Wolken-Verbund Kurt Garloff - OSISM
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
TITEL | CLOUD-ÖKOSYSTEM
Mit Sovereign Cloud Stack zu mehr digitaler Souveränität
Wolken-Verbund
Kurt Garloff
Das Sovereign-Cloud-Stack-Projekt vereinfacht Fortschritts. Die Wettbewerbsfähigkeit ist
Bereitstellung und Betrieb standardisierter Cloud- und in immer mehr Bereichen davon abhän-
gig, wer besonders gut in der Entwicklung
Containerinfrastrukturen mit einer komplett offenen Software- innovativer Software zur Verarbeitung der
plattform. Dieser Artikel erläutert die Grundlagen und leitet Daten ist und wer Zugriff und Kontrolle
über die Daten hat. Gerade auch für die
durch eine einfache Testinstallation.
mittelständisch geprägte Wirtschaft in
Deutschland wird sich im kommenden
Jahrzehnt entscheiden, ob sie die Kon-
C
orona machts möglich: Im Frühjahr ßen Plattformanbietern. Von denen gibt es trolle über ihr Daten behalten kann. Auch
2020 rückte die Pandemie die Digi- nur wenige und sie operieren auch noch in die Kompetenz zur datenbasierten Inno-
talisierung in den Vordergrund. In Rechtsräumen, die kulturell und rechtlich vation droht verloren zu gehen und damit
der Bildung, in der öffentlichen Verwal- nicht den Erfordernissen des europäischen geriete letztlich auch die Fähigkeit zur In-
tung und in vielen Betrieben waren digi- Datenschutzes genügen. Das EuGH-Urteil novation in fremde Hände.
tale Arbeitsmittel nicht ausreichend eta- zum Thema Privacy Shield (siehe iX!9/2020) Im Privaten steht nicht weniger auf dem
bliert oder die vorhandenen nicht auf das hat das vielen Unternehmen noch einmal Spiel: Der Datenschutz ist letztlich die
geforderte sprunghafte Wachstum vorbe- schmerzlich klargemacht. Zudem sind Freiheit, nicht bei jeder Handlung der
reitet. Aber viele Unternehmen nutzten die starke Abhängigkeiten auch aus wirt- Überwachung durch Daten sammelnde
Zeit seit dem ersten Schock und sind heute schaftlicher und strategischer Sicht wenig Systeme unterworfen zu sein und somit
besser aufgestellt. Allerorten hat man zum wünschenswert. die Frage stellen zu müssen, welche Infor-
Beispiel Videokonferenzen implementiert. mationen über die eigene Person die Da-
Wo die aus cloudbasierter Infrastruktur tensammler anhäufen. Das westeuropäi-
geliefert werden, ist auch ein Skalieren, Die Zukunft sche System mit der Freiheit des Handelns
also die dynamische Anpassung an stark des Abendlandes im Privaten und die Innovationsfähigkeit
schwankende Bedürfnisse, Standard. des Wirtschaftssystems müssen sich ge-
Der Preis dafür ist in vielen Fällen aber Daten und ihre Verarbeitung werden in der gen andere Entwürfe behaupten – dem un-
eine noch stärkere Abhängigkeit von gro- Industrie mehr und mehr die Basis jedes gebremsten Datensammeln der großen
48 iX 12/2020
Agile Infrastruktur
Exzellenz in der Softwareentwicklung ist für tinuous Integration) vorangetrieben. Die Inte- zeitig eine höhere Geschwindigkeit und Flexi-
die Wettbewerbsfähigkeit der Industrie unab- gration erfolgt dabei auf einer Infrastruktur, die bilität bei geringerem Risiko erzielen.
dingbar. Die Vorgehensweise in der Software- sich komplett durch Software aufbauen und
entwicklung hat sich dabei in den letzten zwei steuern lässt (Infrastructure as Code oder auch Solches „Mit“-Entwickeln der Installation auf
Jahrzehnten zu agilen Methoden verschoben, agile Infrastruktur). automatisiert bereitgestellter Infrastruktur ver-
die in Kombination mit der Automatisierung wischt die Grenzen zwischen Entwicklungs-
von Test- und Betriebsprozessen einen deut- Die Integration der Komponenten auf eine voll- und Betriebsaufgaben, was eine enge Zusam-
lichen Produktivitätssprung ermöglicht haben. automatisch bereitgestellte – und anschließend menarbeit von Entwicklern und Admins bis hin
wieder aufgeräumte – virtuelle Infrastruktur zur Auflösung der Teamgrenzen nahelegt. Das
Modern arbeitende Teams schieben dabei die wird dabei mehrmals täglich mit der gleichen ist der Gedanke hinter DevOps. Auch IT-Sicher-
riskanten Integrationsschritte der verschiede- Automatisierung durchgeführt wie die (selte- heitsprozesse lassen sich in diese Strukturen
nen Komponenten nicht ans Ende des Entwick- ner erfolgende) Installation in die Produktions- einbinden, zum Beispiel durch Sicherheitstests
lungszyklus – vielmehr wird dieser von Anfang systeme (CD = Continuous Delivery). Wer hier als Teil der CI. Auf diese Weise bilden sich Dev-
an implementiert und kontinuierlich (CI = Con- eine gute Testabdeckung umsetzt, kann gleich- SecOps-Teams.
Plattformanbieter (mit kaum kontrollier- EU-Ländern getragene Projekt GAIA-X aufbauen. Jedoch sind diese Umgebungen
barem Zugriff durch Geheimdienste) wie (siehe Artikel auf Seite 45) hat das Ziel, nicht miteinander vernetzt und aufgrund
in den USA einerseits und dem staatlichen mittels Transparenz und Standards die der endlosen Anpassungsmöglichkeiten
Überwachungsmodell Chinas anderer- Souveränität über die Daten zu bewah- auch kaum zueinander kompatibel, der
seits. Ohne die Kontrolle über die eigenen ren oder überhaupt zu erlangen. Eine Markt ist stark fragmentiert.
