365 TAGE CLOUD POCS - LESSONS LEARNED - DOAG
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
365 Tage Cloud PoCs – Lessons Learned Lorenz Keller, Cloud Architect, Arrow ECS Internet Security AG Lorenz.keller@arrow.com, +41 79 345 41 72 Tags: Oracle, Cloud, PoC, IaaS, PaaS, DBaaS, Database as a Service, IoT, Chatbot, Arrow… 1. Hintergrund Die Arrow Internet Security AG mit Sitz in Brüttisellen bei Zürich ist für Oracle als sogenannter Value Added Distributor (VAD) tätig. Als solcher unterstützt Arrow die Oracle Partner vom On-boarding bis zur individuellen Entwicklung, bietet Architekturberatung, Hilfe zur Angebotserstellung und Fakturierung und vieles mehr. Im Rahmen der Architekturberatung betreibt Arrow Oracle Solution Center, in welchen sie die neueste Generation von Oracle Engineered Systems Partnern und ihren Kunden für Tests zu Verfügung stellt. Seit November 2017 stehen zudem fünf Oracle Cloud Umgebungen in der Datencenter-Region Frankfurt zur Verfügung. Diese Cloud Accounts sind ausschliesslich dafür bestimmt, Oracle Partner und deren Kunden bei der Verlagerung ihrer Workloads in die Oracle Cloud zu unterstützen. Seit Anfang des Jahres ist das Interesse am Thema Cloud deutlich gestiegen. Seither betreuen wir permanent zwischen acht bis zehn PoCs in den Cloud Umgebungen. 2. Warum ein Cloud PoC sinnvoll ist Durch ein Proof-of-Concept (POC) soll der Nachweis erbracht werden, dass bestimmte Konzepte oder Theorien das Potenzial erfüllen, den Zielsetzungen und Anforderungen der realen Welt zu entsprechen. Die Anforderungen selbst können in kleinere Teilziele unterteilt sein, die nicht zwangsläufig miteinander in Interaktion alle Bedingungen erfüllen müssen, sondern auch separiert den Nachweis erbringen können, dass ein Gesamtkonzept tragfähig ist. Besteht der Bedarf oder die Idee, für bestimmte IT-Lösungen Cloud Services zu nutzen, ist es sinnvoll diese vor dem Erwerb intensiv zu testen. Entspricht der untersuchte Service tatsächlich den Erwartungen? Zudem werden die meisten Cloud Services von verschiedenen Anbietern und dabei nicht selten in unterschiedlicher Detailierung, Qualität, Versionsreife etc. angeboten. Ein Vergleich lohnt. Der Weg ist das Ziel Es bietet sich stets die Chance wertvolle Erfahrungen zu sammeln. Daher sollte nicht nur die Lösung der Anforderungen an sich im Fokus stehen, sondern auch die Lernerfahrungen geschätzt werden, die mit jedem PoC gemacht werden können. Diese Lernerfahrungen bereichern das Know-how, vervollständigen und erweitern die Bewertungskriterien und helfen deren Gewichtung zu präzisieren: Erfüllt der Service die fachlichen Anforderungen? Wird der Dienst der benötigten Performance gerecht? Was wird im Bereich Security geboten? Welche Service-Levels bestehen und wie werden sie umgesetzt? Welche Verantwortlichkeiten liegen beim Anwender, welche beim Anbieter? Wie kann die erforderliche Verfügbarkeit erreicht werden? Zudem erfolgt dieser Realitäts-Check im Vorfeld einer Kaufentscheidung und erhöht damit die Chancen auf ein späteres Go-live, im Rahmen von Budget und Zeit. «Das Thema Performance besprechen Sie bitte mit unseren Technikern.» Arrow ECS Internet Security AG, Ruchstuckstrasse 6, CH-8306 Brüttisellen 21-November-2018, lorenz.keller@arrow.com 1
Ein besonderer Aspekt sind bei Cloud-Lösungen die Themen Preis und Performance. Beide
sind eng miteinander verzahnt: Die Metrik beim Kauf von Lösungen im Bereich von IaaS/PaaS
ist nicht selten die Metrik CPU. Bei Hersteller A kostet die CPU/Monat z.B. 100 EUR, bei
Hersteller B 150 EUR. Hersteller A erscheint deutlich günstiger als Hersteller B. Doch ist die
Metrik CPU vergleichbar, wie das Kilo beim Einkauf von Waren? Sicher nicht! So ist die
Gesamt-Performance abhängig vom Zusammenspiel von CPU, Storage und Netzwerk. Ist die
Gesamtleistung des Compute-Services von Hersteller A nur halb so performant wie der von
Hersteller B, so zahlt man langfristig deutlich mehr bei der vermeidlich günstigeren Lösung.
