Haben Sie bereits einen Account?

  •   Personalisierte Inhalte
  •   Ihre Produkte und Ihr Support

Benötigen Sie einen Account?

Einen Account erstellen

Entwicklung eines Multi-Pod-Rechenzentrums mit Cisco ACI

von Franz Matthias

Unsere Arbeit bei HYPOPORT ist komplex, aber wir verfolgen damit ein einfaches Ziel: herausragende Erlebnisse für die Kunden unserer Kunden zu schaffen. Wir sind ein facettenreiches Softwareunternehmen mit mehreren Schwerpunkten.

HYPOPORT besteht aus mehreren autonomen Tochtergesellschaften. Wir sind im Wesentlichen ein Netzwerk aus Unternehmen, die Lösungen in den folgenden Servicebereichen entwickeln: Kredite, Privatkunden, Immobilien und Versicherungen. Zu den Unternehmen in unserem Netzwerk zählen die Europace AG, die FIO SYSTEMS AG, die Qualitypool GmbH, Dr. Klein, die Finmas GmbH und die Smart InsurTech AG. 

Unsere Plattformen vereinfachen die Online-Erfahrung. Dabei spielt es keine Rolle, ob die Kunden unsere Software als Grundlage für ihre Endbenutzerplattformen nutzen oder ihren Kunden damit über ein Online-Portal Zugriff auf Informationen und Services gewähren.

Die ultimative Herausforderung: Neustrukturierung eines in 15 Jahren gewachsenen Rechenzentrums

Ich stieß letzten Sommer zu HYPOPORT Systems, einem Serviceunternehmen aus der HYPOPORT-Unternehmensgruppe, um das Rechenzentrum des Unternehmens neu zu strukturieren. Ein Kollege und ich sind alleine zuständig für den Betrieb und die Wartung des IT-Netzwerks und der Infrastruktur des gesamten Unternehmens. Wir betreiben die Rechenzentren und die Netzwerkinfrastruktur an unseren Standorten und am Hauptsitz. Zu unserem Team gehört auch eine kleine Gruppe von Spezialisten für Linux, VMware und SQL. Wir bieten unseren Organisationen außerdem die Möglichkeit, virtuelle Systeme in unseren Rechenzentren zu erstellen. Unser Team ist für den reibungslosen Betrieb der IT-Systeme verantwortlich.

Auch wenn die Unternehmensstruktur komplex ist, muss die IT-Infrastruktur keineswegs ebenso kompliziert sein

Franz Matthias - Senior IT-Security Specialist, HYPOPORT AG

Meine erste Aufgabe als Security-Netzwerkarchitekt war die Umgestaltung und Bereitstellung neuer Rechenzentren für das Unternehmen. Im vorhandenen Rechenzentrum gab es einige Probleme. Da unser Unternehmen in den letzten 15 Jahren gewachsen war und sich weiterentwickelt hatte, waren im Laufe der Zeit immer wieder Änderungen an den Systemen vorgenommen worden.

Das Rechenzentrum und die Netzwerkinfrastruktur waren nun ein regelrechter Flickenteppich aus verschiedenen Komponenten, die im Laufe der Zeit hinzugefügt oder geändert worden waren. Wir waren an einem Punkt angelangt, an dem es uns für eine sinnvolle Fehlerbehebung schlicht an Einblick mangelte. Niemand hatte Zugriff auf einen vollständigen Überblick über das Rechenzentrum. 

Dies war problematisch, weil die Serververbindungen der Kunden unserer Kunden manchmal unterbrochen wurden. Die Kollegen scheuten vor Verbesserungen im Rechenzentrum zurück, weil sie die Befürchtung hegten, unabsichtlich etwas „kaputt zu machen“ und das Problem nicht wieder beheben zu können.

Als ich im Unternehmen neu anfing, bot sich gerade eine wunderbare Gelegenheit für Veränderungen, weil HYPOPORT im Begriff war, seinen Hauptsitz von Berlin nach Lübeck zu verlegen. Der Berliner Teil des Unternehmens sollte in Berlin verbleiben, dort jedoch in ein neues, größeres Gebäude ohne Unterbringungsmöglichkeiten für ein Rechenzentrum umziehen. Damit hatten wir die einmalige Chance, unsere Systeme und die Infrastruktur komplett zu überarbeiten und praktisch bei Null zu beginnen. Wir konnten das Rechenzentrum nicht mitnehmen. Daher mussten wir ein neues, über mehrere Standorte verteiltes Rechenzentrum mit integrierten Test- und Staging-Möglichkeiten aufbauen.

