Mal schnell in die Cloud - Trivadis
Mal schnell in die Cloud - Trivadis
Mal schnell in die Cloud - Trivadis
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Enterprise-Architektur<br />
106<br />
• Es kann nur e<strong>in</strong>e Virtual Private <strong>Cloud</strong> pro Useraccount<br />
erzeugt werden<br />
• Die Anzahl der Subnetze <strong>in</strong>nerhalb der VPC s<strong>in</strong>d auf<br />
20 beschränkt<br />
• Es ist nur e<strong>in</strong> VPN Gateway pro AWS-Account möglich<br />
• E<strong>in</strong>e VPN-Verb<strong>in</strong>dung pro VPN Gateway<br />
• E<strong>in</strong> Kunden-Gateway pro AWS-Account<br />
Hier ist <strong>die</strong> klare Absicht erkennbar, dass Amazon e<strong>in</strong>e<br />
Migration bestehender Infrastrukturen verh<strong>in</strong>dern will.<br />
Grund: Während der Betaphase soll <strong>die</strong> neue VPC lediglich<br />
Demonstrationszwecken <strong>die</strong>nen und noch nicht<br />
produktiv e<strong>in</strong>gesetzt werden.<br />
Tools<br />
Amazon stellt für <strong>die</strong> Adm<strong>in</strong>istration der VPC e<strong>in</strong> kommandozeilenbasiertes<br />
API, e<strong>in</strong>e webbasierende Managementoberfläche<br />
und e<strong>in</strong> Firefox-Plug-<strong>in</strong> bereit.<br />
Amazon-EC2-API-Tools: Für das Management der<br />
VPC stellt Amazon e<strong>in</strong> API zur Verfügung. Mittels <strong>die</strong>sem<br />
lässt sich <strong>die</strong> VPC auf Kommandozeilenbasis steuern.<br />
Anhand des folgenden Beispiels werden <strong>die</strong> verfügbaren<br />
Rechenzentren <strong>in</strong> der Amazon <strong>Cloud</strong> abgefragt:<br />
PROMPT> ec2-describe-regions<br />
REGION eu-west-1 ec2.eu-west-1.amazonaws.com<br />
REGION us-east-1 ec2.us-east-1.amazonaws.com<br />
REGION us-west-1 ec2.us-west-1.amazonaws.com<br />
Das API ist für W<strong>in</strong>dows und L<strong>in</strong>ux verfügbar [2].<br />
Amazon Management Console: Die Amazon Console<br />
ist e<strong>in</strong> Web Frontend, mit dem man nicht nur <strong>die</strong> Virtual<br />
Private <strong>Cloud</strong> adm<strong>in</strong>istrieren kann. Auch alle anderen<br />
Funktionen wie Amazon EC2 und S3 lassen sich konfigurieren<br />
und steuern. Darüber h<strong>in</strong>aus erhält man Informationen<br />
zur Verfügbarkeit und Status.<br />
Elastic Fox: E<strong>in</strong>es der ersten AWS-Tools ist das<br />
Firefox-Plug-<strong>in</strong> „Elastic Fox“. Damit kann <strong>die</strong> Steuerung<br />
der <strong>Cloud</strong> direkt mittels Browser vorgenommen<br />
werden. Zudem gibt es das „S3 Organiser“-Plug-<strong>in</strong>. Damit<br />
lässt sich wie bei e<strong>in</strong>em FTP-Client das Amazon S3<br />
Storage auf e<strong>in</strong>fachste Art und Weise steuern.<br />
Was wird gebraucht?<br />
Grundsätzlich benötigt man für das Anlegen e<strong>in</strong>es<br />
Useraccounts e<strong>in</strong>e Kreditkarte, worüber Amazon <strong>die</strong><br />
Dienstleistungen detailliert abrechnet. Dass <strong>die</strong>ser Um-<br />
Datenmenge Preis<br />
Erste 1 GB pro Monat 0,00 US-Dollar pro GB<br />
Bis zu 10 TB pro Monat 0,15 US-Dollar pro GB<br />
Nächste 40 TB pro Monat 0,11 US-Dollar pro GB<br />
Nächste 100 TB pro Monat 0,09 US-Dollar pro GB<br />
Über 150 TB pro Monat 0,08 US-Dollar pro GB<br />
Tabelle 1: Preise für <strong>die</strong> VPN-Datenübertragung <strong>in</strong> der VPC<br />
Amazon Virutal Private <strong>Cloud</strong><br />
stand <strong>in</strong> e<strong>in</strong>igen Unternehmen e<strong>in</strong> fast unüberw<strong>in</strong>dbares<br />
H<strong>in</strong>dernis darstellt, will man heutzutage fast nicht<br />
glauben. Tatsächlich ist <strong>die</strong>se Zahlungsart für manche<br />
IT-Entscheider schon e<strong>in</strong> H<strong>in</strong>derungsgrund. Ist <strong>die</strong> erste<br />
