Bibliografische Informationen der Deutschen Nationalbibliothek:
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über www.dnb.de abrufbar.
© Göran August Eibel
Herstellung und Verlag:
BoD – Books on Demand GmbH, Norderstedt
Autor, Herausgeber, Redaktion, Satz, Gestaltung, Texte, Bilder: Göran Eibel
Titelbild: © Fit Ztudio / Shutterstock.com
Coverbilder: © Mitar Vidakovic / Shuttersstock.com, © atScene / Fotolia.com
ISBN: 978-3-7534-5101-5
1. Auflage 2021
Das Werk einschließlich aller Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der Grenzen des Urheberrechtgesetzes ist ohne Zustimmung des Autors und des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigung, Übersetzung, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
Die in den Beispielen verwendeten Namen von Firmen, Organisationen, Produkten, Domänen, Personen, Orten, Ereignissen sowie E-Mails und Logos sind frei erfunden, soweit nichts anderes angegeben ist. Jede Ähnlichkeit mit tatsächlichen Firmen, Organisationen, Produkten, Domänen, Personen, Orten, Ereignissen, E-Mail-Adressen und Logos ist rein zufällig. Das in diesem Buch enthaltene Programmmaterial ist mit keiner Verpflichtung oder Garantie irgendeiner Art verbunden. Autor und Verlag übernehmen folglich keine Verantwortung und werden keine daraus folgende oder sonstige Haftung übernehmen, die auf irgendeine Art aus der Benutzung dieses Programmmaterials oder Teilen davon entsteht. Der Verlag und auch der Autor übernehmen keine Haftung für die Aktualität, Richtigkeit und Vollständigkeit der Inhalte des Buches, ebenso nicht für Druckfehler. Für die Inhalte von den in diesem Buch abgedruckten Internetseiten sind ausschließlich die Betreiber der jeweiligen Internetseiten verantwortlich.
Gender-Hinweis: Auf das Hinzufügen der jeweiligen weiblichen Formulierungen wurde bei geschlechtsspezifischen Hinweisen im Sinne der flüssigen Lesbarkeit verzichtet. Alle personalen Begriffe sind sinngemäß geschlechtsneutral, also weiblich und männlich, zu lesen.
Trademarks / Warenzeichen: Die in diesem Werk wiedergegebenen Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. können auch ohne Kennzeichnung Marken sein und als solche den gesetzlichen Bestimmungen unterliegen.
Als Microsoft Ende 2008 die ersten Pläne zum Aufbau einer eigenen Cloud Plattform veröffentlichte, konnte ich ehrlich gesagt mit dem Thema gar nichts anfangen. Zu jener Zeit war ich schon einige Jahre Infrastruktur Solution Architect. Mein Fokus lag ganz klar auf der Planung und dem Aufbau von on-premises Infrastrukturumgebungen sowie dem Lösungsdesign zur zentralen Bereitstellung von virtuellen Arbeitsplätzen mit Hilfe von Citrix Technologien.
Anfang 2010 war es dann soweit – die Azure Plattform wurde veröffentlicht und die ersten IaaS und PaaS Dienste standen zur Verfügung. Nach den ersten Versuchen und einem vorsichtigen herantasten an die neuen Möglichkeiten hielt sich allerdings bei mir persönlich die Begeisterung nach wie vor in Grenzen. Ich konzentrierte mich weiterhin auf meine Kernkompetenzen und gehörte zu den typischen Vertretern der Fraktion „zu schwerfällig, zu kompliziert und zu teuer“. Ich weiß nicht mehr genau, warum ich so eine Abneigung gegen die Azure Cloud hatte – aber wahrscheinlich war auch ein wenig Angst und Unsicherheit dabei, da diese Technologie doch meine gesamte Erfahrung und mein Wissen in Frage stellen könnte (das dachte ich zumindest).
Mit der Einführung des Azure Resource Managers (ARM) im Jahr 2015 sollte sich dann alles schlagartig ändern. Die Provisionierung von Ressourcen wurde vereinfacht, die Funktionalität gefühlt täglich erweitert, die Preise wurden immer attraktiver und das Office365 Angebot hatte mittlerweile Cloud-Services zu einem gewissen Grad etabliert. Damit waren die Vorteile vor allem im KMU-Umfeld nicht mehr von der Hand zu weisen. Die Anzahl von Projektanfragen stieg steil an und innerhalb kürzester Zeit wurden klassische Infrastruktur-Projekte mit hybriden IaaS / PaaS und vor allem SaaS Technologien – allen voran natürlich die Office365 Klassiker Exchange Online / SharePoint Online und OneDrive for Business - geplant und aufgebaut.
Und was soll ich sagen, innerhalb kürzester Zeit habe ich begonnen, mich wohl zu fühlen. Ich habe rasch erkannt, dass die Möglichkeiten der Nutzung von Azure Services fast unbegrenzt sind und mir als Solution Architect neue Lösungen und Techniken zur Verfügung standen. Mit geringem Aufwand konnten beindruckende Hybrid-Lösungen aufgebaut werden und es eröffnete Kunden komplett neue Ansätze zur sicheren, stabilen und effizienten Bereitstellung ihrer IT-Anforderungen. In den letzten Jahren durfte ich einige sehr große hybrid-Designs erstellen und ich habe zahlreichen Kunden auf ihrem Weg in die Azure Cloud begleitet. Bei sehr vielen Vorträgen und Trainings musste ich allerdings erkennen, dass ein Großteil der Probleme und Ängste der Kunden heute auf ein falsches Verständnis der Technologien oder ein falsches Basis-Infrastrukturkonzept zurückzuführen sind. Diese Erkenntnisse haben mich dazu bewegt, das vorliegende Buch zu verfassen. Es soll IT-Systemarchitekten, Beratern und Administratoren gleichermaßen dabei helfen, die benötigte Azure Infrastruktur zu planen und aufzubauen!
