Suchen

Die Microsoft-Cloudifizierung der Unternehmens-IT – was geht und was nicht? Azure im eigenen Rechenzentrum

Autor / Redakteur: Anna Kobylinska und Filipe Martins* / Ulrike Ostler

In dem stürmischen Wettlauf der Digitalen Transformation entzieht sich die hybride Landschaft der Unternehmens-IT immer mehr den Möglichkeiten, zu verwalten. Kann die Kontrollebene eines Hyperscalers Abhilfe schaffen, der bereits ohnehin schon mit einem Fuß in der Türe steckt? Braucht man jetzt dafür spezielle Hardware?

Firmen zum Thema

Ein Produkt mit Strahlkraft: „Azure Lighthouse“ soll es den Microsoft-Azure-Partnern ermöglichen, die Benutzererfahrung der Azure-Cloud mit partnereigenen Diensten zu individualisieren.
Ein Produkt mit Strahlkraft: „Azure Lighthouse“ soll es den Microsoft-Azure-Partnern ermöglichen, die Benutzererfahrung der Azure-Cloud mit partnereigenen Diensten zu individualisieren.
(Bild: Evgeni Tcherkasski auf Unsplash)

Cloud-Hyperscaler wollen eigentlich alle Hals über Kopf in das unternehmenseigene Rechenzentrum vordringen. Doch Microsoft hat hier bereits einen Heimvorteil. Von Office-365-Anwendungen über BI-Workloads bis hin zum Betriebssystem: Der Cloud-Riese kann in praktisch in jeder Organisation eigene Präsenz vorweisen.

Der bevorzugter Weg des Software-Giganten in die unternehmenseigene Cloud führt über Azure-Dienste auf zertifizierter Hardware.

Geteilte Freude ist doppelte Freude: „Azure Stack Hub“ nutzt dasselbe Betriebsmodell wie Microsoft Azure.
Geteilte Freude ist doppelte Freude: „Azure Stack Hub“ nutzt dasselbe Betriebsmodell wie Microsoft Azure.
(Bild: Microsoft)

Gestapelt

Mit „Azure Stack Hub“, zuvor als „Azure Stack“ bekannt, hat der Anbieter ein Ökosystem von Lösungen zur „Cloudifizierung“ unternehmenseigener IT-Ressourcen geschaffen, das sich im Grunde genommen aus drei Hauptkomponenten zusammensetzt:

  • Azure Stack Hub: Diese Azure-Erweiterung holt Cloud-Dienste von Microsoft Azure ins unternehmenseigene Rechenzentrum. Mit Azure Stack Hub können Unternehmen auf der betriebseigenen IT-Infrastruktur eine eigene autonome Azure-Cloud aufsetzen, um in dieser lokalen Umgebung Cloud-native Azure-Apps unter Wahrung der eigenen Datenhoheit auszuführen.
  • Azure Stack Edge: Diese Cloud-seitig verwaltete Edge-Appliance soll die Bereitstellung von ML- und IoT-Workloads erleichtern.
  • Azure Stack HCI: Diese hyperkonvergente Infrastruktur unterstützt die Bereitstellung skalierbarer Virtualisierungs-Workloads und skalierbaren Speichers für lokale Hochleistungs-Workloads.

Die strategischen Partner

Um diese Art der „Cloudifizierung“ zu verwirklichen, hat sich Microsoft für die Zusammenarbeit mit strategischen Infrastrukturpartnern entschieden. Neben Dell und HPE haben auch Avanade, Cisco, Fujitsu, Lenovo und die Wortmann AG eigene Systeme für den Azure Stack von Microsoft zertifizieren lassen. Diese Unternehmen bauen Workload-gerechte Server-, Netzwerk- und Speicher-Stacks, mit denen unter anderem eine eingeschränkte Version der Kontroll-Software von Azure auf einer im Rechenzentrum vor Ort bereitgestellten verwalteten Appliance mit dem Segen von Microsoft laufen soll.

So bietet HPE seine „Proliant“-Server in einer für Microsoft Azure Stack optimierten Edition an. Azure Stack HCI läuft auf „HPE Apollo 4200 Gen 10“ in All-Flash-, Hybrid-SAS-, SSD- und NVMe-Konfigurationen und meistert dank seiner hohen Storage-Dichte massive Big-Data-Workloads auf einer vergleichsweise kleinen Datacenter-Stellfläche.

