Wissensprüfung - Best-Practice-Architektur
Eine FinCorp-Ebene muss sich automatisch unter variabler Last skalieren. Ein Architekt konfiguriert eine VM Auto Scaling-Gruppe mit einem Skalierungs-Schwellenwert bei 70% CPU und einem Skalierungs-Rück-Schwellenwert bei 50% CPU, in der Erwartung, dass die 20-Punkte-Band die Gruppe stabil hält. Die Plattform lehnt die Richtlinie ab. Welche Regel wurde verletzt und was ist das korrekte Designprinzip?
VM Auto Scaling erzwingt eine obligatorische Mindest-Trennung von 40 Prozentpunkten zwischen den Skalierungs-Rück- und Skalierungs-Schwellenwerten. Diese tote Zone ist die primäre Anti-Flapping-Steuerung: ohne sie könnte ein verrauschtes Leseergebnis beide Schwellenwerte in schneller Folge überschreiten und die Gruppe dazu bringen, sich zu skalieren und dann sofort wieder zurückzuskalieren. Eine 20-Punkte-Lücke liegt unter dem Mindestwert und wird abgelehnt. Der Dienst unterstützt fünf Metriken (CPU-Auslastung im Durchschnitt und eingehende/ausgehende Netzwerk-Bytes und Pakete), sodass die Wahl des Metriks nicht das Problem ist und der Skalierungs-Schwellenwert korrekt über dem Skalierungs-Rück-Schwellenwert liegt.
Ein Architekt hat ein funktional vollständiges Design für die regulierte, containerisierte Verarbeitung von FinCorp erstellt, das auf Managed Kubernetes läuft, und wendet nun den Souveränitäts- und Attestationsfilter an. Der Workload-Vertrag erfordert kontraktuell eine BSI-C5-Abdeckung. Was zeigt der Filter an, und welche ist die richtige Schlussfolgerung?
Dies ist der zweite Zusammensetzungsfehler: eine funktional korrekte Wahl, die außerhalb des erforderlichen Attestationsbereichs liegt. Der Filter wird zuletzt angewendet, über ein Design, das bereits funktional vollständig ist, da die Compliance die Auswahlmöglichkeiten einschränkt, anstatt sie zu generieren. C5 deckt genau Compute Engine, Cloud Cubes und Object Storage ab; Managed Kubernetes fällt in den IT-Grundschutz-Bereich, aber nicht in den C5-Bereich, und die beiden Bereiche sind nicht austauschbar. Ein Workload, das kontraktuell C5 erfordert, wird daher auf einen C5-abgedeckten Dienst wie Compute Engine verschoben. Die Wahl war nicht technisch falsch; sie war falsch im Hinblick auf den Bereichsfilter, und eine gehaltene Attestation lizenziert niemals einen plattformweiten Anspruch.
In der Referenzarchitektur ist der Anfragepfad absichtlich in Schichten unterteilt: ein öffentlicher Lastenausgleich am Rand und ein privater Lastenausgleich vor der Datenebene. Ein Ingenieur schlägt vor, an beiden Positionen einen einzelnen Layer-4-NLB zu verwenden, um zu standardisieren, und schlägt vor, jeden gemanagten Lastenausgleich in einer Netzwerksicherheitsgruppe für die Filterung zu kapseln. Warum lehnt das Referenzdesign beide Vorschläge ab?
Die beiden Lastenausgleichsebenen existieren aus zwei verschiedenen Gründen. Der öffentliche Layer-7-ALB beendet TLS und routet auf Inhalte, wo die Routinglogik wichtig ist; der private Layer-4-NLB gibt TCP schnell durch, wo es nicht wichtig ist, und lässt das Zertifikat auf dem Backend. Die Standardisierung auf einer Ebene wirft den Grund warum jede Ebene gewählt wurde, weg. Separat akzeptiert keiner der gemanagten Lastenausgleiche eine Netzwerksicherheitsgruppe oder eine IP-Zulassungsliste, so dass das Anfügen einer NSG an einen gemanagten Lastenausgleich nichts bewirkt; die Filterung gehört auf die Ziel-Netzwerkkarten, und die Sicherheit der Datenebene kommt davon, dass sie auf einem privaten LAN und nicht von einem Lastenausgleichsebene-Firewall lebt. DNS lenkt neue Verbindungen, ist aber kein Load Balancer und wendet keine NSG an, und Cloud DNS hat keine native gesundheitsbezogene Ausfallübernahme.
Der Capstone-Build kombiniert die pro-Modul-Teile zu einem virtuellen Rechenzentrum (VDC). Ein Team bereitstellt Ressourcen in dieser Reihenfolge: Sie erstellen den privaten Layer-4-Lastenausgleich (NLB), dann die Daten-Tier-Server, die er bedienen soll, dann ein NAT-Gateway, und sie erwarten, dass private Workloads das Internet erreichen, sobald das NAT-Gateway existiert. Welche Bewertung ihrer Sequenz ist korrekt?
Ein integrierter Build ist ein Abhängigkeitsgraph, der von unten nach oben aufgelöst wird, und nicht eine Checkliste, die die Plattform neu ordnet. Ein Layer-4-Lastenausgleich, der auf Ziele zeigt, die noch nicht existieren, hat nichts zu routen, sodass die Daten-Tier-Server bereitgestellt werden müssen, bevor der NLB erstellt wird. Das NAT-Gateway, auch mit einer reservierten öffentlichen IP und einer SNAT-Regel, produziert keinen Ausgang, bis die Standard-Route (0.0.0.0/0) des privaten LAN auf ihn umgeleitet wird; diese Routing-Änderung ist der Schritt, den Teams vergessen, und die Plattform nimmt sie nicht automatisch vor. Die korrekte Reihenfolge über den gesamten Build hinweg ist Netzwerk-Substrat, dann Rechenressourcen, dann die Daten-Ebene, dann die Lastenausgleiche, dann die Container-Plattform, dann die Hybrid-Kante.
Der Auditor von FinCorp bittet den Architekten, Dienst für Dienst zu zeigen, welche BSI-Anerkennung jeweils welche Komponente des bereitgestellten Designs abdeckt. Der Architekt muss genau antworten, anstatt zu behaupten, die Plattform sei zertifiziert. Welche Aussage spiegelt die korrekte Dienst-für-Dienst-Compliance-Zuordnung wider?
Die Compliance bei IONOS ist pro Dienst und pro deutschem Rechenzentrum-Standort abgegrenzt, nie plattformweit, sodass die Antwort den Dienst, die Berechtigung und den Standort nennen muss, anstatt eine pauschale Zertifizierung zu behaupten. C5 (eine Typ-1-Bescheinigung) deckt genau Compute Engine, Cloud Cubes und Object Storage ab. IT-Grundschutz (ein ISO 27001-Zertifikat) deckt genau Compute Engine, Object Storage, Sicherung und Managed Kubernetes ab. Die beiden Bereiche divergieren: Cubes fallen unter C5, aber nicht unter IT-Grundschutz, während Managed Kubernetes und Sicherung unter IT-Grundschutz, aber nicht unter C5 fallen. Die relationalen und Cache-Engines und die gemanagten Lastenausgleichsdienste fallen in keine der beiden Kategorien, und der regulierte, dedizierte VMware-Kern ist auf seine eigenen Bescheinigungen beschränkt, anstatt auf die Plattform-C5-Bescheinigung.