Als eine der führenden Förderbanken der Welt hat die KfW im Rahmen einer Neuvergabe das Managed Hosting und den Managed Application Service ihrer Atlassian Confluence Applikation für die Zusammenarbeit mit externen Partnern an die Firma kreuzwerker übergeben.
Problemstellung
Im Rahmen einer regelmäßigen Neuvergabe hat die Kreditanstalt für Wiederaufbau (KfW) ihre bisherige Hosting-Strategie und Skalierung an die aktuelle Marktentwicklung angepasst.
Die KfW schrieb das Managed Hosting zunächst für bis zu 500 Atlassian-Confluence-Benutzer mit zusätzlichen Anforderungen an die vorhandene Confluence-Applikation aus. Insbesondere mussten hohe Compliance-Anforderungen auf Basis der KfW-internen IT-Sicherheitsrichtlinien erfüllt werden.
Lösungsansatz
Nachdem die kreuzwerker den Zuschlag für das Managed Hosting auf einer datenschutzkonformen, performanten und stabilen AWS-Instanz in Frankfurt/Main erhalten hatten, fand das Kick-off am 5. September 2022 statt. Die kreuzwerker sind gleichzeitig Atlassian- und AWS-zertifiziert und verfügen als Advanced Partner gleichermaßen über eine hervorragende technische Expertise in den Bereichen infrastrukturbetriebenes und Application Management. Im Kick-off wurden die Teams und Zuständigkeiten geklärt und Meilensteine sowie der Zielmigrationstermin (30. November 2022) abgestimmt. Außerdem startete sofort eine agile und enge Zusammenarbeit über ein Jira-Echtzeitboard mit Weeklys.
Dann begannen die Abstimmungen bzgl. des gesamten Infrastruktur-Set-ups und die Vorbereitungen der tatsächlichen Migration, mit Fragen wie: Welche URLs sollen verwendet werden? Soll die vorhandene Confluence-KfW-Site verwendet werden oder soll es eine neue Domain geben? Wie sollen die Active Directories angebunden werden? Welche VPN-Tunnel bzw. Netzkopplungen soll es geben? Wie sehen die Anforderungen an das Sicherheitskonzept aus? Wie soll das Echtzeitmonitoring aufgesetzt werden? Welche Pentests sind vor der Übernahme in die Produktion durchzuführen und wie werden diese ausgewertet bzw. welche Maßnahmen sind zu ergreifen? Und letztendlich: Wie soll die Produktivinstanz bereitgestellt werden und die Migration ablaufen?
Parallel zu den wöchentlichen technischen Abstimmungen wurden die vertraglichen Themen geklärt (u. a. Vertrag, AVV/DPA, Weisungsbefugte).
Im Rahmen der Migrationsplanung wurden dann die Ablaufpläne erstellt, z. B. Qualityassurance, Migrations- und Rollbackplan. Dann wurde – während die aktuelle Confluence-Instanz weiterhin für die Benutzer aktiv war – zunächst ein Dry-run durchgeführt, um ein Abbild der Produktivdaten zu erstellen. Anschließend wurde die Migration auf die neue Produktivinstanz unter der neuen URL eingeleitet, um dort Fehlerbereinigungen durchzuführen, bevor die Seiten wieder zugänglich wurden. Dort gab es die nach einer Datenmigration typischen Auffälligkeiten, etwa dass Sprungmarken auf den Content-Seiten nicht funktional waren, der Mailversand inoperabel war, eingebettete Videos nicht abspielbar waren oder Vorschaubilder von eingebetteten Dokumenten nicht angezeigt wurden. Zum Teil beruhte dies auf IT-Sicherheitsbeschränkungen, die spezifischer Freischaltungen bedurften. Diese Aspekte sind den kreuzwerkern aus anderen Managed-Hosting-Migrationsprojekten bekannt: Häufig führen interne Sicherheitsbeschränkungen der Kunden dazu, dass bestimmte Features der Applikation funktional deaktiviert werden. Die gemeldeten Fehler konnten entweder durch dedizierte Konfigurationen bei der IT-Sicherheit der KfW oder innerhalb von Confluence behoben werden. Basierend auf einer strukturierten und abgestimmten Arbeitsweise einigten sich alle Projektbeteiligten vorher über die Kommunikationswege während der Produktivmigration (Hypercare-Phase) und stellten aktuelle Back-ups bereit.
Ergebnis
Die Migration selbst – mit tagesaktuellen Produktivdaten – verlief dann am 15.11.2022 störungsfrei. Damit übertrafen die Projektteams sogar den Zieltermin 30.11. um zwei Wochen.
Die KfW befindet sich seit dem 15.11.2022 mit bis zu 500 Confluence-Benutzern hochgradig geschützt im laufenden Managed-Hosting-Betrieb bei den kreuzwerkern. Die Störungsmeldungen und Service-Interaktionen erfolgen strukturiert und können jederzeit über die bereits im Projekt gemeinsam genutzte Ticket-Plattform nachverfolgt werden. Die aktuellen Reaktionszeiten bewegen sich je nach Priorität im Minuten- oder Stundenbereich. In jedem Fall werden die zuvor vereinbarten SLAs aktuell eingehalten. Der Kunde freut sich über die im Vergleich zu vor der Migration deutlich geringeren Kosten sowie darüber, dass im Fall von Betriebsstörungen schnell reagiert wird. Die kreuzwerker freuen sich über das positive Feedback der KfW und bedanken sich für die in jeder Hinsicht geschätzte Projektunterstützung.