11 Min. Lesezeit

Lernziele

Am Ende dieses Moduls werden Sie in der Lage sein:

  • Die richtige Rechenklasse, Container-Plattform, Speichertier, Datenbank-Engine und Netzwerkprimitiv aus strukturierten Kriterien und nicht aus Gewohnheit oder Hyperscaler-Analogie auswählen
  • Jede harte Eignungseinschränkung als ein Tor lesen, das eine ansonsten vernünftige Option disqualifiziert, bevor ein anderes Kriterium berücksichtigt wird
  • Den Souveränitäts- und Attestierungsbereichs-Filter zuletzt anwenden, als eine Bestätigungs- oder Ablehnungsprüfung über ein Design, das bereits funktional abgeschlossen ist
  • Die zwei Zusammensetzungsfehler erkennen, die ein Design erzeugen, das auf dem Papier richtig aussieht, aber in der Produktion oder bei der Prüfung fehlschlägt

Einheit 8.1: Architektur-Entscheidungsrahmen

Einführung

An diesem Punkt im Kurs wurde jeder Primitive ausführlich untersucht. Diese Einheit wiederholt sie nicht. Sie ist ein Referenzdokument: eine Sammlung von Auswahlmatrizen, auf die Sie zurückgreifen, wenn ein FinCorp-Tier eine Entscheidung benötigt und Sie das unterscheidende Kriterium, die harte Einschränkung, die eine Wahl direkt disqualifizieren kann, und die Einheit, die die Begründung ableitet, an einem Ort benötigen.

Lesen Sie jede Matrix auf die gleiche Weise. Die unterscheidenden Kriterien verengen das Feld. Die harten Einschränkungen der Zulässigkeit sind absolut: eine einzelne fehlgeschlagene Einschränkung entfernt eine Option, unabhängig davon, wie gut sie an anderer Stelle abschneidet. Die Souveränität und der Geltungsbereich der Zertifizierung werden zuletzt über den gesamten Entwurf angewendet, da die Compliance die Auswahlmöglichkeiten eher einschränkt, als dass sie diese ursprünglich schafft. Die Einheit schließt mit den zwei Möglichkeiten ab, wie ein technisch einwandfreier Entwurf dennoch fehlschlagen kann: das Kombinieren von Primitiven, die sich nicht zusammensetzen, und das Platzieren eines funktional korrekten Dienstes außerhalb des Geltungsbereichs der Zertifizierung, den das Workload erfordert.

1. Auswahl der Compute-Klasse

Die Compute-Entscheidung ist eine vierachsige Aufteilung über die Kernisolierung, CPU-Familiensteuerung, Block-Speicheranbindung und das Betriebsmodell. Die Einschränkung, die am häufigsten disqualifiziert, ist die permanente: Ein Cubes-Template ist nach der Bereitstellung unveränderlich, daher wird eine Klasse, die rekonfiguriert werden kann, für eine Ebene entworfen, deren Form oder Skalierungsanforderungen sich ändern können. VM Auto Scaling selbst ist nur horizontal und erstellt neue Replikate aus einem Replikate-Template zur Entwurfszeit.

Klasse Unterscheidungskriterium Harte Eignungseinschränkung Abgeleitet in
Dedizierter Kern Exklusiver physischer Kern; wählbare und änderbare CPU-Familie Änderung der CPU-Familie erfordert einen Neustart, keine Live-Operation Einheit 4.1, 4.3
Gemeinsamer vCPU Geringste Kosten Keine Auswahl der CPU-Familie; physische Kerne werden gemeinsam genutzt, daher keine Isolationsgarantie bei Konkurrenz Einheit 4.1
Cubes (festes Template-Instanz) Festes vCPU/RAM/NVMe-Template zu einem festen Preis Das gebündelte NVMe Volume kann nicht abgetrennt werden; das Template selbst ist unveränderlich. Cubes kann jedoch bis zu 23 Add-on-Block Storage-Geräte anhängen, daher handelt es sich um eine Template-Falle und nicht um ein Speicher-Ende Einheit 4.1
Private Cloud (dedizierter VMware) Single-Tenant-gemanagter VMware-SDDC mit inkludierter Lizenzierung Bereitgestellt als Selbstbedienung und auf Abruf, vertikal skaliert durch Hinzufügen von Hosts; Mindestens drei Hosts pro Cluster Einheit 4.4

Das Muster ist Klasse-pro-Ebene: Eine staatlose Anwendungsebene, die sich ausdehnt, nimmt Dedizierten Kern, eine feste Größe der Utility-Node nimmt einen Cube, eine regulierte Single-Tenant-Workload nimmt Private Cloud. Standardisieren Sie keine Klasse über alle Ebenen hinweg.