Einen besonderen Dank möchte ich auch in diesem Buch meiner wunderbaren Frau aussprechen. Durch ihre bedingungslose Unterstützung und ihr einzigartiges Wesen ist es mir möglich, Träume zu leben und meine Ziele zu erreichen.
Göran August Eibel
Enterprise Solution Architect & Technology Evangelist @ https://www.gecon.at
Abschnitt I – Grundlagen Azure Infrastruktur
Abschnitt II – Aufbau einer hybriden Infrastruktur
Abschnitt III – Optionale und erweiterte Azure Dienste
Abschnitt IV – Windows virtual Desktop
Die Möglichkeiten der Microsoft Azure Cloud sind gewaltig und verändern die IT-Landschaft nachhaltig. Anfang 2021 umfasst das Produkt- und Technologieportfolio mehr als 600 Services in 60 Regionen mit insgesamt knapp 200 Rechenzentren. Der Aufbau von hoch ausfallsicheren, skalierbaren, modernen und effizienten Lösungen ist nicht nur den großen Unternehmen vorbehalten – jedes moderne IT-Design kann von den Vorteilen der IaaS, PaaS, SaaS und DaaS Lösungen der Microsoft Azure Cloud Umgebungen profitieren.
Gerade auch die Ereignisse des Jahres 2020 haben uns allen gezeigt, wie wichtig eine schnelle und stabile Bereitstellung von IT-Services und modernen Arbeitsplatzumgebungen ist. Für Anwender muss der Zugriff auf Dienste unkompliziert und unabhängig von geographischen Standorten erfolgen – der moderne Arbeitsplatz muss zentrale und globale Datendienste nutzen und über das Internet verwaltbar sein. Zum Glück haben schon viele Kunden in den letzten Jahren die Vorteile der Office365 SaaS Dienste erkannt, damit war ein kurzfristiger Ausbau der Dienste (allen voran natürlich Microsoft Teams) für viele Benutzer überhaupt erst möglich.
Aus Sicht der Infrastruktur-Architektur ist die Nutzung der voll-verwalteten SaaS Dienste allerdings erst der Beginn eines kompletten Paradigmenwechsels in den nächsten Jahren. Die on-premises Strukturen und Technologien werden mit entsprechenden Cloud-Services zusammenarbeiten müssen, verschiedene Dienste und Produkte wird Microsoft auch nur mehr in der Azure Cloud zur Verfügung stellen.
Ich bin der festen Überzeugung, dass es noch einige Jahren dauern wird, bis größere Unternehmen alle IT-Services aus der Cloud beziehen werden. Lokale Infrastrukturen und Datenhaltung werden uns noch lange begleiten, diese müssen sich allerdings nahtlos in die hybride Cloud-Umgebung integrieren. Entscheidend dabei ist allerdings, dass in der Cloud keine Schatten-IT entsteht und sich alle IT-Services als ein großer Verbund aus unterschiedlichen Technologien mit konsistentem Benutzer-, Daten- und Zugriffsmanagement präsentieren. An diesem Punkt soll das vorliegende Buch helfen. Bevor man sich mit den verwalteten Diensten und verschiedenen Plattform- und Software-Services auseinandersetzt, bedarf es einer entsprechenden Vorbereitung der Infrastruktur. Die Azure Umgebung soll sich wie eine geografische Außenstelle im Unternehmen integrieren. Der Netzwerkverkehr muss entsprechend gesteuert werden. Der Zugriff auf Daten und Dienste wird für die Benutzer konsistent und identisch abgebildet, und die Sicherheit aller Informationen muss gewährleistet sein.
Zu oft habe ich in den letzten Jahren festgestellt, dass die Einführung eines vermeintlich unkomplizierten Cloud-Dienstes zu massiven Problemen führte und die Infrastrukturumgebung erneut angepasst werden musste. Viele Kunden haben regelrecht Angst vor neuen Cloud-Diensten, weil sie die Anpassungen und die Neukonfiguration scheuen. In Umgebungen mit einer sauber geplanten Basis-Infrastruktur ist diese Sorge unbegründet. Sobald die hybride Infrastrukturumgebung aufgebaut ist, können neue Dienste und Funktionen mit einer gewissen Leichtigkeit eingeführt werden. Dies ermöglicht eine rasche Konzentration auf neue Produkte und Technologien.
Das Buch ist in vier Abschnitte unterteilt, welche aufeinander aufbauen. Der erste Abschnitt beschäftigt sich mit den Grundlagen. Der Leser wird die neuen Technologien und Begriffe der Microsoft Azure Infrastruktur Umgebung kennenlernen. Natürlich hat Microsoft das Rad in der Cloud nicht neu erfunden, Grundlagen der IT haben nach wie vor ihre Gültigkeit und müssen auch entsprechend berücksichtigt werden. Es werden Infrastruktur-Technologien und Topologien teilweise neu bzw. angepasst interpretiert. Dies ist an den erweiterten Möglichkeiten und der neuen Definition von Begriffen erkennbar.
Nachdem die Strukturen und Topologien in Abschnitt I grundlegend vorgestellt wurden, gehen wir im Abschnitt II in die Praxis über. Der Aufbau und die Konfiguration einer kompletten hybriden Infrastruktur-Umgebung werden Schritt für Schritt erklärt. Dazu werden wir unser eigenes privates virtuelles Netzwerk in der Azure Cloud definieren und über eine stetige Verbindung mit einer on-premises Microsoft Active Directory Umgebung kommunizieren. Danach stehen die Installation und Konfigurationen der ersten virtuellen Server und die schrittweise Erweiterung des hybriden Data-Centers im Mittelpunkt. Neue Funktionen und Möglichkeiten zur Bereitstellung und Verwaltung von Diensten kommen zum Einsatz. Am Ende von Abschnitt II ist die Umgebung somit für alle möglichen weiteren Schritte in der Cloud optimal vorbereitet.
