Giuseppe Paternò è ritenuto da molti il maggior esperto italiano di OpenStack. A buon titolo: ha maturato un’esperienza ultraventennale nel mondo opensource, lavorando per Canonical (quella di Ubuntu, per capirci) RedHat, Sun Microsystems e Ibm: tutte realtà che sul mondo open al servizio del business hanno puntato risorse umane e finanziarie.
Paternò unisce alla competenza sull’architettura opensource anche quella in campo sicurezza, il che rappresenta il complemento a uno per la creazione di strutture cloud efficienti.
Da tempo Paternò va sottolineando come OpenStack possa migliorare e snellire i processi It facendo leva su vari fattori: diminuzione dei costi di licenza, ottimizzazione del capacity planning, minore impatti sul team It in base alle richieste del business e dei clienti interni, disaster recovery e business continuity istantanei e a costi ridotti, tracciabilità degli stessi costi non solo relativamente all’aspetto tecnologico, ma anche a quello del personale coinvolto, organizzazione aziendale per progetti basati su piccoli gruppi e, ultimo ma non ultimo, una sicurezza davvero pervasiva sull’infrastruttura.
Perciò abbiamo voluto intervistarlo, sottoponendogli in 8 domande le questioni che secondo noi gli avrebbe posto un resposabile It o un imprenditore che, sentendone parlare, vorrebbe chiarirsi le idee una volta per tutte. perchè conta, dove fa davvero risparmiare, che competenze richiede, quali sono gli effetti che ha sull’organizzazione del lavoro It, che relazioni ha con altre metodologie di gestione dello sviluppo applicativo per il business, come è possibile che garantisca una sicurezza pervasiva.
In parole semplici, perché OpenStack è importante per un’azienda che vuole stare nel cloud?
In genere vengo convocato dai CEO o dal CIO, e fra le diverse motivazioni, ne riassumo tre che ritengo siano le fondamentali: agilità di business, standardizzazione e risparmio.
Il primo motivo, quello dell’agilità di business, non sempre è chiaro dall’inizio: nel primo incontro è importante “scavare” nei problemi e capire veramente le reali esigenze all’interno dell’azienda.
Un mio cliente bancario in Inghilterra per esempio, impiega 120 giorni per fare il deploy di una singola macchina virtuale. Anche in Italia non siamo da meno, alcune aziende ci mettono 60-80 giorni per fare il deploy sempre di una singola VM. Perché? È presto detto: i processi interni sono così “ingessati” che per ogni operazione ci vuole un ticket e spesso per ogni operazione ci sono 3-5 giorni di SLA. La creazione della virtual machine, l’installazione di sistemi operativi, la configurazione delle reti, compliance, sicurezza, l’installazione dell’applicativo e del relativo database richiedono infatti almeno 3 giorni di lavoro per ogni passo. Inoltre, alcune grandi aziende fanno modifiche solo ogni tre mesi e questo aggiunge ulteriori gradi di complessità.
Molto spesso il marketing o i clienti interni vengono bloccati da questi processi, portandoli ad acquistare macchine su Amazon o altri provider. Questo se da un lato sembra “facilitare il business”, dall’altro elimina totalmente qualsiasi garanzia di compliance e di sicurezza.
Un altro vantaggio è senza dubbio la standardizzazione dell’infrastruttura: una base comune aiuta ad aprirsi verso il futuro e a portare un incisivo snellimento dei processi interni. L’adozione di OpenStack ti “costringe” ad usare piattaforme e protocolli standard, che aiutano uno sviluppo e una fruizione molto più agile. Pensate ad esempio a quante integrazioni personalizzate ci siano all’interno di un’azienda e quante ore-uomo ci vogliano per integrare un nuovo software o architettura. Con API standard tutto questo si riduce, portando vantaggi ai System Integrator che potranno fare economia di scala, e abbattimento di costi e rapidità per i clienti finali.
Non è un caso che abbia lasciato per ultimo il risparmio. Spesso i clienti mi convocano perché il loro più grande cosiddetto mal di pancia è quello di diminuire i costi di licenza o trovare una forma di storage più conveniente rispetto alle SAN più tradizionali, soprattutto in un mondo in cui i dati si moltiplicano a dismisura e l’archiviazione, anche per ragioni legali o di backup, diventa un problema quasi più grande dei dati aziendali effettivamente gestiti.
