In dieser Success Story benötigte ein bisher lediglich online zusammenarbeitendes Team eine stabile, eigene IT-Infrastruktur mit klassischen, kollaborativen Elementen wie einem Cloud-Workspace. Nach erfolgreicher Projektumsetzung läuft die Zusammenarbeit heute in einer virtualisierten Umgebung mit UCS.

Mit welcher Hard- und Software dieses Projekt umgesetzt wurde, beschreibe ich Ihnen in diesem Beitrag.

Ein 10-köpfiges Team im virtuellen Raum

Die Chefarztabrechnung24 GmbH, ein Team aus 10 Personen, arbeitet als langjähriger Abrechnungspartner von Chefärzten, Fachärzten und Krankenhäusern. Dazu benutzte sie einfache Formen des Datenaustausches und der Kommunikation wie IMAP-Mail. Anfang 2017 beschloss die Gruppe, eine eigene IT-Infrastruktur aufzubauen.

Diese sollte typische Elemente von On-premise-Umgebungen bieten:

  • Kollaborative Anwendungen wie E-Mail, Kalender, Addressbücher
  • Zugriff per WebFrontend
  • Outlook
  • Mobile Anbindung von Smartphones mittels ActiveSync Protokoll
  • Gemeinsamer Zugriff auf in Netzlaufwerken organisierten Dateistrukturen

Eine Speicherung datenschutzrechtlich relevanter Informationen wie Patientendaten, erbrachte ärztliche Leistungen oder gestellte Diagnosen sollte dabei auf diesen Systemen nicht erfolgen.

Ausgangslage und Zukunftsideen

CAA24 arbeitete zu dieser Zeit ohne feste Räumlichkeiten oder Standorte. Das war allerdings für die Zukunft geplant und diese Zentrale sollte sich in die neue Infrastruktur einbinden und verwalten lassen. Der Aufbau und Betrieb einer klassischen Private Cloud mit der Anschaffung eigener Hardware war aus Kostengründen nicht vorgesehen. Vielmehr sollten die benötigten Instanzen abgesichert in der Public Cloud eines vertrauenswürdigen Providers betrieben werden.

Hierbei wurde gewünscht, Instanzen auf Basis der Virtualisierungssoftware KVM/QEMU zu betreiben. Außerdem stellten sie sich vor, die Instanzen um ein privates, lokales Netzwerk zu ergänzen und mittels WebFrontend zu verwalten. Obendrein sollten diese Instanzen im besten Fall über ein Ceph-basierendes Storage verfügen. Zu guter Letzt wünschte man sich die Änderung virtueller Hardwarekomponenten zur Laufzeit.

Wahl des Providers und der einzusetzenden Anwendungen

Nach der Evaluierung verschiedener Provider fiel die Wahl auf den Provider Filoo GmbH, die ein Rechenzentrum mit Standort in einem der modernsten Rechenzentren Deutschlands, dem ISO:27001 kontrolliertem und zertifiziertem RZ der Telehouse in Frankfurt, betreibt.

Als Lösung wählten sie unseren Vorschlag aus, Univention Corporate Server zusammen mit der Groupware Zimbra einzusetzen. Diese Kombination macht über die Univention Management Console alle zentralen Aspekte – wie unter anderem das Anlegen neuer Benutzer, Gruppen und Netzlaufwerke – leicht zugänglich und zentral verwaltbar. Das flexible Konzept und die integrierten Replikationsmechanismen von UCS unterstützen hierbei von Haus aus die Einbindung und Verwaltung weiterer Instanzen.

Realisierung des gemeinsamen Cloud-Workspace

Um die gewünschten Features umsetzen zu können, legten wir in dem Datenzentrum drei virtuelle Instanzen an. Die Kernkomponente in diesem Szenario bildet ein dedizierter UCS Domain Controller Master für die Bereitstellung zentraler Komponenten wie LDAP, Kerberos, DNS/DHCP etc. Der Domain Controller wurde hier mit der DNS-Zone corp.caa24.de und der Workgroup CAA24 für die interne Verwendung eingerichtet. Um das Setup einfach zu halten, entstand ein Netzwerk mit einem privatem und einem öffentlichem Netzwerksegment, abgesichert durch eine 3-Zonen-Firewall und einem OpenVPN-Server. Für die ausreichend performante Ausführung der Instanz reichen hier die Zuweisung von einer virtuellen CPU, 2GB vRAM und einer 10GB vDisk. Diese Ressourcen lassen sich zur Laufzeit erhöhen.

