Mal schnell in die Cloud - Trivadis

Amazon Virutal Private Cloud Enterprise-Architektur
Amazon Virtual Private Cloud (Beta)
Mal schnell in
die Cloud
Jedes Unternehmen hat häufig die gleichen Herausforderungen im Infrastrukturbereich:
kurzfristige und flexible Beschaffung von Ressourcen. Die Amazon Virtual Private
Cloud (VPC) bietet einen abgeschlossenen Bereich, der sich transparent an das
eigene Netzwerk anbinden lässt. Inwieweit kann die VPC im Infrastrukturbereich eine
Alternative oder eine gute Ergänzung sein?
von Martin Schmitter
Dieser Artikel gibt eine Übersicht sowie eine Bewertung
zum aktuellen Stand des Amazon-Produkts. Was wird in
der VPC geboten und wie kann man es nutzen? Welche
Chancen, Risiken und Bedenken gibt es und was können
wir von den neuen Funktionen erwarten?
Übersicht
Jeder IT-Verantwortliche kennt folgende Situation: Im
Rahmen eines Projekts gibt es die kurzfristige Anforderung,
ein System bereitzustellen. Einerseits haben die
Herausforderungen der notwendigen Infrastrukturbeschaffung
einen unterschiedlichen Komplexitätsgrad, andererseits
wird das Wettrennen um Budget, Kostenstellen
und Liefertermine dabei zunehmend zur Belastung. So
kommt es vor, dass Projekte mehrere Monate auf Eis liegen,
weil die Fachabteilungen auf die benötigte Hardware
und die Systeme warten. Selbst kleinste Unternehmen
haben daher Virtualisierungslösungen für sich entdeckt.
Die Ressourcen können flexibel genutzt und bei Bedarf
einfach erweitert werden. Mittelstands- und Großunternehmen
gehen immer mehr dazu über, Rechenzentren
komplett mit Virtualisierungslösungen zu betreiben
(Cloud Computing). Systeme können so mit einfachen
Mitteln standarisiert und innerhalb kürzester Zeit in
Betrieb genommen werden. Limitierende Faktoren sind
lediglich die (Bestell-)Prozesse im eigenen Unternehmen
sowie die Endlichkeit der vorhandenen Ressourcen.
Doch Virtualisierungslösungen bieten nicht nur Vorteile.
Aufgrund der Konzentration von Systemen wirkt
sich ein Ausfall der Hardware oder Virtualisierungsschicht
im schlimmsten Fall auf alle Systeme aus und
kann somit bedrohlich für das gesamte Unternehmen
werden. Die Anforderung an die Hardware und das
Know-how der Systemadministratoren steigt daher
deutlich. Die erforderlichen Anfangsinvestitionen schrecken
kleine und mittelständische Firmen oft ab. Für die
betreffenden Unternehmen ist es daher eine gute Lösung,
den Betrieb an externe Dienstleister zu vergeben.
Diese können je nach Angebot den Betrieb der benötigten
Infrastruktur, die ganze Plattform oder sogar die
Software übernehmen. Aufgrund der Spezialisierung
und des Volumens kommt es bei den externen Anbietern
zu Skalierungseffekten, die für die Kunden große
Vorteile bieten können. Aufgrund der Masse kann der
Anbieter günstigere Einkaufskonditionen erzielen und
weitergeben. Seine Mitarbeiter können sich auf die Betriebsaufgaben
konzentrieren. Die Wahrnehmung bei
Herstellern ist deutlich größer und Supportabläufe sind
besser trainiert. In Klein- und Mittelstandsunternehmen
sind Systemadministratoren in der Regel für eine Vielzahl
von Aufgaben verantwortlich und können nicht die
gleiche Sorgfalt an den Tag legen.
Für alle Unternehmensarten ist der größte Vorteil,
dass Ressourcen nur bei Bedarf bestellt werden können.
Sollen z. B. Mitarbeiter- oder Kundenschulungen durchgeführt
werden, wird niemand gerne in Hardware investieren,
um die Systeme für nur eine Woche zu nutzen. Es
gibt bereits mehrere Anbieter, die sich auf dieses Thema
spezialisiert haben. In einem „Pay as you use“-Model
werden virtuelle Instanzen nach Bedarf bereitgestellt
und abgerechnet. Über verschiedene Werkzeuge kann
der Kunde selbständig Instanzen erzeugen und parametrisieren.
