Anforderungen von Cloudanwendungen an Netzwerke

Anforderungen von Cloudanwendungen an Netzwerke – ein Beispiel

05.01.2019 / Markus Schaub / Referent

aus Netzwerk Insider Ausgabe Januar 2019

IT-Clouds bestehen nicht aus Luft und Wasser, sondern aus Servern und Netzen. Doch kann man sich als Anwender die Frage stellen, ob man nicht auf das entsprechende Wissen über diese Basis-Bausteine verzichten kann, da doch alles vom Cloud-Provider gemanagt wird und somit Server-Administratoren und Netzwerker vom Planer bis zum Betreiber überflüssig werden. Und sicher: Kabelziehen und Karten oder Speichererweiterung in Servern einbauen braucht der Cloud-Nutzer selbst nicht mehr. Ebenso wenig muss man sich um die physikalische Infrastruktur innerhalb eines Cloud-Rechenzentrums kümmern. Trotzdem wird das Wissen um Netzwerkfunktionen und IT-Infrastrukturen weiterhin benötigt.

Aus welchen Elementen Cloud-Netze bestehen und wie skalierbare Anwendungen in der Cloud realisiert werden können, wurde bereits in anderen Insider-Artikeln behandelt. In diesem werden diese Elemente nun in einem fiktiven Beispiel zusammengeführt. Dabei soll exemplarisch aufgezeigt werde, warum auf das Wissen um IP-Netze keinesfalls verzichtet werden kann.

Die App

Bevor man Dienste und Infrastruktur eines Cloud-Anbieters anmietet bzw. zu nutzen beginnt, muss man natürlich zunächst einmal wissen, wofür man diese einsetzen will. In diesem fiktiven Beispiel soll es um ein Start-Up gehen, das mit einer App Furore machen will. Zum Jahresanfang bietet sich dafür eine „App der guten Vorsätze“ an. Man könnte sie auch „Speckweg App“ nennen, aber womöglich ist dieser Name schon geschützt. Auch wenn das Start-Up große Pläne hat, muss es schnell anfangen Geld zu verdienen und so startet man zunächst mit einer Funktion: einem Ernährungstagebuch. Davon gibt es zwar schon einige, aber dieses soll etwas Besonderes werden und sich von allen anderen absetzen. Warum? Betriebsgeheimnis! Wie bei Clouds üblich, sollen später dann weitere Funktionen nach und nach ergänzt werden, wenn sie fertig gestellt sind.

Die App umfasst zunächst folgende Funktionen:

Anmeldung des Users
Speichern persönlicher Kenndaten (Größe, Gewicht, Wohnort …)
Speichern dessen, was man isst
Datenbank mit allen Nahrungsmitteln und Convenience-Lebensmittel inkl. deren Nährwerten
Auswertung der Mahlzeiten (Kalorien, Nährwerte, Fette…)
Graphische Darstellung der Ernährungswerte

Da das kleine Unternehmen fest an seinen Erfolg glaubt, soll die Anwendung von vornherein so angelegt sein, dass sie für beliebige Nutzerzahlen skaliert. Außerdem ist geplant, die App weltweit zu vermarkten. Und selbstverständlich soll sie DSGVO-konform sein, d. h. Daten von Europäern bleiben in Europa. Da man nicht weiß, ob die DSGVO nicht Schule macht, sollen alle Daten eines Users soweit möglich in dessen Region gespeichert werden.

Konzept zu den Regionen

Alle großen Cloud-Anbieter haben Standorte in verschiedenen Regionen. Wenn man mit einer Anwendung online gehen will, muss man jedoch nicht zwingend alle Regionen abdecken. Jedoch gilt: je näher man am Nutzer ist, desto schneller ist die Anwendung. In dem Beispiel will man zunächst in Europa und in Australien starten, um möglichst weit voneinander entfernte Standorte zu haben. Da man jedoch auf einen durchschlagenden Erfolg hofft, sollte das IP-Konzept von vornherein darauf ausgelegt sein, um es später nicht ändern zu müssen.

IPv4 und IPv6 müssen dazu unterschiedlich betrachtet werden. Im Fall von IPv4 entscheidet man sich für das 10er Netz, was keine Schwierigkeiten bereitet, da man ja ein Start-Up ist.

Um ggf. später weitere Cloud-Provider nutzen zu können und zwischen den eigenen Cloud-Netzen die Kommunikation ohne umständliches NAT zu ermöglichen, verplant man nicht das gesamte 10er Netz, sondern nur einen Teilbereich davon. Im Beispiel hat man sich für eine 10er Bitmaske entschieden, so dass das 10er Netz in vier gleich große Teile aufgeteilt wird. Will man alle Cloud-Provider gleich behandeln, so kann man noch drei weitere mit IP-Adressen ausstatten.