Abschnitt III zeigt die typischen ersten optionalen Erweiterungen einer modernen hybriden IT-Landschaft. Die sichere Verwaltung der Cloud-Dienste und der damit verbundene abgesicherte administrative Zugriff macht den Anfang (Azure Bastion). Die Synchronisierung der Active Directory Benutzerkonten in das cloud-basierte Identity-Management Azure AD (wird ebenfalls im Abschnitt II realisiert) ermöglicht nun die Umsetzung des „One-User-One-Identity“ Konzepts für alle Zugriffe. Aus diesem Grund ist es umso wichtiger, diese Identität entsprechend abzusichern – wir werden dazu das PaaS (Platform as a Service) Azure MFA einführen, um eine sichere und unkomplizierte zweistufige Authentifizierung für Benutzer zu etablieren. Nachdem wir die neu aufgebauten Dienste über die Funktionen des Azure Monitors pro-aktiv überwachen können und mit Hilfe von Azure Backup auch gesichert haben, öffnen wir das Kapitel Azure Security. Die Funktionen und Technologien der Azure Security Suite ermöglichen die Absicherung der gesamten Umgebung auf mehreren Ebenen und schützen holistisch gegen die immer häufiger auftretenden Cyber-Security Attacken.
Bei der Planung des Buches habe ich lange überlegt welcher vollumfänglichen Microsoft Cloud Technologie ich hier Platz geben möchte. Lange war geplant, dass in Abschnitt IV der nächste logische Schritt behandelt wird, nämlich die Anbindung und Nutzung der Microsoft 365 Dienste. Nicht nur die Ereignisse des Jahres 2020 haben mich dazu bewegt, diesen Abschnitt dem virtuellen Arbeitsplatz zu widmen. Remote-Working und der sichere und effiziente Zugriff auf den Digital Workplace eines Unternehmens waren schon lange vor dem Jahr 2020 wichtige Themen. In diesem Jahr sind sie allerdings sehr schnell in den Fokus der IT-Verantwortlichen gerückt. Mit dem Windows virtual Desktop (DaaS – Desktop as a Service) steht in der Cloud mittlerweile eine sehr gute Alternative zu klassischen on-premises Desktop-Virtualisierungslösungen zur Verfügung, die wir in Abschnitt IV im Detail betrachten.
Bevor man sich in die Welt des Cloud-Computings begibt, sollte man sich mit den grundlegenden Begriffen und Definitionen vertraut machen. Dieses Buch ist zwar prinzipiell auf Deutsch geschrieben, auf Grund der besseren Verständlichkeit und üblichen Marktbezeichnungen werden bei manchen Begriffen und Definitionen allerdings die englischen Originalbezeichnungen verwendet.
| Active Directory | Microsoft Verzeichnisdienst zur Verwaltung von Domänenobjekten. Active Directory Benutzer, Gruppen und Organisationseinheiten bilden die Basis zur Steuerung und Berechtigung aller Ressourcen. |
| BYOD | „Bring your own Device“ – Benutzer greifen über eigene private Geräte auf IT-Ressourcen und Daten des Unternehmens zu. |
| Business Analytics-Tools | Tools, um Daten aus Systemen zu extrahieren und diese zu Analysezwecken in anderen Systemen wie beispielsweise einem Data Warehouse zu integrieren. |
| BI-Tools | Business Intelligence Tools verarbeiten unstrukturierte Daten aus unterschiedlichen Quellen, um aussagekräftige Trends zu ermitteln. |
| Cloud | Metapher für ein globales, öffentliches Netzwerk – bei der Public Cloud handelt es sich dabei um das Internet. |
| Cloud Bursting | Mechanismus zum Verlagern von Ressourcen aus einer privaten Cloud hin zu einer öffentlichen Cloud, wenn die Ressourcenkapazität innerhalb der privaten Cloud nicht mehr ausreicht oder verfügbar ist. |
| Cloud Computing | Bereitstellen von Computing-Ressourcen wie Rechenleistung, Speicher, Netzwerkkomponenten und Software über das Internet. |
| Cloud Computing-Typen | Es gibt grundlegend drei verschiedene Klassifizierungen zur Bereitstellung von Cloud Computing Ressourcen: |
| IaaS – Infrastructure as a Service | |
| PaaS – Platform as a Service | |
| SaaS – Software as a Service | |
| Elastic Computing | EC beschreibt die Möglichkeit einem Server dynamisch Ressourcen wie Prozessorleistung, Speicher oder Netzwerkressourcen zuordnen zu können. |
| Grid Computing | Eine Gruppe von verbundenen Computern, um komplexe Operationen gemeinsam durchführen zu können. |
| Hybrid Cloud | Kombination aus öffentlichen (public) und privaten Cloud-Ressourcen, welche für eine gemeinsame Nutzung von Daten und Systemen verbunden werden. |
