Monitoring von Cloud Foundry in der SAP Business Technology Platform (BTP)

Cloud Foundry ist die wohl beliebteste Laufzeitumgebung in der SAP Business Technology Platform. Wenn Unternehmen Anwendungen mit dem SAP Cloud Application Programming Model (CAP) entwickeln, um ihre SAP S/4HANA-Lösungen zu erweitern und dabei einen „Clean Core“ zu gewährleisten, werden diese in der Regel auf Cloud Foundry bereitgestellt.

Sobald die Anwendungen auf Cloud Foundry produktiv laufen, werden sie geschäftskritisch, was eine durchgängige Observability auf Plattform- und Anwendungsebene unerlässlich macht. Für SAP-Betriebsteams gehört das Monitoring von Cloud Foundry heute zu den Grundvoraussetzungen.

Was ist Cloud Foundry und wofür wird es eingesetzt? 

Cloud Foundry ist eine Open-Source-Plattform für Cloud-Anwendungen, die es erleichtert, Apps in beliebigen Programmiersprachen auf beliebigen Private- oder Public-Clouds auszuführen. In der Regel müsste ein Administrator die Plattform zunächst installieren und konfigurieren, auf SAP BTP hingegen steht die Cloud Foundry-Umgebung sofort einsatzbereit zur Verfügung, damit Kunden ihre Anwendungen direkt bereitstellen können.

Diese Sprachunabhängigkeit wird durch das Zusammenspiel von Stacks und Buildpacks ermöglicht: Stacks enthalten die zentralen Bestandteile eines Betriebssystems, Buildpacks liefern alle unterstützenden Komponenten für die jeweilige Anwendung. Eine Java-Anwendung kann zum Beispiel mit dem Stack cflinuxfs4 bereitgestellt werden, der die Linux-Distribution Ubuntu 22.04 Jammy Jellyfish mitliefert, und einem Java-Buildpack, das die JVM und weitere Abhängigkeiten zur Ausführung bereitstellt.

Cloud Foundry bietet eine schnelle, sichere und innovative Cloud-Plattform mit einem klaren Fokus auf die Developer Experience. Sie spart Zeit und Kosten für die manuelle Konfiguration und Pflege der Infrastruktur, damit Entwickler sich auf ihre Anwendungen konzentrieren können, während die Plattform komplexe Themen wie Skalierung übernimmt. Kein Wunder also, dass SAP Cloud Foundry als eine der Standardumgebungen in BTP anbietet. 

Was muss ich in Cloud Foundry überwachen? 

Cloud Foundry abstrahiert viele klassische Infrastrukturthemen, mit denen Observability normalerweise beginnt. Doch das heißt nicht, dass nichts mehr schiefgehen kann oder dass man auf ein Monitoring verzichten sollte. Für einen reibungslosen Betrieb von Cloud Foundry gilt es, einige zentrale Bereiche stets im Blick zu behalten.

Quotas

Quotas gehören zu den wichtigsten Aspekten der Cloud Foundry-Administration. Sie lassen sich für CPU, Arbeitsspeicher, Routen, Prozesse und Services definieren, entweder für die gesamte Cloud Foundry-Organisation oder für einzelne Spaces innerhalb der Organisation.

Quotas sind sinnvoll – ja sogar unerlässlich –, um sicherzustellen, dass Anwendungen die erforderlichen Ressourcen erhalten und gleichzeitig die Kosten im Rahmen bleiben. Gleichzeitig sind sie unerbittlich: Wird eines der gesetzten Limits überschritten, lässt sich eine Anwendung nicht starten oder nach der Wartung nicht mehr neu starten. Quotas können Ausfälle verursachen, aber ebenso verhindern. Beides passiert regelmäßig.

Die Überwachung von CPU und Arbeitsspeicher mag auf Infrastrukturebene nicht mehr erforderlich sein, in Cloud Foundry bleibt sie aber nach wie vor ein zentraler Bestandteil der Observability. Denn nur so lässt sich verhindern, dass Quotas unbemerkt überschritten werden. Eine kontinuierliche Analyse der Ressourcennutzung hilft zudem, die Umgebung optimal auf künftiges Wachstum auszurichten – für minimale Kosten und einen reduzierten CO₂-Fußabdruck.

