Mal schnell in die Cloud - Trivadis
Mal schnell in die Cloud - Trivadis
Mal schnell in die Cloud - Trivadis
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Amazon Virutal Private <strong>Cloud</strong> Enterprise-Architektur<br />
Amazon Virtual Private <strong>Cloud</strong> (Beta)<br />
<strong>Mal</strong> <strong>schnell</strong> <strong>in</strong><br />
<strong>die</strong> <strong>Cloud</strong><br />
Jedes Unternehmen hat häufig <strong>die</strong> gleichen Herausforderungen im Infrastrukturbereich:<br />
kurzfristige und flexible Beschaffung von Ressourcen. Die Amazon Virtual Private<br />
<strong>Cloud</strong> (VPC) bietet e<strong>in</strong>en abgeschlossenen Bereich, der sich transparent an das<br />
eigene Netzwerk anb<strong>in</strong>den lässt. Inwieweit kann <strong>die</strong> VPC im Infrastrukturbereich e<strong>in</strong>e<br />
Alternative oder e<strong>in</strong>e gute Ergänzung se<strong>in</strong>?<br />
von Mart<strong>in</strong> Schmitter<br />
Dieser Artikel gibt e<strong>in</strong>e Übersicht sowie e<strong>in</strong>e Bewertung<br />
zum aktuellen Stand des Amazon-Produkts. Was wird <strong>in</strong><br />
der VPC geboten und wie kann man es nutzen? Welche<br />
Chancen, Risiken und Bedenken gibt es und was können<br />
wir von den neuen Funktionen erwarten?<br />
Übersicht<br />
Jeder IT-Verantwortliche kennt folgende Situation: Im<br />
Rahmen e<strong>in</strong>es Projekts gibt es <strong>die</strong> kurzfristige Anforderung,<br />
e<strong>in</strong> System bereitzustellen. E<strong>in</strong>erseits haben <strong>die</strong><br />
Herausforderungen der notwendigen Infrastrukturbeschaffung<br />
e<strong>in</strong>en unterschiedlichen Komplexitätsgrad, andererseits<br />
wird das Wettrennen um Budget, Kostenstellen<br />
und Lieferterm<strong>in</strong>e dabei zunehmend zur Belastung. So<br />
kommt es vor, dass Projekte mehrere Monate auf Eis liegen,<br />
weil <strong>die</strong> Fachabteilungen auf <strong>die</strong> benötigte Hardware<br />
und <strong>die</strong> Systeme warten. Selbst kle<strong>in</strong>ste Unternehmen<br />
haben daher Virtualisierungslösungen für sich entdeckt.<br />
Die Ressourcen können flexibel genutzt und bei Bedarf<br />
e<strong>in</strong>fach erweitert werden. Mittelstands- und Großunternehmen<br />
gehen immer mehr dazu über, Rechenzentren<br />
komplett mit Virtualisierungslösungen zu betreiben<br />
(<strong>Cloud</strong> Comput<strong>in</strong>g). Systeme können so mit e<strong>in</strong>fachen<br />
Mitteln standarisiert und <strong>in</strong>nerhalb kürzester Zeit <strong>in</strong><br />
Betrieb genommen werden. Limitierende Faktoren s<strong>in</strong>d<br />
lediglich <strong>die</strong> (Bestell-)Prozesse im eigenen Unternehmen<br />
sowie <strong>die</strong> Endlichkeit der vorhandenen Ressourcen.<br />
Doch Virtualisierungslösungen bieten nicht nur Vorteile.<br />
Aufgrund der Konzentration von Systemen wirkt<br />
sich e<strong>in</strong> Ausfall der Hardware oder Virtualisierungsschicht<br />
im schlimmsten Fall auf alle Systeme aus und<br />
kann somit bedrohlich für das gesamte Unternehmen<br />
werden. Die Anforderung an <strong>die</strong> Hardware und das<br />
Know-how der Systemadm<strong>in</strong>istratoren steigt daher<br />
deutlich. Die erforderlichen Anfangs<strong>in</strong>vestitionen schrecken<br />
kle<strong>in</strong>e und mittelständische Firmen oft ab. Für <strong>die</strong><br />
