Van ‘oud metaal’ naar een ‘nieuw verhaal’

Afscheid van het klassieke datacenter

Het belang van up-to-date applicaties en van data in een moderne professionele omgeving zoals een ziekenhuis kan nauwelijks genoeg worden benadrukt. De spil waar alle ICT om draait – het datacenter – ondergaat al geruime tijd een belangrijke en ingrijpende transitie. We spreken met twee experts van Cam IT Solutions over wat deze transitie inhoudt en hoe deze veranderingen zich verhouden tot het ict-ecosysteem.

Het klassieke datacenter is opgebouwd uit diverse componenten die niet altijd even goed op elkaar aansluiten. Te beginnen met de servers voor de computerkracht en het beschikbaar stellen van de applicaties. Los daarvan staat storage van leveranciers als EMC of HP. “Deze combinatie van shared storage met een virtualisatielaag is nog bij veel ziekenhuizen in gebruik”, vertelt platform consultant Ferry Limpens. “Vaak is er ook sprake van aparte back-upstorage.”

Daarnaast is er een perimeter firewall en voor de onderlinge verbindingen en de verbindingen naar gebruikers wordt uiteraard gebruikgemaakt van een netwerk.

Senior engineer Robert Kloosterhuis legt uit dat het moderne datacenter – Software Defined Datacenter (SDDC) – bestaat uit één box, op de back-up na. “Hierin zijn al deze losse componenten in ondergebracht. Een van de grote voordelen van software defined is dat je hardware onafhankelijk bent. Voor de bovenliggende software-laag maakt het niet uit of daaronder nu metaal staat van bijvoorbeeld IBM, Dell of Hitachi.”

 

Appels en peren

Een belangrijk nadeel van het klassieke datacenter is dat al die storage arrays, firewalls, servers en netwerken een indrukwekkende hoeveelheid support vereisen. Dat betreft meestal prijzige jaarcontracten die radicaal duurder worden wanneer ze na de afschrijvingsperiode – doorgaans drie jaar – worden verlengd. “Voor het SDDC heb je helemaal geen storage array meer nodig”, vertelt Kloosterhuis, “omdat opslag is gevirtualiseerd. Dit lijkt erop dat de overstap naar een zogeheten hyper-converged infrastructuur veel kostenvoordelen oplevert, maar dat ligt toch iets genuanceerder. De aanschaf van een SDDC en licenties voor bijvoorbeeld vSAN – de hyper-converged oplossing van de grootste virtualisatie-aanbieder VMware – zijn ook stevig.”

Het sec beoordelen van beide datacenter-concepten op kostenplaatjes is volgens Limpens als het vergelijken van appels met peren. “De kosten voor het pre-SDDC – de klassieke variant – zitten voornamelijk in het support van al het ijzer, en in het SDDC betaal je voornamelijk per CPU, per socket en per gebruiker. Met het nieuwe SDDC consolideer je met name op kennisinvestering. Die storage arrays in het pre-SDDC vereisen gespecialiseerde kennis per leverancier. De enorme complexiteit op dit gebied vermindert aanzienlijk in het SDDC-concept.”

In vSAN zit de hyper-converged opslag namelijk geïntegreerd in de vSphere (VMware’s suite van server virtualisatieproducten). Dankzij de sterke reductie in complexiteit, is er minder gevarieerde expertise nodig. Bovendien krijg je een veel betere grip op de volledige ict-infrastructuur.

 

Automatisering

De ict-organisatie oude stijl bestaat uit diverse silo’s; een netwerkclub, de storagejongens, de firewallexperts, de serverbeheerders, databasespecialisten enzovoort. De applicatiebeheerders voor het EPD of voor de CAT-Scan zitten misschien zelfs in een ander gebouw. Andere applicatiebeheerders, zoals voor Office 365 vinden dat ze helemaal niets met de rest te maken hebben. Ieder eilandje beheert zijn eigen proces, wat eigenlijk een infrastructurele nachtmerrie is. Want applicatiebeheerders en andere specialisten focussen zich op hun eiland en hebben weinig of geen oog voor hoe het allemaal aan elkaar verbonden zit. Terwijl je juist soms alle partijen nodig hebt om iets goed te laten werken.