Diese werden nach verschiedenen Parametern
wie CPUs, Auslastung, I/Os und verwendeten RAM
abgerechnet. Nachteilig ist bei den Public-Cloud-Angeboten,
dass die Kommunikation über das öffentliche
Internet erfolgt und im schlechtesten Fall unverschlüsselt
abläuft. Gemietete Instanzen sind also von überall
www.entwickler-magazin.de Entwickler Magazin 2.2011
103

Enterprise-Architektur
Abb. 1:
Infrastrukturressourcen
in
der Public
Cloud [1]
104
erreichbar und somit allen Gefahren des Internets ausgesetzt.
Um Unsicherheiten aus dem Weg zu gehen, wurde
von Amazon die so genannte Virtual Private Cloud
entwickelt.
Virtual Private Cloud oder der virtuelle Serverraum?
Amazon als Cloud-Produktanbieter entwickelt zurzeit
die Virtual Private Cloud (VPC). Der oben angesprochene
Nachteil einer Public Cloud kann damit hervorragend
Abb. 2: Management-Console [1]
Amazon Virutal Private Cloud
gelöst werden. Das Produkt befindet sich zurzeit jedoch
noch im Betastatus und unterliegt daher noch einigen
Einschränkungen. Die finale Version wird jedoch voraussichtlich
in Kürze verfügbar sein. Die grundlegende
Idee hinter einer VPC ist der Aufbau einer abgesicherten
Verbindung zwischen Kundenstandort und einem isolierten
virtuellen Raum in der Amazon Cloud. Die Verbindung
zu den virtuellen Instanzen erfolgt daher nicht
mehr direkt über das offene Netz, sondern über eine ver-
Entwickler Magazin 2.2011 www.entwickler-magazin.de

Amazon Virutal Private Cloud Enterprise-Architektur
Abb. 3: Firefox-Plug-in Elastic Fox [1]
schlüsselte Verbindung. Somit sind die Instanzen in der
Cloud von außen nicht erreichbar. Am eigenen Gateway
können individuelle Sicherheitsregeln und Einstellungen
vorgenommen werden. Grundsätzlich handelt es sich
zwar um eine bereits bekannte Technologie, jedoch mit
einer entscheidenden Neuerung: Es besteht die Möglichkeit,
in einem isolierten Raum selbständig eigene Netzwerksegmente
zu erzeugen und zu verwalten.
In der Virtual Privat Cloud (VPC) können alle privaten
IP-Netzwerkadressen verwendet werden. Da aber
mittels dem Routing-Protokoll BGP (Border Gateway
Protocol) ein dynamisches Routing etabliert wird, sollte
man genau analysieren, wie die eigene Netzwerkinfrastruktur
aussieht, um möglichen Problemen aus dem
Weg zu gehen. Verwendet man ein Netzwerksegment,
das in dem eigenen Netz schon vorhanden ist, kommt es
zu einem Routing-Konflikt. Bei statischen Routen kann
man in der Regel schnell anhand der Konfiguration erkennen,
ob Netzwerkadressen bereits verwendet werden.
Bei einem dynamischen Routing-Protokoll ist das
nicht auf den ersten Blick ersichtlich. Hier gilt es daher,
besonders sorgfältig zu arbeiten.
Die Virtual Private Cloud kann transparent an die
eigene Infrastruktur angebunden werden, ohne dass
diese für den Anwender im Unternehmen ersichtlich ist.
Hat man diese fertig eingerichtet und alle notwendigen
Netzwerksegmente konfiguriert, kann damit begonnen
werden, die benötigten Amazon-Ressourcen zuzuordnen.
Virtuelle Instanzen und virtuelle Disks stehen in der
VPC genauso zu Verfügung, wie in dem Public Cloud
Angebot (z. B. EC2 und S3) von Amazon. Damit hat
man nahezu unbegrenzte Infrastrukturressourcen zur
Verfügung (Abb. 1).
Limitierung
Natürlich gibt es in einem Gebilde wie der Amazon
Virtual Private Cloud auch technologiebedingte Einschränkungen,
die jedoch auch auf den derzeitigen
Entwicklungsstand zurückzuführen sind. Im Folgenden
werden die wichtigsten Einschränkungen vorgestellt.
Grundsätzliche Limitierungen:
• Es kann nur ein einziger IP-Bereich für die VPC vergeben
werden. Die VPC wird als Container mittels
einer IP Range definiert. Das kann maximal eine private
/16-Netzwerkadresse sein. Innerhalb dieser Range
können dann 1 bis 20 Segmente gebildet werden.
Wird die VPC z. B. mit der Range 172.16.0.0/16 angelegt,
können die Segmente u. a. 172.16.1.0/24 und
172.16.2.0/24 sein. Segmente außerhalb der definierten
Range sind nicht möglich.
