• Hem
  • Kategorier
  • Senaste
  • Taggar
  • Populära
  • Användare
  • Grupper
Collapse
Dataportal logo

Community på Sveriges dataportal

(Amerikanska) hybridmolntjänster för on prem behov

Scheduled Fäst Låst Flyttad Digital Infrastruktur
4 Inlägg 2 Posters 269 Visningar
    • Äldst till nyaste
    • Nyaste till äldst
    • Flest röster
Svara
  • Svara som ämne
Logga in för att posta
Det här ämnet har raderats. Endast användare med ämneshanterings-privilegier kan se det.
  • davidlarsD Offline
    davidlarsD Offline
    davidlars
    wrote on Senaste redigerad av davidlars
    #1

    Jag kommer att blotta min okunskap i juridiken här. Behöver ställa en del "dumma frågor", tur för mig att det inte finns "dumma frågor" då...

    Produkter som Google Anthos och Azure Arc (med eller utan HCI Stack) har tagits fram för att stötta vid uppbyggnad av hybridmoln och låta kunden nyttja automation och övervakning m.m. som SaaS medan man (om man så vill) låter applikationskod och dess data ligga på de egna servrarna. Du släpper (iaf i teorin) bara iväg metadata (namn på applikationer och liknande), metrik och ev loggar till, säg, det amerikanska företaget.

    Utan att gå allt för djupt på någon specifik produkt, har vi någon här som upphandlat någon liknande tjänst eller kikar på denna produktkategori?

    Ex finns möjligheten att för ca 4-5000 kr/månaden få tillgång till en produktionsmässig kubernetesplattform i den egna VMWare-miljön. "Produktionsmässig": 3x control plane noder med 4vCPU och 3x worker noder med 4vCPU för applikationscontainers (valfri mängd RAM/disk givetvis, men debitering sker per vCPU).
    Dessutom får du en "app store" (marknadsplats med - förhoppningsvis - kvalitetssäkrade och testade helm charts - operators) för en förenklad installation och - i teorin - förenklad förvaltning av en mängd olika OSS-projekt så som Postgresql, Jitsi videosamtalsplattform m.m. m.m. Uppe på det har du självklart god tillgång till proprietära add ons från molnleverantören som mycket väl kan vara väl värt den potentiella inlåsningen (low code plattformar, CI/CD produkter etc).

    Det jag har hört är att bara det faktum att det finns en amerikansk part i målet och den ev förmågan för denna att överföra data från on prem-servrarna till företagets datacenter (även om produkten i sig inte ska göra detta) kräver att individuella avtals sluts kring att detta inte får/kan ske.

    Det kanske finns en massa for-dummies-läsning i ämnet? Eller vad finns det för klokheter/erfarenheter här?

    davidlarsD P 2 svar Senaste svaret
    0
  • davidlarsD Offline
    davidlarsD Offline
    davidlars
    replied to davidlars on Senaste redigerad av
    #2

    Självklart behöver du info.klassa metadatan/metrik som produkten ska konsumera för att fungera. Men givet att den delen är godkänd...

    Att få hjälp med att drifta en övervakningsplattform, att slippa övervaka övervakningsplattformen, ja, det finns fördelar med det.

    Ett svar Senaste svaret
    0
  • P Offline
    P Offline
    Peter_Bengtsson
    replied to davidlars on Senaste redigerad av
    #3

    @davidlars

    Det här var en bra fråga - jag har själv ingen direkt erfarenhet av sådana lösningar, men det slår mig att det finns vissa likheter med tidigare försök att placera datahallar i EU.

    Problemet är väl egentligen hur mycket kontroll som ligger var. Har det amerikanska företaget möjligheter att göra något av exempelvis följande:

    • Installera/uppdatera programvara som körs.
    • Konfigurera nätverk och omdirigera trafik.
    • Lägga till eller förändra autentiseringsinformation.
    • Åtkomst till administratörsgränssnitt även om de på pappret bara används för övervakning.

