Tiedonsuojaus kontainerisoiduille työkuormille

Tiedonsuojaus kontainerisoiduille työkuormille

Kontainereiden tiedonsuojaus on ollut kuuma aihe jo jonkin aikaa. Yksi suurimmista keskustelun aiheista on ollut kontainerisoitujen sovellusten pilvinatiivien ihanteiden mukainen stateless eli tilaton luonne ja se, onko niitä tästä johtuen tarpeen varmuuskopioida. Tämän kirjoituksen tavoite on vakuuttaa sinut siitä, että tilalliset kontainerit ja sen myötä myös tarve niiden suojaamiseen on tullut jäädäkseen.

Mihin laitoinkaan sen sovelluksen?

Viime vuosina olemme saaneet todistaa julkisen pilven räjähtävää kasvua, kiihtynyttä Saas-palveluiden tarjontaa sekä uudenlaisten sovellusalustojen kuten Kubernetesin ja OpenShiftin nousukiitoa.

Uusia tuotantoalustoja ja ratkaisuja otetaan jatkuvasti käyttöön yritysten eri liiketoimintayksiköissä, ja usein ilman että IT-osasto on siitä edes tietoinen. Yksi syy tämän takana on yritysten hankintamallien kuluttajistumisesta ja perinteisten IT-osastojen haasteet tarjota liiketoimintaa tukevia joustavia ratkaisuja.

Nämä nopeasti tapahtuvat muutokset sekä vaikeudet päästä eroon vanhoista alustoista ovat johtaneet meidät siihen, että IT-ekosysteemit ovat tänä päivänä erittäin hajautuneita, monimutkaisia ja todellinen painajainen datan perushallinnan näkökulmasta. Kun työkuormia siirretään yhä enemmän uusiin pilvinatiiveihin alustoihin, yritykset ovat alkaneet näkemään, että riippumatta alustasta meidän tulee silti säilyttää datamme hallittavuus ja näkyvyys siihen.

Meidän täytyy säilyttää tietoisuus siitä missä data on, miten monta kopiota siitä on ja miten kauan niitä säilytetään. Näitä vaatimuksia ei pidä unohtaa myöskään julkipilveen ja uusiin sovellusalustoihin siirtyessä.

Perusdatapalveluiden kuten tiedonsuojauksen, hallinnan ja varmistamisen puute on muodostumassa päällimmäiseksi esteeksi, kun organisaatiot haluavat siirtää tuotantotyökuormiaan uusille alustoille.

Mitkä ihmeen varmistukset? Eihän kontteja tarvitse varmistaa?

Kuten todettu, pilvinatiivien sovellusten maailmassa tilattomuuden perusperiaate on yksi ensisijaisista syistä, miksi tiedonsuojauksen merkitystä on aliarvioitu.

Tilattomuus on yksi pilvinatiivien sovellusten suunnittelussa käytetyn Twelve-factor viitekehyksen (https://12factor.net/) pääperiaatteista

“Twelve-factor processes are stateless and share-nothing. Any data that needs to persist must be stored in a stateful backing service, typically a database” – https://12factor.net/processes

Yksinkertaistaen, saavuttaakseen tilattomuuden, mitään ei saisi tallentaa itse kontin paikalliselle levylle, vaan sen sijaan tulisi käyttää erilaisia ulkoisia tallennuspalveluita, kuten Objekti, NAS tai tietokanta teknologioita.

Näin mahdollistetaan kontin alustariippumattomuus ja horisontaalinen skaalaus, sekä nopeutetaan konttipalveluiden käynnistysaikaa.

Loogisesti tämä tarkoittaisi että koska kontin paikallisella levyllä ei ole mitään pysyvää dataa, sitä ei myöskään tarvitsisi varmistaa.

Kuulostaa hyvältä vai mitä?

Ideaali vs todellisuus

Todellisuudessa alamme nähdä, että tätä periaatetta ei usein noudateta, erityisesti kun siirretään vanhoja paikallista tallennusta tai perinteisiä tallennuspalveluita käyttäviä työkuormia uusille alustoille.

Monia näistä sovelluksista, jotka eivät ole pilvinatiiveja, ei koskaan suunniteltu toteuttamaan tilattomuuden perusperiaatetta ja pitäisi tämän vuoksi pitäisi tehdä suuri määrä refaktorointia jotta nämä vaatimukset täyttyisivät.

