pixel
Select Page

NETWAYS Blog

Let me introduce: NWS-ID

We’re really excite to share an enhancement with you that puts your NWS Customer Interface experience to a whole new level! NWS-ID – our new core for managing your personal identity and access to nws.netways.de! Even if identity management sounds a bit dull to some, NWS-ID enables us to bring some new features to you. But  what are these new features, you wonder? Okay, let’s get right into it and answer some questions, you might have. First:

What is NWS-ID?

NWS-ID is the future home for your personal user profile and a much desired integration to the current customer interface. Here, you can update your password, configure 2FA and edit your profile data, although we rarely save any of it. The introduction of personal accounts allows us to provide new features to the NWS Customer Interface and the associated products – including a user and group management.

User and Group Management

The first and probably biggest thing is the integration of NWS-ID with our Customer Interface at nws.netways.de, which enables us to release user and group management – a feature many customers requested and that we’re now thrilled to provide. It basically allows you to give your team access to your account and products. The role-based approach allows you to easily create user groups with appropriate permissions and invite your colleagues with their own personal NWS-ID. Thanks to fine-grained authorization settings, you decide who can access and manage your projects or even the whole organisation!

Managing multiple organisations at NWS?

No problem with NWS-ID! It’s never been easier. If you are in charge of managing several organisations at NWS you will love NWS-ID. Your user can be associated with multiple organisations and it’s easy to switch between them with a single click! You no longer have to log in again or use multiple browsers.

When will NWS-ID be available?

We will release NWS-ID in two weeks, on December 14th. All existing accounts will be migrated automatically – if you are a current NWS customer, you will receive an e-mail to renew your password on that day. That’s it! From then on, your NWS-ID is active and the user and group management is available! Don’t forget to enable two-factor authentication! It does not only sound easy, it is easy! We can’t wait for you to use and implement NWS-ID into your everyday life and to see and hear, what benefits it brings to you.

What does the future hold?

With NWS-ID as the new core for our identity management, not only you benefit from this enhancement, but also our products, which you’ll be able to access more effortlessly. Our portfolio will be gradually integrated, which simplifies the access to products and projects for your whole team. SSO is the buzzword here. Give us a little time to implement the integrations and we will of course come back to you as soon as possible!

I hope you are looking forward to the new home for your user profile! I am sure that NWS-ID complements our portfolio well and is the base for simple and good authentication and authorisation. If you have any questions along the way, please feel free to contact us – we’re always there to help answer any open questions.

Achim Ledermüller
Achim Ledermüller
Lead Systems Engineer

Der Exil Regensburger kam 2012 zu NETWAYS, nachdem er dort sein Wirtschaftsinformatik Studium beendet hatte. In der Managed Services Abteilung ist unter anderem für die Automatisierung des RZ-Betriebs und der Evaluierung und Einführung neuer Technologien zuständig.

Announcing Kubernetes v1.24 and v1.25

We’d finally like to announce the release of Kubernetes v1.24 and v1.25 on our Kubernetes Platform. Since 1.24 brought many under the hood changes, our deployment process had to be refactored as well. While Version 1.24 and 1.25 were available on our platform for some time now, we can now safely say that both versions are completely stable and safe to use. For the various changes coming with the new version we recommend creating a test cluster to test your applications. But what are these big changes? Let’s go through some of the highlights.

Deprecation of the docker shim

Easily the biggest change is the deprecation of the docker shim that broke our current deployment method where every component and workload runs in Docker containers. But with this release the docker integration is no more. Kubernetes now officially only supports Container Runtimes implementing the CRI specification. Container Runtimes that implement said spec would be Containerd, CRI-O, Kata and gVisor for example.

Since Containerd is the most common runtime, we settled for it. Even though docker internally uses Containerd, the migration was pretty tricky, as it involved installing and configuring Containerd, as well as making sure that Kubernetes uses it. Finally when kubelet restarts, all containers will be recreated.