| IaaS | Infrastructure as a Service beschreibt ein Cloud Computing Modell bei welchem durch den Cloud-Anbieter die Netzwerk- und Serverinfrastruktur zur Verfügung gestellt werden. Typischerweise übernimmt der Kunde die Verantwortung direkt nach der Installation des Betriebssystems. |
| KI-Computing | Künstliche Intelligenz (AI - Artificial Intelligence) beschreibt die Fähigkeit eines Computers menschliche Intelligenz zu imitieren. Mithilfe von Mathematik und Logik kann das Computersystem die Argumentation simulieren, mit der Menschen aus neuen Informationen lernen und Entscheidungen treffen. |
| Middleware | Software zwischen einem Betriebssystem und der Anwendung, um die Kommunikation und Datenverwaltung zu ermöglichen. |
| PaaS | Platform as a Service beschreibt ein Cloud Computing Modell bei welchem neben der Netzwerk- und Serverinfrastruktur auch die gesamte Middleware inkl. Entwicklungs- und Konfigurationsplattform einer Lösung vom Cloud Anbieter verwaltet wird. |
| Private Cloud | Dienste einer Private Cloud sind nicht allen Benutzern über das Internet zugänglich, sondern nur einem eingeschränkten Benutzerkreis. Oft erfolgt die Bereitstellung auch zusätzlich über ein privates, internes Netzwerk. |
| Public Cloud | Dienste einer öffentlichen (public) Cloud werden über das Internet angeboten und sind prinzipiell für jeden Benutzer zugänglich. |
| SaaS | Software as a Service beschreibt ein Cloud Computing Modell bei welchem bis zu Applikationsschicht einer Lösung alle erforderlichen Ressourcen einer Lösung vom Cloud Anbieter bereitgestellt und verwaltet werden. |
| Virtualisierung | Es wird eine komplett simulierte (virtuelle) Computing-Umgebung bereitgestellt – und keine physische Umgebung. Die virtuellen Treiber agieren unabhängig von der darunterliegenden Hardware. |
| Zero Touch Deployment | Bereitstellung und Konfiguration von Applikationen oder ganzen Systemen ohne Interaktion durch einen Benutzer. |
Abbildung 1.2-1: Darstellung Cloud Computing Typen
Bei IaaS werden virtuelle Server mit unterschiedlichen, frei konfigurierbaren und dynamisch skalierbaren Leistungsparametern durch die Azure Cloud direkt in einem logischen Verwaltungs- und Abrechnungsbereich (Tenant) des Kunden bereitgestellt. Der Kunde muss sich um die Bereitstellung und Wartung der erforderlichen Hardware inkl. der für den Zugriff auf diese Server benötigte Infrastruktur (Switch, Router, Firewall usw.) nicht kümmern. Die Verfügbarkeit der Server wird über SLA’s (Service Level Agreements) definiert und kann durch optionale Dienste (High Availability -Konfigurationen) individuell erweitert werden.
PaaS Dienste gehen einen Schritt weiter, zusätzlich zur gesamten Hardware inkl. Infrastruktur für den Zugriff über das Internet (Public Cloud) oder dedizierten, abgeschotteten Bereichen (Private Cloud) werden durch die Azure Cloud auch die Verwaltung der gesamten Betriebssystem-Ebene inkl. aller Updates sowie der benötigten Middleware und Runtime-Komponenten des Dienstes übernommen. Ein typisches Beispiel für PaaS in der Azure Cloud sind die Azure SQL Services – die gesamte Bereitstellung und Wartung eines SQL Servers bzw. SQL-Clusters entfällt für den Kunden.
Bei SaaS wird die gesamte Software direkt über das Internet bereitgestellt, auch die Verwaltung und Sicherung der durch die SaaS Services erzeugten Daten erfolgt durch den SaaS Anbieter. Die Abrechnung bei SaaS Diensten erfolgt typischerweise nach einem Abonnement-Modell, IaaS und PaaS Dienste werden gewöhnlicherweise nach dem „Pay-as-you-use“ Modell verrechnet. Die gesamte Produkt-Suite von Office365 ist ein typischer Vertreter moderner SaaS Lösungen.
Abbildung 1.2-2: Vergleich der Verantwortungsbereiche
Abbildung 1.3-1: Azure Services Übersicht – Quelle: Microsoft TechNet
Alle aktuell zur Verfügung stehenden Dienste der Azure Cloud zu erläutern, würde den Rahmen dieses Buches sprengen. Daher konzentriert sich dieses Kapitel auf die grundlegenden Service-Strukturen. Auf Dienste, welche für den Aufbau einer hybriden Infrastrukturumgebung zwingend benötigt werden, wird im weiteren Verlauf dieses Buches detailliert eingegangen.
Anfang 2021 stehen über die Microsoft Azure Cloud knapp 600 Dienste zur Verfügung, welche über einen eigenen Service-Channel bzw. dem Marketplace angeboten werden. Eine Gruppierung dieser Dienste in 22 Kategorien soll die Auswahl erleichtern.
