Jokaisessa pilvessä asuu pieni verkko

Julkisen pilven käyttö tietoteknisen infrastruktuurin osana ja resurssina on ollut arkipäivää jo pitkän aikaa.

Kirjoittajat: Aki Anttila, Kimmo Laitila, Timo Miiluvaara

Pilvimalleista ylivoimaisesti suosituin on SaaS, eli Software as a Service, jossa pilvestä hyödynnetään loppukäyttäjän ohjelmistoja, kuten Office 365:sta. IaaS-mallia (Infrastructure as a Service) käytetään jatkamaan oman konesaliympäristön toiminnallisuutta. Malleista erityisesti IaaS on mielenkiintoinen, sillä periaatteessa se on “oma konesali” toisessa lokaatiossa ja lähtökohtaisesti sen ylläpidon osalta vastuu on sekä palveluntarjoajalla, että käyttäjällä.

Hybrid -verkoissa IaaS– (virtuaalipalvelimet) ja PaaS– (tietokannat) palveluita käytetään jatkamaan oman konesaliympäristön toiminnallisuutta. IaaS-palveluiden lisäksi myös PaaS-palveluita voidaan yhä kattavammin hyödyntää osana asiakkaan sisäistä verkon topologiaa esimerkiksi Private Link- tai EndPoint-toiminnallisuuksien kautta.

Usein ajatellaan, että IaaS- ja PaaS-mallissa palveluntarjoajan vastuulla on toteuttaa suurin osa normaalin konesaliympäristön toiminnallisuudesta. Loppukäyttäjän vastuulle jää ainoastaan hyödyntää resursseja oman tarpeen mukaisesti. Tyypillisesti tässä käytetään kunkin pilven työkaluja esimerkiksi palvelin- ja tallennuskokonaisuuksien osalta. Iso osa tätä työtä on myös määritellä pilven sisällä olevat verkkoon liittyvät komponentit ja ominaisuudet. Pilven sisällä oleva verkko koostuu tyypillisesti virtuaaliverkoista, yhdyskäytävistä, PaaS-palvelukomponenteista, pilviyhteyksistä, tietoturvaelementeistä ja kuormantasaimista. Kullakin näistä on omat tehtävänsä ja suurin osa voidaan toteuttaa joko kunkin pilven natiiveilla komponenteilla tai hyödyntäen kolmansien osapuolien tuotteita. Tarkastellaan näitä seuraavassa hieman tarkemmin erityisesti kahden tärkeimmän, Microsoftin Azure- ja Amazonin AWS -pilvipalveluiden kautta.

Virtuaaliverkolla tarkoitetaan pilven sisällä olevaa kokonaisuutta, joka on luotu tiettyä käyttötarkoitusta varten. Esimerkiksi Azuressa tätä kutsutaan VNetiksi ja vastaavasti Amazon Web Service -pilvessä VPC:ksi (Virtual Private Cloud). Käyttökohteina voi olla esimerkiksi kehitys-, testaus tai tuotantoympäristö. Perinteisen verkon näkökulmasta tämä on erillinen looginen kokonaisuus, datakeskuksessa siis esimerkiksi VRF ja siihen liittyvä IP-verkko. Samalla tavalla kuin omassa konesalissa, myös pilvessä on syytä suunnitella huolellisesti loogiset kokonaisuudet ja varmistaa sitä kautta toiminnalliset tavoitteet.

Pilvessä sijaitsevia virtuaaliverkkoja yhdistetään yhdyskäytävällä. AWS:n puolella tämä voidaan toteuttaa AWS omalla Transit Gatewayllä (virtuaalinen reititin pilvessä) tai vaihtoehtoisesti hyödyntämällä kolmannen osapuolen reititinratkaisua keskitetysti yhdessä Transit VPC:ssä, johon muut pilven verkot kytkeytyvät. Azuressa vastaavasti yksittäinen VNET kykenee toimimaan transitiivisesti, eli reitittämään kaikkien muiden VNETien välinen liikenne keskitetysti esimerkiksi asiakkaan konesaliin ja/tai Internetiin. Tähän voidaan sijoittaa erilaisia verkkoelementtejä liittyen liikenteen välittämiseen tai tietoturvapolitiikoiden tekemiseen.