betreffenden Unternehmen ist es daher e<strong>in</strong>e gute Lösung,<br />
den Betrieb an externe Dienstleister zu vergeben.<br />
Diese können je nach Angebot den Betrieb der benötigten<br />
Infrastruktur, <strong>die</strong> ganze Plattform oder sogar <strong>die</strong><br />
Software übernehmen. Aufgrund der Spezialisierung<br />
und des Volumens kommt es bei den externen Anbietern<br />
zu Skalierungseffekten, <strong>die</strong> für <strong>die</strong> Kunden große<br />
Vorteile bieten können. Aufgrund der Masse kann der<br />
Anbieter günstigere E<strong>in</strong>kaufskonditionen erzielen und<br />
weitergeben. Se<strong>in</strong>e Mitarbeiter können sich auf <strong>die</strong> Betriebsaufgaben<br />
konzentrieren. Die Wahrnehmung bei<br />
Herstellern ist deutlich größer und Supportabläufe s<strong>in</strong>d<br />
besser tra<strong>in</strong>iert. In Kle<strong>in</strong>- und Mittelstandsunternehmen<br />
s<strong>in</strong>d Systemadm<strong>in</strong>istratoren <strong>in</strong> der Regel für e<strong>in</strong>e Vielzahl<br />
von Aufgaben verantwortlich und können nicht <strong>die</strong><br />
gleiche Sorgfalt an den Tag legen.<br />
Für alle Unternehmensarten ist der größte Vorteil,<br />
dass Ressourcen nur bei Bedarf bestellt werden können.<br />
Sollen z. B. Mitarbeiter- oder Kundenschulungen durchgeführt<br />
werden, wird niemand gerne <strong>in</strong> Hardware <strong>in</strong>vestieren,<br />
um <strong>die</strong> Systeme für nur e<strong>in</strong>e Woche zu nutzen. Es<br />
gibt bereits mehrere Anbieter, <strong>die</strong> sich auf <strong>die</strong>ses Thema<br />
spezialisiert haben. In e<strong>in</strong>em „Pay as you use“-Model<br />
werden virtuelle Instanzen nach Bedarf bereitgestellt<br />
und abgerechnet. Über verschiedene Werkzeuge kann<br />
der Kunde selbständig Instanzen erzeugen und parametrisieren.<br />
Diese werden nach verschiedenen Parametern<br />
wie CPUs, Auslastung, I/Os und verwendeten RAM<br />
abgerechnet. Nachteilig ist bei den Public-<strong>Cloud</strong>-Angeboten,<br />
dass <strong>die</strong> Kommunikation über das öffentliche<br />
Internet erfolgt und im schlechtesten Fall unverschlüsselt<br />
abläuft. Gemietete Instanzen s<strong>in</strong>d also von überall<br />
www.entwickler-magaz<strong>in</strong>.de Entwickler Magaz<strong>in</strong> 2.2011<br />
103
Enterprise-Architektur<br />
Abb. 1:<br />
Infrastrukturressourcen<br />
<strong>in</strong><br />
der Public<br />
<strong>Cloud</strong> [1]<br />
104<br />
erreichbar und somit allen Gefahren des Internets ausgesetzt.<br />
Um Unsicherheiten aus dem Weg zu gehen, wurde<br />
von Amazon <strong>die</strong> so genannte Virtual Private <strong>Cloud</strong><br />
entwickelt.<br />
Virtual Private <strong>Cloud</strong> oder der virtuelle Serverraum?<br />
Amazon als <strong>Cloud</strong>-Produktanbieter entwickelt zurzeit<br />
<strong>die</strong> Virtual Private <strong>Cloud</strong> (VPC). Der oben angesprochene<br />
Nachteil e<strong>in</strong>er Public <strong>Cloud</strong> kann damit hervorragend<br />
Abb. 2: Management-Console [1]<br />
Amazon Virutal Private <strong>Cloud</strong><br />
gelöst werden. Das Produkt bef<strong>in</strong>det sich zurzeit jedoch<br />
noch im Betastatus und unterliegt daher noch e<strong>in</strong>igen<br />
E<strong>in</strong>schränkungen. Die f<strong>in</strong>ale Version wird jedoch voraussichtlich<br />
<strong>in</strong> Kürze verfügbar se<strong>in</strong>. Die grundlegende<br />