| Analysen | Verschiedene Azure Services zum Sammeln, Analysieren, Verarbeiten und Visualisieren von Daten. Azure DataBricks, PowerBI Embedded und Azure Data Lake Storage gehören beispielsweise zu dieser Kategorie. |
| Blockchain | Unterschiedliche Tools und Services zum Erstellen und Verwalten von Blockchain basierenden Anwendungen. |
| Compute | Gerade bei Aufbau von Infrastrukturdiensten in der Cloud eine der wichtigsten Kategorien. Hier finden sich die Dienste zur Erstellung von virtuellen Windows oder Linux Computern / Servern, VM Scale-Sets, Azure Dedicated Hosts oder auch Instanzen zur Ausführung von SAP-HANA Workloads in der Azure Cloud. |
| Container | Services zur Erstellung und Verwaltung von unterschiedlichen Container-Technologien inkl. Azure Kubernetes Services (AKS) werden in dieser Kategorie angeboten. |
| Datenbanken | Vollständig verwaltete Datenbanken und Instanzen in unterschiedlichen technischen Ausprägungen und Funktionen stellen die Dienste in dieser Kategorie zur Verfügung. |
| DevOps | Über diese Services kann eine komplette, Cloud-basierte Prozessumgebung zur gemeinsamen Entwicklung und Bereitstellung von Applikationen realisiert werden. |
| Entwicklungstools | |
| Entwicklung und Verwaltung von Cloudanwendungen, unabhängig von Sprache und Plattform stehen im Fokus dieser Servicegruppe. | |
| Hybrid | Technologien zum Aufbau von hybriden Infrastrukturumgebungen, wie beispielweise Azure ExpressRoute zum Aufbau von hoch performanten und stabilen Netzwerkverbindungen, oder auch das Azure Active Directory zum zentralen Identitätsmanagements findet man in dieser Kategorie. |
| Identität | Die zentrale Verwaltung von Benutzer- und Geräteidentitäten inkl. dem Schutz von vertraulichen Daten werden von Diensten wie beispielsweise den Azure AD Domain Services oder den Azure Information Protection Services angeboten. |
| Integration | Tools zur nahtlosen Integration von Cloud-basierten bzw. lokalen Daten und Prozessen finden sich in dieser Kategorie. |
| IoT | Internet of Things – eine stark wachsende Kategorie mit Services und Tools zur Bewältigung dieser teilweise sehr komplexen Herausforderung. |
| KI / ML | KI und Machine Learning Services für unterschiedliche Anwendungsfälle stehen hier zur Verfügung. Neben Sprach-, Bild- und Freihanderkennung stehen auch moderne Kognitive Suchfunktionen und virtuelle Data-Science Modelle zur Verfügung. |
| Medien | Dienste in dieser Kategorie sind auf die Bereitstellung und Optimierung von Multimedia Inhalten wie Bild, Ton und Video spezialisiert. |
| Migration | Verschiedene Services und Tools in diesem Bereich unterstützen bei der Migration von Daten und Diensten in die Microsoft Azure Cloud und stellen auch einige wichtige Funktionen für den Aufbau von HA-fähigen Hybrid-Lösungen bereit (beispielsweise Azure Site Recovery). |
| Mixed Reality | Lösungen für den Aufbau und der Bereitstellung unterschiedlicher Virtual Reality Umgebungen inkl. Remote 3D Rendering stehen hier bereit. |
| Mobil | Services dieser Kategorie verfolgen das Ziel moderne, plattformübergreifende mobile Applikationen zu erstellen und den Benutzern zur Verfügung zu stellen. |
| Netzwerk | Services und Tools für den Aufbau von virtuellen und hybriden Netzwerken inkl. Optimierung, Verwaltung und Absicherung des gesamten Datenverkehrs stehen hier sowohl für Public-Cloud als auch Private-Cloud Umgebungen zur Verfügung. |
| Sicherheit | Das Azure Security Center zur zentralen Verwaltung sehr vieler Security-Features inkl. weiterer – optionaler – Funktionen wie die Azure Key Vault oder Azure Sentinel werden in dieser Kategorie angeboten. |
| Storage | Daten- und Speicherverwaltung gehört zu den wichtigsten Bereichen jeder Cloud-Lösung. In diesem Bereich findet man die Storage-Accounts und alle Services zur Verwaltung von strukturierten und unstrukturierten Daten für native und hybride Cloud Umgebungen. |
| Verwaltung und Governance | |
| Dienste zur Automatisierung, Überwachung und Verwaltung aller Cloud-Ressourcen werden in dieser Kategorie zusammengefasst. | |
| Web | Alles was benötigt wird, um leistungsstarke und performante Web-Anwendungen bereitstellen zu können, findet man in dieser Kategorie. |
| Windows Virtual Desktop | |
| In diesem, relativ neuen Bereich, werden die Dienste zur Bereitstellung des sogenannten „Virtual Digital Workplace“ angeboten. Hier entsteht auch ein komplett neuer Cloud-Typ, nämlich DaaS – Desktop as a Service. DaaS geht noch einen Schritt weiter als SaaS – neben den Applikationen und Plattform-Diensten wird die gesamte Arbeitsplatzumgebung virtuell zentral auf Basis von Windows Server Remote Desktop Services, Windows 10 VDI oder Windows 10 Multi-Session Host bereitgestellt. | |
Bei dieser gewaltigen Anzahl von IaaS, PaaS, SaaS und DaaS Diensten muss man gerade zu Beginn eines Cloud Projektes entsprechend sondieren und sich im ersten Schritt auf die wichtigsten Dienste zum Aufbau seiner neuen zukunftsorientierten Data-Center Umgebung konzentrieren.
Die folgende Tabelle soll eine Übersicht bieten und Dienste aufzeigen, welche größtenteils bereits zu Beginn jedes Azure-Hybrid Designs betrachtet und konzeptioniert werden müssen.
