Fachartikel

Das Ende von Traceroute

Während IT-Profis für ihre Unternehmen auf die Cloud, Software-as-a-Service und hybride IT setzen, werden grundlegende Tools wie Traceroute allmählich obsolet. Dabei stellt sich die Frage, wie Administratoren in einer zunehmend undurchschaubaren Umgebung, in der sie immer weniger Befugnisse haben, Netzwerkprobleme erfolgreich beheben können. Der Beitrag zeigt auf, mit welchen alternativen Überwachungsmöglichkeiten sich die Transparenz der hybriden IT wiederherstellen lässt.
Moderne Tools zur Überwachung von Netzwerkpfaden, hier der Network Performance Monitor von SolarWinds, simulieren anwendungsspezifischen Datenverkehr.
Eines der verlockendsten Mantras bei der Nutzung von Cloud und SaaS ist den Ingenieuren und Entwicklern schon immer ein Gräuel, auch wenn es das IT-Management besonders begeistert: "Es gibt weniger zu verwalten." Es ist nichts grundsätzlich falsch daran, kritische Dienste nach der Maßgabe "SLA Confidimus" zu behandeln: Wir vertrauen in Service-Level-Agreements. Üblicherweise setzen Dienstanbieter alles daran, ihre Kunden zufriedenzustellen – zumindest weitgehend.

Der Weg in die Intransparenz
Das Problem liegt allerdings darin, dass Netzwerktechniker dafür verantwortlich sind, ein optimales Benutzererlebnis zu ermöglichen. Auch dann, wenn sie bereitwillig den jahrzehntelangen Fortschritt hin zu einer umfassenden Überwachung wieder umkehren. IT-Abteilungen stimmen zu, Systeme, die den Kern des Geschäftserfolgs ihres Unternehmens ausmachen, an einen Ort zu übertragen, der keinen oder nur geringfügigen Zugriff für die Problembehandlung und nur begrenzte Möglichkeiten zur Überwachung und Berichterstellung bietet. Und auch Amazon, Google, Salesforce und Azure verfügen keineswegs über eine unbegrenzte und absolut ausfallsichere Infrastruktur. Sie unterliegen denselben physikalischen Gesetzen wie die eigenen Rechenzentren und es werden weiterhin Helpdesk-Tickets geöffnet.
APIs verdrängen SNMP
Cloud-Anbieter denken aus gutem Grund nicht daran, ihre Firewalls zu öffnen oder anderen Dienstleistern zu gestatten, ihre Software-definierten Infrastrukturen zu überwachen. Stattdessen müssen sich diese darauf verlassen, dass sie Verwaltungs-APIs und proprietäre Tools bereitstellen, die ihnen einen gewissen Einblick ermöglichen. Diese Schnittstellen sind jedoch längst nicht so informativ, wie Unternehmen es vom eigenen Rechenzentrum gewohnt sind: Sie sind oft wenig benutzerfreundlich und keine davon bietet die Plattformunabhängigkeit und Allgegenwart von ICMP, SNMP und anderen Protokollen. Stattdessen öffnen sie breite spezifische Pfade für den Anwendungsdatenverkehr.

Selbst in den proprietären Netzwerken haben Traceroute und Ping aufgrund der Vielzahl von Routen nur begrenzte Möglichkeiten, wenn es darum geht, Netzwerkleistungsprobleme zwischen Benutzern und Servern zu beheben. Traceroute geht davon aus, dass der Pfad zwischen einem Beobachter und einem Dienst linear ist, und gibt für den Test einen ungefähren Routing-Pfad aus. In hybriden IT-Netzwerken vervielfacht das Internet-Routing das Problem durch vernetztes Multi-Homing und fügt Impedanzen für UDP- und ICMP-Datenverkehr hinzu. Wie lässt sich also die Ursache für eine Salesforce-Leistungsabnahme herausfinden, wenn das Problem bei einer langen Wartezeit in einer von vier Verbindungen liegen könnte, die 25 Prozent Ihres Anwendungsdatenverkehrs übertragen?

Firewall-Flüsterer
Die Antwort lautet: Wir dürfen nicht mehr an unsere sorgfältig entwickelten internen Netzwerke denken, sondern müssen anfangen, so zu denken wie das Internet. Im Fall von internen Netzwerken sollten Unsicherheiten weitgehend vermieden oder ausgeräumt werden, doch die Stabilität des Internets basiert auf kontrollierten Routen-Unsicherheiten. So würde ein anwendungsspezifisches Paket etwa denken: Der gesamte Datenverkehrspfad vom Benutzer bis zum Cloud-Server kann auf mehrere mögliche Routen in mehreren Dimensionen einschließlich der Zeit hin beobachtet werden. Diese Technik ist nicht so unmittelbar zufriedenstellend wie Traceroute – die Beobachtung nimmt einige Zeit in Anspruch – doch es entstehen umfassende und visuelle Ergebnisse.