• Ist einmal eine VPC oder ein Subnetz angelegt, kann
man den IP Range nicht mehr ändern.
• Amazon betreibt weltweit Rechenzentren in unterschiedlichen
Regionen. Eine VPC kann nur innerhalb
einer einzigen Region betrieben werden.
• Es ist nicht möglich, direkt aus der VPC auf das Internet
zuzugreifen. Ein Zugriff ist nur über den Umweg
über das eigene Default Gateway möglich. Es gibt jedoch
bereits die Anforderung, das zu ändern. Seitens
Amazon wurde hierzu bereits die Bereitschaft dazu
signalisiert.
• Es gibt keine direkte Verbindung aus der VPC zu AWS-
Ressourcen in der Public Cloud. Der einzig mögliche
Weg führt auch hier über das Default Gateway.
• Broadcast und Multicast zwischen den Netzwerken
können nicht verwendet werden.
• NAT für Instanzen innerhalb der VPC wird nicht unterstützt.
Es ist jedoch anzunehmen, dass diese Funktionalität
nachgereicht wird, sobald es auch möglich ist,
aus der VPC eine direkte Verbindung in das öffentliche
Netz herzustellen.
Limitierungen in der Betaphase: Wie bereits erwähnt,
limitiert Amazon innerhalb der Betaphase die Virtual
Private Cloud in folgenden Punkten:
www.entwickler-magazin.de Entwickler Magazin 2.2011
105

Enterprise-Architektur
106
• Es kann nur eine Virtual Private Cloud pro Useraccount
erzeugt werden
• Die Anzahl der Subnetze innerhalb der VPC sind auf
20 beschränkt
• Es ist nur ein VPN Gateway pro AWS-Account möglich
• Eine VPN-Verbindung pro VPN Gateway
• Ein Kunden-Gateway pro AWS-Account
Hier ist die klare Absicht erkennbar, dass Amazon eine
Migration bestehender Infrastrukturen verhindern will.
Grund: Während der Betaphase soll die neue VPC lediglich
Demonstrationszwecken dienen und noch nicht
produktiv eingesetzt werden.
Tools
Amazon stellt für die Administration der VPC ein kommandozeilenbasiertes
API, eine webbasierende Managementoberfläche
und ein Firefox-Plug-in bereit.
Amazon-EC2-API-Tools: Für das Management der
VPC stellt Amazon ein API zur Verfügung. Mittels diesem
lässt sich die VPC auf Kommandozeilenbasis steuern.
Anhand des folgenden Beispiels werden die verfügbaren
Rechenzentren in der Amazon Cloud abgefragt:
PROMPT> ec2-describe-regions
REGION eu-west-1 ec2.eu-west-1.amazonaws.com
REGION us-east-1 ec2.us-east-1.amazonaws.com
REGION us-west-1 ec2.us-west-1.amazonaws.com
Das API ist für Windows und Linux verfügbar [2].
Amazon Management Console: Die Amazon Console
ist ein Web Frontend, mit dem man nicht nur die Virtual
Private Cloud administrieren kann. Auch alle anderen
Funktionen wie Amazon EC2 und S3 lassen sich konfigurieren
und steuern. Darüber hinaus erhält man Informationen
zur Verfügbarkeit und Status.
Elastic Fox: Eines der ersten AWS-Tools ist das
Firefox-Plug-in „Elastic Fox“. Damit kann die Steuerung
der Cloud direkt mittels Browser vorgenommen
werden. Zudem gibt es das „S3 Organiser“-Plug-in. Damit
lässt sich wie bei einem FTP-Client das Amazon S3
Storage auf einfachste Art und Weise steuern.
Was wird gebraucht?
Grundsätzlich benötigt man für das Anlegen eines
Useraccounts eine Kreditkarte, worüber Amazon die
Dienstleistungen detailliert abrechnet. Dass dieser Um-
Datenmenge Preis
Erste 1 GB pro Monat 0,00 US-Dollar pro GB
Bis zu 10 TB pro Monat 0,15 US-Dollar pro GB
Nächste 40 TB pro Monat 0,11 US-Dollar pro GB
Nächste 100 TB pro Monat 0,09 US-Dollar pro GB
Über 150 TB pro Monat 0,08 US-Dollar pro GB
Tabelle 1: Preise für die VPN-Datenübertragung in der VPC
Amazon Virutal Private Cloud
stand in einigen Unternehmen ein fast unüberwindbares
Hindernis darstellt, will man heutzutage fast nicht
glauben. Tatsächlich ist diese Zahlungsart für manche
IT-Entscheider schon ein Hinderungsgrund. Ist die erste
Herausforderung gemeistert, folgt bereits die nächste:
Für die Etablierung des VPN-Tunnels werden von Amazon
zwei statische und öffentliche IP-Adressen gefordert.