| Service | Beschreibung und Anmerkungen |
| Azure Active Directory | Zentrale Komponente für das Identitätsmanagement aller Microsoft Azure- und Office365 Dienste. Das Konzept zur Synchronisierung (AD Connect-Konfiguration) und dem Zugriff auf die Azure AD Objekte bzw. den Active Directory Domain Services gehört zu den wichtigsten Themen bei jedem Azure Architekturdesign. |
| Azure Backup | Zentrale, hoch integrierte Lösung zur Sicherung und Wiederherstellung von Daten und Maschinen sowohl in der Cloud als auch in lokalen (on-premises) Umgebungen. |
| Azure Monitor | Überwachung der Verfügbarkeit und Leistung aller Infrastrukturkomponenten, PaaS und SaaS Diensten inkl. Diagnose- und Visualisierungsfunktionen. |
| Azure SQL | Effiziente und skalierbare Bereitstellung von SQL-Datenbanken |
| Scale Sets | Dynamische Skalierung von IaaS Maschinen zur Abdeckung von Leistungsspitzen oder Erweiterung von on-premises Ressourcen. |
| Security Center | Die zentrale Überwachung zur Feststellung systemkritischer Konfigurationen (beispielsweise fehlende Updates oder unterschiedliche Port-Freischaltungen) sollte von Beginn an Bestandteil jedes Azure Designs sein. |
| Storage | Die richtige Konzeptionierung der verschiedenen Datenspeicher inkl. den damit verbunden Möglichkeiten zur ordnungsgemäßen Abbildung der Datensicherheit ist essenziell für jede Cloud-Lösung. Abhängig von der Art der Daten (Files, Datenbanken, VHDs usw.) werden diese in unterschiedlichen Storage-Systemen und damit verbundenen Technologien gespeichert und zur Verfügung gestellt. |
| Virtual Machines | Virtuelle Server für den Aufbau von IaaS Diensten und Erweiterung des on-premises Data-Center in einem eigenen, privaten Cloud-Bereich mittels VPN Technologien (Site-2-Site VPN, ExpressRoute) |
| Virtual Network | Über VNETs und Subnetzen wird das on-premises Data-Center in die Cloud erweitert. Neben der Planung der verschiedenen Netze zur Segmentierung von Diensten, müssen auch Sicherheitseinstellungen und Zugriffskonzepte auf Daten und Dienste innerhalb der virtuellen Netze geplant und umgesetzt werden. |
| VPN Gateway / ExpressRoute | Die Verbindung zu den Cloud-Diensten einer hybriden Umgebung wird immer über eine VPN Verbindung hergestellt. Die Bereitstellung von stabilen und performanten Netzwerk-Verbindungen ist die Basis für alle weiteren Schritte. |
Tabelle 1.3-1: Basis-Dienste für den Aufbau hybrider Infrastrukturumgebungen
Der Azure Ressourcen Manager ist der zentrale Dienst zur Bereitstellung und Verwaltung in Azure. Nahezu alle Ressourcen und Dienste werden mit Hilfe von Ressourcen Manager Templates über das Azure Portal parametrisiert und provisioniert. Zusätzlich zum Azure Portal stehen auch alle Funktionen über die PowerShell, Azure CLI, Rest-APIs und über Client-SDKs zur Verfügung.
Zur Verwaltung von Ressourcen bietet Azure vier logische Ebenen, um alle Ressourcen sauber nach Funktions-, Berechtigungs- oder Verrechnungsmodellen aufteilen zu können. Standardmäßig werden Einstellungen einer Ebene auf die darunterliegenden Ebenen vererbt.
Abbildung 1.4-1: Verwaltungsebenen Azure Ressourcen Manager
Jeder Azure Tenant (das Azure Konto einer Organisation) verfügt über mindestens eine Verwaltungsgruppe, unter welcher mindestens ein Abonnement (Verrechnungsmodell) verlinkt ist. Mit Hilfe der Verwaltungsgruppen können mehrere logische Gruppen aufgebaut werden, um mit Richtlinien den Zugriff auf Ressourcen organisieren zu können. So kann z.B. mit einer Verwaltungsgruppe das Abonnement (Subscription) für den produktiven Einsatz von Azure Ressourcen verwaltet werden, mit einer zweiten Verwaltungsgruppe wird der Zugriff auf Azure Ressourcen für Test- und Abnahmeprozesse gesteuert.
Die Azure Subscription ist eine Vereinbarung zur Nutzung und Bezahlung von Azure Ressourcen. Standard Subscriptions werden klassisch nach dem „Pay-as-you-use“ Modell über Kreditkarte oder Rechnung auf monatlicher Basis abgerechnet. Es gibt auch im Zuge von verschiedenen Partner-Vereinbarungen mit der der Firma Microsoft (Visual Studio, Microsoft Partner Subscription, Free Azure Pass usw.) eine Vielzahl von weiteren Subscriptions welche unabhängig voneinander verwendet und auch unabhängig voneinander über die Verwaltungsgruppen speziellen Anwendungsfällen zugeordnet werden können.
Abbildung 1.4-2: Beispiel – Verwaltungsgruppen & Abonnements
Als Azure Ressource wird jedes Service angesehen, welches über das Azure Portal provisioniert werden kann. Bei den Ressourcengruppen handelt es sich um eine logische Gruppierung von Azure Ressourcen, welche über identische Einstellungen verfügen sollen oder aus rein organisatorischen Gründen getrennt abgebildet werden sollen.
Auf dieser Ebene können auch beispielsweise delegierte Administratorenrechte vergeben werden, sodass eine spezielle Gruppe von Benutzern alle darin abgebildeten Ressourcen selbst verwalten kann, unabhängig davon, ob es sich beispielsweise um einen virtuellen Computer, einen Dienst oder eine Firewall-Einstellung handelt. Sehr oft werden die Ressourcengruppen auch auf Basis von Funktionen aufgebaut, unabhängig von den delegierten Rechten. In diesem Fall werden beispielsweise alle Ressourcen, welche zur Bereitstellung von File-Services benötigt werden, einer Ressourcengruppe zugeordnet. Damit können globale Einstellungen direkt auf dieser Gruppe vorgenommen werden, diese werden dann auf der virtuellen Maschine, dem virtuellen Netzwerk und dem Storage-Account angewendet.
RBAC basiert auf dem Azure Ressourcen Manager und bietet granulare Steuerungsmöglichkeiten für den Zugriff auf die Azure Ressourcen. Mittels RBAC Regeln wird festgelegt, auf welche Ressourcen Benutzer / Administratoren Zugriff haben, und welche Aktionen direkt bzw. beim Zugriff auf diese Ressourcen ausgeführt werden können.
