Fachartikel

Das Ende von Traceroute

Während IT-Profis für ihre Unternehmen auf die Cloud, Software-as-a-Service und hybride IT setzen, werden grundlegende Tools wie Traceroute allmählich obsolet. Dabei stellt sich die Frage, wie Administratoren in einer zunehmend undurchschaubaren Umgebung, in der sie immer weniger Befugnisse haben, Netzwerkprobleme erfolgreich beheben können. Der Beitrag zeigt auf, mit welchen alternativen Überwachungsmöglichkeiten sich die Transparenz der hybriden IT wiederherstellen lässt.
Moderne Tools zur Überwachung von Netzwerkpfaden, hier der Network Performance Monitor von SolarWinds, simulieren anwendungsspezifischen Datenverkehr.
Eines der verlockendsten Mantras bei der Nutzung von Cloud und SaaS ist den Ingenieuren und Entwicklern schon immer ein Gräuel, auch wenn es das IT-Management besonders begeistert: "Es gibt weniger zu verwalten." Es ist nichts grundsätzlich falsch daran, kritische Dienste nach der Maßgabe "SLA Confidimus" zu behandeln: Wir vertrauen in Service-Level-Agreements. Üblicherweise setzen Dienstanbieter alles daran, ihre Kunden zufriedenzustellen – zumindest weitgehend.

Der Weg in die Intransparenz
Das Problem liegt allerdings darin, dass Netzwerktechniker dafür verantwortlich sind, ein optimales Benutzererlebnis zu ermöglichen. Auch dann, wenn sie bereitwillig den jahrzehntelangen Fortschritt hin zu einer umfassenden Überwachung wieder umkehren. IT-Abteilungen stimmen zu, Systeme, die den Kern des Geschäftserfolgs ihres Unternehmens ausmachen, an einen Ort zu übertragen, der keinen oder nur geringfügigen Zugriff für die Problembehandlung und nur begrenzte Möglichkeiten zur Überwachung und Berichterstellung bietet. Und auch Amazon, Google, Salesforce und Azure verfügen keineswegs über eine unbegrenzte und absolut ausfallsichere Infrastruktur. Sie unterliegen denselben physikalischen Gesetzen wie die eigenen Rechenzentren und es werden weiterhin Helpdesk-Tickets geöffnet.
APIs verdrängen SNMP
Cloud-Anbieter denken aus gutem Grund nicht daran, ihre Firewalls zu öffnen oder anderen Dienstleistern zu gestatten, ihre Software-definierten Infrastrukturen zu überwachen. Stattdessen müssen sich diese darauf verlassen, dass sie Verwaltungs-APIs und proprietäre Tools bereitstellen, die ihnen einen gewissen Einblick ermöglichen. Diese Schnittstellen sind jedoch längst nicht so informativ, wie Unternehmen es vom eigenen Rechenzentrum gewohnt sind: Sie sind oft wenig benutzerfreundlich und keine davon bietet die Plattformunabhängigkeit und Allgegenwart von ICMP, SNMP und anderen Protokollen. Stattdessen öffnen sie breite spezifische Pfade für den Anwendungsdatenverkehr.

Selbst in den proprietären Netzwerken haben Traceroute und Ping aufgrund der Vielzahl von Routen nur begrenzte Möglichkeiten, wenn es darum geht, Netzwerkleistungsprobleme zwischen Benutzern und Servern zu beheben. Traceroute geht davon aus, dass der Pfad zwischen einem Beobachter und einem Dienst linear ist, und gibt für den Test einen ungefähren Routing-Pfad aus. In hybriden IT-Netzwerken vervielfacht das Internet-Routing das Problem durch vernetztes Multi-Homing und fügt Impedanzen für UDP- und ICMP-Datenverkehr hinzu. Wie lässt sich also die Ursache für eine Salesforce-Leistungsabnahme herausfinden, wenn das Problem bei einer langen Wartezeit in einer von vier Verbindungen liegen könnte, die 25 Prozent Ihres Anwendungsdatenverkehrs übertragen?

Firewall-Flüsterer
Die Antwort lautet: Wir dürfen nicht mehr an unsere sorgfältig entwickelten internen Netzwerke denken, sondern müssen anfangen, so zu denken wie das Internet. Im Fall von internen Netzwerken sollten Unsicherheiten weitgehend vermieden oder ausgeräumt werden, doch die Stabilität des Internets basiert auf kontrollierten Routen-Unsicherheiten. So würde ein anwendungsspezifisches Paket etwa denken: Der gesamte Datenverkehrspfad vom Benutzer bis zum Cloud-Server kann auf mehrere mögliche Routen in mehreren Dimensionen einschließlich der Zeit hin beobachtet werden. Diese Technik ist nicht so unmittelbar zufriedenstellend wie Traceroute – die Beobachtung nimmt einige Zeit in Anspruch – doch es entstehen umfassende und visuelle Ergebnisse.