Daten und die zugehörigen Systeme zur sichere und vernetzte Dateninfrastruktur
Datenverarbeitung wird das kaum zu er- soll den höchsten Ansprüchen an digitale
reichen sein. Dies ist der Kern der Diskus- Souveränität genügen und Innovationen Einen Standard setzen
sion über digitale Souveränität. fördern. In einem offenen und transpa-
Auf dem Digital-Gipfel des BMWi renten digitalen Ökosystem sollen Daten Für Nutzer, die nach einem Ausweg aus
wurde digitale Souveränität als „die und Dienste verfügbar gemacht, zusam- der starken Abhängigkeit von einem der
Fähigkeit zum selbstbestimmten Handeln mengeführt und vertrauensvoll geteilt großen Cloud-Anbieter suchen, ist die
und Entscheiden im digitalen Raum defi- werden können. Mit entsprechenden Stan- Alternative – eine ebenso starke Abhän-
niert. Sie umfasst zwingend die vollstän- dards wird es möglich, dass Daten und gigkeit von einem kleinen europäischen
dige Kontrolle über gespeicherte und ver- datenbasierte Anwendungen nicht mehr Anbieter – kein offensichtlicher Fort-
arbeitete Daten sowie die unabhängige von einem einzelnen Anbieter abhängig schritt. Kein Admin sollte sich dabei aber
Entscheidung darüber, wer darauf zugrei- sind. Vielmehr sollen Kunden den Anbie- der Illusion hingeben, der Betrieb einer
fen darf. Diese umfasst auch die Fähig- ter wechseln und auch Anwendungen aus hochdynamischen verteilten Umgebung
keit, technologische Komponenten und Bausteinen verschiedener Anbieter zu- wie einer Cloud-Infrastruktur sei einfach.
Systeme eigenständig zu entwickeln, zu sammensetzen können. Gerade kleinere Anbieter tun sich schwer,
verändern, zu kontrollieren und durch Aber Interoperabilität und Portabilität ein entsprechend qualifiziertes Betriebs-
andere Komponenten zu ergänzen.“ alleine sind noch kein Garant dafür, dass team aufzubauen und die richtige Kultur
ein lebendiges Ökosystem von kompati- und Prozesse zu entwickeln, um eine den
bler, moderner, agiler Infrastruktur in großen Anbietern vergleichbare Qualität
GAIA-X und Sovereign Europa entsteht (siehe Kasten „Agile liefern zu können.
Cloud Stack Infrastruktur“). Zwar gibt es viele kleine Sovereign Cloud Stack (SCS) will das
und mittelgroße Anbieter sowie interne Entstehen eines lebendigen Ökosystems
Das vom Ministerium initiierte und mitt- Cloud-Umgebungen in Unternehmen, die aus vernetzten, föderierbaren Infrastruk-
lerweile von Unternehmen, Forschungs- auf Open-Source-Software, typischer- turanbietern fördern, die gemeinsam in
einrichtungen und Institutionen aus weise OpenStack und Kubernetes, oder einem offenen Prozess die Standards, die
Deutschland, Frankreich und anderen proprietärer Software – häufig VMware – freie Software ebenso wie die Prozesse
und Werkzeuge für den Betrieb der Cloud-
Plattformen entwickeln, einem Commu-
-TRACT nityprojekt von GAIA-X. Eine Föderation
besteht dabei aus voneinander unabhän-
⚫ Der Markt für Cloud-Angebote jenseits der großen Plattformen aus den USA gigen Netzen, die beispielsweise „nur“
und China ist groß, aber zersplittert, und kann selten eine Alternative bieten. eine gemeinsame Authentifizierungsme-
⚫ Der Betrieb dynamischer verteilter Systeme wie einer Cloud-Umgebung ist thode benutzen. Die Infrastrukturanbieter
gerade für kleinere Anbieter und IT-Abteilungen nur schwer zu meistern. umfassen dabei nicht nur klassische
Anbieter öffentlicher Clouds, sondern
⚫ Das Projekt Sovereign Cloud Stack in GAIA-X will durch Vernetzung der Anbieter
können ebenso Rechenzentren für die öf-
eine offene, standardisierte Plattform mit dokumentierten Betriebsprozessen
fentliche Hand oder unternehmensinterne
schaffen und so eine souveräne, föderierte und interoperable Infrastruktur
IT-Abteilungen sein.
bereitstellen.
Aber auch Anwender mit sehr einge-
schränkten Nutzergruppen, denen die
iX 12/2020 49TITEL | CLOUD-ÖKOSYSTEM
Nutzerföderierung nicht nutzt, sollen da- fend oder per VZ definiert? Die gleiche rückwärtskompatibel weiterentwickelt,
von profitieren, eine Standardlösung ein- Frage stellt sich rund um den Begriff was Investitionen in Infrastruktur, Soft-
zusetzen. Netze. Was muss ein Entwickler beach- ware und Wissen schützt.
