:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/d0/52/d05265b738654350e7d819867affca43/0109507650.jpeg "Die Minimierung der Speichernutzung von Smart Contracts kann zu massiven Einsparungen führen. (Bild: <a href=https://pixabay.com/users/jievani-21902109/>Jievani Weerasinghe</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/9e/929ebd787f23abe1aa1f9154660004bc/0110551740.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/48/63/48636b30e2851005f306fb7910e0c322/0109499300.jpeg "Neben Fortschritten bei der Künstlichen Intelligenz hält das Jahr 2023 noch andere Development-Trends bereit. (© Weissblick – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/44/75/4475df87014c1375344e8b82ed6e22dc/0110161453.jpeg "Licht im Tunnel: Shift-Left und Shift-Right schaffen in der Softwareentwicklung einen Schulterschluss von Sicherheit und Agilität. (Bild: <a href=https://unsplash.com/@alexandermils>Alexander Mils</a>)")
:quality(80)/p7i.vogel.de/wcms/dc/8d/dc8d9b3e23bc5bb6a8323b67991445df/0110203970.jpeg "Die mit Microservices verbundene Fragmentierung von Anwendungen führt zwangsläufig zu neuen Sicherheitsrisiken und einer größeren Angriffsfläche. (Bild: <a href=https://pixabay.com/users/thedigitalartist-202249/>Pete Linforth</a>)")
:quality(80)/p7i.vogel.de/wcms/12/3f/123ff52f1eedeb7a255fd95297f8b9ff/0110061064.jpeg "Die SaaS-Plattform SolarWinds Observability steht ab sofort mehr Kunden rund um den Globus zur Verfügung. (Bild: © – jayzynism – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fb/96/fb96a60a4f2eeba26d699b57f8c4d817/0109733675.jpeg "Alles in allem ist die Cloud Computing Foundation (CNCF) eine erfolgreiche Non-Profit-Organisation, Heimat für innovative Open-Source-Projekte, selbst wenn angesagte Highflyer auch einmal abstürzen. (Bild: Cmon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/e6/79e65075f5eca3f177c438b5d5778240/0109951044.jpeg "Die fehlende Kommunikation ist mittlerweile kein ernsthaftes Gegenargument mehr für eine Outsourcing-Strategie. (Bild: <a href=https://www.pexels.com/@thisisengineering/>ThisIsEngineering</a>)")
:quality(80)/p7i.vogel.de/wcms/4d/76/4d763e8fab15113bc86a1b3a0ea99808/0110053611.jpeg "Cloud-gestützte Anwendungen machen Betriebsstrukturen schnell agil und modern. Damit werden Unternehmen vor allem für die Generation Z attraktiv. (Bild: tomertu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/67/0867f5079d087a7e6c9b612322112040/0109901530.jpeg "DevOps-orientiertes Testdaten-Management bietet Datenmaskierung und weitere Ansätze, Compliance-Probleme zu lösen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/fe/87/fe87e275bdad6b264f059938465da19f/0109787723.jpeg "Einstieg in Microsoft Graph mit dem Graph-Explorer. (Bild: Joos / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/16/04/160481e1af171c4e5f385bf8eb9eb6ae/0110498754.jpeg "Oracle stellt in Zusammenarbeit mit der OpenJDK-Community alle sechs Monate eine neue Version des Oracle Java Development Kit bereit. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/83/f4/83f4d78d8c458f643ef395a9898bba69/0109842805.jpeg "Databricks hat eine Visual Studio (VS) Code Extension vorgestellt. (Bild: Screenshot / Databricks)")
