Sicherheit und Compliance
Das letzte Stück dieses Puzzles ist Sicherheit und Compliance:
1. Gibt es irgendwelche Data-Governance-Gesetze oder Compliance-Vorschriften, die für die Anwendung oder deren Daten gelten? Wenn ja, kann dies zu Einschränkungen führen, wo die Anwendung ausgeführt werden kann.
2. Gibt es eine klar definierte Sicherheitsrichtlinie für die Anwendung? Wenn nicht, sollte dies sofort nachgeholt werden.
Dieses Dokument sollte alle Sicherheitsanforderungen für die Anwendung definieren, einschließlich Authentifizierung, Autorisierung, rollenbasierte Zugriffskontrolle, Firewall-Regeln und Verschlüsselungsanforderungen. Wenn es eine bestehende Richtlinie gibt, ist festzulegen, was geändert werden muss, wenn die Anwendung verschoben wird. Es ist anzumerken, dass die Durchsetzung von Sicherheitsrichtlinien innerhalb eines Cloud-Providers ein hohes Maß an Recherche und Planung erfordert.
Empfehlenswert ist es, sich zu Beginn des Planungsprozesses mit den Sicherheits- und Compliance-Teams abzustimmen. Diese werden es zu schätzen wissen, von Anfang an Teil des Projekts zu sein, und können für die Planung wertvolle Ratschläge beisteuern. Niemand will Zeit in die Planung einer Anwendungsmigration stecken, nur um sie aus Sicherheits- oder Compliance-Gründen abzubrechen.
Die Migrationsdestination verstehen
Was den Aufwand betrifft, wird es immer einfacher sein, eine Anwendung an ein Ziel zu migrieren, das einen ähnlichen Technologie-Stack verwendet als einen, der sich deutlich unterscheidet. Das vorliegende WordPress-Beispiel, das in VMware läuft, stellt ein Problem dar, da keiner der großen Cloud-Anbieter einen VMware-Hypervisor in seinem nativen Computing-Angebot betreibt. Dies kann dazu führen, dass der Anwendungsbesitzer einen der vielen kleineren Anbieter, die so etwas anbieten, oder in großen Anwendungsfällen VMware Cloud auf AWS in Betracht ziehen muss. Die großen Clouds bieten attraktive Preise, Konnektivität und Add-On-Services, so dass es sich oft lohnt, den Wechsel vorzunehmen, aber es gibt einige Dinge zu beachten.
Die Migration von VMs in die Cloud ist ein einfacher Weg, um sich mit der Oberfläche und den Tools vertraut zu machen, aber in einigen Fällen wird man gezwungen sein, „Cloud-native“ Prinzipien zu übernehmen. Cloud-native Anwendungen werden von Grund auf neu entwickelt, um die Vorteile von Cloud-Computing-Funktionen zu nutzen, und basieren in der Regel teilweise oder ganz auf der Zwölf-Faktor-Anwendungsmethodik für webbasierte Anwendungen. Ein vollständiges Refactoring der Anwendung auf eine Cloud-native Architektur ist eine Option für die Migration, kann aber aus zeitlichen oder finanziellen Gründen nicht möglich sein. Im Rahmen der Migration der VMs kann man damit beginnen, einige Cloud-basierte Prinzipien im eigenen Tempo zu übernehmen.
Die erste große Veränderung
Die erste große Veränderung für die meisten Unternehmen ist die Umstellung von VMs mit statisch zugewiesenen IP-Adressen auf dynamische Adressen, die über DHCP zugewiesen werden. Das bedeutet, dass DNS-Einträge verwendet werden müssen, um sich mit VMs und Diensten zu verbinden. Die großen Cloud-Anbieter machen dies so einfach wie möglich, indem sie DNS-Einträge für VMs sowie verwaltete DNS-Angebote generieren, die programmgesteuert über die API verwaltet werden können.
In einer traditionellen Umgebung ist es normalerweise kein Problem, eine IP-Adresse in den Konfigurationsdateien für MariaDB, WordPress oder NGINX fest zu codieren. Das ist genau das, was in diesem Beispiel erfolgt ist, als WordPress im Labor konfiguriert wurde. Bei der Migration der VMs zu AWS wurden die Konfigurationsdateien angepasst, um die für jede VM erstellten DNS-Einträge zu verwenden, und sie funktionierten genau wie erwartet. Die folgenden Diagramme stellen eine vereinfachte Darstellung der VMs vor und nach der Migration dar.
