Automationswerkzeuge für native Multicloud-Lösungen Zusammengefasst: Die 'HashiConf 2022' in Amsterdam

Anbieter zum Thema

HashiCorp, Inc

Dell GmbH

VMware Global Inc Zweigndl. Deutschland

Schwarz IT KG

Weltweit agierende Schwergewichte aus der Finanzwelt, der Plattform-Ökonomie, der Pharmazie und der Verkehrsinfrastruktur präsentierten ihre Multicloud-Lösungen auf der Veranstaltung „HashiConf 2022“ in Amsterdam.

Wenn es um die Verwaltung umfangreicher, dynamischer Multicloud-Umgebungen geht, dann ist Hashicorp mit seiner „Hashicorp Cloud Platform“ (HCP) eine der ersten Adressen. Auf der HashiConf 2022 in Amsterdam (nach zwei Jahren Pause zum ersten Mal wieder (auch) als Präsenzveranstaltung durchgeführt) warteten die Softwerker aus San Francisco denn auch bei den Kundenvorträgen mit prominenten Namen auf: Das Spektrum reichte von der Deutschen Bank über die Reisevermittlungsplattform booking.com und den Navi-Spezialisten TomTom bis zum Pharmariesen Roche und der schweizerischen Bundesbahn SBB (zu letzterer Anwendung bringen wir demnächst einen ausführlichen Artikel).

Auf seinen beiden Keynotes präsentierte Hashicorp-Mitgründer und Technologievorstand Armon Dadgar Updates für die hauseigenen Produkte „Terraform Cloud“ („infrastructure as a Code“) und „HCP Consul“ (Netzwerk-Management) sowie die öffentlich zugängliche Betaversion des neuen Remote Access-Produkts „HCP Boundary“, mit dem sich von überall her ein sicherer und feingranularer Zugang auf sich dynamisch ändernde Cloud-Anwendungen steuern lässt.

Mindestens genauso wichtig wie die Updates sind laut Aussage von Dadgar die rund 20 strategischen Partner, deren jeweilige Cloud-Angebote immer enger mit den Automatisierungslösungen von Hashicorp verzahnt werden. Die ab Juli 2022 allgemein verfügbare Version von HCP Consul innerhalb von „Microsoft Azure“ (zusätzlich zu den „Amazon Web Services“) ist dafür nur ein Beispiel.

Drei Phasen der Infrastrukturautomatisierung

Die einzelnen Produkte der Hashicorp Cloud Platform haben bei der Draufsicht auf die Cloud als Ganzes unterschiedliche Detailnähe beziehungsweise Detailferne. Während HCP Consul als Netzwerkdienst eher eine Draufsicht aus nächster Nähe verkörpert, ist die in Code gegossene Infrastruktur-Repräsentation von Terraform Cloud so etwas wie ein Blick auf die Erde jenseits der Stratosphäre.

Gleichwohl müssen und sollen Tools verschiedener Detailschärfe wie Terraform Cloud und HCP Consul bei der Automatisierung im Multicloud-Umfeld zusammenspielen. Denn wenn Unternehmen in die Cloud migrieren, benötigen sie eine Infrastrukturautomatisierung, um ihre Cloud-Ressourcen effizient bereitstellen und verwalten zu können.

Normalerweise besteht eine solche Infrastrukturautomatisierung aus drei verschiedenen Phasen: Einführung und Etablierung eines Provisioning-Workflows, Standardisierung des Workflows und Betrieb und Optimierung im großen Maßstab in Multicloud-Umgebungen sowie in privaten Rechenzentren.

Infrastruktur als Code ist zusammen mit geeigneten Leitplanken für diesen Prozess unerlässlich, aber natürlich auch Virtualisierung, Cluster-Management, sichere Container und Integration mit Partner-Produkten und Partner-Umgebungen innerhalb der „Cloud Native“-Szenerie.