:quality(80)/p7i.vogel.de/wcms/5d/02/5d02a26f4ed2857373b2e5d90113ca38/0110506169.jpeg "Unternehmen sollten wissen, wie sie das Beste aus ihren Low-Code- oder No-Code-Plattformen herausholen können. (© bsd studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/a6/b4a61bbbfe9a9cf25c84765622ea0158/0110026310.jpeg "Tabnine kann Code mithilfe von Anweisungen in menschlicher Sprache generieren und vervollständigen. (Bild: <a href=https://www.tabnine.com/>Tabnine</a>)")
:quality(80)/p7i.vogel.de/wcms/05/0c/050cfe1ed1cc65b9a2e833c213a7edb0/0110021783.jpeg "Hinter Alphacode steht die Google-Tochter Deepmind. (Bild: <a href=https://alphacode.deepmind.com>Deepmind</a>)")
:quality(80)/p7i.vogel.de/wcms/7f/91/7f918bdb2e099f671f8eaa9ecb9ac694/0109877739.jpeg "GitHub Copilot nutzt den OpenAI Codex, um Code und ganze Funktionen direkt im Editor in Echtzeit vorzuschlagen. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/72/2d/722d078bf7612e2a6d5d78a07977816d/0109865835.jpeg "KI-basierte Assistenz ist beim Programmieren aktuell für konkrete Anfragen sinnvoll und hält Developern bei Problemen den Rücken frei. (Bild: <a href=https://pixabay.com/users/computerizer-4588466/>Computerizer</a>)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
:quality(80)/images.vogel.de/vogelonline/bdb/1936900/1936970/original.jpg "Ablauf der Kubeflow-Installation in einer konformen Kubernetes-Umgebung. (charmed-kubeflow.io)")
Das Versprechen dynamischer Anwendungen Cloud-native Entwicklung – nicht ganz ohne Tücken
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/104600/104681/65.png "Logo-ColorVersion-CMYK.png ()")
Leicht veränderbare, skalierbare und ohne großen Aufwand erweiterbare Applikationen – Cloud-basiert und damit kostengünstig in Entwicklung und Betrieb. Wer würde das nicht wollen? Das Versprechen von Cloud Native Development ist verführerisch, aber der Hype hat auch seine Tücken.
Wer Cloud-native Development im Unternehmen etablieren möchte, sollte beachten, dass alle traditionellen IT-Strukturen und -Prozesse neu gedacht werden müssen (was aufwändig, aber durchaus erfrischend ist). Diese Prozesse, die ja auch den Kern eines Unternehmens bilden, werden schneller als bisher verändert – ein Kulturwandel, der nicht jedermanns Sache ist.
Cloud-native Development kurz betrachtet
Aber noch einmal einen Schritt zurück – wovon sprechen wir eigentlich? Cloud-native Development und DevOps ist ein Ansatz zur geplanten und automatisierten Entwicklung von Applikationen, der konsequent auf Public Cloud ausgerichtet ist. Das heißt, es wird in der Cloud entwickelt, mit Tools, die in der Cloud bereitgestellt und genutzt werden.
Die großen Vorteile der Entwicklung und Bereitstellung in der Cloud sind Geschwindigkeit und Agilität, schnelleres Feedback an die Entwickler und schnelleres Debugging. Der Schlüssel zu einer schnelleren und zuverlässigeren Softwareentwicklung ist ein DevOps-Prozess in einer Cloud-Umgebung, der sicherstellt, dass Tests und Sicherheit kontinuierlich überwacht werden.
Kurz: die Cloud hat Entwickler effektiver und effizienter gemacht – zumindest in der Theorie. In der Praxis gibt es noch einige Fallen, die auf Kosten von Qualität und Geschwindigkeit gehen können.
Legacy – die ewige Herausforderung
Cloud-native ist vor allem für Unternehmen mit langer Legacy-Historie nicht immer einfach umzusetzen. Die Kluft zwischen den Cloud-nativen Abläufen eines Unternehmens und seinen bestehenden, physisch gehosteten Anwendungen wird mit der zunehmenden Verbreitung von Cloud-Features und -Funktionalität nur noch größer.
