Zwei OpenShift Plattformen für das IGE

mm
Tobias Tröhler
9. November 2020

Puzzle ITC unterstützt das Institut für geistiges Eigentum (IGE) unter anderem beim Aufbau ihrer OpenShift Plattformen.

Ziel des Projekts

Ziel ist der Aufbau mehrer hochverfügbaren Openshift-Clusters sowie die Integration in die existierende IT-Landschaft des IGEs. Desweiteren gilt es, eine zweite, nahezu identische Plattform für Tests und die interne Entwicklung und Schulung aufzubauen. Das zukünftige Betriebsteam wird in den gesamten Aufbauprozess eingebunden, um möglichst viel Know-How und Transparenz zu schaffen.

Rolle von Puzzle ITC

Gleich mehrere Members von Puzzle ITC unterstützten das IGE in folgenden Bereichen:

  • Cluster Aufbau und Integration
  • IAM
  • Security
  • Einführung des Betriebsteams
  • Fehlersuche

Architektur und Aufbau

Gemeinsam mit dem IGE wurden in einem Workshop die passende Architektur und die notwendigen Grundvoraussetzungen definiert. Anschliessend wurde die Plattform progressiv aufgebaut und in die Umsysteme eingebunden.

Architektur und Aufbau der Test-Umgebung

Gestartet wurde mit der Test-Umgebung. Damit kann das Betriebsteam Integrationen und Plattformaktualisierungen überprüfen. Dieser Cluster ist vom Umfang her deutlich kleiner ausgestattet, verfügt ansonsten aber über die gleichen Merkmale und Voraussetzungen wie der Produktions-Cluster.

Architektur und Aufbau der Produktions-Umgebung

Analog zur Test-Umgebung wurde die Produktions-Umgebung aufgebaut. In erster Linie dient die produktive Umgebung der Bereitstellung von intern verwendeten Services. Gleichzeitig erlaubt dies der Entwicklung das Prüfen und die Abnahme neuer Applikationen, die später gegebenenfalls in der DMZ-Umgebung zum Einsatz kommen.

Architektur und Aufbau der DMZ-Umgebung

Auf dem DMZ-Cluster (demilitarized zone) werden Applikationen bereitgestellt, mit denen auch Kunden in Kontakt treten. Dementsprechend sind hier die Sicherheitsvorkehrungen verschärft. Konkret heisst das, dass eine Web Application Firewall integriert wurde und Egress Traffic für zusätzliche Kontrolle sorgt.

Aufbau Know-How

Der Auftrag wurde mit den verantwortlichen Personen in einer Art Pair-Programming durchgeführt. Der Prod- und DMZ-Cluster wurden direkt von IGE-Engineers unter Anleitung und Pairing von Puzzle umgesetzt.

Tech Stack

Verwendete Technologien:

  • OpenShift Container Platform
  • Redhat Enterprise Linux
  • VMware
  • Cri-o
  • F5 Firewall/Load-Balancer
  • Sophos-Proxy
  • Trident Storage Plugin von NetApp
  • Monitoring: Prometheus, Alertmanager
  • Syslogd