Virtualisierte DMZ auf Xen Basis

Diplomarbeit von René Karcher

Einleitung:

In einem Zeitalter, in dem die Informationstechnologie immer stärkeren Einzug in den Alltag und das Arbeitsleben findet, benötigt es effektive Werkzeuge, die es dem Anwender erlauben, die Informationstechnologie optimal einzusetzen. Hierzu zählt die Vereinfachung von IT-Prozessen, die optimale Ausnutzung jeglicher Ressourcen wie Hardware oder Personal und die Reduzierung von komplexen IT-Systemen. Diese Aufgaben stellen immer mehr Unternehmen vor fast unlösbare Probleme. Seit einigen Jahren erlebt eine Technologie eine Boomphase, die diesen Unternehmen ein Werkzeug an die Hand geben kann, um einige dieser Probleme zu lösen. Diese Technologie ist die sogenannte Virtualisierungstechnologie. Die Virtualisierung versetzt den Anwender in die Lage, Hardwareressourcen besser auszunutzen, Wartungsprozesse schlanker zu gestalten und Time to Market-Zeiten für IT-Systeme zu verkürzen.

Die Virtualisierungstechnologie hat ihren Ursprung im Jahr 1959. In diesem Jahr veröffentlichte Christopher Strachey eine Abhandlung mit dem Titel „Time Sharing in Large Fast Computers“. In seiner Abhandlung setzte er sich mit der Idee auseinander, welche heute als Multiprogramming bekannt ist. Das Hauptziel von Multiprogramming ist die Vermeidung der Wartezeit bei Zugriffen auf Peripheriegeräte. Dies wird erreicht, indem das nachfolgende Programm auf den Prozessor zugreifen kann, während das aktuelle Programm die Peripheriezugriffe tätigt. Der Hauptgrund für diese Entwicklung war die Ausschöpfung der Leistung von damals noch kostenintensiver Prozessorhardware. Diese Technik kann als erste Virtualisierung eines Prozessors angesehen werden. Der Begriff Virtualisierung, wie er heutzutage eingesetzt wird, hat seinen Ursprung einige Jahre später. Mitte der 60er Jahre betrieb die Firma IBM mehrere virtuelle IBM 7044 Systeme auf einem dedizierten IBM 7044 Mainframe. Seit diesem Zeitpunkt schritt die Entwicklung der Virtualisierung rapide voran.

Gang der Untersuchung:

Diese Diplomarbeit hat die Zielsetzung, sich mit den State of the Art der Virtualisierungstechnologien und Produkten kritisch auseinanderzusetzen und mit einem ausgewählten Virtualisierungsprodukt eine wirtschaftliche und funktionsfähige demilitarisierte Zone (DMZ) aufzubauen.

Der erste Teil dieser Diplomarbeit besteht darin, den Grundstein für die weiteren Kapitel zu legen. Dieser Grundstein besteht aus den Anwendungsgebieten der Virtualisierungstechnologie und deren Methoden, welche bei der Virtualisierung heutzutage zum Einsatz kommen. Zusätzlich wird hier ein Überblick über den Virtualisierungsmarkt mit den wichtigsten Produkten aufgezeigt. Dieser Marktüberblick begrenzt sich auf die marktgängigsten Virtualisierungsprodukte im Serverbereich. Auf Produkte im Desktopbereich wird nicht eingegangen. Der zweite Baustein beinhaltet die Aufarbeitung des ausgewählten Virtualisierungsproduktes für den DMZ-Aufbau. Zum Einsatz kommt das Produkt Xen in seiner Open Source Variante. Die kommerziellen Produkte der Firma XenSource werden in dieser Ausarbeitung nicht behandelt.

Für den praktischen Aufbau der DMZ wird auf das Betriebssystem Community ENTerprise Operating System (CentOS) zurückgegriffen, welches als Grundgerüst für das Management-Tool openQRM dient. Dieses wiederum kann mit seinem Xen-Plugin eine leistungsstarke DMZ auf Xen-Basis aufbauen. Der DMZ-Aufbau wird bis zur Erreichbarkeit der einzelnen Serverbetriebssyteme durchgeführt, d.h., es werden nicht die einzelnen Services wie Webservice oder Mailservice implementiert. Das Ziel ist eine DMZ-Struktur aufzubauen, in der im nächsten Schritt die einzelnen Serverdienste zur Verfügung gestellt werden können.

Am Ende des praktischen Teiles wird eine Wirtschaftlichkeitsbetrachtung durchgeführt, in welcher die Kosten und der Nutzen des Aufbaues detailliert betrachtet werden. Den Schluss dieser Diplomarbeit bildet eine Zusammenfassung der Ergebnisse, sowie einen Ausblick in die weitere Entwicklung der Virtualisierungstechnologie.

