestimmt die Netzwerktopologie das Layout der physischen Verkabelung, den Standort der verschiedenen Netzwerkressourcen und die eingebettete Fehlertoleranz. All diese Faktoren wirken sich auf die Kosten des Netzwerks aus.

Zu den wichtigsten Merkmalen von Netzwerken gehören die folgenden:

Bandbreite

Die Kapazität des Kommunikationskanals wird in der Regel als Rate für eine bestimmte Zeit beschrieben, d. h. Megabit pro Sekunde (Mbps) oder Gigabit pro Sekunde (Gbps).

Latenz

Die Zeit, die das Signal braucht, um von einem Punkt zu seinem Ziel zu gelangen. Sie hängt von der physischen Entfernung ab, die das Signal zurücklegen muss.

Die Netzwerklatenz wird genauer definiert durch die End-to-End-Zeit für die Übertragung der Nachricht (Übertragungszeit), die Zeit für die Verarbeitung der Anfrage durch alle Netzwerkgeräte entlang des Weges (Verarbeitungsverzögerung) und die Zeit, die die Warteschlange der zu verarbeitenden Anfragen in Anspruch nimmt (Warteschlangenverzögerung).

Jitter

Die Abweichung vom Median der Latenzzeit. Für eine bestimmte Anfrage kannst du die Netzwerklatenz sehen. Um die erwartete Latenz zu berechnen, wird ein Durchschnitt aus einer bestimmten Anzahl von Datenpunkten verwendet. Der Jitter beschreibt die Abweichung von dieser Messung. Bei Arbeitslasten, die von Netzwerken mit geringer Latenz abhängen (z. B. Audio, Streaming), kann der Jitter hilfreich sein, um die Qualität des Netzwerks in Bezug auf die Konsistenz zu beurteilen.

Verfügbarkeit

Das Maß für die Wahrscheinlichkeit, dass das Netzwerk verfügbar ist. Verschiedene Netzwerke können unterschiedlich viele Ausfälle verkraften.

Ein Netzwerk aufbauen

Stell dir vor, du bist dafür verantwortlich, ein System in einem Rechenzentrum zu installieren. Das System hat ein Gateway, das zu einer Anwendung leitet, die aus einer Datenbank und einer Reihe von Webservern besteht. Das Rechenzentrum stellt die Backbone-Konnektivität bereit, aber für alles andere bist du verantwortlich. Welche Netzwerkressourcen brauchst du also? Hier sind einige, die mir in den Sinn kommen:

• Eine Firewall zum Filtern des Ingress- und Egress-Datenverkehrs

• Ein Gateway-Router, der eingehenden Datenverkehr aus dem öffentlichen Internet annimmt, ihn an interne Ressourcen weiterleitet, die diesen Datenverkehr verarbeiten, und den ausgehenden Datenverkehr von den internen Hosts zurück an die Remote-Clients weiterleitet

• Ein Load Balancer zur Verteilung des Datenverkehrs auf die Webserver

• Intrusion Detection Systeme zum Schutz des Netzwerks vor unbefugtem Zugriff von außen und anderen verdächtigen Netzwerkaktivitäten

• Ein VPN-Gateway, das autorisierten Remote-Benutzern einen erweiterten Zugriff auf das private Netzwerk gewährt

Wenn du die Anforderungen deines Netzwerks berücksichtigst, denke an die Verkehrsmuster, die Art und den Umfang des Verkehrs.

Oft werden Netzwerke anhand der verfügbaren Bandbreite beschrieben. Doch selbst wenn zwei Rechenumgebungen über eine hohe Bandbreite in ihrer Verbindung zum Internet verfügen, kann ihre physische Trennung die Qualität der Interaktion aufgrund von Latenz oder Jitter einschränken.