Für die Regionen hat man sich für 12er Bitmasken entschieden. Es stehen also jeweils 16 Class-B-Netze für das IP-Design innerhalb einer Region zur Verfügung. Je eines dieser Class-B-Netze wird für die Virtual Private Clouds (VPC bei Amazon) bzw. virtuellen Netze (Azure) genutzt. So kann man pro Region 16 unabhängige, virtuelle Rechenzentren mit IP-Adressen ausstatten.

Um die Sache möglichst einfach zu halten, nutzt das Unternehmen für die Subnetze 24er Netze.

Dieses Design

bietet ausreichend Platz für künftiges Wachstum.
bietet die Möglichkeit mehrere virtuelle Netze in einer Region zu betreiben. So kann man bspw. die Entwicklung von den Produktivnetzen getrennt halten oder unterschiedliche, voneinander unabhängige Anwendungen betreiben, ohne dass diese sich in die Quere kommen können.
erlaubt die Kommunikation über die Grenzen der virtuellen Netze / VPCs und Regionen hinweg, ohne dass NAT genutzt werden muss. Vorausgesetzt man arbeitet mit Tunneltechniken, um die VPCs und Regionen miteinander zu verbinden.
erlaubt die Nutzung einfacher IP-Regeln bei Access-Listen oder auf Firewalls, um die Kommunikation zu erlauben bzw. zu unterbinden.

Für bereits existente Unternehmen ist das meist so einfach nicht möglich, da die privaten Netze bereits intern genutzt werden. In diesem Fall muss geschaut werden, wo noch ausreichend Adressräume frei sind. Die Grundprinzipien sollten jedoch analog zum Beispiel eingehalten werden.

Bei IPv6 funktioniert das etwas anders: statt mit Unique Local Addresses (ULAs) zu arbeiten, also dem Pendant zu dem privaten IPv4 Adressen, nutzt man öffentliche IP-Adressen, die einem die Cloud-Provider zur Verfügung stellen. Diese sind den IP-Regionen von V6 zugeordnet, d.h. bei europäischen Cloud Regionen kommen diese Adressen aus dem Bereich des RIPE bei australischen Cloud Regionen vom APNIC.

Die Cloud-Provider vergeben einen Bereich pro Virtuellem Netz / VPC (vgl. Abbildung 1)

Abbildung 1: Regionen-übergreifendes IPv4-Design

Verbindung der Cloud-Regionen

Nun ist damit zu rechnen, dass zwischen den Regionen Daten ausgetauscht werden müssen. Dafür stehen verschiedene Möglichkeiten zur Verfügung:

Internet
Natürlich kann das Internet genutzt werden, um die Daten zwischen den Regionen auszutauschen. Sollen jedoch auch sensible Daten ausgetauscht werden, ist diese Methode nicht zu empfehlen. Im Zweifelsfall sollte man also die Finger davonlassen. Jedoch gibt es durchaus Fälle, bei denen diese Variante die einfachste und kosteneffektivste ist.
Punkt-zu-Punkt-VPN
Zwischen zwei Standorten kann man ein Punkt-zu-Punkt-VPN aufsetzen. Dafür bieten die Cloud-Provider meist sogar verschiedene Möglichkeiten an, die man nutzen kann. Alternativ ist es auch möglich so eine Verbindung selbst aufzusetzen, indem man die entsprechende Software (Firewalls, VPN-Gateways…) auf virtuellen Maschinen in der Cloud konfiguriert oder diese vorkonfiguriert von den entsprechenden Herstellern im Marketplace des Cloud-Anbieters mietet. Der Nachteil ist in beiden Fällen, dass die Verwaltung von Punkt-zu-PunktVerbindungen schnell sehr unübersichtlich werden kann, wenn es viele „Punkte“ werden, die da miteinander verbunden werden sollen. Beim Eigenbetrieb kommt obendrauf noch der Aufwand, den man für Wartung und Pflege benötigt.
Punkt-zu-Mehrpunkt-Verbindungen
Unter dem Namen „Transit-Gateway“ vermarktet beispielsweise Amazon solch ein Produkt. Abbildung 3 zeigt, wie das für die Beispiel-App aussehen könnte: Da man hofft in Zukunft groß raus zu kommen, hat man sich für das Transit-Gateway entschieden. Zwar würde bei zwei Clouds eine Punkt-zu-Punkt-Lösung zunächst ausreichen, jedoch müsste man dann später auf die Mehrpunkt-Technik umsteigen, die Abbildung hat in Grau bereits die geplante Erweiterung für Nordamerika eingezeichnet.

