T-Systems-Claim-Logo
Suchen
Punkte in Wellenform

Massenmigrationen vom Standort auf AWS ermöglichen

So werden Massenmigrationen auf AWS in einer Unternehmensumgebung mit AWS Transfer Family und AWS Service Catalog ermöglicht

05. Februar 2021Artur Schneider

Eine der Herausforderungen bei der Migration von Daten auf Amazon Web Services ist, dass Sie die AWS-APIs verwenden müssen, die unter Umständen von einer Anwendung nicht nativ unterstützt werden oder dem Anwendungsteam weniger vertraut sind als traditionelle Protokolle wie SFTP. Amazon Web Services hat diese Einschränkung durch Einführung des AWS Transfer Family-Service beseitigt. Es ist ein SFTP- oder FTP-Gateway für S3-Buckets oder EFS, der voll von AWS verwaltet und in die Plattform integriert ist, insbesondere mit Blick auf Zugang, Rechte oder Sicherheit.

Vorteile des AWS Transfer Family-Services:

  • Voll verwalteter und serverloser AWS-Dienst für den Dateitransfer auf S3 oder EFS
  • Unterstützt gängige herkömmliche Protokolle wie SFTP, FTPS oder FTP
  • Schlüsselbasierte Authentifizierung (keine IAM-Konten erforderlich)
  • Zugriff über privates VPC-Netzwerk möglich (Multi-AZ-Konfiguration unterstützt)
  • Einfacher Zugriff auf nahezu unbegrenzten und kostengünstigen Cloud-Speicher in der Public Cloud (bei Verwendung von S3 als Ziel)
  • Verbindung über benutzerdefinierten DNS-Namen
  • Mit Funktionen für IT-Sicherheit, wie Verzeichnisbeschränkung und Ereignisprotokollierung

Sicherheit:

Auge mit Binärcode

FTP steht für Secure File Transfer Protocol und im Gegensatz zu FTP wird die Übertragung von Befehlen und Daten kryptografisch abgesichert. Ein weiterer Vorteil – vor allem gegenüber FTPS oder Secure FTP – besteht darin, dass keine Probleme in Hinblick auf aktives oder passives FTP entstehen können, wenn die Kommunikation über Firewalls oder NAT-Router laufen muss. Neben dem sicheren SFTP-Protokoll bietet dieser Service AWS-native Funktionen zur Zugangskontrolle wie IAM-Rollen und -Richtlinien, logische Verzeichnisse für S3 und Sicherheitsgruppen.

Mit dem Cloud-basierten Dienst können Sie benutzerdefinierte Benutzerkonten erstellen, es besteht keine Abhängigkeit von den IAM-Konten. Jeder Benutzer muss das SSH-Schlüsselpaar generieren und nur den öffentlichen Schlüssel mit dem SFTP-Server austauschen. Der Zugang zu S3 ist dagegen vollständig von der IAM-Rolle und -Richtlinie geregelt, was dem Standard für den Zugang zu AWS-Ressourcen entspricht.

Netzwerk:

Es gibt verschiedene Möglichkeiten zur Bereitstellung des SFTP-Servers, unter anderem öffentlich zugänglich oder VPC-gehostet. Die VPC-gehostete Option ermöglicht dem SFTP-Server den Zugriff auf den Service vom internen Netzwerk aus (einschließlich dem Rechenzentrum am Standort) über Endpunkt-ENIs im jeweiligen VPC-Unternetz. Das bedeutet, dass die Kommunikation nicht über das öffentliche Netzwerk geroutet wird, sondern stattdessen über den AWS VPC-Endpunkt.

Denn AWS Transfer Family unterstützt gehostete Server-Endpunkte sowohl in zentral verwalteten als auch in gemeinsam genutzten Amazon VPC-Umgebungen, was wichtig sein wird, wenn wir zu unserer kundenspezifischen Implementierung kommen.

Von T-Systems implementiertes Lösungsdesign

Grafik

Unser Kunde kommt in diesem Projekt aus dem Unternehmenssegment und Telekommunikationssektor und durchläuft derzeit eine groß angelegte Cloud-Transformation, in deren Rahmen er auch Daten in die Cloud migrieren muss. Der Kunde hat zentral gewartete VPCs auf AWS und nutzt die VPC-Sharing-Funktion von AWS, um diese VPCs für Projektkonten zugänglich zu machen. Außerdem wird Service Catalog als Teil der Landezone des Kunden genutzt.