Pilviyhteydet, eli yhteydet loppukäyttäjiltä pilveen voidaan toteuttaa kahdella eri tasolla. Toinen on asiakasverkon liittäminen kokonaisuudessaan ja toinen yksittäisten työasemien liittäminen. Pääsääntöisesti yksityisenpilven (IaaS ja Private PaaS) osalta käytetään ensimmäistä tapaa. Jälkimmäinen tapa on käytössä yleensä SaaS-pilvien osalta. Koko asiakasverkko voidaan liittää kahdella päätavalla – VPN ja suora yhteys. VPN-yhteyden ajatuksena on muodostaa IPSec-pohjainen tunneli asiakasverkon reunalaitteen (tyypillisesti palomuuri) ja pilvessä sijaitsevan komponentin (tyypillisesti VPN-yhdyskäytävä) välillä. Halutessa tässä voidaan hyödyntää myös SD-WAN -tekniikkaa ja -laitteita päätepisteinä. Suora yhteys toteutetaan palveluntarjoajan, esimerkiksi Elisan, avulla. Azuren osalta suoraa yhteyttä kutsutaan Express Route -nimellä. AWS:n osalta termi on Direct Connect. Kummassakin käyttöajatus on sama – kiinteä (SLA-vasteinen) yhteys esimerkiksi hyödyntäen Elisan tarjoamaa verkkoyhteyttä asiakkaan MPLS VPN -toteutuksen ja pilven välillä.

Tietoturvaelementtejä pilvessä ovat tyypillisesti palomuuri ja sen lisäksi myös web-sovelluspalomuuri (WAF, Web Application Firewall) sekä DDoS-suojaus (Distributed Denial of Service). Palomuurin tehtävänä on suojata pilven resurssien Internetiin tarjoamia palveluita, sekä halutessa myös pilven sisäisten komponenttien välistä liikennettä. Sovelluspalomuuri tekee samaa, mutta se on erikoistunut web-liikenteen tarkasteluun ja suojaamiseen. DDoS-suojausta tarvitaan, mikäli pilven resurssit tarjoavat palvelua Internetiin ja halutaan ehkäistä erilaisia palvelunestohyökkäyksiä.

Kuormantasaimen tehtävänä on nimensä mukaisesti tasata kuormaa niiden käyttäjien ja pilvessä sijaitsevien resurssien välillä. Tässä ajatuksena on mahdollistaa esimerkiksi uusien palvelinresurssien dynaaminen käynnistys mahdollisen palveluruuhkahuipun sattuessa kohdalle. Näitä voi tulla esimerkiksi erilaisten tapahtumien, mainoskampanjoiden tai julkaisuiden yhteydessä. Kuormantasain varmistaa palveluiden laadukkuuden ja sitä kautta loppukäyttäjien tyytyväisyyden.

Erityisesti tietoturvaelementit ja kuormantasain ovat osioita, joiden osalta erilaiset pilvet tarjoavat ainoastaan eräänlaisen perusversion. Suositeltavaa näiden osalta on hyödyntää kolmansien osapuolien komponentteja, eli esimerkiksi palomuurien kohdalla tunnettujen palomuurivalmistajien, esimerkiksi Palo Alto, Fortinet, pilveen sovitettuja tuotteita. Tyypillisesti nämä tarjoavat huomattavasti parempia ominaisuuksia ja toisaalta ne myös integroituvat hyvin asiakkaan muutoin käyttämiin hallinnan ja valvonnan järjestelmiin. Esimerkiksi kolmannen osapuolen palomuurin tuottamiin parannuksiin kuuluvat kaikki modernin palomuurin ominaisuudet (vs. pelkkä tilallinen pakettifiltteri), laajat raportointi- ja monitorointimahdollisuudet sekä lisätoiminteiden, kuten VPN-yhteyksien terminointi.

Vaikka pilvi onkin helppo tapa lisätä organisaation tietoteknisiä resursseja, on se verkon ja siihen liittyvien komponenttien osalta ihan samanlainen työmaa kuin oma datakeskuskin. Se pitää suunnitella, se pitää toteuttaa ja sitä pitää ylläpitää sekä valvoa. Kaikkien näiden osa-alueiden toteuttamiseen tarvitaan runsaasti osaamista sekä pilvien, että kolmansien osapuolien osalta. Sen vuoksi mukaan on hyvä ottaa ammattitaitoinen ja palveleva organisaatio. Elisalla on pitkä kokemus pilviverkkojen rakentamisesta ja tulemme mielellämme auttamaan myös monimutkaisempien tarpeiden tyydyttämisessä.

 

 

 

 

Kimmo Laitila toimii Elisalla yritysasiakkaiden asiantuntijaorganisaation pilvikonsulttina.

 

 

 

 

 

Timo Miiluvaara toimii Elisa Santa Monicalla pilviverkkokonsulttina.

 

 

 

 

 

Aki Anttila toimii Elisa Santa Monicalla infrastruktuurievankelistana.