Idee h<strong>in</strong>ter e<strong>in</strong>er VPC ist der Aufbau e<strong>in</strong>er abgesicherten<br />
Verb<strong>in</strong>dung zwischen Kundenstandort und e<strong>in</strong>em isolierten<br />
virtuellen Raum <strong>in</strong> der Amazon <strong>Cloud</strong>. Die Verb<strong>in</strong>dung<br />
zu den virtuellen Instanzen erfolgt daher nicht<br />
mehr direkt über das offene Netz, sondern über e<strong>in</strong>e ver-<br />
Entwickler Magaz<strong>in</strong> 2.2011 www.entwickler-magaz<strong>in</strong>.de
Amazon Virutal Private <strong>Cloud</strong> Enterprise-Architektur<br />
Abb. 3: Firefox-Plug-<strong>in</strong> Elastic Fox [1]<br />
schlüsselte Verb<strong>in</strong>dung. Somit s<strong>in</strong>d <strong>die</strong> Instanzen <strong>in</strong> der<br />
<strong>Cloud</strong> von außen nicht erreichbar. Am eigenen Gateway<br />
können <strong>in</strong>dividuelle Sicherheitsregeln und E<strong>in</strong>stellungen<br />
vorgenommen werden. Grundsätzlich handelt es sich<br />
zwar um e<strong>in</strong>e bereits bekannte Technologie, jedoch mit<br />
e<strong>in</strong>er entscheidenden Neuerung: Es besteht <strong>die</strong> Möglichkeit,<br />
<strong>in</strong> e<strong>in</strong>em isolierten Raum selbständig eigene Netzwerksegmente<br />
zu erzeugen und zu verwalten.<br />
In der Virtual Privat <strong>Cloud</strong> (VPC) können alle privaten<br />
IP-Netzwerkadressen verwendet werden. Da aber<br />
mittels dem Rout<strong>in</strong>g-Protokoll BGP (Border Gateway<br />
Protocol) e<strong>in</strong> dynamisches Rout<strong>in</strong>g etabliert wird, sollte<br />
man genau analysieren, wie <strong>die</strong> eigene Netzwerk<strong>in</strong>frastruktur<br />
aussieht, um möglichen Problemen aus dem<br />
Weg zu gehen. Verwendet man e<strong>in</strong> Netzwerksegment,<br />
das <strong>in</strong> dem eigenen Netz schon vorhanden ist, kommt es<br />
zu e<strong>in</strong>em Rout<strong>in</strong>g-Konflikt. Bei statischen Routen kann<br />
man <strong>in</strong> der Regel <strong>schnell</strong> anhand der Konfiguration erkennen,<br />
ob Netzwerkadressen bereits verwendet werden.<br />
Bei e<strong>in</strong>em dynamischen Rout<strong>in</strong>g-Protokoll ist das<br />
nicht auf den ersten Blick ersichtlich. Hier gilt es daher,<br />
besonders sorgfältig zu arbeiten.<br />
Die Virtual Private <strong>Cloud</strong> kann transparent an <strong>die</strong><br />
eigene Infrastruktur angebunden werden, ohne dass<br />
<strong>die</strong>se für den Anwender im Unternehmen ersichtlich ist.<br />
Hat man <strong>die</strong>se fertig e<strong>in</strong>gerichtet und alle notwendigen<br />
Netzwerksegmente konfiguriert, kann damit begonnen<br />
werden, <strong>die</strong> benötigten Amazon-Ressourcen zuzuordnen.<br />
Virtuelle Instanzen und virtuelle Disks stehen <strong>in</strong> der<br />
VPC genauso zu Verfügung, wie <strong>in</strong> dem Public <strong>Cloud</strong><br />
Angebot (z. B. EC2 und S3) von Amazon. Damit hat<br />
man nahezu unbegrenzte Infrastrukturressourcen zur<br />
Verfügung (Abb. 1).<br />
Limitierung<br />
Natürlich gibt es <strong>in</strong> e<strong>in</strong>em Gebilde wie der Amazon<br />
Virtual Private <strong>Cloud</strong> auch technologiebed<strong>in</strong>gte E<strong>in</strong>schränkungen,<br />
<strong>die</strong> jedoch auch auf den derzeitigen<br />
Entwicklungsstand zurückzuführen s<strong>in</strong>d. Im Folgenden<br />
