Auf einen Blick
Die Bundesagentur für Arbeit beschleunigt die Digitalisierung ihres Leistungsangebots, um Kunden noch besseren Service in einer veränderten Arbeitswelt zu bieten. Die Behörde setzt sowohl beim hochverfügbaren Betrieb ihrer bestehenden IT-Anwendungen als auch bei der agilen Bereitstellung neuer containerbasierter Anwendungen auf Lösungen von SUSE. Diese Strategie zahlte sich gerade in der COVID-19-Krise aus.
Five thousand systems with SUSE Linux Enterprise Server
Das IT-Systemhaus der BA betreibt als interner Dienstleister eine der größten IT-Infrastrukturen in Deutschland. In drei redundant ausgelegten Rechenzentren laufen mehr als 10.000 Server und über 120 Fachverfahren für die vielfältigen Aufgaben der Behörde. Der Großteil dieser Anwendungen wurde selbst entwickelt – für die komplexen und sehr spezifischen Prozesse der BA gibt es schlichtweg keine Software von der Stange. Zur IT-Infrastruktur der Behörde gehören zudem über 170.000 vernetzte Endgeräte für die Mitarbeiter und die Besucher der Beratungsstellen und Informationszentren.
„In den letzten zehn Jahren hat sich unsere IT-Landschaft unglaublich verändert und weiterentwickelt“, berichtet Frank Bayer. „Wir haben frühzeitig die Weichen dafür gestellt, noch mehr Arbeitsabläufe zu digitalisieren und besseren Service für unsere Kunden anbieten zu können. Dabei spielte Open-Source-Technologie von Anfang an eine zentrale Rolle.“
Ein wichtiger Schritt in diesem IT-Modernisierungsprozess war die Migration von unternehmenskritischen Anwendungen von Solaris, HP-UX und Windows auf SUSE Linux Enterprise Server. 2013 migrierte das IT-Systemhaus der BA die ersten Oracle-Datenbanken und Application Server auf die SUSE-Plattform. Die IT-Organisation konnte so kostspielige proprietäre Serverarchitekturen durch standardisierte x86-Systeme ersetzen und so die Kosten für den Erwerb und die Wartung von Server-Hardware deutlich senken. Allein die Kosten für den Betrieb der Datenbankserver wurden um mehr als 80 Prozent reduziert.
Von den 10.000 Servern der BA laufen heute rund 5.000 unter SUSE Linux Enterprise Server. „Die Plattform hat sich in den letzten Jahren hervorragend bewährt“, sagt Frank Bayer. „SUSE Linux Enterprise Server ist für uns ein strategisches Betriebssystem und bietet uns eine solide Grundlage für die Bereitstellung hochverfügbarer IT-Services zu geringen Betriebskosten. Die guten Erfahrungen haben uns auch darin bestärkt, weiterhin gezielt auf Open-Source-Technologie zu setzen und dies mit professionellem Support durch einen Anbieter zu kombinieren.“
Die Bundesagentur für Arbeit im Überblick
Fachkräftemangel, Digitalisierung, demografischer Wandel – die Arbeitswelt in Deutschland verändert sich gerade grundlegend. Die Bundesagentur für Arbeit (BA) spielt für die Bewältigung dieser Herausforderungen eine zentrale Rolle. Die 95.000 Beschäftigten der Behörde mit Hauptsitz in Nürnberg begleiten Menschen in allen Phasen ihres Berufslebens und helfen ihnen, die passende Arbeits- und Ausbildungsstelle zu finden. Gleichzeitig unterstützt die Behörde Arbeitgeber umfassend dabei, Fachkräfte auszubilden und zu gewinnen.
Die Mitarbeiter in den 800 Geschäftsstellen und Jobcentern der BA führen jeden Tag rund 14.000 Beratungen durch und unterbreiten 55.000 Vermittlungsvorschläge. Hinzu kommen 95.000 Kundentelefonate und Gespräche mit rund 15.000 Besuchern in den Berufsinformationszentren.