Das Ermitteln von Preis-Leistungs-Kennzahlen sollte somit ein wichtiger Teilaspekt jedes
Cloud PoC sein, denn er beeinflusst die Kosten immens und potenziert sich über die gesamte
Vertragslaufzeit.
Cloud Credit Abschätzung
Last but not least kann ein Cloud PoC helfen die «Bill of Materials» aller benötigten Cloud
Services zu komplettieren: Welche Services werden benötigt: Reichen VM Shapes oder sollten
es BareMetal Services sein? Wieviel von welchem Storage (Block-, Object- oder File-Storage)
wird benötigt? Welche Netzwerk-Services (Load Balancer, Firewall, VPN-IPSEC, DNS
Services) oder weitere Komponenten und Metriken (Inbound/Outbound Data Transfer, Read-
/Write-Requests) werden benötigt oder beeinflussen die Kosten?
3. PoC Ablauf
Der Erfolg eines PoC steht und fällt bereits mit der Vorbereitung. Arrow unterstützt Oracle-
Partner bereits in der Planungsphase. Partner und Kunde müssen im Vorfeld genau den Test-
Case definieren, gemeinsam Ziele und Erfolgskriterien vereinbaren, einen Projektplan erstellen
und dafür benötigte Ressourcen ermitteln. Darüber hinaus ist es sehr wichtig auch über die
Erwartungen beider Seiten nach Abschluss des PoC zu sprechen: was passiert, wenn alle
Erfolgskriterien erfüllt sind? Für den Partner kann ein PoC mit erheblichen Investitionen
verbunden sein, in der Hoffnung durch eine spätere Beauftragung des Kunden vergütet zu
werden. Der Kunde seinerseits möchte Teile der Umgebung eventuell nach einem
erfolgreichen PoC weiter nutzen und nicht von vorne beginnen. Es ist wichtig diese
Erwartungen im Vorfeld auszutauschen und entsprechende Vereinbarungen zu treffen.
PoC Checkliste
Arrow empfiehlt das Erstellen und Pflegen einer PoC-Checkliste. Eine Vorlage, die sich aus
zahlreichen PoCs entwickelt hat, stellen wir hierfür gerne zu Verfügung. Für den eigentlichen
PoC nutzen wir ein Dokument, in welchem alle wichtigen Vereinbarungen der beteiligten
Partner und Kunden festgeschrieben werden:
- Wer sind die handelnden Personen, technisch und fachlich, bei Partner und Endkunde
- Wie ist der Titel des Projektes
- Zeitrahmen
- Business Case, kommerzielle Erwartungen
- Definition von Erfolgskriterien und deren jeweilige Gewichtung
- Projektablaufplan
- Architekturskizze
- Benötigte Cloud Services und weitere Ressourcen
- Finales Engagement Reporting
Arrow ECS Internet Security AG, Ruchstuckstrasse 6, CH-8306 Brüttisellen
21-November-2018, lorenz.keller@arrow.com 2
Abb. 1 - PoC Checkliste & PoC Dokument Nach dem Erhalt der ausgefüllten PoC-Checkliste findet eine erste Web-Konferenz aller Beteiligten statt, in welcher wir das Dokument Punkt für Punkt durchgehen und gemeinsam anhand des Cost-Estimators die für den PoC benötigten Cloud Services auflisten, um die voraussichtlich benötigten Cloud Credits zu ermitteln. Gemeinsam gehen wir auch noch einmal den Projektplan durch, validieren die einzelnen Schritte, den Zeitbedarf und diskutieren was darüber hinaus sinnvoll sein kann getestet zu werden. Scheduling Sind jetzt Zeit und Kosten definiert, beginnt das «Tetris»- Spiel: Es gilt zu ermitteln, in welcher Cloud Instanz der PoC unter Einhaltung von Zeit und Kosten provisioniert wird. Zeichnung des PoC Dokuments Per Unterschrift verpflichtet sich der Partner die überlassenen Ressourcen sinnvoll und gemäss Absprache zu nutzen. Dieser Vorgang hat sich als notwendig erwiesen, da in der Regel zwischen acht