Containerd

We initially thought Containerd would behave exactly like docker since Containerd runs the docker containers after all. But for one reason or another that is not the case. Through the CRI interface the containers get created based on a CRI-spec. Unfortunately, the default configuration of Containerd does not set the ulimit properly, which results in some application working and others will be killed by the OOMKiller. It turns out that some application try to check the ulimit by “trial and error” and since the limit is set too high, the kernel will eventually kill the respective process. Weirdly enough, almost exclusively older applications were effected. For example mysql:8 would work fine, but mysql:5.7 will crash almost instantly. The same problem can be observed with the nfs-server-provisioner and rabbitmq for example.

API Deprecations

Like with any other Kubernetes release, there were a lot of API deprecations that needed us to move the Flannel CNI and other deployments to a new release gracefully. The official Kubernetes Blog has a great write-up on this topic.

Configuration

Another problem we faced is the change in configuration. The core Kubernetes component kubelet now only supports being configured with a special configuration file, which in turn meant that we had to rebuild the configuration from scratch, as all of our configuration involved command line flags that now no longer work. CoreDNS as well had some new configuration options helping to conquer overloading the pod with many concurrent DNS queries. We even support adding new static host entries in CoreDNS. The ConfigMap coredns-extra-hosts sets the entries. This entry hosts.list is empty by default, but can the modified like any other hosts file ( 1.2.3.4 example.com ). After restarting the coredns deployment the host can be queried.

Deprecation of PodSecurityPolicy

PodSecurityPolicies have been deprecated since 1.21. But since 1.24 is the last release with it still active, it’s the last chance to get started with PodSecurityAdmission. However, they don’t provide the same feature set, as it enforces the policy based on 3 Pod Security Standards namespace wide. This means, in order to get the same and even more features solutions like OPA Gatekeeper or Kyverno have to be implemented.

ServiceAccount Tokens

Another noteworthy change is the changed behaviour in token creation. Until now, every ServiceAccount automatically gets a new secret including a token to access the Kubernetes api. This is no longer the case. If you need to create a token, make sure to use the kubectl create token command instead.

Happy upgrading!

Justin Lamp
Justin Lamp
Systems Engineer

Justin hat 2022 die Ausbildung zum Fachinformatiker für Systemintegration im "echten" Norden abgeschlossen. Durch seine große Verbundundenheit zu Open Source hat er aber schnell gemerkt, dass ihm Themen im Kubernetes und OpenStack Bereich mehr liegen als im propreritären Microsoft/ VMWare Umfeld. So hat er beschlossen den Schritt zu wagen und andere Teile Deutschlands zu erkunden, um NETWAYS im Team Web Services tatkräftig zu unterstützen. Wenn er nicht in den Untiefen des Linux-Universum unterwegs ist, macht er leidenschaftlich Leichtathletik, geht Wandern und Mountainbiking.

NWS – Unsere Infrastruktur und SLAs

Es gab wahrhaftig schon mal einfachere Zeiten:

Zuerst bringt die Corona-Pandemie das öffentliche Leben über Jahre hinweg zum Erliegen und treibt die Leute in die Isolation. Zugegeben: uns als Hosting Provider kam der durch das Homeoffice gestiegene Bedarf an virtuellen Kommunikationsmitteln durchaus auch zu Gute. Die ständige Ungewissheit und die Sorge um die Gesundheit im persönlichen Umfeld waren aber dennoch eine immense Belastung für uns alle.

Und als ob das nicht schon genug gewesen wäre, hebt der Krieg in der Ukraine nun auch noch unsere wirtschaftlichen und sozialen Grundfesten aus den Angeln. Die Preise für Energieträger jeglicher Art steigen explosionsartig und die Unternehmen müssen diese gestiegenen Kosten entsprechend weitergeben – die Folge: die Inflationsrate steigt unermüdlich und die Konsumlaune lässt nach. Die Leute sorgen sich, was der kommende Winter mit sich bringen wird.

Diese Sorge betrifft nicht nur die privaten Haushalte. Auch bei den Unternehmen macht sich eine gewisse Unruhe breit.

 

Diese Fragen erreichen uns häufig

Wir registrieren in den vergangenen Monaten vermehrt Anfragen, die sich um die Sicherheit unserer Hosting Services und der zu Grunde liegenden Infrastruktur drehen. Wie hoch sind unsere zugesicherten Verfügbarkeiten? Welche Reaktionszeiten haben wir? Was passiert bei Stromausfällen? Wo stehen unsere Rechenzentren? Wie sind diese gesichert?