2. Container Plattformauswahl

Die Container-Entscheidung hängt davon ab, wer die Kontroll-Plane-Lebensdauer und die Compliance-Last trägt. Nur eine Option legt diese Last auf IONOS.

Plattform Unterscheidungskriterium Harte Eignungseinschränkung Abgeleitet in
Managed Kubernetes Kostenfreie gemanagte Kontroll-Plane; IONOS trägt die Kontroll-Plane-Lebensdauer; Node Pools wird als Compute Engine berechnet Ein LoadBalancer-Service ist kein echter externer Load Balancer (eine statische IP auf einem Eingangs-Worker Node, begrenzt auf dessen öffentliche Durchsatzleistung); ein separates gemanagtes ALB/NLB wird für den realen Eingang bereitgestellt. Keine Skalierung auf Null; die Autoskalierungsbasis ist ein warmer Node Einheit 6.1, 6.2
Red Hat OpenShift Vollständige OpenShift-Plattform, kundenseitig auf IONOS Cloud-Infrastruktur bereitgestellt Kein IONOS-gemanagter Service; Cluster-Lebensdauer liegt beim Kunden als Red Hat-CCSP-Partner. Red Hat-Validierung ist erforderlich, bevor die Produktion beginnt Einheit 6.4
SUSE Rancher Prime Rancher-Multi-Cluster-Verwaltung auf IONOS-Rechenressourcen Selbstverwaltete Lieferung; nicht von IONOS gemanagt; SUSE berechnet die Lizenzen (Bring-Your-Own-Abonnement) Einheit 6.4

Für FinCorps Container-Bestand ist der Unterschied der operationale Aufwand: Managed Kubernetes ist der Standard, da IONOS die Kontroll-Plane besitzt, und die kundenseitig bereitgestellten Alternativen werden nur dann gewählt, wenn bereits ein OpenShift- oder Rancher-Vertrag oder ein entsprechendes Fachwissen vorhanden ist.

3. Auswahl der Speichertier

Der Speicher wird dem Zugriffsmuster angepasst. Die wiederkehrende harte Einschränkung ist die SSD-Leistungsgrenze und die Zonenasymmetrie zwischen Rechenressourcen und Speicher.

Tier Unterscheidungskriterium Harte Eignungseinschränkung Abgeleitet in
Block Storage HDD Geringste Kosten pro GB; Einzel-VM-Anbindung Einzel-VM-Gerät; nicht geteilt; keine Sicherungsmechanismus Einheit 5.1, 4.2
Block Storage SSD Standard / Premium Höhere IOPS und Durchsatz pro GiB; Einzel-VM-Anbindung; bis zu 4096 GB pro Volume SSD Standard unter 100 GB erreicht nicht die volle Leistung, daher ist es nicht geeignet als kleine Datenbank-Volume Einheit 5.1, 7.3
NFS (gemanagtes gemeinsames Dateisystem) Gleichzeitige Multi-Client-Anbindung innerhalb einer Region Regional und privat; nicht an jedem Standort verfügbar (z.B. DE/FRA/2 und GB/WOR); aktiv-passiv auf der Dienstebene Einheit 5.1
Object Storage S3-kompatibler Bulk-, Archiv-, Sicherungsziel und Prüfungsspeicher; Objektsperre für manipulationsfesten Verbleib Kein Dateisystem; flache Namensraum mit Schlüssel- und Geheimauthentifizierung; nicht blockanbindbar Einheit 5.2

Beachten Sie die Zonenasymmetrie als Platzierungseinschränkung: Block Storage bietet Zone 1, 2, 3 und Auto, während Rechenressourcen nur Zone 1, 2 und Auto anbieten. Ein redundantes Paar, das an "Zone 3 Rechenressourcen" festgelegt ist, ist nicht möglich, da Rechenressourcen-Zone 3 nicht existiert.