Konfigurationsdrift als Gefahrenherd

Damit das Zusammenspiel gut klappt, ist wichtig, dass sich Entwickler, Administratoren und Sicherheitsspezialisten darauf verlassen können, dass nach der Bereitstellung der Infrastruktur der tatsächliche Zustand der Infrastruktur mit dem aufgezeichneten Zustand der Infrastruktur immer übereinstimmt.

Das ist nicht selbstverständlich; denn trotz aller Disziplin der Beteiligten führen aufeinanderfolgende Bereitstellungs-Workflows und vielfache Entwickler- und Infrastrukturzugriffspunkte dazu, dass die Infrastruktur häufig geändert und aktualisiert wird, so dass der Zustand der Infrastruktur oft nicht mehr mit dem im Code definierten Zustand übereinstimmt.

Eine derartige „Konfigurationsdrift“ kann viele Probleme verursachen: Anwendungen stürzen „unerklärlicherweise“ ab, Bereitstellungsprojekte scheitern oder es werden Infrastrukturänderungen versehentlich rückgängig gemacht, die eigens zur Behebung von sicherheitstechnischen Problemstellen installiert worden sind. Drift kann zu immensen Sicherheitsproblemen führen und nicht zuletzt zu hohen Kosten.

„Mit dem neuen Feature „Drift Detection for Terraform“ bietet Hashicorp jetzt einen zentralen Überblick über die gesamte Infrastruktur und gibt den Betreibern die Gewissheit, dass immer der letzte bekannte Terraform-Zustand vorliegt“, erklärte HashiCorp-Chef Dadgar in seiner Keynote.

Terraform Drift Detection erkenne präventiv, wenn sich eine Ressource gegenüber dem Zustand, den Terraform in der Statusdatei widerspiegelt, verändert hat. Die Workspaces-Ansicht enthalte eine neue Drift-Bezeichnung in der Workspace-Indexliste sowie einen Filter für Drift.

Das Erkennen von Drift und eine entsprechende Benachrichtigung sind aber nach Darstellung Dadgars nur der erste Schritt. Betreiber könnten entsprechende Probleme darüber hinaus direkt von der Terraform Drift-Registerkarte aus beheben, indem sie Änderungen mit einem „Refresh-Only“-Plan akzeptieren oder indem sie Änderungen am neuen Infrastrukturstatus vornehmen. Alles in allem seien die neuen Funktionen ein wichtiges Element im „Day Two“-Betrieb von Cloud-Infrastrukturen, so Dadgar abschließend.

Service-Mesh-Tool für MS und AWS

Der Upgrade-Block, den Dadgar in seiner Keynote am zweiten Tag der Konferenz vorstellte, betraf das Netzwerk-Management Tool („Service-Mesh-Tool“) HCP Consul. Die Integration in Microsoft Azure wurde oben schon angesprochen.

Laut des Hashicorp-Chefs ist „HCP Consul das erste verwaltete Service Mesh, das mehrere Cloud-Plattformen sowohl aus Sicht der Laufzeit als auch aus Sicht der zugrunde liegenden Infrastruktur unterstützt“. Damit komme man bei HashiCorp. „dem Ziel, eine konsistente Plattform für die Bereitstellung verwalteter Versionen aller HashiCorp-Tools über mehrere Clouds hinweg anzubieten, einen Schritt näher“.

Zu den Details: Für Azure-Nutzer kann HCP Consul Anwendungen unterstützen, die auf „Azure Kubernetes Service“ (AKS) oder „Azure Virtual Machines“ laufen. Cluster können entweder über die HCP UI oder den HCP Terraform Provider bereitgestellt werden.

Um Benutzern den Einstieg zu erleichtern, hat Hashicorp. eine Reihe neuer Anleitungen für die Bereitstellung von HCP Consul auf Azure veröffentlicht: Peering von HCP Consul mit einem „Azure VNet“, Konfigurieren von AKS als Consul-Client für HCP Consul, Verwenden von Terraform für die Bereitstellung von HCP Consul auf einer Azure VM und Konfigurieren von Azure VM als Client für HCP Consul.