Das Open Systems Interconnection (OSI)-Referenzmodell ist eine Architektur mit sieben Schichten, die zur Veranschaulichung von Details der Protokoll- und Schnittstellenimplementierung verwendet wird. Der traditionelle Lastausgleich wird beispielsweise als Layer 4 (L4) bezeichnet, weil er auf der vierten Ebene, dem Transport, stattfindet. Bei dieser Art des Lastausgleichs verteilt das Netzwerkgerät oder die Anwendung die Anfragen auf der Grundlage der IP-Adressen und Ports von Quelle und Ziel, ohne den Inhalt der Pakete genauer zu untersuchen. Der Lastausgleich auf Schicht 7 (L7) erfolgt auf der siebten Ebene, der Anwendungsebene. Netzwerke oder Anwendungen, die den Lastausgleich für Anwendungen nutzen, verteilen die Anfragen auf der Grundlage der Eigenschaften der Anfragen.

Aber die Bezeichnungen sind nicht ganz genau; sie erfassen genug Kontext, um ihre Verwendung zu differenzieren. Der L4-Lastausgleich könnte zum Beispiel genauer als L3/L4-Lastausgleich beschrieben werden, weil der Load Balancer bei der Verteilung der Anfragen Netzwerk- und Transportmerkmale verwendet. Und der L7-Lastausgleich könnte genauer als L5-L7-Lastausgleich beschrieben werden, weil der Load Balancer Sitzungs-, Präsentations- und Anwendungsprotokolleigenschaften nutzt, um das beste Ziel für Anfragen zu ermitteln.

Früher war der L7-Lastausgleich sehr teuer, weil die Verarbeitung der Anfragen viel Rechenleistung erforderte. Dank des technologischen Fortschritts sind die Kosten zwischen L4- und L7-Implementierungen heute vernachlässigbar, verglichen mit den Vorteilen der größeren Flexibilität und Effizienz des L7-Lastausgleichs.¹

Erinnere dich an die fünf Schichten des Internetmodells aus Tabelle 1-2.

Jede Schicht kommuniziert über die darüber und darunter liegenden Schnittstellen über ein schichtspezifisches Nachrichtenobjekt. Die Schichtung trennt die Rollen und Verantwortlichkeiten und ermöglicht es Menschen, verschiedene Teile von Kommunikationsprotokollen zu erstellen (und zu ändern), was einen Großteil der modernen Netzwerkumwandlung vorangetrieben hat.

Virtualisierung

Um ein Netzwerk aufzubauen, braucht es zwei Dinge: die Fähigkeit, Daten zu senden und zu empfangen, und einen Mechanismus, um Entscheidungen darüber zu treffen, wie dies geschehen soll.

In der Vergangenheit musstest du für jede Netzwerkfunktion ein eigenes Gerät kaufen. Jetzt kannst du virtualisierte Versionen dieser Komponenten mit ähnlichen Techniken wie deine anderen Infrastrukturressourcen einsetzen. Genauso wie Service-Provider traditionelle Serverfunktionen (z. B. Datenbanken und Webserver) virtualisiert haben, virtualisieren Anbieter Netzwerkdienste mit anonymen Netzwerkgeräten, sodass du Software einsetzen kannst, die verwaltet, wie die Hardware Daten überträgt und empfängt.

Du kannst jedoch nicht alle Aspekte des Netzwerks virtualisieren. Für die Kommunikation mit entfernten Hosts sind z. B. physische Datenkanäle erforderlich, wie Ethernet-Kabel, transozeanische Glasfaserleitungen, Satelliten-Uplinks oder WiFi-Adapter. Diese Kanäle sind so unterschiedlich, dass spezielle Hardware für die Datenübertragung erforderlich ist. Aber das ist der Vorteil der Trennung von Protokollimplementierung und Schnittstellen zum Internet. Solange die Ressourcen der Bitübertragungsschicht vorhanden sind und funktionieren, kannst du die Transport- und Netzwerkressourcen so einrichten, wie du es für richtig hältst.