Argomento costi: OpenStack fa le ennesime promesse di risparmio. Sono vere?
Quando è il costo il fattore trainante, bisogna capire se effettivamente OpenStack è la soluzione al problema del cliente. OpenStack ha una barriera di ingresso molto elevata: ci vogliono almeno 13 server per avere un equivalente di tre nodi di computer su VMware. È vero che ha compreso lo storage, ma è il minimo indispensabile per partire.
A questo vanno aggiunte le subscription di RedHat, SuSE, HP o Mirantis se vogliamo una piattaforma con un supporto commerciale. Se guardiamo al solo OpenStack al momento è vantaggioso su un installato consistente, ma dobbiamo analizzare il risparmio nella sua interezza, ossia il famoso Total cost of ownership, perché magari si risparmia sull’occupazione delle risorse umane nell’IT per richieste automatizzabili.
Se poi il cliente ha pochi server e ha già dei processi snelli, potrebbe bastare una virtualizzazione alternativa o l’uso di un software defined storage per aiutarli.
Di quali aziende stiamo parlando e che competenze e team IT devono avere per affrontare OpenStack?
C’è molto interesse su OpenStack e non c’è azienda, grossa o piccola, che non chieda informazioni. È indubbio che i service provider e gli outsourcer siano stati i primi che hanno capito che prima o poi dovranno adottare OpenStack, in quanto dà ai loro clienti una piattaforma standard su cui interagire e sulla quale gli integrator possono sviluppare indipendentemente dalla piattaforma.
Anche grosse aziende stanno facendo dei test su OpenStack, ad esempio nell’oil&gas o nelle public utility, soprattutto in un’ottica multi-cloud.
Tuttavia, anche se tutti i clienti percepiscono il valore di OpenStack, molte volte sono spaventati nel dover fare un salto nel buio verso una piattaforma più giovane rispetto a Vmware e che necessita di competenze molto elevate. OpenStack non è il classico software che installi “Next, Next, Fine”. Bisogna che tutte le persone che lo gestiscano abbiano competenze di virtualizzazione, rete, storage e sicurezza, competenze di sicuro non facili da trovare nella stressa persona.
Sul primo aspetto, aiuto e consiglio il cliente nella scelta della distribuzione OpenStack più adatta a lui con il supporto del vendor, qualora il cliente lo desideri, mentre sul secondo aspetto, io ed il mio team lo supportiamo nell’architettura e nella realizzazione, affiancandogli un partner locale per l’operatività quotidiana. Spesso l’accoppiata del vendor prescelto e del mio nome fornisce tranquillità e serietà nell’affrontare progetti così strategici.
Di fatto, OpenStack quali elementi della tecnologia aziendale va modificare?
Praticamente tutti i componenti infrastrutturali devono essere approcciati in una nuova maniera: rete, storage, sicurezza. Dico spesso che il cloud è una filosofia e non una tecnologia. OpenStack è un abilitatore che ti permette di abbracciare in pieno la filosofia cloud se lo desideri, oppure un po’ alla volta.
Gli investimenti fatti da un’azienda in tecnologia vengono azzerati da OpenStack o c’è una forma di trasformazione?
Il grande pregio di OpenStack è proprio nella scelta dei componenti che si vuole usare all’interno della infrastruttura. Anche se io sono un fautore della filosofia cloud completa, è indubbio che si possa fare una road-map per proteggere gli investimenti iniziali e per traghettare l’azienda in un mondo cloud-based, non solo in ottica tecnologica ma anche di processi. Infatti, in molte aziende il mio ruolo è anche quello di aiutare il CEO e il CIO a ridefinire i processi aziendali in maniera più agile per rispondere alle crescenti necessità di un time-to-market sempre più veloce.