Neben der Einheitlichkeit des neuen Systems kam es uns bei der Entwicklung des neuen standortübergreifenden Rechenzentrums vor allem auf die Sicherheit an. Wir mussten sicherstellen, dass unsere Server und unsere Kunden, die unsere Services nutzen, individuell durch Filterung zwischen den Netzwerken und verschiedenen Standorten geschützt werden. 

Als die Zeit für den Neuaufbau kam, zogen wir Optionen wie die Software-Defined Networking-Lösung von VMware in Betracht, die sich jedoch als nicht geeignet erwiesen. Unsere Umgebung erfordert eine andere physische Verbindung, und wir konnten Software-Defined Networking nicht auf einem digitalen verteilten virtuellen Switch auf einem VMware ESXi-Server ausführen. Nachdem wir uns anderweitig auf dem Markt umgesehen hatten, war klar, welche Lösung am besten zu unseren Anforderungen passte: die Cisco ACI.

Auf die Plätze, fertig, Einsatz: Cisco ACI

Von Cisco ACI erfahren hatten meine Kollegen über unseren Partner Dimension Data. Ich wurde dazugeholt, um die Lösung zu entwickeln und bereitzustellen, weil ich schon seit Jahren Netzwerkinfrastrukturen entwerfe und Cisco seit 1996 nutze. Obwohl ich noch nie mit Cisco ACI gearbeitet hatte, wusste ich, dass die Lösungen von Cisco einfach zu erlernen sind, sodass ich mich schnell einarbeiten können würde. Die Cisco ACI-Infrastruktur lässt sich einfach implementieren, da Cisco die Lösung vorab konfiguriert. Viele Unsicherheiten werden also schon vor der Bereitstellung beseitigt.

Vorabkonfigurationen können die Infrastrukturbereitstellung vereinfachen.

Ein zentrales Ziel bei der Implementierung von Cisco ACI bestand darin, eine aktive Backup-Rechenzentrumsumgebung einzurichten und parallel dazu die entsprechenden Kosten zu reduzieren. Wir haben auch Layer-3-Netzwerke in unserer Umgebung aktiviert, weil wir beide Rechenzentren unabhängig voneinander nutzen und gleichzeitig Konvergenz ermöglichen möchten.

Wenn ein Service in Rechenzentrum A ausfällt, wird derselbe Service in Rechenzentrum B ausgeführt. Zusätzlich nutzen wir einige Docker-Container und Hochverfügbarkeits-Proxys, die sich die Last der beiden Rechenzentren teilen. Damit sind wir weitgehend vor Systemausfällen gefeit, denn wenn ein Rechenzentrum ausfällt, können die Services und die anderen Rechenzentren weiterlaufen, ohne dass wir eingreifen müssen.

Hinzufügen von Sicherheitsebenen und Ausfallsicherungen

Zwischen unseren Rechenzentren bestehen mehrere Dark-Fiber-Verbindungen. Layer 2 ist kein starkes Lastverteilungsprotokoll, sondern Failover-Technologie. Im Netzwerk muss also eine echte Lastverteilung stattfinden. Dies war ein weiterer Grund für die Implementierung von Layer 3 als Underlay-Netzwerk, denn damit können wir die Dark-Fiber-Verbindungen voll ausschöpfen. Derzeit nutzen wir unsere Dark-Fiber-Verbindungen mit 10 Gbit/s, bei Bedarf können wir jedoch künftig auf bis zu 40 GB/s skalieren.

Das Hinzufügen der DMZ war eine wichtige Maßnahme zur Verbesserung der Sicherheit. Sie unterteilt unser Netzwerk in 16 verschiedene Zonen, die für zusätzlichen Schutz jeweils durch eine Firewall getrennt werden. Jede Zone wird über beide Rechenzentren verteilt und hat eigene Layer-3-Subnetze in beiden Rechenzentren.

Wir nutzen beispielsweise die Cisco ISE für unser dot1x. Wir haben auch zwei Cisco ISE-Appliances: eine läuft in Rechenzentrum A, die andere in Rechenzentrum B. Wir möchten, dass sie für Failover und Clustering miteinander kommunizieren. Es soll aber auch jeder Client beide Rechenzentren erreichen können. Wenn die Rechenzentren miteinander kommunizieren, muss dies nicht über die Firewall laufen. Wenn jedoch ein Client die ISE zu erreichen versucht, muss der Datenverkehr über die Firewall geleitet werden. Dabei spielt es keine Rolle, welche ISE das Ziel ist.