Auch wenn die abrufbasierte Überwachung lokaler Geräte noch viele Jahre lang wichtige Betriebsinformationen liefern wird, können IT-Abteilungen durch die visuelle Pfadüberwachung einen Großteil der Möglichkeiten zurückgewinnen, der beim Übergang zu hybriden IT-Netzwerken verloren gegangen ist. Damit sind die zugrundeliegenden Ursachen von Problemen, die auf Fehlfunktionen oder Fehlkonfigurationen zurückgehen, in internen Netzwerken nicht nur leichter erkennbar, sondern die Fehlerbehebung lässt sich außerdem über das Internet bis hin zum Netzwerk des Dienstanbieters ausweiten.

Dies funktioniert, weil moderne Tools zur Überwachung von Netzwerkpfaden anwendungsspezifischen Datenverkehr simulieren, der ebenso wie Benutzerdatenverkehr über Firewalls übertragen wird. Sie lösen das Problem des protokoll- oder portspezifischen Routings durch Lastausgleichsmodule, indem sie denselben Wartezeitproblemen asymmetrischer Multi-Homing-Verbindungen begegnen und alle Hops aufdecken, die die Serviceleistung beeinträchtigen können. Der IT-Administrator reagiert nicht auf ein rotes Symbol auf einer Router-CPU, sondern auf einen roten Hop, egal wo er sich befindet. Und falls dieser Hop sich im Netzwerk eines Cloud- oder SaaS-Anbieters befinden sollte, ist es einfacher den Helpdesk anzurufen und alle Informationen zu nennen, die zur Behebung des Problems nötig sind, anstatt den ganzen Tag auf eine Lösung zu warten.

Fazit
Wenn es gelingt, die Transparenz der hybriden IT wiederherzustellen und für zufriedene Benutzer zu sorgen, kann ein geringerer Verwaltungsaufwand die Mühe wert sein.
8.03.2017/ln/Patrick Hubbard, Head Geek bei SolarWinds

Nachrichten

Cloud-Management für Zyxel-Devices [8.12.2016]

Mit Nebula bringt Zyxel eine vollständig Cloud-basierte Netzwerk- und Managementumgebung als Ergänzung zu seinen bestehenden Hardware-Controllern auf den Markt, die sich insbesondere an komplexe WLAN-Installationen richtet. Nebula soll dabei die zentrale Verwaltung aller drahtgebundenen und drahtlosen Geräte der Produktserie 'Zyxel Nebula' ermöglichen. [mehr]

Überwachung für die Druckerflotte [30.11.2016]

Von Triumph-Adler kommt Version 5.0 von 'TA Cockpit', dem Management- und Monitoring-Werkzeug für Druck- und Kopiersysteme. Als ein Highlight des neuen Release bewirbt der Hersteller die Funktion 'Automatic Firmware Management'. Dabei handelt es sich um ein automatisiertes Verfahren, das die Firmware von Drucksystemen laufend auf dem aktuellsten Stand hält. [mehr]

Neblige Wolke [9.11.2016]

Tipps & Tools

Eingeloggte PRTG-Nutzer anzeigen [1.02.2017]

Kommt im Unternehmen PRTG Network Monitor zum Einsatz, um das Netzwerk zu überwachen, haben in der Regel mehrere Administratoren Zugang zu PRTG. Dies kann zu Lastspitzen führen, wenn sehr viele Mitarbeiter gleichzeitig angemeldet sind. Praktisch ist es deshalb, zu jeder Zeit in PRTG überprüfen zu können, wer gerade angemeldet ist. Mit Hilfe eines Skriptes stellen Sie diese Funktionalität zur Verfügung. [mehr]

Veeam-Backup mit PRTG monitoren [15.01.2017]

Zahlreiche Unternehmen setzen Veeam für ihre VMware-Backups ein. Dabei nutzen sie nicht selten das E-Mail-Reporting von Veeam. Allerdings sind die Daten, die Veeam liefert, nicht für alle detailliert genug und auch das Alerting entspricht nicht jedermanns Anforderungen. Es gibt jedoch eine Möglichkeit, mit Hilfe von PRTG NetworkMonitor das Veeam-Reporting anzupassen und damit mehrere Veeam-Server und ihre Backups im Blick zu behalten. [mehr]

Buchbesprechung

Datenschutz-Grundverordnung

von Niko Härting

Anzeigen