übersicht Blog
Virtuelle IT-Infrastruktur - Infrastructure as Code

Tobias Kluge

Teilen

09. January 2024

Blaupausen für die IT-Infrastruktur – Infrastructure as Code mit Terraform & Azure

In der Cloud können sehr einfach und schnell neue Ressourcen wie virtuelle Maschinen, Storage Accounts und Web-Applikationen erstellt werden. Um die IT-Infrastruktur in der Cloud langfristig zu pflegen und zu verwalten, werden aber immer mehr Aufwände nötig. Schnell entsteht ein Chaos, wenn mehrere Personen daran arbeiten.

Was bringt Infrastruktur as Code?

Mit «Infrastructure as Code» (IaC) wird die Systemarchitektur in Konfigurationsdateien beschrieben.

  • Diese Dateien werden in einem Git Repository versioniert und historisiert, damit Änderungen nachvollzogen werden können.

    Beispiel: Ein virtueller Server mit Namen, IP-Adressen und der Konfiguration von CPUs, RAM und virtuellen Festplatten wird beschrieben.

  • Mit «Pull Requests» können diese Änderungen von Kollegen geprüft und freigegeben werden – und werden erst danach auf die produktive Umgebung ausgerollt.

    Beispiel: der Arbeitsspeicher wird erhöht – indem der Konfigurationswert angepasst wird. Diese Änderung wird vom Change Manager der Infrastruktur geprüft und anschliessend freigegeben.

  • Zusätzlich können automatische Prüfungen auf den Konfigurationsdateien ausgeführt werden, damit mögliche Konfigurationsfehler und Sicherheitslücken proaktiv gefunden und angepasst werden.

    Beispiel: Auf dem Server sind Standard-Ports freigegeben, die nicht von aussen erreichbar sein müssen. Der Sicherheitsscanner schlägt vor, die Konfigurationsdatei anzupassen.

Fazit – Infrastruktur im Code ist empfehlenswert, da

  • Infrastruktur Komponenten können einfach «dupliziert» und neu erstellt werden.

  • Infrastruktur kann auf Knopfdruck erstellt und auch wieder gelöscht werden.

  • Änderungen sind nachvollziehbar und versioniert.

  • Änderungen können geprüft und freigegeben werden.

Wie funktioniert es (vereinfacht)

Die verschiedenen Komponenten der IT-Infrastruktur wie beispielsweise virtuelle Netzwerke, virtuelle Server, virtuelle Speichersysteme und andere Komponenten werden durch Textdateien in einem maschinenlesbaren Format beschrieben. Es gibt Vorlagen für die jeweiligen Typen.

Der System-Engineer erstellt die Konfigurationsdatei und definiert die benötigten Werte. Für nicht definierte Werte gelten die Standardwerte vom Cloud Anbieter oder Tool.

Alternativ kann auch die Konfiguration eines bereits existierenden Systems ausgelesen und in einer Konfigurationsdatei importiert werden. Dabei sind aber alle Konfigurationswerte ausgefüllt, das häufig zu vielen Informationen führt.

Mit dem IaC-Tool wird die Konfigurationsdatei geprüft. Etwaige Fehler oder Inkonsistenzen werden korrigiert. Ist alles korrekt, kann die Konfigurationsdatei auf die Umgebung angewendet und die Änderung durchgeführt werden.

Beispiel einer Azure Cosmos No-SQL Dokument-Datenbank und weitere Ressourcen mit Terraform

Beispiel einer Azure Cosmos No-SQL Dokument-Datenbank und weitere Ressourcen mit Bicep (als Modul)

Welche Technologien gibt es?

Es gibt verschiedene Lösungen, zu den bekanntesten zählen Pulumi und HashiCorp Terraform. Microsoft bietet mit ARM (Azure Resource Manager) und Bicep eigene Lösungen speziell für die Azure Cloudplattform an.

Die Technologien unterscheiden sich nach den unterstützten Cloud-Anbietern, der Lizenzierung und natürlich in der Funktionalität.

Für Multi-Cloud und herstellerübergreifende Infrastructure-as-Code ist Terraform von HashiCorp aktuell weit verbreitet. Wir setzen es in verschiedenen Kundenprojekten ein, um Infrastruktur auf Azure zu erstellen und zu verwalten.

Aufgrund von Lizenzanpassungen vom Hersteller HashiCorp, gab es im Jahr 2023 einen «Fork» mit dem Ziel, eine frei verfügbare (im Sinne von «open source» und freier Nutzung) Variante davon zu erstellen. Diese trägt den Namen OpenTofu und bietet ähnliche Funktionalität.

Beispiel – Kubernetes Cluster in bestehende On-Premises Umgebung integrieren

Für ein Kundenprojekt sollte in kurzer Zeit ein Kubernetes Cluster erstellt und ins bestehende On-Premises Netzwerk integriert werden.

