Diese Story ist aus der Kategorie Dienstleistungen und dem Dossier CloudInfrastrukturservices

Virtual Private Cloud: Härtetest bestanden

Das Teilprojekt VPC integriert virtuelle Maschinen ins Netzwerk von Hochschulen. Erste Tests zeigen positive Resultate.

Text: Patrik Schnellmann, publiziert am 24.11.2016

SWITCHengines ist ein Dienst von SWITCH, der Hochschulen kurzfristig verfügbare IT-Ressourcen bietet. Damit lassen sich neben Berechnungen für Forschungsprojekte beispielsweise auch Peak Loads in der Administration bewältigen wie z.B. Semestereinschreibung. SWITCHengines ist aber auch unabhängig vom hochschuleigenen Rechenzentrum und bietet damit zusätzliche Redundanz. Auf diese zwei Bedürfnisse der Hochschul-Internetdienste zielt das Projekt Virtual Private Cloud (VPC) ab, wie wir bereits in einem früheren Beitrag berichtet haben: Anstatt in ein weiteres Rechenzentrum zu investieren, wollte die FHS St. Gallen einige ihrer Dienste mit einem zusätzlichen Standbein auf SWITCHengines versehen.

Beispiele dafür sind:

  • eine Website (auf Wordpress)
  • ein CRM-System (Domino Application Server)
  • ein Verzeichnisdienst und DNS (Active Directory Server)
  • ein Monitoringdienst (PRTG)

Typischerweise befinden sich solche Dienste in einer "Demilitarized Zone" (DMZ) und sind entsprechend gegen aussen durch eine Firewall geschützt. Dies ist auch bei der FHS St. Gallen so: Die Dienste greifen auf interne Systeme und synchronisieren ihre Daten für den redundanten Betrieb in einem Cluster. Die Systeme auf SWITCHengines sollen also virtuell im eigenen Netz der FHS St. Gallen laufen und mit eigenen IPv4-Adressen versehen werden.

Lösungsvarianten

Wie könnte nun ein Teil der Ressourcen auf SWITCHengines als virtuelle Cloud genutzt werden, sodass es für die Nutzer aussieht, als würden sich die Dienste im hochschuleigenen Netzwerk befinden? Im Projekt haben die Ingenieure von SWITCH verschiedene Lösungsansätze überprüft:

  1. "Virtual Private Network (VPN) as a Service"-Projekt der Cloudsoftware OpenStack
  2. Deployment eines VPN-Endpunktes in einer Virtual Machine (VM) von SWITCHengines
  3. Spezifische Hardware für den Tunnel zwischen Campus-Netzwerk und SWITCHengines-Standort

Wir von SWITCH haben uns für die dritte Variante entschieden. Ein wesentliches Element dieser Variante ist ein Intel-CPU-basierter PC ("ALX Box", siehe Box), der in das Netzwerkrack eingebaut werden kann. Die folgenden Gründe waren massgebend für den Entscheid: Erstens bietet die Variante das Potential, auf einfache Weise mehrere virtuelle Maschinen ins eigene Campusnetzwerk einzubinden. Zweitens kann die ALX Box als Appliance betrieben werden, sodass SWITCH bei Bedarf die Wartung übernehmen kann. Drittens bietet diese Lösung die beste Netzwerk-Performance.

Aufbau der VPC-Lösung

Für die Lösung haben wir je eine ALX Box an der FHS St. Gallen und am Standort von SWITCHengines in Zürich installiert. Der Netzwerkverkehr zwischen dem Kundenstandort und SWITCHengines wird über IP (Layer-2- Tunnel) transportiert. Seitens SWITCHengines muss dieser Netzwerkverkehr an die entsprechenden virtuellen Maschinen weitergeleitet werden, was Anpassungen an der OpenStack-Infrastruktur erforderte. Die virtuellen Netzwerke dort wurden so aufgebaut und konfiguriert, dass die FHS St. Gallen IP-Adressen aus einem von ihr gewählten Netzwerkbereich auf ihren VMs von SWITCHengines konfigurieren kann. Der entsprechende Netzwerkbereich steht nur für VMs der FHS St. Gallen im eigenen "Tenant Network" zur Verfügung (siehe Schema). Zur Zeit bietet die Lösung eine Layer-3-Verbindung, was kundenseitig eine Konfiguration eines entsprechenden Netzwerkbereichs für das Routing und auf der Firewall nötig macht. Bei der FHS St. Gallen wurde die ALX-Box am SWITCHlan-Border-Router und dem internen Netzwerk (DMZ) angeschlossen.

Erster Härtetest bestanden

Nach dem Aufbau musste sich die Lösung im produktiven Betrieb beweisen: Aus dem bestehenden Domino Web Server Cluster wurde eine Maschine herausgelöst, als VM von SWITCHengines aufgesetzt und mit einer IP- Adresse der FHS St. Gallen gestartet. Die ersten Resultate sind positiv: Das System konnte wie gewünscht mit der Adresse der FHS St. Gallen angesprochen werden.

Ausblick 2017

Der Schwerpunkt bei der Weiterentwicklung der aktuellen Lösung werden Stabilität und Performance sein, die weiter verbessert werden müssen. Auf der Ebene der Funktionalitäten wird die Einschränkung auf Layer 3 wegfallen; das erfordert kundenseitig weniger Konfigurationsschritte. Wir von SWITCH haben vor, im kommenden Jahr weitere Anwendungsfälle mit Kunden zu implementieren, um das Angebot an Diensten rund um SWITCHengines im Jahr 2018 zu erweitern.

Über den Autor
Patrik   Schnellmann

Patrik Schnellmann

Patrik Schnellmann ist als Cloud Project Manager bei SWITCH tätig. Er hat einen Master of Sciences in Computer Sciences sowie einen Master of Advanced Studies in Management, Technology, and Economics der ETH Zürich. Bevor er 2004 zu SWITCH stiess, sammelte er Erfahrungen in der Finanzwirtschaft und in der Bundesverwaltung.

E-Mail

Über SCALE-UP, VPC und SWITCHengines

Das Arbeitspaket "Virtual Private Cloud" (VPC) ist Teil des SCALE-UP Projektes, welches im Rahmen des SUK P-2 Programmes von swissuniversities durchgeführt wird. Geleitet wird VPC von Tom Schönenberger, dem Informatikdienstleiter der FHS St. Gallen. SCALE-UP hat zum Ziel, akademische Cloud-Dienste zur Verfügung zu stellen. Die akademische Cloud von SWITCH basiert auf der Dienstleistung SWITCHengines, welche virtuelle Maschinen und Speicherplatz bietet.

Die Lösung mit der ALX-Box

ALX-Box bedeutet Agile Lan eXtender

Hardware
  • Mehrere 1GE Schnittstellen
  • Typischerweise 1 GE Schnittstelle für IPMI und Zugriff
  • 2 x 10 GE
  • 1 x CPU Sockel: Intel Xeon 4 Core
  • Redundante Stromversorgung
Software
  • NixOS: Schlanke Linux Distribution
  • Snabb: Toolkit in Programmiersprache Lua für schnelles Netzwerk im user space
  • l2vpn: Layer-2-VPN (Snabb Applikation)
  • ALX (Agile LAN eXtender), Autor: Alexander Gall, SWITCH
Requirements for using an ALX box

Für die Installation des Tunnel-Endpunktes bei der Hochschule müssen folgende Bedingungen erfüllt sein.

  • IPv6 Konnektivität muss vorhanden sein (gegeben durch SWITCH Border Router)
  • Die MTU am Router ist >> 1'500 Bytes
Weitere Beiträge