Orchestration is de heilige graal van de cloud

• Door
• Jeroen Mulder
• geplaatst op
• 31 maart 2015 10:00 uur

We houden het echt goed bij. IaaS is nog steeds het populairste product in de cloud. Veruit de meeste starters op de markt voor cloudhosters beginnen met IaaS. Logisch. Dat is immers het meest eenvoudige. Je investeert in een partij ijzer, zorgt dat het via het internet wordt ontsloten, installeert een virtualisatieproduct a la Hyper-V of VMware en klaar ben je. De klanten mogen binnenkomen. Totdat die klant eisen gaat stellen. Bijvoorbeeld dat hij vanuit zijn server op omgeving A ook capaciteit moet kunnen bijschakelen in Azure of Amazon. Waarom? Omdat hij niet van één provider afhankelijk wil zijn.

Want hoe mooi het cloudverhaal ook is, de oude ‘vendor lockin’ bestaat ook in de wolken. De meeste, iets grotere klanten willen dat voorkomen. Die willen zekerheid en zo weinig mogelijk risico lopen. Dat laatste is op zich weer een gevolg van het succes van cloud en de volwassenheid die de services inmiddels hebben bereikt. Ook kritische omgevingen kunnen op een multitenant-omgeving worden gehost, mits je als provider een aantal zaken maar goed hebt ingeregeld op gebied van containment en security. Maar de meeste klanten wedden daarbij niet op één paard. Dat deden ze in de traditionele omgevingen niet, dat gaan ze zeker in de cloud niet doen.

Waar zit dan als IaaS-provider de toegevoegde waarde? In orchestration. De grotere partijen zoeken niet voor niets allemaal naar manieren om als orchestrator de verschillende cloudproviders aan elkaar te knopen, waarbij het de grote uitdaging is om de klant het gevoel te geven dat hij altijd ‘binnen’ zijn omgeving blijft. De klant mag niet merken dat er instances verspreid zijn over verschillende providers. Zaken als SSO (Single Sign On) en volledige platformintegratie worden dan belangrijk. Nog mooier: het kunnen verplaatsen van instances naar de op dat moment meest gunstige locatie binnen de omgeving. Helemaal te gek: volledig geautomatiseerd, op basis van vooraf vastgelegde provisioning- en securityrules, met behulp van populaire utilities als Puppet of Chef. Eén landschap. Volledig te besturen vanuit één controlekamer.

Technologisch is het niet eens een heel groot probleem meer. Federatieservices en multicloud-orchestratie zijn mogelijk. Het vergt alleen wel de bereidwilligheid van providers, zeker de grootsten, om hieraan mee te werken en hun API’s hiervoor ‘open te stellen’. Dat is één. Twee: de klant overtuigen. En dan komen de securityregels op de tafel, de security officer die gaat aandringen op volledige inzage in de mode of controls. Hoe garandeer je de controle op toegang tot deze landschappen waarin je feitelijk voortdurend de grenzen oversteekt. Kortom: hoe regel je een Schengen-verdrag in de cloud?

Nogmaals: technologisch is dat geen probleem met bijvoorbeeld Active Directory en LDAP, maar dat zijn slechts tools. Het komt neer op de implementatie van RBAC: role based authentication. Da’s een stuk lastiger. Dat zijn namelijk afspraken, niet meer, zeker niet minder. En hoe graag we dat in de cloud ook zouden willen, daar is geen generiek model voor. RBAC zal per klant anders uitpakken, mede en vooral afhankelijk van de business van die klant. Toch zullen cloudproviders zich meer en meer bezig moeten houden met dit type dienstverlening. Dan voeg je waarde toe. Met alleen het zoveelste IaaS-product gaat niemand het meer redden.