4. Auswahl des Datenbank-Engines

Die Datenbankentscheidung wird durch das Datenmodell im Vordergrund und das Replikations- und Kontinuitätsmodell im Hintergrund getroffen. Bei jedem gemanagten Engine gilt die gleiche Grenze: Es gibt keine Lesereplikate und das Backup Service umfasst keine gemanagten Datenbanken, sodass Leseskalierung und Kontinuität zusammengesetzt und nicht gekauft werden.

Engine Unterscheidungskriterium Harte Eignungseinschränkung Abgeleitet in
Managed PostgreSQL Relationale Datenbank; asynchrone (Standard) oder streng synchrone Replikation für den niedrigsten RPO Streng synchrone Replikation erfordert mindestens drei Replikate; keine Lesereplikate; privater Endpunkt nur Einheit 5.3
Managed MariaDB Relationale Datenbank; einfacheres Betriebsprofil Asynchrone Replikation nur (keine synchrone Option); privater Endpunkt nur Einheit 5.3
Managed MongoDB Dokumentenmodell; Sharding für horizontale Skalierung Sharding ist eine Funktion der Enterprise-Edition; keine gemanagte Replikation von Änderungsströmen; privater Endpunkt nur Einheit 5.4
In-Memory DB (Cache) Submillisekunden-Lese-Tier; die Leseskalierungs- und Sitzungsexternalisierungsschicht Ein Cache, kein System der Aufzeichnungen; privater Endpunkt nur Einheit 5.5
Gemanagtes Kafka Ereignis-Streaming; der Anwendungs-Level-Änderungsdaten-Erfassungsersatz Drei Broker; die Reihenfolge ist pro Partition nur; keine Datenbank Einheit 5.6

Für den transaktionalen Kern von FinCorp beantwortet das PostgreSQL mit strenger synchroner Replikation die Anforderung für den niedrigen RPO, die In-Memory DB-Schicht beantwortet die Leseskalierung, da Lesereplikate nicht existieren, und das Kafka überträgt Änderungsereignisse, da es keinen gemanagten Datenbank-Änderungsstrom gibt.

5. Auswahl von Netzwerkprimitiven

Jede Netzwerkprimitiv beantwortet eine andere Schicht oder Richtung des Datenverkehrs. Die harten Einschränkungen hier sind die häufigste Quelle von inkompatiblen Paarungen (siehe Abschnitt 7).

Primitiv Unterscheidungskriterium Harte Berechtigungseinschränkung Abgeleitet in
Gemanagter ALB Layer-7-Inhaltsrouting (Pfad, Host, Header, Methode, Cookie, Quell-IP) mit TLS-Entlastung HTTP/HTTPS nur; keine IP-Zulassung und keine NSG auf dem gemanagten LB, so dass die Filterung auf den Zielen erfolgt Einheit 3.3
Gemanagter NLB Layer-4-TCP-Durchleitung; der Backend-Server behält das Zertifikat TCP nur; keine TLS-Beendigung; keine NSG auf dem gemanagten LB Einheit 3.4
NAT-Gateway Ausgehender Egress-Pfad für private Workloads SNAT-nur, keine eingehende DNAT; erfordert eine reservierte öffentliche IP Einheit 3.6
VPN Gateway Verschlüsselte Site-to-Site-Verbindung IKEv2 oder WireGuard nur (kein IKEv1); aktive-passive HA-Teilung einer öffentlichen IP Einheit 3.6
Cross-Connect Private Hochbandbreiten-Interconnect zwischen VDCs Gleiche Region und gleicher Vertrag nur; nicht cross-Region; ein LAN pro Verbindung Einheit 3.6
Netzwerksicherheitsgruppe Zustandsbehaftete Ablehnung-Standard-Filterung am Server-NIC Bindet sich an Server-NICs nur; gilt nicht für Managed Kubernetes-Node-Poolknoten oder ausgesetzte Cubes und nie für den gemanagten ALB/NLB Einheit 3.2
Cloud DNS Anycast-Auflösung und low-TTL-Datensatzverwaltung Keine native gesundheitsüberwachungsbasierte Ausfallsicherheit; es steuert neue Verbindungen nur, und die 60-Sekunden-Mindest-TTL ist der dominierende RTO-Hebel Einheit 3.7