Kloosterhuis: “Niet alleen creëert deze eilandencultuur en de ad hoc-aanpak enorme doorlooptijden, maar het schaadt ook de kwaliteit van het opgeleverde werk. Om nog maar te zwijgen van de frustratie die het veroorzaakt. Binnen een SDDC komen al deze losse expertises en hun tot dan toe afzonderlijk gemanagede processen samen in de software-defined omgeving. Er wordt veel meer op een devops manier gewerkt. Alles, letterlijk alles, kan naadloos op elkaar aansluiten dankzij slimme scripting. Bovendien verloopt het hele proces van het installeren van een nieuwe versie van een applicatie vele malen sneller. Met enkele regels code maak je eenvoudig VM’s (virtuele machines) aan en als de automatisering eenmaal is doorgevoerd, gaat het netwerk daar vanzelf in mee. Dat geldt ook voor de beveiliging.”

Deze manier van automatisering werkt alleen goed als het voorwerk, de basis goed gestructureerd is. Limpens vergelijkt het ict-ecosysteem van een ziekenhuis met een grote bak legosteentjes. “Stel dat je auto wilt bouwen, dan heb je in de klassieke situatie alleen de legosteentjes zonder blauwdruk. De keuze voor stenen en de volgorde waarin ze waar worden aangebracht, wordt ter plekke bedacht. Bij het SDDC maak je eerst de blauwdruk van de auto, of van wat je ook maar wilt maken. Het SDDC zet vervolgens de legoblokjes feilloos voor jou in elkaar.”

 

Netwerk en security

Een werkload heeft altijd dezelfde dingen nodig van een ict-omgeving: een applicatie moet ergens draaien (compute/CPU/RAM); data moet ergens worden opgeslagen en vaak ook geback-upt (storage) en voor ontsluiting en communicatie is het netwerk nodig. Uiteraard is op al die aspecten ook nog eens security van toepassing. “Computing is al ongeveer vijftien jaar geleden door VMware gevirtualiseerd”, vertelt Limpens. “Ook storage is inmiddels op uitstekende wijze in de software gehaald. Alleen is networking – een andere belangrijke pilaar waar het SDDC op steunt – qua virtualisatie nog niet echt uitgekristalliseerd. Hierin biedt VMware NSX, het netwerk virtualisatie en security platform. Dit is zonder twijfel een verbetering vergeleken met de oude situatie, maar er moet nog veel worden gedaan.”

Kloosterhuis legt uit dat het scripten van een netwerkaanpassing nu binnen de vSphere met enkele regels PowerShell kan worden geregeld. “Binnen NSX kun je ook de firewalling doen. Keuzes zijn niet langer gelimiteerd omdat de firewall als fysiek apparaat buiten de virtualisatieomgeving staat. Een groot voordeel van zo’n ‘virtual distributed firewall’ is dat een hacker na één doorbraak niet langer toegang heeft tot alles. Als hij in de nieuwe omgeving door één laag is gebroken, kan hij nog niet veel, omdat hij voortdurend door nieuwe lagen heen moet zien te komen.”

 

Applicatie is uitgangspunt

Aangezien het bouwen van constructies op de klassieke manier veel tijd en moeite kost, wordt dat werk zoveel mogelijk geminimaliseerd. Zelden worden er meer dan vijf of zes zones gedefinieerd – zoals een DMZ-WLAN, een productie WLAN, een acceptatie-WLAN enzovoort. Kloosterhuis: “In NSX komt het definiëren van een nieuwe zone neer op het scripten van drie regels PowerShell. Dat betekent dat we niet langer gebonden zijn aan de beperkingen van de fysieke, externe situatie. We kunnen nu voor elke applicatie een aparte zone definiëren als we dat willen. Dit werkt ook zo door in het kader van security. Zoals je nu alles direct moet definiëren qua compute, storage en network, moet je dat ook doen voor security. Voorheen moest je kiezen waar een applicatie ging landen, in DMZ (‘demilitarized zone’, een netwerksegment dat zich tussen het interne en externe netwerk (internet) bevindt), of wordt het productie. Nu kun je dit helemaal naar je hand zetten en is de applicatie het uitgangspunt worden. In plaats van dat een applicatie moet landen op de bestaande netwerkinfrastructuur, ga je nu uit van wat de applicatie nodig heeft. Draait het on premise of in cloud? Heeft het zware beveiliging nodig, of is standaardsecurity voldoende? Heeft het snelle storage nodig? Voor iedere situatie kunnen we nu een softwaretag maken en de automatisering doet de rest.”

 

ICT-ecosysteem

Qua technologie onderscheidt de ene systemintegrator zich nauwelijks meer van de ander. Wat dat aangaat kan iedere ervaren infrastructuurpartij een SDDC-concept neerzetten. Wat CAM anders maakt, is de relatie met de klant. “CAM kijkt continu naar hoe de nieuwe ontwikkelingen aansluiten op EPD’s”, aldus Limpens. “Het concept van het SDDC is het startpunt van de hele transitie en CAM blijft betrokken bij iedere next step. Hoe voorkom je dat de silo’s zichzelf toch in stand houden? Hoe migreer je het SDDC naar een volgende versie van hetzelfde platform? Hoe bouw je een en ander over vijf jaar weer af? Wij zijn betrokken bij de hele lifecycle van applicaties en het SDDC.”