Daher möchte ich im Folgenden noch einmal einen Überblick über die wichtigsten Punkte bezüglich unserer DSGVO- und Sicherheitsthemen geben.

 

Rechenzentren

Wir nutzen für unsere Kunden zwei ISO27001-zertifizierte Rechenzentren in Nürnberg, welche von Partnern betrieben werden. Da sämtliche Subunternehmer deutsche Unternehmen sind, befinden sich die Daten unserer Kunden stets im deutschen Rechtsraum und verlassen diesen zu keinem Zeitpunkt! Die Liste unserer Subunternehmer ist hier einsehbar.

 

Hardware und Infrastruktur

Beide Rechenzentren werden von uns völlig autark mit eigener Infrastruktur genutzt (Firewalls, Load Balancer, Switches etc.). Unsere Rechenzentren sind untereinander redundant mit 10.000 MBit/s per Glasfaser angebunden, sodass bei Problemen ein Failover auf den jeweils anderen Standort stattfinden kann. Die Unterverteilung innerhalb des Rechenzentrums erfolgt über 10.000 MBit/s Switches und jeweils zwei Ports pro Kundensystem.

Bezüglich der Hardware sind alle Komponenten redundant aufgebaut: vom Netzteil an jedem Server bis zu den Top of Rack Switches ist alles immer mindestens zwei Mal vorhanden. Gleiches gilt für alle Firewall-, Netzwerk und Spamfiltersysteme. Auch der Stromkreislauf ist immer über zwei verschiedene Stromkreisläufe abgebildet, welcher wiederum an der USV hängt.

 

Stromversorgung

Für den Fall einer Unterbrechung der Primärenergieversorgung werden Online-USV-Systeme vorgehalten, welche eine Autonomiezeit von über 10 Minuten gewährleisten. Gleichzeitig verfügen die RZs über für den Dauerbetrieb ausgelegte Netzersatzanlagen, welche redundant aufgebaut sind. Die hierfür erforderliche, auf Heizöl basierende Energiebevorratung erlaubt – abhängig vom Standort – einen Inselbetrieb von bis zu 72 Stunden. Ergänzt wird diese Bevorratung um entsprechende Lieferverträge mit einer Belieferungszusage von unter 24 Stunden.

An allen Standorten werden unvermindert monatliche Testläufe aller Netzersatzanlagen und jährliche Netzausfalltests durchgeführt.

 

Aufbau der Kunden-Systeme

Unsere Kunden können sich ihre Systeme immer hochverfügbar aufbauen, indem sie die jeweiligen Instanzen stets auf beide Availabiltiy Zones (RZ1 und RZ2) verteilen.

Als Storage-System bieten wir Ceph Cluster als Alternative zu local Disks direkt auf dem Hypervisor an. Hier wird der Storage von Haus aus immer dreifach redundant verteilt über unsere beiden Standorte auf NVMEs gespeichert. Man kann dadurch im Desaster-Fall die einzelnen VMs von dem ausgefallenem RZ auf das intakte evakuieren und hier dann den Storage einhängen.

Sind meine Dienste also entsprechend redundant aufgebaut, kann der Komplettausfall eines Rechenzentrums jederzeit problemlos verkraftet werden, ohne, dass meine gehosteten Services in ihrer Funktion beeinträchtigt sind!

 

Service Level Agreements

Dieser robuste Aufbau der Infrastruktur spiegelt sich auch in den zugesicherten Verfügbarkeiten unserer Hosting Services wider.

Aufgeteilt nach den jeweiligen Services können wir dementsprechend folgende Verfügbarkeiten zusichern:
Rechenzentrumsinfrastruktur (Stromversorgung, Klimatisierung): 99,99%
Netzinfrastruktur (Uplink Router, Cloud Gateways, TOR-Switches): 99,95%

Für Services und Ressourcen:
Virtuelle Maschinen “volume“: 99,9%
Virtuelle Maschinen „local disk“: 99,5%
VPC Gateway: 99,9%
Block Storage: 99,9%
S3 Storage: 99,9%
LBaaS: 99,5%
VPNaaS: 99,5%
K8s Control Plane: 99,5%
Managed Database: 99,5%
SaaS Produkte: 99,0%

In der detaillierte Beschreibung zu unseren Service Level Agreements findet Ihr auch ausführliche Infos zu unseren zugesicherten Reaktionszeiten und vielem mehr!