werden <strong>die</strong> wichtigsten E<strong>in</strong>schränkungen vorgestellt.<br />
Grundsätzliche Limitierungen:<br />
• Es kann nur e<strong>in</strong> e<strong>in</strong>ziger IP-Bereich für <strong>die</strong> VPC vergeben<br />
werden. Die VPC wird als Conta<strong>in</strong>er mittels<br />
e<strong>in</strong>er IP Range def<strong>in</strong>iert. Das kann maximal e<strong>in</strong>e private<br />
/16-Netzwerkadresse se<strong>in</strong>. Innerhalb <strong>die</strong>ser Range<br />
können dann 1 bis 20 Segmente gebildet werden.<br />
Wird <strong>die</strong> VPC z. B. mit der Range 172.16.0.0/16 angelegt,<br />
können <strong>die</strong> Segmente u. a. 172.16.1.0/24 und<br />
172.16.2.0/24 se<strong>in</strong>. Segmente außerhalb der def<strong>in</strong>ierten<br />
Range s<strong>in</strong>d nicht möglich.<br />
• Ist e<strong>in</strong>mal e<strong>in</strong>e VPC oder e<strong>in</strong> Subnetz angelegt, kann<br />
man den IP Range nicht mehr ändern.<br />
• Amazon betreibt weltweit Rechenzentren <strong>in</strong> unterschiedlichen<br />
Regionen. E<strong>in</strong>e VPC kann nur <strong>in</strong>nerhalb<br />
e<strong>in</strong>er e<strong>in</strong>zigen Region betrieben werden.<br />
• Es ist nicht möglich, direkt aus der VPC auf das Internet<br />
zuzugreifen. E<strong>in</strong> Zugriff ist nur über den Umweg<br />
über das eigene Default Gateway möglich. Es gibt jedoch<br />
bereits <strong>die</strong> Anforderung, das zu ändern. Seitens<br />
Amazon wurde hierzu bereits <strong>die</strong> Bereitschaft dazu<br />
signalisiert.<br />
• Es gibt ke<strong>in</strong>e direkte Verb<strong>in</strong>dung aus der VPC zu AWS-<br />
Ressourcen <strong>in</strong> der Public <strong>Cloud</strong>. Der e<strong>in</strong>zig mögliche<br />
Weg führt auch hier über das Default Gateway.<br />
• Broadcast und Multicast zwischen den Netzwerken<br />
können nicht verwendet werden.<br />
• NAT für Instanzen <strong>in</strong>nerhalb der VPC wird nicht unterstützt.<br />
Es ist jedoch anzunehmen, dass <strong>die</strong>se Funktionalität<br />
nachgereicht wird, sobald es auch möglich ist,<br />
aus der VPC e<strong>in</strong>e direkte Verb<strong>in</strong>dung <strong>in</strong> das öffentliche<br />
Netz herzustellen.<br />
Limitierungen <strong>in</strong> der Betaphase: Wie bereits erwähnt,<br />
limitiert Amazon <strong>in</strong>nerhalb der Betaphase <strong>die</strong> Virtual<br />
Private <strong>Cloud</strong> <strong>in</strong> folgenden Punkten:<br />
www.entwickler-magaz<strong>in</strong>.de Entwickler Magaz<strong>in</strong> 2.2011<br />
105
Enterprise-Architektur<br />
106<br />
• Es kann nur e<strong>in</strong>e Virtual Private <strong>Cloud</strong> pro Useraccount<br />
erzeugt werden<br />
• Die Anzahl der Subnetze <strong>in</strong>nerhalb der VPC s<strong>in</strong>d auf<br />
20 beschränkt<br />
• Es ist nur e<strong>in</strong> VPN Gateway pro AWS-Account möglich<br />
• E<strong>in</strong>e VPN-Verb<strong>in</strong>dung pro VPN Gateway<br />
• E<strong>in</strong> Kunden-Gateway pro AWS-Account<br />
Hier ist <strong>die</strong> klare Absicht erkennbar, dass Amazon e<strong>in</strong>e<br />
Migration bestehender Infrastrukturen verh<strong>in</strong>dern will.<br />
Grund: Während der Betaphase soll <strong>die</strong> neue VPC lediglich<br />
Demonstrationszwecken <strong>die</strong>nen und noch nicht<br />
produktiv e<strong>in</strong>gesetzt werden.<br />