Intern wisselen de diverse specialisten binnen CAM hun ervaringen met elkaar uit. “Dat is belangrijk”, legt Kloosterhuis uit, “omdat wij bijdragen leveren op verschillende niveaus binnen een organisatie. Van strategisch naar tactisch en uitvoerend niveau bestrijken wij op die manier het hele ict-ecosysteem. Wanneer iemand vanuit de strategie roept dat bepaalde onderdelen naar Amazon verplaatst moeten worden, kan het zijn dat een engineer op tactisch niveau aangeeft dat het om bepaalde praktische redenen niet zal gaan werken. Deze brede kennis, over silo’s heen, kan organisaties behoeden voor enorme zeperds.”

 

Betrokkenheid

Als externe partij met een zeer ruime ervaring in de ict-omgeving van ziekenhuizen, heeft CAM een goed overzicht van alle verschillende silo’s en waar de onderlinge communicatielijnen en processen niet op elkaar aansluiten. En met name die laatste component – de organisatorische inrichting – verdient veel meer aandacht dan het doorgaans krijgt. Limpens: “Omdat het geheel aan ICT een verzameling is van enorm veel specialismen, weten wij precies wanneer wij ondersteuning op bepaalde punten in de markt moeten inschakelen. Wij zijn de experts op het gebied van infrastructuur, het koppelen van alle silo’s. Het is niet alleen in het belang van het ziekenhuis om het SDDC zo gedegen mogelijk neer te zetten, maar ook in ons eigen belang. Wanneer bepaalde zaken niet ‘in-design’ worden geïmplementeerd, kan dat de beheersbaarheid en efficiency schaden. Daar hebben ook wij keihard last van. De grote meerwaarde van de betrokkenheid van CAM zit in het feit dat wij verantwoordelijkheid voelen voor het volledige traject. Een traject dat in zekere zin continu zal door ontwikkelen.”

 

Inzicht en grip

De transitie van het oude datacenter naar het nieuwe datacenter is bepaald geen sinecure. De aanpak verloopt in fases”, vertelt Kloosterhuis. De eerste fase – van oud metaal naar nieuw metaal – neemt gemiddeld een jaar in beslag. Uiteraard verschilt dit per situatie afhankelijk van de omvang van een project. Na deze hardware-fase wordt aan de automatisering gewerkt, wat tijdrovend is omdat hier procesmanagement en politiek gaan meespelen. Niet alle vervolgstappen hebben dus uitsluitend betrekking op techniek.”

Een grote belofte van het SDDC is dat het in zijn totaliteit veel minder expertise vergt. Bovendien biedt het veel meer inzicht in en grip op de volledige ict-infrastructuur. Meer standaardisatie en meer efficiëntie, omdat aan het eind van dit pad een heel groot deel van alle processen zijn geautomatiseerd. Limpens vertelt dat het SDDC beheerders ertoe dwingt meer inzicht te verkrijgen in het applicatielandschap. “De automatisering kan namelijk geen vorm krijgen als er geen inzicht bestaat over hoe alles met elkaar verbonden is, waar de afhankelijkheden zitten enzovoort. Dit leidt tot een veel hogere efficiency, ook voor de security van het geheel.”

Doordat het onderscheidend vermogen dankzij virtualisatietechnieken niet langer in de hardware zit maar in de software, komt een ongekende flexibiliteit binnen handbereik. Kloosterhuis haalt een voorbeeld aan uit de auto-industrie. “Een rapport vermeldde dat de remweg van de Tesla, model 3 ‘langzamer remt dan een pick-up’. CEO Elon Musk liet enkele uren na verschijnen van dat rapport op Twitter weten dat de volgende software-update drie dagen later zou uitkomen. Deze update werd direct geüpload naar alle Tesla 3’s ter wereld. Sinds de update komt de auto zes meter eerder tot stilstand dan voorheen. Met een minimale inspanning was het probleem binnen vier dagen opgelost. Dit is de toekomst, en ja, die is onomkeerbaar.”

Dit artikel is een samenvatting van een white paper met dezelfde titel. Lees hier de volledige white paper: http://www.ictmagazine.nl/whitepaper/oud-metaal-naar-nieuw-verhaal/

 

 

Gerelateerde berichten...

X