6. Die Souveränität und Attestationsfilter

Wenden Sie diesen Filter zuletzt auf das fertige Design an. Souveränität und Compliance entstehen nicht aus einer Architektur, sondern verengen die Menge der Placements, die ein bereits korrektes Design verwenden darf. Die EU-rechtliche Souveränität ist eine Eigenschaft der Betreibergerichtsbarkeit und nicht allein der Region: Eine EU-Region eines US-amerikanischen Anbieters ist immer noch von der US-Cloud-Act-Exposition betroffen, während IONOS EU-geführt ist.

Die Attestationsscope unterscheiden sich pro Dienst und dürfen nie auf "die Plattform ist zertifiziert" verallgemeinert werden. Die beiden BSI-Anerkennungen, beide für deutsche Rechenzentren, decken unterschiedliche Dienstesätze ab:

Dienst BSI C5 (Attestation Typ 1, 2023-11-07) ISO 27001 basierend auf IT-Grundschutz (Zertifikat, 2022-09-14)
Compute Engine Im Umfang Im Umfang
Cloud Cubes Im Umfang Nicht im Umfang
Object Storage Im Umfang Im Umfang
Sicherung Nicht im Umfang Im Umfang
Managed Kubernetes Nicht im Umfang Im Umfang

IONOS ist der erste deutsche Cloud-Anbieter, der sowohl die C5-Attestation als auch die IT-Grundschutz-Zertifizierung besitzt, aber die beiden Umfänge sind nicht austauschbar. C5 ist eine Attestation (Testat), Typ 1, und keine Zertifizierung und kein Typ 2. Rechenzentrumsebene-Anmeldeinformationen (zum Beispiel ISO 27001 an einem Standort, PCI-DSS, Uptime Tier IV) werden vom Rechenzentrumsbetreiber gehalten und variieren je nach Standort; Produktzertifikatslisten im Marketing sind nicht vertraglich bindend. NIS2 ist eine regulatorische Verpflichtung und keine gehaltene Zertifizierung.

Für FinCorp unter GDPR und BSI ist die Residenz eine Platzierungsentscheidung, die vor jeder Workload-Landung getroffen wird: Deutsche Rechenzentren, EU-Betreiber und jeder im Umfang liegende Dienst wird gegen die exakte Attestation validiert, die seine Datenklasse erfordert.

Entscheidungszusammenfassung

Verwenden Sie die oben genannten Matrizen als Ergebnisartefakt der Einheit. Die Lesereihenfolge ist festgelegt:

  1. Eingrenzen durch das differenzierende Kriterium für die Stufe.
  2. Eliminieren Sie jede Option, die eine harte Zulassungsbeschränkung nicht erfüllt, bevor Sie andere Aspekte berücksichtigen.
  3. Wenden Sie den Souveränitäts- und Attestationsfilter zuletzt auf das gesamte Design an.

7. Die Zwei Kompositionsfehler

Ein Design kann jede primitive Matrix bestehen und dennoch fehlschlagen. Zwei Fehler sind für fast alle dieser Fälle verantwortlich.

Das Kombinieren inkompatibler Primitiven. Zwei Auswahlmöglichkeiten, die jeweils in Isolation korrekt sind, komponieren sich nicht. Das Platzieren einer Netzwerksicherheitsgruppe "vor" einem Managed ALB oder NLB hat keinen Effekt, da NSGs an Server-NICs und nie an die gemanagte Load Balancer gebunden sind; die Filterung muss auf den Zielen leben. Die Erwartung von eingehendem Datenverkehr durch ein NAT-Gateway schlägt fehl, da NAT nur SNAT ist; die Veröffentlichung von eingehendem Datenverkehr gehört zu einem Load Balancer oder einem reservierten öffentlichen IP. Der Versuch, eine Cross-Connect-Verbindung herzustellen, um zwei virtuelle Rechenzentren in verschiedenen Regionen zu verbinden, schlägt fehl, da Cross-Connect nur innerhalb derselben Region und desselben Vertrags möglich ist. Jedes ist ein korrekt verwendetes Primitiv, das durch seine harten Einschränkungen verboten wird.