Herausforderung gemeistert, folgt bereits <strong>die</strong> nächste:<br />
Für <strong>die</strong> Etablierung des VPN-Tunnels werden von Amazon<br />
zwei statische und öffentliche IP-Adressen gefordert.<br />
Die Begründung dafür ist recht e<strong>in</strong>fach. Wenn alle Server<br />
<strong>in</strong> der VPC stehen und der Tunnel ausfällt, kommt<br />
es <strong>schnell</strong> zu Problemen. Daher werden grundsätzlich<br />
zwei VPN-Tunnel erstellt. Mit <strong>die</strong>ser Redundanz soll<br />
e<strong>in</strong>e bessere Verfügbarkeit sichergestellt werden. Über<br />
e<strong>in</strong> dynamisches Rout<strong>in</strong>g könnte man <strong>die</strong> beiden Tunnel<br />
beispielweise von zwei unterschiedlichen Unternehmensstandorten<br />
aus betreiben.<br />
An das VPN Gateway wird im Wesentlichen <strong>die</strong> Anforderung<br />
gestellt, das BGP-Protokoll zu unterstützen.<br />
Amazon bietet Konfigurationsbeispiele für Cisco-, Juniper-<br />
und Software-Router. Als Alternative zur teuren<br />
Hardware gibt es diverse Open-Source-Router-Initiativen<br />
mit BGP-Unterstützung. Teilweise s<strong>in</strong>d <strong>die</strong>se sogar<br />
als fertige Images für virtuelle Masch<strong>in</strong>en zu bekommen.<br />
Auch wenn BGP für viele e<strong>in</strong>e E<strong>in</strong>stiegshürde an<br />
Budget und Know-how darstellt, schafft es am meisten<br />
Flexibilität und Gestaltungsspielraum. Für den Heimanwender<br />
oder das Labor zuhause gestaltet es sich aber<br />
eher schwierig, <strong>die</strong> VPC zu nutzen. Für <strong>die</strong> Konfiguration<br />
und das Management der VPC werden <strong>die</strong> bereits<br />
genannten Tools (Amazon EC2 API, Amazon AWS Management<br />
Console oder ElasticFox) benötigt.<br />
Security<br />
Bei der Entscheidung, Daten <strong>in</strong> <strong>die</strong> <strong>Cloud</strong> zu br<strong>in</strong>gen,<br />
werden Anwender zwangsläufig zu e<strong>in</strong>er Diskussion über<br />
Daten- und Informationssicherheit kommen. Amazon<br />
bietet e<strong>in</strong>e Reihe von Maßnahmen, um das Vertrauen<br />
künftiger Nutzer zu erlangen. Das beg<strong>in</strong>nt mit e<strong>in</strong>er verschlüsselten<br />
Kommunikation mittels X509-Zertifikaten.<br />
Darüber h<strong>in</strong>aus erhalten Kunden <strong>die</strong> Möglichkeit, ihre<br />
Sicherheitsvorgaben und -regeln weitestgehend nach eigenen<br />
Vorstellungen auszurollen. Sie haben <strong>in</strong>nerhalb<br />
der VPC <strong>die</strong> Kontrolle über beide Seiten des Gateways<br />
und können Firewall-Access-Listen selbständig def<strong>in</strong>ieren<br />
und pflegen.<br />
Show Stopper<br />
Nicht alles darf <strong>in</strong> <strong>die</strong> <strong>Cloud</strong>. Bestimmte Gesetze und<br />
Regeln verbieten es sogar teilweise, Daten <strong>in</strong> e<strong>in</strong>er<br />
<strong>Cloud</strong> zu speichern. So ist es z. B. <strong>in</strong> manchen Staaten<br />
nicht erlaubt, dass digitale Dokumente aus dem F<strong>in</strong>anzbereich<br />
das Land verlassen. Bei Behörden gibt es auch<br />
Vorgaben, dass <strong>die</strong> Daten <strong>in</strong>nerhalb des Gebäudes abgelegt<br />
werden müssen. Selbst e<strong>in</strong>e National <strong>Cloud</strong> wäre<br />
<strong>in</strong> <strong>die</strong>sem Fall nicht möglich. Es gibt zwar e<strong>in</strong>e Initiative<br />
auf Bundesebene, <strong>die</strong> <strong>die</strong> Verwendung von <strong>Cloud</strong>-<br />
Technologien neu bewerten will, bis zur Schaffung e<strong>in</strong>er<br />
rechtlichen Grundlage wird jedoch noch e<strong>in</strong>e Menge<br />
Zeit vergehen.<br />
Entwickler Magaz<strong>in</strong> 2.2011 www.entwickler-magaz<strong>in</strong>.de