Fachartikel

Das Ende von Traceroute

Während IT-Profis für ihre Unternehmen auf die Cloud, Software-as-a-Service und hybride IT setzen, werden grundlegende Tools wie Traceroute allmählich obsolet. Dabei stellt sich die Frage, wie Administratoren in einer zunehmend undurchschaubaren Umgebung, in der sie immer weniger Befugnisse haben, Netzwerkprobleme erfolgreich beheben können. Der Beitrag zeigt auf, mit welchen alternativen Überwachungsmöglichkeiten sich die Transparenz der hybriden IT wiederherstellen lässt.
Moderne Tools zur Überwachung von Netzwerkpfaden, hier der Network Performance Monitor von SolarWinds, simulieren anwendungsspezifischen Datenverkehr.
Eines der verlockendsten Mantras bei der Nutzung von Cloud und SaaS ist den Ingenieuren und Entwicklern schon immer ein Gräuel, auch wenn es das IT-Management besonders begeistert: "Es gibt weniger zu verwalten." Es ist nichts grundsätzlich falsch daran, kritische Dienste nach der Maßgabe "SLA Confidimus" zu behandeln: Wir vertrauen in Service-Level-Agreements. Üblicherweise setzen Dienstanbieter alles daran, ihre Kunden zufriedenzustellen – zumindest weitgehend.

Der Weg in die Intransparenz
Das Problem liegt allerdings darin, dass Netzwerktechniker dafür verantwortlich sind, ein optimales Benutzererlebnis zu ermöglichen. Auch dann, wenn sie bereitwillig den jahrzehntelangen Fortschritt hin zu einer umfassenden Überwachung wieder umkehren. IT-Abteilungen stimmen zu, Systeme, die den Kern des Geschäftserfolgs ihres Unternehmens ausmachen, an einen Ort zu übertragen, der keinen oder nur geringfügigen Zugriff für die Problembehandlung und nur begrenzte Möglichkeiten zur Überwachung und Berichterstellung bietet. Und auch Amazon, Google, Salesforce und Azure verfügen keineswegs über eine unbegrenzte und absolut ausfallsichere Infrastruktur. Sie unterliegen denselben physikalischen Gesetzen wie die eigenen Rechenzentren und es werden weiterhin Helpdesk-Tickets geöffnet.
APIs verdrängen SNMP
Cloud-Anbieter denken aus gutem Grund nicht daran, ihre Firewalls zu öffnen oder anderen Dienstleistern zu gestatten, ihre Software-definierten Infrastrukturen zu überwachen. Stattdessen müssen sich diese darauf verlassen, dass sie Verwaltungs-APIs und proprietäre Tools bereitstellen, die ihnen einen gewissen Einblick ermöglichen. Diese Schnittstellen sind jedoch längst nicht so informativ, wie Unternehmen es vom eigenen Rechenzentrum gewohnt sind: Sie sind oft wenig benutzerfreundlich und keine davon bietet die Plattformunabhängigkeit und Allgegenwart von ICMP, SNMP und anderen Protokollen. Stattdessen öffnen sie breite spezifische Pfade für den Anwendungsdatenverkehr.

Selbst in den proprietären Netzwerken haben Traceroute und Ping aufgrund der Vielzahl von Routen nur begrenzte Möglichkeiten, wenn es darum geht, Netzwerkleistungsprobleme zwischen Benutzern und Servern zu beheben. Traceroute geht davon aus, dass der Pfad zwischen einem Beobachter und einem Dienst linear ist, und gibt für den Test einen ungefähren Routing-Pfad aus. In hybriden IT-Netzwerken vervielfacht das Internet-Routing das Problem durch vernetztes Multi-Homing und fügt Impedanzen für UDP- und ICMP-Datenverkehr hinzu. Wie lässt sich also die Ursache für eine Salesforce-Leistungsabnahme herausfinden, wenn das Problem bei einer langen Wartezeit in einer von vier Verbindungen liegen könnte, die 25 Prozent Ihres Anwendungsdatenverkehrs übertragen?

Firewall-Flüsterer
Die Antwort lautet: Wir dürfen nicht mehr an unsere sorgfältig entwickelten internen Netzwerke denken, sondern müssen anfangen, so zu denken wie das Internet. Im Fall von internen Netzwerken sollten Unsicherheiten weitgehend vermieden oder ausgeräumt werden, doch die Stabilität des Internets basiert auf kontrollierten Routen-Unsicherheiten. So würde ein anwendungsspezifisches Paket etwa denken: Der gesamte Datenverkehrspfad vom Benutzer bis zum Cloud-Server kann auf mehrere mögliche Routen in mehreren Dimensionen einschließlich der Zeit hin beobachtet werden. Diese Technik ist nicht so unmittelbar zufriedenstellend wie Traceroute – die Beobachtung nimmt einige Zeit in Anspruch – doch es entstehen umfassende und visuelle Ergebnisse.