Tools<br />
Amazon stellt für <strong>die</strong> Adm<strong>in</strong>istration der VPC e<strong>in</strong> kommandozeilenbasiertes<br />
API, e<strong>in</strong>e webbasierende Managementoberfläche<br />
und e<strong>in</strong> Firefox-Plug-<strong>in</strong> bereit.<br />
Amazon-EC2-API-Tools: Für das Management der<br />
VPC stellt Amazon e<strong>in</strong> API zur Verfügung. Mittels <strong>die</strong>sem<br />
lässt sich <strong>die</strong> VPC auf Kommandozeilenbasis steuern.<br />
Anhand des folgenden Beispiels werden <strong>die</strong> verfügbaren<br />
Rechenzentren <strong>in</strong> der Amazon <strong>Cloud</strong> abgefragt:<br />
PROMPT> ec2-describe-regions<br />
REGION eu-west-1 ec2.eu-west-1.amazonaws.com<br />
REGION us-east-1 ec2.us-east-1.amazonaws.com<br />
REGION us-west-1 ec2.us-west-1.amazonaws.com<br />
Das API ist für W<strong>in</strong>dows und L<strong>in</strong>ux verfügbar [2].<br />
Amazon Management Console: Die Amazon Console<br />
ist e<strong>in</strong> Web Frontend, mit dem man nicht nur <strong>die</strong> Virtual<br />
Private <strong>Cloud</strong> adm<strong>in</strong>istrieren kann. Auch alle anderen<br />
Funktionen wie Amazon EC2 und S3 lassen sich konfigurieren<br />
und steuern. Darüber h<strong>in</strong>aus erhält man Informationen<br />
zur Verfügbarkeit und Status.<br />
Elastic Fox: E<strong>in</strong>es der ersten AWS-Tools ist das<br />
Firefox-Plug-<strong>in</strong> „Elastic Fox“. Damit kann <strong>die</strong> Steuerung<br />
der <strong>Cloud</strong> direkt mittels Browser vorgenommen<br />
werden. Zudem gibt es das „S3 Organiser“-Plug-<strong>in</strong>. Damit<br />
lässt sich wie bei e<strong>in</strong>em FTP-Client das Amazon S3<br />
Storage auf e<strong>in</strong>fachste Art und Weise steuern.<br />
Was wird gebraucht?<br />
Grundsätzlich benötigt man für das Anlegen e<strong>in</strong>es<br />
Useraccounts e<strong>in</strong>e Kreditkarte, worüber Amazon <strong>die</strong><br />
Dienstleistungen detailliert abrechnet. Dass <strong>die</strong>ser Um-<br />
Datenmenge Preis<br />
Erste 1 GB pro Monat 0,00 US-Dollar pro GB<br />
Bis zu 10 TB pro Monat 0,15 US-Dollar pro GB<br />
Nächste 40 TB pro Monat 0,11 US-Dollar pro GB<br />
Nächste 100 TB pro Monat 0,09 US-Dollar pro GB<br />
Über 150 TB pro Monat 0,08 US-Dollar pro GB<br />
Tabelle 1: Preise für <strong>die</strong> VPN-Datenübertragung <strong>in</strong> der VPC<br />
Amazon Virutal Private <strong>Cloud</strong><br />
stand <strong>in</strong> e<strong>in</strong>igen Unternehmen e<strong>in</strong> fast unüberw<strong>in</strong>dbares<br />
H<strong>in</strong>dernis darstellt, will man heutzutage fast nicht<br />
glauben. Tatsächlich ist <strong>die</strong>se Zahlungsart für manche<br />
IT-Entscheider schon e<strong>in</strong> H<strong>in</strong>derungsgrund. Ist <strong>die</strong> erste<br />
Herausforderung gemeistert, folgt bereits <strong>die</strong> nächste:<br />
Für <strong>die</strong> Etablierung des VPN-Tunnels werden von Amazon<br />
zwei statische und öffentliche IP-Adressen gefordert.<br />
Die Begründung dafür ist recht e<strong>in</strong>fach. Wenn alle Server<br />
<strong>in</strong> der VPC stehen und der Tunnel ausfällt, kommt<br />
es <strong>schnell</strong> zu Problemen. Daher werden grundsätzlich<br />
zwei VPN-Tunnel erstellt. Mit <strong>die</strong>ser Redundanz soll<br />
e<strong>in</strong>e bessere Verfügbarkeit sichergestellt werden. Über<br />
