Cisco Application Centric Infrastructure (ACI) stellt Anwendungen schnell, flexibel und automatisiert im Netzwerk bereit – und sorgt für spektakuläre Dynamik. Für einen erfolgreichen Einsatz dieser Technologie müssen viele Unternehmen umdenken. Heinz-Jörg Robert erklärt, warum Loslassen und Kontrolle abgeben gerade in dynamischen Netzwerken der Schlüssel zum Erfolg sind.
Wollen Administratoren auf virtuellen Server-Umgebungen Applikationen anlegen und diese auf Knopfdruck ausrollen, müssen sie in einem statischen Netzwerk Datenpakettransport, Firewall oder Load Balancer auf Kommandozeilenebene konfigurieren. Der vollständige Prozess dauert gerne bis zu zwei Wochen, denn auch die Administratoren für Netzwerk und Security sind beteiligt und müssen Parameter festlegen. Erst danach steht eine App im Netz zur Verfügung – heutzutage erwarten Anwender jedoch, dass Anwendungen auf Knopfdruck laufen.
Aber wie kann eine so elegante, schnelle und flexible Bereitstellung funktionieren? Indem die Applikationen selbst im Netzwerk beheimatet sind. Das Design gängiger Netzwerkarchitekturen im Rechenzentrum ist dafür jedoch zu statisch. Software Defined Networking (SDN) bringt die nötige Dynamik. Einen mittlerweile ziemlich ausgereiften Weg dorthin weist Cisco Application Centric Infrastructure (ACI). Der SDN-Ansatz des Herstellers hat mich schon vor zweieinhalb Jahren mit einem sehr hohen Entwicklungsstand und etablierten Supportszenarien überzeugt. So begann ich guten Gewissens, mit Cisco ACI virtuelle Netze für unsere Kunden aufzubauen – und die Expertise meines Teams zu schärfen.
Profile vereinfachen eine automatisierte Bereitstellung
Cisco ACI umfasst Cisco NX-Switches der Serie 9000, Cisco Application Policy Infrastructure Controller (APIC) und Cisco ACI Virtual Edge (AVE). Konzipiert ist das System als zentrale Instanz, in der Kommunikationsprofile für eine automatisierte Konfiguration von Firewall, Load Balancer und Netzwerk definiert werden. Eine Applikation oder der Applikationsserver wird dafür nur noch in einem dieser Profile im Controller eingetragen. Unternehmen können so beispielweise einen neuen Applikationsserver für eine SAP-Umgebung oder einen neuen Exchange-Server einfach in das Kommunikationsprofil hineinschieben – danach wird dieser automatisiert ausgerollt. In dieser Automatisierung liegt der große Vorteil der SDN-Lösung.
Viele Unternehmen benötigen heute bereits eine flexible und dynamische Infrastruktur – ihnen fehlen aber die Fachkräfte, diese auch zu implementieren. Unsere 16 Techniker installieren nicht nur Netzwerke, sondern nehmen diese auch in Betrieb und übernehmen auf Wunsch das Management.
Den Vorteil, den die automatisierte Bereitstellung geschäftskritischer Anwendungen bietet, beziffert Cisco folgendermaßen:
- 58 Prozent kürzere Netzwerkbereitstellungszeit
- 21 Prozent niedrigere Netzwerkverwaltungskosten
- 25 Prozent weniger Kapitalausgaben
- 45 Prozent geringere Energie- und Kühlungskosten
Ein weiterer klarer Vorteil ergibt sich durch die Mikrosegmentierung, die über die Profile durchgesetzt wird. Applikationen kommunizieren dadurch sicher untereinander – in einem Netzwerksegment und auch darüber hinaus, wenn das gewünscht ist.
Ihre Stärken spielt die SDN-Lösung auch beim Deaktivieren von Apps aus. Bei einem Kunden beispielsweise haben wir das statische Netzwerk analysiert: In einer Firewall fanden wir über 2.000 Regeln, die Applikationen betrafen, die es überhaupt nicht mehr gab. Solche Altlasten stellen Sicherheitslücken dar, die Cyberkriminelle für Attacken nutzen können. Wenn ein Anwender Applikationen abschaltet, müssen auch die zugehörigen Sicherheitsprozesse automatisiert rückgängig gemacht werden. Cisco ACI beherrscht das.
Vom Loslassen und Kontrolle abgeben
Für Cisco ACI muss ein Unternehmen zunächst sein physikalisches Netzwerk erneuern – mit Cisco Switches. Solche Investitionen werden normalerweise erst getätigt, wenn ein Austausch von Netzwerkkomponenten ansteht. Im Kundengespräch fällt oft das Argument, dass man sich mit einem strikt softwarebasierten Ansatz für die Netzwerkautomatisierung die Investition in die Hardware sparen würde. Das stimmt – allerdings findet dann auch keine Kommunikation mit der Physik statt. Tritt ein Fehler im Hardware-Unterbau auf, zum Beispiel auf einem Switch, dann erfährt die Virtualisierungssoftware nichts davon. Cisco ACI dagegen hat eine zentrale Administration, bietet eine hohe Verfügbarkeit und Durchgängigkeit von Hardware und Software. Dies spiegelt sich in einem Single Point of Service wieder, den ein eingespieltes Support-Team auf sehr hohem Niveau ausfüllt.
Bewusst sein sollten sich Anwender in spe, dass sie eine andere Administration erwartet. Ein Netzwerk-Administrator muss sich vom Script-Schreiben auf Kommandozeilenebene verabschieden. Stattdessen braucht er für die Definition der Kommunikationsprofile nun Programmiersprachen wie Python und REST-API, das Programmierparadigma für verteilte Systeme. Ein Administrator alter Schule, bei einem Kunden von mir, hat es auf den Punkt gebracht: „Ich musste loslassen, alles genau zu kontrollieren. Als es mir dann gelang, Vertrauen in die Technologie zu entwickeln, hatte ich endlich Zeit für andere Aufgaben.“ Für unsere Kunden ergibt sich eine zentrale Aufgabe: Sie müssen ihr IT-Personal auf diese Veränderung einstimmen und von den Vorteilen des Neuen überzeugen.
Multi-Cloud und Software Defined WAN kommen
Mittlerweile greifen unsere Experten auf einen Pool von Profilen zurück. Dadurch sind wir in der Lage, beispielsweise einen Exchange-Server schnell an firmenspezifische Gegebenheiten anzupassen. Den zusätzlichen Mehrwert sieht und schätzt auch Cisco, und empfiehlt uns für die Integration bei ACI-Projekten, selbst wenn die Hardware von anderen Cisco-Partnern kommt. Für die nähere Zukunft zeichnen sich spannende Möglichkeiten ab. Auf Basis der Profile lassen sich auch Multi-Cloud-Umgebungen einfach steuern. Bei Carriern sehen wir den Bedarf, schnell virtuelle Netze von Mandanten lokal umzuziehen, was eine virtuelle Funktionalität im WAN (Wide Area Network) verlangt. Wir sprechen in dem Fall von Software-definierten WAN, kurz SD-WAN. Mit Campus-Netzen entstehen gerade die ersten Insellösungen, die nach und nach zusammenwachsen.
Daran zeigt sich, in welche Richtung sich die Dynamik im Netzwerk in Zukunft entwickelt – vorausgesetzt, Sie lassen los!