Diese Story ist aus der Kategorie Innovation und dem Dossier Infrastrukturservices

Virtuelle Maschinen für die zentrale IT

Virtuelle Netzwerke als Teile des eigenen Netzes zu behandeln: SWITCHengines macht es bald möglich.

Text: Simon Leinen, publiziert am 16.02.2016

SWITCH hat SWITCHengines in erster Linie für die Bedürfnisse von Forschenden und Lehrenden entwickelt. Der Service bietet einfachen Zugriff auf flexible Rechen- und Speicherressourcen für wissenschaftliche Arbeit. Es zeigt sich aber, dass SWITCHengines auch für den zentralen Informatikdienst von Hochschulen nützlich sein kann. Diesen Ansatz verfolgt SWITCH unter anderem im Arbeitspaket Virtual Private Cloud (VPC) als Bestandteil des Projektes SCALE-UP im Rahmen des Kooperationsprojektes P-2 von swissuniversities. Das Ziel bei diesem Arbeitspaket ist, ergänzend zu bestehenden Infrastrukturen die Redundanz durch Ressourcen von SWITCHengines zu erhöhen. Virtuelle Maschinen können in das Campusnetzwerk integriert werden, und auf einfache Weise kann man auf interne Dienste hinter der Firewall zugreifen. Um realistische Anwendungsfälle vor Augen zu haben, arbeitet SWITCH bei der Virtual Private Cloud mit diversen Fachhochschulen zusammen.

Tom Schönenberger, Leiter Informatik der Fachhochschule St. Gallen, beschäftigt sich mit dem Thema Geo-Redundanz. Dabei geht es darum, den Betrieb der Hochschule auch im Fall einer grösseren Störung zu gewährleisten, wie etwa einer Brandkatastrophe im Haupt-Rechenzentrum oder eines längeren grossflächigen Stromausfalls. Neben dem Betrieb eines klassischen zweiten Rechenzentrums an der PH St. Gallen untersucht er auch, wie SWITCHengines dafür geeignet ist.

Versuchsweise wurden einige Server der FHS St. Gallen in SWITCHengines repliziert: Ein Wordpress-basiertes IT-Portal; der öffentliche Web-Server (IBM Domino) sowie ein Werkzeug zur Dienstüberwachung (PRTG). Diese Server konnten transparent ins produktive System der Fachhochschule, hinter dem bestehenden Load-Balancer, integriert werden,.

Herausforderungen

Im Laufe dieser Arbeiten zeigten sich einige Einschränkungen beim Arbeiten in der Cloud:

  1. Firewallsperre: Der Zugriff von den Cloud-Instanzen auf andere IT-Systeme im internen Netz ist problematisch, weil die Firewalls den Zugang von aussen bzw. von "fremden" Adressbereichen in der Regel verbieten.
  2. Load-Balancer als Clouddienst: Solange der Load-Balancer an der FHS steht, schafft dieser Setup keine echte Katastrophensicherheit. Es wäre besser, wenn das Load-Balancer ebenfalls ein in sich redundanter Dienst der Cloud selbst wäre.
  3. Performanceschwankungen: Die Performance der Server-Instanzen auf SWITCHengines ist normalerweise ähnlich hoch wie die der intern betriebenen Server. Jedoch kann es spürbare Performance-Schwankungen geben, wenn die SWITCHengines-Infrastruktur unter Last ist.

Lösungsansätze

Diese Einschränkungen haben die Hauptstossrichtung für die Aufgaben im Arbeitspaket VPC vorgegeben:

  1. VPN as a Service: Die bereits vorhandenen Software-Defined Network (SDN)-Funktionen von SWITCHengines müssen um einen "VPN as a Service"-Dienst (VPNaaS) erweitert werden. Ein solcher Dienst erlaubt es einer Institution, mit ihren eigenen IP-Adressbereichen in logisch isolierten Netzen innerhalb SWITCHengines zu arbeiten. Diese Netze sind dann über einen noch zu definierenden "Tunnel"-Mechanismus transparent und sicher mit dem Campusnetz verbunden.
    Die OpenStack-Plattform, auf der SWITCHengines basiert, enthält bereits VPNaaS-Funktionen, doch die Performance und Stabilität für den Einsatz durch IT-Organisationen muss noch geprüft werden. Da alle Hochschulen an den SWITCHlan-Backbone angeschlossen sind, bietet es sich an, den bewährten und leistungsfähigen Site-to-Site-VPN-Dienst "Optical Private Network" (OPN) zu verwenden. Allerdings muss dieser Dienst in OpenStack/SWITCHengines integriert werden. Die Voraussetzungen dazu sind gut, da zur Zeit eine neue Implementierung von OPN entwickelt wird, die auf der gleichen Art von Hardware basiert, wie SWITCHengines sie verwendet.
  2. LBaaS, IPv6, Anycast: Für den "Load-Balancer as a Service" (LBaaS) im Rahmen von SWITCHengines gibt es bereits Mechanismen in der OpenStack-Plattform. Ebenso gibt es durch die Synergien mit dem SWITCH-Backbone interessante Erweiterungsmöglichkeiten; Etwa die Unterstützung von IPv6, oder als Alternative zu "klassischem" Load-Balancing der Einsatz von IP Anycast und dynamischem Routing. Wir von SWITCH werden diese Funktionen in den nächsten Monaten testen und sukzessive einführen.
  3. Höhere Performance und Stabilität: Eine signifikante Erweiterung der Kapazität von SWITCHengines findet bereits im 1. Quartal 2016 statt. Für weitere bedarfsgerechte Upgrades sind wir gerüstet.

Bereits mit den Möglichkeiten, die SWITCHengines heute bieten, lässt sich ein Teil der Anforderungen lösen, die die FHSG hat. Die diesjährigen Tätigkeiten im Rahmen des VPC-Arbeitspaketes erlauben den Kunden von SWITCHengines eine noch viel stärkere Integration derselben in das Campusnetzwerk. So lassen sich mit SWITCHengines Lösungen massschneidern, die mit kommerziellen Cloud-Anbietern nur schwer umsetzbar sind.

Dieser Text ist im SWITCH Journal März 2016 erschienen.
Über den Autor
Simon   Leinen

Simon Leinen

Bevor er sich an der EPFL in Lausanne um die IT-Infrastruktur mehrerer Institute kümmerte, studierte Simon Leinen in Berlin Informatik. Seit 1996 arbeitet er bei SWITCH, zur Zeit als Cloud Architekt.

E-Mail
Weitere Beiträge