pantrag_fisi Projektantrag: Automatisiertes Deployment einer virtuellen Kundenumgebung mit BSI konformen drei Zonen Konzept in einem OpenStack Cluster

[ben9452]

Hallo Kollegen der Informatik!

 

bin nun auch am Ende meiner Ausbildung angekommen und muss meinen Projektantrag einreichen. Konstruktive Kritik oder Verbesserungsvorschläge erwünscht!

 

1. Projektbezeichnung

Automatisiertes Deployment einer virtuellen Kundenumgebung mit BSI konformen drei Zonen Konzept in einem OpenStack Cluster.

1.1 Beschreibung

Die Firma --- ist ein mittelständiger IT-Dienstleister mit Sitz in ---. Die Firma beschäftigt ca. 90 Mitarbeiter von denen 5 Festangestellte und 3 Auszubildende im Netzwerk beschäftigt sind.

--- aquiriert jährlich ca. 20 Neukunden im B2B Bereich, die meistens eine sichere Standard Kundenumgebung mit BSI konformen drei Zonen Konzept in einem unserer Rechenzentren bestellen. Diese Kundenumgebungen werden virtualisiert dem Kunden bereitgestellt.

1.2 Ist-Analyse

Im Aktuellen Zustand ist eine neue Kundenumgebung ein großes Projekt. Erst müssen vom Kundenkoordinator alle freigaben erteilt werden und es wird ein Ticket für das NOC erstellt, welches die Anforderung für die neue Umgebung beinhaltet. Vorerst muss der NOC Mitarbeiter ein privates Netz aussuchen. Public IP Adressen müssen herausgesucht werden. VLANs müssen definiert und angelegt werden. Anschließend muss der NOC Mitarbeiter ein Antragsformular für eine Virtuelle Maschine ausfüllen, welche als Abschlussrouter für die Kundenumgebung fungiert. Im Rahmen dieser Aufgabe ist die Dokumentation der Umgebung eine aufwendige Angelegenheit.

2. Zielsetzung/Soll Konzept

Die Erstellung der Kundenumgebung soll automatisiert im Openstack Cluster der --- GmbH erfolgen. Die Kundenumgebung muss 3 Netzwerkzonen, (DMZ, APP, DATA) und mindestens eine Serverinstanz, welche automatisiert als Abschlussrouter eingerichtet werden soll, umfassen. Für die Zonen soll desweiteren ein grundlegendes Sicherheitskonzept erstellt werden, bei dem die Auswahl zwischen Security Groups (Openstack Feature) oder einer klassischen Firewall als virtuelles System getroffen werden muss. Ebenfalls muss ein Programm für das automatisierte Deployment ausgesucht werden.

2.1 Projektphasen mit Zeitplanung in Stunden

1. Planungsphase                                        5Std.
        a. Analyse der IST-Situation
        b. Entwicklung des Soll-Konzepts
        c. Produktvergleich

2. Durchführung - Konfiguration und Realisierung des Automatisierten Deployments    15Std.
        a. Automatisierte Tennant Erstellung
        b. Automatisierte Zonen Erstellung
        c. Automatisierte Security Group/Rule Erstellung
        d. Automatisierte Router Erstellung
        e. Automatisierter Keypair Import
        f. Automatisierte Erstellung und Konfiguration einer Instanz
        g. Automatisierte Auswahl und Konfiguration einer Floating IP
        h. Automatisierter Nmap auf das erstellte Netz von extern

3. Überprüfung der Ergebnisse und Tests                            5Std.
        a. Testen des User Accounts und den Rechten.
        b. Überprüfung der erstellten Zonen
        c. Externe Erreichbarkeit und Sicherheit prüfen
        d. Ergebnis des automatischen Nmaps prüfen

4. Projektabschluss                                        10Std.
        a. Kosten-Nutzen Analyse
        b. Zugangsdaten für Openstack Umgebung an den Kunden weitergeben.
        c. Erstellen der Betriebsdokumentation
        
 

 

[Gast Uhu]

Das Projekt finde ich an sich persönlich schon mal sehr gut und die fachliche Tiefe ist gegeben.
Aus fachlicher und generell inhaltlicher Sicht sehe ich hier allerdings noch einige Ungereimtheiten:

