Cloudsecurity vereist veel CPU-capaciteit in datacenters

Door: Frans van der Geest, Fred Fransen Communicatie

Cloudsecurity vereist veel CPU-capaciteit in datacenters

09-12-2020

Cloudsecurity vereist veel CPU-capaciteit in datacenters

Slimme ’off-load’ kaarten moeten belasting door netwerkverkeer en data encryptie bij cloud containers opvangen. 

Veel datacenters op de wereld zijn nog gebaseerd op traditionele hyper-converged architecturen. Door die te transformeren naar microservices en software gebaseerde architecturen, moet het toewijzen van taken aan en het beheren van servers in een on-premise omgeving net zo soepel verlopen als bij afname van een IT-infrastructuur in de public-cloud. De security eisen maken het noodzakelijk elke enkelvoudige server te voorzien van een eigen firewall. Elke versleutelde transactie in het datacenter vraagt om verwerkingssnelheid. De servercapaciteit zal voor 20 tot 40 % worden belast door netwerkactiviteiten en data encryptie. De oplossing ligt in het ontlasten van CPU’s en GPU’s bij het verwerken van netwerkverkeer en data-opslag. Terwijl de grote partijen in de hypercloud zich nu pas buigen over specifieke Data Processing Units (DPU’s) en netwerk-ontlastende ’SmartNICS’, levert de scale-up Diamanti al 3 jaar ’off-load’ kaarten voor zowel netwerkverkeer als storage voor elk x86 platform via standaard plug-in PCI-e hardware.   

Goed gedefinieerde API’s en een ruime keuze in tooling maken een IT-infrastructuur met microservices in de cloud aantrekkelijk voor systeemontwikkelaars. Kleine, functiegerichte apps laten zich snel en effectief samenstellen, onderhouden en verpakt in Kubernetes-containers veilig via internet uitrollen. Toch denken analisten niet dat VM-gebaseerde infrastructuren direct verdwijnen. VM en Kubernetes zullen nog een tijd met elkaar moeten leven binnen een hybride omgeving. Containers zijn als virtualisatielaag effectiever dan VM-architecturen. Des te meer softwaretoepassingen zich in containers bevinden, des te alerter een IT-organisatie kan regeren op uitdagingen en kansen voor de business. Dankzij de actieve cloud native gemeenschap neemt de functionaliteit voortdurend toe, waardoor de technologie zich breed laat inzetten. 

Kubernetes slechts orkestratie tool

Bij gevirtualiseerde infrastructuren beschikt elke virtuele machine over een eigen besturingssysteem. Containers delen echter de basiscomponenten van het onderliggende Linux-besturingssysteem. Daarmee wordt virtuele overhead voorkomen. In sommige omgevingen voldoet alleen een hybride oplossing. Een veel gebruikte database applicatie van een verouderde architectuur giet je niet gemakkelijk in een containerstructuur. Bovendien is Kubernetes slechts een orkestratie tool. Er zijn aanvullende onderdelen nodig om de Kubernetes-clusters adequaat te laten reageren op de veranderende business behoeften van ondernemingen. Vooral de zogeheten ’stateful’ applicaties eisen voldoende dataopslag en een efficiënte afhandeling van het netwerkverkeer. Uiteindelijk draait het om het goed beheren van een hybride infrastructuur en gelijktijdig simplificeren van die infrastructuur. In die context biedt een Hyper Converged Infrastructure (HCI) meer dan ooit de oplossing. Experts noemen drie partijen die met succes Kubernetes en HCI weten te combineren. VMware integreert Kubernetes simpelweg in zijn hypervisor. De licentiekosten kunnen weliswaar hoog uitpakken, maar in termen van TCO is het beheren van één infrastructuur gemakkelijker dan het beheren van een complexe hybride omgeving.

Klanten van Nutanix ervaren hetzelfde voordeel. Anders dan bij VMware zijn de Kubernetes onderdelen transparant geïmplementeerd boven op de inmiddels cloud gebaseerde hypervisor. De derde partij is de scale-up Diamanti. Hun technologie slaat een gehele nieuwe weg in met separate hardware voor de ’off-load’ van data en netwerkverkeer, geïntegreerd en geoptimaliseerd voor het Kubernetes-platform. De functionaliteit van het orkestratiemechanisme draagt bij aan de prestaties, efficiency en versimpeling van de Kubernetes-applicaties. De technologie laat zich toepassen in combinatie met de andere twee HCI-omgevingen, maar is ook ’bare metal’ te implementeren, dus rechtstreeks op de onderste laag van het besturingssysteem. Zonder virtuele overhead en met volledige ondersteuning van ‘stateful’ applicaties staat deze oplossing volgens de experts garant voor voldoende opslagcapaciteit voor grote hoeveelheden applicatie gebonden data.