Phase 0 – Initialisierung

Im Projektverlauf wurde Terraform evaluiert und eingeführt. Die Infrastruktur-Konfiguration wurde in einem git Versionsverwaltungssystem eingecheckt.

Änderungen von den verschiedenen Engineers konnten parallel durchgeführt, miteinander kombiniert, geprüft und anschliessend ausgeführt werden.

Phase 1 – Aufbau einer Testumgebung

Um den Aufbau ohne Beeinträchtigungen der normalen IT-Umgebung zu durchzuführen, wurde temporär eine separate Test-Umgebung auf Azure erstellt.

Schrittweise wurde die Infrastruktur aufgebaut:

  • Landing Zone in der Azure Umgebung mit VPN ins On-Premises Firmennetz und verschiedenen VLANs

  • Kubernetes Cluster (Azure Kubernetes Service) und die benötigten Firewall-Regeln

  • Umsysteme und weitere Komponenten

Die Änderungen wurden dann jeweils vom Cloud Architekt geprüft und mit dem bestehenden Infrastruktur-Code zusammengeführt.

Nach anschliessendem Sicherheitsreview konnten die Änderungen produktiv genommen werden.

Phase 2 – Go Live

Die produktive Umgebung wurde mit dem gleichen Code wie die Testumgebung erstellt. Die nicht mehr benötigte Testumgebung konnte anschliessend gelöscht werden.

Phase 3 – Änderungen im produktiven Betrieb

Gibt es Anpassungen aus dem laufenden Betrieb, wie beispielsweise neue Firewall-Regeln für Applikationen auf dem Kubernetes-Cluster, werden diese im Code beschrieben und separat getestet, mit 4-Augen-Prinzip geprüft und erst anschliessend auf die produktive Umgebung übernommen.

Zusätzlich wurden weitere Komponenten wie eine Container Registry sowie ArgoCD fürs Einspielen von neuen Container-Images im Kubernetes ergänzt.

Infrastructure-As-Code bei DevOps Entwicklung

Gerade im Kontext von DevOps – Entwicklung und Betrieb werden vom gleichen Team übernommen – spielt Infrastructure-as-Code die Vorteile aus.

Entwickler können die benötigte Systemkonfiguration selbst beschreiben und erstellen lassen. Änderungen sind automatisch sicht- und nachvollziehbar - und können vom Infrastruktur-Team geprüft werden.

Mit Helmcharts lässt sich auch die Infrastruktur wie Netzwerkverbindungen und Speicher in einem Kubernetes Cluster beschreiben und beispielsweise mit ArgoCD automatisch anwenden.

Auch diese Konfigurationsdateien werden «eingecheckt», versioniert und automatisch auf die Infrastruktur im Kubernetes-Cluster angewendet.

Cloud Engineering

Erfolgreich in die Cloud mit der optimalen Strategie. Mit der richtigen Basis sorgen Sie für eine sichere Nutzung von Cloud-Diensten. Unsere Cloud Engineers übernehmen und beraten in den Bereichen Planung, Integration und Betrieb von Cloud Systemen wie Azure, Microsoft 365 und Hybrid Lösungen.
Mehr erfahren

Microsoft Azure Beratung: Ihr Weg in die Cloud

Microsoft Azure ist Ihr Weg in die Cloud. Wir unterstützen Sie mit einer umfassenden Microsoft Azure Beratung auf Ihrem Weg zu einer individuellen Cloud-Computing-Umgebung, perfekt abgestimmt auf Ihr Unternehmen. Mit der agilen Azure Cloud-Computing-Plattform können Sie überall und jederzeit sicher auf Ihre Anwendungen zugreifen, Prozesse vereinfachen und die Digitalisierung Ihres Unternehmens voranbringen.
Mehr erfahren

Ist-Analyse Ihrer IT-Infrastruktur

In den letzten Jahren wurden immer wieder neue, zusätzliche Systeme aufgebaut. Fachapplikationen wurden von Mitarbeitenden installiert und verwendet. Daten werden auf Fileservern, auf Teams und bei verschiedenen Cloud-Anbietern mehrfach abgespeichert.
Mehr erfahren

Applikationsentwicklung

Bei der Entwicklung einer massgeschneiderten Software steht die erfolgreiche Umsetzung Ihrer spezifischen Anforderungen an erster Stelle. Die Einbindung der Bedürfnisse der Nutzerinnen und Nutzer, der Unternehmenskultur und der Arbeitsmethodik in Ihrem Unternehmen ist für uns selbstverständlich. Auch die Gegebenheiten Ihres Marktes werden berücksichtigt.
Mehr erfahren

Infrastruktur-mit-Code für Multi-Cloud & Technologie-Neutralität

Ein wichtiges Kriterium in der Auswahl des IaC Tools ist, ob nur ein bestimmter Cloud Anbieter (wie Microsoft Azure oder Amazon Web Services) verwendet wird oder die Lösung für mehrere Cloud-Anbieter und Hersteller geeignet sein soll.