bis zehn PoCs parallel laufen, während bereits neue PoCs auf freiwerdende Ressourcen warten. Kosten des PoCs Läuft der PoC im Rahmen der Vereinbarungen ab und erfolgt nach Abschluss ein detailliertes Reporting an Arrow, entstehen Partner und Kunde für die genutzten Cloud Credits keine Kosten. Wenn Partner und Endkunde jedoch kein Feedback geben, die PoC Umgebung ungenutzt bleibt, oder Cloud Credits verschwendet werden, müssen die entstandenen Kosten in Rechnung gestellt werden. Nur so können wir sicherstellen, dass diese Unterstützung geschätzt wird, und nicht andere PoC-Teilnehmer oder Interessenten der Ressourcen beschnitten werden. Nutzung einer eigenen Cloud Umgebung - Pay-as-you-go Alternativ zur Nutzung der Arrow PoC Cloud Umgebung besteht auch die Möglichkeit, dass Kunde und Partner eine eigene Cloud Umgebung nach dem Pay-as-you-go – Modell erwerben. Arrow ECS Internet Security AG, Ruchstuckstrasse 6, CH-8306 Brüttisellen 21-November-2018, lorenz.keller@arrow.com 3
Arrow bietet den Erwerb über eine Einkauf-Plattform ArrowSphere an. Bei dieser Variante tragen Partner und Kunde zwar die Kosten, profitieren aber von der exklusiven Nutzung einer eigenen Cloud Umgebung. Ein wesentlicher Vorteil: die während des PoCs erstellten Dienste können nach dem PoC weiter betrieben werden und ggf. in ein späteres monthly-flex Modell überführt werden. Wöchentliche Status-Calls In wöchentlichen Status-Calls werden die Fortschritte besprochen und bewertet: was lief gut, schlecht, oder gar nicht, welche Meilensteine wurden erreicht, in welchem Bereich gibt es Herausforderungen, die eventuell das Zurate ziehen weiterer Spezialisten erfordern. Für diese Fälle versuchen wir Hilfe von Oracle Sales-Consulting oder Produkt Management zu bekommen und binden die Experten in die wiederkehrenden Calls bei Bedarf mit ein. Final Reporting Am Ende des PoCs empfehlen wir ein abschliessendes Meeting zwischen Partner und Kunde, in dem ein finales Resümee gezogen wird – gerne mit unserer Beteiligung und Unterstützung. Den Abschluss des PoCs bildet eine Nachbesprechung auf Basis des Feedbacks der letzten Seite im PoC Dokument, dem Final Reporting. 4. Learnings Die Learnings, die aus einem PoC gezogen werden, sind vielfältig. Oracle bietet im IaaS/PaaS Bereich über 50 verschiedene Cloud Services an. Diese unterliegen stetigen Updates, sodass mitunter bei jedem neuen Erstellen eines Services geprüft werden muss, was sich zwischenzeitlich geändert hat. IaaS oder PaaS? In einem unserer ersten PoCs hatte der Oracle Partner eine Applikation die server-seitig aus einer Datenbank, der SOA Suite und einer älteren BPM Version bestand. Client-seitig greift der Endkunde mit einer Java Applikation zu. Als eines der ersten Ziele im PoC hatte der Partner sich vorgenommen zu ermitteln, ob man für Datenbank und SOA Suite ausschließlich IaaS, also Compute Services nutzen sollte, oder ob man von der höheren Wertschöpfung eines PaaS Services mehr profitieren würde. Mit Compute alleine erhält man lediglich ein Shape mit dem gewünschten Betriebssystem. Oracle Software muss separat auf die dann gestartete Instanz geladen werden. Der Kunde muss selbstständig die Software installieren und entscheiden, wie viele Block Devices in die Compute Instanz eingebunden werden sollen, wo Control-Files, Redologs etc. ablegt, oder die (ASM) Grid-Infrastructure installiert wird, um