Rawpixel - Fotolia
Best-Practise-Tipps für Hybrid-Cloud-Infrastrukturen
Die erfolgreiche Implementierung einer Hybrid Cloud erfordert gründliche konzeptionelle Vorüberlegungen hinsichtlich Architektur, Datenplatzierung und Sicherheitsdesign.
Unternehmen wollen oft auf eine Hybrid-Cloud-Infrastruktur umsteigen, weil sie die Vorteile der Public Cloud wünschen, aber noch nicht bereit oder willens sind, ihr vorhandenes Rechenzentrum zu schließen.
Eine Hybrid-Cloud-Architektur allerdings ist nicht so leicht zu implementieren. Die IT-Teams müssen sorgfältig überlegen und eine Reihe bewährter Vorgehensweisen berücksichtigen, bevor es losgehen kann. Die konzeptionellen Vorüberlegungen betreffen Vernetzung, Kosten, Management und Sicherheit.
Egal, wie sie aussieht - in jeder Hybrid-Cloud-Strategie sollten einige wichtige Themen berücksichtigt werden.
Das richtige Hybrid-Cloud-Modell wählen
Hat man sich einmal für eine Hybrid Cloud entschieden, geht es darum, welcher Hybrid-Cloud-Typ letztlich vorgesehen ist: eine heterogene oder eine homogene Architektur. Kriterien für die Entscheidung zwischen diesen Varianten sind Budget, Leistungsbedarf und Management.
Eine homogene hybride Cloud ist in der Regel kostengünstiger und einfacher zu installieren, betreiben und verwalten. Die Software stammt von nur einem Hersteller. Sie funktioniert sowohl lokal als auch in der Cloud.
Mit Services wie Azure Stack, AWS Outposts und Google Cloud Anthos wächst das Interesse an homogenen Hybrid-Cloud-Architekturen. Obwohl diese Ansätze durch ihre geringere Komplexität ihren Reiz haben, riskieren Anwender damit, zu fest an einen Anbieter gebunden zu werden.
Die Alternative ist eine heterogene hybride Cloud, die sich aus privaten und Public-Cloud-Umgebungen unterschiedlicher Provider zusammensetzt, beispielsweise aus AWS und OpenStack. Die heterogene Herangehensweise ist anfangs schwieriger und komplexer. Doch profitieren Anwender durch mehr Kontrolle über zukünftige Infrastrukturwechsel. Möglicherweise braucht das IT-Team mehr formales Training, da sich die Services der einzelnen Anwender unterscheiden und es komplex ist, sie zusammenzubringen.
Implementierungsvorbereitungen für die Hybrid Cloud
Hat man sich hinsichtlich der geplanten Hybrid Cloud für ein Architekturmodell entschieden, gilt es, die vorgesehenen Workflows aufzuzeichnen, um Netz- und Leistungsprobleme schon in der Planung zu vermeiden. Die dabei auftretenden Herausforderungen lassen sich durch ein Vorgehen in vier Schritten vermeiden.
Erstens definiert man, welche Applikationskomponenten gehostet werden sollen, um eine möglichst hohe Dauerleistung sicherzustellen und die Kosten gering zu halten. Die Komponenten sollten in drei Gruppen, basierend auf ihrem bestgeeigneten Standort, aufgeteilt werden: Public Cloud, eigenes Rechenzentrum oder beides. Nachdem die Komponenten einem Standort zugewiesen wurden, gilt es, Workflows und die dazugehörigen Netzwerkverbindungen zu entwickeln.
Als nächstes definiert und erzeugt man die Kreuzungspunkte zwischen dem Cloud-Frontend und dem Data Center Backend. Die Workflows sollten zentral gesteuert werden, um gleichzeitig eine angemessene Leistung sicherzustellen und die Elastizitätsvorteile der Public Cloud sowie die Sicherheitsvorteile des privaten Rechenzentrums zu bewahren.
Anschließend verwaltet man den VPN-Adressraum. Meist nutzen Unternehmen für ihre VPNs private IP-Adressen. Es sollten IP-Subnetze für Anwender und Applikationen definiert werden. Dabei folgt man dem Container-Modell und erzeugt private Subnetze für jede Applikation. Nur deren äußere Schnittstellen werden in einen VPN-Adressraum übersetzt. Jede Applikationskomponente wird einem Subnetz zugewiesen, damit sie stets zugänglich ist, sogar wenn mehrere Apps darauf zugreifen.
Schließlich ist es nicht ungewöhnlich, im Rahmen einer Hybrid-Cloud-Strategie skalierbare Applikationen zu verwenden, die im Datenzentrum und der Cloud laufen. Das kann zu Adressmanagementproblemen führen. Daher sollte man sicherstellen, dass der Load Balancer komplexe Konfigurationen handhaben kann.
Datenplatzierung überwachen
Ein Erfolgsgeheimnis erfolgreicher Hybrid-Cloud-Strategien besteht darin zu lernen, wo man die Daten speichert und wie man sie wieder ausliest – alles zu möglichst geringen Kosten. Das Verschieben der Daten kann zu hohen Cloud-Rechnungen führen, daher ist es wichtig, die Daten klug zu platzieren.
Organisationen können Daten in der Cloud hosten, im Rechenzentrum oder an beiden Orten. Die meisten hybriden Applikationen verwenden die Public Cloud als Frontend-Transaktionsschnittstelle und das Rechenzentrum zur Abwicklung der Transaktionen. Eingehender Verkehr ist im allgemeinen kostenlos. Daher ist es meist günstiger, die Daten aus dem Rechenzentrum in die Cloud zu schicken. Mehr Bewegung zwischen den Umgebungen erzeugt den Bedarf nach breiteren und teureren Verbindungen zwischen Cloud und Datenzentrum.
Besondere Sorgfalt erfordert das Datenbank-Hosting. Kleinere Datenbanken können parallel in beiden Umgebungen laufen, zusammenfassende Datenbanken in der Public Cloud. Aber es ist nicht sinnvoll, größere Systeme in der Cloud zu platzieren, weil das zu hohen Gebühren für den Rücktransport führen würde, wenn Daten On-Premises verarbeitet werden sollen.
Anders an Sicherheitsthemen herangehen
Viele Komponenten von Hybrid Clouds verändern sich ständig. Das macht sie anfälliger als Public Clouds für Datensicherheitsprobleme und Cyberangriffe. Man sollte die potentiellen Risiken, die spezifisch für eine Hybrid Cloud sind, daher genau kennen. Dazu gehören etwa Datentransfers zwischen den Cloud- und den On-Premises-Ressourcen.
Fehlende Regeln und nicht ausreichend formalisierte Prozesse können Risiken bergen. Daher sollten die Sicherheitskontrollen in der gesamten Hybrid-Cloud-Architektur vereinheitlicht werden, statt getrennte für unterschiedliche Umgebungen zu nutzen.
Obwohl die Hybrid Cloud signifikante Herausforderungen für Admins bedeutet, lassen sich hybride Bereitstellungsformen mit geeigneten Tools und bewährten Vorgehensweisen sicher gestalten. Dazu gehören die Verschlüsselung von Daten und Zero-Trust-Modelle. Zusätzlich sollten IT-Teams sich mit neuen, aufkommenden Sicherheitsverfahren wie DevSecOps vertraut machen, damit auch Cloud-Daten sicher sind.