Terraform bzw. der Open-Source.Klon “OpenTofu” unterstützen verschiedene Public Cloud Anbieter wie Microsoft Azure, Google Cloud Platform (GCP) oder Amazon Web Services (AWS).

Relevant ist auch, ob vom jeweiligen Cloud-Anbieter alle benötigten Dienste unterstützt werden. Wird beispielsweise auf Azure ein neuer AI-Dienst von Microsoft veröffentlicht, muss der IaC-Anbieter diese Dienstleistung möglichst rasch implementieren.

Es gibt bei vielen Anbietern auch die Möglichkeit, beispielsweise über die API-Schnittstellen der Plattform nicht unterstützte Komponenten selbst zu erstellen.

Herausforderungen & Probleme

Die Konfigurationsdateien einer IT-Infrastruktur kann sehr schnell unübersichtlich werden. Es ist wichtig, dass die Module und Strukturierungsmöglichkeiten des Herstellers verwendet werden. Interne Namensrichtlinien und Vorgaben sollten definiert werden, damit die Infrastruktur einheitlich aufgebaut wird.

Es kann zu Inkonsistenzen zwischen den Konfigurationsdateien und der Realität kommen. Das kann manuelle Anpassungsarbeiten nach sich ziehen.

Eine kleine Änderung an der Infrastruktur über IaC kann langsamer und umständlicher sein, als die Änderung schnell direkt auf der Cloud Umgebung vorzunehmen.

Werden Teile der Infrastruktur von einem Cloud Anbieter und andere von einem bestehenden On-Premises System verbunden und getrennt administriert, gibt es bei hybrider IaC und klassischer Infrastruktur meist Abstimmungsprobleme.

Das kann beispielsweise ein virtueller Server aus der Cloud sein, der über eine VPN-Verbindung auf eine Datenbank der On-Premises-Umgebung zugreift.

Änderungen können unerwartete Auswirkungen haben. Hier ist es wichtig, klare Absprachen zu treffen, wer für welche Elemente zuständig und sauber zu kommunizieren.

Sie möchten auch Ihre IT-Infrastruktur übersichtlicher und nachvollziehbar gestalten? Unsere Experten sind bereit!

Daniel Sulzer

Bildnachweis: Photo by Ian Battaglia on Unsplash

Containerbasierte Software-Entwicklung bei Nexplore

Containerbasierte und klassische Webanwendungen im Vergleich - was eignet sich wann?

Der Begriff „Containerisierung“ hat sich als Schlagwort in der Welt der Cloud Native Architekturen etabliert und wird mit zahlreichen Vorteilen in Verbindung gebracht. Doch wie verändert sich der Entwicklungs- und Betriebsprozess von Webanwendungen, wenn sie auf Container-Technologie basieren? Dieser Artikel beleuchtet das Konzept der containerbasierten Softwareentwicklung und liefert fundierte Antworten auf diese Frage.
Mehr erfahren
Virtuelle IT-Infrastruktur - Infrastructure as Code

Blaupausen für die IT-Infrastruktur – Infrastructure as Code mit Terraform & Azure

In der Cloud können sehr einfach und schnell neue Ressourcen wie virtuelle Maschinen, Storage Accounts und Web-Applikationen erstellt werden. Um die IT-Infrastruktur in der Cloud langfristig zu pflegen und zu verwalten, werden aber immer mehr Aufwände nötig. Schnell entsteht ein Chaos, wenn mehrere Personen daran arbeiten.
Mehr erfahren

Cloud Engineering - Walk the talk

«Wir verschieben unsere IT in die Cloud»! Was genau bedeutet das? Macht das Sinn? Was kostet das? Wem gehören meine Daten? Was ist mit gesetzlichen Vorgaben? Mit der strategischen Initiative «IT-Strategie» beleuchten wir genau die Auswirkungen und gesetzlichen Restriktionen auf dem Weg in die Cloud.
Mehr erfahren

Containerisierung - die radikale Veränderung der Entwicklung

Nexplore ist ein erfahrener und etablierter Lieferant in der öffentlichen Verwaltung für die Realisierung von komplexen, individuell entwickelten Lösungen. Lange Zeit war in diesem Bereich Cloud & Cloud Engineering kein Thema. Auch dieses Thema ändert sich aktuell radikal. Themen wie DevOps, Containerisierung beherrschen neu die Diskussionen. Für mehrere Kundenprojekt bauen wir unser praktisches Wissen im Bereich Containerisierung weiter aus. Grosse Neugier und viel Leidenschaft, kombiniert mit gezielter externer Unterstützung hilft uns mögliche Lücken auszufüllen, die Konzepte rasch zu adaptieren und ins Projekt einfliessen zu lassen.
Mehr erfahren
Alle anzeigen