ten, der eine Anwendung so konzipieren Zweitens liefert SCS eine komplette mo-
will, dass sie den Tod einer VZ überlebt? dulare, offene Softwareumgebung. Eine
Standards, Auch in der Containerwelt finden sich lange Liste an SCS-Komponenten (siehe
Code und Ökosystem ähnliche Unklarheiten: Ist die Container- Abbildung! 1) stellt eine auf Standard-
orchestrierung durch Kubernetes noch hardware aufbauende, umfassende Cloud-
Das Sovereign-Cloud-Stack-Projekt (SCS) genau definiert, so fehlt es doch an Stan- und Containerinfrastruktur automatisch
will dreierlei liefern: Standards, Software dards zur Verwaltung der Kubernetes- bereit. Zu der gehören Betriebssystem, Vir-
und den Aufbau eines Ökosystems. Die Cluster. Die Kubernetes Cluster API wird tualisierung, Speichertechnik, Netzwerk,
Zersplitterung der verschiedenen kleinen nicht von vielen Anwendern eingesetzt, Datenbank auf Infrastrukturebene ebenso
Cloud-Plattformen hat sich für die Akzep- sie gilt als unzureichend und (noch) nicht wie die IaaS-Schicht (Infrastructure as a
tanz am Markt als fatal erwiesen. Es fehlt ausgereift. Und wie sind die SLAs zu Service), die Self-Service-Clusterverwal-
eine Standardisierung, die Softwareent- interpretieren? tung von Kubernetes-Containerinfrastruk-
wicklern, Nutzern und letztlich auch tur, ein Werkzeugkasten für die Container-
Betreibern gegenüber sicherstellt, dass nutzer zur Bereitstellung von Service
Software, Automatisierung, Wissen, Erfah- GAIA-X-Komponenten Meshes, Monitoring, Speicher- und Netz-
rung und Testergebnisse ohne nennens- werke aus der Infrastruktur sowie eine
werte Anpassung und doppelte Arbeit Ob die Standards eingehalten werden, vertrauenswürdige Container-Registry
übertragbar sind. Diese Standards zu schaf- muss durch automatisierte Tests überprüf- und Sicherheitsscans. Ebenso werden
fen, ist ein wichtiges Ziel von SCS. bar sein. Nutzern und Softwareentwick- Werkzeuge für den Betrieb installiert, die
Dabei existieren gerade im Bereich der lern gegenüber wird das dann durch ent- das Testen, die Lebenszyklusverwaltung
von SCS eingesetzten Technologien viele sprechende Zertifizierung zugesichert. (Installation, Updates und Dekomissio-
Standards. SCS will und wird diese nicht Neben für alle verpflichtenden Standards nierung), das Überwachen (Monitoring,
neu erfinden oder gar ersetzen, sondern (vor allem im Containerbereich) wird es Alerting, Trending), die Kapazitätspla-
die am besten passenden auswählen, kom- auch optionale Standards geben – hier kön- nung und die Fehlerdiagnose unterstüt-
binieren und ergänzen, wo es Lücken gibt. nen Anbieter entscheiden, ob sie entspre- zen. Und natürlich beherrscht es die Nut-
Als Beispiel sei OpenStack erwähnt, des- chende Dienste und Schnittstellen anbie- zerverwaltung und Nutzerföderierung mit
sen Trademark-Zertifizierung (DefCore) ten wollen. Wenn sie es tun, ist es aber externen Identitätsanbietern und Partnern
allerdings sehr viel Interpretationsspiel- zertifizierbar kompatibel machbar, was vor aus dem GAIA-X-Ökosystem.
raum lässt. So ist die Bedeutung von Ver- allem für die Schnittstellen auf IaaS-Ebene Plattformdienste (PaaS) als Bausteine
fügbarkeitszonen (VZ) dort nicht genau wie auch für Plattformdienste essenziell für Anwendungsentwickler sind geplant!–
spezifiziert: Ist Block Storage übergrei- ist. Die Standards werden behutsam und Datenbanken, Frameworks für Big Data und
Quelle: SCS
Ansible Terra- Rancher
form
optionales lokales Portal lokale Orchestrierungsdienste
O O O O
Daten- Cortex Nextcloud/
FaaS
bank ownCloud
R O O O S S R
Open
Policy Tensor- Cloud Open- olD SAML UCS
Flow Foundry Shift connect
Agent SCS Platform Services andere GAIA-X-Services
R R R (GAIA-X-Services via GAIA-X) (kompatibel mit GAIA-X Execution Layer) O
Cortex Tele- Zuul Keystone
metry
S S S S S
R R R Kuber- CSI CNI Helm Harbor R
Skydive Netdata Grafana netes Keycloak
S
R R R Container Layer Fire-
Mesh (Istio) & Proxy (Envoy) Kata
Prome- Ansible ELK (aaS or managed) cracker
theus
O O O O O O O S O O
S3
Nova Ironic Glance Barbican Cinder Karbor Swift Protocol
Neutron Octavia
Automatisierung
Continuous- R R R R R R R
Rados
Integration-Framework Linux KVM Libvirt Ceph Gateway
OvS OVN
Logging Node Wide
Monitoring Identity Access
Nutzungserfassung Compute (laaS) Storage (SDS) Network (SDN) Management
S SCS-Standard O optionaler Standard R Detail der Referenz-Implementierung (Kunde hat mehr Freiheitsgrade)
Die Architektur von SCS nutzt bewährte Open-Source-Kompontenten vom lokalen Portal bis zu den verschiedenen
Ebenen der Cloud-Infrastruktur (Abb. 1).
50 iX 12/2020TITEL | CLOUD-ÖKOSYSTEM
für künstliche Intelligenz sowie Function
as a Service sind hier die ersten Themen. Nur alter Wein ...?
Hier soll bewusst behutsam vorgegangen
werden und nur Basisdienste, die allgemein Auf den ersten Blick mag man glauben, dass Nutzerverwaltung und entsprechender Ver-
als Standard erwartet werden (etwa ein re- SCS nur wenig Neues bringt und eigentlich netzung. Die gleichzeitige Nutzung mehre-
lationaler Datenbankdienst), sollen mit in nichts anderes ist als eine integrierte Open- rer Anbieter wird für Nutzer angenehmer.
die SCS-Basis einfließen. Die Breite des Source-Distribution einiger Infrastrukturtech- – Die Herausforderungen eines professionel-
Angebots kommt durch ein Ökosystem von nologien wie Ceph Storage, OpenStack IaaS len Betriebs sind im Fokus von SCS. Dazu
Partnern zustande, die eigene innovative und einer Containerplattform mit entsprechen- gehören ein ständiger Testprozess (CI) beim
Dienste auf die Beine stellen, um sich von den Tools. Tatsächlich liefert SCS all dies, Infrastrukturanbieter, die Fähigkeit zu stän-
Konkurrenten zu unterscheiden. integriert und aus einem Guss, ein Ziel, das digen Updates sowie Werkzeuge zur Über-
die üblichen Distributionen nicht alle errei- wachung und Fehleranalyse.
