Yu Li
Principal Architect, Director
Azure Arc – ein Cockpit für Hybrid und Multi Cloud
Ein zentrales Management Ihrer Hybrid- und Multi-Cloud-Umgebungen.
Autor: Yu Li
Hybrid- und Multi-Cloud-Umgebungung sind komplex und stellen viele Unternehmen vor grosse Herausforderungen: von der zentralen Überwachung, über Governance und Sicherheit, dem Betrieb der Infrastruktur bis hin zur Integration.
Mehr zu diesen Herausforderungen können dem Blog «Hybrid und Multi Cloud mit Google Anthos» von Matthias Hert entnommen werden.
Azure Arc ist die Antwort von Microsoft für Hybrid- und Multi-Cloud-Umgebungen. Doch für welche Szenarien eignet sich Azure Arc tatsächlich? Mehr dazu in diesem Beitrag.
Was ist Azure Arc und was kann ich damit machen?
Azure Arc kann Kubernetes und Daten-Workloads (SQL Server und PostgreSQL) einheitlich verwalten. Unabhängig davon, wo sich die Kubernetes-Cluster befinden (auf Azure, On-Premises, auf AWS oder Google Cloud Platform) und welche Kubernetes-Lösungen eingesetzt werden. Aus technischer Sicht installiert Azure Arc die Agenten auf dem Ziel-Kubernetes-Cluster, der dann Konfigurationsdaten empfängt und ausführt. Auf Basis dieser Kernfähigkeit können beliebig viele DevOps Teams von weiteren Azure-nativen Fähigkeiten hinsichtlich Governance, DevOps, Sicherheit und Management profitieren.
Abbildung 1: Azure Arc erweitert Hybrid und Multi Cloud mit Azure-nativen Fähigkeiten, wie Governance, DevOps, Sicherheit und Management.
-
Governance
Azure Arc bietet auf Basis von Azure Policies und Azure Blueprints Governance-Fähigkeiten für Hybrid- und Multi-Cloud-Umgebungen.
Mit Hilfe von Azure Policies kann die gesamte Governance Ihrer Azure- und Kubernetes-Installationen im Hybrid- und Multi-Cloud-Setup sichergestellt werden.
Am Beispiel Kubernetes definieren Azure Policies, dass keine privilegierten Container in Kubernetes laufen, dass die aktuelle Kubernetes-Version keine Vulnerability aufweist oder dass keine unerwünschten Ports geöffnet sind.
Diese Fähigkeit ist nun dank Azure Arc auch für Kubernetes-Cluster ausserhalb Azure verfügbar. Mit Hilfe von Azure Blueprints kann das gesamte Projekt-Setup, inkl. Azure Ressourcen, Policies und Rollen, definiert werden. Azure Arc verstärkt Azure Blueprints, sodass man eine komplette Umgebung im Hybrid- oder Multi-Cloud-Setup definieren und aufbauen kann. -
DevOps
Azure Monitor for Container sammelt und visualisiert zum Beispiel die CPU- sowie Speichernutzungsmetriken für Controllers, Nodes und Container in unterschiedlichen Kubernetes-Workloads.
Beispielsweise kann Azure Monitor überwachen, ob die CPU- oder Speichernutzung der Nodes das Limit überschreitet oder die Nodes mehrmals den ungültigen Status NotReady erreichen. Azure Monitor for Container kann die Kubernetes-Workloads auf Azure, On-Premises und anderen Public Clouds überwachen und alarmieren. Azure DevOps ist ein One-Stop-Shop für die DevOps Anforderungen (Build, Test, Release und Reporting). Azure Arc erweitert die Fähigkeiten von Azure DevOps auf den Kubernetes-Cluster ausserhalb Azure. Nachdem ein Pull-Request in Azure DevOps gemergt wurde, können die Änderungen automatisch auf dem Cluster in mehreren On-Premises-Rechenzentren und anderen Clouds verteilt werden. -
Sicherheit
Das Azure Security Center stellt sicher, dass der Kubernetes-Cluster und die darauf betriebenen Workloads den Industriestandards wie ISO-27001, Azure CIS und den unternehmensspezifischen Anforderungen entsprechen. Azure verifiziert zum Beispiel, dass der SQL Server auf dem Kubernetes-Cluster Datenverschlüsselungsfunktionen wie Transparent Data Encryption (TDE) aktiviert hat und dass der Administrator des SQL Servers mit der Azure AD-Authentifizierung ausgestattet ist.
Azure Sentinel ist eine Cloud-native SIEM (Security Information Event Management und SOAR (Security Orchestration Automated Response) Lösung. Mit Hilfe von Azure Sentinel kann man zum Beispiel die verdächtigen Zugriffe auf Kubernetes-Workloads On-Premises entdecken und mittels eines automatisierten Scripts entsprechende Gegenmassnahmen ergreifen. -
Management
Mit Hilfe von Azure Arc ist es nun möglich, ein durchgängiges Hybrid- und Multi-Cloud-Management zu betreiben. Man kann auch die Ressourcen On-Premises mit unterschiedlichen «Tags» kategorisieren.