Für eine große Produktionsumgebung ist dies ein perfekter Anwendungsfall, um die Automatisierung zu nutzen. So können Sie beispielsweise programmgesteuert DNS-Einträge erstellen, die auf Ihre Cloud-basierten VMs verweisen. Hätte man DNS überhaupt verwendet und so gestaltet, dass die Hostnamen m Labor und AWS gleich sind, wären keine Konfigurationsänderungen erforderlich gewesen. Letztendlich ist DNS eine viel flexiblere Lösung als fest programmierte IPs, erfordert aber zusätzliche Planung.
Netzwerkplanung und -überlegungen
Netzwerkkonfigurationen wie Routing, Firewall-Regeln, Network Address Translation (NAT), VPNs und Load Balancing erfordern ein gutes Stück Planung, um sicherzustellen, dass sie den Geschäftsanforderungen entsprechen. Alle notwendigen Teile sind verfügbar, aber die Implementierung wird anders aussehen und sich anders anfühlen als in einer traditionellen Umgebung. Cloud-Provider-Netzwerke sind vollständig softwaredefiniert, so dass es keine zentrale Firewall oder Load Balancer zu konfigurieren gibt.
Dies bedeutet auch, dass die Menge der Ressourcen, die verbraucht werden können, in Bezug auf Netzwerk-Präfix-Routen, öffentliche IP-Adressen, VPN-Tunnel etc. begrenzt ist. Daher sollte man die vom Cloud-Anbieter vorgegebenen Limits kennen und wissen, welche Maßnahmen zu ergreifen sind, wenn man das Limit erhöhen muss. Manchmal kann dies mit einem API-Aufruf erreicht werden, aber in anderen Fällen muss man ein Supportticket öffnen.
Sobald die VMs migriert und verschiedene Netzwerk- und Sicherheitsfunktionen konfiguriert sind, gelangt man an eine Weggabelung. Es ist möglich, die Anwendung in der Cloud so zu belassen, wie sie ist, oder mit der Evaluierung zusätzlicher Dienste des Anbieters beginnen, um Geld zu sparen oder den Verwaltungsaufwand zu reduzieren. Datenbanken sind ein gutes Beispiel für einen Cloud-Service, der es wert ist, in Betracht gezogen zu werden. Warum sollte man MariaDB in einer VM laufen lassen, wenn man die Daten zu geringeren Kosten in eine kompatible verwaltete Datenbank importieren kann? Dies ist ein Beispiel für viele ähnliche Dienste, die in den großen Clouds verfügbar sind.
Weniger Aufwand
Dieser Beitrag hat einige wichtige Punkte hervorgehoben, die bei der Migration von Anwendungen zu beachten sind, und es mangelt dabei nicht an schwierigen Problemen, die zu lösen sind. Cloud Data Management kann auf elegante Weise einen Großteil dieser Probleme lösen.
Nachdem auch andere Methoden zur Migration von VMs zu einem Cloud-Provider verwendet werden können, fiel die Entscheidung hier für Rubrik CloudOn, um eine WordPress-Anwendung auf AWS zu migrieren. Abgesehen von den oben genannten Änderungen an der Konfigurationsdatei hätte es nicht einfacher sein können. Die VMs wurden dem entsprechenden SLA hinzugefügt und die Cloud-Konvertierung aktiviert. Nachdem die Snapshots auf AWS repliziert und die Konvertierung von VMware VM zu Amazon AMI abgeschlossen war, ließ sich jede VM problemlos in der AWS Virtual Private Cloud starten. Dies ist eine gute Option für Unternehmen, die einen praktikablen Weg in die Cloud suchen.
Der entscheidende Ansatz ist, die betreffende Anwendung und die Änderungen, die erforderlich sind, um sie in die Cloud zu verschieben, zu verstehen. In Kombination mit der umfassenden Automatisierung und den Ressourcen von Rubrik Build lässt sich eine maßgeschneiderte Lösung entwickeln.
www.rubrik.com