Infrastructure as Code (IaC) und DDI-Automation

Infrastructure as Code (IaC) und DDI-Automation

Veröffentlicht: 20.05.2021 | Autor: GENESIS Swiss Team AG

Infrastructure as Code stellt IT-Infrastrukturleistungen wie Rechenleistung, Speicher und Netzwerk auf Basis von maschinenlesbarem Code zur Verfügung. Die Infrastruktur wird ähnlich wie Software programmiert. Das IaC-Konzept ist eng mit dem DevOps-Konzept und dem Cloud-Computing-Modell Infrastructure as a Service (IaaS) verknüpft. Die Abkürzung IaC steht für Infrastructure as Code. Es handelt sich um einen konzeptionellen Ansatz aus dem IT-Umfeld, der die Bereitstellung von Infrastrukturleistungen wie Rechenleistung (Computing), Speicherplatz (Storage) und Netzwerk (Networking) mithilfe von maschinenlesbarem Code ermöglicht. Oft wird IaC auch als programmierbare Infrastruktur bezeichnet (1).

Wenn Sie IaC verwenden, um die Aktivitäten in der Infrastruktur zu automatisieren, ist eine DDI-Lösung (DNS, DHCP und IPAM) ein passender Bestandteil, dessen Services und Daten Sie nutzen können. Es ist sinnvoll, die Infrastructure-as-Code-Initiative mit DDI zu beginnen, da sie die Entwicklung anderer Bestandteile dank des zentralen IP Datenarchivs und der Automatisierung von Netzwerkdiensten erleichtert.

Die Vorteile von Infrastructure-as-Code

Was wir heute als Infrastructure-as-Code (kurz: IaC) bezeichnen, ist im Allgemeinen die Möglichkeit, Aktionen auf jeder beliebigen Infrastrukturkomponente auszuführen, basierend auf deklarativen Anweisungen, die erklären, was das erwartete Ergebnis ist. Dabei wird meist versucht, das Prinzip der Idempotenz(2) anzuwenden, sodass derselbe Code mehrfach ausgeführt werden kann, um entweder einen bestimmten Zustand zu erreichen oder sicherzustellen, dass sich die Infrastruktur weiterhin in diesem Zustand befindet.

Ein Beispiel: es soll deklariert werden, dass VLAN 1423 existiert und das geroutete Subnetz 2a01:e0a:3bc:7240::/64 unterstützt. Alle Komponenten sollten dann so konfiguriert (oder getestet) werden,

  • dass – wenn das VLAN nicht existiert –, es erstellt wird
  • dass – wenn das Subnetz nicht im IP Management (IPAM) vorhanden ist–, es erstellt und mit dem VLAN verknüpft wird
  • dass schließlich die Routing-Infrastruktur auf das IPv6-Subnetz aufmerksam gemacht wird, zumindest über die Router-Schnittstelle, die direkt mit dem VLAN verbunden ist.

Sie sehen, dass dieser deklarative Ansatz von den Geräten und Lösungen, welche die Infrastruktur unterstützen, unabhängig ist und dazu beiträgt, dass Sie Ihre Herstellerbindung eingrenzen und Ihren Betrieb vereinfachen können.

IaC-Umfang

Damit dies wirklich funktioniert werden ein oder mehrere Tools benötigt, die über ein spezifisches Set von Methoden und API (REST, SNMP, YAML, NETCONF…) verfügen. Damit soll die Lücke zwischen der Deklaration und den verschiedenen Infrastruktur-lösungen geschlossen werden. Idealerweise werden diese Tools direkt an einem Pipelinesystem, das Änderungen in einer Versionskontrolle (z.B. git) an der Konfiguration auslösen kann, betrieben. Die Validierung, Autorisierungsprüfung und Ausführung der zugehörigen Aktionen werden entweder sofort, basierend auf einem Zeitplan oder während eines Betriebsfenster ausgeführt.

