Berlin, 11.09.2024: Cloud Computing schlüsselfertig – Sovereign Cloud Stack veröffentlicht Release 7
Der Sovereign Cloud Stack (SCS) stellt alle Cloud-technologischen Grundlagen zur Verwirklichung digitaler Souveränität und zur Umsetzung von Open-Source-Strategien bereit. Damit bietet SCS eine digital-souveräne, sichere, vollständige, standardisierte und offene Virtualisierungslösung und Container-Schicht als Basis für alle containerisierten Anwendungen an. Die Software setzt alle mit den Nutzern und Betreibern erarbeiteten und zertifizierbaren SCS Standards um. Nach einigen Jahren Einsatz in der Praxis steht auch, insbesondere für den Betrieb, einiges an Wissen und Erfahrung zur Verfügung.
Ein wichtiger Fokus im Entwicklungszyklus für Release 7 (R7) lag darin, die verschiedenen modular einsetzbaren Softwarekomponenten enger zu verzahnen, um es Betreibern einfacher zu machen, den kompletten SCS Softwarestack zu nutzen. Neben Verbesserungen bei der Installationsautomatisierung ist hier vor allem eine Ende-zu-Ende Installationsanleitung zu erwähnen, welche alle wesentlichen Komponenten umfasst. Teil der Integrationsarbeit ist auch eine zentrale API, welche die Funktionalität von Nutzermanagement, Virtualisierungs- und Containerschichten zentral bündelt und welche als Technical Preview zur Verfügung steht.
SCS wäre nicht ohne Technologien wie Linux, Ceph, OpenStack oder Kubernetes denkbar. Die Mitarbeiterinnen und Mitarbeiter der SCS Community (sowohl das Projektteam bei der OSBA als auch Auftragnehmer oder Nutzer) sind aktive Mitglieder in den entsprechenden Upstream Communities und tragen zur Technologie dort bei. Das SCS Projekt vermeidet es strategisch, solche Verbesserungen nur in der eigenen Implementierung vorzunehmen, sondern legt großen Wert auf die gemeinsame Vorgehensweise mit der Upstream Technologie Community. Der Prozess ist manchmal langsamer, aber immer nachhaltiger. Aktuelle Beispiele dafür sind Beiträge zur domain-manager Rolle in OpenStack, zur Verteilung von Kubernetes Control-Plane Knoten auf verschiedene Hosts im Cluster-API-Provider für OpenStack oder die durchgängige Verschlüsselung von internen Verbindungen in Kolla Ansible. Die beiden Beispiele werden zu Verbesserungen im nächsten Release führen und sind in R7 noch nicht enthalten.
SCS R7 kommt mit aktuellem OpenStack (2024.1 Caracal), welches auf verschiedenen Linux Distributionen betrieben werden kann. Weiterhin unterstützt wird Ubuntu 22.04 LTS, jetzt neu: auch Ubuntu 24.04 LTS, Debian 12 und CentOS Stream 9 (und somit auch RHEL9). Die Unterstützung für VPN as-a-Service mit der modernen Netzwerkvirtualisierung OVN wurde nachgerüstet und erfolgreich validiert. Eine neue Version von Ceph (Reef statt dem bewährten Quincy) und ein Deployment mittels Rook (statt dem bewährten ceph-ansible) stehen jeweils als Technical Preview zur Verfügung.
Die Cluster Stacks haben sehr viele Verbesserungen erhalten. Die Cluster werden mittels aktuellen Cluster-API (v1.8) und dem endlich als stabil markierten Cluster-API-Provider for OpenStack (v0.10) bereitgestellt und unterstützen aktuelle Kubernetes Versionen (v1.30/v1.31). Die Cluster Stacks ermöglichen jetzt die Nutzung von OCI-Registries, um eigene Versionen der Cluster Stacks zu nutzen. Eigene Node-Images können einfach erstellt und zur Nutzung auf einem Objektspeicher vorgehalten werden. Die Nutzung ist jetzt auch möglich, wenn die Infrastruktur mit Zertifikaten arbeitet, die nicht von einer der voreingestellten TLS Zertifizierungsstellen kommen.