Der Fokus deines Projektes liegt sehr auf der Bereitstellung einer Kundenumgebung. Das zum Abschluss des Projektes eine Kundenumgebung automatisiert erstellt wird, ist ein gutes Ziel, das kann aber nicht der Grund sein warum ihr in die Automatisierung investiert. Die erstmalige Automatisierung dauert immer länger, als es per Hand zu tun. Das ist völlig klar und muss nicht zum Abschluss des Projektes durch eine Kosten-Nutzen-Analyse bewiesen werden ;-) ! Ein automatisiertes Deployment hat immer einen strategischen Fokus, nämlich die dauerhafte Senkung der Bereitstellungskosten für alle zukünftigen Umgebungen! Ihr kriegt jedes Jahr 20 neue Kunden, natürlich lohnt sich Aufgrund dessen erst die Investition in die Automatisierung. Du sagst ja selbst im ersten Satz, dass der Aufbau einer Kundenumgebung zu komplex (= zu teuer ist). Denk diesen Gedanken in der Soll-Analyse doch konsequent zu Ende. Es geht nicht primär um die Umgebung für Kunden XX, sondern um die generelle Vebeserrung eures (zurzeit nicht automatisierten) Bereitstellungsprozesses für ALLE Kundenumgebungen die ihr in Zukunft bereitstellen möchtet. Zumindest hoffe ich, dass das in Wirklichkeit euer bestreben ist, sonst macht das Projekt in der Form keinen Sinn.

Ganz am Ende erwähnst du dann mal irgendwo, dass du ein Tool für das Deployment auswählst.  Wie wählst du das aus? Evaluierst du ein Tool? Dann wäre die Evulation schon das gesamte Projekt und die 5 Stunden würden bei weitem nicht ausreichen und du hättest keine Zeit für die Automatisierung. Kriegt du zwei oder drei Lösungen durch deinen Arbeitgeber vorgegeben? Dann betone auch das du potentielle Lösungen durch den Arbeitgeber vorgegeben bekommst und du dich für die wirtschaftlichste entscheiden und diese in Betrieb nehmen sollst.

Des weiteren schreibst du in der Soll-Analyse, dass ein grundlegendes Sicherheitskonzept erstellt werden soll. Willst du das auch noch machen? Wäre ein bisschen viel neben Deployment Infrastruktur aufbauen und den Automatisierungsprozess erstellen oder ? Zumal das in deiner Gliederung nicht berücksichtigt wird. Von daher: Was machst du genau in dem Projekt und was nicht?! Arbeite das mal deutlich heraus.

Dann zu Punkt zwei:
2. Durchführung - Konfiguration und Realisierung des Automatisierten Deployments    15Std

Nach dem Produktvergleich fängst du mit der Prozess-Automatisierung an? Wie soll das funktionieren? Wer hat die Deployment Infrastruktur installiert, konfiguriert und in den Betrieb genommen? Die wird ja wohl kaum "auf einmal da" sein wenn du die während des Projektes erst auswählst. Das passt nicht.

Die Kostennutzen-Analyse würde ich aus dem letzten Punkt komplett streichen Aufgrund oben genannter Gründe. Sowas macht man vorher nicht nachher vor allem wenn es um Automatisierung geht.

 

Bis zu diesem Punkt erstmal justmy2cent.

Lg

Bearbeitet 23. Januar 2017 von Uhu

[ben9452]

Hallo Uhu,

 

vielen Dank erstmal für deine Hilfe!

Der Fokus sollte genau wie du sagst auf dem Deployment Prozess liegen. Ich habe den Text einmal angepasst sodass er das etwas besser erklärt.

Außerdem hat sich mein Projekt in der Hinsicht geändert, dass ich in jeder der Zonen eine Serverinstanz aufsetzte, die mit Ansible soweit automatisiert konfiguriert wird, damit sie sich am Puppet Master anmeldet. Das hinzufügen von einer oder auch 30 Instanzen ist in der Automatisierung ja nur copy-paste und die Bearbeitung einzelner Werte. Sollte also den Rahmen auch nicht sprengen. <--- oder?

Mit der Automatisierungssoftware hast du recht, hier sind bereits Infrastrukturen aufgesetzt. Habe nur nicht in Betracht gezogen diese als Vorgabe zu definieren. Danke!

 

Bei dem Sicherheitskonzept werde ich mich auf Security Rules in Openstack berufen. Diese sind entweder nur für ganze Zonen oder für Instanzen zuständig und durchaus nicht so aufwendig wie die Aufsetzung einer ganzen Firewall.

Überarbeitete Version hier:

__________________

1. Projektbezeichnung

Automatisiertes Deployment von virtuellen Kundenumgebungen mit BSI konformen drei Zonen Konzept in einem OpenStack Cluster.

1.1 Beschreibung

Die Firma --- ist ein mittelständiger IT-Dienstleister mit Sitz in ---. Die Firma beschäftigt ca. 90 Mitarbeiter von denen 5 Festangestellte und 3 Auszubildende im Netzwerk(nachfolgend NOC) beschäftigt sind.

--- aquiriert jährlich ca. 20 Neukunden im B2B Bereich, die meistens eine sichere Standard Kundenumgebung mit BSI konformen drei Zonen Konzept in einem unserer Rechenzentren bestellen. Diese Kundenumgebungen werden virtualisiert dem Kunden bereitgestellt.