Inhaltsverzeichnis:

	ABBILDUNGSVERZEICHNIS	III
	TABELLENVERZEICHNIS	III
	ABKÜRZUNGSVERZEICHNIS	IV
1.	EINLEITUNG	1
2.	EINFÜHRUNG IN DIE VIRTUALISIERUNG	3
2.1	VIRTUALISIERUNG	3
2.2	ANWENDUNGSGEBIETE DER VIRTUALISIERUNGSTECHNOLOGIE	5
2.2.1	Serverkonsolidierung	5
2.2.2	Load Balancing	6
2.2.3	Hochverfügbarkeit	6
2.3	FUNKTIONSWEISEN DER VERSCHIEDENEN VIRTUALISIERUNGSMETHODEN	7
2.3.1	Schutzmechanismus der Intel-Architektur 32 (IA-32)	8
2.3.2	Betriebssystemvirtualisierung	10
2.3.3	Virtualisierung durch Emulation	11
2.3.4	Vollständige Virtualisierung	12
2.3.5	Paravirtualisierung	13
2.3.6	Hardwareunterstützte Virtualisierung	14
2.4	ÜBERBLICK ÜBER DEN VIRTUALISIERUNGSMARKT	16
2.4.1	Virtuozzo	16
2.4.2	Microsoft Virtual Server	17
2.4.3	VMware	18
2.4.4	Xen	19
2.4.5	Produktzuordnung	20
2.4.6	Betrachtung der Vor- und Nachteile	21
3.	VIRTUALISIERUNG MIT XEN	23
3.1	DETAILBETRACHTUNG VON XEN	23
3.1.1	Xen Domänen-Konzept	23
3.1.1.1	Domain-0	24
3.1.1.2	Domain-U	25
3.1.2	Virtuelle Gerätetreiberarchitektur	26
3.1.3	Ressourcenmanagement	27
3.1.3.1	CPU-Virtualisierung	27
3.1.3.2	Festplattenvirtualisierung	29
3.1.3.3	Netzwerkvirtualisierung	31
3.2	XEN MANAGEMENT-TOOLS	33
3.2.1	Xen Management User Interface (XM)	33
3.2.2	openQRM	34
4.	PRAKTISCHE UMSETZUNG MIT XEN	36
4.1	EINFÜHRUNG IN DIE PRAKTISCHE UMSETZUNG MIT XEN	36
4.1.1	Beweggründe für den Aufbau einer virtuellen demilitarisierten Zone	36
4.1.2	Gründe für die Wahl von Xen	37
4.1.3	Klassische demilitarisierte Zone (DMZ)	38
4.1.4	Struktur der virtualisierten DMZ	39
4.2	INBETRIEBNAHME DER DMZ MIT OPENQRM	41
4.2.1	Installation und Konfiguration von openQRM	41
4.2.2	Erstellen eines File-System-Images	44
4.2.3	Konfiguration eines Xen Hosts	45
4.2.4	Erstellen von Partitions auf einem Xen Host	46
4.2.5	Erstellen einzelner Virtual Environments	48
4.3	TECHNISCHE ANALYSE DER UMSETZUNG	51
4.3.1	Sicherheitsanalyse	51
4.3.2	Betriebsanalyse	54
4.4	TOTAL COST OF OWNERSHIP-BERECHNUNG	55
5	FAZIT UND AUSBLICK	61
	LITERATURVERZEICHNIS	64
	GLOSSAR	67

Textprobe:

Kapitel 4., Praktische Umsetzung mit Xen:

Das folgende Kapitel befasst sich mit der praktischen Umsetzung. Es verfolgt das Ziel mit dem Virtualisierungsprodukt Xen und dem Management-Tool openQRM eine flexible und leistungsstarke DMZ auszubauen. Zuerst werden die Gründe dargelegt, weshalb eine DMZ als praktisches Beispiel der Anwendung von Virtualisierung gewählt wurde und welche Gründe zur Wahl von Xen geführt haben. Des Weiteren werden die Grundlagen des Aufbaus dargelegt und erläutert. Hierzu zählt die Definition von Grundbegriffen wie beispielsweise DMZ und die Erläuterung der Struktur der virtuellen DMZ. Darauf folgend wird die Installation und Konfiguration des Managementserver mit openQRM näher betrachtet. Anschließend an diese Betrachtung wird ein File-System-Image erstellt, welches später die Grundlage aller virtuellen Server darstellt. Mit diesem Image werden virtuelle Umgebungen, die sogenannten Virtual Environments, erstellt und gestartet. Den Abschluss dieses Kapitels bildet eine Schlussbetrachtung über den kompletten DMZ-Aufbau.