Neben der Nutzung von Cluster Stacks auf SCS-konformer Infrastruktur werden diese auch zunehmend auf anderen Clouds wie z.B. der Hetzner Cloud genutzt. Dies stärkt die Technologie und beweist, dass der Ansatz flexibel ist. Auf SCS wiederum steht mittels Kamaji ein Technical Preview zur Verfügung, in dem die Control Plane von mehreren Workload-Clustern durch Control Planes in einem gemeinsamen Cluster vereinigt wird und somit Ressourcen spart.
Die wichtigste Verbesserung unter der Haube sind die sogenannten Multi-Stage Addons. Mit ihrer Hilfe können im Falle von z.B. komplizierteren Versionsupgrades die Versionsabhängigkeiten verschiedener Komponenten sauber abgebildet werden, sodass auch in diesem Szenario eine lückenlose Verfügbarkeit des Clusters gewährleistet wird. Mit den Verbesserungen in der Cluster Stacks Technologie wird die alte Kubernetes-as-a-Service v1 Technologie nun nicht mehr weitergepflegt – der Umstieg auf Cluster Stacks wird somit allen Nutzern dringend empfohlen.
Der OpenStack Health Monitor hat sich zur Überwachung der Virtualisierungsschicht bewährt. Der Code war in die Jahre gekommen und wurde neu implementiert. Und steht jetzt, ähnlich wie die Überwachung der Containerschicht, auf moderner technologischer Basis. Damit ist die weitere Entwicklung und Pflege sehr viel einfacher sicherzustellen.
Eine andere signifikante Investition in die Absicherung der Technologie fand mithilfe der engagierten Penetration Tester statt. Diese Tests wurden in einer CI Pipeline automatisiert, sodass diese regelmäßig als Routine oder auch anlässlich der Validierung von Änderungen durchgeführt werden. Diese kontinuierliche Sicherheitsüberprüfung ist ein wichtiger Beitrag zur Abwehr steigender Risiken im Cyberraum.
Neben den Arbeiten an den Referenzimplementierungen gab es auch Fortschritte im Bereich der Standardisierung und Zertifizierung. So konnte im Mai gezeigt werden, dass mit Yaook eine andere als die SCS-Referenzimplementierung das Zertifikat SCS-compatible IaaS v4 mit überschaubarem Aufwand erreichen konnte. Auch sind seit dem letzten Release neue Partner in der Liste der SCS-Clouds erschienen: AOV, SysEleven, und mit Proof-of-Concept-Umgebungen die KDO Service GmbH sowie die Cloud&Heat Technologies GmbH; von denen SysEleven auch nicht die SCS Referenzimplementierung nutzt. Neben der automatischen täglichen Überprüfung, ob die Clouds der Betreiber standardkonform sind, ist mittels des neuen SCS Compliance Monitors (im Testbetrieb) auch ein detaillierter Blick auf einzelne bestandene oder fehlgeschlagene Tests möglich – so ist auch die Erfüllung optionaler oder zukünftiger Anforderungen transparent.
SCS wird seit Juli 2021 durch das Bundesministerium für Wirtschaft und Klimaschutz (BMWK) gefördert und ist bei der Open Source Business Alliance beheimatet. Ein internationales Ökosystem von über 25 Unternehmen trägt mit über 50 Software-Entwickler:innen zum Erfolg des Sovereign Cloud Stack bei, in Zusammenarbeit mit den Upstream Communities bei der OpenInfra Foundation, CNCF und weiteren. Das SCS Projekt stellt eine Referenzimplementierung für einen vollständigen, produktiv einsetzbaren Cloud-Stack zur Verfügung. Ergänzend werden gemeinsam offene Standards für eine moderne, föderierbare Open-Source-Cloud- und Container-Plattform definiert und in einem offenen Entwicklungsprozess durch bewährte Open-Source-Komponenten implementiert. Gleichzeitig werden Betriebswissen und -praktiken transparent zugänglich gemacht, um die Schwierigkeiten bei der Bereitstellung von qualitativ hochwertigen und sicheren Cloud-Diensten auf ein Minimum zu reduzieren. Bereits sechs Anbieter nutzen die SCS-Technologie produktiv für den Betrieb souveräner und DSGVO-konformer Public-Cloud-Angebote. Weitere SCS-basierte Cloud-Infrastrukturen (Public und Private Clouds) sind im Aufbau. SCS trägt auch zu Gaia-X bei und liefert die Entwicklungsplattform für die Gaia-X Federation Services / Cross-Federation Service Components (GXFS/XFSC).