De architectuur van Enterprise Scale landing zones in Azure

/

September 12, 2024

Benieuwd hoe je een bestaande Azure architectuur omzet naar een landing zone? Erik Kuipers is Lead Solutions Architect  met Azure als specialisme en vertelt over de architectuur van Enterprise Scale landing zones in Azure. Lees verder!

Wat zijn landing zones, waarvoor kan je het gebruiken?

Azure landing zones zijn onderdeel van het Cloud Adoption Framework van Microsoft. Het resulteert in een omgeving waar o.a workloads op staan maar soms ook hele specifieke diensten in draaien als firewalls of IAM gerelateerde applicaties, ingericht via het Infra-as-Code principe. In een landing zone kunnen  meerdere diensten van Azure worden gebruikt. 

Een klein stukje Azure historie

Ongeveer 14 jaar  jaar geleden was er binnen de eerste generatie van Azure eigenlijk maar één cloud dienst waar je een ASP.Net website op kon hosten: Cloud services van Microsoft. Gelukkig is er veel ontwikkeld in de afgelopen twaalf jaar en zijn er veel meer diensten toegevoegd zoals onder andere  netwerken, databases, kubernetes containers  en IoT. Dit heeft geleid tot een hoge adoptie van Azure en kunnen migraties naar Azure veel sneller plaatsvinden door meer ondersteuning in de inetgraties met de on-premises datacenters.

Azure landing zones

Een Azure landing zone bestaat uit meerdere topologieën. Een topologieën is een template, of ook wel blueprint genoemd, die je meerdere keren kunt toepassen. Het maken en implementeren van een topologie duurt minimaal een half jaar. Voornamelijk omdat je het eerst goed uit wilt testen en gereed maken voor implementatie bij een klant zodat dit in de architectuur van de klant zelf. 

Hoe zijn de Azure landing zones tot stand gekomen?

In het begin werd in Azure voornamelijk een mesh netwerktopologie gebruikt waarbij je via, bijvoorbeeld de ExpressRoute, een hybride netwerk infrastructuur tussen Azure en de eigen datacenters kon realiseren. Al snel werd duidelijk dat een mesh topologie al vrij snel complex, duur en lastig te beheren viel. Laat staan dat het schaalbaar was.

Mesh netwerk Architectuur bouwblok

Figuur 1: Mesh netwerk Architectuur bouwblok

Hub & Spoke netwerk topologie

Mede door deze complexiteit en gebrek aan schaalbaarheid van een mesh topologie kwam Microsoft met een nieuwe referentiearchitectuur gebaseerd op de  Hub and Spoke topologie. Hierbij worden alle centrale diensten samen in een Hub susbcription deployed en worden de worloads gekoppeld aan de Hub via de workload Spokes. Hiermee realiseer je een reductie in complexiteit en kosten. Immers dure firewall licenties hoeven dan niet meer meervoudig toegepast te worden en alle netwerkverkeer wordt over de centrale firewall(s) gerouteerd. 

bouwblok voor de de Hub and Spoke topologie

Figuur 2: Bouwblok voor de de Hub and Spoke topologie

Zo ontstond bij Sogeti een nieuw bouwblok voor de de Hub and Spoke topologie, deze groeide uit tot een betere standaard voor veel services. Hub en Spoke is bedoeld om je netwerk infrastructuur maar eenmalig te managen in de Hub en je workloads gebruik te laten maken van deze centrale infrastructuur in de Hub. In de Spokes zijn alle soorten toepassingen te vinden van web applicaties tot data analyse services of IoT toepassingen. 

Enterprise scale landing zones

Cloud is continu aan het evalueren en het is belangrijk om bij te blijven. De tijd tussen nieuwe versies/updates van Azure services wordt steeds korter. Uiteindelijk introduceerde Microsoft de Enterprise Scale landing zones (figuur 3) later hernoemd naar Azure landing zones. Deze architectuur maakt zoals gezegd, deel uit van het Cloud Adoption Framework van Microsoft. De voornaamste wijzigingen op het Hub & Spoke model waren de opsplitsingen van 3 functies in de Hub in aparte subscriptions: Connectiviteit, Identity en Access Management en Management fucnties als monitoring en logging. 

De Spokes bevatten net als in de vorige Hub & Spoke referentie architectuur. De workloads oftewel de applicaties t.b.v. platformen en/of eindgebruikers.  Dit maakt de Hub & Spoke architectuur veel schaalbaarder voor Enterprises omdat je specifieke functionaliteit makkelijker kunt delegeren naar gespecialiseerde teams, door deze in zogenaamde Management Groups te organiseren en je minder snel tegen subscription limieten aanloopt. Azure Blueprints landing zones kunnen  als kant en klare bouwblokken via Azure Blueprints  worden neergezet in Azure. Hierbij worden de ARM templates, RBAC rollen Policies gedefinieerd in de Blueprint en als zodanig deployed naar Azure.  (bron Microsoft Learn(externe link))

De landing zones architectuur in detail  

De onderdelen van de landing zones architectuur in het Cloud Adoption Framework zijn:

  • Enterprise Enrollment 
  • Management groups en subscriptions
  • Connectivity Subscription
  • Identity & Access Management 
  • Management subscription: change management, inventory management, Log workspace, monitoring, CMDB
  • Landing zone subscription (workload) 
  • Sandbox subscription 

Nieuwsgierigheid gewekt?

Ben je benieuwd naar de onderdelen van deze architectuur? In het volgende blog over Enterprise Scale landing zones wordt er ingegaan op de onderdelen en voorbeelden gegeven hoe dit bij Sogeti wordt ingericht. Wil je meer weten over wat er bij Sogeti gebeurt op het gebied van Cloud? Neem een kijkje op de Cloud vakgebiedpagina of bekijk jouw mogelijkheden bij de vacatures.

Naar Cloudvacatures
 

Verder lezen?

Ontdek meer artikelen van Sogeti collega’s!

Naar kennishub