Dell EMC hat für Azure eine eigene Cloud-optimierte hyperkonvergente Infrastruktur entwickelt und liefert sie mit „RDMA“-Networking, persistentem „Intel Optane“-Speicher und mit Anbindung an das „Microsoft Windows Admin Center“ und „Systems Center Virtual Machine Manager“. Performante Storage auf der Basis von SSDs und NVMe, fortgeschrittene Backup-Features und Verschlüsselungsdienste runden das Angebot ab.

Mit dem „Dell EMC Tactical System für Microsoft Azure Stack Hub“ können Unternehmen wiederum ihre Edge-Standorte bestücken.

Die kalte Dusche

Die Datacenter-lokale Hub-Appliance von Azure unterliegt auch noch heute Einschränkungen. Zum Beispiel ist das Software Development Kit (SDK) immer noch eine Evaluierungsversion. Im Gegensatz zur öffentlichen Azure-Cloud erfordert die Hub-Unterstützung für Kubernetes den Einsatz einer spezialisierten Azure-Kubernetes-Engine, deren Konfiguration laut Berichten der betroffenen Benutzer ganze Tage dauern soll.

Das Erstellen und Verwalten von VMs in Hub geht mit einer eigenen Liste von Herausforderungen einher. Dazu zählt die Tatsache, dass VMs der ersten Generation ausschließlich auf der Appliance laufen können. Microsoft hat bisher keinerlei Möglichkeiten vorgesehen, diese Compute-Instanzen in jene der zweiten Generation zu konvertieren, damit sie sich in der Azure-Cloud ausführen lassen.

Selbst die Storage-Umgebung vom Hub kommt mit einer Fülle von Stolpersteinen daher. Dateispeicher existiert entweder gar nicht oder lässt sich übrigens erst mit einer Zusatz-Software eines der zertifizierten Azure-Partners nachrüsten. Im Gegensatz zu Azure weiß Hub-Storage weder mit Snapshot-Kopien noch mit Storage-Tiers etwas anzufangen. Sogar „Azure Active Directory für Storage“ befindet sich noch in der Entwicklung. Und die Liste geht weiter.

Microsoft und die sieben Hubs

Als Nebeneffekt hat sich die Begeisterung für Hubs seitens großer Unternehmensbenutzer von Azure vorerst abgekühlt.

Ist Microsoft nun zu dem Schluss gekommen, dass eine HCI-Appliance mit demselben Azure-Stack-Branding einfacher zu unterstützen sei und daher sowohl von Kunden als auch von Partnern als Vorfeld für öffentliche Azure-Cloud-Dienste besser genutzt werden könnte?

Eine Partnerschaft für den Entwurf von Infrastrukturbauteilen zur Instanziierung von Hubs im unternehmenseigenen Rechenzentrum hatte im Wesentlichen die Entstehung von sieben verschiedenen Editionen der Plattform zur Folge. Zwar stellen alle Partner im Grunde genommen dieselben Azure-Cloud-Dienste auf Hub bereit, aber jeder tut dies auf seine eigene Art: Das ist nicht der Weisheit letzter Schluss. Denn auf diese Weise wird Microsoft gezwungen, einen Validierungsprozess kontinuierlich auf sieben verschiedenen herstellerspezifischen Plattformen zu verwalten.

Parallel zum Azure Stack Hub hat Microsoft auch noch in verwirrender Weise eine HCI-Appliance (Hyper-Converged Infrastructure) mit demselben Azure-Stack-Branding im Köcher. Verwirrenderweise, denn diese Systeme bringen Azure-Dienste nicht ins Datencenter. Ganz im Gegenteil, sie erweitert die lokale Compute-Umgebung eines Kunden auf die Azure-Cloud als eine Art Schnellauffahrt in die Azure-Cloud.

Mal richtig azurblau machen

Die Azure-Architektur ist einzigartig unter den Public-Clouds. Seit ihrem Debüt vor rund einem Jahrzehnt hat Microsoft kontinuierlich daran gefeilt. Nun ist die Kontrollebene von Azure reif für den Vormarsch in das unternehmenseigene Rechenzentrum, ungeachtet unvorhersehbarer Bausteine.

Ergänzendes zum Thema
Die Zusammenfassung

Microsoft möchte Unternehmen standort- und infrastrukturagnostisch zur vorbildlichen Verwaltung ihrer IT-Ressourcen verhelfen, ob im Kernrechenzentrum, an der Edge oder wo auch immer.