Die Begründung dafür ist recht einfach. Wenn alle Server
in der VPC stehen und der Tunnel ausfällt, kommt
es schnell zu Problemen. Daher werden grundsätzlich
zwei VPN-Tunnel erstellt. Mit dieser Redundanz soll
eine bessere Verfügbarkeit sichergestellt werden. Über
ein dynamisches Routing könnte man die beiden Tunnel
beispielweise von zwei unterschiedlichen Unternehmensstandorten
aus betreiben.
An das VPN Gateway wird im Wesentlichen die Anforderung
gestellt, das BGP-Protokoll zu unterstützen.
Amazon bietet Konfigurationsbeispiele für Cisco-, Juniper-
und Software-Router. Als Alternative zur teuren
Hardware gibt es diverse Open-Source-Router-Initiativen
mit BGP-Unterstützung. Teilweise sind diese sogar
als fertige Images für virtuelle Maschinen zu bekommen.
Auch wenn BGP für viele eine Einstiegshürde an
Budget und Know-how darstellt, schafft es am meisten
Flexibilität und Gestaltungsspielraum. Für den Heimanwender
oder das Labor zuhause gestaltet es sich aber
eher schwierig, die VPC zu nutzen. Für die Konfiguration
und das Management der VPC werden die bereits
genannten Tools (Amazon EC2 API, Amazon AWS Management
Console oder ElasticFox) benötigt.
Security
Bei der Entscheidung, Daten in die Cloud zu bringen,
werden Anwender zwangsläufig zu einer Diskussion über
Daten- und Informationssicherheit kommen. Amazon
bietet eine Reihe von Maßnahmen, um das Vertrauen
künftiger Nutzer zu erlangen. Das beginnt mit einer verschlüsselten
Kommunikation mittels X509-Zertifikaten.
Darüber hinaus erhalten Kunden die Möglichkeit, ihre
Sicherheitsvorgaben und -regeln weitestgehend nach eigenen
Vorstellungen auszurollen. Sie haben innerhalb
der VPC die Kontrolle über beide Seiten des Gateways
und können Firewall-Access-Listen selbständig definieren
und pflegen.
Show Stopper
Nicht alles darf in die Cloud. Bestimmte Gesetze und
Regeln verbieten es sogar teilweise, Daten in einer
Cloud zu speichern. So ist es z. B. in manchen Staaten
nicht erlaubt, dass digitale Dokumente aus dem Finanzbereich
das Land verlassen. Bei Behörden gibt es auch
Vorgaben, dass die Daten innerhalb des Gebäudes abgelegt
werden müssen. Selbst eine National Cloud wäre
in diesem Fall nicht möglich. Es gibt zwar eine Initiative
auf Bundesebene, die die Verwendung von Cloud-
Technologien neu bewerten will, bis zur Schaffung einer
rechtlichen Grundlage wird jedoch noch eine Menge
Zeit vergehen.
Entwickler Magazin 2.2011 www.entwickler-magazin.de

Amazon Virutal Private Cloud Enterprise-Architektur
Kosten
Amazon berechnet Kunden für das Erstellen der VPC
zunächst nichts, dass heißt sie können die Cloud konfigurieren
und für den Einsatz kostenfrei vorbereiten.
Gebühren entstehen erst ab dem Moment, in dem ein
VPN-Tunnel aufgebaut wird. Virtuelle Instanzen und
Disks, die der VPC zugeordnet werden, werden unmittelbar
berechnet, auch wenn kein Tunnel etabliert
wird. Zum Zeitpunkt dieses Beitrags berechnet Amazon
pro angefangene Stunde je VPN-Tunnel 0,05 US-
Dollar, einen Betrag von rund 438 US-Dollar pro Jahr.
Ob für den redundanten Tunnel ebenfalls eine Gebühr
entrichtet werden muss, ist noch unklar. Innerhalb der
Betaphase ist zudem nur ein Tunnel möglich. Man kann
diesen Betrag einfach als die Miete für den Serverraum
betrachten, Strom und Klimakosten werden über die
virtuellen Instanzen und Disks umgelegt.
