Cloud ComputingDienste aus dem Container

Die öffentliche Verwaltung steht unter erheblichem Transformationsdruck. Dabei spielen Cloud-Technologien eine entscheidende Rolle. Die Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB) und das Kommunale Rechenzentrum Niederrhein (KRZN) untersuchen die Vorteile eines Cloud-Ökosystems, die Her­ausforderungen und wie die Zusammenarbeit zwischen öffentlich-rechtlichen Rechenzentren erfolgen kann.
Bei einer Cloud handelt es sich abstrakt gesprochen um ein technisches Ökosystem, das Computer-Ressourcen zur Verfügung stellt. Das können Rechenleistung, Speicher oder Software sein. In aller Regel werden die Leistungen ortsunabhängig über das Internet angeboten. Nutzer der Cloud wissen daher nicht, welches Rechenzentrum die Leistungen bereitstellt. Daher stellen sich sofort datenschutzrechtliche Fragen. Der hohe Stellenwert von Datenschutz und Datensicherheit in der öffentlichen Verwaltung steht aber nicht im Widerspruch zum Cloud-Gedanken. Neben den großen Cloud-Anbietern (Google, Microsoft, IBM, Telekom) besteht auch die Möglichkeit, eine Unternehmens- oder eine private Cloud aufzubauen. Diese wird dann an einem oder mehreren ausgewählten Standorten, etwa in den öffentlich-rechtlichen Rechenzentren in Deutschland, betrieben. Das ist auch der Grundgedanke der Deutschen Verwaltungscloud.

Risiken und Kosten reduzieren

Eine Cloud muss aber nicht nur die Ressourcen zur Verfügung stellen, sondern diese auch passend zum jeweiligen Bedarf liefern. Bei traditionellen Systemen werden Anwendungen auf einem Server betrieben. Es stehen also in einem abgeschlossenen System bestimmte Ressourcen wie Rechenleistung oder Arbeitsspeicher zur Verfügung. Ein starres und monolithisches System, in dem Lastspitzen schnell zum Ausfall führen können. Außerdem ein sehr kostenintensives, da sich die Ressourcen an den Lastspitzen orientieren müssen. Um Risiken und Kosten zu reduzieren, gibt es das Technologie- und Architekturprinzip der virtuellen Maschinen. Dabei werden Computer-Systeme als Software abgebildet und verfügen über ein eigenes Betriebssystem und eigene Ressourcen. Verschiedene virtuelle Maschinen können über mehrere Server verteilt werden. Dadurch werden eine flexiblere Verwaltung der Ressourcen und eine höhere Skalierung der Anwendungen erreicht.
Für Herausforderungen moderner Systeme – insbesondere im Internet – ist das aber noch nicht ausreichend. Daher wurde die Containerisierung als weitere Technologie entwickelt. Container sind wesentlich schlanker als virtuelle Maschinen. Ein Container ist ein kleines Computer-System, das rudimentär über Ressourcen und ein kleines Betriebssystem verfügt. In einem Container läuft als Anwendung ein Microservice. Software, etwa ein Online-Verwaltungsdienst, besteht aus mehreren Microservices, die in verschiedenen Containern laufen.

AKDB und KRZN bauen Ökosystem auf

Hier kommt Kubernetes ins Spiel, eine Lösung, welche die Verwaltung der Container ermöglicht und zum Beispiel für einen Lastausgleich sorgt – je nachdem werden Container hinzugefügt oder wieder abgeschaltet. Kubernetes besitzt auch Selbstheilungskräfte: Fällt ein Container aus, wird er ersetzt. Der Betrieb ist nicht mehr an ein Rechenzentrum gebunden, sondern kann sich über mehrere verteilen. Genau ein solches Ökosystem haben das KRZN und die AKDB gemeinsam aufgebaut und übernehmen bei verschiedenen Anwendungen bereits den produktiven Betrieb.
Das KRZN ist vor sieben Jahren in die Technologie der Containerisierung eingestiegen. 2019 fiel die strategische Entscheidung für Kubernetes. Eine der größten Herausforderungen aus systemtechnischer Sicht war dabei, Konzepte für System­umgebungen zu entwickeln, obwohl viele künftige IT-Anforderungen noch nicht absehbar waren. Neue Anwendungen, die containerisiert werden, führen zu neuen Anforderungen. Die hohe Flexibilität und Skalierbarkeit einer Kubernetes-Umgebung bieten aber gute Möglichkeiten, den sich verändernden Anforderungen zu begegnen.

