Die Firewall- oder E-Mail-Lösung lieber als Appliance anschaffen, oder ganz traditionell aufsetzen? Selbst wenn für viele IT-Bereiche die richtige Anwendung gefunden scheint, gilt es sich noch für die Art der Bereitstellung zu entscheiden. Unser Ratgeber hilft bei der Frage: Standardsoftware oder Appliance?
von Frank-Michael Schlede und Thomas Bär
Der professionelle IT-Einsatz ist ohne die richtige Software für die Anwender nicht sinnvoll. Aber allein der Entschluss, welche Software im eigenen Firmennetzwerk verwendet werden soll, führt zumeist noch nicht zum Ziel: Es gilt zudem zu entscheiden, welche Art der Bereitstellung am besten für die eigenen Einsatzzwecke geeignet ist: Soll die favorisierte Lösung mittels eines Installationsprogramms in der ganz "klassischen Form" auf der eigenen Hardware installiert werden? Oder soll die gewünschte Anwendung in Form einer sogenannten Appliance fix und fertig nach dem "Black-Box"-Prinzip verwendet werden?
Um die Entscheidung noch einmal zu erschweren, haben IT-Verantwortliche und Administratoren häufig auch die Möglichkeit, eine derartige Appliance in Form einer virtuellen Maschine - als Virtual Appliance - in die eigene IT-Infrastruktur zu integrieren. Welche Variante sich schließlich für welche Einsatzzwecke am besten eignet, ist auf den ersten Blick zumeist gar nicht so einfach festzustellen - wir wollen diese Entscheidung mit unserem Ratgeber etwas erleichtern.
Der "klassische Weg": Softwareinstallation auf eigener Hardware
Beinahe jedes heute erhältliche Softwarepaket, von der Office-Anwendung über kleine Tools bis hin zu den großen Server-Programmen, steht den Administratoren heute als klassisches Installations-Paket zur Verfügung. Dabei muss es sich gar nicht unbedingt um eine richtige "Installationsroutine" handeln: Manche Programme werden einfach nur in einen Ordner auf dem Computer gespeichert, so dass die Anwender dann darauf zugreifen können. Im Windows-Umfeld können allerdings nur die wenigsten Programme über ein derart einfaches "Copy & Paste"-Prinzip auf die Rechner gelangen. Der Grund dafür liegt in der Struktur der Windows-Systeme: Gemeinsam genutzte Software-Komponenten, bei denen es sich üblicherweise um DLL- (Dynamic Link Library) oder OCX-Dateien (OLE Custom Control) handelt, stehen allen installierten Programmen auf dem Computer zur Verfügung. Das Windows-Betriebssystem stellt sicher, dass jeweils nur die aktuellste Version einer Komponente vorgehalten werden muss. Soweit zumindest die Theorie - nicht selten sorgt der so entstehende "Mix" von Programmteilen für Probleme. Die hierfür in der IT-Branche gebräuchliche Bezeichnung lautet "Seiteneffekte", in Anlehnung an die "unerwünschten Wirkungen" (Nebenwirkungen) aus der Pharmakologie.
Bevor beispielsweise ein Systembetreuer eine weitere Software auf einem vielgenutzten Terminalserver einrichtet, tut er sicher gut daran, diese Kombination zunächst in einer "geklonten" virtuellen Maschine auszuprobieren. Insgesamt ist es natürlich kostengünstig, mehrere Programme und/oder Server-Dienste auf einer einzigen Hardware zu installieren und zu betreiben. Das gilt aber nur, sofern der Rechner nicht zu hoch ausgelastet ist und die Software-Mischung nicht zu einem erhöhten Support-Aufkommen führt. Die Frage des Supports darf auf keinen Fall unterschätzt werden.
Das folgende, klassische Szenario aus dem Tagesgeschäft zeigt, welche Problematik sich hier schnell ergeben kann: Der Software-Hersteller einer nicht korrekt arbeitenden Lösung beschuldigt den Hardware-Hersteller für das spezielle Problem verantwortlich zu sein. Dieser Hersteller schiebt die Schuld dann wiederum auf den Software-Hersteller oder gerne auch auf die Person, die das Betriebssystem oder die Anwendung installiert hat. Wohl jeder IT-Profi kennt solche Szenarien und wird sie unbedingt vermeiden wollen. Ist das ein Argument gegen die klassische Software-Installation? Wir sind zu der Überzeugung gekommen, dass man es sich nicht so einfach machen kann und stellen die Vor- und Nachteile dieses Weges direkt gegenüber:
Vorteile, Nachteile und Empfehlung
Vorteile der klassischen Installation im Überblick:
• Es besteht geringe Abhängigkeit bei der Wahl und beim Bezug der Hardware-Komponenten.