Unter normalen Umständen erbringt die BA also bereits ein enormes Arbeitspensum für ihre Kunden. Was allerdings ab dem Frühjahr 2020 auf die Beschäftigten der BA zukam, stellte alles bisher Dagewesene in den Schatten. Nach dem Ausbruch der COVID-19-Pandemie kämpfte die BA mit der größten Krise für den deutschen Arbeitsmarkt seit dem Zweiten Weltkrieg. Alle Bemühungen waren nun darauf ausgerichtet, möglichst viele Arbeitsplätze zu erhalten und die Existenzen von Menschen und Unternehmen zu sichern.
Das wichtigste arbeitsmarktpolitische Instrument war dabei die Kurzarbeit. Während im April 2019 gerade einmal gut 2.400 Unternehmen Kurzarbeitergeld für rund 50.000 Arbeitnehmer bezogen, explodierte diese Zahl ein Jahr später durch die COVID-19-Krise. Im April beantragten mehr als 610.000 Unternehmen in Deutschland Kurzarbeitergeld für über sechs Millionen Beschäftigte. Hunderttausende Anträge in wenige Wochen zu bearbeiten und alle Zahlungen rechtzeitig zu veranlassen, war eine unglaubliche Herausforderung für die BA.
Zumal die Behörde auch selbst unmittelbar von der Pandemie betroffen war. Mehr als die Hälfte der 95.000 Beschäftigten wechselten kurzfristig ins Homeoffice und mussten auch dort zuverlässig für Kunden und Unternehmen erreichbar sein. In Spitzenzeiten verzeichnete die BA mehr als eine Million Anrufversuche an einem einzigen Tag. Und viele Millionen E-Mail-Anfragen mussten in dieser Zeit so schnell wie möglich beantwortet werden. Unter diesen Bedingungen weiterhin arbeiten zu können, war nur möglich, weil die BA eine IT-Infrastruktur im Hintergrund hat, auf die sich die Beschäftigten jederzeit verlassen können.
„Gerade in der Ausnahmesituation der Pandemie zeigte sich, dass wir in den vergangenen Jahren viele richtige Entscheidungen in Bezug auf unsere IT getroffen hatten“, sagt Frank Bayer, Senior-Architekt für Operating Systems und Container Services im IT-Systemhaus der BA. „Wir konnten so einerseits trotz des enormen Ansturms einen stabilen Betrieb sicherstellen – und waren andererseits auch in der Lage, schnell auf neue Anforderungen zu reagieren.“
„Aus unserer Sicht ist Rancher Prime eindeutig das am weitesten fortgeschrittene und umfassendste Managementwerkzeug für die Verwaltung mehrerer Kubernetes-Cluster – insbesondere in einem Umfeld mit hohen Sicherheitsanforderungen.“
Mehr Agilität mit Container-Technologie
Während es bis 2016 bei der BA vor allem darum ging, die IT-Infrastruktur zu standardisieren und den Betrieb effizienter zu gestalten, rückte anschließend ein neues Ziel in den Fokus: die Agilität der IT zu steigern. „Wir wollten Projektlaufzeiten verkürzen, Innovationen beschleunigen und schneller auf neue Anforderungen unserer Kunden reagieren“, berichtet der Senior-Architekt Bayer. Um das Tempo bei der Entwicklung und Bereitstellung neuer digitaler Services zu erhöhen, setzte das IT-Systemhaus auf agile Methoden und Container-Technologie. Monolithische Applikationen sollten durch flexibel einsetzbare Microservices abgelöst werden. Mit der neuen Anwendungsarchitektur wollte man auch Update-Zyklen drastisch verkürzen. Neue Releases und Funktionen sollten nicht mehr drei bis vier Mal im Jahr, sondern eher alle 14 Tage veröffentlicht werden.
Für den Einstieg in die agile Softwareentwicklung wählten die Verantwortlichen gleich ein echtes Schlüsselprojekt aus – den Relaunch des BA-Internetauftritts und der dort integrierten digitalen Dienste. „Unsere Website ist mittlerweile für viele unserer Kunden die erste Anlaufstelle“, unterstreicht Frank Bayer. „Gerade jüngere Personen wollen für einen Antrag nicht die Arbeitsagentur vor Ort aufsuchen, sondern möglichst viele Formalitäten online erledigen. Durch das neue Online-Zugangsgesetz sind wir zudem in Zukunft verpflichtet, einen Großteil unserer Dienstleistungen digital im Web zur Verfügung zu stellen.“
Im Zuge des Web-Relaunches wurden rund 85 digitale Dienste als containerisierte Anwendungen neu entwickelt. Die aktuelle Website führt diese auf einer einheitlichen und intuitiv bedienbaren Oberfläche zusammen. Ganz gleich, für welches Thema sich ein Besucher interessiert – mit maximal drei Klicks landet er beim gewünschten Service.
