Fabric für Niedersachsen
Von Detlef Gnad, IT.Niedersachsen, und Andreas Rose, AirITSystems
Die digitale Transformation macht auch vor dem öffentlichen Dienst nicht halt. IT-gestützte Informationstechnik verändert die Arbeit in Ämtern, Behörden und Landesverwaltungen von Grund auf. Online-Bürgerservice-Portale oder die elektronische Akte sind nur zwei Beispiele für diesen Technologiewandel. Im Fokus steht die Digitalisierung bestehender Prozesse und Mechanismen; das Ziel ist eine zukunftsfähige, nutzerfreundliche, digitale Verwaltung, die Abläufe vereinfacht und eine institutionsübergreifende Ressourcennutzung ermöglicht.
Die Herausforderungen sind im Wesentlichen dieselben wie in der freien Wirtschaft: der exponentiell steigende Traffic, die immer datenintensiveren Anwendungen, Big Data und Cloud-Lösungen. Nicht nur IT-Systeme, sondern auch deren Netzwerke müssen hier immer größeren Belastungen standhalten. Die bisherigen Architekturen stoßen dabei bald an ihre Leistungsgrenzen. Mit zunehmendem Alter werden diese Systeme anfällig, angreifbar und immer schwerer zu verwalten. Gefragt sind flexible, schlanke und zukunftsfähige Architekturen, die die Komplexität des Netzwerkes deutlich reduzieren.
Neue Maßstäbe der Netzarchitektur
Vor diesen Anforderungen stand auch der Landesbetrieb IT.Niedersachsen beim Redesign seines kompletten Datacenter-Netzes. Der IT-Dienstleister des Landes Niedersachsen betreut derzeit landesweit verteilt zentrale IT-Komponenten für ca. 50.000 Anwender auf unterschiedlichen Plattformen. Das Portfolio der Services, die ihre Basis im Rechenzentrum von IT.Niedersachsen haben, ist breit gefächert; es reicht von dedizierten und virtuellen Server-Clustern über zentrale Datenspeicher und SAN-Ports bis zu redundantem Archivspeicher und Server Housing. Die Bereitstellung zentral gesteuerter IT-Arbeitsplätze inklusive Bürokommunikation gehört ebenso dazu. Im Landesrechenzentrum lagern daher sehr große Datenmengen mit hohen Sicherheitsanforderungen: Auf einer Fläche von über 1000 m² befinden sich auf 230 Racks und 835 physischen Servern beispielsweise die Daten des ERP-Systems des Landes für mehrere tausend Anwender oder das digitale Grundbuch mit 3,1 Millionen Grundbuchblättern für 80 Grundbuchämter mit rund 1000 Arbeitsplätzen.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazinreihe „Rechenzentren und Infrastruktur“. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Das bisherige Datacenter-Netzwerk von IT.Niedersachsen war Anfang des Jahrtausends als Ringstruktur aufgebaut worden: relativ komplex, mit vielen Hierarchieebenen und einem hohen Geräteeinsatz. Diese Architektur war nicht nur überholt, sondern auch am Ende ihres Lifecycles angelangt; sie wird nun durch die neue Service Area von IT.Niedersachsen abgelöst. Das Redesign der Netzwerkinfrastruktur soll die Systeme konsolidieren, flexiblere, effizientere und besser skalierbare Lösungen schaffen und gleichzeitig den stets steigenden Anforderungen gerecht werden: Die voranschreitende Virtualisierung auf den höher gelegenen OSI-Schichten und eine veränderte Anwendungsbereitstellung lassen die Datenströme innerhalb des Rechenzentrums exponentiell wachsen und verlangen eine angepasste Netzarchitektur. Die inzwischen vorherrschende virtualisierte Welt folgt veränderten Regeln und bringt beispielsweise die häufige Migration virtueller Maschinen von Server zu Server mit sich. Datenströme im Datacenter-Netzwerk fließen nicht mehr in Client-Server-Richtung, sondern verstärkt von Server zu Server. Daneben ist die Serverdichte wesentlich gestiegen. IT.Niedersachsen ist heute in der Lage, tausende virtueller Maschinen in einem einzigen Rechenzentrum bereitzustellen. Inzwischen etablierte Verfahren wie die Live-Migration von Servern verursachen hohe Datenlasten und wirken sich auf bestehende Administrationsverfahren aus. Zudem erhöhen immer leistungsstärkere Blade-Server mit Multicore-Prozessoren und hoch breitbandigen Schnittstellen den Bedarf an Bandbreite und Geschwindigkeit im Netzwerk erheblich.
Fabric-Topologie statt Ringstruktur
Der Virtualisierungsgrad im Rechenzentrum von IT.Niedersachsen ist inzwischen beachtlich. Die Netzwerkebene soll dem nun auch Rechnung tragen. Die Vorgaben für das neue Netz sind damit klar und fokussieren sich auf hohe Bandbreiten, geringe Latenzen und einen vereinfachten Betrieb. Es gilt, beste Voraussetzungen für eine beschleunigte Bereitstellung von Anwendungen und Services zu schaffen und das Netzwerk zukunftsfähig zu gestalten. Während das alte Netz in einer Ringtopologie mit einer geschlossenen Kabelstrecke angelegt war, setzt das Redesign auf eine Fabric-Topologie.
