Azure Governance als wachsende Raumstation

Der erste Schritt beschreibt die absoluten Grundlagen. Die Hülle der Raumstation muss in Takt sein. Sie benötigt einen gesicherten Ein-/Ausstieg und die einzelnen Abschnitte bzw. Kammern innerhalb der Station sind von einander getrennt, aber eben auch durch die Astronauten erreichbar.

Bei der Governance in Azure wird ein ähnlicher Ansatz gefahren. Die ersten Themen die ausgearbeitet werden, sind Netzwerk (Abschnitte in der Raumstation) und Security (der gesicherte Einstieg). Das Netzwerk ist später nur noch sehr schwer anzupassen und daher sollten die ersten Entscheidungen mit Weitblick getroffen werden. Alles was in Azure public erreichbar ist, wird innerhalb von wenigen Minuten angegriffen und ausspioniert. Daher muss direkt zu Beginn mit technischen Sicherheitsmaßnahmen wie Firewalls und Netzseparierung begonnen werden.

Diese Phase ist alles Grundlegendes aufgebaut und die Arbeit hat begonnen. Die Raumstation wächst und lässt sich innerhalb der abgesteckten Grenzen erweitern. Das wird durch die transparenten Linien verdeutlicht.

Für Azure bedeutet dies, dass die Cloud Foundation einsatzbereit ist. Kommunikationswege werden überwacht und es lassen sich neue Landing Zones mit den abgestimmten Netzbereichen anlegen. Die Landing Zones sind in der Regel für bekannte Workloads gedacht.

Zum einen haben die Aufgaben auf der Raumstation zugenommen, daher ist die Besatzung angewachsen und die Aufgaben sind aufgeteilt. Zum anderen kommen nun neue Modularten auf die Raumstation zu, d.h. es müssen Adaptionen für neue Schnittstellen vorgenommen werden.

Zu Beginn beschäftigen sich oft nur wenige Mitarbeiter mit dem Betrieb der Azure Umgebung. Aber mit steigender Anzahl an Workloads muss auch das Betriebsteam steigen. Beispielsweise muss das Netzwerkteam nicht nur die Firewalls in Azure handeln, sondern auch Network Security Groups oder es muss eine neue Aufteilung der Aufgaben gefunden werden. Es kann auch nötig sein, dass auch neue Landing Zone Archetypen definiert werden, beispielsweise für SAP oder Data.

Da die Aufgaben und die angedockten Module mehr und mehr zunehmen, muss nun auch mehr automatisiert werden. Die Astronauten haben ihre konkreten Aufgaben kennengelernt und könne Teile davon an Maschinen/Roboter auslagern. Die Roboter können nun zum Beispiel neue Module anbinden.

Auch wenn bereits von Beginn an der Automatisierungsgedanke mitschwingen sollte, ist es spätestens bei steigenden Workloads und Landing Zones nötig. Denn das Cloud Team hat die Erfahrung gesammelt, was sie an Regelwerk brauchen und automatisieren können. Der Aufbau von Infrastruktur sollten mit Infrastructure-as-Code erfolgen, Backups sollten mit PaaS-Diensten durchgeführt werden und Policies sollten Einzug gehalten haben.

Die Raumstation ist weiterhin im Betrieb und hat hier und da kleinere Erweiterungen erfahren. Das Team der Astronauten ist stabil und eingespielt und alle Rollen sind besetzt. Es wird in regelmäßigen Abständen Rückschau gehalten, was verbessert werden kann und ob es vielleicht doch noch eine neue Modulart gibt, die bisher nicht unterstützt ist.

Für die Cloud Umgebung bedeutet diese Phase die vollständige Integration in die Firmenprozesse. Jedem ist Azure bekannt und es können alle abgestimmten Arten von Workloads betrieben werden. Es werden weiterhin neue Azure Services in Betriebsmodell aufgenommen werden müssen und es werden sicherlich auch neue Workloads kommen, jedoch ist die Integration keine echte Herausforderung mehr. Regelmäßige Governance Reviews geben Aufschluss auf den Status und die zukünftige Ausrichtung.