Abbildung 2: IPv6-Design

Bei der Einrichtung der Transit-Gateways gibt man an, welche VPCs damit verbunden sind. So lernt das Transit Gateway alle Netze in allen Regionen kennen. Ein automatisches Routing zwischen den Regionen ist damit jedoch noch nicht verbunden. Auch die Routing-Tabellen innerhalb der VPCs müssen angepasst werden. Die Abbildung zeigt das beispielhaft für die Default-Route in Europa. Dabei ist zu beachten, dass Routing-Tabellen pro Subnet deklariert werden. Es ist also nicht nötig, dass jedes System aus jedem Subnet alle Systeme der anderen Clouds erreichen kann. Auch ohne Access-Listen kann das mittels Routing-Tabellen unterbunden werden. Dazu später mehr.

Bis hierher kann das Design im Grunde am grünen Tisch gemacht werden, ohne zuvor die Anwendung genau unter die Lupe zu nehmen. Das gilt allerdings nicht für alle weiteren Überlegungen, die man als Netzwerker beim Gang in die Cloud anstellen muss.

Eine Bemerkung noch zum Transit-Gateway: damit ist es nicht nur möglich, die VPCs desselben Cloud-Providers miteinander zu verknüpfen, es kann auch in Verbindung mit VPN-Gateways das eigene Rechenzentrum angebunden werden oder über Direct Connect eine Verbindung über einen Point of Presence (PoP) Provider, einen Rechenzentrumsprovider also, herstellen. Damit ist das Transit Gateway eine Variante, Clouds verschiedener Provider miteinander zu verknüpfen, sofern diese am selben PoP-Provider vertreten sind, auch dazu später mehr.

Verteilung der Daten

Nachdem die Netze nun geplant und die Regionen miteinander verbunden sind, müssen die Daten „verteilt“ werden. Dazu ein genauerer Blick auf die Art der Daten, die von der Anwendung genutzt werden. In Hinblick auf Schutzbedarf und DSGVO gibt es zwei Arten von Daten:

Personenbezogene Daten
Ob Username, Passwort, Gewicht oder Essgewohnheiten: all das wird als personenbezogene Daten gewertet und sollte somit zum einen gut geschützt und zum anderen gemäß der DSGVO behandelt werden. In unserem Beispiel bedeutet das, die Daten der europäischen User müssen in Europa bleiben. Aus Gründen einer guten Performance sollten jedoch auch die Daten der Australier in Australien verbleiben, da sonst die Laufzeiten zu hoch werden. Reist ein Europäer nach Australien, verbleiben seine Daten natürlich in Europa. Die Nutzung der App sollte jedoch weiterhin funktionieren.
Nicht-personenbezogene Daten, namentlich: Nahrungsmittel
Die verschiedenen Nahrungsmittel inkl. ihrer Nährwerte werden in einer Datenbank gespeichert. Sucht ein User nach Leberwurst, bekommt er verschiedene Produkte vorgeschlagen, von der Supermarkt-Wurst bis hin zu den Durchschnittswerten von Metzgerware.
Zusätzlich haben die User die Möglichkeit, Produkte selbst einzupflegen, wenn sie fehlen. Es ist offensichtlich, dass die Nährwerte von Nahrungsmitteln aus Sicht der DSGVO nicht relevant sind. Schützenswert sind sie höchstens dergestalt, dass ein Mitbewerber nicht die ganze Datenbank abgreifen kann, schließlich ist es sozusagen die Kernkompetenz der App. Hinzu kommt, dass die Lebensmitteldatenbank zwar oft abgefragt wird, aber seltener ergänzt wird. Aus diesen Gründen entscheidet man, diese Daten weltweit in den Cloud-Regionen zu verteilen. Das sichert eine schnelle Abfrage für die User und verstößt nicht gegen geltendes Recht.

Abbildung 3: Verknüpfung mehrerer Clouds mittels Transit Gateway

Um diese Bedingungen zu erfüllen, installiert man in jeder Region zwei unabhängige Datenbanken: eine mit den Lebensmitteln, eine mit den Userdaten. Die Userdatenbank enthält jeweils nur die User, die dieser Region zugeordnet sind. Wer das ist, wie man sicherstellt, dass Europäer immer in Europa registriert werden, auch wenn sie mit der Diät in Neuseeland beginnen und wie man Daten von einer Region in eine andere transferiert, sind Fragen, mit denen sich Softwaredesigner, -entwickler und Anwälte befassen dürfen. Neben anderen Sicherheitsvorkehrungen, die ebenfalls eher in der Softwareentwicklung und Passwort-Policy liegen, kann man aber auch Mechanismen der Netzwerktechnik anwenden, um die Daten zu schützen.

