Inhaltsübersicht
- Seminarprofil
- Lernziele
- Zielgruppe und Voraussetzungen
- Seminarinhalte
- Praxislabor
- Methoden und Arbeitsweise
Seminarprofil
Das Seminar behandelt virtuelle Netze, Ports, Router, Sicherheitsgruppen, OVN-Datenpfade und externe Anbindungen. Design, Segmentierung, DNS, Load Balancing und schichtweise Fehleranalyse werden mit der physischen und virtuellen Netzebene verbunden.
Lernziele
- Neutron-Ressourcen und Portbindungen vollständig nachvollziehen
- segmentierte Provider- und Tenant-Netze belastbar entwerfen
- OVN-Objekte und Datenpfade mit OpenStack-Ressourcen korrelieren
- externe Erreichbarkeit, DNS und Load Balancing kontrolliert bereitstellen
- Netzwerkstörungen von der API bis zum physischen Interface eingrenzen
Zielgruppe und Voraussetzungen
Zielgruppe: OpenStack- und Netzwerkadministration, Cloud Operations, IT-Sicherheit, Infrastrukturarchitektur und technische Anwendungsbetreuung.
Voraussetzungen: Gute IP-Netzwerkkenntnisse einschließlich Routing, VLANs und Firewalls. OpenStack-Grundlagen und Linux-Kommandos werden vorausgesetzt.
Seminarinhalte
Tag 1: Neutron, Segmentierung und Sicherheitsgruppen
Die Themen werden in einer festen Reihenfolge aus Einordnung, technischer Umsetzung, Kontrolle und dokumentierter Prüfung bearbeitet.
Neutron-Ressourcen und Portmodell
Neutron bildet virtuelle Netze, Subnetze, Ports, Router, Sicherheitsgruppen und Adresszuweisungen als kontrollierbare Ressourcen ab.
- Schritt 1 – Netzobjekte unterscheiden: Provider-Netze, Self-Service-Netze, Subnetze, Ports und Router werden nach Eigentum und Funktion getrennt.
- Schritt 2 – Portbindung verstehen: MAC-Adresse, feste IP, Sicherheitsgruppen, Binding-Informationen und Gerätezuordnung werden am Port nachvollzogen.
- Schritt 3 – Adressierung planen: Subnetze, DHCP, Gateways, Reservierungen und Überschneidungsrisiken werden vor der Bereitstellung geprüft.
- Schritt 4 – Ressourcenbeziehungen prüfen: Instanz, Port, Netzwerk, Router und externe Anbindung werden als vollständiger Kommunikationspfad betrachtet.
Praxisbezug: Aufbau eines Tenant-Netzes mit Subnetz, Router, Instanzport und kontrollierter externer Erreichbarkeit.
Netzwerkdesign und Segmentierung
Ein tragfähiges Design trennt Management, Plattformdienste, Storage, Mandanten und externe Übergänge nach Schutz- und Leistungsbedarf.
- Schritt 1 – Zonen definieren: Vertrauensniveau, Datenklasse, Kommunikationsbedarf und Betriebsverantwortung werden pro Zone festgelegt.
- Schritt 2 – Adressräume planen: IPv4- und gegebenenfalls IPv6-Bereiche, Reserven, Routinggrenzen und Überschneidungen werden dokumentiert.
- Schritt 3 – Redundanz auslegen: Uplinks, Bonding, Switch-Paare, Gateways und Fehlerdomänen werden auf Wartbarkeit und Ausfallsicherheit geprüft.
- Schritt 4 – Durchsatz dimensionieren: Ost-West-, Nord-Süd-, Storage- und Managementverkehr werden mit Spitzenlast und Reserve betrachtet.
Praxisbezug: Entwurf eines segmentierten Netzplans mit VLAN-, Routing- und Hochverfügbarkeitskonzept.
Sicherheitsgruppen und Mikrosegmentierung
Sicherheitsgruppen setzen workloadnahe Kommunikationsregeln um und reduzieren unnötige laterale Verbindungen.
- Schritt 1 – Kommunikationsbedarf erfassen: Quellen, Ziele, Protokolle, Ports, Richtung und fachlicher Zweck werden pro Anwendung dokumentiert.
- Schritt 2 – Regelsätze minimieren: Explizite Freigaben ersetzen breite Netzzugriffe; administrative und fachliche Kommunikation bleiben getrennt.
- Schritt 3 – Regeln zuweisen: Sicherheitsgruppen werden nach Rollen und Anwendungsschichten modular aufgebaut und Ports eindeutig zugeordnet.
- Schritt 4 – Wirksamkeit testen: Erlaubte und verbotene Verbindungen werden aus mehreren Zonen geprüft und mit Protokolldaten abgeglichen.
Praxisbezug: Umsetzung eines Drei-Schichten-Regelsatzes für Web-, Applikations- und Datenbankebene.
Tag 2: OVN, externe Netze und Servicedienste
Die Themen werden in einer festen Reihenfolge aus Einordnung, technischer Umsetzung, Kontrolle und dokumentierter Prüfung bearbeitet.