chen. SCS setzt aber andere Schwerpunkte: – Die SCS-Anbieter müssen zum Erreichen
Offen in Lizenz, Entwicklung, höherer SCS-Zertifizierungsstufen Transpa-
Community und Design – Anders als eine klassische Distribution, renz über Betriebsprozesse herstellen. Dies
die dem Nutzer alle Freiheiten lässt, die ermöglicht einerseits Kunden den Einblick
Jede integrierte Software muss unter- Installation auf seine spezifischen Bedürf- und ist die Basis für ein hohes Vertrauen. Es
offenen Lizenzen bereitgestellt sein. Min- nisse zuzuschneiden, will SCS detaillierte erlaubt andererseits eine Zusammenarbeit
destanforderung ist dabei eine OSI-kom- Standards etablieren, die für den Nutzer ein beim Betrieb, sodass nicht jeder Anbieter
patible Lizenz. In der Cloud-Welt ist die viel besseres, zertifizierbares Kompatibili- hier alle Herausforderungen wieder neu
Apache-2-Lizenz sehr verbreitet, bei der tätsversprechen gewährleisten können. lösen muss. So entsteht ein wachsender
Nutzung von Projekten ist eine offene – Dank der kompatiblen Technik ergibt auch Kanon an Best Practices, auf dem alle auf-
Lizenz aber nicht ausreichend. SCS orien- die Föderierung zu einer gemeinsam nutz- bauen können, was die Qualität aller Anbie-
tiert sich an den vier Offenheiten, die sich baren Plattform Sinn – mit föderierbarer ter transparent macht und voranbringt.
in der Definition der Open Infrastructure
Community finden: offene Lizenzen, offene
Entwicklung, offene Community und offe-
nes Design. Darüber hinaus wird SCS Pro-
jekte bevorzugen, deren Reifegrad über- Projektorganisation
zeugt und die aktiv weiterentwickelt oder Das SCS-Projekt wurde im November 2019 im SCS sieht sich als zentrales Team in einer
zumindest gepflegt werden. Umkreis der Open Source Business Alliance – offenen Community – die Abstimmung
Auch SCS-Clouds werden Selbstbe- Bundesverband für digitale Souveränität e. V. erfolgt über Task-Boards, Mailinglisten und
schreibungen, wie sie GAIA-X erwartet, (OSB Alliance) initiiert. Nach Diskussionen wöchentliche Termine, in denen Sprintergeb-
bereitstellen. Darüber hinaus bringt die mit der zur gleichen Zeit entstehenden Agen- nisse bewertet werden, neue User Stories
Festlegung auf freie Software ein hohes tur für Sprunginnovationen (SPRIN-D), mit vorbereitet werden und die Planung des
Maß an Transparenz, was die Vertrauens- dem Ministerium für Wirtschaft und Energie nächsten Sprints stattfindet. Um das zen-
würdigkeit erhöht und die Nachvollzieh- (BMWi), diversen Teilnehmern von GAIA-X trale Team formte sich so ein regelmäßig
barkeit fördert. SCS wird – soweit mög- und schließlich dem Architekturboard von zuarbeitender Kern von mehr als einem
lich – keine Softwarekomponenten selbst GAIA-X ergab sich die heutige Arbeitsstruktur Dutzend Mitarbeitern aus interessierten
entwickeln. Die Entwicklungsarbeit fließt mit einem dreiköpfigen Team, gefördert aus Unternehmen.
in Automatisierung, Testabdeckung und Mitteln der SPRIN-D und mit breiter Unter-
durch aktive Mitarbeit zurück in offene stützung einer stetig wachsenden Zahl von Eine längerfristige öffentliche Förderung ist
Softwareprojekte, die in SCS zum Ein- Unternehmen (siehe Abbildung 5). Das Pro- angestrebt, auch um das zentrale, neutrale
satz kommen. jekt ist als Unterarbeitsgruppe in GAIA-X ein- Team mit dem Projekt wachsen zu lassen und
Drittens arbeitet SCS aktiv mit den gegliedert und bei der Weiterentwicklung von um Aufträge für Arbeiten vergeben zu kön-
SCS-Anbietern zusammen, indem es die GAIA-X als Arbeitspaket und als Community- nen, die sich aus dem Eigeninteresse einzel-
Kompatibilität prüft und zertifiziert, die projekt eingeordnet. Derzeit hat Gaia-X 13 Wor- ner Partner alleine nicht rechtfertigen lassen.
Vernetzung herstellt und die Nutzerföde- king Groups und drei Communityprojekte, ne- Langfristig denkt man zur Finanzierung der
rierung etabliert. Das macht es für die ben SCS beispielsweise auch die Federation zentralen Koordination über genossenschaft-
Endanwender möglich, ohne Technologie- Services. liche Strukturen oder eine Stiftung nach.
bruch viele Clouds föderiert, ohne große
Komplexität auch in Szenarien zu nut-
zen, wo eine der SCS-Clouds im eigenen Abbildung!2 zeigt das Ökosystem von schriebenen SCS-Standards und läuft
Rechenzentrum läuft. Das SCS-Projekt ist SCS. Nicht alle dort erwähnten Anbieter daher auf jeder zertifizierten SCS-Umge-
die neutrale Instanz, um eine gemeinsame offerieren Public Clouds; nicht alle bie- bung (3rd Party SaaS!1). Die andere nutzt
Wissensbasis und Inspiration zu Betriebs- ten die Schnittstellen auf IaaS-Ebene an, optionale Standards – auch sie ist porta-
themen und modernen Prozessen aufzu- auch die beiden optionalen PaaS-Kom- bel, aber nur über eine Untermenge von
bauen. Sicherheitszertifizierungen erfol- ponenten sind nicht überall vorhanden. SCS-Umgebungen (3rd Party SaaS!2).