e<strong>in</strong> dynamisches Rout<strong>in</strong>g könnte man <strong>die</strong> beiden Tunnel<br />
beispielweise von zwei unterschiedlichen Unternehmensstandorten<br />
aus betreiben.<br />
An das VPN Gateway wird im Wesentlichen <strong>die</strong> Anforderung<br />
gestellt, das BGP-Protokoll zu unterstützen.<br />
Amazon bietet Konfigurationsbeispiele für Cisco-, Juniper-<br />
und Software-Router. Als Alternative zur teuren<br />
Hardware gibt es diverse Open-Source-Router-Initiativen<br />
mit BGP-Unterstützung. Teilweise s<strong>in</strong>d <strong>die</strong>se sogar<br />
als fertige Images für virtuelle Masch<strong>in</strong>en zu bekommen.<br />
Auch wenn BGP für viele e<strong>in</strong>e E<strong>in</strong>stiegshürde an<br />
Budget und Know-how darstellt, schafft es am meisten<br />
Flexibilität und Gestaltungsspielraum. Für den Heimanwender<br />
oder das Labor zuhause gestaltet es sich aber<br />
eher schwierig, <strong>die</strong> VPC zu nutzen. Für <strong>die</strong> Konfiguration<br />
und das Management der VPC werden <strong>die</strong> bereits<br />
genannten Tools (Amazon EC2 API, Amazon AWS Management<br />
Console oder ElasticFox) benötigt.<br />
Security<br />
Bei der Entscheidung, Daten <strong>in</strong> <strong>die</strong> <strong>Cloud</strong> zu br<strong>in</strong>gen,<br />
werden Anwender zwangsläufig zu e<strong>in</strong>er Diskussion über<br />
Daten- und Informationssicherheit kommen. Amazon<br />
bietet e<strong>in</strong>e Reihe von Maßnahmen, um das Vertrauen<br />
künftiger Nutzer zu erlangen. Das beg<strong>in</strong>nt mit e<strong>in</strong>er verschlüsselten<br />
Kommunikation mittels X509-Zertifikaten.<br />
Darüber h<strong>in</strong>aus erhalten Kunden <strong>die</strong> Möglichkeit, ihre<br />
Sicherheitsvorgaben und -regeln weitestgehend nach eigenen<br />
Vorstellungen auszurollen. Sie haben <strong>in</strong>nerhalb<br />
der VPC <strong>die</strong> Kontrolle über beide Seiten des Gateways<br />
und können Firewall-Access-Listen selbständig def<strong>in</strong>ieren<br />
und pflegen.<br />
Show Stopper<br />
Nicht alles darf <strong>in</strong> <strong>die</strong> <strong>Cloud</strong>. Bestimmte Gesetze und<br />
Regeln verbieten es sogar teilweise, Daten <strong>in</strong> e<strong>in</strong>er<br />
<strong>Cloud</strong> zu speichern. So ist es z. B. <strong>in</strong> manchen Staaten<br />
nicht erlaubt, dass digitale Dokumente aus dem F<strong>in</strong>anzbereich<br />
das Land verlassen. Bei Behörden gibt es auch<br />
Vorgaben, dass <strong>die</strong> Daten <strong>in</strong>nerhalb des Gebäudes abgelegt<br />
werden müssen. Selbst e<strong>in</strong>e National <strong>Cloud</strong> wäre<br />
<strong>in</strong> <strong>die</strong>sem Fall nicht möglich. Es gibt zwar e<strong>in</strong>e Initiative<br />
auf Bundesebene, <strong>die</strong> <strong>die</strong> Verwendung von <strong>Cloud</strong>-<br />
Technologien neu bewerten will, bis zur Schaffung e<strong>in</strong>er<br />
rechtlichen Grundlage wird jedoch noch e<strong>in</strong>e Menge<br />
Zeit vergehen.<br />
Entwickler Magaz<strong>in</strong> 2.2011 www.entwickler-magaz<strong>in</strong>.de
Amazon Virutal Private <strong>Cloud</strong> Enterprise-Architektur<br />
Kosten<br />
Amazon berechnet Kunden für das Erstellen der VPC<br />
zunächst nichts, dass heißt sie können <strong>die</strong> <strong>Cloud</strong> konfigurieren<br />
und für den E<strong>in</strong>satz kostenfrei vorbereiten.<br />