Laufzeitprobleme und Verfügbarkeit

Cloud Foundry liegt so viele Abstraktionsebenen über der physischen Hardware, dass klassische IT-Probleme auf den ersten Blick unmöglich erscheinen. Doch tatsächlich handelt es sich bei Cloud Foundry-Anwendungen um ganz normalen Code, der in ganz normalen Prozessen auf ganz normalen Betriebssystemen läuft, nur eben verborgen unter vielen Schichten „cloudiger“ Abstraktion.

Anwendungen werfen Exceptions, manchmal stürzen ganze Prozesse ab. Manchmal wirkt alles ganz normal und trotzdem ist die Anwendung nicht verfügbar oder verhält sich nicht wie vorgesehen. Das Monitoring auf Prozessabstürze, protokollierte Exceptions und einfache Erreichbarkeit gehört daher zur absoluten Grundausstattung jeder Observability-Lösung für Cloud Foundry.

Da Anwendungen in jeder beliebigen Sprache auf Cloud Foundry laufen können, liefert die Protokollfunktion meist nur sehr allgemeine Fehlermeldungen. Um diese richtig zu interpretieren und Probleme zu verstehen und gezielt zu beheben, ist fundiertes Wissen über die jeweilige Programmiersprache erforderlich. Eine Observability-Plattform, die diese Interpretation übernimmt, ermöglicht dem Betriebsteam eine deutlich schnellere Fehlerbehebung.

Skalierung und Ressourcen

Cloud Foundry setzt für jede Prozessinstanz feste Grenzen beim Speicher- und CPU-Verbrauch. Gleichzeitig lässt sich die Anzahl der Instanzen je nach Bedarf automatisch oder manuell skalieren. Um Anwendungen zuverlässig und kostenoptimiert zu betreiben, ist es entscheidend, die Ressourcenauslastung kontinuierlich zu überwachen und die konfigurierten Grenzwerte bei Bedarf aktiv hoch- oder runterzusetzen.

Etwas Spielraum gewährt Cloud Foundry beim CPU-Verbrauch: Anwendungen dürfen kurzfristig über ihr zugewiesenes CPU-Limit hinausgehen; ein Verhalten, das als „Spiking“ bezeichnet wird. Mit der Zeit erkennt die Plattform jedoch „auffällige“ Anwendungen, die dauerhaft zu viele CPU-Ressourcen beanspruchen, und drosselt deren Leistung gezielt. Ein solches Throttling wird ebenfalls eingesetzt, wenn die verfügbaren CPU-Ressourcen nicht für alle Anwendungen ausreichen. Deshalb ist es unerlässlich, zu überwachen, wie lange eine Anwendung ihr CPU-Limit überschreitet. Nur so kann man Leitungseinbußen vorbeugen und gewährleisten, dass Benutzer in ihrer Arbeit nicht gestört werden. 

Probleme bei Deployment und Build

Das Bereitstellen oder Aktualisieren einer Anwendung auf Cloud Foundry lässt sich oft mit einem einzigen Befehl erledigen – etwa mit cf push in der Kommandozeile. Doch dieser eine Befehl stößt im Hintergrund einen komplexen Prozess mit zahlreichen Einzelschritten an: Zunächst wird die Anwendung erstellt, dann werden die Anwendungsdateien im Storage aktualisiert und der Build-Prozess angestoßen. Danach wird die App gestaged, ein sogenannter Droplet erzeugt und gespeichert und erst dann kann die Anwendung gestartet und überprüft werden, ob sie tatsächlich läuft.

Jeder dieser Schritte birgt potenzielle Fehlerquellen. Die Cloud Foundry-Plattform liefert Statusmeldungen zu Droplets, Builds sowie zu Anwendungen in der Staging-Phase und im laufenden Betrieb. Kein Schritt darf unbeobachtet bleiben, denn bereits kleinere Probleme können bedeuten, dass sich eine Anwendung nicht im erwarteten Zustand befindet. Im schlimmsten Fall können Benutzer sie gar nicht aufrufen, etwa durch Fehler beim Starten, beim Stoppen, beim Build oder im Staging.

Technische Sicherheit

Mit den SAP-Cloud-Produkten – und insbesondere SAP BTP – bewegen sich SAP-Betriebsteams oft zum ersten Mal außerhalb der Unternehmensfirewall. Während SAP-Anwendungen traditionell in gut geschützten Bereichen des Firmennetzwerks liefen, sind Cloud-Anwendungen standardmäßig mit einem Zero-Trust-Sicherheitsmodell über das öffentliche Internet zugänglich.