die Datenbank performant betreiben zu können. Software Lizenzen muss der Kunde separat als Bring-your- own-licence (BYOL) besitzen oder erwerben. Mit Oracle PaaS (am Beispiel Database-as-a-Service) bekommt der Kunde eine laufende Datenbank. Die Data-Files sind optimal verteilt, um die bestmögliche Performance zu bieten. Dem Kunden stehen Toolings zur Verfügung für Patch-Management, Backup & Recovery. Der Kunde kann bei der Installation entscheiden, ob eine Lizenz mit dem Service erworben wird oder nicht (BYOL). PaaS bedeutet Oracle Linux Ein erstes Learning des Partners: Bisher war man nur auf Windows unterwegs. Auf IaaS mit Compute war das kein Problem. Es stehen verschiedene Windows -Versionen zu Verfügung. Oracle PaaS, DBaaS, SOA bedeuten jedoch, dass man sich zwingend mit Oracle Linux auseinandersetzen muss! Windows Anwender nutzen oft die Datenbank mit Datafiles und nicht mit ASM. So kommt hier eine weitere Herausforderung auf das DBA Team zu. Arrow ECS Internet Security AG, Ruchstuckstrasse 6, CH-8306 Brüttisellen 21-November-2018, lorenz.keller@arrow.com 4
Wie binde ich Client Applikationen sicher an? Die zweite zentrale Fragestellung betrifft die Anbindung von Client Applikationen und die Frage, wie diese performant über das Netz arbeiten können. Bandbreite ist eine wesentliche Voraussetzung. Clients können jedoch auch direkt in die Cloud auf eine Compute Instanz verlagert werden. Ein Windows Shape lässt sich meistens ohne grossen Aufwand bauen, auf welchem die Java Applikation dann läuft, die auf Datenbank und SOA Suite zugreifen soll. Windows Instanzen in der Cloud bedürfen besonderen Schutzes In einem Fall hatte der Partner geplant für den PoC die Komplexität soweit als möglich zu reduzieren. Der Zugriff erfolgte daher direkt über RDP auf die Windows Instanz. Eines Morgens vermeldete diese Instanz «inaccessible - status error» und liess sich weder starten, noch stoppen oder rebooten. Der eröffnete Service Request wurde von Oracle Cloud Operations umgehend auf Dinglichkeitsstufe 1 eskaliert. Nachdem die Instanz wieder lief, zeigte eine Analyse des SystemEvents Logs, dass die Instanz in den vergangenen Stunden pausenlosen Login-Versuchen ausgesetzt war. Das Learning hierbei: im Gegensatz zu einer Linux-Instanz mit SSH Port und Key steht eine Windows Instanz mit geöffnetem RDP Ports schnell unter Feuer. Abb. 2 – Das SystemEvents Log einer Windows Compute Instanz mit offenen RDP Ports zeigt password cracking attacks Oracle Secure Global Desktop Auf der Suche nach alternativen Konzepten sind wir auf den Oracle Secure Global Desktop (https://www.oracle.com/secure-global-desktop/) gestossen. Bei seiner Verwendung stellen Clientgeräte niemals eine direkte Verbindung zu den Anwendungsservern her. Stattdessen wird eine Verbindung zu Oracle Secure Global Desktop mit Hilfe des Hypertext Transfer Protocol über SSL oder TLS (HTTPS) und dem Adaptive Internet Protocol (AIP) aufgebaut. Oracle Secure Global Desktop stellt dann im Auftrag des Benutzers eine Verbindung zu den Anwendungsservern her. Auf diese Weise kann eine sichere Verbindung zum Client unterhalten werden. Interaktion Cloud mit – on-premises In einem weiteren PoC hatte ein Partner mit seinem Kunden das Ziel, die Oracle E-Business Suite auf OCI zu betreiben. Erste Erkenntnis: Oracle unterstützt die Migration der E-Business Suite von on-premises in die