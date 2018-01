IT-Services in die Cloud zu verlagern, kennt viele Vorgehensweisen. Bei ihren Managed-Print-Services geht es der Firma druckerfachmann.de um die maximale Eigenkontrolle, eine duale Auslegung und freie Wahl der Ressourcen. Dadurch ist einerseits eine sichere Administration möglich und andererseits ein maximaler Schutz der Server gewährleistet. Der Anwenderbericht zeigt, wie sich dies in Kombination mit dem passenden Hosting-Anbieter und den richtigen Managementtools realisieren ließ.

Bild 1: Duale Auslegung, räumliche Trennung und Vernetzung der view@print-Umgebung

unter Einsatz eines sogenannten Tresornetzes.



Seite 1 von 2 Nächste Seite >>

view@print sollte in eine duale Umgebung überführt werden. Gleichzeitig galt es, den Service sicherer zu machen und mit mehr Transparenz zu betreiben. Alle Änderungen am Dienst sollten revisionssicher über ein in sich abgeschottetes Managementsystem erfolgen. Dieses sollte sowohl den Umgang mit Windows als auch mit Linux beherrschen. Die vorhandenen, bisher verwendeten physischen Server sollten sich nach Möglichkeit vom Managementsystem weiter verwenden lassen.Dabei sollte die Option bestehen, die Inhalte der bestehenden manuell aufgebauten Server in einen Deployment-Stack zu überführen. Bei einem Deployment-Stack werden Betriebssystem, Softwarepakete, Konfigurationen und Daten sauber voneinander getrennt. Nach Möglichkeit sollte das Managementsystem auch ein Backup der separierten Daten ausführen, um sich den Einsatz einer zusätzlichen Backupsoftware zu ersparen. Die duale Auslegung wurde für zwei geografisch hinreichend voneinander entfernte Standorte im Berliner Raum geplant.Herzstück des neuen Ansatzes sind Managementserver, die mit der Software "Open Management Architecture" (OMA) von Arosoft betrieben werden. Der Hersteller implementierte einen sogenannten IT-Tresor und steuerte Feinheiten zur Umsetzung des neuen Konzeptes bei. Als Berliner Provider mit zwei Standorten und der nötigen Flexibilität in der Implementierung wurde die Firma d-hosting ausgewählt, die auch den Einsatz je eines physischen Managementservers an den beiden Berliner Standorten geplant hat. Als Vernetzung zwischen den Standorten kam ein eigenes VLAN zum Einsatz, das beide Managementserver verbindet. Auf dieses sogenannte Tresornetz kann von außen per VPN zugegriffen werden. Nachdem eine sichere VPN-Verbindung zum Tresornetz autorisiert ist, kann ein Login auf die Managementserver erfolgen. Diese haben zu jedem Standort ein Managementnetz geschaltet.Die zweite Netzwerkkarte jedes Managementservers ist mit dem Managementnetz des Standorts A verbunden. Die dritte Netzwerkkarte jedes Managementservers ist mit dem Managementnetz des Standorts B verbunden. Dadurch kann der Managementserver am Standort A alle Systeme am Standort B bespielen und umgekehrt. Eine direkte VPN-Verbindung auf die Managementnetze ist nicht möglich. Jeder Computer des view@print-Service hat neben der Management-Netzwerkkarte noch eine zweite Netzwerkkarte, die mit einer festen, öffentlichen IP-Adresse versorgt werden kann. Zugriff auf die öffentliche IP-Adressen des view@print-Dienstes ist nur Protokollen erlaubt, die für die Funktionsweise des Service nötig sind. Für interne Server von view@print wurden keine öffentlichen IP-Adressen vergeben, um die Angriffsfläche im Internet maximal einzuschränken. Die Managementserver haben also generell nie Kontakt zum Internet und benötigen keine öffentliche IP-Adresse.Mit Hilfe der Managementnetze lassen sich die Computer des view@print-Service vom Netz booten und bespielen. Laufende Systeme können modifiziert und überwacht werden. Welcher Teil des view@print-Dienstes im Internet das aktuell produktive System ist, regelt sich über die Internet-IP-Adresse. Fällt zum Beispiel der erste Docuform-Server aus, vergibt das Management die produktive Internet-IP-Adresse des Docuform-Servers an den zweiten Docuform-Server. Dadurch kann der DNS-Eintrag, den druckerfachmann für den Docuform-Server vergeben hat, immer gleich bleiben.Um bei der Verwaltung völlig autark agieren zu können, sind beide Managementserver physische Geräte, deren Hardware von d-hosting gemietet wurde. Aus Gründen der einfacheren Lizenzierung handelt es sich auch bei den beiden Docuform-Server um physische Computer. Alle anderen Systeme sind virtuelle Maschinen, die an den zwei Standorten auf vier Virtualisierungsserver verteilt sind. Diese laufen unter Linux und verwenden die Software KVM. Bild 1 zeigt das Konzept der verwendeten Vernetzung an den beiden Standorten unter Einsatz eines Tresornetzes, zweier Managementnetze und eines Internet-Subnetzes.