«Tags» können beispielsweise die Verrechnung für verschiedene Abteilungen vereinfachen, wenn z.B. die Ressourcen mit dem Tag «Kostenstellen» gekennzeichnet sind. Ein weiterer grosser Vorteil ist, dass die Cloud-nativen Schnittstellen, wie Azure Portal, CLI und SDK, dank Azure Arc den Ressourcen On-Premises zur Verfügung stehen. Mit diesen Schnittstellen kann man dann Ressourcen On-Premises automatisiert administrieren, sodass der Betriebsaufwand reduziert wird.
Szenario 1: Kundenportal einer Krankenversicherung in Hybrid Cloud
Azure Arc bietet Governance-, DevOps-, Sicherheit- und Management-Fähigkeiten für Hybrid und Mult Cloud. In welchen konkreten Business-Szenarien und wie kann man Azure Arc nun einsetzen? Aus meiner Sicht ist das Kundenportal einer Krankenversicherung in einem hybriden Setup ein geeignetes Szenario.
Abbildung 2: Azure Arc ist ein einheitliches Cockpit für die agilen, customer-facing und innovativen Komponenten auf Azure und die traditionellen, Legacy und Kernkomponenten On-Premises.
Das digitale Kundenerlebnis über das Kundenportal ist für Krankenversicherungen ein entscheidender Differenzierungsfaktor. Ein ansprechendes Kundenerlebnis reduziert die Absprungrate und erhöht den NPS (Net Promoter Score). Wie im Blog «Speed in der Entwicklung dank Cloud-native» erläutert können Unternehmen mithilfe von Cloud-native Entwicklung schneller innovative Lösungen liefern. Einige Lösungen wie Chatbot für Kundensupport und Bilderkennung für effizientes Underwriting wären ohne Public Cloud nicht vorstellbar.
Doch ein ausgefeiltes Kundenportal einer Krankenversicherung erfordert auch Integrationen mit Ihren On-Premises Kernsystemen. Nur so kann eine durchgängige Customer Journey realisiert werden. Von Kunden wird gewünscht, dass sie über das Kundenportal ihre Abrechnungen und Policen verwalten, den Schaden melden und die bezogenen Leistungen anschauen können. Solche Kernfunktionalitäten müssen typischerweise aus regulatorischen Gründen oder wegen technischen Limitationen On-Premises bleiben.
Mit Hilfe von Azure Arc kann der Betrieb eines Kundenportals in einem hybriden Cloud Setup einfach bewerkstelligt werden und autonomen DevOps-Teams eine durchgängige 360-Grad-Sicht bieten, so dass der Betrieb stabil und sicher gewährleistet werden kann.
Szenario 2: Applikationslandschaft in einem Multi-Cloud-Setup
Die Gründe für eine Multi-Cloud-Strategie sind mannigfaltig: Regulation, marktspezifische Rahmenbedingen, Autonomie der Geschäftsbereiche und Skills, Unabhängigkeit von einem einzelnen Cloud-Provider, spezifische Stärken einzelner Cloud-Plattformen, Vorhaben durch eingekaufte Lösungen oder Partner usw.
Doch die steigende Komplexität in Multi-Cloud-Setups nimmt rasant zu, kann aber durch eine Lösung wie Arc beherrschbar bleiben. Azure Arc bietet die Möglichkeit, Kubernetes- und Daten-Workloads im Multi-Cloud-Setup mit mehreren Providern einheitlich zu verwalten. Damit können auch Kubernetes-Cluster auf AWS und GCP sowie On-Premises einheitlich betrieben und gemanaged werden.
Abbildung 3: Azure Arc ist ein Cockpit für Workloads sowohl auf Azure als auch auf AWS und GCP.
Fazit
Zusammenfassend kann man Azure Arc als zentrales Cockpit für Daten- und Kubernetes-Workloads in Hybrid- oder Multi-Cloud-Szenarien einsetzen. Die verfügbaren Funktionalitäten sind vielversprechend. Da Azure Arc noch ein relativ neuer Service im Preview-Status (per August 2020) ist und sich stets weiterentwickeln wird, deckt Azure Arc wohl heute nicht alle Anforderungen eines Unternehmens ab. Wir empfehlen deshalb Unternehmen, frühmöglichst die geeigneten Szenarien mit Azure Arc zu identifizieren und die technische Machbarkeit zu prüfen. Doch sehen wir Azure Arc als eine sehr relevante Lösung, um die Komplexität verteiler Workloads in Hybriden- und Multi-Cloud-Setups beherrschbar zu machen und um einen stabilen sowie effizienten Betrieb zu ermöglichen.