Die Herausforderung:
Unternehmen setzen für ihre IT-Architekturen zunehmend auf global verfügbare Public-Cloud-Umgebungen. Doch in den IT-Abteilungen fehlen oft die notwendigen Kompetenzen und auch personelle Ressourcen, um Planung, Aufbau und Betrieb komplexer Public-, Hybrid- oder Multi-Cloud-Umgebungen zu realisieren. Als langjähriger Systemintegrator für Security- und Netzwerk Lösungen im On-Premise-Umfeld unterstützt Controlware deshalb seine Kunden bei solchen Aufgaben.
Dabei stand Controlware vor einiger Zeit selbst vor der Herausforderung, das Know-how seiner Spezialisten auf das neue Tätigkeitsfeld Public Cloud Services auszuweiten. Neben Weiterbildung und Zertifizierungen legt der Systemintegrator auch besonderen Wert darauf, dass seine Mitarbeiter über umfangreiche praktische Erfahrungen verfügen. Die Aufgabe für Controlware bestand also darin, seinen Experten entsprechende Testumgebungen zur Verfügung zu stellen, mit denen sie Lösungen für Multi-Cloud-Infrastrukturen entwickeln und erproben können. Darüber hinaus sollte sich eine solche Umgebung auch für Proofs of Concept oder Kunden-Showcases nutzen lassen.
Die Lösung:
In enger Zusammenarbeit zwischen dem Competence Center Cloud bei Controlware und Amazon Web Services wurde eine auf die Bedürfnisse der Netzwerk- und Security-Experten zugeschnittene Labor-Umgebung auf Basis der Public-Cloud-Infrastruktur von AWS entwickelt. So entstand ein auf „Knopfdruck“ verfügbares virtuelles Rechenzentrum im Single VPC Design (VPC = Virtual Private Cloud). Es steht jedem Controlware-Mitarbeiter nach Bedarf zur Verfügung, um den Cloud-Dienst mit Netzwerk- und Sicherheits-Lösungen namhafter Drittanbieter wie Cisco, F5, Fortinet, Palo Alto, Checkpoint und anderen zu integrieren. Auch zu Aus- und Weiterbildungszwecken lassen sich die virtuellen Labor-Umgebungen einsetzen.
Abbildung: Labor-Umgebung für Security- und Netzwerkkomponenten im Single VPC Design
Das Competence Center Cloud nutzt das AWS-interne Infrastruktur-as-Code-Produkt „Cloud Formation“. Diese Lösung stellt alle notwendigen Infrastruktur-Ressourcen nach Vorgaben bereit, die in einer textbasierten Datei im einem der Datenformate JSON oder YAML beschrieben sind.
Mit diesen „Templates“ können die Controlware-Mitarbeiter die für ein konkretes Projekt benötigten Ressourcen wie virtuelle Netzwerkfunktionen inklusive Subnetzen, Security-Gruppen, Netzwerk-ACLs, IP-Adressen, Routing-Tabellen und ein Internet-Gateway definieren. Dasselbe gilt für virtuelle Maschinen, Autoskalierungsgruppen, Load Balancer, Monitoring-Funktionen wie etwa CloudWatch oder CloudTrail und Zugriffsberechtigungen wie User, Gruppen und Rollen im Rahmen eines Identity Access Managements, Multi-Faktor-Authentifizierung und Ähnliches.
Die Template-Datei listet die benötigten AWS-Ressourcen auf und legt deren Parameter wie zum Beispiel Portnummern und die Größe von Datenbanken fest. AWS Cloud Formation stellt alle darin beschriebenen Ressourcen anschließend automatisch per Klick zur Verfügung. Jedes Template lässt sich zur späteren, erneuten Nutzung anhand einer eindeutigen Versionsnummer identifizieren.
Abbildung: Beispiel eines CloudFormation-Templates im Datenformat JSON
Um die definierten Ressourcen bereitzustellen, generiert AWS nach den Vorgaben des Templates einen Stack, der automatisch Abhängigkeiten und Datenflüsse berücksichtigt. Nach der Bereitstellung lässt sich dieser Stack über die AWS-CloudFormation-Konsole, eine AWS CloudFormation-API oder das AWS Command Line Interface verwalten. Wird der Stack gelöscht, werden auch alle abhängigen Ressourcen wieder freigegeben. So können die Controlware-Experten sicherstellen, dass Ressourcen nicht unnötig aktiv bleiben und dabei vermeidbare Kosten verursachen.
Als Resultat der praktischen Erfahrungen und konkreter Wünsche einiger Kunden von Controlware wird die Lösung in einer weiteren Ausbaustufe nach dem Prinzip „Hub and Spoke“ um ein Transit-VPC erweitert. Um die Verbindung zur Virtual Private Cloud nicht direkt, sondern über einen Zentralknoten (den Hub) herzustellen, kommt das AWS-Produkt Transit Gateway zum Einsatz.
Außerdem sollen sich die definierten Umgebungen künftig in weiten Teilen auch in anderen Cloud-Umgebungen wie Microsoft Azure oder der Google Cloud Platform abbilden lassen. Zu diesem Zweck ist die Nutzung eines globalen, cloud-übergreifenden Infrastruktur-as-Code-Produkts geplant. Das Competence Center Cloud von Controlware setzt dazu auf das Produkt Terraform des Anbieters Hashicorp.
Die Vorteile:
AWS Cloud Formation stellt alle benötigten Ressourcen auf sichere, reproduzierbare und schnelle Art und Weise bereit, ohne dass die Controlware-Mitarbeiter dafür manuelle Tätigkeiten vornehmen müssen. Darüber hinaus erkennt das Produkt selbstständig, welche Vorgänge bei der Verwaltung eines oder mehrerer Stacks ausgeführt werden müssen. Falls Fehler auftreten, werden diese automatisch behoben.
Während die Experten bei Controlware die bereitgestellten Umgebungen für Labortests oder Proofs of Concept beziehungsweise Kunden-Showcases nutzen, arbeitet das hauseigene Competence Center Cloud die Rückmeldungen seiner Kollegen und Kunden in weitere Versionen der Cloud-Formation-Templates ein. Diese werden dann wiederum ausführlich getestet, um anschließend bei Bedarf die damit bereitgestellten Infrastrukturen zu erneuern.