Einführung in die praktische Umsetzung mit Xen:

Beweggründe für den Aufbau einer virtuellen demilitarisierten Zone: Die Aufgabenstellung war, eine DMZ aufzubauen, die für den Produktiveinsatz geeignet ist und einen akzeptablen Total Cost of Ownership- (TCO) Wert besitzt. Die Grundvoraussetzung für eine solche DMZ ist eine hohe Verfügbarkeit und Skalierbarkeit, sowie stabile und leistungsstarke Softwareprodukte, die zum Einsatz kommen müssen. Diese Grundvoraussetzungen treiben automatisch den TCO-Wert in die Höhe. Damit diese Erhöhung der TCO-Werte gering gehalten werden kann, fiel die Produktentscheidung auf Open Source Software im DMZ Bereich. Die klassischen Open Source Produkte für dieses Einsatzgebiet können alle auf der Basis des Open Source-Betriebssystem Linux betrieben werden. Nach dieser Festlegung auf die zuvor genannten Produktarten war das Grundgerüst für die DMZ fertig. Ab diesem Zeitpunkt stellt sich die Frage, welche Hardware für diese DMZ zu verwenden ist. Damit eine DMZ hochverfügbar und skalierbar ist, benötigt es eine Vielzahl an Hardwarekomponenten. Es muss beispielsweise jeder Server redundant und mit ausreichenden Reserven ausgelegt werden. Diese Vorgehensweise ist nicht wirtschaftlich. In der Regel liegen in einer hochverfügbaren DMZ 50 % der Ressourcen brach. Diesem Missstand kann durch moderne Virtualisierungstechnologien entgegengewirkt werden.

Unter Abwägung der Vor- und Nachteile ergab sich, dass die DMZ mit Open Source- Softwarekomponenten unter der Verwendung einer Virtualisierungstechnologie aufgebaut wird.

Gründe für die Wahl von Xen: Durch die Wahl des Open Source-Betriebssystems Linux für die Realisierung der DMZ kommen mehrere Virtualisierungsprodukte in Frage. Wird der Faktor der Performance hinzugezogen, der in der geplanten DMZ benötigt wird, fallen die Produkte VMware Server und Microsoft Virtual Server aus der Betrachtung. Somit bleibt der VMware ESX Server, Xen und Virtuozzo in der Wertung. Virtuozzo unterstützt immer nur ein Betriebssystem, was bedeutet, dass die DMZ zu einem späteren Zeitpunkt beispielsweise nicht mit Windows-Betriebssystemen erweitert werden kann. Die beiden verbleibenden Produkte sind im Funktionsumfang annähernd identisch. Xen hat den Nachteil einer komplexen Administration. Dafür ist es kostenlos verfügbar. Der VMware ESX Server verfügt über ein gutes Administrationsframework, ist aber die teuerste Virtualisierungslösung auf dem Markt. Aufgrund der freien Verfügbarkeit fällt die Entscheidung auf Xen. Im nächsten Schritt wird das Virtualisierungsprodukt Xen näher betrachtet. Es verwendet die Methode der Paravirtualisierung, welche mit ihren Vor- und Nachteilen in Kapitel 2.3.5 näher untersucht wurde. Zu der auf das Linux-Betriebssystem abgestimmten Virtualisierungsmethode kann Xen mit einer weit gefächerten Unterstützung der IT-Industrie aufwarten. Firmen, wie Novell und IBM, forcieren die Verbreitung und Wandlung von Xen zum Industriestandard. Des Weiteren ist Xen in der Lage, spätere Erweiterungen der DMZ auch mit Windows-Betriebssystemen als virtuelle Server zu unterstützen, wenn die eingesetzten Hardwareplattformen die Funktionen der hardwareunterstützten Virtualisierung bereitstellen, gemäß Kapitel 2.3.6. Durch diese Vorteile ist Xen eine ideale Virtualisierungslösung für diese Aufgabenstellung.

Wie schon erwähnt, hat die gewählte Virtualisierungslösung Xen Nachteile, wenn es sich um die Einfachheit der Administration handelt. Dieser Nachteil kann sich in großen Umgebungen in einem übermäßigen Arbeitsaufwand niederschlagen. Deshalb benötigt der Einsatz von Xen in der DMZ zusätzlich eine Management Software, welche die Administration der DMZ vereinfacht. Im Fall von Xen ist dieser Softwaremarkt noch sehr klein. Nach längerer Recherche konnte nur ein Produkt den Anforderungen für den Einsatz in der geplanten DMZ gerecht werden. Zu diesen gehörte eine intuitive Bedienbarkeit, Hochverfügbarkeit, Stabilität und geringe Anschaffungskosten der Software. Das ausgewählte Produkt ist die Management Software openQRM. OpenQRM ist mit umfangreichen Funktionen ausgestattet, welche sich über eine übersichtliche Weboberfläche bedienen lassen.

Klassische demilitarisierte Zone (DMZ):

Abbildung 12 zeigt den Aufbau einer klassischen DMZ. Eine DMZ stellt einen Netzwerkbereich dar, der aus dem unternehmensinternen Intranet und aus dem externen Internet erreichbar sein soll. Hauptgrund für die Einrichtung einer DMZ ist der Schutz der Server in der DMZ vor beiden Netzbereichen. Dies wird durch eine Firewall gewährleistet, welche die drei Netzwerkbereiche verbindet und den Datenfluss zwischen diesen kontrolliert. In der DMZ befinden sich in der Regel Server, die Dienste für das Intranet und das Internet, beispielsweise Mail- oder Webdienste, bereitstellen.