Für die Bereitstellung der Container und das Management der Cluster-Infrastruktur nutzte das IT-Systemhaus der BA zunächst Apache Mesos und Mesosphere DC/OS. „2016 war das eine State-of-theArt-Lösung, die unsere Anforderungen erfüllen konnte“, so der Senior-Architekt. Die Softwareentwickler begannen daher, auch Business-Anwendungen für die internen Prozesse zu modernisieren und auf der Plattform bereitzustellen. Dazu gehörte beispielsweise die Vermittlungssoftware der BA, die jeden Tag von zehntausenden Anwendern genutzt wird. Auch hier ging es darum, eine schnellere Time-to-Market für neue Funktionen zu erreichen und bei steigender Last möglichst einfach skalieren zu können.
Von Mesos zu Kubernetes und Rancher Prime
2019 nahm das IT-Systemhaus der BA allerdings eine Neubewertung der Container-Plattform vor. Der Markt hatte sich weiterentwickelt und Kubernetes war mittlerweile als De-facto-Standard für die Orchestrierung und Verwaltung von Containern etabliert. „Es gab jetzt zudem höhere Anforderungen im SecurityBereich, die wir mit Mesos standardmäßig nicht abdecken konnten – etwa bei der Mikrosegmentierung“, erklärt Frank Bayer.
Die BA ist für die Verarbeitung hochsensibler Sozialdaten verantwortlich und hat ihre Informationssicherheit daher gemäß ISO 27001 / IT-Grundschutz zertifizieren lassen. Als Betreiber kritischer Infrastruktur (KRITIS) durchläuft die BA zudem mittlerweile jedes Jahr einen KRITIS-Audit. Die strengeren Sicherheitsvorgaben musste das IT-Systemhaus auch beim Betrieb der containerisierten Anwendungen umsetzen und die Services umfassend vor unkontrollierten Zugriffen schützen.
Vor diesem Hintergrund entschieden sich die Verantwortlichen für einen strategischen Wechsel zu Kubernetes und einer geeigneten Management-Plattform. Gemeinsam mit der Entwicklungsabteilung und Security-Verantwortlichen führte das Betriebsteam eine Marktsondierung durch und testete schließlich sechs Produkte ausführlich in Proof-of-Concept-Installationen. Neben Funktionsumfang, Kosten und Marktrelevanz bewertete man dabei die Aspekte Datenschutz, Sicherheit und Komplexität.
Die Wahl fiel schließlich auf Rancher Prime. „Aus unserer Sicht ist Rancher Prime eindeutig das am weitesten fortgeschrittene und umfassendste Managementwerkzeug für die Verwaltung mehrerer Kubernetes-Cluster – insbesondere in einem Umfeld mit hohen Sicherheitsanforderungen“, fasst der Senior-Architekt zusammen. „Zudem konnte uns die Lösung auch wirtschaftlich überzeugen. Die Subskriptions-Gebühren für Rancher Prime liegen rund 60 Prozent unter den Kosten, die für die bisherige Lösung mit Mesos angefallen waren.“
Bei der Konzeptionierung, Implementierung und internen Wissensvermittlung wurde die BA von B1 Systems und Fujitsu unterstützt – dadurch war von Anfang an ein reibungsloser Projektablauf sichergestellt.
Die Implementierung der Rancher Prime Lösung auf SUSE Linux Enterprise Server gestaltete sich sehr einfach. „Es war wirklich beeindruckend, wie schnell wir die ersten Cluster bereitstellen konnten“, sagt Frank Bayer. „Die niedrige Einstiegshürde darf aber nicht darüber hinwegtäuschen, dass Rancher Prime ein sehr mächtiges Werkzeug ist, das uns einen vollständigen Technologie-Stack für die Kubernetes-Verwaltung liefert.“
Multi-Cluster-Architektur sicher und effizient verwalten
In der großen und komplexen Container-Landschaft der BA konnte Rancher Prime seine Stärken von Anfang an voll ausspielen. Die Lösung eröffnete dem IT-Systemhaus ganz neue Möglichkeiten für den Aufbau und das Management einer Multi-Cluster-Architektur.
