Komplexität der Cloud-Architektur auf dem Prüfstand

Wie Multi Cloud sicher und einfach sein kann

Isoliert betrachtet kann eine Cloud-Umgebung recht einfach erscheinen – ein Provider, eine Art von Server, ein Rechenzentrum, eine Steuerungsschnittstelle, ein Satz nativer Tools, eine Lernkurve.

Wenn man sich auf die Vernetzung konzentriert und die oberste Marketinglinse der Cloud-Service-Provider weglässt, bleiben die Konstrukte als Einzelteile eines großen Lego-Modells, das es zu bauen gilt. Jedes Konstrukt, wie z. B. ein Routeneintrag, eine Routentabelle, ein Subnetz, ein Internet-Gateway, ein NAT-Gateway, ein Transit-Gateway oder eine VNet-Route, UDR, Peering, Hub, VNG etc., all das sind einzelne, isolierte Inseln für sich, sozusagen die Lego-Teile. Wenn eines dieser Teile falsch konfiguriert ist, defekt ist oder sich falsch verhält, wird es sich nicht von selbst an den neuen Zustand anpassen. Verbraucher sind selbst dafür verantwortlich, all diese Teile richtig zusammenzusetzen. Wenn sich der Zustand eines dieser Teile ändert, müssen sie die Logik entwickeln, um auf mögliche neue Zustände zu reagieren.

Anzeige

Hammad Alam, VP of Solutions Architecture bei Aviatrix, erklärt, wie Multi Cloud sicher und einfach sein kann:

„Selbst wenn ein Unternehmen nur eine einzige Cloud nutzt, ist diese nie isoliert. Diese Cloud gilt es immer noch mit den Servern vor Ort zu verbinden, in das übrige Netzwerk zu integrieren und in die Sicherheitsrichtlinien einzubeziehen. Die Architektur wird immer komplexer, je mehr Server, Rechenzentren und Anwendungen man der Cloud hinzufügt. 

Irgendwann kommt der Tag, an dem man eine weitere Cloud hinzufügen muss, sei es zur Unterstützung eines neuen Kunden, eines übernommenen Unternehmens oder für eine bestimmte Anwendung. Das Ergebnis ist dann eine Multi-Cloud mit mehreren Providern mit verschiedenen nativen Tools, die über ein Gewirr von unkoordinierten und provisorischen Verbindungen miteinander und mit den alten On-Premises-Systemen verbunden sind. Willkommen in der komplizierten Welt der Cloud-Architektur.

Ein Überblick über die Komplexität der Cloud

Netzwerkarchitekten verstricken sich tagtäglich in dieser Komplexität. Ihre Zeit, ihr Aufwand und ihr Budget sind unverhältnismäßig stark gebunden durch die Navigation und Wartung vieler miteinander verbundener Netzwerkkomponenten. Im Folgenden sind einige Szenarien beschrieben, mit denen Unternehmen an einem typischen Tag konfrontiert werden könnten:

Der Überblick über das gesamte Netzwerk ist mühsam und begrenzt. Für jede Cloud-Umgebung gilt es sich bei einer separaten Konsole anzumelden. Administratoren können nicht sehen, wo sich all ihre Cloud-Workloads, externen Verbindungen und Sicherheitskontrollen zur gleichen Zeit befinden, sodass sie Dashboards manuell zusammenstellen und aktualisieren müssen. 

Ohne Daten über die Gesamtleistung des Netzwerks lässt sich nur schwer vorhersagen, woher das potenzielle Problem kommt und wo das nächste auftreten wird. Wo sind die Hotspots? Wie ist die Leistung der einzelnen Komponenten? Es ist nicht bekannt. Es geht jetzt um Latenzzeiten, die kein Problem darstellten, als alles noch auf ein On-Premises-Rechenzentrum beschränkt war. Jetzt sind die Latenzmetriken nicht sichtbar, geschweige denn ist ein Eingreifen möglich.

Die Änderungen, die durch das Wachstum aufgrund neuer Technologien oder Kunden verursacht werden, können leicht zu Störungen an anderer Stelle führen. Dann kostet es Zeit und Mühe, die Konflikte zu lösen. Es ist zum Beispiel sehr wahrscheinlich, dass neue Kunden oder Clouds, die von der Schatten-IT bereitgestellt werden, IP-Adressbereiche haben, die sich mit dem bestehenden Netzwerk überschneiden. Bitten Unternehmen dann den neuen Kunden, seine IP-Adressen zu ändern oder eine komplexe NAT-Konfiguration auf seinen Routern vorzunehmen? Oder erstellen sie Ihren eigenen IP-Adressierungsplan neu?