Voisi kysyä, miksi edes kontainerisoida vanhoja sovelluksia?

Eräs merkittävimmistä syistä on, että jotkut näistäkin sovelluksista on kehitetty melko äskettäin, ja niiden refaktoroinnissa niin aikaisessa vaiheessa elinkaarta ei olisi mitään järkeä. Lisäksi kun työkuormia voidaan konsolidoida ja migroida vanhoilta alustoilta uusille, koko IT-ekosysteemiä on helpompi hallita ja operointikustannukset pienenevät.

Kannattaa ottaa myös huomioon, että jopa ilman tilattomuutta kontainerisointi tuo silti mukanaan paljon merkittäviä hyötyjä, kuten liikuteltavuutta  sekä parempaa resurssitehokkuutta ja lisää ketteryyttä.

Tilallisten konttien tarve ei ole rajoittunut ainoastaan vanhoihin sovelluksiin. Tänä päivänä monet yritykset ajavat jopa MongoDB:n tyylisiä hajautettuja tietokantoja suoraan konttialustoilla.

Osoituksena tilallisten konttien suosion kasvusta mm., Kubernetes on tuonut uusissa versioissaan tapoja   liittää ulkoinen tallennus kontteihin, kuten ”persistent volumet” ja ”persistent volume claims (PVC)”.

Yksi ratkaisu suojaa kaiken

Nykyään on tarjolla useita pisteratkaisuja, jotka yrittävät täyttää konttien varmistustarpeet. Hajautuneiden alustojen maailmassa yksi varmistusratkaisu lisää on viimeinen asia jota tarvitaan.

Onneksi Dell Technologies julkaisi marraskuussa PowerProtect Data Managerin version 19.3, joka tukee Kubernetesia ja pystyy siten suojaamaan virtuaalisia, fyysisiä ja kontainerisoituja työkuormia sekä on-premise- että pilvialustoilla.

Jo ensimmäisessä julkaisussaan tämä toiminnallisuus mahdollistaa  Kubernetes namespacesien DDBoost-kiihdytetyn varmistamisen ja orkestroidun palautuksen, sisältäen myös metadatan sekä containeriin liitetyt ”PVC:t”.

Se antaa sekä varmistus- että Kubernetes-admineille mahdollisuuden hallita ja valvoa varmistus- ja palautustoimintoja natiivien työkalujensa (kubectl) avulla, ja samalla se antaa varmistus-admineille keskitetyn näkymän kaikkiin varmistuksiin koko IT-ekosysteemissä PowerProtect Data Manager GUI:n ja SaaS -perusteisen valvonnan avulla.

Koko toiminnallisuus on rakennettu pilvinatiiveja periaatteita seuraten, mikä tarkoittaa että se ei vaadi mitään lisäkikkuloita varmistettaviin namespaceihin tai podeihin vaan sallii sen skaalautua erillisessä namespacessa, samaan tapaan kuin sovellustyökuormat, joita se suojaa.

Ratkaisu on suunniteltu toimimaan minkä tahansa Kubernetes jakelun ja minkä tahansa tallennusjärjestelmän kanssa, joka tukee Kubernetes CSI -ajureita. Lisäksi suunnitelmissa on lisätä tukea esimerkiksi PKS-, Openshift-, GCP- ja AWS-alustoille.

Jos haluat syvempää tietoa PowerProtect Data Manager solution for Kubernetes -ratkaisusta, löydät sitä tästä käyttöoppaasta: https://support.emc.com/docu96772_PowerProtect-Data-Manager-19.3-Administration-and-User-Guide.pdf?language=en_US

Mikäli haluat keskustella aiheesta lisää, ota yhteyttä: henry.amberg(at)dell.com

Henry Amberg

About the Author: Henry Amberg

Henry Amberg työskentelee Dell Technologiesilla Data Protection alueen teknisenä asiantuntijana. Ennen Dell Technologiesiä Henry on työskennellyt sovelluskehityksen parissa, keskittyen sovelluskehityksen, laadunvalvonnan ja julkaisu prosessien kehitykseen sekä näiden automaatioon.