Grundlagen – Azure Landing Zone

GRUNDLAGEN, INFRASTRUKTUR, PUBLIC CLOUD / 5 Minuten zum Lesen...

Einleitung

Azure Landing Zone ist ein Konzept, das dazu dient, Unternehmen bei der Planung, Implementierung und Verwaltung einer Cloud-Infrastruktur in Azure zu unterstützen. Die Landing Zone ist Bestandteil des Microsoft Cloud Adoption Framework (CAF) Es handelt sich dabei um eine Vorgehensweise, die bewährte Methoden und Best Practices nutzt, um die Einführung von Azure-Workloads zu beschleunigen, die Sicherheit zu verbessern und die Verwaltung zu optimieren.
Beim Umstieg auf die Cloud ist es wichtig, ein solides Fundament für Ihre Infrastruktur zu schaffen. Genau hier kommt die Azure Landing Zone ins Spiel. In diesem Blogbeitrag werden wir uns eingehend mit Azure Landing Zones befassen, ihre Vorteile, Best Practices und Schritte zur Implementierung erläutern.

Was ist eine Azure Landing Zone?

Eine Azure Landing Zone ist eine Referenzarchitektur, die Unternehmen dabei unterstützt, eine sichere und skalierbare Umgebung in Azure zu erstellen. Die Referenzarchitektur dient als Grundlage für den Aufbau einer Cloud-Infrastruktur und enthält Best Practices, bewährte Methoden und vorgefertigte Komponenten, die zur Erstellung einer sicheren und optimierten Umgebung beitragen.

Diese Referenzarchitektur umfasst eine Reihe von Richtlinien, Best Practices und vorkonfigurierten Ressourcen, die bei der Einrichtung einer stabilen und skalierbaren Cloud-Infrastruktur auf Microsoft Azure helfen. Azure Landing Zones erleichtern die Einhaltung von Sicherheits- und Compliance-Richtlinien und fördern die Nutzung von Cloud-Native-Technologien.

Management Ebenen und Hierarchie

Azure bietet vier Verwaltungsebenen: Verwaltungsgruppen, Subscriptions, Ressourcengruppen und Ressourcen. Das folgende Bild zeigt die Beziehung zwischen diesen Ebenen.

Azure Management Ebenen
Azure Management Ebenen

Verwaltungsgruppen helfen Dir bei der Verwaltung von Zugriff, Richtlinien und Compliance für mehrere Subscriptions. Alle Subscriptions in einer Managementgruppe übernehmen automatisch die Bedingungen, die auf die Managementgruppe angewendet werden.

Subscriptions verknüpfen Benutzerkonten logisch mit den Ressourcen, die sie erstellen. Jede Subscription hat Grenzen oder Limitierungen für die Menge der Ressourcen, die Du erstellen und nutzen kannst. Unternehmen können Subscriptions verwenden, um die Kosten und die Ressourcen zu verwalten, die von Benutzern, Teams und Projekten erstellt werden.

Ressourcengruppen sind logische Container, in denen Du Azure-Ressourcen erstellen und verwalten kannst. In der Regel wird 1 Ressourcengruppe pro Dienst genutzt, also z.B. eine virtuelle Maschine und alle ihre Ressourcen.

Ressourcen sind Instanzen von Diensten, die Sie erstellen können, wie z. B. virtuelle Maschinen, Speicher und SQL-Datenbanken.

Infrastruktur (Plattform) Landing Zone

Eine Infrastruktur Landing Zone wird auf der Basis einer Azure Subscription erstellt und dient der Bereitstellung zentraler Dienste, die häufig von einem zentralen Team oder einer Reihe zentraler Teams, die nach Funktionen (z. B. Netzwerk, Identität) aufgeteilt sind, betrieben werden und von verschiedenen Workloads und Anwendungen genutzt werden.

Infrastruktur Landing Zones stellen wichtige Dienste bereit, die aus Gründen der Effizienz und der Einfachheit des Betriebs oft von einer Konsolidierung profitieren. Beispiele hierfür sind Netzwerk-, Identitäts- und Verwaltungsdienste.