La roadmap dipende sempre da cliente a cliente e non c’è una ricetta magica: un mio cliente italiano, molto conservativo, in cui Microsoft ha dato anche la possibilità di usare servizi Azure come parte del contratto, voleva ottimizzare i costi e diminuire le richieste al dipartimento IT. Tramite l’uso di un Cloud Management Portal e di procedure di automation, possiede una zona di produzione interna su VMWare dove ha i workload tradizionali Oracle e SAP, una OpenStack interna dove fa test, sviluppo e produzione web semplice e una parte su Azure dove ha i siti pubblici esterni. Su OpenStack abbiamo riusato gli storage NetApp che aveva appena comprato, pur non chiudendo a priori possibilità di espansione verso Ceph come software defined storage.
In che rapporto è OpenStack con le tematiche di conservazione e recupero dei dati?
OpenStack è nato già da subito affrontando le tematiche di disaster recovery e business continuity, che addirittura (se l’applicativo lo permette) è a praticamente zero downtime su ridondanza geografica. Meccanismi built-in di snapshotting geografico, di object storage e nuovi progetti come Freezer (backup dei dati interni alle VM) vanno proprio in quest’ottica.
L’architettura va a creare una piattaforma sicura o servono particolari accorgimenti?
Questa è un po’ una nota dolente, perché cambia totalmente l’approccio alla sicurezza come la conosciamo ora. Ci sono due livelli da tenere in considerazione. Il primo livello è quello della infrastruttura OpenStack stessa. In quest’ottica è molto importante proteggere gli endpoint dei singoli servizi OpenStack da attacchi di tipo denial of service e da attacchi conosciuti con IPS e firewall che espongano solo le API della piattaforma.
È importante che questo tipo di protezione siano quasi wire-speed e reggano parecchio traffico. Poi c’è da mettere la protezione a livello di tenant e di progetti che siano dentro la piattaforma OpenStack: andando sempre verso web services, è importante che questi tipi di tecnologie siano in grado di fare ispezione del traffico HTTP e HTTPS in modo da bloccare eventuali abusi all’applicativo stesso. In questo OpenStack offre un servizio di firewall as a service (FWaas), ma deve essere implementato da un vendor di sicurezza che sia in grado di affrontare queste tematiche.
Check Point Software Technologies, per esempio, va verso quest’ottica, coprendo entrambe le esigenze. Essendo parte della community OpenStack come sponsoring company, è molto attenta a integrarsi con la funzionalità FWaaS che mette a disposizione la piattaforma. In particolare, vSEC for OpenStack è in grado di proteggere gli ambienti cloud OpenStack dalle minacce interne ed esterne, facendo parte della famiglia Software Blade, un’architettura multilivello, personalizzabile in base a ciascun contesto in cui viene inserita. La soluzione vSEC for OpenStack di Check Point va proprio nell’ottica cloud, dando protezione e gestione della sicurezza in modo che le aziende possano concentrarsi sulla progettazione di ambienti cloud dinamici.
Ritornando sul discorso di interazione tra infrastruttura OpenStack e applicazioni “on-top”, è possibile gestire vSEC for OpenStack tramite lo Unified Security Management, che fornisce un’unica console centrale per la gestione della sicurezza, molto importante in ambienti enterprise.
In che rapporto si pone OpenStack con DevOps?
Anche DevOps è una filosofia e non è strettamente legata alla piattaforma. L’uso di un processo DevOps automatizzato al massimo richiede che la piattaforma sottostante risponda a certi automatismi. OpenStack di fatto è l’unica piattaforma on-premise che permette di avere il massimo dalla metodologia’ DevOps: non è un caso che in clienti tradizionali, la prima cosa che affianco è un sistema di versioning git tipica degli ambienti di sviluppo, anche per la gestione e automazione dell’operation.
È importante in questo caso far capire al cliente che i “silos” che esistevano prima tra sviluppo, test e produzione, così come tra rete, storage e sistemi, si assottiglia sempre di più. Forse il traghettare un’azienda verso nuove metodologie più efficienti è il lavoro più difficile.
Paternò sta portando avanti la propria campagna per sensibilizzare le aziende ad avvicinarsi alla tecnologia Openstack utilizzando tutte le leve: un sito, un account Twitter (@gpaterno) uno Facebook, un ebook scaricabile utilizzando il link sottostante.