Dabei muss der Netzwerker jedoch wissen, welche Art von Daten wo gespeichert und von wo abgerufen werden können, bzw. von wo nicht. Im Beispiel gibt es die bereits beschriebenen zwei Arten von Daten, die unterschiedlich behandelt werden müssen:

Personenbezogene Daten
Diese müssen in der Region des Users verarbeitet werden. Entsprechend kann für die Datenbank, in der diese Daten liegen, eine Policy definiert werden, die den Zugriff auf die IP-Adressen der eigenen Region beschränkt. Produkte wären Security Group bei AWS oder Network Security Group (NSG) bei Azure. Weiß man genauer, welche Systeme Zugriff auf die Daten haben sollen, bzw. in welchen Subnetzen diese Systeme laufen, so kann man die Policy natürlich noch weiter einschränken, als das in Abbildung 4 dargestellt ist
Nicht-Personenbezogene Daten
Bei diesen müssen nicht nur die Systeme der eigenen Region Zugriff haben, sondern auch die in anderen Regionen, oder vielmehr muss eine Synchronisation der Daten möglich sein. Wie das konkret realisiert wird, ist außerhalb des Skopes dieses Artikels. Für die Access-Policy ist nur notwendig zu wissen, dass es möglich sein soll. D.h. eine so eng gefasste Access-Liste wie bei den personenbezogenen Daten ist nicht möglich, aber auch nicht nötig. Auch hier zeigt Abbildung 4 beispielhaft eine sehr lasche Policy, die selbstverständlich bei genauerem Wissen um die Systeme weiter eingeschränkt werden sollte.

In beiden Fällen ist zu beachten, dass die Access Policies nicht als Access-Listen an ein Netzwerk oder an einen Router gebunden werden, sondern an die Datenbank. Nutzt man die Datenbank als Dienst des Cloud Providers, so bietet dieser auch an, jede Datenbankinstanz mit einer eigenen Policy zu verknüpfen. Zumeist muss man das sogar beim Einrichten, auch wenn man dort dann eine Policy „permit all“ anlegen könnte.

Richtet man die Datenbanken hingegen auf selbst gemanagten Systemen ein, also bspw. in einer virtuellen Maschine, so ordnet man die Policies den VMs zu. In diesem Fall müssen sie natürlich um die Bedürfnisse der VMs erweitert werden, beispielsweise sollte es ermöglicht werden, das Betriebssystem zu warten und upzudaten.

Abbildung 4: Beispiel für Access Policies

Aufbau einer Cloud

Für die Anwendung selbst hat sich das kleine Start-Up für Container entschieden. Die Vorteile, die es sich davon verspricht sind:

Schnelle Entwicklungszyklen, da pro Container jeweils nur eine Funktion der Anwendung realisiert wird. So gibt es Container mit Skripten für die Eingabe der eigenen Daten, der verzehrten Lebensmittel und dem Einpflegen neuer Lebensmittel. Die unterschiedlichen Bereiche können dank der Container unabhängig voneinander weiterentwickelt werden.
Skalierbarkeit, da diese Funktionen unterschiedlich oft genutzt werden, können sie per Container gut unabhängig voneinander skaliert werden.
Die Nutzung eines entsprechenden Orchestrierungstools erlaubt es zudem, diese Skalierung zu automatisieren.
Einfache Integration neuer Funktionen: für die Zukunft sind weitere Funktionen geplant, wie die Ablage von Rezepten, Diskussionsforen oder Contest der Art, wer am schnellsten 5kg abgenommen hat. Diese neuen Funktionen können unabhängig von den bestehenden entwickelt werden.
Unabhängigkeit vom Cloud-Anbieter: will man später doch den Cloud-Anbieter wechseln, so hofft man, das dank der Container schnell tun zu können, da alle Cloud-Provider entsprechende Angebote haben.
Einhalten der DSGVO und anderer rechtlicher Rahmenbedingungen: bei Containern ist es möglich, Container-Images zu Tagen und Regeln für die Verteilung anzulegen. So ist es bspw. Möglich, ein Image als „EU-only“ zu tagen und eine Regel zu definieren, die besagt, dass dieses Image ausschließlich auf Hostsystemen laufen darf, die das Image „EU“ haben.Andererseits gibt es Container-Images, die man in allen Clouds einsetzen kann.

Es gibt noch weitere Vorteile von Containern in diesem Zusammenhang, ebenso zur Möglichkeit diese zu orchestrieren, also zu verteilen. Zur weiteren Lektüre sei der Netzwerk Insider vom Januar 2017 empfohlen.