Cloud mit zahlreichen technischen Notes (Doc ID 2066260.1), Automations-Werkzeugen für Lift & Shift Szenarios, Provisionierung, und Lifecycle Management. Zweite Erkenntnis: ERP Systeme sind nicht autonom. Sie sind stark vernetzt mit weiteren Applikationen, CRM Systemen, Data-Warehouse Systemen usw. Ein Milestone kann die exemplarische Einbindung über Integrations-Tools sein. Viel interessanter jedoch ist die Fragestellung, wie die Fachanwender mit der E-Business-Suite arbeiten: So ergeben sich Fragen, wie sich Druck- oder Rechnungsschreibung realisieren lassen, oder wie ein Excel- Import gelingt. Eine VPN Verbindung im PoC zu realisieren ist ein Muss und bildet in den ersten Tagen eine Grundvoraussetzung für weitere Tests. Arrow ECS Internet Security AG, Ruchstuckstrasse 6, CH-8306 Brüttisellen 21-November-2018, lorenz.keller@arrow.com 5
Abb. 3 (optional) - OCI Networking Configuration beim Deployment der Oracle E-Business Suite
Die ersten Tage im PoC
Aus den genannten Learnings hat sich eine bestimmte Vorgehensweise in den Projekttagen des
PoCs bewährt: Starten mit dem, was man gut kennt, z.B. dem Datenbank Service
1. Erstellung einer ersten, sicheren Netzwerk Konfiguration
2. Zugriff auf die Datenbank via SSH/Putty, über den SQL Developer
3. Back-up Konfiguration (Stichwort: Konfiguration eines Service Gateways)
4. Konfiguration der Enterprise Manager EM Console.
5. Erstellen des Data Load
6. VPN-Verbindung
7. Minimieren der offenen Ports oder gar komplett den Zugriff per Internet unterbinden, so
dass Zugriffe ausschliesslich über die VPN-Verbindung und das Dynamic Routing
Gateway (DRG) stattfinden
8. Realisieren von Hochverfügbarkeit
9. Aufbau der Applikation
10. ...
Jeder Kunde hat Cloud Use Cases!
Nicht selten hört man im Gespräch mit Kunden, dass man als Bundesland (Kanton, Staat,
Behörde etc.) besonders schutzbedürftige Daten verwaltet und folglich unter keinen
Umständen in die Cloud gehen könne. Es mag sein, dass es Daten oder Applikationen gibt, für
die das zutrifft. Doch auch im Bereich des öffentlichen Dienstes gibt es zahlreiche
Anwendungsbeispiele.
Im April 2018 wurde ein PoC mit dem Kanton Genf auf der Arrow PoC Cloud Umgebung
realisiert. Gemäß Aufgabenstellung sollten die Ergebnisse der Parlamentswahlen und der
darauffolgenden Stichwahl über einen ChatBot zugänglich gemacht werden. Das Beispiel
zeigt, dass gerade auch Behörden Anwendungsfälle haben, bei denen es von vorneherein um
die Publizierung von Informationen für eine breite Öffentlichkeit ankommt. Und nicht selten
Arrow ECS Internet Security AG, Ruchstuckstrasse 6, CH-8306 Brüttisellen
21-November-2018, lorenz.keller@arrow.com 6ist das Interesse gross dabei neue Technologien für den Zugriff auf die Informationen zu
verwenden.
“Ich sehe dieses Experiment auf mehreren
Ebenen. Erstens war es ein technischer Erfolg, da
wir den ChatBot in sehr kurzer Zeit liefern
konnten und am Wahltag (15. April) lief. Aus der
Sicht der Zusammenarbeit zwischen den
verschiedenen Parteien: In der Tat ist dieser
ChatBot das Ergebnis einer ausgezeichneten
Zusammenarbeit zwischen verschiedenen
Abteilungen des Staates Genf sowie privaten
Unternehmen hier in Genf und im Ausland :
SQLI, Telono, Arrow und Oracle. Und schließlich
aus menschlicher Perspektive, denn diese
Erfahrungen sind immer eine Gelegenheit, neue
Bindungen zu knüpfen und neue Freundschaften
zu schließen.”