• Die Bereitstellung der Programme durch eine Lösung zur Softwareverteilung ist ebenso
• wie die mehrfacher Nutzen der Maschine durch verschiedene Programme möglich.
• Das gemeinsame Nutzen von Software-Bibliotheken (beispielsweise müssen DLL-Dateien und andere Bibliotheken nur einmal vorgehalten werden) ist möglich.
• Ein flexibles Zusammenstellen der Software nach eigenen Vorstellungen ist ebenfalls machbar.
• Diese Art der Installation passt sich exakt den Anforderungen im Unternehmen an und
• ermöglicht es, einzelne Software-Teile in einer bestimmten Version vorzuhalten.
• Schließlich ein ganz wichtiger Faktor: Der Systembetreuer kennt alle Details des Systems.
Nachteile der klassischen Installation im Überblick:
• Gefahr von Seiteneffekten durch die entstehende Software-"Mischung" leicht möglich.
• Update einer Software auf einer gemeinsam genutzten Maschine kann andere Applikationen in Mitleidenschaft ziehen.
• Betriebssicherheit ist die alleinige Verantwortung der Systemverwalter
• Hard- und Software sind möglicherweise nicht optimal aufeinander abgestimmt und
• im Supportfall droht Gefahr der gegenseitigen Schuldzuweisung.
Deshalb eigene sich die "klassische Installation" in der Regel gut für:
• Standardprogramme mit geringen Leistungsanforderungen und
• Standardprogramme, die wenige Anpassungen an der Infrastruktur erfordern.
• Kleinere Umgebungen mit klassischen Windows-Anwendungen.
• Programme die dem typischen Windows-Update-Service gegenüber "robust" sind (beispielsweise Office-Anwendungen, SharePoint, Hintergrunddienste, Terminal-Services)
• Mail-Server wie Microsoft Exchange (genaue Festlegung der RAM- und HDD-Dimensionen / wobei Exchange in kleineren und mittleren Unternehmen optimal in einer VM betrieben werden sollte!)
• Experimentelle Installationen, beispielsweise wenn eine iSCSI-Installation auf FreeNAS-Basis auf Standard-PC-Komponenten zum Einsatz kommen soll.
• Der herkömmliche Installer ist auch dann die beste Wahl, wenn der Systembetreuer kaum oder keine Erfahrungen mit anderen, häufig komplexeren Verfahren besitzt.
Soll ein Server zudem beispielsweise als Antispam- oder Gateway-Lösung in der DMZ (De-Militarisierte Zone) eingesetzt werden, so werden weitere Kenntnisse vom Administrator verlangt, will er diesen Anforderungen mit einer solchen klassischen Installation genügen: Er muss sich dann nämlich auf das "Härten" eines Betriebssystems verstehen. Gemäß der Definition des Bundesamts für Sicherheit in der Informationstechnik handelt es sich beim "Härten" um die bewusste Entfernung aller Softwarebestandteile und Funktionen, die zur Erfüllung der vorgesehenen Aufgabe durch das Programm nicht zwingend notwendig sind. Sind diese Kenntnisse in der eigenen IT-Organisation nicht vorhanden, so ist dann möglicherweise der Einsatz fertiger Appliances die sicherere Variante.
Anwendungen fertig in der Box: Hardware-Appliances
So modern der Begriff "Appliance" auch klingt mag, das was sich dahinter verbirgt ist in der IT schon lange bekannt: Schließlich handelt es sich bei Routern, Switches und NAS-Systemen auch um aktive Geräte im Netzwerk, die üblicherweise als fertige Box eingekauft werden. Es wäre für einen IT-Fachmann auch kein Problem, einen Router unter Einsatz eines Standard-PCs, denn selbst ein betagter Windows NT-Rechner würde für diesen Zweck taugen. Wahrscheinlich wird aber kein IT-Profi auf die Idee kommen seine Router künftig selbst zusammenzustellen, wofür es mehr als genug Gründe gibt: Ein zum Router degradierter Standard-PC verbraucht mehr Strom und Platz, als dies beispielsweise eine kleine vorkonfektionierte Box tut.