Um Ausfallsicherheit und Skalierbarkeit möglichst zu gewährleiten, verteilt das Unternehmen die Container auf (mindestens) zwei Availability-Zonen pro Cloud. Pro Availability-Zone werden (mindestens) zwei Subnetze definiert: in dem einen sind die Webserver, bzw. die Container, die Webserver beinhalten, in dem jeweils anderen Subnetz sind die Container, die die Funktionen der Anwendung bereitstellen. Beispielsweise könnten in den Containern php installiert sein und die PHP-Skripte, die die eigentliche Anwendung zur Verfügung stellen. Die Datenbanken bekommen virtuelle Netzwerkverbindungen zu den Subnetzen, in denen die Anwendungscontainer laufen, nicht jedoch zu denen, in denen die Webserver positioniert sind. Für die Verteilung der Anfragen auf die Availability-Zonen nutzt man Loadbalancer-Dienste des Cloud-Providers. Auch hier kommen zwei zum Einsatz, je einer pro Availability-Zone, die Lastverteilung zwischen den Loadbalancern erfolgt mittels des DNS Dienstes des Providers. (Mehr zu der Skalierbarkeit mittels Loadbalancern im Netzwerk Insider vom August 2018). Die Auslastung der Webserver und Container-Hosts wird überwacht und automatisch werden bei Bedarf weitere hinzugenommen oder überflüssige heruntergefahren.

Die Aufgaben des Netzwerks bei diesem Design sind:

Aufsetzen des DNS
Hier muss man sich reinarbeiten. Das DNS der Cloud-Provider bietet deutlich mehr Möglichkeiten als viele es gewohnt sind. Es geht nicht nur um die reine Zuordnung von Name zu IP-Adresse und umgekehrt. Loadbalancing ist da noch fast das einfachste. Später wird noch eine weitere Anforderung beschrieben.
Konfiguration der Loadbalancer
Eine statische Konfiguration ist in dieser Umgebung nicht möglich. Da dynamisch Webserver hinzugeschaltet und heruntergefahren werden, muss eine Rückkopplung zwischen der Orchestrierungsebene der Container und den Loadbalancern konfiguriert werden.
Definition der Routing Tabellen im Virtuellen Router
Ein Baustein zur Absicherung der Anwendung in der Cloud ist es, die Anwendungsserver von außen nicht unmittelbar erreichbar zu machen. Das kann und sollte u.a. mittels den Routing-Tabellen geschehen. Für die Subnetze, in denen die Anwendungscontainer laufen, wird kein Default-Gateway ins Internet definiert, so dass diese nicht nach außen kommunizieren können.
Eine Alternative dazu wären reine „Egress-Gateways“. Das sind Router zum Internet, die zwar erlauben, dass ein Cloud-interner Host auf das Internet zugreift, den Verbindungaufbau vom Internet zum Cloud-internen Host jedoch unterbindet. Diese Variante bietet sich an, wenn Updates für die Hosts aus dem Internet gezogen werden.
Definition von Access-Listen
Neben der Absicherung durch die Routing Tabelle sollten auch Access-Listen genutzt werden. Um diese ordentlich aufsetzen zu können, muss der Netz- und Serveradministrator wissen, welche Container mit welchen anderen Containern kommunizieren und welche Ports dabei genutzt werden. Dasselbe gilt natürlich auch für den Zugriff auf die Datenbanken. Die Absicherung sollte dabei sowohl auf Netzebene erfolgen, wie bei einer klassischen Router-Access-Liste, wie auch pro Host/Container/Datenbank/… Hier funktionieren Access-Listen wie man es von IP-Tables her gewohnt ist.

Abbildung 5: Anwendungsdesign in einer Cloud

Weltweiter Cloud-Betrieb

Wird eine Anwendung wie im Beispiel in mehr als einer Region betrieben, so sollen Anfragen natürlich möglichst an die nächstliegende Cloud geroutet werden. Greift man aus Neuseeland auf die Daten zu, so sollen die Anfragen in die Cloud nach Australien geschickt werden, von Deutschland aus sollen sie zur Europäischen Cloud gehen.

Das wirft zwei Probleme aus Sicht der IT-Infrastruktur auf:

Die DNS-Antworten müssen sich in unterschiedlichen Regionen dieser Welt unterscheiden.
Nutzt ein Europäer die App in Indonesien, so verbindet sie sich mit den Anwendungsservern in Australien, die Daten müssen jedoch aus Europa bezogen werden.

Bereits im letzten Absatz wurde DNS genutzt, um das Loadbalancing für eine einzelne Cloud mit zwei oder mehr Availability-Zonen zu ermöglichen. Wie dort bereits geschrieben, bieten die Cloud-Provider für DNS jedoch weit mehr Möglichkeiten. Für das erste Problem ist „Geolocation-Routing“ das Zauberwort: der DNS-Dienst ermittelt anhand der IP-Adresse des anfragenden Systems, wo sich dieses (ungefähr) befindet, und gibt dann eine entsprechende Antwort. Erkennt das DNS also, dass die Anfrage aus Irland kommt, gibt es die IP-Adresse eines der europäischen Loadbalancer zurück, kommt die Frage aus Indonesien, wählt es einen australischen Loadbalancer.