    Så kan det vara ett problem - konflikten är ju mellan europeisk och amerikansk lagstiftning där amerikanska företag kan bli tvingade att bryta mot europeiska lagar. Vissa delar av detta tror jag är otestade, men med bakgrund av att det redan är bekräftat att företag som lyder under amerikansk lagstiftning kan tvingas att lämna ut data under deras kontroll oavsett var den är belägen så är oron förståelig.

    Det finns säkerligen möjligheter till hybridlösningar, men min spontana uppfattning är att det finns en stor osäkerhet idag.

    davidlarsD Ett svar Senaste svaret
    0
  • davidlarsD Offline
    davidlarsD Offline
    davidlars
    replied to Peter_Bengtsson on Senaste redigerad av davidlars
    #4

    Jo, jag förstår oron. Metadatan i detta fall har givetvis en viss nivå av konfidentialitet, möjligen på nivån "Intern: informationen ska endast spridas till medarbetare inom organisationen och till externa som har behov av informationen".
    Om sedan höga krav på riktighet och tillgänglighet kommer in i bilden förs tankarna till en molnlösning i det fall man inte tror sig ha förmågan att leverera detta internt. Så vida konfidentialitetskraven inte står i vägen.

    För exemplet övervakning så behöver metadata givetvis flöda till den molnbaserade övervakningsplattformen, och då gissar jag att konfidentialitetskravet "1 - Intern: informationen ska endast spridas till medarbetare inom organisationen och externa som har behov av informationen"
    skulle kunna tolkas som ok? Allt är från fall till fall iofs.

    Har det amerikanska företaget möjligheter att göra något av exempelvis följande:
- Installera/uppdatera programvara som körs

    Inte för en hybridlösning där det just bara är övervakningen och inget annat som körs i molnet.
    Man ja, för exemplet Google Anthos och Azure Arc: det är en förutsättning för att deras marknadsplatser ska fungera. Och även för uppdatering av beroenden för övervakningsfunktionaliteten. Sedan är det kunden som styr över önskade applikationscontainers och möjligheten finns att även driftsätta plattformskomponenter vid sidan om molnplattformens gränssnitt.

    - Konfigurera nätverk och omdirigera trafik.

    Inte nödvändigtvis för en molnplattform som endast hanterar övervakning.
    För ex Anthos/Arc så finns/krävs möjligheten att styra ingress/egress och trafik inom klustret. Man säljer ju ett centralt gränssnitt för administration av miljöer både i leverantörens och det egna datacentret och även hos konkurrentens datacenter. Sedan ger man ju givetvis inte ut åtkomst för att styra nätverkskonfiguration utanför kubernetesklustret.

    Lägga till eller förändra autentiseringsinformation.

    Anthos/Arc kan integrera mot ex Azure AD eller andra OAuth2/OIDC tjänster. Jag ser inte direkt hur de skulle modifiera dessa, men det finns ju möjligheter att skada om man sitter som en "man in the middle". RBAC inom klustret är också en feature att kunna styra från det centrala gränssnittet i molnet.

    Åtkomst till administratörsgränssnitt även om de på pappret bara används för övervakning.

    Yes, om molnplattformen erbjuder funktionalitet för att administrera infra i det egna datacentret så finns det ju spakar att dra i, även om de inte ska göra det...

    Jag undrar om delar av detta kan utmanas med nya molnerbjudanden kring konfidentiella plattformar. Ex så pratar Google om compute där kunddata kan vara krypterad at rest - in transit och in use (smaka på den) och gav under senaste Google Next '22 ett exempel där två banker tillsammans bygger anti-fraud lösning tillsammans på samma infrastruktur och där bådas konfidentiella data nyttjades i samma plattform men förblev oläsbar för den andra parten. Men jag gissar att det här är ett upplägg som är mer experimentiellt än så länge.

    Ett svar Senaste svaret
    0

Finansieras av Europeiska unionen logo
  • Logga in
  • Har du inget konto? Registrera
  • Login or register to search.
  • Första inlägget
    Sista inlägget
0
  • Hem
  • Kategorier
  • Senaste
  • Taggar
  • Populära
  • Användare
  • Grupper
  • Logga in
  • Har du inget konto? Registrera
  • Login or register to search.