Disclaimer

Wir sind am Anfang der Reise, nicht am Ziel

How NOT to implement Private Cloud

Tech project = Orphaned Cloud

How NOT to implement Private Cloud

Tech project = Orphaned Cloud

DevOps not integrated or automated = Slow

How NOT to implement Private Cloud

Tech project = Orphaned Cloud

DevOps not integrated or automated = Slow

Traditional IT vendors = Lock-in

How to implement Private CloudIdentify Cloud Champion & Anchor Tenant

Establish business sponsorship & KPIs

100% open-standards approach

Accelerate SW delivery w/ automation pipeline

Increase dev productivity w/ self-service

Principles

Loose coupling

Off the shelf

Service consistency

Workload driven

Volkswagen Group & Mirantis

All private clouds are MOS

Globally

Cloud train running on time

Where We’re Working

Wo stehen wir?

High level Vorgaben: Zugang Intranet und Internet

Cloud 1.0 – Erweiterte PoC-Umgebung, 20 Nodes

Cloud 1.1 – Umgebung mit 84 Nodes, Go Live 1.7.

Geplante Erweiterung 2017:

2 weitere Standorte, je 200 Nodes mit 3 AZs

Erfahrungen 1 – [SG]SZ zur Integration

Tennant-Netzwerk,virtual private,

one per tennant

Shared Service Zone(e.g. DNS,NTP, SW-Repository, Config-

Mgmt VMs)

Internet Intranet

Global Service ZoneAuthentisiserung (143.+10.)

App-Übergang zum Intranet/Internet, z.B. GSB/ESB,Authentisierung,… (nur 10.)

:80, :443 :22, :80, :443

143.163 vom Intranet aus nur über

den Proxy erreichbar!

Shared Service Zone / Global Service Zone im Detail

Shared und Global Service Zone stellen Integrations-Services zur Verfügung, und zwar:• Global Service Zone: Services, die Synchronisationsbedarf

haben, z.B. Backend-Systeme• Shared Service Zone: System, die “lokal” bereitgestellt

werden• NTP• Repositories• Proxies• Compliance Reporting, …

Compliance – Der richtige Weg sollte der einfach sein

• Bereitstellungsprozess für Images, die gehärtet und compliant sind!

• CI/CD enthält automatisierte Security Checks, und das soll auch ausgeweitet werden.Gewisse Repositories, die oft angefragt werden, werden zentral und revisioniert bereitgestellt.

• Admin-Konzept, sowohl für die Tenants, als auch fürden OpenStack-Teil.

Next Steps

• Hardware-Auswahl verbessern

• Immutable OpenStack Infrastructure

• Services erweitern, z.B. FWaaS, DBaaS, …

Q & A

Contact:Tilman Schulz, VW, tilman.schulz@volkswagen.de

Thomas Lichtenstein, Mirantis, tlichtenstein@mirantis.com

Credits- Thanks to Chris Bingham for original slide deck, ideas, story

line and layout which parts of this deck are based on

Icon Art- Child Science by Christopher Smith from the Noun Project- separate by Martha Ormiston from the Noun Project- jail by Luis Prado from the Noun Project- winner by Juan Pablo Bravo from the Noun Project- line chart by Muneer A.Safiah from the Noun Project- Outlet by Arthur Shlain from the Noun Project- automate by Nikolay Necheuhin from the Noun Project- Espresso Machine by Creative Stall from the Noun Project