Die beiden Beispiele (Lastverteilung und Geolocation-Routing) zeigen, dass es sich lohnt, sich mit dem DNS der Cloud-Provider intensiv zu beschäftigen. Neben der externen Kommunikation gibt es auch zahlreiche Cloud-interne Anwendungsfälle. Wer also glaubt, alles über DNS zu wissen, wird beim Einstieg in die Cloud noch jede Menge dazulernen können.

Zugriff von „Außerhalb“ der eigenen Region

Das zweite, eben angesprochene Zugriffsproblem, das es zu lösen gilt, ist das Routing von Usern, die sich außerhalb ihrer „normalen“ Region aufhalten. Also beispielsweise eines Iren, der gerade auf Tuvalu in der Südsee Urlaub macht. Seine Daten liegen innerhalb der EU und sollen möglichst auch nur dort verarbeitet werden.

Abbildung 6: Beispiel für ortsgebundene Datenverarbeitung

Um das Problem zu lösen, gibt es viele Möglichkeiten, die sich Softwaredesigner und -entwickler einfallen lassen können. Einige davon sind unabhängig vom Netzdesign, so könnten die Entwickler der App die Loadbalancer bspw. in der App hinterlegen. Dann aber würden sämtliche Datenströme im Beispiel rund um die Welt fließen, auch wenn das gar nicht nötig ist, weil bspw. nur die Lebensmitteldatenbank abgefragt wird.

Die Alternative ist, dass die App, wie eben geschildert, per DNS an das nächstgelegene Rechenzentrum geleitet wird. Nun müssen sich die Entwickler eine Lösung für die Weiterleitung der Anfragen und Antworten einfallen lassen, so dass die Datenhaltung und Verarbeitung dort geschieht, wo der User für gewöhnlich zu verorten ist, also für einen Europäer DSGVO-konform in Europa.

Die in Abbildung 6 dargestellte Struktur stellt nur eine von vielen Möglichkeiten dar: stellt die App eine Verbindung her, sendet sie eine Kennung, in welcher Region ihr Nutzer seine Daten speichert, daraufhin werden alle personenbezogenen Daten über einen Proxy geleitet, die das Transit-Gateway für die Weiterleitung in die Stammregion nutzt, dort werden die Daten verarbeitet und gespeichert, in unserem Beispiel wären das seine Essgewohnheit, aber auch die eigentliche Useranmeldung mit Username und Passwort. Die Anfragen an die Lebensmitteldatenbank jedoch und andere nicht-personenbezogenen Aktionen können von der lokal günstigeren Cloud abgewickelt werden.

Aus Sicht des Netzes benötigen wir an dieser Stelle eine Verbindung zwischen den Regionen. Diese haben wir jedoch bereits beim IP-Design durch das Transit Gateway sichergestellt. Des Weiteren müssen auch hier Routing-Tabellen und Access-Listen angelegt und gepflegt werden. Um dies ordentlich zu erledigen und nicht einfach allen Traffic zwischen den Regionen zu erlauben, ist es notwendig, dass sich die Netzwerkverantwortlichen mit der Anwendungsarchitektur vertraut machen, so dass sie wissen, welche Server/Container einer Region mit welchen der anderen kommunizieren. Einige der Automatismen, die von Cloud-Providern angeboten werden, sind regionsübergreifend nicht verfügbar: startet ein Container in Australien, so gibt es nicht zwingend einen Mechanismus, der das in Europa bekannt gibt, so dass Access-Listen automatisch angepasst werden. Hier ist man gut beraten, mit den Entwicklern und Severadministratoren zusammen ein Konzept zu erstellen, das auch bei hoher Dynamik einerseits die Kommunikation sicherstellt, andererseits nicht zu viel erlaubt, um eine möglichst hohe Sicherheit zu gewährleisten.

Erweiterung von Hardware (Serverless Architecture)

Als das Start-Up im Oktober online ging, um das Weihnachtsgeschäft mit zu nehmen, wäre ihm das beinahe zum Verhängnis geworden, denn niemand will Weihnachten Kalorien zählen. Kurz vor dem Konkurs kam jedoch Neujahr und damit die „Guten Vorsätze“. Wie in den Fitnessstudios so explodierten im Januar nicht nur die User- sondern auch die Abozahlen. Dank der gewissenhaften Planung der Architektur konnten die Userzahlen problemlos bewältigt werden. Nun ist genug Kapital da, das Geschäft auszubauen. Neben vielen Software-Erweiterungen, die man dank der Containerisierung einfach integrieren konnte, plante man neben der App auch eigene Hardware passend zum Produkt auf den Markt zu bringen. Da es bereits genügend Waagen mit WLAN gibt, entschied man sich stattdessen für Fahrradergometer, Laufbänder und Crosstrainer. Die Daten, Fortschritte und natürlich die verbrauchten Kalorien werden gleich nach dem Training hochgeladen und können mit der App ausgewertet werden.