Schnelle Releases lassen sich nicht mit veralteter Technologie umsetzen. Dies gilt insbesondere dann, wenn die Anwendungen noch nicht in Container umgewandelt und noch keine Cloud-nativen Äquivalente für Legacy-Komponenten eingesetzt werden. Aber Native Cloud-Development heißt nicht, dass alle monolithischen Systeme sofort verschwinden müssen.
Man kann durchaus einige Applikationen mit einer Microservices-Orientierung entwickeln und allmählich Funktionen, Neuentwicklungen und Legacy-Upgrades in die Cloud verlagern. Als erste Kandidaten bieten sich Funktionen an, die von mehreren Anwendungen gemeinsam genutzt werden oder aber CPU-intensive Funktionen, die eine ganze Anwendung verlangsamen könnten.
Doch Cloud Native kann auch an Mustern scheitern, die noch aus Legacy-Zeiten kommen. Manche Unternehmen konfigurieren und verwalten ihre Cloud-Ressourcen beispielsweise manuell über ein Admin-Panel. Dies macht es schwierig, Änderungen im Auge zu behalten.
Infrastructure-as-Code löst dieses Problem, indem Cloud-Ressourcen in Codeform definiert und unter Versionskontrolle gestellt werden. Änderungen werden dann direkt im Code der Infrastrukturkonfiguration vorgenommen und durch den Bereitstellungsprozess des Unternehmens geleitet, der Peer-Reviews, CI und CD umfassen kann.
Zuweilen werden auch in Cloud-nativen Umgebungen – wie bei Legacy-Systemen – Log-Dateien einzeln gespeichert. Das ist mühsam und die Vielfalt der Logs macht es schwer, zu verstehen, was wirklich im System geschieht. Cloud-native Tools verwenden zu diesem Zweck Zeitreihen-Metriken, die die Monitoring-Daten aggregieren und optimalerweise mit Alerts kombiniert werden.
Die richtigen Tools
Eine Herausforderung ist auch die Bandbreite an Tools: Die Cloud Native-Landschaft ist riesig. Die Auswahl zwischen immer mehr konkurrierenden und sich überschneidenden Plattformen und Technologien ist problematisch.
Hilfestellung bei der Service-Entwicklung leisten spezifische Frameworks und Technologie-Stacks mit gebrauchsfertigen, getesteten Funktionalitäten. Plattformen in der Cloud wie Eficode Roots decken den gesamten Software-Development Lifecycle vom Anforderungsmanagement bis hin zu Continuous Delivery und Analytik ab und bieten bewährte Tools in der jeweils gewünschten Version.
Je höher der Automatisierungsgrad, desto höher die Effizienz. Es reicht nicht, in der Cloud zu arbeiten und nicht durchgängig zu automatisieren. Eine ordnungsgemäße Governance trägt zur Risikominderung bei, aber automatisierte Tests sind die einzige Möglichkeit, dies zu gewährleisten. Unter dem Druck, Services immer schneller zu releasen, vernachlässigen manche Entwickler die Test- und Release-Automatisierung.
Ohne Testing geht es aber eigentlich nicht, wenn die Veröffentlichungszyklen der Microservices kurz sein sollten und die Kompatibilität zwischen den Services nicht garantiert ist. Kurz, alle Checks in Bezug auf Qualität, Konformität und Sicherheit müssen automatisiert und in den Deployment-Prozess integriert werden. Die richtigen Tools auf einer leistungsstarken Plattform erleichtern diese Aufgabe wesentlich.
Gedanken zur Architektur
Bei Cloud-nativen Anwendungen oder Architekturen steigt die Gefahr der Abhängigkeit von einem bestimmten Cloud-Anbieter oder -Service. Allzu einfach lassen sich die Workloads so gestalten, dass sie nicht mehr ohne einen bestimmten Service einer bestimmten Cloud auskommen. Doch gute Planung verringert das Risiko des Cloud-Lock-Ins. Nutzt man aber Community Standards (wie OCCI), können die Workloads dynamisch zwischen den Clouds wandern. Zusätzlich sollte man den Einsatz von sehr speziellen Services meiden.