Die Möglichkeit, beliebige Netzwerkfunktionen auf generischer Hardware zu implementieren, bietet uns eine enorme Flexibilität. Du musst keine spezielle Ausrüstung anschaffen und dann in ein Rechenzentrum fahren, um sie zu "racken und stapeln", wenn ein API-Aufruf denselben Bedarf decken kann. Stattdessen können die Netzwerkressourcen vertikal und horizontal mit dem Rest deiner Infrastruktur skaliert werden.

Software-definierte Netzwerke

Angesichts der zunehmenden Verbreitung von Netzwerkressourcen in großem Maßstab besteht deine Herausforderung darin, diese Ressourcen auf eine zusammenhängende, ganzheitliche Weise zu verwalten und zu schützen. Frühe Ansätze der Internetarbeit basierten auf einer dezentralen Philosophie, bei der die Router nur eine vage Vorstellung davon hatten, wie sie den Datenverkehr an sein endgültiges Ziel weiterleiten sollten. Eine dezentrale Philosophie machte das Internet widerstandsfähig genug, um sich von Naturkatastrophen zu erholen, aber sie garantierte nicht die Stabilität des Netzwerks. Außerdem berücksichtigte dieser Ansatz nicht die sich entwickelnde Sicherheit. Die ersten Ingenieure entwarfen das Internet so, dass es die Netzwerksegmentierung überlebte, aber sie dachten nicht an Malware-Bedrohungen wie den Morris-Wurm oder die allgegenwärtige Integration von Computern in das tägliche Leben, die jeden viel anfälliger für bösartige Aktivitäten macht.

Stell dir die Herausforderungen vor, mit denen ein Netzwerkadministrator an einer Universität konfrontiert ist. Die Hochschule stellt bestimmte Rechenressourcen zur Verfügung (z. B. Server, Workstations und Drucker) und erlaubt Studierenden und Lehrkräften, ihre eigenen Geräte zu benutzen (z. B. Laptops, Tablets und Telefone). Während die IT-Abteilung die Geräte der Hochschule mit Patches versieht und physisch sichert, ist es viel schwieriger, bestimmte Sicherheitsrichtlinien für die Geräte anderer Personen durchzusetzen. Daher ist es nur eine Frage der Zeit, bis es zu einem Problem mit Malware, Ransomware oder Viren kommt, die von ungesicherten privaten Geräten stammen.

Software-defined Networking (SDN) bietet Werkzeuge, die dir helfen, deine Ressourcen zu verwalten und zu schützen. SDN ist ein Ansatz für das Netzwerkmanagement, bei dem ganze Netzwerke als ein einziger programmierbarer Computer konzipiert werden. Genauso wie herkömmliche Computer ein Betriebssystem verwenden, um Hardwareressourcen im Namen von High-Level-Anwendungen zu orchestrieren, führen SDNs ein zentralisiertes Framework ein, um den Betrieb eines verteilten Netzwerks zu koordinieren, Ressourcen nach Bedarf zu aktivieren, sich automatisch an unbeständige Bedingungen anzupassen und einheitliche Richtlinien durchzusetzen.

So könnte ein Netzwerkadministrator eine Anwendung zur Verwaltung von Bedrohungsdaten zusammen mit gemeinsamen Bedrohungsquellen einsetzen, um eine Denyliste für bösartige Websites zu erstellen. Wenn Gerätebesitzer dann versuchen, eine bösartige Website zu besuchen, werden sie auf eine Warnseite geleitet, damit sie die entsprechenden Maßnahmen ergreifen können.

Das entscheidende Merkmal von SDNs ist die Verwendung einer High-Level-Kontrollebene, um den Betrieb der einzelnen Netzwerkgeräte zu steuern. Während die Anbieter die Software auf der Daten- oder Weiterleitungsebene für Geschwindigkeit, Einfachheit und Konsistenz optimieren, bietet die Steuerungsebene eine flexible Schnittstelle für die Definition von Richtlinien und die Behandlung von Ausnahmen.