Grundsätzlich könnte man diese neuen Geräte auch per Container in die Architektur einbinden. Aber das Start-Up ist noch jung und dynamisch, da will man auch anderes ausprobieren. Statt der Container nutzt man eine Serverless Architecture (vgl. Abbildung 7).

Abbildung 7: Serverless Architecture für Crosstrainer

Bei der „Serverless Architecture“ betreibt man die Container und Container-Hosts nicht mehr selbst. Stattdessen werden die Programme in eine Ausführungsschicht geladen. Bei Azure heißt diese Functions, bei AWS Lambda. Welche Skript- und/oder Programmiersprachen dafür zur Verfügung stehen, ist ebenso vom Cloud-Provider abhängig, wie die Trigger, die dazu führen, dass die Programme ausgeführt werden.

In unserem Beispiel könnte das so aussehen: Der Crosstrainer meldet den User über eine Authentifizierungsfunktion an, dazu kann das Start-Up natürlich dieselbe nutzen, die es bereits für die App nutzt. Dann sendet das Gerät die Daten per XMLHttp-Request an ein API-Gateway, dieses lädt die entsprechende Funktion aus der Ausführungsschicht, führt selbige aus und schreibt so beispielsweise die Daten in eine Datenbank, aus der die App diese wieder auslesen kann. Ebenso wäre es möglich, dass der Crosstrainer überprüft, ob es ein Software-Update gibt, wenn ja, lädt er es aus dem Cloud-Speicher herunter.

Auch das geht nicht, ohne den Netzwerktransport zu beachten: bislang hatte das Unternehmen den Zugriff auf die Datenbank so gestaltet, dass nur Container aus den Anwendungssubnetzen Zugriff hatten. Nun aber müssen auch Zugriffe aus der Ausführungsschicht der Serverless Architecture erlaubt werden. Der Netzwerkverantwortliche kommen somit nicht umhin, sich mit dieser soweit auseinander zu setzen, dass auch diese Zugriffe korrekt in die Access-Listen übernommen werden. Je nach Programmierung des Crosstrainers wird man auch weitere Routing-Tabellen und Access-Listen anpassen müssen, bspw. für den Authentifizierungsprozess.

Was noch auf den Netzwerker zukommen kann, wäre, ein Konzept für die weltweite Verteilung statischer Daten zu entwickeln. Bislang war die App sehr dynamisch, heißt, alles was nicht in der App selbst hinterlegt war, kam aus Datenbanken, nun aber müssen womöglich große Updatedateien weltweit verteilt werden. Grundsätzlich kann man die natürlich alle von einer oder zwei Region(en) aus verteilen, günstiger wäre es jedoch, wenn diese von Systemen möglichst nah am Kunden ausgeliefert werden. Die Lösung dafür ist alles andere als neu und heißt Content Delivery Network, kurz CDN. Cloud-Provider bieten selbstverständlich auch CDN-Lösungen an, die sich (relativ) nahtlos in das eigene Portfolio integrieren. Abbildung 8 zeigt das am Beispiel von HTTP bei AWS CloudFront.

Wie man an dem Beispiel bereits erkennt, gibt es neben einigen Sicherheitsoptionen auch hier wieder einige netzrelevante Konfigurationseinstellungen:

DNS einzusetzen
Diesmal um einen Alias für den Default-Namen zu definieren. Das ist insbesondere dann wichtig, wenn man mit eigenen Zertifikaten arbeiten möchte.
Access-Listen zu nutzen
Achtung: das sind keine IP-Access-Listen, sondern Regelwerke, die sich hier im Beispiel auf Webzugriffe beziehen, zum Beispiel das Verbot von Cross-Site-Skripting.
IPv6 zu enablen
Regionen dieser Welt auszuschließen oder IP-Adressen für den Zugriff zu sperren.

Abbildung 8: CDN am Beispiel von CloudFront

Multicloud

Irgendwann kann es einem passieren, dass man mit einem Cloud-Provider nicht mehr auskommt, sondern einen weiteren benötigt, weil man Dienste benötigt, die es nur bei einem anderen Provider gibt. Das Start-Up möchte beispielsweise, dass sowohl Alexa, wie auch Siri, Google und Cortana die Trainingsdaten und Diätrezepte vorlesen können. Das wäre mit einem Provider nicht ohne Weiteres möglich.

