Bundesamt für Sicherheit in der Informationstechnik

G 4.75 Störung der Netzinfrastruktur von Virtualisierungsumgebungen

Mehrere Virtualisierungsserver können zu einer so genannten virtuellen Infrastruktur zusammengefasst werden. In einer solchen virtuellen Infrastruktur können die virtuellen IT -Systeme beliebig auf die einzelnen Virtualisierungsserver verteilt werden. Weiterhin ist es möglich, die virtuellen Maschinen zwischen den Virtualisierungsservern zu verschieben. Dies kann bei einigen Produkten auch geschehen, wenn das virtuelle IT-Systeme gerade ausgeführt wird (Beispiele: Microsoft Hyper-V Live Migration, VMware VMotion, XEN LiveMigration). Ein solcher Prozess, im Folgenden Live Migration genannt, ist in der Regel transparent für das virtuelle IT-System, d. h. es bemerkt diesen Migrationsprozess nicht. Auf dieser Migrationstechnik bauen weitere Funktionen einer virtuellen Infrastruktur auf. Dies sind Funktionen wie z. B. die dynamische Zuteilung von Prozessor- und Hauptspeicherressourcen. Hierbei wird das virtuelle IT-System immer auf den Virtualisierungsserver migriert, der die benötigten Ressourcen optimal zur Verfügung stellen kann. Ein virtuelles IT-System erhält auf diese Weise immer die bestmögliche Ressourcenzuteilung.

Es gibt des Weiteren Virtualisierungsprodukte, bei denen der Ausfall eines Virtualisierungsservers kompensiert wird, indem die davon mit betroffenen virtuellen IT-Systeme auf einem anderen Virtualisierungsserver automatisch neu gestartet werden.

Um die beschriebenen technischen Möglichkeiten zu realisieren, wird zwischen den beteiligten Virtualisierungsservern ein Kommunikationsnetz zur Koordinierung dieser Funktionen (automatischer Neustart, Live Migration) benötigt. Kommt es zu Störungen in diesem Netz, sind die hierüber koordinierten Funktionen ebenfalls gestört.

Eine Störung in der Kommunikation zwischen Virtualisierungsservern kann eine Live Migration abbrechen lassen. Hierdurch können möglicherweise Mechanismen zur dynamischen Lastverteilung fehlschlagen, wenn eine virtuelle Maschine aufgrund eines Ressourcenengpasses auf einen anderen Zielserver verschoben werden soll. In der Folge führt der nicht behebbare Ressourcenengpass auf dem Quellserver zu einer Einschränkung der Verfügbarkeit des nicht verschiebbaren IT-Systems.

Um die Verfügbarkeit virtueller IT-Systeme zu steigern, können mehrere Virtualisierungsserver zu einem Cluster miteinander verbunden werden. Die Systeme, die an einem solcher Serververbund teilnehmen, benötigen eine reibungslose Kommunikation untereinander. Mittels dieser Kommunikation überwachen sich die Systeme gegenseitig und prüfen z. B., ob die auf ihren Partnern laufenden virtuellen IT-Systeme weiterhin verfügbar sind (Heartbeat). Fällt einer der Partner des Verbundes aus, werden die ebenfalls ausgefallenen IT-Systeme, sofern möglich, auf einem anderen Virtualisierungsserver neu gestartet.

Fällt das Kommunikationsnetz des Clusters, beispielsweise aufgrund eines Hardwarefehlers auf einem Switch, aus, ist die Funktion zur Ausfallkompensation des Clusters gestört. Möglicherweise sind die virtuellen IT-Systeme auf den Virtualisierungsservern, die Mitglieder des Clusters sind, ebenfalls in ihrer Verfügbarkeit gefährdet.

Das Kommunikationsnetz zwischen den am Hochverfügbarkeitsverbund beteiligten Systemen erfüllt im Übrigen neben den vorgenannten weitere wichtige Funktionen: Fällt die Kommunikation zwischen mehreren Systemen eines Verbundes gleichzeitig aus, muss jedes System entscheiden können, ob es selbst oder die anderen Systeme von dem Ausfall betroffen sind (Isolationsproblem). Würden zwei oder mehrere an einem Hochverfügbarkeitsverbund beteiligte Virtualisierungsserver isoliert voneinander ein virtuelles IT-System mehrfach starten, können die Daten, die dieses virtuelle System repräsentieren, beschädigt werden. Dadurch kann das virtuelle IT-System unbenutzbar werden. Es kann auch zu Störungen kommen, wenn ein und dasselbe IT-System mehrfach im Netz vorhanden ist (z. B. durch doppelte IP - oder MAC -Adressen).

Anbindung von Speichernetzen

Virtuelle IT-Systeme werden in der Regel durch eine Reihe von Dateien physisch repräsentiert. Diese Dateien enthalten neben der Konfiguration des virtuellen IT-Systems beispielsweise auch die Container für virtuelle Festplatten. Werden Snapshots, also Abbilder eines virtuellen IT-Systems in einem beliebigen, auch laufenden Betriebszustand, erzeugt, speichert der Virtualisierungsserver die hierbei entstehenden Daten ebenfalls in Dateien. Diese Dateien können entweder auf dem Virtualisierungsserver selbst oder in dem dazugehörigen zentralen Speichernetz gespeichert sein.

Virtuelle Serverumgebungen aus mehreren Virtualisierungsservern sind oftmals mit zentralen Speichernetzen verbunden, damit auf die Dateien, die die virtuellen IT-Systeme repräsentieren, von mehreren Stellen aus zugegriffen werden kann. Bricht die Verbindung zu diesen Speicherressourcen ab, wirkt sich dies auf die virtuellen IT-Systeme so aus, als würde einem physischen Server im laufenden Betrieb eine Festplatte entfernt. Da auf Speicherressourcen in einem Speichernetz häufig mehr als ein virtuelles IT-System gespeichert ist, ist bei einem Ausfall die Betriebssicherheit vieler virtueller IT-Systeme gefährdet. In den von dem Ausfall betroffenen virtuellen IT-Systemen und Virtualisierungsservern können bei einem Ausfall Dateisysteminkonsistenzen auftreten, die unter Umständen umfangreiche Wiederherstellungsmaßnahmen erfordern.

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK