Hallo Uhu,
vielen Dank erstmal für deine Hilfe!
Der Fokus sollte genau wie du sagst auf dem Deployment Prozess liegen. Ich habe den Text einmal angepasst sodass er das etwas besser erklärt.
Außerdem hat sich mein Projekt in der Hinsicht geändert, dass ich in jeder der Zonen eine Serverinstanz aufsetzte, die mit Ansible soweit automatisiert konfiguriert wird, damit sie sich am Puppet Master anmeldet. Das hinzufügen von einer oder auch 30 Instanzen ist in der Automatisierung ja nur copy-paste und die Bearbeitung einzelner Werte. Sollte also den Rahmen auch nicht sprengen. <--- oder?
Mit der Automatisierungssoftware hast du recht, hier sind bereits Infrastrukturen aufgesetzt. Habe nur nicht in Betracht gezogen diese als Vorgabe zu definieren. Danke!
Bei dem Sicherheitskonzept werde ich mich auf Security Rules in Openstack berufen. Diese sind entweder nur für ganze Zonen oder für Instanzen zuständig und durchaus nicht so aufwendig wie die Aufsetzung einer ganzen Firewall.
Überarbeitete Version hier:
__________________
1. Projektbezeichnung
Automatisiertes Deployment von virtuellen Kundenumgebungen mit BSI konformen drei Zonen Konzept in einem OpenStack Cluster.
1.1 Beschreibung
Die Firma --- ist ein mittelständiger IT-Dienstleister mit Sitz in ---. Die Firma beschäftigt ca. 90 Mitarbeiter von denen 5 Festangestellte und 3 Auszubildende im Netzwerk(nachfolgend NOC) beschäftigt sind.
--- aquiriert jährlich ca. 20 Neukunden im B2B Bereich, die meistens eine sichere Standard Kundenumgebung mit BSI konformen drei Zonen Konzept in einem unserer Rechenzentren bestellen. Diese Kundenumgebungen werden virtualisiert dem Kunden bereitgestellt.
1.2. Ist-Analyse
Im Aktuellen Zustand ist eine neue Kundenumgebung ein komplexes Projekt. Erst müssen vom Kundenkoordinator alle Freigaben erteilt werden. Es wird ein Ticket für das NOC (Network Operating Center) erstellt, welches die Anforderung für die neue Umgebung beinhaltet. Vorerst muss der NOC Mitarbeiter ein privates Netz aussuchen. Public IP Adressen müssen herausgesucht werden. VLANs müssen definiert und angelegt werden. Anschließend muss der NOC Mitarbeiter ein Antragsformular für eine Virtuelle Maschine ausfüllen, welche als Abschlussrouter für die Kundenumgebung fungiert. Im Rahmen dieser Aufgabe ist die Dokumentation der Umgebung eine umfangreiche Angelegenheit.
2. Zielsetzung/Soll Konzept
Die Erstellung von Kundenumgebungen soll zukünftig automatisiert im Openstack Cluster der --- GmbH erfolgen. Eine Kundenumgebung muss 3 Netzwerkzonen, (DMZ, APP, DATA) und drei in den Zonen stehende Server Instanzen umfassen. Für die Zonen soll desweiteren ein grundlegendes Sicherheitskonzept erstellt werden, bei dem die Auswahl zwischen Security Groups (Openstack Feature) oder einer FaaS Lösung(Firewall as a Service, eine Openstack eigene Firewalllösung) getroffen werden muss. Als Automatisierungssoftware soll entweder Ansible, Terraform und Puppet genutzt werden, da diese im Unternehmen bereits im Einsatz sind. Am Ende des Projekts soll nur noch die Freigabe durch den Kundenkoodinator, die Ticketerstellung und das Quality assurance am Ende des Deployments manuell geschehen.
2.1 Projektphasen mit Zeitplanung in Stunden
1. Planungsphase 5Std.
a. Analyse der IST-Situation
b. Entwicklung des Soll-Konzepts
c. Softwarevergleich
d. Vergleich der Sicherheitslösungen
2. Durchführung - Konfiguration und Realisierung des Automatisierten Deployments 15Std.
a. Automatisierte Tennant Erstellung
b. Automatisierte Zonen Erstellung
c. Automatisierte Security Group/Rule Erstellung/FaaS Erstellung
d. Automatisierte Router Erstellung
e. Automatisierter Keypair Import
f. Automatisierte Erstellung und Konfiguration der Instanzen
g. Automatisierte Auswahl und Konfiguration einer Floating IP
h. Automatisierter Nmap auf das erstellte Netz von extern
3. Überprüfung der Ergebnisse und Tests 5Std.
a. Testen des User Accounts und den Rechten.
b. Überprüfung der erstellten Zonen
c. Externe Erreichbarkeit und Sicherheit prüfen
d. Ergebnis des automatischen Nmaps prüfen
4. Projektabschluss 10Std.
a. Zugangsdaten für Openstack Umgebung an den Kundenkoodinator für weitere Bearbeitung übergeben.
c. Erstellen der Betriebsdokumentation