Der Microsoft-Ansatz erweitert die Azure-Verwaltung auf jede beliebige Art von Infrastruktur. Azure Stack Hub bieten den Unternehmen eine Auffahrt zur Microsoft-Cloud. Mit Lighthouse können Datacenter-Betreiber, Systemintegratoren und andere IT-Dienstleister völlig neue Horizonte erschließen und neue Geschäftsmodelle auf die Probefahrt nehmen.

Die Kontrollebene der Azure-Cloud stützt sich auf den so genannten Azure Fabric Controller. Diese Software verwaltet die Bereitstellung und die Rückgabe von Ressourcen, von virtuellen Maschinen über Datenbankinstanzen, Hadoop- bis hin zu Kubernetes-Clustern während der gesamten Lebensdauer der jeweiligen Bereitstellung. Jedes Mal, wenn eine Ressource wie eine VM bereitgestellt, skaliert, gestoppt oder beendet wird, durchläuft der Vorgang den Fabric Controller.

Jede Ressource in Azure meldet hierzu ständig ihren aktuellen Status an den Fabric Controller. Zwischen dem Fabric Controller und den betreffenden Ressourcen befindet sich eine weitere Abstraktionsebene namens „Azure Resource Manager“ (ARM). Sie automatisiert den Ressourcenlebenszyklus.

Für jeden der in Azure ausgeführten Dienste hat Microsoft einen Ressourcenanbieter entwickelt. Azure-Nutzer können die Konfiguration der benötigten Ressourcen über eine ARM-Vorlage, eine einfache Textdatei, deklarieren.

Einen azurblauen Bogen (auf)ziehen

Das Herzstück der Microsoft’schen Strategie für den Vormarsch mit Azure in das unternehmenseigene Datencenter bildet ein Managementdienst namens „Azure Arc“. Mit Azure Arc hat Microsoft die Unterstützung für den Azure Resource Manager (ARM) auf Ressourcen erweitert, die sich außerhalb von Azure-Datencenter befinden, darunter auf Linux- und Windows-Server sowie ganze Kubernetes-Cluster im Rahmen von Multi-Cloud- und Edge-Umgebungen.

Ein unverzichtbarer Vermittler oder ein trojanisches Pferd? So stellt sich Microsoft die Aufgabenstellung für „Azure Arc“ in der Unternehmens-IT vor.
Ein unverzichtbarer Vermittler oder ein trojanisches Pferd? So stellt sich Microsoft die Aufgabenstellung für „Azure Arc“ in der Unternehmens-IT vor.
(Bild: Microsoft)

Ein physischer Windows- oder Linux-Server, der in einem unternehmenseigenen Rechenzentrum oder an der Edge ausgeführt wird, sieht in den Augen des Fabric Controllers wie eine native Azure-Ressource aus. Ob der Server im Unternehmen hinter einer Firewall und einem Proxy steht, spielt dabei keine Rolle; solange er den Azure-Agenten ausführt, lässt er sich über die Azure-Kontrollebene steuern.

Ein Kubernetes-Cluster, den Azure Arc verwaltet, sieht dann aus, als ob er zum Kubernetes-Dienst „AKS“ gehörte. Selbst jene VMs, die auf „VMware vSphere“, „Amazon EC2“ oder „Google Compute Engine“ laufen, lassen sich dank Arc beim Azure Resource Manager registrieren und wie native Azure-Dienste verwalten.

Azure Arc fungiert damit als eine Erweiterung der Azure-Steuerebene für das unternehmenseigene Rechenzentrum und die Edge. Doch mit mit „Azure Lighthouse“ geht Microsoft noch einen Schritt weiter.

In Azurblau aufleuchten

Mit Azure Lighthouse will Microsoft seinen Azure-Partnern ermöglichen, die Benutzererfahrung der Azure-Cloud mit partnereigenen Diensten zu individualisieren. Wolfgang Grausam, Vizepräsident für Managed Cloud Services für Microsoft Cloud bei der T-Systems, bringt es wie folgt auf den Punkt: „Azure Lighthouse ist eine Innovation, die unsere Abläufe vereinfacht und Hunderten von Unternehmenskunden hilft, ihr Geschäft zu transformieren.“

T-Systems bietet Azure-Dienste als eine Public, Private oder Hybrid-Cloud an. Dieser Weg steht auch generell anderen Rechenzentrumsbetreibern offen.