 

Gibt es noch offene Fragen?

Wir haben auf unserer Homepage auch noch mal eine Gesamtübersicht über alle DSGVO-Themen erstellt – dort finden sich all unsere Regelungen zu den AGBs, AVV, TOMs, SLAs und der Liste der Subunternehmer.

Sollten dennoch Fragen zum Thema ungeklärt geblieben sein, dann könnt Ihr Euch einfach via sales@netways.de an uns wenden! Wir freuen uns auf Euch!

Stefan Schneider
Stefan Schneider
Account Manager

Vor seiner Zeit bei NETWAYS hat Stefan als Projektmanager in einer Nürnberger Agentur dabei geholfen, Werbeprojekte auf die Straße zu bringen. Seit Juni 2017 ist er nun stolzes Mitglied der NETWAYS-Crew. Hier war er zuerst der Ansprechpartner für unserer Schulungen und kümmert sich aktuell um alle Anfragen rund um unser Hostingangebot. Die Freizeit vertreibt sich Stefan am liebsten mit Sport. Vom Joggen über Slacklining bis zum PennyBoard fahren ist er für alles zu haben.

NETWAYS Web Services at OSMC 2022

A Highlight Coming Up

As 2022 is in its last quarter, this year’s event season is also slowly coming to an end. But there’s one last big highlight awaiting us all! After having been to OpenInfra Summit, KubeCon and stackconf (see the flashback below), NWS is now looking forward to attending OSMC as Silver Sponsor! The Open Source Monitoring Conference will take place in Nuremberg from November 14 – 16.

It was a blast at #stackconf – let’s wrap it up with a #team foto!

Lots of interesting connections, insightful talks from great speakers and the #OpenSource #Infrastructure community made this #conference one to remember! Thanks for the amazing time and until next year! pic.twitter.com/4wpe2H1ISY

— NETWAYS Web Services (@NetwaysCloud) July 20, 2022

 

Who is going?

All good things are three – and sometimes eleven! In addition to myself, Georg, Marc, Michael, Achim, Dominik, Justin, Martin and Jonas will be attending OSMC, plus Leonie and Stefan from the Sales Team. We’ll certainly have other team members keeping the business running smoothly and making sure, any open issues from our customers are being answered.

 

What can you expect?

I am excited to meet lots of interesting people and get into a chat with them, share experiences and opinions, etc. Of course, the OSMC program with the outstanding selection of speakers is also something we can all look forward to! My personal highlights this year will be Pascal Fries talking about “Monitoring multiple Kubernets Clusters with Thanos” and George Hantzaras talking about “Scaling SLOs with Kubernetes and Cloud Native Observability”. What are yours?

On top of that, we’re planning a few cool things that you can definitely count on – make sure to stop by our booth!

Why should you attend?

What will your take aways and experiences be? Learn, which monitoring and observability solutions are available and how they can best be integrated with other tools.
Besides the main conference, there are also workshops about Kubernetes and more on November 14th. Other than that, the evening event is always a highligh and the perfect opportunity to round up the first conference day on November 15th with great food, drinks and a good time! Trust me: been there, done that 🙂
So, these should be enough reasons for you to be part of the extraordinary event, right? We sure hope to see you around!

Follow us on Twitter to get some first hand impressions of our experience at OSMC 2022!

 

Sebastian Saemann
Sebastian Saemann
Head of Managed Services

Sebastian kam von einem großen deutschen Hostingprovider zu NETWAYS, weil ihm dort zu langweilig war. Bei uns kann er sich nun besser verwirklichen, denn er leitet das Managed Services Team. Wenn er nicht gerade Cloud-Komponenten patched, versucht er mit seinem Motorrad einen neuen Rundenrekord aufzustellen.

NWS Jitsi as a Service | Das sichere und datenschutzkonforme Videokonferenzsystem

Der Herbst steht vor der Tür und damit natürlich auch wieder die bange Frage, wie sich in diesem Jahr die Corona-Pandemie entwickeln wird. Dabei ist es ziemlich wahrscheinlich, dass wir auch heuer wieder vermehrt auf Online Meetings aus dem Homeoffice als probates Mittel zur Kontaktbeschränkung zurückgreifen werden, um sicher durch den Herbst zu kommen.

