VPN NAAR DE CLOUD ALS CORONA THUISWERKOPLOSSING

De uitbraak van het COVID-19-virus stelde een wereldwijd actief manufacturing-bedrijf plotseling voor een uitdaging. De capaciteit ontbrak om met de bestaande, op hardware gebaseerde thuiswerkoplossing, het op afstand werken van duizenden medewerkers mogelijk te maken. De oplossing: in recordtijd (twee weken) een virtueel VPN-systeem in de cloud bouwen.

In de in de networking-wereld populaire podcast Packet Pushers waren wij als One Zero IT te gast om de ‘remote working VPN’ met een capaciteit voor zo’n tienduizend gebruikers te bespreken. Wat we gedaan hebben, is dus beslist geen alledaagse kost. Een grote fabrikant van high-tech apparatuur kwam eind februari naar ons toe met de vraag: “Wat als we nu allemaal ineens thuis moeten werken? Kunnen ons netwerk en onze thuiswerkoplossingen dat wel aan?” Het antwoord was, zoals ze eigenlijk al wel hadden verwacht: nee. Waarop meteen de wedervraag kwam wat wél mogelijk was en wat dan de opties waren. Al direct werd een ‘bierviltjesberekening’ gemaakt: wat zou het vergen om binnen de bestaande infrastructuur, verspreid over vier datacenters in de VS, Europa en Azië, alle benodigde hardware te upgraden?

Fysieke infrastructuur nagebouwd bij AWS
In de bestaande thuiswerkoplossing, op basis van Cisco AnyConnect VPN, zat nog wat rek, maar het normale gebruik hiervan was 150 tot 250 gebruikers op hetzelfde moment. Misschien zou deze oplossing nog naar duizend gebruikers kunnen schalen, maar tienduizend? Al snel werd gekozen om de nieuwe oplossing in de cloud te bouwen, met Amazon Web Services als platform. En omdat de actualiteit de vraag al snel begon in te halen was het nodig het proces te versnellen. In de eerste week werd door het driekoppige team nog op kantoor bij de klant in Brabant gewerkt, in de tweede week was dit al niet meer het geval, omdat de provincie, zoals bekend, in ‘lockdown’ ging.

De basis van de nieuwe oplossing was in de eerste week al gelegd. De bestaande infrastructuur, verspreid over vier fysieke datacenters, is gespiegeld in vier AWS-regio’s. Door VPN-apparatuur in ‘straatjes’ dubbel uit te voeren in deze datacenters en ook nog eens horizontaal te schalen, ben je telkens zestien keer hetzelfde aan het doen. Door slim gebruik te maken van automation tooling blijft deze virtuele infrastructuur ook na elke wijziging in de configuratie nog consistent. De mate van automation is een belangrijke les geweest. Achteraf gezien hadden we deze zelfs nog verder kunnen doorvoeren, maar om enkele oplossingen in een vroegtijdig stadium te kunnen valideren, kozen we er aanvankelijk voor om enkele zaken handmatig uit te voeren. Ook best logisch: je gaat aan de slag met oplossingen in de cloud op basis van fysieke hardware, waarvan je niet weet of deze ook op dezelfde manier gaan werken. Snel kunnen handelen en fouten met veel impact op de uiteindelijke oplossing voorkomen was een belangrijke overweging.

Een herhaalbare en flexibele oplossing
De uiteindelijke oplossing is ook voor andere organisaties goed herhaalbaar en snel te implementeren. De componenten zijn naast AWS onder meer een Palo Alto firewall en Cisco-routertechnologie met een dynamische multipoint VPN-WAN. Lastige vraagstukken zoals load balancing over grote aantallen VPN concentrators zijn door ons al opgelost. Ten opzichte van een traditionele, fysieke thuiswerkoplossing brengt de geboden oplossing natuurlijk wel een iets ander kostenmodel met zich mee vanwege de verschuiving van CAPEX naar OPEX. Het voordeel is dat je direct aan kostenoptimalisatie kunt doen, bijvoorbeeld in plaats van pay-as-you-go te werken te kiezen voor andere plannen met soms hoge kortingen bij aanbieders als Cisco en Palo Alto. Het flexibele karakter is in deze onzekere tijden extra interessant, niemand weet immers hoe de situatie er over enkele maanden uit gaat zien. Mochten we dan allemaal weer naar kantoor gaan, dan kun je de kosten voor onder meer dataverkeer ook direct weer afschalen.”

Meer weten over deze VPN-oplossing in de cloud? Neem dan contact op met info@onezeroit.nl