OVN und verteilte Netzwerkfunktionen
OVN stellt logische Switches, Router und verteilte Netzwerkfunktionen bereit und übersetzt Neutron-Objekte in die Datenebene.
- Schritt 1 – Logische Topologie lesen: Neutron-Netze und Router werden den entsprechenden OVN-Objekten und Ports zugeordnet.
- Schritt 2 – Steuerungsweg verfolgen: Änderungen von der Neutron-API über Datenbank und Controller bis zu den Chassis werden nachvollzogen.
- Schritt 3 – Datenpfad prüfen: Open vSwitch, Tunnel, Flows und lokale Portbindungen werden auf den beteiligten Knoten kontrolliert.
- Schritt 4 – Konsistenz bewerten: Abweichungen zwischen OpenStack, OVN Northbound, Southbound und tatsächlichem Hostzustand werden identifiziert.
Praxisbezug: Korrelation eines virtuellen Ports zwischen OpenStack, OVN und Compute-Knoten.
Router, externe Netze und Floating IPs
Der Übergang zwischen Mandantennetzen und externen Netzen wird kontrolliert, nachvollziehbar und sparsam gestaltet.
- Schritt 1 – Routingmodell wählen: Zentraler oder verteilter Datenpfad, Source NAT, direkte Provider-Anbindung und Hochverfügbarkeit werden verglichen.
- Schritt 2 – Externe Netze bereitstellen: Physisches Mapping, Adresspool, Gateway, MTU und Zugriffsrechte werden geprüft.
- Schritt 3 – Floating IPs verwalten: Zuweisung, Eigentum, Lebenszyklus und Freigabe werden mit Quoten und Dokumentation verbunden.
- Schritt 4 – Erreichbarkeit analysieren: Route, NAT, Sicherheitsgruppe, Portstatus und externer Pfad werden bei Störungen schichtweise geprüft.
Praxisbezug: Bereitstellung und Test einer kontrollierten externen Erreichbarkeit für eine Beispielinstanz.
DNS und Load Balancing
Namensauflösung und Lastverteilung ergänzen die IaaS-Plattform um reproduzierbare Service-Endpunkte.
- Schritt 1 – Serviceanforderung erfassen: Name, Zone, Zieladressen, Protokoll, Port, Health Check und Verfügbarkeitsziel werden festgelegt.
- Schritt 2 – DNS-Objekte verwalten: Zonen, Records, TTLs und Delegationen werden mit klarer Eigentümerschaft angelegt.
- Schritt 3 – Load Balancer modellieren: Listener, Pools, Mitglieder, Health Monitors und gegebenenfalls TLS-Terminierung werden strukturiert.
- Schritt 4 – Fehlerfall testen: Ausfall eines Backends, fehlerhafte Namensauflösung und Zertifikatsprobleme werden kontrolliert simuliert.
Praxisbezug: Aufbau eines einfachen hochverfügbaren Dienstes mit DNS-Eintrag, Load Balancer und Health Check.
Tag 3: Diagnose, administrative Pfade und Überwachung
Die Themen werden in einer festen Reihenfolge aus Einordnung, technischer Umsetzung, Kontrolle und dokumentierter Prüfung bearbeitet.
Systematische Netzwerkdiagnose
Netzwerkfehler werden vom virtuellen Port bis zur physischen Anbindung ohne vorschnelle Eingriffe eingegrenzt.
- Schritt 1 – Symptom präzisieren: Quelle, Ziel, Richtung, Protokoll, Zeitpunkt, Paketgröße und betroffene Mandanten werden erfasst.
- Schritt 2 – Kontrollebene prüfen: Neutron-Objekte, Portstatus, Router, Sicherheitsgruppen und OVN-Zustände werden auf Konsistenz geprüft.
- Schritt 3 – Datenebene verfolgen: Namespace beziehungsweise Chassis, Open-vSwitch-Flows, Tunnel und physische Interfaces werden untersucht.
- Schritt 4 – Behebung absichern: Änderung, Gegenprobe, Seiteneffekte und dauerhafte Ursache werden dokumentiert.
Praxisbezug: Bearbeitung eines gestörten Ost-West- und eines gestörten Nord-Süd-Kommunikationspfads.
Netzwerksicherheit und administrative Zugänge
Administrative Pfade und Zonenübergänge werden auf notwendige Verbindungen beschränkt und vollständig protokolliert.
- Schritt 1 – Zugangswege festlegen: Management-VPN, Jump Host, Out-of-Band-Management und Notfallzugang werden getrennt geplant.
- Schritt 2 – Filterregeln ableiten: Kommunikationsmatrix und Minimalprinzip bestimmen Firewall-, ACL- und Sicherheitsgruppenregeln.
- Schritt 3 – Protokollschutz prüfen: TLS, Zertifikatsprüfung, sichere Cipher und Abschaltung veralteter Protokolle werden kontrolliert.
- Schritt 4 – Zugriff überwachen: Anmeldung, Privilegierung, Konfigurationsänderung und ungewöhnliche Verbindungsversuche werden erfasst.