Zu den Kosten für die VPN-Verbindung kommen
noch Kosten für den Traffic. Für jedes übertragene GB
werden 0,15 US-Dollar berechnet. Großabnehmer erhalten
ab 150 TB pro Monat Rabatte bis zu 0,08 US-
Dollar pro GB. Zusätzlich entstehen noch individuelle
Kosten für virtuelle Instanzen und Diskspeicher. Auszug
aus der aktuellen Preisliste:
• VPN-Verbindung: 0,05 US-Dollar pro VPN-Verbindungsstunde
• VPN-Datenübertragung: Die Preise in Tabelle 1 basieren
auf den eingehenden und ausgehenden Datenübertragungen
von der Amazon VPC
Nach dem 1. November 2010 liegt die Gebühr für die
Übertragung eingehender Daten bei 0,10 US-Dollar pro
GB.
Vor- und Nachteile
• Kunden erhalten mit der Verwendung der Amazon
Virtual Private Cloud eine sehr flexible, skalierbare
Infrastruktur.
• Je nach Modell müssen Unternehmen nur für die wirkliche
Nutzung zahlen und können die abgerufenen
Ressourcen jederzeit problemlos zurückgeben.
• Durch die Verwendung des BGP-Routing-Protokolls
erhalten Unternehmen eine extrem flexible Netzwerkarchitektur,
die sie transparent in ihre eigene IT-Infrastruktur
integrieren können. Nachteil: BGP stellt
hohe Anforderungen an Netzwerkinfrastruktur und
die Kenntnisse der Administratoren. Darüber hinaus
sind BGB-fähige Router nicht gerade günstig in der
Anschaffung.
• Kostenersparnis: Durch Nutzung der Cloud-Infrastruktur
lassen sich Kosten sparen. Aber Vorsicht! Eine
genaue Betrachtung der Kosten ist unbedingt erforderlich,
sonst kann es auch extrem teuer werden. Durch
Nutzung der Amazon VPC für kurzfristig betriebene
Systeme, können Kosten eingespart werden, bei längeren
Laufzeiten lohnt sich jedoch eher die Investition in
eine eigene Lösung.
• Daten- und Informationssicherheit: Wie bereits
beschrieben, gibt es zurzeit noch keine großen Erfahrungswerte
im Bereich der Daten- und Informationssicherheit.
Die vorhandenen Möglichkeiten, die
Infrastruktur abzusichern, sind überzeugend, aber eine
gesunde Portion Misstrauen ist immer angebracht.
• Für einen sinnvollen Betrieb einer Amazon VPC ist viel
Bandbreite erforderlich, die leider noch nicht in jeder
Region und jedem Unternehmen zur Verfügung steht.
Highlights
Pünktlich zur Oracle Open World hat Oracle einige aktuelle
Produkte für den Einsatz in der Amazon Cloud
zertifiziert und lizenziert. Darüber hinaus haben bereits
einige Toolhersteller ebenfalls begonnen, ihre Produkte
für die Cloud vorzubereiten. Beispielsweise befindet
sich ein Toad-Ableger der Firma Quest bereits in der
Betaphase.
Fazit
Amazon bietet eine wirklich interessante und flexible
Lösung im Bereich Cloud Computing. Es ist durch geschickten
Einsatz möglich, Kosten zu sparen und flexibel
auf kurzfristige Ressourcenanforderungen im Unternehmen
reagieren zu können. Sicherlich sind noch nicht alle
Fragen der Daten- und Informationssicherheit geklärt.
Das geltende Recht macht den Einsatz auch nicht immer
möglich. Jedoch erscheint ein Einsatz für Test-, Entwicklungs-
und Trainingssysteme sinnvoll. Diese Systeme
werden schnell und kurzfristig benötigt und können in
der Cloud innerhalb von Minuten bereitgestellt werden.
Auch wenn bereits durchaus ernstgemeinte Fragen, wie
denn ein Windows Domain Controller in der Cloud
zu installieren ist, in Foren auftauchen, dieser Anwendungszweck
wird wohl zunächst eher selten sein.
Martin Schmitter ist im Bereich Infrastructure Managed Services
für die Trivadis GmbH am Standort Düsseldorf als Consultant tätig.
Er bewegt sich seit über 10 Jahren im IT-Umfeld und ist über verschiedene
Stationen zu Oracle-Hochverfügbarkeitsthemen gekommen.
Als Allrounder betreut Schmitter die Kunden bei der Planung
und Realisierung von Oracle-Projekten. Außerdem forscht er im Trivadis Technologie
Center im Bereich Cloud Computing.
Links & Literatur
[1] Quelle: Trivadis
[2] http://bit.ly/hdTH43
[3] http://www.trivadis.com
[4] http://bit.ly/ycGw1
[5] http://bit.ly/hdTH43
[6] http://bit.ly/cxECQu
[7] http://bit.ly/ekEU9k
[8] http://bit.ly/hNnFlt
www.entwickler-magazin.de Entwickler Magazin 2.2011
107