Die Standard-Komponenten eines Computers sind nicht für eine einzelne Aufgabe optimiert, da die universelle Einsatzfähigkeit beim Design im Vordergrund stand. Wer dennoch einen Standard-PC zum Router machen möchte, kann dies mit Hilfe der Software fli4l jederzeit auch ohne Windows tun.
Grundsätzlich bieten sich Hardware-Systeme an, wenn es um Platz, Energieeinsparung und insbesondere um die Sicherheit geht. Für den IT-Systemverwalter besteht der Hauptnachteil einer fertig konfektionierten Maschine, die er in sein Netz integriert, darin, dass er hier das Gefühl einer "Blackbox" vermittelt bekommt: Ihm ist nicht bekannt, welche Techniken, Verfahren und Möglichkeiten ein solches System birgt. Trotzdem sollte man die Vorteile solches Appliances betrachten.
Vorteile, Nachteile und Empfehlung
Vorteile der Hardware-Appliances im Überblick:
• Exakt abgestimmte Hard- und Software von einem einzigen Hersteller.
• De Support wird durch diesen einen Hersteller eindeutig gewährleistet.
• Keine Schwierigkeiten bei der Lizenzierung
• Üblicherweise entsteht kaum Aufwand bei der Bereitstellung.
• Höhere Betriebssicherheit durch gehärtete Betriebssysteme.
• In manchen Konstellationen entsteht geringerer Platz- und Energiebedarf.
Nachteile der Hardware-Appliances im Überblick:
• Es besteht sehr hohe Abhängigkeit von einem einzigen Anbieter.
• Möglicherweise passt verwendete Hardware nicht in das IT-Konzept des Unternehmens.
• Kann im Vergleich zur Installation auf Standard-Hardware deutlich teurer sein.
• Lokale Administratoren kennen sich bei dem Gerät nicht gut oder gar nicht aus (Blackbox).
Fasst man diese Vor- und Nachteile zusammen, so eignen sich Hardware-Appliances besonders gut für die folgenden Fälle:
Daher eignen sich Hardware-Appliances besonders gut für folgende Fälle:
• Spezielle Lösungen wie Router, Firewall-Lösungen, Datei-Server (Filer), sowie Antivirus- und Antispam-Lösungen. In diesen Fällen kann das Zusammenwirken von optimierter Hardware und einem gehärteten Betriebssystem besonders viele Vorteile bieten.
• Geräte, die in der DMZ positioniert werden müssen (Härtung)
• Wenn es vor allen Dingen "einfach" gehen soll und die Kosten nicht ausschließlich im Vordergrund stehen
• Wenn das Unternehmen über keine eigene IT-Mannschaft oder einen eigenen Administrator verfügt.
Der moderne Weg: Virtuelle Appliances
Eine sehr interessante Vermischung der beiden zuvor erläuterten Verfahren stellen die virtuellen Appliances dar, bei denen es sich um vorgefertigte und komplett bereitgestellte virtuelle Maschinen handelt. Die Virtualisierungs-Technik gleicht dabei die Vor- und Nachteile sowohl der klassischen Installation als auch die der als Box gelieferten Appliance sehr elegant aus. Immer mehr Lösungshersteller auch aus dem typischen Hardware-Umfeld gehen dazu über, ihre Programme auch als virtuelle Maschine bereitzustellen. Die Lieferung erfolgt dabei zumeist als Download-Link im OVF-Format.
Firmen wie Dell, HP, IBM, Microsoft, VMware und Citrix haben bereits im September 2007 eine Vorschlag für das "Open Virtual Machine Format" (OVF)-Dateiformat bei der Distributed Management Task Force (DMTF) eingereicht. Das Ziel dieses offenen Standard-Formats besteht daran, dass virtuelle Maschinen, Virtual Appliances und Software im Allgemeinen zwischen den verschiedenen Virtualisierungs-Plattformen ausgetauscht werden können. Der OVF Standard ist somit nicht auf bestimmte Hypervisoren oder Prozessor-Architekturen beschränkt (siehe auch Virtuelle Maschinen ins Open Virtualization Format konvertieren).