Doch ein kleines Risiko wird immer bleiben: wer eine Cloud-native Anwendung für eine bestimmte Public Cloud Plattform schreibt, nutzt die nativen APIs dieser Cloud, so dass ein Wechsel ziemlich Arbeit macht. Auch unterstützen die Public Clouds nicht immer dieselben Sprachen und Frameworks– auch hier lohnt ein Blick vorab (Java ist immer eine sichere Wahl).
Auch die Integration von Services kann bei Cloud Native Development zum Problem werden. Selbst wenn ein Service immer – optimalerweise – nur eine einzige Funktion erfüllt und damit die Komplexität möglichst niedrig gehalten wird, kann eine falsche Methode der Bereitstellung auf Kosten der Effizienz gehen. Die Containerisierung der Services ist zwar meist das Mittel der Wahl, doch kann zuweilen eine Verbindung der Services über SPIs oder Serverlose Funktionen die bessere Methode sein.
Datenspeicherung muss man ebenfalls neu denken. Container, serverlose Funktionen und Anwendungen, die mit einem unveränderlichen Infrastrukturmodell bereitgestellt werden, können meist selbst keine Daten speichern. Man muss also Funktion und Datenspeicherung trennen und die Daten extern lagern, mit dem Vorteil einer langfristigen Speicherung und einer Nutzbarkeit durch mehrere Anwendungen.
Viele Anwendungsbereitstellungspipelines laufen immer noch auf traditionellen On-Premises-Umgebungen. Das verzögert die Bereitstellung von Code und macht es schwer, das Verhalten der Applikation unter Live-Bedingungen korrekt vorherzusagen. Verlagert man die CI/CD-Pipeline in eine Cloud-Umgebung wird der Code schneller bereitgestellt und die Testumgebungen entsprechen eher den Produktionsumgebungen.
Die vernachlässigte Security
Cloud-native Anwendungen haben größere Angriffsflächen und mehr logische Teile, die geschützt werden müssen. Microservices und Container können etliche Herausforderungen in Bezug auf Transparenz, Fehlerbehebung und Sicherheit mit sich bringen. Das beginnt damit, alle dynamisch bereitgestellten Microservices zu finden.
Microservices werden von einem Ort zum anderen migriert, zusätzliche Instanzen werden von Microservices bereitgestellt – entsprechend wird es schwieriger, den Überblick darüber zu behalten, wo alle Instanzen zu einem bestimmten Zeitpunkt bereitgestellt werden. Dies zu wissen, ist aber für die Fehlerbehebung entscheidend.
Ein Fehler in einem Service bleibt nicht notwendigerweise isoliert, er kann sich auf die gesamte Anwendung auswirken. Je mehr Dienste es gibt, desto wichtiger wird Testing und Monitoring. Zwar sinkt mit Microservices die Komplexität der Services selbst, aber das damit entstehende verteilte System erhöht die Komplexität auf der Systemebene. Statt einiger weniger Monolithen muss man etliche Microservices mit möglicherweise mehreren parallelen Instanzen überwachen.
Wenn Developer nicht darauf achten, Abhängigkeiten zwischen Microservices zu vermeiden (oder wenigstens die Kommunikation zwischen abhängigen Diensten effizient zu gestalten), wird diese Komplexität überhandnehmen. Das Monitoring darf sich deshalb auch nicht nur auf die einzelnen Services beschränken, sondern muss auch auf die Beziehung zwischen ihnen berücksichtigen.
Spezielle Tools wie Retrace können das Monitoring der Instanzen und das systemübergreifende Sammeln von Informationen übernehmen. Eine weitere Möglichkeit, das Risiko zu minimieren, ist, Fehler und deren Folgen vorherzusagen – nicht einfach in einer dynamischen Umgebung. „Dynamic Baselining“ vergleicht die tatsächlichen Antwortzeiten mit historischen Durchschnittswerten und bietet so einen aussagekräftigen Einblick in Service-Anomalien, ohne absolute Schwellenwerte für jede Transaktion festzulegen.