gen in der Regel betreiberspezifisch durch Die Föderierung kann über Identity-Pro-
Dritte, SCS will dies durch entsprechen- vider erfolgen; eine Vernetzung wird vom
des Softwaredesign und dokumentierte Projekt!GAIA-X Interconnection!unter- Technische Umsetzung
Prozesse deutlich erleichtern und die stützt. Die Grafik skizziert zwei beispiel-
Zusammenarbeit zwischen Betreibern hafte Third-Party-SaaS-Anwendungen: In einem Workshop im Januar 2020 wurde
moderieren. Die eine nutzt ausschließlich die vorge- die grundlegende Architektur von Sove-
52 iX 12/2020TITEL | CLOUD-ÖKOSYSTEM
Quelle: SCS
Das Ökosystem eines Cloud-Service-Providers
Legende: Standard SCS
Dieses SaaS-Beispiel ist IAM API (M)
IDP1 IDP2 IDP3 KaaS API (M)
IDP
nicht kompatibel mit
jeder SCS-Installation
und erfordert weitere OpenStack APIs (O)
IaaS/SaaS-Integration. PaaS w / APIs (O)
User
VPN/Interconn
KaaS = Kubernetes as a Service
CSP = Cloud-Service-Provider
Cloud-Service-Provider Apps
rd
Party SaaS 1 rd
Party SaaS 2
Firewall/Proxy Firewall/Proxy
kompatibles IAM
Nicht-SCS-Ops
Nicht-SCS-Ops
Nicht-SCS-Ops
Nicht-
SCS-Ops
SCS-Ops
SCS-Ops
SCS Ops
GX-IAM
GX-IAM
GX-IAM
GX-IAM
GX-IAM
GX-IAM
SCS-KaaS SCS-KaaS SCS-KaaS SCS-KaaS SCS-KaaS SCS-KaaS SCS-KaaS
Nicht-SCS-IaaS/BM SCS-IaaS SCS-IaaS SCS-IaaS Nicht-SCS-IaaS Nicht-SCS-IaaS Nicht-SCS-IaaS
Firewall
Provider 1 (public): Provider 2 (public): Provider 3 Provider 4 (public): Provider 5 (public): Provider 6 (privat/Firma): Provider 7
(privat/Community): (Behörden/Militär):
benutzt existierendes Standard-SCS-Ops, Standard-SCS-Ops, Nicht-SCS-Ops, Firewall und Proxy für
Iaas und/oder Bare SCS-IaaS auch nach geschlossene Gruppe GX-IAM, SCS-KaaS, Nicht-SCS-IaaS, mehr Sicherheit, „Air-Gap“-geschützte
Metal, Iaas nicht nach außen, GX-IAM, mit limitierter SCS-IaaS, S3 GY-IAM, SCS-KaaS, eingeschränkte Systeme mit
außen, SCS-KaaS, S3, Useranzahl oder IDPs, PaaS 1 + 2 Föderation, eigenem kompatib-
Nicht-SCS-Ops, PaaS 1 + 2 Standard-SCS-Ops, Standard-SCS-Ops, len IaaS, KaaS und
kompatibles IAM, SCS-IaaS nicht nach GX-IAM, SCS-KaaS, Ops; GX-IAM, S3,
Standard-SCS-KaaS, außen, GX-IAM, SCS-IaaS (auch nach PaaS 2
S3, PaaS 2 SCS-KaaS, S3, PaaS 1 außen), S3, PaaS 1+2
Die Abbildung zeigt sieben unterschiedliche Einsatzszenarien für SCS mit Blockdiagrammen für die unterschiedlichen APIs (Farben
siehe Legende), die sie benutzen. Von links (Public Cloud) nach rechts (Hochsicherheits-Cloud) steigt dabei der Grad an Privatsphäre,
die militärisch-administrative Cloud ist nicht nach außen angebunden (Abb. 2).
reign Cloud Stack entwickelt, mit behut- rechts im Bild. In einem nächsten Schritt Föderierungsmechanismen auch im Open-
samer Weiterentwicklung ist zu rechnen. kommen als optionale Standards die Platt- Stack-Dienst Keystone direkt möglich,
Das SCS-Projekt nutzt den Open Source formdienste dazu. Auf der linken Seite aber die Flexibilität in SCS ist höher und
Infrastructure & Service Manager OSISM ist eine Untermenge der Werkzeuge skiz- erlaubt auch die Föderierung auf verschie-
und konnte dessen Hauptentwickler ziert, die dem Betriebsteam die Automa- denen Ebenen, nicht nur auf der durch
gewinnen. So stand ein bereits bei vielen tisierung und Überwachung der Plattform Keystone kontrollierten IaaS-Schicht.
Kunden erprobtes System zur Verfügung. erleichtern.
Konfiguration und Installation der Basis- Die Dienste sind alle in Container ver-
dienste, der Betriebswerkzeuge und der packt, die mittels Docker, demnächst Pod- SCS angetestet
IaaS-Schicht ließen sich einfach automa- man (siehe S. 101), verwaltet werden.
tisieren. Diese Kapselung erlaubt es, Lebenszyk- Auch ohne Containerschicht lässt sich SCS
Abbildung!1 und 2 zeigen einen vorläu- len der einzelnen Dienste unabhängig von- bereits testen. Für eine produktive Umge-
figen Blick auf die vielfältigen Komponen- einander zu gestalten und nebenwirkungs- bung sollte man den SCS-Stack auf echter
ten und die Architektur von SCS. Die grund- frei zu steuern. Auf dieser Ebene kommt Hardware betreiben. Die kleinste sinnvolle
legende Virtualisierung von Compute, Ansible zum Einsatz, SCS benutzt unter Umgebung umfasst drei hyperkonvergente
Storage und Netzwerk erfolgt mithilfe der anderem ceph-ansible und kolla-ansible. Maschinen mit kombinierten OpenStack-
bewährten Technologien KVM, Ceph und Auf die Orchestrierung durch Kubernetes Diensten, OpenStack Compute und Ceph
OVN, die Verwaltung der Infrastruktur- verzichtet man, die Vorteile rechtfertigen Storage plus einer separaten Maschine fürs
dienste über die zuständigen OpenStack- nach dem Urteil des Entwicklungsteams Management (Abbildung 3). Die Auto-
Komponenten. Die lassen sich standardi- nicht die zusätzliche Komplexität. Aller- matisierung der Installation erfolgt mit-
siert für Nutzer zur Verfügung stellen oder dings kann sich diese Bewertung in Zu- hilfe von MaaS (Metal as a Service). Das
nur intern von der darüberliegenden Con- kunft ändern. Inventory wird mittels Netbox verwaltet.