Beinahe jede IT in Unternehmen betreibt heute eine Virtualisierungs-Landschaft, manchmal mit Lösungen eines Herstellers, manchmal mit unterschiedlichen Virtualisierungslösungen. Kommt für die ausgewählte Softwarelösung eine virtuelle Appliance in Frage, so muss dann vom Hersteller fertig konfektionierte Maschine in die eigene "virtuelle Landschaft" integriert und dort betrieben werden. Da es sich aber bei den VMs nur um virtualisierte Hardware handelt, bleiben auch die Spezifika der tatsächlichen Hardware vor der Software verborgen. So kann dann auch die (aus Sicht des Anbieters) fehlerfreie Funktionalität der Programme in jedem Fall gewährleistet werden. Aber der Einsatz von virtuellen Appliances bietet den IT-Verantwortlichen noch weitere Vorteile.
Vorteile, Nachteile und Empfehlung
Vorteile der Virtual-Appliances im Überblick:
• Sehr schnelle Bereitstellung.
• Eine derartige Lösung passt sich nahtlos der vorhandenen Infrastruktur an.
• Die durch die virtuelle Umgebung bereitgestellten Sicherheitsfeatures wie Clustering oder Failover können direkt genutzt werden.
• Geringere Schulungsaufwand, da die Rahmenbedingungen der eigenen Hardware bekannt sind.
• Dank einheitlich virtualisierter Hardware, können die VMs über die verschiedenen Generationen von Hardware hinweg "mitgenommen" werden.
• Ein Betrieb ist im Notfall auch auf einfacherer Reserve-Hardware möglich.
• Snapshots vor Umstellungsaufgaben möglich.
• Support durch Hersteller klar geregelt, da die Hardware abstrahiert ist
• Vorkonfigurierte Systeme, Kunde spart sich viele zeitaufwändige Installationsschritte, die beispielsweise Nachinstallation bestimmter Treiber verlangen. "
• Spart möglicherweise Energie und auch Platz im Rechenzentrum
Nachteile der Virtual-Appliances im Überblick:
• Betriebssystem ist vom Hersteller aufgesetzt, etwaige Anpassungen sind dem Administrator möglicherweise unbekannt (Gefühl der "Blackbox")
• Kunde traut sich in den seltensten Fällen weitere Programme in die VM zu installieren, oder Anbieter verbietet weitere Installationen in der VM (Die effektive Nutzung dieser Kombination Hardware/Software wird dadurch eingeschränkt).
• Fällt Hypervisor-Software aus, bricht auch die Virtuelle Appliance weg
• Abhängigkeit von der Hypervisor-Lösung, so das ein Wechsel auf andere Plattform (beispielsweise von VMware zu Hyper-V) häufig nicht möglich ist.
Aus diesen Gründen eignen sich die Virtual-Appliances besonders gut für:
• Hypervisor-Farmen mit entsprechend geschultem Personal
• Einsatzszenarien, in denen eine Sicherung ganzer VMs möglich ist (Snapshot etc.)
• Fälle, in denen der Anwender durch Verwendung von virtuellen Appliances Zeit einspart
• Hypervisor-Farmen, die über ausreichende Ressourcen und frei konfigurierbare NICs verfügen.
• AV- und Antispam-Lösungen und Firewall-Systeme, bei denen ein entsprechend gehärtetes Betriebssystem in der VM auf dem Hypervisor-Host zum Einsatz kommt.
Fazit und Ausblick: Die "eine Lösung" wird es nicht geben
Wie diese kurze Gegenüberstellung der verschiedenen Verfahren schnell zeigt, wird es die eine Lösung kaum geben: Doch ein Trend geht ganz klar in Richtung der virtuellen Appliances, da sie ohne Zweifel die meisten Vorteile auf sich vereinen. Keine andere Art der Bereitstellung bietet so viel Flexibilität und Sicherheit auf einmal.
Für kleine Unternehmen, die einfach nur einen File-Server, etwas E-Mail und eine Branchenlösung brauchen, wird hingegen auch weiterhin beispielsweise ein Windows Small Business Server die bessere Lösung sein.
Würde diese Betrachtung in wenigen Monaten wiederholt werden, so käme ohne Frage eine vierte Form der Bereitstellung hinzu: das viel besprochene Cloud Computing. Hier müssen sich die IT-Fachleute dann im Idealfall nicht mehr selbst um die Betriebssicherheit, das Backup oder die Auswahl der Komponenten kümmern. Die Auslagerung erfolgt zum komplett konfektionierten System in einem verteilten Groß-Rechenzentrum eines Cloud-Anbieters, um so die Anforderungen ihrer Anwender abzudecken.
Dieser Artikel stammt von unserer Schwesterpublikation TecChannel. (kv)