Auch wenn die abrufbasierte Überwachung lokaler Geräte noch viele Jahre lang wichtige Betriebsinformationen liefern wird, können IT-Abteilungen durch die visuelle Pfadüberwachung einen Großteil der Möglichkeiten zurückgewinnen, der beim Übergang zu hybriden IT-Netzwerken verloren gegangen ist. Damit sind die zugrundeliegenden Ursachen von Problemen, die auf Fehlfunktionen oder Fehlkonfigurationen zurückgehen, in internen Netzwerken nicht nur leichter erkennbar, sondern die Fehlerbehebung lässt sich außerdem über das Internet bis hin zum Netzwerk des Dienstanbieters ausweiten.

Dies funktioniert, weil moderne Tools zur Überwachung von Netzwerkpfaden anwendungsspezifischen Datenverkehr simulieren, der ebenso wie Benutzerdatenverkehr über Firewalls übertragen wird. Sie lösen das Problem des protokoll- oder portspezifischen Routings durch Lastausgleichsmodule, indem sie denselben Wartezeitproblemen asymmetrischer Multi-Homing-Verbindungen begegnen und alle Hops aufdecken, die die Serviceleistung beeinträchtigen können. Der IT-Administrator reagiert nicht auf ein rotes Symbol auf einer Router-CPU, sondern auf einen roten Hop, egal wo er sich befindet. Und falls dieser Hop sich im Netzwerk eines Cloud- oder SaaS-Anbieters befinden sollte, ist es einfacher den Helpdesk anzurufen und alle Informationen zu nennen, die zur Behebung des Problems nötig sind, anstatt den ganzen Tag auf eine Lösung zu warten.

Fazit
Wenn es gelingt, die Transparenz der hybriden IT wiederherzustellen und für zufriedene Benutzer zu sorgen, kann ein geringerer Verwaltungsaufwand die Mühe wert sein.
8.03.2017/ln/Patrick Hubbard, Head Geek bei SolarWinds

Nachrichten

TeamViewer goes IoT [19.01.2018]

TeamViewer bringt TeamViewer IoT auf den Markt. Die Software kombiniert die Fernzugriffs- und Fernsteuerungsfunktionen von TeamViewer mit Monitoring-Funktionen. TeamViewer IoT unterstützt Raspbian, kann aber laut Hersteller problemlos auf andere Linux-Distributionen portiert werden. An der Unterstützung weiterer IoT-Plattformen würde bereits gearbeitet. [mehr]

Alles unter einem Dach [30.11.2017]

Von Hewlett Packard Enterprise kommt mit 'HPE OneSphere' eine Multi-Cloud-Management-Lösung für Public Cloud, Private Cloud und Software-definierte Infrastrukturen. Das SaaS-Portal gibt Kunden einen einheitlichen Zugang zu einem Pool von IT-Ressourcen, der sowohl externe Cloud-Plattformen als auch die eigene, lokal betriebene IT-Umgebung umfasst. [mehr]

Tipps & Tools

Granulare Zeitpläne für PRTG [18.02.2018]

Aus unterschiedlichen Gründen kann es beim Monitoring nötig sein, für verschiedene Zeitfenster die Überwachung zu pausieren. Wer mit PRTG arbeitet, dem bietet sich mit der Zeitplan-Funktion jedoch nicht die Granularität, Sensoren oder ganze Gruppen anhalten zu können - beispielsweise jeden zweiten Dienstag im Monat von 16:00 bis 18:00 Uhr. Es gibt jedoch eine andere Möglichkeit über ein spezielles Scheduler-Tool. [mehr]

ZFS-Mirror mit pfSense nutzen [21.01.2018]

Die Open-Source-Firewall pfSense unterstützt neben UFS auch das ZFS-Dateisystem. Seit pfSense Version 2.4 ist es möglich, bereits bei der Installation ein ZFS-Dateisystem zu erstellen und damit beispielsweise einen ZFS-n-Way-Mirror anzulegen. Dieser spiegelt die Daten wie bei einem RAID 1 auf alle installierten Festplatten. Bei der Installation von pfSense und für die Überwachung des Mirrors sind jedoch einige Dinge zu beachten. [mehr]

Buchbesprechung

Software Defined Networking

von Konstantin Agouros

Anzeigen