tainerschicht benutzen. Auf der Ebene Die für Kunden nutzbare Container- Alle Informationen werden dann Ansible
können Kunden per Selbstbedienung schicht ist noch nicht vollständig umge- zur Verfügung gestellt, um den restlichen
Kubernetes-Cluster provisionieren und setzt. Diese fertigzustellen, ist ein wichti- Prozess zu automatisieren.
verwalten. ges Ziel für die kommenden Monate. In Aber zum Testen und für Demos steht
Die Schnittstellen im Containerbereich Zusammenarbeit mit dem Identity-und- noch ein zweiter Weg zur Verfügung: SCS
sind vorgeschrieben, hier entsteht die Access-Management-Team aus dem lässt sich auch auf virtualisierter Hard-
Kompatibilität zwischen verschiedenen GAIA-X-Demonstrator hat SCS OSISM ware installieren. Dafür kommt Terraform
SCS-Umgebungen. Daneben ist die S3- um einen Keycloak-Container ergänzt. zum Einsatz – die Schritte mit MaaS und
Schnittstelle für Objektspeicher vorge- Dieser erlaubt Identitätsföderierung und Netbox werden also durch Terraform
schrieben, ebenso wie die Föderierungs- das Abbilden von Attributen auf Rollen ersetzt. Die Ansible-Automatisierung, die
möglichkeiten im Identity Management und Rechte. Zwar sind die grundlegenden anschließend übernimmt, bleibt gleich.
54 iX 12/2020TITEL | CLOUD-ÖKOSYSTEM
Das SCS-Projekt hat derzeit das Terra-
Quelle: SCS
form-Deployment auf OpenStack umge-
setzt. Somit kann man SCS, das ja Open-
Stack mitbringt, auch auf OpenStack Internet
selbst aufsetzen – bei aktivierter Nested
Virtualization überraschend benutzbar.
In SCS wird diese Art der Installation
auf virtueller Hardware „testbed“ genannt.
Der Code dafür ist ebenfalls auf GitHub Manager
verfügbar und gut dokumentiert. Dieser
Installationsweg ist für Tests und Demo- interne Netze
zwecke extrem nützlich. Im Rahmen der
automatischen Tests (CI) werden täglich
automatisierte SCS-Deployments erstellt
und durchgetestet.
Zum Ausprobieren nötig sind: Knoten 1 Knoten 2 Knoten 3
– API-Zugriff auf ein Projekt in einer
einigermaßen standardkonformen Open-
Stack-Cloud mithilfe von Kommando-
zeilenwerkzeugen. Die Quotas müssen Block-Storage
ausreichend groß sein – auf manchen
Clouds dürfte man sicher zunächst nicht
ausreichend Arbeitsspeicher haben
(siehe Kasten „Hardwareanforderun- Das minimale SCS-Set-up erfordert drei hyperkonvergente Knoten und ein
Managementsystem (Abb. 3).
gen“). Idealerweise erlaubt die Cloud
auch Nested Virtualization oder bringt
Bare Metal Flavors. Ohne geschachtelte terraform-provider-local sowie git und den Autor des Artikels kontaktieren. Im
Virtualisierung ist die Leistung in den optional sshuttle. Verzeichnis terraform des geklonten Git-
inneren VMs nur gering, da hier dann Grundsätzlich wäre über Terraform auch Hub-Repository testbed finden sich Da-
QEMU die vollständige Emulation der das Set-up auf einem großen einzelnen teien mit dem Namen environment-XXX.
virtuellen CPUs erledigt. Knoten (mittels terraform-provider- tfvars. Falls sich hier (noch) keine pas-
– Eine funktionierende Terraform-Instal- libvirt) oder auf anderen IaaS-Umge- sende Konfiguration findet, muss diese von
lation (0.12 oder neuer) inklusive bungen möglich. Umgesetzt wurde dies Hand erstellt werden. Dafür werden fol-
terraform-provider-openstack und in SCS noch nicht, Interessenten mögen gende Informationen benötigt:
Quelle: SCS
Netdata stellt das Verhalten der Systeme live und sehr anschaulich dar (Abb. 4).
56 iX 12/2020TITEL | CLOUD-ÖKOSYSTEM
– der Name der genutzten Cloud in cloud_ Für die Open Telekom Cloud muss der nenten lassen sich bei Bedarf durch Kom-
provider – dies sollte dem Namen in Tester die Namen der Netzwerkinterfaces mandos wie
clouds.yaml entsprechen; an die dortige Realität anpassen, die Boot- osism-kolla deploy heat,gnocchi, —
– der Flavor für die drei hyperkonvergen- strap-Skripte ändern und ein paar Spezi- ceilometer,aodh,panko,magnum, —
ten Knoten (mit mind. 30!GByte RAM) alitäten im Netzbereich berücksichtigen barbican,designate
und der Flavor für den Managementkno- (enable_snat).
ten in flavor_node undflavor_manager; Sobald das Deployment des Manager auf dem Management Knoten aktivieren.