Die SDN-Architektur verwendet einen zentralisierten, programmierbaren Controller, der den Netzwerkbetrieb überwacht. Dieser Controller verwendet APIs, die nach Süden gerichtet sind, um Informationen an Geräte wie Router und Firewalls weiterzuleiten, und APIs, die nach Norden gerichtet sind und Statusinformationen an den Controller weitergeben. Die meisten SDN-Implementierungen verwenden das OpenFlow-Protokoll, um Netzwerkgeräte herstellerunabhängig zu verwalten. Solange die physischen oder virtuellen Geräte eine programmatische Schnittstelle unterstützen, mit der du festlegen kannst, wie der Datenverkehr weitergeleitet oder verworfen werden soll, kannst du sie mit einem SDN-Controller steuern.

Mehrere SDN-Controller-Anwendungen können gleichzeitig beteiligt sein. Einige Anwendungen auf der Steuerungsebene konzentrieren sich zum Beispiel auf die Bereitstellung und das Provisioning, andere messen den Datenverkehr zu Abrechnungszwecken und wieder andere können verschiedene Aspekte der Netzwerksicherheit behandeln.

Die Segmentierung ist eine weitere Möglichkeit, deine Netzwerke zu schützen. Durch die Segmentierung deines Netzwerks kannst du den Verkehrsfluss für die legitime Nutzung des Netzwerks optimieren und den Schaden im Falle eines Malware-Angriffs oder einer Datenverletzung klassifizieren. Mit maschinellem Lernen können moderne softwaredefinierte Netzwerke automatisch lernen, Nutzungsmuster zu erkennen, und diese Informationen nutzen, um den Betrieb von Mikrosegmenten zu steuern. Doch wie bei allen maschinellen Lernsystemen sind die Ergebnisse nur so gut wie ihre Trainingsdaten.

Content Distribution Networks

Ein Schlüsselelement für einen reibungslosen Systembetrieb sind reaktionsschnelle Netzwerkdienste. Die Nutzerinnen und Nutzer haben sich daran gewöhnt, dass die Antwortzeiten fast augenblicklich sind, und gehen davon aus, dass alles kaputt ist, wenn es zu Verzögerungen kommt. Doch keine noch so hohe Rechenleistung kann die Lichtgeschwindigkeit überwinden. Je weiter deine Nutzerinnen und Nutzer entfernt sind, desto stärker macht sich das bemerkbar.

Betrachte einen Standort in San Francisco, wie in Tabelle 4-1 dargestellt, mit den folgenden Annahmen:

• Alle Standorte sind in der angegebenen Entfernung geradlinig über Glasfaser mit San Francisco verbunden.²

• Die Lichtgeschwindigkeit beträgt bei Glasfasern etwa 5 ms pro 1.000 km.

Multipliziere nun die Round-Trip-Time (RTT) mit der Größe der Anfrage. Der Unterschied zwischen Nutzern, die von New York City und Tokio aus auf die Website zugreifen, ist sehr groß. In der realen Welt müssen wir die Tatsache berücksichtigen, dass die meisten Orte nicht geradlinig über Glasfaser verbunden sind, dass die Medien unterschiedliche Latenzen haben und dass die Netzwerkgeräte bei jedem Netzwerksprung eine Verzögerung bei der Verarbeitung der Route hinzufügen. Außerdem gibt es keine Garantien für anderen Verkehr auf denselben Netzwerksegmenten.

Um die Grenzen der Netzwerklatenz zwischen den Standorten zu überwinden, brauchst du eine Kopie deiner Website, die nahe genug bei deinen Kunden liegt, damit diese Verzögerungen vernachlässigbar sind. Du könntest zwar ein eigenes globales Netzwerk aufbauen, aber es ist viel einfacher, die Arbeit an CDNs auszulagern, die die Last des Betriebs einer Reihe von globalen Rechenzentren, den sogenannten Points of Presence (PoPs), übernehmen. Indem du deine Website an einen lokalen PoP verteilst, kannst du die Antwortzeit für Nutzer/innen in der Nähe dieser Punkte auf weniger als 1 ms senken.

