Für unsere Kunden unseres Produktes-Tunnel steht ein Generationen-Wechsel an - der höhere Bandbreiten durch den Einsatz einer komplett neu entwickelten Technik ermöglicht.
Wir schreiben in den kommenden Wochen alle Kunden nach und nach an zur Umstellung auf die neue Plattform.
Kunden unserer Tarife Feste IP-Kit und VPN-Gateway laufen auf getrennter Technik - und sind somit erst einmal "nicht betroffen".
Als wir vor 10 Jahren anfingen feste IP-Adressen via Tunnel anzubieten, war überwiegend noch DSL mit 16 MBit Downstream verbreitet. VDSL2 mit 50 MBit kam gerade auf. Dies sieht heute bei der Mehrzahl der Kunden ganz anders aus.
Die Nachfrage nach höheren Bandbreiten und vor allem die erfreulicherweise steigenden Buchungszahlen skalierten wir im Laufe der Jahre über weitere Einwahlserver. D.h. neue Kunden kamen dann auf den jeweils neusten Einwahlserver bis auch dieser aus unserer Sicht wieder "voll" war. Die Hardware der Einwahlserver wurde außerdem von Zeit zu Zeit aktualisiert.
Warum nicht immer die volle Bandbreite bei unseren Tunnel-Kunden ankommt kann viele Ursache haben, unter anderem:
Es war aber nun vor über einem Jahr an der Zeit, dass wir uns grundsätzliche Gedanken über die Struktur unserer Tunneleinwahl gemacht hatten - und wie wir diese in Zukunft besser skalieren könnten. Auch, wie wir mit neuen Techniken mehr Bandbreite herausholen, die Verfügbarkeit erhöhen und einfach dynamischer und schlauer auf die vielfältigen Anforderungen reagieren könnten.
Unser Team hat dabei verschiedene Ansätze getestet und ausprobiert - und nach über einem Jahr haben wir nun eine komplett neue Plattform am Start. Die Einwahlserver werden dabei über ein Docker-Container-System virtualisiert und in der Anzahl deutlich erhöht. Dabei sind jedem nunmehr virtuellem Einwahlserver deutlich weniger Kunden zugeordnet und eventuelle Störungen können schneller behoben werden.
OpenVPN: Der eingesetzte OpenVPN-Serverdienst arbeitet leider von seiner Softwarearchitektur auch serverseitig immer noch single-threaded. Das heißt, dieser eingesetze Dienst profitiert nicht von den ebenfalls im Laufe der Jahre massiv gestiegenen CPU-Kernen unserer physischen Server. Durch die nun eingesetzte Container-Technik und die deutlich erhöhte Anzahl an virtualisierten Einwahlsystemen wird dies nun anders: Wir können die vielen physischen CPU-Kerne unserer Hardware vollständig und sinnvoll für mehr Performance und damit mehr Datendurchsatz nutzen.
Die Zuordnung der Kunden bzw. gebuchten Tarife zu dem Einwahlserver wird zukünftig nicht mehr statisch sein, sondern bei jeder Einwahl neu erfolgen. Dadurch sind wir deutlich flexibler und können im Hintergrund jederzeit Einwahlserver via Docker dynamisch auf unserer Virtualisierungsplattform hochfahren und bereitstellen. Oder auch Nutzer mit hohen Bandbreit-Bedürfnissen oder bei DDoS-Angriffen separieren. Ein dynamisches Routing sorgt dafür, dass die dem Kunden zugewiesenen IP-Adressen auch beim richtigen Einwahlserver ankommen.
Eine weitere Maßnahme zur Verbesserung der Bandbreite stellt der Wechsel des Verschlüsselungsalgorithmus dar. Bislang hatten wir bei OpenVPN dessen Standardalgorithmus Blowfish eingesetzt (welcher inzwischen als unsicher gilt). Zukünftig setzen wir auf AES-GCM. Dies erzeugt sowohl auf unserem Einwahlserver als auch auf dem Kundensystem / Router deutlich weniger CPU-Last - so dass der Durchsatz spürbar besser sein wird. Außerdem bietet er Vorteile hinsichtlich der Stärke der Verschlüsselung und der Geschwindigkeit des Algorithmus selbst. Auf den meisten modernen Systemen ist AES-Beschleunigung per Hardware möglich, so dass die CPU kaum belastet wird.
Die neue Technik wurde ausführlich von unserem Team getestet - oft auch in eigenen Anwendungen. Auch haben wir vorab bereits mit einigen Kunden einen "Beta-Test" durchgeführt, wodurch weitere Fehlerquellen aufgefallen sind und behoben werden konnten.
Wir werden beide Plattformen eine gewisse Zeit lang parallel betrieben, denn wir können unsere bestehenden Kunden nicht einfach von unserer Seite umziehen - sondern es ist diesmal auch kundenseitig etwas Interaktion nötig. Wir haben dazu in unserem Wiki weitere Informationen bereitgestellt
Nicht alle auf einmal: Auch möchten wir jetzt nicht alle Kunden in kurzer Zeit auf einmal umstellen, sondern dies nach und nach vornehmen um auch einen anständigen Support dabei bieten zu können. Wir schreiben unsere Kunden deshalb per Mail in mehreren Wellen an ab wann es losgehen kann. Sie können aber natürlich auch sofort auf die neue Plattform umstellen, ohne dass Sie von uns angeschrieben wurden.
Und um abschließend keine falschen Versprechungen zu erzeugen: Unsere neue Gerneration der Tunnel-Plattform wird selbstverständlich mit der neuen Docker-Plattform nicht alle oben genanten Flaschenhälse beseitigen. Auch zukünftig mag es in den Backbones Engpässe geben und auch auf Kundenseite müssen die eingesetzten Router und VPN-Geräte den nötigen "Dampf" haben.
Aber wir möchten umgekehrt auf unserer Seite, da wo wir direkten Einfluss haben, alles mögliche unternehmen um verschiedene Engpässe aus dem Weg zu räumen. Mit der neuen dynamischeren Plattform greifen wir dabei gleich aus mehreren Richtungen an.
Wir freuen uns diese neue Generation heute hier vorstellen zu dürfen und freuen uns auf Ihr Feedback!
27.01.2023
Kommentare
Seien Sie der/die Erste und schreiben Sie uns Ihren Kommentar zu diesem Artikel.