Abb. 4 – Projektteam ChatBot PoC – Kanton Geneve
Quelle: https://www.ge.ch/blog/geneve-lab/experimentation-chatbot-retours-stagiaire-au-geneve-lab-31-05-2018
Es kommt auf den Anwendungsfall an
Ein weiteres Beispiel sind Banken: Gerade Schweizer Banken scheinen besonderes
schutzbedürftige Daten und Prozesse zu haben. Einen Anwendungsfall können die
turbulenten Bewegungen an den Aktienmärkten der letzten bieten. Auch Finanzprodukte,
Wertpapiere, Aktien, Fonts und ETFs sind Produkte, deren Entwicklung keinem
Bankgeheimnis unterliegen. Man stelle sich einen Dienst vor, welcher die ertragreichsten
Finanzprodukte der letzten zwei Monate ermittelt, abhängig von gewünschtem Risiko-Profil,
Anlagevolumen und Diversifizierung, der dem Bankkunden hilft ein individuelles
Finanzprodukt zu ermitteln, also ein klassisches DWH Szenario. Dieses wäre in jedem Falle
geeignet in der Cloud realisiert zu werden! Die Transaktion des ermittelten Wertpapiers kann
weiterhin über die separate- Banking Applikation abgewickelt werden, falls dies gewünscht
wird.
Eine Frage der Architektur
Ein weiterer PoC eines Partners stellte ein Internet of Things (IoT) Szenario in einem
Krankenhaus nach. Das Krankenhaus ist eine renommierte Schweizer Klinik, die unter
anderem auf die Behandlung von Herz-Krankheiten spezialisiert ist. Patienten werden im
Krankenhaus behandelt und verlassen es anschließend wieder. In vielen Fällen wird eine
Nachtherapie vom Hausarzt verantwortet. Die Herausforderung lag darin, auch für den
Zeitraum nach dem Eingriff den Patienten weiter zu überwachen. Hierfür würde die Klinik
zwischen fünf und zehn verschiedene IoT Geräte anbieten, von der Uhr bis zum Brustgurt.
Alle diese Geräte ermitteln die Herz-Signale der Patienten über eine eingebaute Sensorik und
übermitteln diese per IoT-Backend-Architektur an das Krankenhaus. Ein völlig neuer Business-
Case für eine Klinik. Doch wie sieht es mit den schutzbedürftigen Patientendaten bei einem
IoT Service in der Oracle Cloud aus? Lediglich eine Frage der Architektur. Denn das Endgerät
ist gegen den IoT-Service nur mit einer Device-ID registriert. Diese braucht keiner Person im
Cloud Service zugeordnet zu sein. Das Mapping zu den Patientendaten erfolgt erst on-
premises, in der Klinik. Das Learning: Cloud Services sind auch für sensible
Arrow ECS Internet Security AG, Ruchstuckstrasse 6, CH-8306 Brüttisellen
21-November-2018, lorenz.keller@arrow.com 7Anwendungsszenarien denkbar und Kunden mit besonders schutzbedürftigen Daten und Informationen können von zahlreichen Vorteilen der Cloud Services profitieren. Abb. 5 – Schematische Darstellung der Architektur im IoT PoC 5. Fazit Das Interesse sich intensiv mit dem Thema Cloud zu beschäftigen und einen Use-Case aktiv in einem Cloud PoC zu erproben steigt stetig. Arrow bietet mit der OCI-PoC-Platform die Möglichkeit die Oracle Cloud intensiv zu testen. Die eigentliche Machbarkeitsprüfung wird ergänzt durch die Chance im PoC umfangreich zu lernen und zu bewerten, bevor eine Entscheidung für einen Cloud Anbieter getroffen wird. Dieses ist für Partner und Kunden gleichermaßen interessant und höchst empfehlenswert! Arrow ECS Internet Security AG, Ruchstuckstrasse 6, CH-8306 Brüttisellen 21-November-2018, lorenz.keller@arrow.com 8
Sie können auch lesen