Cloud Foundry bietet sogenannte Security Groups, mit denen sich der zulässige Netzwerkzugriff von Anwendungen gezielt steuern lässt. Diese Gruppen müssen gemäß allgemeiner Best Practices (z. B. Zugriff auf DNS erlauben, Zugriff auf Cloud-Management-Services sperren) sowie unternehmensspezifischen Richtlinien und Systemkonfigurationen eingerichtet werden. Die Überwachung auf Konfigurationsprobleme stellt sicher, dass Anwendungen nur dann kommunizieren, wenn sie es sollen – und nicht dann, wenn sie es nicht dürfen.

Die Überprüfung der Security-Audit-Logs war noch nie wirklich optional. Im Kontext öffentlicher Cloud-Umgebungen ist sie jedoch ein absolutes Muss. Jede Abweichung von der Baseline oder potenzielle Bedrohung sollte umgehend untersucht werden. Manchmal steckt nur ein harmloser Fehler dahinter – etwa ein falsch konfiguriertes angebundenes System, das eine Störung im Geschäftsbetrieb verursacht. In anderen Fällen kann es sich jedoch um einen gezielten Angriff handeln.

Compliance

Compliance ist eine weitere Facette der Sicherheit, die sich mit Themen wie Kontrollsystemen und Funktionstrennung befasst. In Cloud Foundry gibt es klar definierte Rollen für Administratoren und Entwickler und deren korrekte Zuweisung ist ebenso entscheidend wie die Berechtigungsprüfung in einem produktiven S/4HANA-System.

Leider herrscht in vielen Cloud Foundry-Deployments noch immer eine gewisse Gesetzlosigkeit. Als vergleichsweise neue Technologie in der SAP-Welt wird die Anwendungsentwicklung auf Cloud Foundry häufig als Proof-of-Concept für Innovationsprojekte oder zur Umsetzung anspruchsvoller S/4HANA-Implementierungen genutzt. In beiden Fällen sind Zeit und Fachkenntnisse knapp: Hauptsache, die Anwendung läuft. Eine saubere Umsetzung von Compliance-Vorgaben bleibt dabei oft auf der Strecke.

Doch Auditoren sehen immer genauer hin und die gängige Praxis, Anwendungen direkt vom Laptop eines Entwicklers in die Produktivumgebung auf BTP zu übertragen, wird in größeren Unternehmen nicht mehr lange tragbar sein. Eine korrekt konfigurierte CI/CD-Pipeline schafft hier einen SAP-typischen Transportweg in die Produktion. Umso wichtiger ist ein gezielter Monitoring-Check der Cloud Foundry-Berechtigungen, damit niemand Anwendungen entwickeln und unkontrolliert live schalten kann.

Wie lassen sich all diese Aspekte in Cloud Foundry überwachen? 

Natürlich empfehlen wir in diesem Blogpost die Cloud Foundry-Monitoring-Funktion, die wir mit Avantra 25 eingeführt haben.

Avantra 25 benötigt lediglich einen einzigen API-Schlüssel in einem einzigen Subaccount, um vollständig automatisiert alle Verzeichnisse, Subaccounts, Umgebungen und Services innerhalb eines SAP BTP Global Accounts zu erkennen. Auch die Erkennung und Einrichtung erfolgt vollautomatisch, mit nur minimalem Arbeitsaufwand für Administratoren.

Sobald eine Cloud Foundry-Umgebung erkannt wird, identifiziert Avantra automatisch alle Spaces und Anwendungen und richtet Monitoring-Checks für alle in diesem Blog genannten Themenbereiche ein, darunter mehr als zwanzig Standardprüfungen sowie fünf Custom Checks für jede Anwendung und Umgebung.

Avantra ist die führende Observability-Plattform für SAP-Betriebsteams, mit vollständig automatisierter, benutzerfreundlicher Transparenz über SAP-Landschaften, auf die sich unsere Kunden seit über 20 Jahren verlassen. Mit der Erweiterung des Monitorings auf zentrale BTP-Services wie Cloud Foundry wird es möglich, moderne SAP-Geschäftsprozesse in der Cloud über eine einzige, integrierte Plattform zu überwachen und zu steuern.

Sprechen Sie noch heute mit einem unserer SAP-Experten und erleben Sie live, wie wir Cloud Foundry in SAP BTP überwachen.