Hier ist die Auswahl an Videokonferenz-Tools riesig: Mit Teams, Zoom, Webex und Google Meet nenne ich nur die großen Player – der User hat also die Qual der Wahl. Mit unserer NWS Jitsi App haben auch wir ein sehr beliebtes Videokonferenzsystem (VKS) im Programm. Und ich merke, dass das Interesse auch im dritten Jahr seit Corona und der großen Homeoffice-Welle nicht so groß nachlässt, wie es zu erwarten wäre – schließlich sollte jeder mittlerweile sein VKS der Wahl gefunden haben. Das Interesse ist nach wie vor groß!

Was sich allerdings geändert hat, ist die Intention unser Kunden. Ihre Gründe also, weshalb sie wegen Jitsi bei uns aufschlagen.

Früher und heute

Früher haben Kunden generell nach einer Lösung für Videomeetings gesucht, weil sie noch gar kein System im Einsatz hatten. Heute stellt sich die Situation etwas anders dar. Heute haben Interessenten oft bereits ein Tool in Betrieb, mit dem sie grundsätzlich auch zufrieden sind. Das ist meistens eben eines der anfangs genannten großen Player. Allerdings kommt es im betrieblichen Alltag immer wieder zu Meetings, bei denen besondere Anforderungen an das VKS gestellt werden: etwa wegen einer bestimmten Sensibilität der verarbeiteten Daten z.B. bei Mitarbeitergesprächen oder wegen der besonderen Schutzbedürftigkeit der Nutzer z.B. Schüler. Für diese Situationen gelten hohe datenschutzrechtliche Anforderungen, die die Masse der VKS nicht oder nur ungenügend gewährleisten kann. Die Betriebe und Einrichtungen bekommen daher Probleme mit ihrem Datenschutz- und Sicherheitsbeauftragten und machen sich erneut auf die Suche nach einem System, welches den strengen Vorgaben gewachsen ist. Und somit landen sie dann bei unserem Jitsi Angebot.

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat in einer Untersuchung alle gängigen VKS auf Datenschutzkonformität untersucht und u.a. unsere NWS Jitsi als sicheren Dienst hervorgehoben. Das freut uns natürlich riesig!

Die NWS Jitsi App hosten wir in zwei u. a. DIN ISO 27001 zertifizierten Rechenzentren. Beide RZs befinden sich in Nürnberg – somit liegen Deine Daten zu jedem Zeitpunkt ausschließlich in Deutschland.

Jisti ist, wie all unsere Dienste, eine Open Source Software. Der Code ist also für jeden einseh- und überprüfbar. Eventuelle Schwachstellen im Code werden so schneller entdeckt und behoben. Zudem kann so sichergestellt werden, dass keine Kundendaten unerwünscht gesichert werden.

Bei uns werden lediglich die Logdateien der Webserver für unser Performencemonitoring und Debugging gespeichert. Diese Logfiles werden nach 14 Tagen gelöscht.

Ansonsten werden von Jitsi keine Nutzerdaten und keine Inhalte von Videokonferenzen und Chats gespeichert. Die Räume existieren nur so lang, bis der letzte Teilnehmer den Raum verlässt. Mit seinem Verlassen sind alle Chatnachrichten und Videodateien gelöscht und auch beim neuerlichen Aufrufen der Raum-URL sind die Inhalte dann weg.

Die NWS Jitsi App ist Teil unserer Software as a Service Plattform. Du kannst die App also jederzeit einfach selber starten und sofort benutzen. Alles, was Du hierfür tun musst, ist, Dir einen NWS Account zuzulegen und das gewünschte Jitsi Paket auszuwählen. Die App wird dann in einem Container gestartet und alles wird automatisiert installiert. Nach 3-4 Minuten kannst Du mit den Meetings loslegen.

Unsere Jitsi Pläne

Je nach Größe Deines Betriebes kannst Du bei unserem Jitsi zwischen sechs Plänen auswählen – vom Startup bis zum Großbetrieb ist also für alle was dabei. Die Pläne unterscheiden sich in der Anzahl der gleichzeitigen Nutzer und Moderatoren.