Gebühren entstehen erst ab dem Moment, <strong>in</strong> dem e<strong>in</strong><br />
VPN-Tunnel aufgebaut wird. Virtuelle Instanzen und<br />
Disks, <strong>die</strong> der VPC zugeordnet werden, werden unmittelbar<br />
berechnet, auch wenn ke<strong>in</strong> Tunnel etabliert<br />
wird. Zum Zeitpunkt <strong>die</strong>ses Beitrags berechnet Amazon<br />
pro angefangene Stunde je VPN-Tunnel 0,05 US-<br />
Dollar, e<strong>in</strong>en Betrag von rund 438 US-Dollar pro Jahr.<br />
Ob für den redundanten Tunnel ebenfalls e<strong>in</strong>e Gebühr<br />
entrichtet werden muss, ist noch unklar. Innerhalb der<br />
Betaphase ist zudem nur e<strong>in</strong> Tunnel möglich. Man kann<br />
<strong>die</strong>sen Betrag e<strong>in</strong>fach als <strong>die</strong> Miete für den Serverraum<br />
betrachten, Strom und Klimakosten werden über <strong>die</strong><br />
virtuellen Instanzen und Disks umgelegt.<br />
Zu den Kosten für <strong>die</strong> VPN-Verb<strong>in</strong>dung kommen<br />
noch Kosten für den Traffic. Für jedes übertragene GB<br />
werden 0,15 US-Dollar berechnet. Großabnehmer erhalten<br />
ab 150 TB pro Monat Rabatte bis zu 0,08 US-<br />
Dollar pro GB. Zusätzlich entstehen noch <strong>in</strong>dividuelle<br />
Kosten für virtuelle Instanzen und Diskspeicher. Auszug<br />
aus der aktuellen Preisliste:<br />
• VPN-Verb<strong>in</strong>dung: 0,05 US-Dollar pro VPN-Verb<strong>in</strong>dungsstunde<br />
• VPN-Datenübertragung: Die Preise <strong>in</strong> Tabelle 1 basieren<br />
auf den e<strong>in</strong>gehenden und ausgehenden Datenübertragungen<br />
von der Amazon VPC<br />
Nach dem 1. November 2010 liegt <strong>die</strong> Gebühr für <strong>die</strong><br />
Übertragung e<strong>in</strong>gehender Daten bei 0,10 US-Dollar pro<br />
GB.<br />
Vor- und Nachteile<br />
• Kunden erhalten mit der Verwendung der Amazon<br />
Virtual Private <strong>Cloud</strong> e<strong>in</strong>e sehr flexible, skalierbare<br />
Infrastruktur.<br />
• Je nach Modell müssen Unternehmen nur für <strong>die</strong> wirkliche<br />
Nutzung zahlen und können <strong>die</strong> abgerufenen<br />
Ressourcen jederzeit problemlos zurückgeben.<br />
• Durch <strong>die</strong> Verwendung des BGP-Rout<strong>in</strong>g-Protokolls<br />
erhalten Unternehmen e<strong>in</strong>e extrem flexible Netzwerkarchitektur,<br />
<strong>die</strong> sie transparent <strong>in</strong> ihre eigene IT-Infrastruktur<br />
<strong>in</strong>tegrieren können. Nachteil: BGP stellt<br />
hohe Anforderungen an Netzwerk<strong>in</strong>frastruktur und<br />
<strong>die</strong> Kenntnisse der Adm<strong>in</strong>istratoren. Darüber h<strong>in</strong>aus<br />
s<strong>in</strong>d BGB-fähige Router nicht gerade günstig <strong>in</strong> der<br />
Anschaffung.<br />
• Kostenersparnis: Durch Nutzung der <strong>Cloud</strong>-Infrastruktur<br />
lassen sich Kosten sparen. Aber Vorsicht! E<strong>in</strong>e<br />
genaue Betrachtung der Kosten ist unbed<strong>in</strong>gt erforderlich,<br />
sonst kann es auch extrem teuer werden. Durch<br />
Nutzung der Amazon VPC für kurzfristig betriebene<br />
Systeme, können Kosten e<strong>in</strong>gespart werden, bei längeren<br />
Laufzeiten lohnt sich jedoch eher <strong>die</strong> Investition <strong>in</strong><br />
e<strong>in</strong>e eigene Lösung.<br />
• Daten- und Informationssicherheit: Wie bereits<br />
beschrieben, gibt es zurzeit noch ke<strong>in</strong>e großen Erfahrungswerte<br />
