Wie Juniper Apstra den Netzwerkalltag vereinfacht

Die Anforderungen an Datacenter haben stark zugenommen: Während die Infrastruktur immer verfügbarer, agiler, performanter, sicherer und einfacher zu verwalten sein soll, muss der Betrieb so kostengünstig wie möglich sein. Dabei geht es in Datacenter-Networks vor allem darum: 

• Services deutlich schneller bereitzustellen, 
• Veränderungen und Erweiterungen verlässlich einzuführen, 
• die Verfügbarkeit und Flexibilität des Netzwerks zu optimieren 
• und ein funktionierendes System aus Infrastrukturkomponenten verschiedener Anbieter mit unterschiedlichen Fähigkeiten zu implementieren. 

Weil der gesamte Network-Lifecycle automatisiert wird

Hier kommt Juniper mit Apstra ins Spiel: Der absichtsbasierte Ansatz deckt den Lebenszyklus eines Datacenter-Netzwerks vollständig ab – vom Design über den Aufbau, die Bereitstellung, Validierung und Nutzung bis hin zur Automatisierung und Analyse. 

Vereinfacht erklärt: Netzwerk-Designer geben mit der Netztopologie, VLANs, gewünschten Kapazität, Redundanzanforderungen, Zugangsregeln und noch mehr Aspekten das „was“ vor , damit sich Apstra um das „wie“ kümmern kann. So werden alle Facetten des Lebenszyklus von Netzwerkservices simplifiziert, einschließlich der Vorgänge an Tag 0, 1 und 2+. Und Einfachheit verringert die Wahrscheinlichkeit von Bedienungsfehlern. 

Dabei ist es ein Hauptmerkmal von Apstra, dass die Lösung sowohl Single- als auch Multivendor-Switch-Umgebungen unterstützt. Sprich: Es wird eine breite Basis an Netzwerkkomponenten der Hersteller DELL, Cisco, Arista Networks und SONiC  und natürlich Juniper abgedeckt. 

Weil es die Architektur von der hierarchischen Topologie …

Der wohl größte Benefit von Apstra liegt darin, dass die Software ein Problem im Kern lösen kann, das Data Center Network Operations seit Jahrzehnten beschäftigt: Die überbordende Komplexität, die beim Netzwerkaufbau entsteht und den heutigen Topologien innewohnt.  

Dafür verfolgt Apstra mit der IP Fabric einen modernen Netzwerkansatz, der die übliche baumartige Struktur der „Core Distribution Access“ Topologie auflöst. Denn hier müssen die Datenpakete erst „nach oben“ zu den Distribution- und Core-Layer-Systemen geführt werden und von dort wieder „nach unten“ zu den Access-Switches und Servern, was die Architektur gerade beim immer häufigeren Datentraffic in West-Ost-Richtung unvorteilhaft macht.  

… zur flexiblen und effizienten Spine-Leaf-Struktur switcht

Einen Vorteil haben hier sogenannte IP Fabrics mit einer Spine-Leaf-Architektur, die auch unter der Bezeichnung „Clos-Architektur“ bekannt ist und bei Apstra als Referenzdesign genutzt werden kann. Dabei bilden die Spine-Switches die oberste Ebene, die mit allen darunter liegenden Leaf-Switches verbunden sind, die wiederum die Verbindung zu den IP- und Ethernet-End-systemen herstellen. 

Es ensteht eine blattartige Struktur, die durch besonders kurze Wege und damit niedrige Latenzzeiten gekennzeichnet ist. Dazu steht bei Überlastung oder Ausfall eines Switches immer ein alternative Route bereit. Zusätzlich kommt mit EVPN-VXLAN noch eine Virtualisierungsebene hinzu, die die Overlay-Ebene des Datacenter Network vom Underlay entkoppelt und eine flexible, sichere und skalierbare Layer 2/3-Netzwerkkonnektivität ermöglicht. 

So weit, so effizient: Ein wesentlicher Nachteil der Spine-Leaf-Topologie ist jedoch der riesige Aufwand, der bei der Konfiguration entsteht – etwa, wenn es um die Segmentierung in einzelnen Layern einer Switching-Umgebung geht. So braucht man starke Nerven, Zeit und vor allem hochspezialisiertes Fachpersonal, das entsprechend teuer ist. 