Eine RBAC Rolle setzte sich immer aus drei Konfigurationsparametern zusammen:
| Security Principal | Ein Benutzer, eine Gruppe oder ein verwalteter Dienst |
| Rollendefinition | Eine Sammlung von Berechtigungen. Azure verfügt standardmäßig über 3 grundlegende Rollendefinitionen – Besitzer (Owner), Mitwirkender (Contributor) und Leser (Reader). Diesen drei Definitionen ist ein spezieller, vorgefertigter Satz von Berechtigungen zugewiesen. Rollendefinitionen können jederzeit neu erstellt und angepasst werden. |
| Bereich (Scope) | Legt fest, ab welchem der vier Verwaltungsebenen soll die RBAC Einstellung wirken. |
Es gilt allgemein als Empfehlung, Benutzergruppen so hoch oben wie möglich in den vier Verwaltungsebenen zu berechtigen. Berechtigungen direkt auf den Ressourcen sollte man so lange wie möglich vermeiden. Natürlich sollte jeder Benutzer auch nur über die effektiven Berechtigungen verfügen, welche er für die Ausführung seiner Aufgaben zwingend benötigt.
RBAC basiert auf einem rein additiven Modell – einschränkende Berechtigungen haben keine effektiven Auswirkungen. Ist ein Benutzer zum Beispiel CONTRIBUTOR auf der Ebene einer Subscription und READER auf der Ebene Ressourcengruppe (unterhalb der Subscription), so lautet das effektive Recht für diesen Benutzer auf Ebene der Ressourcengruppe ebenfalls CONTRIBUTOR.
Neben den drei grundlegenden Rollendefinitionen werden über das Azure Portal aktuell ca. 60 weitere vordefinierte Rollen angeboten, welche wiederrum angepasst werden können. Abhängig von der Größe eines Unternehmens und dem Zugriffs- und Berechtigungswunsch muss das RBAC-Konzept individuell erarbeitet und erstellt werden. Hier kann es keine global gültige Vorgabe oder Empfehlung geben.
Die RBAC Konfiguration kann direkt auf der Verwaltungsgruppe, dem Abonnement, der Ressourcengruppe oder der Ressource im Bereich Zugriffssteuerung (IAM) durchgeführt werden.
Abbildung 1.4-3: Zugriffssteuerung (IAM)
Abbildung 1.4-4: Beispiel – Rollendefinitionen (Contributor)
Mit Stand Q4-2020 werden die Azure Services weltweit in 140 Ländern in 55 Regionen angeboten. Eine Region bestimmt einen logischen Bereich, welchem mehrere physische Rechenzentren zugeordnet sind. Diese Rechenzentren sind untereinander über ein dediziertes, regionales Netzwerk mit geringster Latenz miteinander verbunden.
Abbildung 1.5-1: Azure Regionen / Stand Q4-2020 – Quelle: Microsoft TechNet
Regionen in Europa / Stand Q4-2020:
| Region | Standort |
| Europa Norden | Irland |
| Europa Westen | Niederlande |
| Frankreich Mitte | Paris |
| Frankreich Süden | Marseille |
| Vereinigtes Königreich Süden | London |
| Vereinigtes Königreich Westen | Cardiff |
| Deutschland Mitte | Frankfurt |
| Deutschland Nordosten | Magdeburg |
| Deutschland Westen-Mitte | Frankfurt |
| Deutschland Norden | Berlin |
| Schweiz Norden | Zürich |
| Schweiz Westen | Genf |
| Norwegen Westen | Stavanger |
| Norwegen Osten | Oslo |
Die SLA für virtuelle Maschinen liegt standardmäßig bei 99,9%. Durch Einsatz von zwei optionalen HA (High Availability) Optionen kann dieser Wert nun weiter optimiert werden.
Jede virtuelle Maschine läuft letztendlich auf einem physischen Server – so weit so gut. Betrachtet man jetzt den Aufbau der physischen Server in der Azure Cloud so wird die Funktionsweise von Availability Sets sehr schnell klar. Ein Rack in der Azure Cloud besteht immer aus mehreren identischen physischen Servern (den Hosts), welche sich denselben Rack-Switch und dieselbe Stromversorgungseinheit teilen.
Wird ein Availability Set angelegt, so werden standardmäßig 5 sogenannte Update Domains (UD) und 3 sogenannte Fault Domains (FD) definiert. Müssen Updates und Maintenance Tasks durchgeführt werden, so stellt die Update-Domain Konfiguration sicher, dass nicht alle virtuellen Maschinen gleichzeitig gestartet werden. D.h. dass wenn man z.B. 3 virtuelle Server hat, welche sich in unterschiedlichen Update Domains befinden, kann es im Zuge eines Updates immer nur zum Ausfall (durch Reboots etc.) von einem virtuellen Server kommen.
Die Fault-Domain beschreibt im eigentlichen Sinn das physische Rack. Virtuelle Maschinen in derselben Fault Domain teilen sich einen Netzwerk-Switch und eine gemeinsame Stromversorgung. Sind beispielsweise 3 virtuelle Server in 3 unterschiedlichen Fault-Domains, so kann ein Hardware-Ausfall eines gesamten Racks nur eine Maschine betreffen. Wären alle drei virtuellen Server in derselben Fault-Domain würde ein Hardwarefehler im Rack alle Maschinen gleichzeitig betreffen.