– der Name des Ubuntu-18.04-Images in Node erfolgreich war, ist der Log-in dort Ein Teil der automatisierten CI-Tests
image; möglich (nach einem!make ENVIRONMENT=XXX von SCS ist RefStack, das die installierte
– der Name des öffentlichen OpenStack- ssh) und der Administrator kann selbst OpenStack-Umgebung über die API auf
Netzwerks (das man für die öffentlichen prüfen, welche Container laufen oder wel- Kompatibilität mit den Trademark-Richt-
Floating IPs nutzt) in!public; che Playbooks erneut anzustoßen sind. linien der Open Infrastructure Foundation
– die gewünschte Verfügbarkeitszone für Die Automatisierung ist unter /opt/ prüft. Von Hand können die Tests auf dem
Compute und Storage in availability_ configuration einfach einsehbar. Auf einer Managementknoten mit/opt/configuration/
zone und volume_availability_zone. standardkonformen Cloud wie der von contrib/refstack/refstack.sh gestartet wer-
– Falls auch das Netzwerk in Verfügbar- Citynetwork oder der von PlusServer für den. Ein weiterer nützlicher Test ist der
keitszonen aufgeteilt ist, gehört diese in GAIA-X bereitgestellten SCS-Entwick- openstack-health-monitor (ebenfalls im
network_availability_zone. Falls nicht, lungs-Cloud ist das nicht notwendig, auch Git-Repository).
muss man in neutron.tf alle!availability_ weil das Deployment hier kontinuierlich Wer für die Ressourcen in der Cloud
zone_hints auskommentieren. getestet wird. bezahlen muss, tut gut daran, am Ende wie-
Wenn das ausgefüllt ist, wird das Deploy- Zur Verwaltung stehen einige Web- der alles wegzuräumen – sonst kommen bei
ment mit oberflächen zur Verfügung, die nach ei- den üblichen Tarifen der Cloud-Anbieter
make ENVIRONMENT=XXX —
nem make ENVIRONMENT=XXX sshuttle vom schnell Tausende Euro pro Monat zusam-
deploy-openstack watch lokalen PC aus erreichbar sind, beispiels- men. Das Aufräumen erfolgt Makefile-
weise Cockpit, das Ceph-Dashboard, typisch mittels!make ENVIRONMENT=XXX clean,
gestartet. Nachdem Terrraform die Volumes, Zabbix, Netdata (Abbildung!4), Skydive was in einem!terraform destroy mündet.
Netze und VMs angelegt hat, startet dort (nach separatem Start), Patchman, Ki- Noch nicht fertig integriert in SCS ist
Ansible die Installation und Konfiguration bana oder auch Keycloak. Für Nutzer ist die Containerschicht. Aber grundlegend
aller Dienste. Das Watch Target beobach- das OpenStack-Dashboard Horizon ver- klar ist bereits, wie sie aussehen muss:
tet dies – nach einigen Minuten steht auf fügbar. Der Nutzer soll über standardisierte Schnitt-
dem Managementknoten auch ein ARA Für die ständige Überwachung kom- stellen einen oder mehrere Kubernetes-
(ARA Records Ansible) bereit, ein Report, men Tools wie Prometheus und seine Cluster bereitstellen und verwalten kön-
den man auf einer Weboberfläche beob- Werkzeuge zum Einsatz. Sie speichern nen, wobei Storage- und Netzwerkfähig-
achten kann. regelmäßig Maschinenwerte als Zeitse- keiten der darunterliegenden IaaS über die
Auf manchen OpenStack-Clouds gibt rien, bilden Trends und lösen bei Über- entsprechenden Adapter (CSI und CNI,
es jedoch Schwierigkeiten: Beim Cloud- schreitung von Schwellenwerten Alarme Cloud Storage und Cloud Networking Inter-
Anbieter OVH muss vRacks (private oder korrigierende Maßnahmen aus. face) verfügbar gemacht werden. Zu der
Netze) aktiviert sein und dann das Deploy- In der Grundkonfiguration von testbed Containerplattform gehören auch Werk-
ment mehrmals starten, weil die Netzres- sind nur die Kerndienste von OpenStack zeuge zur Bereitstellung von Proxys, einem
sourcen erst verzögert nutzbar werden. immer aktiv – andere OpenStack-Kompo- Service Mesh, einer Container-Registry,
Sicherheitsüberprüfungsdienste für Netz-
werk und Images sowie die Automatisie-
rung von Container-Deployments.
Mindestanforderungen an die SCS-Hardware
Die kleinste Testbed-Installation benötigt Sicherheitsgruppenregeln. SCS erstellt 6 Si- To-do: Containerschicht
überraschend wenig Ressourcen: cherheitsgruppen mit insgesamt knapp 40
– Die drei hyperkonvergenten Knoten verlan- Regeln. 90 GByte Blockspeicher stellen für
gen acht CPU-Kerne, 30 GByte Speicher, die Anbieter normalerweise keine Herausfor-
Während Kubernetes selbst sehr gut spe-
drei Festplatten größer als 10 GByte und derung dar.
zifiziert ist und sich bei den genannten
acht Netzwerke.
Tools Standards bilden, ist der erste Schritt,
– Die Managementknoten müssen mindes- Installationen auf echter Hardware verlangen die Clusterverwaltung, leider noch nicht
tens vier CPU-Kerne und 8 GByte Speicher für die CPUs und den Arbeitsspeicher der hy- durch umfassende und breit akzeptierte
enthalten. perkonvergenten Knoten mindestens das Vier- Standards möglich. Die Kubernetes Clus-
– Dazu kommen die Festplatten für das zu fache – wenn signifikante Last erwartet wird, ter API gilt hier als Kandidat, aber nach
bootende Betriebssystem. natürlich entsprechend mehr. Es bietet sich Auskunft von Projekten und Anbietern wie
dann auch der Einsatz von deutlich mehr Kno- SAP Gardener, Kubermatic und Rancher
Bei typischen Flavors ergibt das eine RAM- ten an. Der Managementknoten sollte mit dem ist der Reifegrad noch nicht hoch genug,
Quota von 104 GByte (4-mal 32 GByte plus 8), Gesamt-Set-up wachsen und muss für produk- sodass die Clusterverwaltung zwar cloud-
was bei einigen Cloud-Providern über den tive Umgebungen redundant ausgelegt wer- übergreifend, aber nicht herstellerübergrei-
standardmäßigen 50 oder 100 GByte liegt. den. Entsprechend viele Netzwerkkarten sind fend möglich ist.
Dazu kommen 28 vCPUs. Andere Provider notwendig für redundante (LACP-)Verbindun- Das ist ein Hemmschuh für das
begrenzen die Anzahl der Netze oder gar der gen zu mindestens sechs Netzen. SCS-Projekt. Das Ziel ist ja die Etablie-
rung von Standards, um eine Fragmen-
tierung zu vermeiden. Da ist es keine gute
58 iX 12/2020Mitmachen!
