Cloud hosting met AWS en Kubernetes voor Lineas

Lineas verzorgt treintransport doorheen België, Duitsland, Nederland, Luxemburg, Zwitserland en Frankrijk. Voor hun klanten vervoert Lineas een breed scala aan goederen, van grondstoffen, chemicaliën en halffabrikaten tot industriële en consumptiegoederen.

De uitdaging: een sterk beveiligde en praktische cloudoplossing

Ons traject met Lineas startte al eerder. Een projectteam van ACA IT-Solutions ontwikkelde een nieuwe applicatie voor Lineas die real-time data rond transporten samenbrengt, zoals vertragingen en actuele positie. Lineas kan deze informatie dan gebruiken voor bijvoorbeeld treinplanningen en capaciteitsboekingen.

Het cloud-team kreeg nadien een andere opdracht:

de applicatie moest 24/7 beschikbaar zijn en veel data kunnen verwerken. Daarnaast moest de applicatie kunnen communiceren met een datacenter dat wij zelf niet zouden beheren én moest deze communicatie steeds via een beveiligde VPN-verbinding verlopen. De beveiliging was een belangrijk aspect, maar mocht gemakkelijk beheer niet in het gedrang brengen.

Onze oplossing: cloud hosting met AWS en Kubernetes

Als oplossing stelden we 3 verschillende Kubernetes clusters op binnen evenveel AWS-accounts.

Het voordeel hiervan is dat we gebruikers- en rechtenbeheer apart kunnen houden. Zo kan een gebruiker bepaalde rechten krijgen op één account, maar niet op een andere. Makkelijker om te beheren dus!

Op deze manier is het ook makkelijker voor Lineas om de kosten per account te bekijken, een account stop te zetten of toe te voegen op eender welk moment. Door het opsplitsen in verschillende accounts krijgt Lineas dus een meer flexibele oplossing, zonder in te boeten op security.

Infrastructuur behandelen als code voor de ultieme controle

In een klassieke aanpak wordt alles manueel geconfigureerd en vinden veranderingen in de infrastructuur niet op een transparante manier plaats. Door onze infrastructure-as-code aanpak, waarbij infrastructuur wordt neergeschreven als uitvoerbare code, konden we de 3 omgevingen met dezelfde code opzetten. Hierdoor zijn en blijven deze steeds identiek en kan er snel een nieuwe omgeving opgezet worden. Doordat alles beschreven is in code, hebben we ook steeds nauwgezette controle over wijzigingen. Zo kunnen we de aanpassingen aan een omgeving eerst gemakkelijk testen voor ze naar productie gaan.

Eén van de grote uitdagingen was de opzet van de netwerkcomponenten. Lineas had hiervoor een duidelijke visie uitgetekend, maar nog niet alle componenten waren aanwezig. Voor ons betekende dit dat regelmatig zaken gewijzigd werden, waar we dan snel moesten op inspelen. Door onze infrastructure-as-code aanpak konden we niet alleen snel, maar ook op een efficiënte manier veranderingen vastleggen in stukjes code en deze dan in productie zetten.

Een hoge mate van beveiliging

Sterke beveiliging bleef altijd een prioriteit. Alle componenten werden eerst via een beveiligde VPN- verbinding opgezet en al het uitgaande verkeer passeerde eerst via een Fortigate firewall. Door onze focus op een vlotte en nauwe samenwerking met Lineas en een derde partij die het netwerkgedeelte beheert, hebben we dit tot een goed einde kunnen brengen. Zo kon er veelvuldig gebruik gemaakt worden van Namespaces en werd de connectiviteit tussen containers beperkt door NetworkPolicies (Calico). Standaard kunnen containers immers met elkaar communiceren. Door het opzetten van firewalls tussen de containers bleef de beveiliging van een hoog niveau, zonder dat we moesten inboeten op efficiëntie of snelheid.