Indem überbordende Komplexität vereinfacht wird

Das Schlüsselkonzept, mit dem die Apstra-Architektur dieser Herausforderung begegnet, ist das Referenzdesign. Es ermöglicht, ein Netzwerk zu entwerfen, das den eigenen geschäftlichen Anforderungen entspricht und dann die Hardware auszuwählen, die sich am besten mit diesem Design vereinbaren lässt: 

• Details wie Single/Dual-Homing von Servern, Collapsed/3-Stage/5-Stage Fabric, Ethernet VPN (EVPN)/IP Fabric und IPv4/IPv6 Underlay lassen sich als Teil des Vorlagentyps und der Optionen angeben. 
• Sobald die Vorlage fertiggestellt ist, kann sie in Blueprints instanziiert werden, die jeweils ein tatsächliches physisches Netzwerk darstellen.  
• Die Zuweisung der verwalteten Geräte und Netzwerkressourcen erfolgt dann innerhalb der Blueprints.  
• Sobald die Änderungen durch Menschenhand bestätig sind, wird die inkrementelle Konfiguration auf die angeschlossenen physischen Geräte übertragen und das Netzwerk geht in Betrieb. 

Durch kontinuierliche Validierung von Tag 0 bis Tag 2+

Schon während der Erstellung des Netzwerks wird das intendierte Verhalten stetig auf Einhaltung überprüft. Menschliche Fehler, indem beispielsweise beim Austausch von Komponenten Konfigurationen missachtet oder vergessen werden, lassen sich umgehend entdecken und beheben. Dazu bietet Apstra Administrierenden die einfache Möglichkeit, das Netzwerk zu erweitern, zu skalieren und aussagekräftige Gerätetelemetrie zu extrahieren.  

So hält Apstra die Absichten mit dem tatsächlichen Status des Netzwerks jederzeit in Einklang und bietet dazu noch verwertbare Einblicke, um sicherzustellen, dass die urspünglichen Ziele erreicht werden. Man erkennt auf den ersten Blick, ob das Netzwerk gesund ist oder ob es Störungen gibt.  

Weil auch die Netzwerk-Compliance kein Thema ist

Hinzu kommen Aspekte der Sicherheit und Compliance: Es lassen sich Funktionen wie eine absichtsbasierte Richtliniensicherheit, Konnektivitätsbeschränkungen für mandantenfähige Umgebungen und eine erweiterte rollenbasierte Zugriffssteuerung (RBAC) verwenden, um konzeptspezifische Rollen zu erstellen. So wird ganz einfach festgelegt, welches System mit welchen anderen Systemen über welche Ports „reden“ darf. 

Dazu sorgt Apstra mit vorgefertigten Templates für Port Security: Durch den Standard 802.1x wird ein sicheres Authentifizierungsverfahren zur Verfügung gestellt, das Protokolle wie das Extensible Authentication Protocol (EAP) und RADIUS nutzt. 

Weil Freeform mit Juniper Apstra einen Freiheitsgrad mehr verpricht

Mit der Fähigkeit, eine IP Fabric von Grund auf zu erstellen, verfolgt Apstra einen ausgeprochenen Greenfield-Ansatz. Stichwort Single Source of Truth: Die Software kann das, was sie selbst erstellt, auch später noch verstehen und verwalten. Was sich jedoch viele Datacenter-Betreiber wünschen, ist ein Brownfield-Ansatz, bei dem ein bereits bestehendes Netzwerk durch eine Software transparent und verwaltbar gemacht wird. 

Juniper begegnet diesem Bedürfniss mit seinem Freeform-Ansatz, mit dem man Netzwerke entwerfen können soll, die jedes Protokoll, jede Topologie oder Netzwerkdomäne unterstützen. Aber ist das wirklich sinnvoll? Möchte man aber nicht ein Netzwerk nutzen, das von der Maschine komplett verstanden, vollständig durchdrungen und überwacht werden kann? Die Antwort sollte jeder für sich finden – und lassen wir uns doch einfach überraschen, was zukünftig mit der Weiterentwicklung von Apstra möglich ist.  

Indem der IT-Fokus wieder auf Wertschöpfung liegt

Klar ist: Die Komplexität von Netzwerken nimmt exponentiell zu. Klar ist damit auch, dass es Tools wie Juniper Apstra braucht, die diese Komplexität einfangen und es Unternehmen ersparen, ihr bereits ausgelastete Bestandspersonal mit weiteren, kaum bezahlbaren Spezialist:innen aufzustocken.  

Auch geht es nicht darum, bereits vorhandenes Personal wegzurationalisieren, sondern vielmehr darum, sich für kommende Herausforderungen im Bereich  Datacenter-Networks zu rüsten. Denn indem Apstra die Verwaltung automatisiert und IT-Verantwortlichen wesentliche Aufgaben des Netzerksalltags vereinfacht und abnimmt, können die sich wieder wichtigen Aufgaben widmen.  

Sie haben Fragen zum Intent-based Networking oder zur Netzwerkverwaltung mit Juniper Apstra? Zögern Sie nicht, mich jederzeit zu kontaktieren.