Die ursprüngliche Ringstruktur hatte einen sehr hohen Verkabelungs- und Administrationsaufwand mit sich gebracht. Die Fabric-Struktur beseitigt diese Nachteile und kommt dem dynamischen Zusammenspiel von Web-, Applikations- und Datenbankservern, das den klassischen Client-Server-Datenstrom abgelöst hat, zugute. In der Fabric-Topologie finden die logischen Verbindungen sowohl zwischen Client und Server als auch zwischen Server und Server statt. Die Architektur verbindet dezentral aufgestellte, verteilende Komponenten zu einer strukturiert vollvermaschten Topologie. Das ermöglicht eine redundante Any-to-any-Kommunikation der Geräte in hochverfügbaren, verteilten Systemen. Jeder Netzwerkbereich ist mit allen anderen Bereichen in der vollen Bandbreite verbunden. Das gewährleistet wesentlich höhere Geschwindigkeit, Flexibilität und Ausfallsicherheit.
Virtualisierung auf Switch-Ebene
Die alte Ringstruktur war im Spanning-Tree-Verfahren über mehrere Netzsegmente angelegt. Sie wies zwar Redundanzen auf, benötigte allerdings lange Umschaltzeiten. Die verteilt angelegte Fabric-Architektur reduziert die Hierarchieebenen innerhalb des Netzwerks nun wesentlich auf zwei Ebenen. Sie fasst mehrere physische Switches zu einem großen logischen Switch zusammen. Insgesamt sind je logischem Switch bis zu acht physische Switches geclustert. Die Hauptstruktur des Netzes besteht damit aus einem logischen Core Switch sowie ca. zehn logischen Access-Switch-Clustern. Die verwendete Methode zur logischen Zusammenschaltung ist hier das IRF (Intelligent Resilient Framework) von HP, denn die neue Service Area basiert auf HP-FlexFabric-5900/11908-Systemen. Alle physikalischen Switches, die mittels IRF zu einer logischen Einheit zusammengefasst sind, verhalten sich nach außen wie ein einziges System mit einem Configuration File und einer Administrationsoberfläche sowie der Möglichkeit zu einer Switch-übergreifenden Link Aggregation. Der Vorteil ist hier, dass alle Links auch aktiv sind und an der Datenübertragung gleichberechtigt teilnehmen.
Im Gegensatz zu den herkömmlichen Redundanzmechanismen wie beispielsweise den verschiedenen Spanning-Tree-Verfahren (STP, RSTP, MSTP) stellt dies eine deutliche Verbesserung in Bezug auf das Umschaltverhalten bei Ausfall einzelner physikalischer Leitungen dar und erlaubt im Regelbetrieb die Ausnutzung der Bandbreite aller aktiven Verbindungen gleichzeitig. Das zu erwartende Umschaltverhalten und damit auch die Konvergenzzeiten liegen bei IRF im Millisekundenbereich – im Vergleich zu mehreren Sekunden beim Rapid-Spanning-Tree-Verfahren. Des Weiteren hat die Zusammenfassung mehrerer physikalischer Switches zu einer logischen Einheit eine Vereinfachung der logischen Netzstruktur zur Folge, mit der damit einhergehenden Vereinfachung der Administration. Ein mandantenfähiges Monitoring-System mit Flow-Analyse erweitert die Steuerungsfähigkeit des Netzwerks zusätzlich.
Seine gesteigerte Flexibilität erhält das neue Netz durch die wesentlich höhere Port-Dichte: Insgesamt verfügt die Service Area über mehrere tausend 1/10-GBit/s-Ports. Das vervielfacht die Netzgeschwindigkeit gegenüber der 1-GBit/s-Leistung des alten Netzes um ein Vielfaches. Die Uplink-Geschwindigkeiten liegen bei mehrfach 10 bzw. 40 GBit/s. Die gesamte Hardware ist bereits für den Einsatz von 100 GBit/s vorbereitet und komplett SDN-fähig. Weil Fabric-Strukturen eine hochwertige Vernetzung benötigen, um ihre volle Leistungsfähigkeit zu entfalten, wurde die Leitungsqualität durch die Verwendung von Glasfaser in einem dämpfungsarmen Aufbau erhöht. Gerade diese Eigenschaften waren IT.Niedersachsen wichtig, denn das Netz soll zukunftsfähig nutzbar und erweiterbar bleiben.
Optimierung an der Peripherie
Zusätzlich zur eigentlichen Projektaufgabe – dem Austausch der alten Netzwerklandschaft gegen ein aktuelles System – kam im Projektverlauf das komplette Redesign der sogenannten Landeskopfstelle hinzu, also der Anbindung an das landesweite WAN. Um die Struktur der WAN-Anbindung an die neue, sehr performante Service Area zu vereinfachen und damit zu optimieren, konnten viele Funktionen, die vorher auf diversen Komponenten in der Schnittstelle zwischen der Service Area und dem Landes-WAN verteilt waren, nun in die Core Router der neuen Service Area integriert werden. Erst dadurch erreichten die Netzwerkarchitekten eine insgesamt durchgängige Performance-Steigerung.
Die Konsolidierung des Netzes der Rechenzentren innerhalb der Service Area von IT.Niedersachsen hat auf ganzer Linie gewirkt. In Summe gibt es eine deutlich flachere und damit flexiblere Topologie, die weniger Schichten, weniger Technik und weniger Stellfläche benötigt – zugunsten einer höheren Port-Dichte, einfacherer Administration und einer besseren Energieversorgung. Die gesamte Migration wurde in mehreren Teilschritten mit sehr geringen Auswirkungen auf den produktiven Betrieb der Kundensysteme von IT.Niedersachsen durchgeführt.