Ein wichtiger Aspekt ist dabei die stärkere Separierung der Cluster. Statt wenige große Cluster mit vielen hunderten von Nodes einzurichten, stellt man nun den einzelnen Fachdomänen jeweils eigene Cluster für ihre Verfahren und die zugrundeliegenden Microservices zur Verfügung. Sollte es Probleme auf einem Cluster geben, wären jetzt nur noch wenige Verfahren betroffen – alle übrigen Verfahren würden einfach weiterlaufen.
Über Rancher Prime kann das IT-Systemhaus der BA alle Cluster zentral überwachen und verwalten. Dies minimiert den operativen Aufwand erheblich – nach Einschätzung von Frank Bayer um bis zu 70 Prozent: „Wir können zum Beispiel Patches automatisch auf allen Clustern in unserer Umgebung einspielen. Früher hätten wir dafür jeden Cluster einzeln anfassen und aktualisieren müssen.“
Mit dem integrierten Monitoring von Rancher Prime hat das Betriebsteam zudem alle Cluster immer im Blick. Wenn Probleme auftreten, können sie über Grafana Dashboards den Fehler sofort lokalisieren und mit der Ursachenforschung beginnen. Liegt es am Node? Oder an der Anwendung? Oder war die Last zwischenzeitlich zu hoch? Rancher Prime liefert dem Betriebsteam alle relevanten Informationen und vereinfacht so das Troubleshooting erheblich.
Auch die Authentifizierung der Benutzer und die Zugriffkontrolle lassen sich mit Rancher Prime zentral über alle Cluster hinweg steuern. „Wir mussten früher für jeden Cluster eine eigene User-Verwaltung implementieren“, berichtet Frank Bayer. „Heute können wir sehr einfach einheitliche Richtlinien für den Benutzerzugriff auf allen Clustern anwenden. Rancher greift dafür direkt auf unser Active Directory und die vorhandenen Benutzerrollen zurück.“
Ganz entscheidend ist schließlich, dass die neue Umgebung die gestiegenen Sicherheitsanforderungen der BA vollumfänglich erfüllt. Eine Schlüsselrolle spielt dabei das in Rancher Prime integrierte Service-Mesh auf Basis von istio. Die Entwickler können damit granular festlegen, dass Services unterschiedlicher Mandanten nur nach Genehmigung miteinander kommunizieren dürfen. Darüber hinaus bietet das Service-Mesh auch weitere Möglichkeiten, die Anfragen an Microservices zu steuern. So können beispielsweise bestimmte Browser oder auch bestimmte Benutzer regelbasiert auf bestimmte Container geleitet werden.
„Dies hilft uns beispielsweise, Pilotprojekte für ausgewählte Abteilungen oder Standorte umzusetzen. Wir können innovative Services sehr einfach testen – ohne dabei Risiken bei der Sicherheit und Stabilität einzugehen”, so Bayer.
Innovationen noch schneller umsetzen
Die BA hat den Umzug der containerisierten Anwendungen auf die neue Plattform Ende 2021 abgeschlossen. Rund 600 Services mit insgesamt rund 24.000 Containern werden jetzt mit Rancher Prime und Kubernetes betrieben. Dazu gehören auch neu entwickelte Anwendungen, wie zum Beispiel Chatbot-Tools, die die Benutzer der BA-Website bei der Suche nach Informationen und bei der Beantragung von Leistungen unterstützen.
„Auch wenn die Migration gerade erst beendet ist, wird jetzt schon deutlich, dass wir für die Zukunft auf die richtige Plattform gesetzt haben“, resümiert Frank Bayer. „Rancher Prime und SUSE Linux Enterprise Server sind die perfekte Kombination für unsere Anforderungen. Vom Betriebssystem bis zur Container-Verwaltung erhalten wir jetzt Support für den gesamten Technologie-Stack aus einer Hand. SUSE verschafft uns damit eine hervorragende Ausgangsposition für die nächsten Schritte auf dem Weg der digitalen Transformation.“