Wähle dein CDN auf der Grundlage der Funktionen (z. B. Verfügbarkeit, bediente Regionen und Routing-Optionen), die deine Ausgaben optimieren. Mit einem CDN kannst du Folgendes tun:

• Verbessere die Ladezeiten, indem du die Inhalte näher an deine Verbraucher verteilst.

• Reduziere die Kosten für die Bandbreite. Anstatt mehrere redundante Reisen durch das ganze Land zu unternehmen, bleiben die meisten Anfragen am Kanten und werden von zwischengespeicherten Inhalten abgerufen.

• Erhöhe die Verfügbarkeit und Redundanz, indem du zahlreiche globale Kopien deiner Inhalte hast.

• Verbessere die Sicherheit, indem du die Auswirkungen eines verteilten Denial-of-Service-Angriffs (DDoS) abschwächst. Bei einem DDoS-Angriff versuchen böswillige Akteure, eine Website mit Datenverkehr zu überfluten, um die Ressourcen des Systems zu erschöpfen. Einige CDN-Anbieter können verhindern, dass die böswilligen Aktivitäten deine Server erreichen, so dass dein System nicht unterbrochen wird.

Der Einsatz eines CDN hilft dir, einige Probleme zu lösen, aber er macht die Verwaltung der Dienste, der spezifischen Konfigurationen deines CDN und der Caches deiner Website noch komplexer.

Wenn du ein CDN verwendest, schau in der Dokumentation deines Anbieters nach, wann du zwischengespeicherte Ressourcen löschen solltest. Denk an Situationen wie diese:

• Probleme treten bei einer Untergruppe deiner Nutzer auf. Zum Beispiel hat jemand eine Änderung vorgenommen, die unbeabsichtigte Folgen für die im Cache befindlichen Daten hatte.

• Bei allen deinen Nutzern treten Probleme auf. Du hast zum Beispiel eine schlechte Website erstellt.

Vermeide es im Allgemeinen, den gesamten Cache zu löschen, da dies zu einer Kaskade von Anfragen führen würde, um den Cache wieder aufzufüllen.

Leitlinien für deine Netzwerkstrategie

Wenn du die Landschaft der Netzwerktechnologien (Netzwerkvirtualisierung, Software-definierte Netzwerke und Content-Distribution-Netzwerke) kennst, kannst du mit der Entwicklung deiner Netzwerkstrategie beginnen. Denke an Folgendes:

• Erkenne deinen Latenzbedarf. Ziehe in Betracht, die notwendigen Systeme näher an die Endnutzer/innen zu bringen, um die Latenzzeit zu verbessern, sei es durch Caching, gespiegelte Systeme oder segmentierte Daten. Das bedeutet, dass du genau wissen musst, wie und wo sich deine Nutzer/innen mit dir verbinden, z. B. über Telefone (unzuverlässige drahtlose Verfügbarkeit), Laptops (meist zuverlässige drahtlose Verbindungen), festverdrahtete Verbindungen und räumliche Entfernungen wie globale Märkte.

• Nutze neue Protokolle in deinen Systemen:

  • Nutze HTTP/2, um ein schnelleres und hochwertigeres Nutzererlebnis zu bieten.

  • Nutze QUIC-Netzwerke, um eine nahtlose Verbindung aufrechtzuerhalten, auch wenn mobile Nutzer/innen zwischen Netzwerkverbindungen wechseln.

• Halte dich über Sicherheitsbedrohungen im Internet auf dem Laufenden und verfolge die Hinweise zu der von dir verwendeten Software.