Abbildung 1.5-2: Beispiel: Availability Set - 5 IIS Server in der Konfiguration 5 UDs / 3 FDs
| Servername | Mitglied Update Domain | Mitglied Fault Domain |
| IIS-01 | UD01 | FD01 |
| IIS-02 | UD02 | FD01 |
| IIS-03 | UD03 | FD02 |
| IIS-04 | UD04 | FD02 |
| IIS-05 | UD05 | FD03 |
Auf die Verteilung der Update-Domains innerhalb einer Fault-Domain bzw. aus wie vielen physischen Servern (pHosts) die Update-Domain besteht, hat man als Kunde keinen Einfluss.
Availability Sets sichern damit den Ausfall einzelner physischer Hosts innerhalb eines Data-Centers perfekt ab. Sollte allerdings der Fall eintreten, dass ein gesamtes Azure Data-Center ausfällt, und man auch dann die Verfügbarkeit von Maschinen sicherstellten muss, so kann man zusätzlich sogenannte Availability Zones konfigurieren.
Wie bereits bekannt ist, besteht eine Azure Region immer aus mehreren Data-Centers. Eine Availability Zone schützt jetzt gegen den kompletten Ausfall eines Azure Data-Centers, indem die virtuellen Maschinen auf verschiedene geografisch getrennte und unabhängig voneinander versorgte Data-Centers aufgeteilt wird.
Abbildung 1.5-3: Availability Zone – Quelle: Microsoft TechNet
Eine ordnungsgemäß konfigurierte und gut segmentierte Netzwerkumgebung ist die Basis jedes IT-Infrastrukturprojektes. Um den Netzwerkverkehr innerhalb des Tenants entsprechend steuern zu können, bietet die Microsoft Azure Cloud die folgenden wichtigsten Komponenten bzw. Services an.
Bevor das erste IaaS Service provisioniert werden kann, muss dem Tenant mindestens ein VNET zugewiesen werden. Das Azure VNET ist die Grundlage für den Aufbau eines privaten Netzwerks in der Azure Cloud. Alle Azure Ressourcen innerhalb eines VNETs können automatisch miteinander kommunizieren, die Verbindung zu einem on-premises Data-Center wird über einen speziellen Netzwerkbereich innerhalb des VNETs mittels VPN Technologien hergestellt.
Beim Anlegen eines VNETs müssen, neben einem eindeutigen Namen für das VNET - folgende Parameter konfiguriert werden:
Abonnement (Subscription) & Ressourcen Gruppe
Ein VNET muss einer Subscription und einer Ressourcen Gruppe zugewiesen werden, und kann auch nur immer mit einer Subscription bzw. Ressourcen Gruppe verknüpft sein. RBAC Regeln auf einem VNET werden standardmäßig auf alle Ressourcen innerhalb des VNETs vererbt.
Adressbereich
Einem VNET muss ein privater Adressbereich zugewiesen werden. Abhängig von der geplanten Größe der Umgebung kann ein privater Class-A, Class-B oder Class-C Bereich verwendet werden. Der Adressbereich darf sich dabei nicht mit in weiterer Folge angebunden privaten Netzwerken der on-premises Umgebung überlappen.
| Private IP-Range Class-A | 10.0.0.0 – 10.255.255.255 (10.0.0.0 / 8) |
| Private IP-Range Class-B | 172.16.0.0 – 172.31.255.255 (172.16.0.0 / 12) |
| Private IP-Range Class-C | 192.168.0.0 – 192.168.255.255 (192.168.0.0 / 16) |
Subnetze
Wie bei einem klassischen Netzwerk, erfolgt die Segmentierung des VNETs mit Hilfe von Subnetzen. Hier empfiehlt es sich – wie in jedem Netzwerkdesign – eine Segmentierung auf Basis von Ressourcen mit unterschiedlichen Sicherheitsanforderungen über Subnetze vorzunehmen. Das Subnetz ist auch die primäre Sicherheitsbarriere, da mit Hilfe von sogenannten NSGs (Network Security Groups) in weiterer Folge der gesamte Netzwerkzugriff auf Ressourcen innerhalb des Subnetzes gesteuert wird.
Region
Ein VNET ist immer auf eine Azure Region beschränkt. Über das sogenannte VNET-Peering können virtuelle Azure Netzwerke regionsübergreifend miteinander verbunden werden. Der gesamte Datenverkehr erfolgt dabei ausschließlich über das interne, private Microsoft global network (MGN) über welches alle Azure Regionen miteinander verbunden sind.
Abbildung 2.1-1: Beispiel eines Azure Netzwerkkonzeptes
Multiple Netzwerkkarten
Nahezu alle IaaS-VMs und über den Marketplace angebotene virtuelle Appliances unterstützen mehrere Netzwerkkarten um ein einfaches Traffic-Management (beispielsweise isolierte Segmentierung mittels VM Firewall) abbilden zu können.
Abbildung 2.1-2: Azure Ressource mit multipler NIC Konfiguration
In jedem hybriden Umfeld kommt es normalerweise zur Nutzung von PaaS Diensten, welche per Design ausschließlich über die öffentliche Cloud angeboten werden (Shared managed Services). Um die Sicherheit beim Zugriff bzw. bei der Nutzung der PaaS Dienste aus dem eigenen VNET (Private Cloud) heraus können sogenannte Service Endpoints (Dienstendpunkte) definiert werden.
Die Service Endpoint Konfiguration bietet mehrere Vorteile:
Aktuell (Q1-2021) sind über die Service Endpoint Konfiguration nicht alle PaaS Dienste konfigurierbar, das Angebot wird allerdings ständig erweitert. Wichtige PaaS Dienste wie beispielsweise Azure Storage, Azure SQL oder auch Azure KeyVault sind bereits über diese Funktion verfügbar.
Abbildung 2.1-3: Service Endpoint Konfiguration
Ein VPN Gateway wird immer in einem eigenen Subnetz (GatewaySubnet) des