Sovereign Cloud Stack ist ein offenes Projekt.
Während es sich über jeden Benutzer freut, freut
es sich noch viel mehr über jeden, der auch mit-
arbeiten möchte. Momentan kommt die Mitar-
beit jenseits der existierenden Open-Source-Pro-
jekte zu einem großen Teil aus einer Handvoll
von Firmen, vielfach aus dem Kreis potenzieller
Cloud-Anbieter (Abbildung 5).
Die Gespräche mit Unternehmen aus dem pri-
vaten Sektor und auch mit IT-Betreibern für die
öffentliche Hand deuten darauf hin, dass die
Unterstützung weiter wächst und auch vielfäl-
tigere Interessen und Beiträge integrieren wird.
Eine stetig wachsende Zahl an IT-
Firmen, nicht nur aus der Open-Source-
oder Hostingbranche unterstützt das
SCS-Projekt (Abb. 5).
Option, mehrere alternative sich über- Das Clustermanagement für die Contai- unterstützen, insbesondere ARM und
lappende Schnittstellen zu implemen- nerumgebung ist also leider noch nicht stan- RISC-V bieten interessante Perspektiven.
tieren. Ebenso wenig ist es eine gute dardisiert in SCS. Dies nachzuholen ist eine Mehr und mehr Softwareentwickler
Option, eine der Lösungen zu unterstüt- der wichtigsten Aufgaben für die kommen- wollen fertige Bausteine nutzen. Diese las-
zen, weil das unter Umständen andere den Monate. Aber auch sonst herrscht im sen sich sehr komfortabel einsetzen, wenn
Anbieter ausschließt und die Gefahr mit SCS-Team kein Mangel an Themen. sie als Kubernetes-Operator bereitgestellt
sich bringt, dass die gewählte!nicht all- sind. Das SCS-Team wird mit Partnern
gemein akzeptiert wird. arbeiten, damit diese Bausteine gut! auf
Das SCS-Projekt hat erfolgreich drei Zukunft SCS funktionieren. Standardisierung und
der möglichen Lösungen –!Rancher, Ku- Lieferung als Teil der Plattform soll dabei
bermatic und SAP Gardener –!auf SCS Ein wesentliches Arbeitsfeld ist die Test- behutsam angegangen werden – insoweit
getestet und die automatisierte Umsetzung abdeckung. Das Ziel von SCS ist es, pro- sich hier klare, offene Standardlösungen
erkundet. Alle drei konnten erfolgreich im- duktive Umgebungen täglich updaten zu herausbilden.
plementiert werden, die Ergebnisse finden können, ohne damit für Kunden Risiken Die Architektur von SCS ist für die Nut-
sich ebenfalls auf GitHub. zu verursachen. Das ist nur möglich, wenn zung in Rechenzentren optimiert, also Um-
Diese Systeme haben alle den Vorteil, die Testabdeckung so gut ist, dass in den gebungen, auf denen viele verschiedene
dass sie das Clustermanagement über ver- kontinuierlichen Tests keine Probleme USER vielfältige Ressourcen nutzen, die
schiedene Cloud-Anbieter ermöglichen, durchrutschen. sicher voneinander getrennt und erfasst
seien es die großen amerikanischen Platt- Dass IT-Sicherheit eine entscheidende werden müssen. Für einheitliche Infrastruk-
formen, private oder öffentliche Open- Voraussetzung für Datensouveränität ist, turen, die von geschlossenen Anwender
Stack-basierte Clouds (darunter auch SCS) zeigt sich in vielerlei Aspekten in SCS. In genutzt werden, beispielsweise Edge-
oder direkt auf Hardware implementierte vielen Fällen muss dies aber noch durch Clouds, die nahe an Produktionssystemen
Kubernetes-Cluster. Momentan gibt es entsprechende Zertifizierungsverfahren Daten sammeln und verarbeiten, lässt sich
Diskussionen mit den Projekten, inwieweit bewiesen werden. Erste Vorbereitungen die Architektur vereinfachen. Der Adminis-
gemeinsam eine standardisierte Schnitt- dafür laufen. trator kann auf die Nutzungserfassung ver-
stelle weiterentwickelt und zur Reife Künstliche Intelligenz als wichtiges An- zichten, bei der Isolation Kompromisse ein-
gebracht werden kann. wendungsfeld und Treiber von Innovation gehen und die Virtualisierungsschicht
Wenn die Fortschritte hier zu lange auf spielt auch für SCS eine große Rolle. Die vereinfachen oder weglassen. (mfe@ix.de)
sich warten lassen, ist möglicherweise ein umfangreichen Berechnungen in diesem
Zwischenschritt notwendig: Mit dem Open- Bereich profitieren häufig von Beschleuni- Kurt Garloff
Stack Kubernetes Cluster API Provider gerhardware, seien es Tensorprozessoren
steht eine Umsetzung des vorläufigen von Grafikkarten, spezialisierte Koprozes- war bis Ende 2018 als Chefarchitekt für
gemeinsamen Standards bereit. Anders soren oder auch programmierbare FPGAs. den Aufbau und die Weiterentwicklung
als mit den genannten Produkten lassen Standardisierte Schnittstellen auf agiler der Open Telekom Cloud verantwortlich.
sich damit aber erst mal nur auf Open- Infrastruktur müssen diese Anforderungen Nach einem Jahr als Entwicklungsleiter
Stack-Umgebungen Kubernetes-Cluster verfügbar machen, auch die Bereitstellung für Cloud, Storage und Entwicklungs-
verwalten. Immerhin setzt aber auch VM- von Bare-Metal-Systemen über IaaS-Schnitt- IT bei SUSE widmet er sich jetzt voll der
ware auf kompatible Schnittstellen, auch stellen soll ermöglicht werden. Später will Leitung des GAIA-X-Community-Projekts
Microsoft arbeitet daran. SCS auch Architekturen jenseits von x86 Sovereign Cloud Stack.
iX 12/2020 59Sie können auch lesen
