Praxistest Ionos Private Cloud
Auswärtsspiel mit VMware vSphere
Fortsetzung des Artikels von Teil 1
Management-Zugriff per VPN
Erste Anlaufstelle für Private-Cloud-Nutzer ist das Ionos-Portal. Um auf die Management-Konsolen des VMware vCenter und der SDN-Lösung NSX-T zugreifen zu können, ist zuerst eine VPN-Verbindung zu Ionos’ Management-Netz aufzubauen. Die Portalseite stellt dafür einen Download-Link und eine Open-VPN-Konfigurationsdatei bereit. Die einzelnen Schritte für die VPN-Einrichtung sind in einer Kurzanleitung verständlich beschrieben. Wir konnten damit die VPN-Verbindung innerhalb weniger Minuten konfigurieren. Weitere Hilfestellungen sucht der Administrator allerdings vergebens. Ionos verweist darauf, dass bei VMware umfangreiche Dokumentationen erhältlich sind und sich die Private Cloud an erfahrene VMware-Administratoren richtet.
Sobald wir die VPN-Verbindung hergestellt hatten, konnten wir uns per Web-Browser an der vCenter-Konsole und am NSX-Manager anmelden.
Für den LANline-Test installierten wir auf dem ESXi-Cluster mehrere virtuelle Server. Dazu kopierten wir zunächst die Installationsdateien für W2019, W2016 und Ubuntu Linux auf den VSAN-Datastore. Dann legten wir per vCenter die VM-Hüllen an und installierten die Betriebssysteme. Die drei VMs erhielten von dem im internen Private-Cloud-Netz standardmäßig aktiven DHCP-Server automatisch eine IP-Adresse und konnten über den integrierten Proxy-Server auf das Internet zugreifen. Um VMs weitgehend automatisiert bereitzustellen, lassen sich die VM-Templates des vCenter nutzen. Wir erzeugten aus der W2016-VM ein Template und konnten damit neue VMs per Mausklick bereitstellen. Auch die Snapshot-Funktionen lassen sich wie gewohnt für die virtuellen Maschinen nutzen.
Hochverfügbarkeit vorgegeben
An den Standardeinstellungen des ESXi-Clusters lassen sich nur wenige Änderungen vornehmen, da Ionos für die Funktionsfähigkeit der vSphere-Basisinfrastruktur verantwortlich ist. Die vSphere HA-Funktion ist immer aktiviert und stellt sicher, dass VMs beim Ausfall eines Hosts automatisch auf einem anderen ESXi-Host neu starten. Weitergehende Einstellungen wie Proactive HA lassen sich nicht konfigurieren. Das Distributed Resource Scheduling (DRS) für eine Lastverteilung der VM-Workloads auf die ESXi-Hosts ist im vollautomatisierten Modus aktiv und lässt sich nicht ändern. Die Berechtigung, einen ESXi-Host in den Wartungsmodus zu nehmen, ist ebenfalls Ionos vorbehalten, ist doch der Provider dafür zuständig, die
vSphere-Infrastruktur auf dem aktuellen Stand zu halten. Vor unerwünschten Zugriffen schützt Ionos die Private Clouds per IDS/IPS (Intrusion-Prevention/Detection-System), die als äußere Barriere dienen. Zudem überwacht und dokumentiert Ionos mit einem SIEM-System (Security-Information- und Event-Management) kontinuierlich auffällige Ereignisse. Für die Sicherung der auf dem ESXi-Cluster laufenden virtuellen Systeme ist der Anwender dagegen selbst verantwortlich. Dies umfasst Backup und Restore wie auch Firewall- oder Antivirenlösungen. Für die Zukunft ist vorstellbar, dass Ionos auch vorkonfigurierte Lösungen zum Beispiel für Backup und Recovery von VMs als optionale Komponente anbietet.
SDN mit NSX-T
Um die in der Ionos Private Cloud laufenden VMs mit dem eigenen RZ zu verbinden, kommt VMwares SDN-Lösung (Software-Defined Network) NSX-T zum Einsatz. Sie bietet umfassende Konfigurationsmöglichkeiten für den Datenverkehr, die von Layer 2 bis Layer 7 reichen, darunter die Konfiguration von Gateways, Routern, Load Balancern und Firewall-Regeln. Für das NSX-Management stehen je nach Aufgabenbereich unterschiedliche Benutzerrollen zur Verfügung. Der NSX-Administrator kann viele Arbeiten durchführen, es gibt aber Spezialaufgaben wie die VPN-Konfiguration, für die ein anderer Benutzer zu verwenden ist. Für die Standortanbindung stehen mit NSX-T unter anderem IPSec- und Layer-2-VPNs als Kopplungsoptionen zur Verfügung. Eine Verbindung der „Ionos Private Cloud vCenter“-Instanz mit einem im Anwender-RZ betriebenen vCenter ist bislang nicht vorgesehen.
Beim LANline-Test konnten wir die Standortkopplung nicht einrichten, weil uns nur ein normaler Privatkunden-DSL-Anschluss zur Verfügung stand. Die Kopplung einer Ionos Private Cloud mit dem eigenen Rechenzentrum erfolgt in der Regel über dedizierte VPN-Gateway-Systeme und Business-Internet-Anbindungen, die vom Internet aus über eine öffentliche IP-Adresse erreichbar sind. Für den Konnektivitätstest beschränkten wir uns deshalb darauf, von einer VM in der Private Cloud aus per RDP (Remote Desktop Protocol) über das Internet auf einen Windows-Rechner im LANline-Testnetz zuzugreifen. Dafür richteten wir auf dem DSL-Router des Testnetzes ein Port-Forwarding für eingehende RDP-Verbindungen über TCP 3389 ein, das alle Pakete an einen Windows-Server weiterleitete. Nun konnten wir uns von der Windows-VM in der Ionos Private Cloud aus per RDP an dem Rechner im Testnetz anmelden.
- Auswärtsspiel mit VMware vSphere
- Management-Zugriff per VPN
- Einfach und schnell skalierbar
Lesen Sie mehr zum Thema