Praxisbezug: Prüfung eines administrativen Zugriffswegs vom Arbeitsplatz bis zum Managementendpunkt.
Monitoring-Architektur und Signalquellen
Monitoring verbindet Infrastruktur-, Kubernetes-, OpenStack- und Workload-Signale zu einer belastbaren Betriebsübersicht.
- Schritt 1 – Signalquellen erfassen: Hardware-Sensoren, Betriebssysteme, Kubernetes, Operatoren, OpenStack-Dienste und externe Prüfungen werden inventarisiert.
- Schritt 2 – Verantwortung zuordnen: Metriken werden einem Dienst, einer Fehlerdomäne und einem betrieblichen Eigentümer zugeordnet.
- Schritt 3 – Erfassungswege prüfen: Exporter, ServiceMonitors, Scraping, Aufbewahrung und Zugriff werden auf Vollständigkeit und Ausfallsicherheit bewertet.
- Schritt 4 – Lücken erkennen: Nicht überwachte Abhängigkeiten, unklare Grenzwerte und fehlende End-to-End-Prüfungen werden dokumentiert.
Praxisbezug: Erstellung einer Monitoring-Matrix für Hardware, Kubernetes, OpenStack und Beispielworkload.
Praxislabor
- Aufbau eines Tenant-Netzes mit Subnetz, Router, Instanzport und kontrollierter externer Erreichbarkeit.
- Umsetzung eines Drei-Schichten-Regelsatzes für Web-, Applikations- und Datenbankebene.
- Korrelation eines virtuellen Ports zwischen OpenStack, OVN und Compute-Knoten.
- Aufbau eines einfachen hochverfügbaren Dienstes mit DNS-Eintrag, Load Balancer und Health Check.
- Bearbeitung eines gestörten Ost-West- und eines gestörten Nord-Süd-Kommunikationspfads.
- Erstellung einer Monitoring-Matrix für Hardware, Kubernetes, OpenStack und Beispielworkload.
Methoden und Arbeitsweise
Fachliche Einordnung, strukturierte Demonstrationen, geführte Systemübungen, technische Prüflisten und dokumentierte Störungsszenarien wechseln sich ab. Jeder Arbeitsschritt wird mit Ausgangszustand, erwarteter Wirkung, Prüfkriterium und Rückfallmöglichkeit beschrieben. Die Übungen verwenden realistische Rollen- und Fehlerbilder; produktive Zugangsdaten oder externe Verbindungen sind nicht erforderlich.
Seminar und Anbieter vergleichen
Öffentliche Schulung
Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.
Inhausschulung
Diese Seminarform bietet sich für Unternehmen an, welche gleiche mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können in Deutsch - bei Firmenseminaren ist auch Englisch möglich gebucht werden.
Webinar
Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht Reisen können und über das Internet an einer Schulung teilnehmen möchten.
Fachbereichsleitung und Trainingskoordination
-

Michael Adler
Telefon: + 41 (800) 225127
E-Mail: michael.adler@seminar-experts.ch -

Stefano Conti
Telefon: + 41 (800) 225127
E-Mail: stefano.conti@seminar-experts.ch
Seminardetails
| Dauer: | 3 Tage ca. 6 h/Tag, Beginn 1. Tag: 10:00 Uhr, weitere Tage 09:00 Uhr |
| Preis: |
Öffentlich und Webinar: CHF 1.797 zzgl. MwSt. Inhaus: CHF 5.100 zzgl. MwSt. |
| Teilnehmeranzahl: | min. 2 - max. 8 |
| Teilnehmer: | OpenStack- und Netzwerkadministration, Cloud Operations, IT-Sicherheit, Infrastrukturarchitektur und technische Anwendungsbetreuung. |
| Voraussetzungen: | Gute IP-Netzwerkkenntnisse einschließlich Routing, VLANs und Firewalls. OpenStack-Grundlagen und Linux-Kommandos werden vorausgesetzt. |
| Standorte: | Basel, Bern, Luzern, Sankt Gallen, Winterthur, Zürich |
| Methoden: | Fachliche Einordnung, Demonstrationen, praktische Übungen am System, Prüflisten und dokumentierte Störungsszenarien |
| Seminararten: | Öffentlich, Webinar, Inhaus, Workshop - Alle Seminare mit Trainer vor Ort, Webinar nur wenn ausdrücklich gewünscht |
| Durchführungsgarantie: | ja, ab 2 Teilnehmern |
| Sprache: | Deutsch - bei Firmenseminaren ist auch Englisch möglich |
| Seminarunterlage: | Dokumentation auf Datenträger oder als Download |
| Teilnahmezertifikat: | ja, selbstverständlich |
| Verpflegung: | Kalt- / Warmgetränke, Mittagessen (wahlweise vegetarisch) |
| Support: | 3 Anrufe im Seminarpreis enthalten |
| Barrierefreier Zugang: | an den meisten Standorten verfügbar |
| Weitere Informationen unter +41 (800) 225127 |
Seminartermine
Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.