im Bereich der Daten- und Informationssicherheit.<br />
Die vorhandenen Möglichkeiten, <strong>die</strong><br />
Infrastruktur abzusichern, s<strong>in</strong>d überzeugend, aber e<strong>in</strong>e<br />
gesunde Portion Misstrauen ist immer angebracht.<br />
• Für e<strong>in</strong>en s<strong>in</strong>nvollen Betrieb e<strong>in</strong>er Amazon VPC ist viel<br />
Bandbreite erforderlich, <strong>die</strong> leider noch nicht <strong>in</strong> jeder<br />
Region und jedem Unternehmen zur Verfügung steht.<br />
Highlights<br />
Pünktlich zur Oracle Open World hat Oracle e<strong>in</strong>ige aktuelle<br />
Produkte für den E<strong>in</strong>satz <strong>in</strong> der Amazon <strong>Cloud</strong><br />
zertifiziert und lizenziert. Darüber h<strong>in</strong>aus haben bereits<br />
e<strong>in</strong>ige Toolhersteller ebenfalls begonnen, ihre Produkte<br />
für <strong>die</strong> <strong>Cloud</strong> vorzubereiten. Beispielsweise bef<strong>in</strong>det<br />
sich e<strong>in</strong> Toad-Ableger der Firma Quest bereits <strong>in</strong> der<br />
Betaphase.<br />
Fazit<br />
Amazon bietet e<strong>in</strong>e wirklich <strong>in</strong>teressante und flexible<br />
Lösung im Bereich <strong>Cloud</strong> Comput<strong>in</strong>g. Es ist durch geschickten<br />
E<strong>in</strong>satz möglich, Kosten zu sparen und flexibel<br />
auf kurzfristige Ressourcenanforderungen im Unternehmen<br />
reagieren zu können. Sicherlich s<strong>in</strong>d noch nicht alle<br />
Fragen der Daten- und Informationssicherheit geklärt.<br />
Das geltende Recht macht den E<strong>in</strong>satz auch nicht immer<br />
möglich. Jedoch ersche<strong>in</strong>t e<strong>in</strong> E<strong>in</strong>satz für Test-, Entwicklungs-<br />
und Tra<strong>in</strong><strong>in</strong>gssysteme s<strong>in</strong>nvoll. Diese Systeme<br />
werden <strong>schnell</strong> und kurzfristig benötigt und können <strong>in</strong><br />
der <strong>Cloud</strong> <strong>in</strong>nerhalb von M<strong>in</strong>uten bereitgestellt werden.<br />
Auch wenn bereits durchaus ernstgeme<strong>in</strong>te Fragen, wie<br />
denn e<strong>in</strong> W<strong>in</strong>dows Doma<strong>in</strong> Controller <strong>in</strong> der <strong>Cloud</strong><br />
zu <strong>in</strong>stallieren ist, <strong>in</strong> Foren auftauchen, <strong>die</strong>ser Anwendungszweck<br />
wird wohl zunächst eher selten se<strong>in</strong>.<br />
Mart<strong>in</strong> Schmitter ist im Bereich Infrastructure Managed Services<br />
für <strong>die</strong> <strong>Trivadis</strong> GmbH am Standort Düsseldorf als Consultant tätig.<br />
Er bewegt sich seit über 10 Jahren im IT-Umfeld und ist über verschiedene<br />
Stationen zu Oracle-Hochverfügbarkeitsthemen gekommen.<br />
Als Allrounder betreut Schmitter <strong>die</strong> Kunden bei der Planung<br />
und Realisierung von Oracle-Projekten. Außerdem forscht er im <strong>Trivadis</strong> Technologie<br />
Center im Bereich <strong>Cloud</strong> Comput<strong>in</strong>g.<br />
L<strong>in</strong>ks & Literatur<br />
[1] Quelle: <strong>Trivadis</strong><br />
[2] http://bit.ly/hdTH43<br />
[3] http://www.trivadis.com<br />
[4] http://bit.ly/ycGw1<br />
[5] http://bit.ly/hdTH43<br />
[6] http://bit.ly/cxECQu<br />
[7] http://bit.ly/ekEU9k<br />
[8] http://bit.ly/hNnFlt<br />
www.entwickler-magaz<strong>in</strong>.de Entwickler Magaz<strong>in</strong> 2.2011<br />
107