4C’s van Cloud Native Security

De Californische ’scale-up’ biedt de ’offload’ faciliteiten via standaard plug-in PCI-e hardware van netwerk en storage dataverkeer op elk x86-platform. Applicatieverkeer via de implementatie van op SR-IOV (Single Root I/O Virtualization) gebaseerde ’data planes’ is op hardware niveau volledig geïsoleerd van het host netwerk en andere containernetwerken. Daarmee bewerkstelligt de technologie niet alleen een acceleratie in prestaties op de servers, maar draagt ook bij aan de beveiliging, zodat de effectiviteit van hackersaanvallen dramatisch afneemt en de beschikbaarheid van data na een onverhoopte hack of een crash is gegarandeerd. Met de hardware komt gelijktijdig een software stack met volledige CNI- en CSI-functionaliteit (Container Network Interface; Container Security Initiative). De stack omvat verder voorzieningen voor netwerkisolatie, persistent geheugen, data beveiliging, herstelprocedures, kwaliteitsbewaking en zowel beheer als orkestratie van containers. Chinmay Gaikwad, technical marketing engineer bij Diamanti licht de structuur toe achter het security-concept. Hij benoemt ze als de 4C’s van Cloud Native Security. ”In de eerste laag vinden we de code: de bronprogrammatuur. Daarna volgen de containers: Dockers dan wel CRI-O, gevat in Kubernetes clusters. De onderliggende laag is een Corporate Data Center infrastructuur of een cloud-infrastructuur, afgenomen van Diamanti, Microsoft Azure, AWS of Google Cloud.”  

Voor zowel grote als kleine ondernemingen wordt het volgens Gaikwad eenvoudiger om softwareapplicaties veilig in de hybride cloud onder te brengen in een container gebaseerde architectuur zonder dat zij zich moeten verdiepen in de technische details van de onderliggende infrastructuur. Zo levert zijn werkgever voor alle genoemde infrastructurele domeinen een beheerconsole waarmee gebruikers in één overzicht alle benodigde informatie verkrijgen om clusters te beheren, ongeacht of die on-premise staan of zijn ondergebracht op public cloud platforms. Gebruikers maken op de verschillende platforms probleemloos clusters aan, rollen applicaties uit en migreren ze tussen zowel de uiteenlopende cloud omgevingen als tussen hun on-premise installaties en de cloud. Ook laten zich Disaster Recovery (DR) faciliteiten creëren met fouttolerante clusters in zowel de public cloud als de on-premise omgeving waardoor storingen op één enkele plek niet direct leiden tot uitval van alle IT-voorzieningen. 

Diamanti_storage layer.png

Container Cluster Case

Intesa Sanpaolo is een Italiaanse bank met een marktkapitalisatie van ruim 37,4 miljard euro. De organisatie startte met een transformatietraject voor het digitaliseren van de bedrijfsprocessen en migratie van softwaretoepassingen van een monolitische architectuur naar een container-architectuur. De snelheid van applicatieontwikkeling moest omhoog en de omvang van de applicaties verkleind ten behoeve van de flexibiliteit, schaalbaarheid en betrouwbaarheid. De architectuur van microservices liet zich lastig opschalen over tijdzones en geografisch verspreide afdelingen. Daarnaast was het ontwikkelen en draaien van 3000 interne applicaties niet meer te managen.

Voor de on-premise computervoorzieningen moest de bankorganisatie op zoek naar een andere Kubernetes-aanpak. Die werd gevonden bij Diamanti. De Italianen lieten zich een ’hyper converged’ platform onder Red Hat OpenShift aanmeten met een geïntegreerde controle over data en processen in de containers vanaf de I/O operatie van een enkelvoudige container tot aan meervoudige clusters in hun on-premise omgeving. Het platform voorziet in orkestratiefunctionaliteit van containers rechtstreeks op Linux zonder de overhead en lock-in van ‘Virtual Machines’ en ‘Hypervisors’. De bank is nu met behulp van datacenterfaciliteiten van Telecom Italia grote delen aan het migreren naar de Google Cloud met behoud van de Diamanti-stack als managementlaag voor cloud-native container applicaties, zowel tijdens de migratie als daarna in de private cloud en in de on-premise omgeving. ”Intesa Sanpaolo selecteerde Kubernetes als platform voor innovatie voor zowel on-premise datacenters als voor applicaties in de public-cloud. Diamanti’s oplossing past in onze visie op een naadloze en veilige hybride cloud omgeving voor microservices applicaties, die tegemoet komen aan de stringente bedrijfseisen op het vlak van prestaties en hoge beschikbaarheid”, aldus Nicola Carotti, ’Head of Cloud and Collaboration’ bij de bank.

Door: Frans van der Geest 

Terug naar nieuws overzicht

Tags

Security, Cloud
Security