1.2. Ist-Analyse

Im Aktuellen Zustand ist eine neue Kundenumgebung ein komplexes Projekt. Erst müssen vom Kundenkoordinator alle Freigaben erteilt werden. Es wird ein Ticket für das NOC (Network Operating Center) erstellt, welches die Anforderung für die neue Umgebung beinhaltet. Vorerst muss der NOC Mitarbeiter ein privates Netz aussuchen. Public IP Adressen müssen herausgesucht werden. VLANs müssen definiert und angelegt werden. Anschließend muss der NOC Mitarbeiter ein Antragsformular für eine Virtuelle Maschine ausfüllen, welche als Abschlussrouter für die Kundenumgebung fungiert. Im Rahmen dieser Aufgabe ist die Dokumentation der Umgebung eine umfangreiche Angelegenheit.

2. Zielsetzung/Soll Konzept

Die Erstellung von Kundenumgebungen soll zukünftig automatisiert im Openstack Cluster der --- GmbH erfolgen. Eine Kundenumgebung muss 3 Netzwerkzonen, (DMZ, APP, DATA) und drei in den Zonen stehende Server Instanzen umfassen. Für die Zonen soll desweiteren ein grundlegendes Sicherheitskonzept erstellt werden, bei dem die Auswahl zwischen Security Groups (Openstack Feature) oder einer FaaS Lösung(Firewall as a Service, eine Openstack eigene Firewalllösung) getroffen werden muss. Als Automatisierungssoftware soll entweder Ansible, Terraform und Puppet genutzt werden, da diese im Unternehmen bereits im Einsatz sind. Am Ende des Projekts soll nur noch die Freigabe durch den Kundenkoodinator, die Ticketerstellung und das Quality assurance am Ende des Deployments manuell geschehen.

2.1 Projektphasen mit Zeitplanung in Stunden

1. Planungsphase                                        5Std.
        a. Analyse der IST-Situation
        b. Entwicklung des Soll-Konzepts
        c. Softwarevergleich
        d. Vergleich der Sicherheitslösungen

2. Durchführung - Konfiguration und Realisierung des Automatisierten Deployments    15Std.
        a. Automatisierte Tennant Erstellung
        b. Automatisierte Zonen Erstellung
        c. Automatisierte Security Group/Rule Erstellung/FaaS Erstellung
        d. Automatisierte Router Erstellung
        e. Automatisierter Keypair Import
        f. Automatisierte Erstellung und Konfiguration der Instanzen
        g. Automatisierte Auswahl und Konfiguration einer Floating IP
        h. Automatisierter Nmap auf das erstellte Netz von extern

3. Überprüfung der Ergebnisse und Tests                            5Std.
        a. Testen des User Accounts und den Rechten.
        b. Überprüfung der erstellten Zonen
        c. Externe Erreichbarkeit und Sicherheit prüfen
        d. Ergebnis des automatischen Nmaps prüfen

4. Projektabschluss                                        10Std.
        a. Zugangsdaten für Openstack Umgebung an den Kundenkoodinator für weitere         Bearbeitung übergeben.
        c. Erstellen der Betriebsdokumentation

 

 

 

 

Bearbeitet 23. Januar 2017 von ben9452

[Gast Uhu]

Puh ...

Es wäre gut wenn jemand anderes hier noch mal drüber liest und dir Feedback gibt, mir geht da gerade etwas der rote Faden ab. Nicht fachlich aber dem Projektantrag spezifisch (und ich bin "leider" kein Prüfer).

Also mir ist klar was du tun willst und auch wie du es tun willst (btw. musst du die Namen der Lösungen im Antrag nicht nennen), allerdings soll einem Projektvorhaben ja eine wirtschaftliche Entscheidung vorausgesehen und ich weiß persönlich nicht ob so ein Mix aus "ich wähle zwischen zwei Dingen die schon im Einsatz sind" und "ich entscheide mich zwischen zwei Firewalllösungen, die bei der Automatisierung allerdings nur für einen von 8 Punkten relevant sind" dafür ausreichend sind. Ich dachte erst, es ginge nicht nur um den Prozess sondern auch um die Infrastruktur dahinter. So stellst es sich dann natürlich ganz anders dar. Gerade die Entscheidung bzgl. der Firewall hat ja (meiner Meinung nach) nur sehr indirekt mit der Lösung des Grundproblems (Automatisierung des Bereitstellungsprozesses) deines Projektes zutun - kann mich aber auch völlig irren. Das hilft dir nicht.

Wie gesagt, wäre hilfreich wenn sich hier jemand anderes zu Wort meldet, der mit Anträgen dann mehr Erfahrung hat. Das Problem hast du ja jetzt klarer herausgearbeitet. Mehr Spekulation meinerseits würden dir hier nicht helfen.

Lg

Bearbeitet 23. Januar 2017 von Uhu

[ben9452]

Hallo nochmal Uhu,

Für den Prozess kann ich ja noch eine Amortisierungsrechnung beifügen. Würde diese den Wirtschaftlichen Aspekt meines Projektes ausreichend beleuchten?