Servus Community,

wir haben seit einiger Zeit das Problem, dass der Fernzugriff auf unsere Druckmaschinen nur unzureichend funktioniert. Ständig haben wir mit Verbindungsabbrüchen oder nicht zustande gekommenen Verbindungen etc. zu kämpfen.

Vor zwei, drei Jahren hat Heidelberg die dafür notwendigen Ressourcen in die Amazon Cloud verlagert und seitdem haben wir damit Schwierigkeiten. Für die Firewall-Einstellungen hat uns Heidelberg eine Liste mit FQDNs (Hostnamen) gegeben, auf die die Druckmaschine zugreifen muss.

Nun ist es aber so, dass Verbindungen in einem Netzwerk grundsätzlich über IP-Adressen abgewickelt werden. Dazu ist es notwendig, dass die Firewall die hinterlegten FQDNs per DNS zu ihren IP Adressen auflöst. Unsere Firewall erneuert den Cache dieser aufgelösten IP Adressen alle 10 Minuten. Beim Debuggen des Problems haben wir jedoch festgestellt, dass der Loadbalancer von Amazon die IP-Adressen ständig ändert und vermutlich weiß nur Gott wie viele IP-Adressen sich hinter den Namen verbergen können.

Heidelberg schiebt die Schuld auf Amazon und tut so, als wäre ich für das Problem verantwortlich und fordert uns auf, den Timeout der Namensauflösung deutlich zu verkürzen. Vermutlich auf einmal pro Sekunde. Das erzeugt aber unnötige Last auf unserer Firewall und ich bin geneigt, das Problem einfach zu ignorieren und den schwarzen Peter wieder Heidelberg zuzuschieben. Sollen sie doch Proxy-Server betreiben, die dann stellvertretend die richtigen Ressourcen bei Amazon anzapfen.

Hat jemand von euch dieses Problem schon einmal gehabt und habt ihr Lösungen dafür entwickelt?

Thx & Bye Tom

Servus Pronto,

vielen Dank für deinen detaillierten Bericht, über deine negativen Erfahrungen mit der so intensiv beworbenen Heidelberg Cloud bei deiner täglichen Arbeit.
Ich bin bei aller "Jubel-Berichterstattung" von Seiten Heidelberg, immer davon ausgegangen, dass HD eine eigene Cloudserver-Infrastruktur betreiben würde, die einen zuverlässigen und allen EU datenschutzkonformen Betrieb gewährleistet. Das sich dahinter "ganz schnöde", nur die Amazon Web Services mit allen Risiken einer globalen Serverinfrastruktur verbergen, hat mich schon beim Lesen schockiert. Was zwingt da Heidelberg seiner immernoch "treuen" Kundschaft auf? Hat man bei HD völlig vergessen, dass sich dahinter weltweit vieltausende Druckereien mit ihren Arbeitsplätzen verbergen und man letztlich an dem Ast sägt, auf dem man selbst sitzt? Der CEO, der dies zu verantworten hatte (Hundsdörfer), ist schon längst über alle Berge, wie so einige "(un)fähige Köpfe" vor ihm (z.B. Mehdorn).
Die Kunden nur mit Schuldzuweisungen an Amazon "im Regen" stehen zulassen, setzt dem Ganzen noch die Krone auf.

Ich bin Mitglied in mehreren internationalen Druckerforen und kann deinen Post auch dort einmal platzieren. Vielleicht hat dort jemand ähnliche Erfahrungen gemacht und eine Lösung deines Problems gefunden. Gib mir Bescheid.

Beste Grüße aus Essen
Martin

Servus Martin,

ich weiß nicht, ob das eine Lösung ist, aber ich habe zumindest etwas geändert. Die TTL (Time to Live) der meisten Amazon DNS Records ist auf 60 Sekunden eingestellt und das habe ich jetzt in unserer Firewall entsprechend angepasst.

Was die Sicherheit betrifft geht das Ganze sogar so weit, dass man bei einer Firewall die Wildcards unterstützt einfach *.amazonaws.com:443 freigeben soll. Das ist schon sehr sportlich und wäre dann das gesamte Amazon Netzwerk. Das ist aber so unglaublich, dass Heidelberg da sicher noch etwas eingebaut haben muss, was ich jetzt übersehe. Ich kann das aber auch nicht so einfach testen, weil unsere Firewall keine Wildcards unterstützt.

Thx & Bye Tom