Dabei ist Zahl der gleichzeitigen Nutzer keine feste Grenze. Sie orientiert sich an den der jeweiligen Jitsi Instanz zugeordneten Ressourcen. Im Basic Plan können also ungefähr 25 User gleichzeitig Videomeetings abhalten.

Die Zahl der Moderatoren ist jedoch fix vorgegeben. Ein Moderator ist bei unserer Jitsi App derjenige, der Räume für Videomeetings erstellen und den Link dann an alle Teilnehmer weiterverteilen kann. Ein normaler User kann (im Gegensatz zum Moderator) also zwar an allen Jitsi Meetings teilnehmen – er selbst kann aber keine Meetings erstellen. Des Weiteren kann der Moderator auch festlegen, ob er sein Meeting mit einem Passwort schützen oder einen Lobbyraum vorschalten möchte. Beim letzteren Fall klopfen erst alle Teilnehmer eines Meetings beim Moderator an und dieser gewährt dann den Zugang oder lehnt ihn eben ab. In der Videokonferenz selbst hat der Moderator dann noch alle üblichen Rechte (alle stumm schalten, Leute rauswerfen, Video ausschalten, Töne ausschalten etc.).

Unsere Jitsi Features

In den Meetings kannst Du mit den Teilnehmern chatten, Umfragen erstellen oder die Gruppe in Break out Sessions aufteilen. Du kannst Dir auch Statistiken zum Meeting anzeigen lassen (wer nimmt teil, wer hat welchen Redeanteil). Aus Datenschutzgründen sind von Haus aus bei allen Teilnehmenden beim Zutritt die Kamera und der Ton ausgeschaltet.

Außerdem kannst Du Dein Jitsi branden: So lässt sich der Lobbyraum mit Farben oder Fotos und Deinem Logo individuell gestalten. Im Meeting selbst kannst Du Dein Firmenlogo einfügen.

Wie immer gilt, dass Du die Jitsi App 30 Tage lang kostenlos testen kannst – wie alle anderen Apps auf unserer NWS Software as a Service Plattform auch. Du kannst Dir also alles in Ruhe anschauen und ausprobieren.

Sollten Dir Funktionen fehlen, ist das kein Problem. Auch hier können wir weiterhelfen:

Jitsi als individuelle Hosting-Lösung auf OpenStack

Für all diejenigen, die mehr als 500 gleichzeitige User oder eine unbegrenzte Anzahl an Moderatoren benötigen, können wir mit einer individuellen Jitsi-Umgebung auf unserem OpenStack weiterhelfen. Dabei setzt unser MyEngineer-Support-Team Deinen Jitsi Meet Server samt Videobridges und TURN Server auf eigenen VMs für Dich auf. Hier kannst Du dann das Feature-Set noch einmal erheblich erweitern und individualisieren – z.B. Meetings mit Jibri aufnehmen, Meetings auf Youtube streamen, Meetings datenschutzkonform auf eigenem Streamingserver streamen, PopUp Fenster für Teilnahmezustimmung oder Zustimmung zum Datenschutz, telefonische Teilnahme via SIP Trunk und vieles mehr. Darüber hinaus kann dieses Setup dann an Dein eigenes AD angebunden werden oder wir stellen Dir einen OpenLDAP Server für das Usermanagement zur Verfügung.

Sollten nun noch Fragen offen sein, dann melde Dich einfach per Kontaktformular oder telefonisch unter der +49 911 92885-0. Ich freue mich, von Dir zu hören!

Stefan Schneider
Stefan Schneider
Account Manager

Vor seiner Zeit bei NETWAYS hat Stefan als Projektmanager in einer Nürnberger Agentur dabei geholfen, Werbeprojekte auf die Straße zu bringen. Seit Juni 2017 ist er nun stolzes Mitglied der NETWAYS-Crew. Hier war er zuerst der Ansprechpartner für unserer Schulungen und kümmert sich aktuell um alle Anfragen rund um unser Hostingangebot. Die Freizeit vertreibt sich Stefan am liebsten mit Sport. Vom Joggen über Slacklining bis zum PennyBoard fahren ist er für alles zu haben.