Kubernetes-Cluster als private Cloud

Das KRZN betreibt seine Kubernetes-Cluster im eigenen Rechenzentrum als private Cloud. Innerhalb der Cluster verrichten mehr als 2.500 Container ihren Dienst. In allen wesentlichen Netzbereichen wurden aus Sicherheitsgründen eigene Cluster etabliert. Hinzu kommen Entwicklungscluster für verschiedene Fachbereiche. Bei den Kubernetes-Servern (Knoten) handelt es sich um eine Mischung aus virtuellen Systemen und dedizierter Hardware. Welche der beiden benutzt wird, hängt von den jeweiligen Anforderungen der Anwendungen ab. Auch eine Mischung ist problemlos möglich. Erreicht die Auslastung der Knoten ein gewisses Maß, kann der Cluster durch das Hinzufügen weiterer Knoten skaliert werden. Dies ist innerhalb weniger Stunden möglich, inklusive der Bereitstellung des Systems.
Die AKDB hat im gleichen Zeitraum eine entsprechende Infrastruktur aufgebaut. Hauptgrund war unter anderem, dass es bei verschiedenen Online-Diensten zu erheblichen Lastspitzen kam, die mit herkömmlichen Systemen nicht abgedeckt wurden, etwa beim Antrag auf Briefwahlunterlagen. Innerhalb Bayerns wurden binnen kurzer Zeit mehr als 600.000 Online-Anträge gestellt. Die AKDB betreibt aktuell 16 Kubernetes-Cluster im eigenen Rechenzentrum als private Cloud. Insgesamt sind das rund 60 Worker Nodes, auf denen über 3.000 Container unterschiedliche Online-Dienste zur Verfügung stellen. Für jede Applikation existieren eigene Cluster, um die Netzbereiche aus Sicherheitsgründen voneinander zu trennen. Die AKDB stellt baugleiche Kubernetes-Cluster bereit – von der Entwicklung bis zur Produktion. Die Kubernetes-Nodes werden auf virtuellen Maschinen und explizit dafür bereitgestellter Hardware (ESX) betrieben. Mittels Monitoring wird die Auslastung der Nodes ständig überwacht. Es können bei Bedarf innerhalb kurzer Zeit sowohl die Rechenkapazität der Nodes erhöht als auch dem Cluster weitere Worker Nodes hinzugefügt werden.

Digitale Souveränität gewährleistet

Damit wurde ein produktives Ökosystem für die öffentliche Verwaltung geschaffen, das alle Anforderungen an eine moderne Cloud erfüllt. Die Betriebsstätten liegen beim KRZN und der AKDB, das heißt bei öffentlich-rechtlichen und BSI-zertifizierten Rechenzentrumsbetreibern. Durch eine standardisierte und abgestimmte Infrastruktur ist der Austausch von Containern und somit von Software pro­blemlos möglich. Eine Installation ist in dem jeweiligen Rechenzentrum nicht erforderlich, da die Container einfach ausgetauscht werden. Sämtliche Betriebskomponenten des Cloud-Ökosystems beruhen ausschließlich auf Open Source, was die digitale Souveränität der Cloud gewährleistet.
In Zukunft könnten und sollten Rechenzentren so miteinander vernetzt sein, dass ein verteilter Betrieb der Cloud-Anwendungen möglich ist. Das erhöht nochmals die Ausfallsicherheit und erweitert die Skalierbarkeit der Systeme. Alle öffentlich-rechtlichen Rechenzentren sind daher eingeladen, sich am Cloud-Ökosystem zu beteiligen. AKDB und KRZN betrachten die bestehende Cloud als Keimzelle für die Deutsche Verwaltungscloud und nehmen hier ihre Verantwortung als öffentlich-rechtliche Dienstleister für Bund, Länder und Kommunen wahr.