Unternehmen stoßen auf die von den Cloud-Anbietern eingeführten Netzwerkbeschränkungen. (Ja, das steht im Widerspruch zu ihren Versprechungen einer unendlichen Skalierbarkeit, die für Datenverarbeitungs- und Serviceangebote gelten, aber oft nicht für Netzwerkkonstruktionen.) Vielleicht erfahren sie, dass sie nur 20 Routen von ihrem Cloud-Netzwerk zu ihrem On-Premises-System ankündigen können. Die Anzahl der Routen in einer VPC-Routing-Tabelle kann auf 100 begrenzt sein. Wenn sie ein sehr großes Netzwerk haben, müssen sie ihre Architektur überarbeiten, um diese Einschränkungen zu berücksichtigen. Ganz zu schweigen davon, dass jeder Cloud-Anbieter andere Beschränkungen hat, so dass Unternehmen zuerst herausfinden müssen, welche das sind.

Wenn etwas schiefgeht und sie die Ursache des Problems ausfindig machen müssen, haben sie es schwer, von ihrem Cloud-Anbieter Hilfe zu bekommen. Die Provider sind schnell bereit, mit dem Finger auf die Kunden zu zeigen und darauf zu bestehen, dass ihr Dienst einwandfrei läuft, daher muss es an der eigenen Instanz liegen. Wenn der Kunde möchte, dass der Provider das Problem weiter untersucht, verlangt er eine Paketaufzeichnung der Instanz, um fortfahren zu können. Dann muss der Kunde einen Paketaufzeichnungsdienst einrichten und die Daumen drücken, dass dieser keine negativen Auswirkungen auf die Produktionsinstanz hat.

Das Risiko von Bedrohungen ist höher, weil der Internetzugang in der Cloud nur einen Sprung oder einen Schatten-IT-Klick entfernt ist. Unternehmen können alles durch eine aufgeschraubte Sicherheitslösung leiten, aber das beeinträchtigt die Leistung, und es ist schwierig, die Kontrolle und Einhaltung der Vorschriften sicherzustellen. Eine einzige unbefugte Änderung und schon ist man angreifbar.

Es gibt noch viele weitere operative „Day Two“-Herausforderungen, z. B. die Vergrößerung der Umgebung für bestimmte Anwendungen, die Aktualisierung von Funktionen auf die nächste Version, die Optimierung von Leistung und Zuverlässigkeit, die Durchführung von Audits zur Einhaltung von Vorschriften, der Abbau und die Bereinigung stillgelegter Umgebungen, das Testen und die Kostenüberwachung etc. Dies bedeutet Komplexität auf Schritt und Tritt.

Die Leichtigkeit und Einfachheit einer Cloud-Netzwerkplattform

Ebenso ist es möglich, dass ein Unternehmen eine moderne Cloud-Netzwerkplattform einsetzt. Es gibt dann immer noch mehrere Clouds, Rechenzentren, Server, On-Premises-Umgebungen und Anwendungen. Das Unternehmen hat dann aber einen umfassenden, zentralen Überblick über sein gesamtes Netzwerk. Hierfür steht eine Konsole bereit, mit der sich alles an einem Ort sehen und konfigurieren lässt. Administratoren wissen, was alles hochgefahren wird und wie es mit allem anderen zusammenhängt. Sie haben Einblick in ihre Latenzzahlen und wissen, was sie bedeuten, sodass sie entsprechend reagieren können. 

Netzwerkeinschränkungen durch Cloud-Anbieter entfallen, da die Cloud-Netzwerkplattform die Kontrolle hat und Tausende von Routen unterstützen kann. Wenn jemand um eine Änderung oder Ergänzung bittet, können die Administratoren sagen: „Ja, wir werden das bis morgen erledigt haben“, anstatt „Ich weiß es nicht. Lassen Sie mich das recherchieren. Das wird einige Zeit dauern.“ Sich überschneidende IP-Adressen? Das gibt es nicht mehr. Benutzer können einfach ein virtuelles Subnetz definieren, das sich nicht mit bestehenden Subnetzen überschneidet, und ihre Gateways führen die Netzwerkadressübersetzung durch, um sie problemlos miteinander zu verbinden.

Ist eine Paketerfassung nötig? Sie ist im Handumdrehen aktiviert, um sie an den Cloud-Support-Ingenieur zu senden, um viel schneller eine Lösung für den speziellen Fall zu erhalten. Die Erkennung und Beseitigung von Bedrohungen ist in die Netzwerkstruktur eingebettet. Unternehmen sind nicht auf Sicherheitslösungen angewiesen, die stückweise oder am Netzwerk-Edge hinzugefügt werden, denn die Sicherheit ist in jeden einzelnen Hop integriert. Und dies sind nur einige Möglichkeiten, um den „Day Two“-Betrieb zu vereinfachen.

Hammad Alam

Aviatrix -

VP of Solutions Architecture

Artikel zu diesem Thema

.

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.