Das Beispielunternehmen hatte diesen Fall bei dem IP-Design bereits eingeplant, so dass private IPv4-Adressen für weitere Provider vorhanden sind. Bei den IPv6-Adressen gibt es ohnehin kein Problem, wenn diese vom Provider selbst kommen. Da man sich für die weltweite Vernetzung der Regionen für ein Transit-Gateway entschieden hat, kann man dieses nun auch für die Anbindung der anderen Provider nutzen (vgl. Abbildung 9: Anbindung eines weiteren Providers)

Das Transit-Gateway alleine reicht natürlich nicht, da daran nur virtuelle Netzwerke und Netzwerkfunktionen desselben Providers angeschlossen werden können. Typischerweise kommt bei Multi-Cloud-Lösungen ein Exchange-Provider zum Einsatz. Das sind Betreiber von Rechenzentren, in denen die unterschiedlichen Cloud-Provider vertreten sind. Mittels des Transit-Gateways kann man diese Zugangspunkte/-router beim Exchange-Provider ebenso in das eigene virtuelle Netz integrieren wie andere Cloud-Regionen. Im Beispiel von Abbildung 9 wird der Router in Cloud Cage 1 als Nexthop für die Netze beim zweiten Cloud Provider (10.128.0.0/12) im Transit Gateway angelegt. Routingtechnisch ist man jedoch erst fertig, sobald man die Netze der anderen Cloud Provider auch in den lokalen Routing-Tabellen der virtuellen Netze eingetragen hat. Ist das erledigt, können alle Regionen nun die Netze der anderen Clouds erreichen, vorausgesetzt auch dort sind die Routingeinträge gesetzt worden.

Abbildung 9: Multicloud mit Transit Gateway und Exchange Provider

Anschluss des eigenen Netzes an die Cloud

Das Transit-Gateway eignet sich auch, um das eigene Unternehmen an die Cloud anzubinden. Geht es „nur“ um minimalen Netzwerktraffic bspw. für die Wartung und Installation der Cloud-Systeme, kann dies mittels VPN-Gateway erfolgen. Über ein VPN-Gateway, das an ein Transit-Gateway gekoppelt ist, können alle angeschlossenen Virtuellen Netze überall auf der Welt routingtechnisch erreicht werden.

Geht es jedoch darum, größere Datenmengen oder gar das eigene Rechenzentrum mit der Cloud zu verbinden, kann man das wie im Beispiel mit dem zweiten Cloud-Provider über einen Exchange-Provider machen.

Fazit

Da Clouds aus vielen, miteinander vernetzen Diensten bestehen, ist es wenig verwunderlich, dass man das entsprechende Netzwerk-Knowhow haben muss, um Anwendungen innerhalb der Cloud betreiben zu können. Das gilt insbesondere bei der Umsetzung von Skalierbarkeit, Redundanz, Verfügbarkeit und Sicherheit. Einige dieser Aspekte müssen durch die Anwendungsdesigner und Entwickler realisiert werden. Dort dürfte es in vielen Fällen notwendig sein, das entsprechende Wissen erst noch aufzubauen.

Aber auch die Netzwerker müssen vieles neu lernen: wie dieses kleine, wenn auch fiktive Beispiel gezeigt hat, müssen sich die Netzwerkverantwortlichen intensiver mit den Anwendungen auseinandersetzen, die in der Cloud laufen, als bislang im eigenen Rechenzentrum. Dies gilt besonders dann, wenn Cloud-Dienste genutzt werden. Um die Kommunikation weder zu offen zu lassen noch zu sehr einzuschränken, muss man sich mit dem jeweiligen Dienst und dessen Anforderungen und Möglichkeiten auseinandersetzen.

Das Beispiel DNS hat gezeigt, dass auch bekannte Infrastrukturdienste bei Einsatz in und für die Cloud deutlich komplexer werden, als sie es bislang waren. Das gilt auch für andere Dienste, die in diesem Artikel gar nicht behandelt wurden, wie beispielsweise DHCP und NAT, welche bei der Autoskalierung von virtuellen Maschinen oder der Verteilung von Containern eine relevante Rolle spielen.

Wie das Beispiel ebenfalls aufgezeigt hat, sollte man den Gang in die Cloud gut planen, damit man nachher nicht genötigt ist, umzubauen. Das gilt besonders für die Skalierbarkeit und das IP-Design.

Anforderungen von Cloudanwendungen an Netzwerke – ein Beispiel

Kontakt

Services

Rechtliches

Anforderungen von Cloudanwendungen an Netzwerke – ein Beispiel

Teile diesen Eintrag

Kontakt

Services

Rechtliches