Aber bei Security gibt es noch mehr klassische Versäumnisse. So übernehmen die Entwicklungsteams zu Beginn eines Projekts in der Regel die Standardeinstellungen für einen Cloud-Service. Aber nicht jede Plattform räumt bei diesen Einstellungen der Sicherheit die höchste Priorität ein. Auch Secrets-Management und -Verschlüsselung (Passwörter, Keys und Anmeldeinformationen etc.) werden trotz seiner entscheidenden Bedeutung vor allem in kleineren Projekten häufig vergessen.
Ein ebenfalls häufiges Versäumnis besteht darin, die Kommunikation zwischen Diensten nicht mit Transport Layer Security (TLS) zu sichern – fatal, denn so kann ein Angreifer den gesamten Datenverkehr zwischen den Diensten lesen. Dies ist auch für Container-basierte Lösungen wichtig, denn es können verschiedene Dienste auf derselben physischen Maschine laufen.
Die optimale Organisation
Die DevOps-Mentalität ist auch auf dem Weg zu Cloud Native entscheidend. Viele Projekte scheitern nicht an der Technologie, sondern an der Kultur im Unternehmen. Ein Beispiel: Cloud Native heißt häufige Releases und damit agile Anforderungserfassung, Design, Architekturüberprüfung, Entwicklung, Tests und Bereitstellung.
Wer in jeder dieser Phasen lange auf Genehmigungen warten muss, kann keine häufigen Releases durchführen. Auch müssen alle im Team dasselbe Ziel vor Augen haben. Was, wenn die Entwicklungsteams ein anderes Verständnis haben als die Test- oder Betriebsteams? Wenn Infrastrukturteams beim Aufbau von Cloud- und Kubernetes-Plattformen die Anforderungen der Entwickler nicht berücksichtigen, wird es Probleme geben. Oft verschwenden die Teams Zeit, Ressourcen und Geld für Funktionen, die nicht benötigt werden oder nicht für die Entwickler passen.
Cloud Native Development heißt auch nicht, dass Fehler notwendigerweise schneller erkannt und behoben werden. Es mag Fehler geben, die sich durch Anwendungen kaskadieren und zu größeren Ausfällen führen. Ganze Projekte können scheitern – und es gilt, dieses Scheitern mitzudenken und daraus lernen zu wollen. Wer Angst vor Fehlschlägen hat, wird früh stecken bleiben.
Und doch – es lohnt sich!
Cloud Native ist eine dynamische Vision mit neuen Tools und Praktiken, die kontinuierlich entwickelt und erweitert werden. Mit Cloud-native Development sind sehr viele Vorteile verbunden – aus unserer Sicht mehr als Risiken. Selbst wer den Weg in die Cloud nicht so weit mitgeht, wird sehen, dass diese neuen Ideen die Art und Weise beeinflussen, wie in Zukunft Anwendungen entwickelt werden. Und man muss diesen Weg ja nicht allein gehen: es gibt Spezialisten und ganze Communities, die ihr Know-how gerne teilen.
* Petteri Ahonen ist Managing Director bei der Eficode GmbH.
(ID:47869060)
:quality(80)/images.vogel.de/vogelonline/bdb/1919700/1919753/original.jpg "Cloud-native Entwicklung ist auf den ersten Blick hilfreich und bequem – kann aber langfristig betrachtet zu Problemen führen. (gemeinfrei © QuinceCreative)")
:quality(80)/images.vogel.de/vogelonline/bdb/1949500/1949573/original.jpg "Auf der CLOUD NATIVE Conference 2022 küren wir erstmals unsere „Cloud Native Rockstars“. (VIT)")