Eine Infrastruktur Landing Zone umfasst eine Reihe von Komponenten, die zusammen eine sichere, standardisierte und automatisierte Umgebung bilden. Hier sind einige der wichtigen Elemente einer Landing Zone:

  • Netzwerk: Eine Landing Zone enthält ein Netzwerk, das die Kommunikation zwischen verschiedenen Ressourcen in Azure ermöglicht. Dieses Netzwerk baut in der Regel auf der Hub-and-Spoke Architektur auf, bei dem der Hub das Hauptnetzwerk ist und die Spokes einzelne virtuelle Netzwerke sind. Über den Hub wird dann auch zentral eine mögliche Verbindung zu On Premises bereit gestellt.
  • Sicherheit: Eine Landing Zone enthält Sicherheitsrichtlinien und Massnahmen, um sicherzustellen, dass alle Azure-Ressourcen sicher sind und den Compliance-Anforderungen entsprechen. Zu den Sicherheitsmassnahmen können beispielsweise die Implementierung von Firewall-Regeln, Netzwerk-Sicherheitsgruppen und Rollenbasierte Zugriffskontrolle (RBAC) gehören.
  • Identitäts- und Zugriffsverwaltung: Eine Landing Zone enthält auch Richtlinien und Massnahmen zur Verwaltung von Identitäten und Zugriff auf Ressourcen. Zu den Massnahmen können beispielsweise die Implementierung von Active Directory-Integration, Single Sign-On (SSO) und Multi-Factor Authentication (MFA) gehören.
  • Management und Überwachung: Eine Landing Zone enthält auch Tools und Massnahmen zur Überwachung (Monitoring) und Verwaltung von Azure-Ressourcen.

Anwendungs- Landing Zone

Anwendungs- Landing Zones sind 1 oder mehrere Subscriptions, die als Umgebung für eine Anwendung oder einen Workload bereitgestellt werden. Anwendungs- Landing Zones werden in Verwaltungsgruppen unterhalb der höchsten Verwaltungsgruppe „Landing Zones“ platziert, um sicherzustellen, dass Richtlinienkontrollen korrekt angewendet werden. Anwendungslandezonen können wie folgt unterteilt werden:

  • Zentral verwaltet: Ein zentrales IT-Team betreibt die Landing Zone vollständig. Das Team wendet Kontrollen und Plattformtools sowohl auf die Infrastruktur als auch auf die Anwendungs-Landing Zone an.
  • Technologie-Plattformen: Bei Technologieplattformen wie z.B. dem Azure Kubernetes Service, wird der zugrunde liegende Dienst häufig zentral verwaltet. Die Anwendungen, die auf dem Dienst laufen, haben ihre Zuständigkeiten an Anwendungsteams delegiert. Dies führt zu veränderten Zugriffsberechtigungen im Vergleich zu zentral verwalteten Landing Zones.
  • Workload: Ein Infrastruktur Administrations- Team delegiert die gesamte Landing Zone an ein Workload-Team, das die Umgebung um den Workload herum verwaltet und unterstützt, wobei die Richtlinien der oben genannten Management-Gruppen, die das Infrastruktur-Team kontrolliert, weiterhin gelten. Dies kann das Hinzufügen zusätzlicher Richtlinien im Subskriptionsbereich und die Verwendung alternativer Tools für die Bereitstellung, Sicherung oder Überwachung von Workloads umfassen, die vollständig vom Workload-Team kontrolliert und betrieben werden.

Die Landing Zone Architektur im Detail

Auf dem folgenden Bild ist ein Beispiel einer Enterprise Landing Zone. In diesem Beispiel werden die Kerndienste wie Identitäten, Management, Konnektivität, etc. in eigenen Subscriptions gehalten. Dies führt zu einer höheren Sicherheit und ermöglicht auch die Delegation von Zugriffsrechten viel granularer als wenn alles zusammen in 1 Subscription erstellt wird. Zudem kann es je nach Verrechnungsmodell einfacher sein die Kosten zu deklarieren, also die Erhebung der Kosten pro Subscription. Sind alle Ressourcen in 1 Subscription ist es unumgänglich jede Ressource zu taggen, sie also anzuschreiben um danach die Kosten auf Basis von Tags den Diensten zuweisen zu können.

Im KMU Umfeld ist es vielfach so dass nur 1 Subscription bereitgestellt wird. Entgegen einer grossen Firma wo in der Regel verschiedene Teams die Verantwortung für die Subscription erhalten für diese sie spezialisiert sind, ist im KMU Umfeld viel weniger IT Personal verfügbar und es macht daher auch Sinn die Komplexität klein zu halten.

Azure Landing Zone Beispiel
Enterprise Azure Landing Zone Beispiel

Fazit

Eine Azure Landing Zone ist die Basis für jede Cloud Architektur und stellt die Kerndienste, Management und Kostenkontrolle bereit. Man sollte auf keinen Fall einfach mal loslegen und was bauen, ohne dass man den Architektur Prozess einer Landing Zone vollzogen hat, da Änderungen in der späteren Produktion an den Kerndiensten nur mit einem ungeheuer grossen Aufwand zu bewerkstelligen ist.

Diesen Beitrag freigeben:

Share on LinkedIn Share on WhatsApp

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Ähnliche Artikel