Neues gibt es aber auch im AWS-Bereich. „In unseren Recherchen haben wir festgestellt, dass Unternehmen die Nutzung von serverlosen Lösungen wie AWS Lambda weiter ausbauen“, erläutert Dadgar. Mit der Möglichkeit, wichtige Funktionen dort auszuführen, wo sie benötigt werden, könnten die Unternehmen schneller und flexibler handeln, gleichzeitig entfalle der Bedarf an kosten- und zeitintensiver Infrastruktur für temporäre Aufgaben.

Gateway-Instanzen

Mitte Juni habe Hashicorp. deshalb eine Beta-Version der AWS Lambda-Unterstützung für Consul Service Mesh veröffentlicht. Die allgemeine Verfügbarkeit werde im Laufe des Jahres folgen.

Im Bereich von Consul API Gateway 0.3 gebe es jetzt die Funktion „hochverfügbare Gateway-Instanzen“. Mit dieser neuen Funktion könnten Consul API Gateway-Benutzer redundante Versionen von logischen Gateways einsetzen, die dieselbe Konfiguration verwenden.

Diese Instanzen könnten hinter einem herkömmlichen Application Delivery Controller (ADC) oder einer Perimeter-Lösung platziert werden, um eingehende Anfragen von verschiedenen Clients auszugleichen und so eine höhere Ausfallsicherheit im Falle eines Kubernetes-Pod-Ausfalls zu gewährleisten. Darüber hinaus böten hochverfügbare Gateway-Instanzen den Nutzern auch eine bessere Kontrolle über die Skalierung logischer Gateway-Instanzen nach Bedarf mit einem einzigen `kubectl`-Befehl, referierte Dadgar in seiner Keynote.

Consul-Ausblick

Last but not least hat der Hashicorp-Vordenker einen Ausblick auf das kommende Release von Consul 1.13 gegeben, das vor allem durch die Einführung einer neuen Funktion namens Cluster-Peering gekennzeichnet sei. Cluster-Peering vereinfacht laut Dadgar die Verbindung mehrerer Consul-Server und den Informationsaustausch zwischen Rechenzentren.

Dies ermögliche es Unternehmen, mehrere mandantenfähige Umgebungen zu verbinden und gleichzeitig die Isolierung auf administrativer Ebene beizubehalten. Unternehmen könnten damit steuern, welche spezifischen Partitionen miteinander kommunizieren können, und so die Kommunikation zwischen den Diensten im gesamten Netzwerk besser abstimmen.

HCP Boundary: Supersicherer Fernzugriff von überall

Ein Fernzugriff für ständig wechselnde Ressourcen in Multicloud-Umgebungen und von überall her bietet das als Beta-Version auf der HashiConf 22 vorgestellte Tool „HCP Boundary“. Das erstmals Ende 2020 als Open-Source-Projekt veröffentlichte Remote-Access-Werkzeug bietet „sicheren Fernzugriff auf Remote-Hosts und kritische Systeme über Cloud-Servicekataloge, lokale Infrastrukturen und Kubernetes-Cluster, ohne die zugrunde liegenden Systeme oder Abläufe verwalten zu müssen“. Es seien feingranulare Berechtigungen auf der Grundlage vertrauenswürdiger Identitäten möglich, so Dadgar in seiner Keynote.

Inwiefern sich HCP Boundary von anderen Fernzugriffs-Lösungen wir VPN, SSH-Bastionen oder Privileged Admin Management unterscheidet, werden wir demnächst in einem eigenen Beitrag erläutern. Im Übrigen wurde in Amsterdam von der versammelten Zuhörerschaft mit Beifall aufgenommen, dass HCP Boundary ab sofort auch als fertiges „managed“ Paket angeboten wird.

(ID:48429377)