Die zweite Instanz wurde ebenfalls mit Univention Corporate Server in der Rolle eines Domain Controller Slave und der Komponente FileServer eingerichtet, über das private Netzwerk konnektiert und an die Domäne angebunden. Die dritte Instanz ist die Grundlage für Ubuntu Server LTS und die Zimbra-Groupware. Sie ist mit der Top Level Domain caa24.de eingerichtet und per öffentlicher Netzwerkschnittstelle gesichert angebunden. Die Postfächer wurden automatisiert mithilfe des Tools imapsync auf die neue Platform migriert. Eine dateibasierte Sicherung erfolgt mithilfe des Tools rsnapshot, welches alle zwei Stunden die inkludierten Unternehmensdaten sichert.

Die neu angeschaften, geschäftlichen Thinkpad Notebooks der Teammitglieder erhielten einen OpenVPN-Client für die sichere, mobile Anbindung. Auf Wunsch des CAA24-Teams kommt der ihnen gewohnte Windows 7 Professional Desktop zum Einsatz. Nach Vorbereitung der Thinkpads wurden diese an die Team-Mitglieder, die u. a. in Stuttgart sitzen, versendet. Nach der Zustellung wurde jedes Team-Mitglied telefonisch unterstützt und eingewiesen.

Diese Umgebung unterstützt ein verteilt arbeitendes Team über einen in der Cloud bereitgestellten, traditionellen, kollaborativen Workspace. Dabei steht alles unter eigener Kontrolle, lässt sich zentral verwalten und um weitere Komponenten erweitern.

Wie sieht es heute aus?

Die ausgewählten Hardware- und Software-Komponenten haben sich bewährt und ermöglichen ein reibungsloses, gemeinsames Arbeiten. Für die virtuellen Instanzen sind die Ressourcen ausreichend und mussten bisher nicht erweitert werden. Es hat sich bewährt, Identitäten zentral zu verwalten.

In der Zwischenzeit gibt es geschäftliche Räumlichkeiten in Berlin mit festen IT-Arbeitsplätzen. Der Standort wurde mittels eines Low Energy Servers der Thomas-Krenn.AG in der Größe eines Routers, einem Univention Corporate Server in der Rolle eines Domain Controller Slave und der Komponente FileServer offline-fähig per VPN angebunden und in die Domäne integriert. Beide File Server werden mittels des Projektes osync Zwei-Wege-synchronisiert. Die Arbeitsplätze und Netzwerkgeräte befinden sich in der Domäne unter zentraler Verwaltung, nutzen Roaming Profile und lassen sich remote administrieren. Eingesetzte Debian/Ubuntu Desktops werden hierbei mithilfe des Projektes realmd in der Domäne verwaltet.

Weitere Pläne

Als Folgeprojekt besteht der Wunsch, die Desktops zentral mit Anwendungen und Updates zu versorgen, was dem aktuellen Stand nach mit Ansible umgesetzt werden wird.

Vielleicht gibt Ihnen diese Anwenderstory aus unserem Hause neue Impulse. Das würde mich freuen. Für Fragen und Kommentare nutzen Sie entweder gern das Kommentarfeld oder kontaktieren mich direkt über unsere Webseite.

 

Martin Schubert

Martin Schubert von bitpack.io, ein kleines Unternehmen aus dem Norden Berlins mit Fokus auf offenen Technologien für kollaborative Workspaces, besitzt über 10 Jahre Erfahrung im Übersetzen von Technologien in Business-Konzepte und den konkreten technischen Lösungen.

Seine Leidenschaft gilt offenen verteilten Systemen und Infrastrukturlösungen, Serverdiensten wie Kerberos, LDAP, ISC-DHCP, ISC-BIND, Samba, NTP, Cyrus, Apache, MySQL, Memcache. Technologien wie Java, XML, XSLT, JSON und Konzepten für Objektorientierte Analyse und Design.

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.