Wir verwenden auch Security-Appliances der Cisco Firepower 4110-Serie in unseren beiden Rechenzentren, sodass verschiedene Routing-Pfade für die Umgebung vorhanden sind. Hier wird es etwas komplizierter. Doch trotz der zusätzlichen Komplexität sind die Konfiguration, Änderungen und die alltägliche Nutzung viel einfacher. Außerdem müssen wir Virtual Routing and Forwarding (VRF) auf dem Cisco Catalyst 9500 verwenden – dabei handelt es sich um unsere DMZ-Cores.

Ergebnisse erzielen: Paketverfolgung, Verschärfung der Sicherheit und optimierte Prozesse

Jetzt, nach der grundlegenden Überarbeitung unserer Rechenzentren, sind alle unsere Routen bekannt. Eines der größten Probleme bei der alten Infrastruktur war, dass jede Route oder alles, was wir für einen Client erreichen wollten, über eine Standardroute verlief. 

Darüber müssen wir uns nie wieder Gedanken machen. Wir haben jetzt nur noch zwei Standardrouten zur Internet-Firewall, und jedes Netzwerk im VPN, in einem Rechenzentrum, auf einem Cisco ACI-Tenant oder an einem unserer Standorte ist in der Routing-Tabelle bekannt. Wir können immer verfolgen, welche Route für ein Paket gewählt wird und weshalb.

Diese Transparenz ist für die Wartung und Sicherheit des Systems unerlässlich – insbesondere im Vergleich zur früheren Situation. In Cisco ACI verfügt jedes Unternehmen über einen eigenen Tenant. Auch ein Multi-Tenant-Setup ist möglich. Auf jedem Tenant können die von der Anwendung bereitgestellten Services voneinander getrennt werden. Jeder Tenant muss überlegen, weshalb bestimmte Server mit einem anderen Server kommunizieren und ob dies zugelassen werden soll. Für Server anderer Unternehmen ist es unmöglich, die Server zu erreichen, die ihnen nicht gehören. Genau das ist für unsere Anforderungen entscheidend. Auch hier schafft die DMZ eine zusätzliche Sicherheitsebene.

Der größte Vorteil der Umstellung auf Cisco ACI ist, dass wir sicher identifizieren und angeben können, wie der Datenverkehr verläuft (und die Gründe dafür erläutern), und ihn in Echtzeit überwachen können.

Eine stabile IT-Infrastruktur – jetzt und in Zukunft

Durch die grundlegenden Änderungen und den Wechsel zu Cisco ACI können wir unseren Mitarbeitern, unseren Kunden und den Kunden unserer Kunden nun bessere interne Services bieten.

Wir verfügen jetzt über eine stabile Infrastruktur, die einfacher zu verwalten ist. Im Februar ziehen wir in unser neues Büro um. Davor werden wir unsere virtuellen Systeme und physischen Services in die neuen Rechenzentren verschieben. Nach Abschluss der kompletten Migration werden wir über mehr als 20 Standorte verfügen, die mit dem Rechenzentrum verbunden sind.

Mit der Implementierung und Bereitstellung von Cisco ACI hat ein wichtiger Paradigmenwechsel bei unserer Geschäftstätigkeit, unseren Betriebsabläufen und der Erfahrung unserer Kunden und ihrer Kunden mit unseren Services stattgefunden. Im Alltag denken die meisten unserer Endbenutzer nicht über unsere Rechenzentren nach, aber sobald ein Problem auftritt, rücken diese in den Mittelpunkt. Die Umstellung ist noch nicht vollständig abgeschlossen – es liegt noch ein weiter Weg vor uns. Sobald die Migration jedoch vollzogen und unser neues Büro in Betrieb ist, werden wir hoffentlich nur noch hinter den Kulissen arbeiten.

Entdecken Sie die Vorteile von Cisco-Lösungen

Cisco ACI

Beratung zu Produkten und Lösungen

Wünschen Sie eine unverbindliche Beratung zu unseren Produkten und Lösungen? Kontaktieren Sie uns!

Übersicht Case Studies

Hier finden Sie einen Überblick über die aktuellen deutschen Kundenreferenzen.