Eine funktional korrekte Wahl außerhalb des erforderlichen Zertifizierungsbereichs. Ein Dienst kann die Aufgabe perfekt erfüllen und dennoch die falsche Wahl für ein reguliertes Workload sein, da er außerhalb der Zertifizierung liegt, die Workload erfordert. Das Ausführen von FinCorps regulierter containerisierter Verarbeitung auf Managed Kubernetes ist funktional einwandfrei, aber Managed Kubernetes liegt nicht im Zertifizierungsbereich von C5, sodass ein Workload, das vertraglich C5 erfordert, auf einem C5-abgedeckten Dienst wie Compute Engine platziert werden muss. Die Wahl ist nicht technisch falsch; sie ist falsch im Hinblick auf den Bereichsfilter, der genau deshalb als letzter über das gesamte Design angewendet wird.

Zusammenfassung

Architektur-Entscheidungen bei IONOS lassen sich auf einen wiederholbaren Prozess reduzieren: Eingrenzen durch das differenzierende Kriterium, Eliminieren durch die harten Einschränkungen und Anwenden des Souveränitäts- und Attestations-Umfangs zuletzt über das fertige Design. Die Matrizen in dieser Einheit sammeln diese Kriterien und Einschränkungen für Compute, Container, Speicher, Datenbanken und Netzwerke, sodass eine Entscheidung getroffen und gerechtfertigt werden kann, mit den zwei Zusammensetzungsfehlern als letzte Überprüfung.

Wichtige Punkte:

  • Harte Eignungseinschränkungen disqualifizieren sofort: Eine einzelne fehlgeschlagene Einschränkung entfernt eine Option, unabhängig davon, wie gut sie an anderer Stelle abschneidet.
  • VM Auto Scaling ist nur horizontal und erstellt neue Replikate aus einem Designzeit-Replikat-Vorlage; es gibt keine Lesereplikate; die Backup Service deckt keine gemanagten Datenbanken ab. Diese Grenzen entscheiden die Ebenen im Voraus.
  • Der Souveränitäts- und Attestations-Filter wird zuletzt angewendet, da die Compliance ein bereits abgeschlossenes Design einschränkt, anstatt es zu initiieren.
  • C5 und IT-Grundschutz-Umfänge unterscheiden sich pro Service: Cubes ist in C5, aber nicht in IT-Grundschutz; Sicherung und Managed Kubernetes sind in IT-Grundschutz, aber nicht in C5. Nie verallgemeinern zu "die Plattform ist zertifiziert".
  • Die zwei Zusammensetzungsfehler sind die Paarung von Primitiven, deren Einschränkungen die Paarung verbieten, und die Platzierung eines funktional korrekten Services außerhalb des Attestations-Umfangs, den der Workload erfordert.

Wichtige Begriffe:

  • Harte Eignungseinschränkung: ein absoluter Disqualifizierer (zum Beispiel ein unveränderliches Template eines Würfels oder Managed Kubernetes's Fehlen von Skalierbarkeit auf Null), der eine Option entfernt, bevor ein gewichteter Kriterium berücksichtigt wird.
  • Attestations-Umfang: die exakte Menge an Services, die ein Credential abdeckt; bei IONOS decken C5 und IT-Grundschutz unterschiedliche Services ab, und ein Anspruch muss immer an den benannten Service, den deutschen Rechenzentrum-Standort, das Credential, seinen Typ und sein Datum gebunden werden.

Weitere Lektüre

  • Einheit 4.1 Auswahl der Compute-Klasse, Einheit 4.4 Private Cloud (Dedicated VMware)
  • Einheit 6.1 Kubernetes-Plattform-Design, Einheit 6.4 Container-Registrierung und Plattform-Auswahl
  • Einheit 5.7 Datensicherheit und Lebenszyklus
  • Einheit 1.4 Souveränität und Compliance als Design-Eingaben
  • Einheit 8.2 Die Referenz-Unternehmensarchitektur