Mit Azure Lighthouse können Co-Location-Rechenzentren, Systemintegratoren und andere Dienstleister die kundenübergreifende Verwaltung von Infrastrukturbausteinen groß angelegter Deployments in den Griff bekommen. Lighthouse kann hierbei beliebige Infrastrukturen, von einem Rechenzentrum bis hin zur Edge, standortagnostisch an einer zentralen Stelle verwalten und automatisieren. Doch das wahre Highlight besteht in der Fähigkeit zur Differenzierung der eigenen Dienste, basierend auf Merkmalen der Betriebseffizienz oder Automatisierung.

Steve Tack, SVP Produktmanager bei Dynatrace, einem in Österreich gegründeten Anbieter von Cloud-Monitoring-Systemen und mit Hauptsitz im US-Bundesstaat Massachusetts, verdeutlicht die Vorteile aus seiner Sicht: „Die Kombination aus Azure Lighthouse und den proprietären Features von Dynatrace wie Management-Zones, in die sich Lighthouse integriert, bietet eine differenzierte Zugriffskontrolle in unternehmensweite Microservice- und Containerumgebungen mit einem einzigen Berechtigungsnachweis.“ Management-Zones von Dynatrace bieten einen Mechanismus der Informationspartitionierung in einem Unternehmen, der gleichzeitig die Zusammenarbeit und den Austausch relevanter teamspezifischer Daten fördern und eine sichere Zugriffskontrolle gewährleisten soll.

Die Cloud-Management-Plattform von Dynatrace: „Azure Lighthouse“ erlaubt eine kundezentrische Sichtweise.
Die Cloud-Management-Plattform von Dynatrace: „Azure Lighthouse“ erlaubt eine kundezentrische Sichtweise.
(Bild: Dynatrace)

Mit Azure Lighthouse kann ein Dienstanbieter die Ressourcen mehrerer Kunden in seinem eigenen Azure-AD-Mandanten, also der Repräsentanz einer Organisation in Azure Active Directory, dem so genannten Azure-Active-Directory-Mandanten, verwalten. Die meisten anfallenden Aufgaben lassen sich mit der delegierten Azure-Ressourcenverwaltung über verwaltete Mandanten ausführen und die meisten Dienste auf ebendiese Art und Weise wahrnehmen.

Dieser Ansatz ermöglicht die logische Projektion von Ressourcen von einer Organisation, einem AD-Mandanten, auf eine andere. Dadurch können autorisierte Benutzer aus Azure-AD-Mandanten Verwaltungsvorgänge über verschiedene Azure-AD-Mandanten hinweg im Auftrag der zugehörigen Azure-Unternehmenskunden durchführen.

So können auch etwa Dienstanbieter in delegierten Kundenabonnements und Ressourcengruppen die erforderlichen Verwaltungsvorgänge durchführen, ohne selbst über ein Konto im AD-Mandanten des Kunden zu verfügen. Azure protokolliert alle Aktivitäten des betreffenden Dienstanbieters im Aktivitätsprotokoll seines eigenen AD-Mandanten; dieses Logbuch können Benutzer im verwaltenden Mandanten einsehen und so die durchgeführten Vorgänge identifizieren.

Die verschiedenen Funktionen von Azure Lighthouse lassen sich konsistent über Marktangebote, Azure-Dienste, APIs und sogar Lizenzmodelle hinweg anwenden. Das Konzept lässt sich am ehesten als „umgekehrt gemanagete Co-Location im As-a-Service-Bereitstellungsmodell mit Mehrwertdiensten“ auf den Punkt bringen.

Die Nutzung von Azure Lighthouse ist im Übrigen kostenfrei. Lediglich die darunterliegenden Dienste, also etwa „Azure Monitor Log Analytics“ oder „Security Center“, schlagen mit den üblichen Nutzungsgebühren zu Buche.

Privilegierte Konnektivität

Zur Anbindung von Kundenstandorten an Azure haben die Ingenieure aus Redmond auch eine Lösung parat: „Microsoft Azure Express Route“. Hierbei ist von einer privaten Verbindung zu Microsoft Azure, Office 365 und Dynamics 365 über dedizierte Infrastruktur eines Netzwerkanbieters wie EdgeConnex, Inc., die Rede.

Die Kommunikation über Azure Express Route zieht um das öffentliche Internet einen großen Bogen, was sowohl der Performance als auch der Datensicherheit zugutekommt.

*Die Autoren: Das Autorenduo Anna Kobylinska und Filipe Pereira Martins arbeitet für McKinley Denali Inc. (USA).

(ID:46933436)