Im Zentrum eines solchen Ökosystems hat das DNS, DHCP & IP Management (DDI) eine fest zugewiesene Rolle. IPAM ist das zentrale Archiv für IP-Informationen, wobei einige fortschrittliche Lösungen auch in der Lage sind, angrenzende Objekte wie VLAN, VRF, Geräte, Anwendungen, Identitäten und Verbindungen zwischen Netzwerkports und Netzwerkschnittstellen zu verwalten. Es ist daher die zentrale Lösung, die als «wahre» Quelle von Informationen verwendet wird und in der alle wertvollen Informationen über Netzwerkelemente durch Metadaten wie Standort, Verwendung, Geschäftseinheit, externe Beziehungen mit andere Archivdaten, Bereitstellungsstatus und Daten gespeichert werden.

DDI steuert IaC

Das Gerät, das zwischen der beschreibenden Infrastrukturquelle und den Infrastruktur-komponenten sitzt, sollte das IPAM als Referenz und Archiv für Informationen nutzen. Dadurch wird die Bereitstellung erheblich erleichtert, die Prozesse nachvollziehbar und der IaC-Prozess mit dem Rest des Ökosystems verbunden, das möglicherweise mit anderen Methoden verwaltet wird.

Zusätzlich zur Archiv-Funktion, die dem IPAM innewohnt, bringt die vollständige DDI-Automatisierung mit der Konfiguration von Netzwerk-Kerndiensten wie DNS und DHCP einen zusätzlichen Mehrwert. Wenn DDI die mit einem Subnetz verbundene Reverse-DNS-Zone verwaltet, vereinfacht es den Code. Wenn ein DHCP-Bereich automatisch auf Basis der Informationen im IP-Adressierungsplan erstellt oder gelöscht wird, ist der Code noch einfacher. Da die DDI-Lösung über Events/Webhooks und spezifische Integration mit vielen Komponenten im IT-Ökosystem verknüpft werden kann, lässt sich zudem der Aufwand für das Schreiben von Code für die I&O-Teams(3) deutlich reduzieren. So kann beispielsweise die von der SD-WAN-Lösung ausgelöste Erstellung eines IP-Subnetzes für einen neuen Standort automatisch an die Sicherheitslösung gesendet werden, die die Firewall-Regeln und Zoning-Bedingungen für dieses neue Netzwerk einrichtet.

Um eine Infrastructure-as-Code-Initiative oder ein Projekt voranzutreiben, ist es wichtig, die Anbindung an die bereits vorhandene DDI-Lösung zu prüfen oder vielleicht die Gelegenheit eines solchen Projekts zu nutzen, um ein IPAM-Archiv einzurichten. Durch die Verbindung des IPAM-Datenspeichers und der IaC-Engine könnten die I&O-Teams(3) sich selbst im Programmieren und in der Verwendung von APIs schulen, fortgeschrittenere Funktionen wie Metadaten nutzen und von einer Sandbox profitieren, die in der Regel auf der Infrastruktur selbst nicht verfügbar ist. Die ganze Arbeit rund um die Automatisierung des IP-Adressierungsplans und zusätzlicher Informationen wie VLAN und Geräte wird eine grundlegende Rolle bei der Bereitstellung neuer Codestücke spielen, da die meiste Zeit Infrastrukturkomponenten mit IP-Parametern zu tun haben.

Gerne informieren wir Sie über alle Möglichkeiten.

Kommen Sie auf uns zu:
Telefon +41 44 455 60 81
Fax +41 44 455 60 85
info@genesis.swiss

(1) https://www.cloudcomputing-insider.de/was-ist-infrastructure-as-code-iac-a-917671/
(2) https://de.wikipedia.org/wiki/Idempotenz
(3) I&O-Teams: Infrastructure and Operations Teams

Nehmen Sie einfach Kontakt mit uns auf.






    Firma *

    Funktion *

    Vorname *

    Nachname *

    E-Mail Adresse *

    Telefon

    Mitteilung*

    [recaptcha]

    Die Felder welche mit * gekennzeichnet sind müssen ausgefüllt werden.