Die Idee war also, einen voll integrierten Datentransferbereich als Produkt über den Servicekatalog anzubieten, der aus einem AWS Transfer for SFTP-Server innerhalb der gemeinsamen Unternehmens-VPC, einem gesicherten S3, den entsprechenden Rollen und einer Sicherheitsgruppe besteht. 

Der SFTP-Server erhält IP-Adressen von den Unternetzen über die entsprechenden VPC-Endpunkt-ENIs, die über Direct Connect mit dem Rechenzentrum und der Infrastruktur am Standort verbunden sind. Der Benutzer stellt über die entsprechende IP-Adresse eine Verbindung zum SFTP-Server her und startet die Cloud-Migration der Daten. Die Daten werden auf einem S3-Bucket sicher gespeichert, mit Funktionen wie Versionierung, Lebenszyklusmanagement, Replikation oder ereignisbasierter Benachrichtigung. Nachfolgend können die Daten automatisch verarbeitet und in AWS-native Services wie beispielsweise RDS oder Glacier geladen werden.

In der Abbildung unten ist die Lösungsarchitektur dargestellt. Die gesamte Lösung ist als eine Cloudformation-Vorlage (Infrastructure as Code) konzipiert, was den einfachsten Weg zur Integration eines Produkts in den Service-Katalog darstellt. Die Wartung der Lösung wird durch eine CI/CD-Pipeline unterstützt.

Fazit:

Mit der Möglichkeit, Daten über bekannte Protokolle wie SFTP auszutauschen, können Migrationen ins Zielsystem AWS für viele Benutzer einfacher gestartet werden. Dies vereinfacht die Cloud-Migration und bietet am Standort Zugang zu praktisch unbegrenztem Cloud-Speicher.

Um die Nutzung weiter zu erleichtern, kann der SFTP-Server auch mit einem benutzerspezifischen DNS-Namen adressiert werden. Dazu können alle IP-Adressen des SFTP-Servers mit einem DNS-A-Eintrag in einer privaten gehosteten Zone verknüpft werden.

Weitere Informationen zur Planung und entsprechenden Einrichtung finden Sie in der AWS Dokumentation.

Einige zusätzliche Anwendungsfälle:

  • Wenn Sie anderen Anwendungen Zugang zu den Daten Ihrer klassischen Applikation geben wollen, können Sie die Anwendungsdaten durch traditionelle Protokolle in S3 speichern und über moderne Channel wie API-Gateway oder Athena Zugang für andere Anwendungen bieten.
  • Sollte Ihr Speicherplatz knapp werden oder Ihr Rechenzentrum nicht mehr mit dem Speicherkapazitätsbedarf Ihrer Anwendung mithalten, dann können Sie die nahezu unbegrenzte Kapazität von S3 kostengünstig nutzen.
  • Wenn Sie Ihre Daten aus Gründen der Compliance für längere Zeiträume speichern müssen, können Sie diese auf S3 laden und unter Anwendung einer Lebenszyklusregel automatisch auf Glacier verlagern.
  • AWS Transfer for SFTP verwendet das weit verbreitete SFTP-Protokoll, was die Einführung für traditionelle Anwendungen und Plattformen vereinfacht. Und es bietet alle Funktionalitäten, die die Benutzer von Software gewohnt sind, zum Beispiel die Fortsetzung unterbrochener Datenübertragungen bei gleicher Performance.
  • Wenn Sie eine dateibasierte Schnittstelle von einer Legacy-Anwendung on-premises zu einer AWS-basierten Anwendung benötigen, können Sie diese mit sehr geringem Aufwand mit diesem Produkt einrichten. Weiterer Vorteil: Die Verfügbarkeit des SFTP-Servers ist nicht von der Verfügbarkeit einer Komponente Ihrer AWS-Anwendung abhängig.

Gut zu wissen:

AWS PrivateLink ist jetzt auch für S3 verfügbar und bietet eine gute Ergänzung zur AWS Transfer Family

Zum Autor
Profil von Artur Schneider, schwarz/weiß

Artur Schneider

Senior Cloud Consultant, T-Systems International

Profil und alle Artikel ansehen
Besuchen Sie t-systems.com außerhalb von Germany? Besuchen Sie die lokale Website für weiterführende Informationen und Angebote für Ihr Land.