Auch wenn die abrufbasierte Überwachung lokaler Geräte noch viele Jahre lang wichtige Betriebsinformationen liefern wird, können IT-Abteilungen durch die visuelle Pfadüberwachung einen Großteil der Möglichkeiten zurückgewinnen, der beim Übergang zu hybriden IT-Netzwerken verloren gegangen ist. Damit sind die zugrundeliegenden Ursachen von Problemen, die auf Fehlfunktionen oder Fehlkonfigurationen zurückgehen, in internen Netzwerken nicht nur leichter erkennbar, sondern die Fehlerbehebung lässt sich außerdem über das Internet bis hin zum Netzwerk des Dienstanbieters ausweiten.

Dies funktioniert, weil moderne Tools zur Überwachung von Netzwerkpfaden anwendungsspezifischen Datenverkehr simulieren, der ebenso wie Benutzerdatenverkehr über Firewalls übertragen wird. Sie lösen das Problem des protokoll- oder portspezifischen Routings durch Lastausgleichsmodule, indem sie denselben Wartezeitproblemen asymmetrischer Multi-Homing-Verbindungen begegnen und alle Hops aufdecken, die die Serviceleistung beeinträchtigen können. Der IT-Administrator reagiert nicht auf ein rotes Symbol auf einer Router-CPU, sondern auf einen roten Hop, egal wo er sich befindet. Und falls dieser Hop sich im Netzwerk eines Cloud- oder SaaS-Anbieters befinden sollte, ist es einfacher den Helpdesk anzurufen und alle Informationen zu nennen, die zur Behebung des Problems nötig sind, anstatt den ganzen Tag auf eine Lösung zu warten.

Fazit
Wenn es gelingt, die Transparenz der hybriden IT wiederherzustellen und für zufriedene Benutzer zu sorgen, kann ein geringerer Verwaltungsaufwand die Mühe wert sein.
8.03.2017/ln/Patrick Hubbard, Head Geek bei SolarWinds

Nachrichten

Unterstützung beim Netzwerk-Management [9.08.2017]

Kaseya kündigt eine neue Version von Traverse, der Plattform für Netzwerk-Monitoring und -Management, an. Diese bietet Anwendern Echtzeit-Einblicke in die Performance von hybriden IT-Infrastrukturen und verteilten Rechenzentren. Neu ist unter anderem die automatische Konfiguration von Tests. [mehr]

Vereinfachte Serverüberwachung [1.08.2017]

Der Server-Hersteller Thomas-Krenn bringt Version 2.2 des Monitoring-Tools 'TKmon' heraus. Das Werkzeug ergänzt das Open-Source-Monitoring-System Icinga 1 um eine Weboberfläche, die die wichtigsten Statusinformationen übersichtlich darstellt und intuitiv zu administrieren sein soll. Neu sind unter anderem SSH-basierte Anfragen. [mehr]

Frohen SysAdmin Day [28.07.2017]

Maschinen-Zentrale [4.07.2017]

Tipps & Tools

USV-Geräte mit PRTG überwachen [3.08.2017]

Um eine unterbrechungsfreie Stromversorgung sicherzustellen, setzen viele Unternehmen USV-Geräte von APC ein und überwachen diese mit PRTG Network Monitor. Allerdings liefert der in PRTG enthaltene APC-Sensor nur die wichtigsten Werte, etwa Batteriekapazität. Es gibt jedoch eine ganze Reihe von Custom-Script-Sensoren, mit deren Hilfe Sie an mehr Detailinformationen kommen. [mehr]

Online-Toolbox für Netzwerktests [14.06.2017]

Wartungsarbeiten im Netzwerk gehören zu den alltäglichen Aufgaben von Admins. Viele unkomplizierte Tasks lassen sich bequem von Tools erledigen. Diese müssen nicht immer lokal vorliegen, sondern sind unter Umständen auch online nutzbar, etwa über die Seite 'kloth.net'. Dort können Sie Ihre IP-Adresse und Browser-Infos abfragen, Whois-Anfragen durchführen oder Webserver von außen überprüfen. So haben Sie einen kleinen Online-Werkzeugkasten zur Hand, falls Sie etwa einmal unterwegs sind. [mehr]

Buchbesprechung

Datenschutz-Grundverordnung

von Niko Härting

Anzeigen