Und so, liebe Freunde, landete VMware NSX in unseren Rechenzentren.
Wir, die das Zeug betreiben müssen, sehen aber keine “agile Cloud-native SDN-Plattform”. Wir sehen einen klemmenden Gartenschlauch. Einen verdammt teuren, klemmenden Gartenschlauch, der von einem Dutzend Hilfsmotoren am Leben erhalten wird.
Es gab Zeiten, da war Netzwerk-Virtualisierung elegant. Ich rede von Solaris Crossbow. Das war kein Produkt, das war ein Kernel-Framework. Kohärent. Deterministisch. Ein paar ifconfig und dladm Befehle, und die Kiste lief.
Der Architektur-Albtraum
Wenn man die Architekturfolie nicht versteht, ist das Produkt meist verloren.
- Crossbow war im Kernel. Sauber, klein, effizient.
- NSX ist ein Frankenstein aus: Manager-Clustern, Policy-Clustern, Edge-Clustern, Transport-Nodes, Overlay-Netzen (VXLAN/Geneve), Loadbalancer-VMs, Controller-Services, diversen Datenbanken und einer REST-API, die nur bei Neumond sauber funktioniert.
NSX ist ein Moloch, der ironischerweise versucht, die Netzwerkprobleme zu lösen, die ESXi und seine Linux-Unterbauten überhaupt erst geschaffen haben – Probleme, die Crossbow nativ nie hatte.
Betrieb: Nur mit Hohepriester
Früher reichte für Crossbow ein Admin, der “ifconfig” verstand.
Für NSX brauchst Du heute:
- Zertifizierte Hohepriester (CCIEs für VMware).
- VMware-Flüsterer, die den Support-Jargon beherrschen.
- Zwei Wochenenden Downtime für ein Major-Upgrade.
- Drei Workshops, um einen einzigen Firewall-Flow nachzuvollziehen.
“Selbst betreibbar” sieht anders aus. Das ist keine Infrastruktur, das ist eine Abhängigkeit von externen Beratern.
Debugging im “Schrödingers Paket”-Modus
Das Schlimmste an NSX ist nicht die Komplexität, es ist die Undurchsichtigkeit. Diese Overlays führen zu einem Debug-Modus des Lebens:
- Zufällige Latenzspitzen, weil irgendwo ein Offload nicht greift.
- Inkonsistente Path-States.
- Firewalls, die Minuten (ja, Minuten) brauchen, um eine Policy zu übernehmen.
- Traceflows, die nur funktionieren, wenn man gerade nicht hinschaut.
Bei Crossbow war das simpel: Paket rein → Kernel arbeitet deterministisch → Paket raus. Bei NSX fühlt es sich an, als würde man das Paket bitten, eine Reise durch drei verschiedene Postleitzentren zu machen, nur um zum Nachbarn zu kommen.
Der Preis und die Angst
In vielen Firmen kostet die NSX-Lizenzierung mehr als die gesamte Server-Hardware, auf der sie läuft. Wir reden hier von Mittelklassewagen – pro Host. Für Funktionen, die Crossbow vor 15 Jahren kostenlos und integral geliefert hat. Aber das Schlimmste ist nicht das Geld. Es ist das fehlende Vertrauen der eigenen Admins. Der häufigste Satz, den ich im Zusammenhang mit NSX höre, lautet:
“Fasst das niemand an, sonst ist am Montag das halbe Rechenzentrum weg.”
Und das ist kein Witz. Die wenigsten Teams verwenden NSX freiwillig. Sie nutzen es, weil der Vertriebler im Management ganze Arbeit geleistet hat.
Fazit
NSX ist die 2000-PS-Fanflöte unter den SDN-Lösungen: unfassbar laut, absurd komplex, sündhaft teuer – und erstaunlich schlecht darin, das zu tun, was Solaris schon vor Jahren geräuschlos erledigte.
Dieser Artikel ist der Auftakt zur Serie “Technologie-Amnäsie”. Alle Türchen findest du unter /tags/techamnesia.
Kommentare