Azure Migration von Applikationslandschaften in managed subscriptions

• Stetup: SCRUM
• Team: 6 Personen
• Rollen: Scrum Master, PO, 3 DevOps Engineers, 1 Platform Engineer

In diesem Azure-Cloud-Projekt einer Bank stand die Vereinheitlichung der IT-Infrastruktur im Fokus. In der Bankenbranche sind die Einhaltung von Policies und Richtlinien von entscheidender Bedeutung, um Sicherheit und Compliance zu gewährleisten. Ursprünglich war das Problem, dass die Anwendungen in Subscriptions ohne zentrale Struktur platziert waren und über zu hohe Berechtigungen verfügten, was die Compliance gefährdete. Um diese Herausforderungen zu bewältigen, wurden verschiedene Lösungsansätze implementiert. Dazu gehörte die Bereitstellung von Landingzones für grundlegende Infrastruktur-Services der zu migrierenden Anwendungen. Zusätzlich wurden Konzepte für ein standardisiertes Provisionieren, Rechte Management und Policy Management eingeführt, um eine durchgehend konsistente, sichere und den regulatorischen Anforderungen entsprechende IT-Umgebung zu gewährleisten. 

• Das Ziel des Projekts ist die Standardisierung der App-Infrastrukturen, die Schaffung einheitlicher Policies, die Erfüllung von Sicherheitsanforderungen im Bankenumfeld.
• Hierfür werden Managed Cloud Umgebungen erstellt. Die Managed Cloud-Umgebung wird aktiv vom Kunden-Plattform-Team aufgebaut und fortlaufend weiterentwickelt. Das Ziel ist es sämtliche Workloads von unmanaged Azure-Umgebungen in zentralisierte Hub-Spoke-Architekturen zu migrieren.
• Die Realisierung der Hub-Spoke-Architektur wird durch die Bereitstellung von Landingzones ermöglicht, bei denen der Hub eine zentrale Firewall beinhaltet. Diese Firewall organisiert den ausgehenden Traffic der Spokes in Richtung On-Premises und öffentliches Internet, um die Sicherheit zu gewährleisten und die Kontrolle über den Datenverkehr zu behalten.
• Ein weiteres Ziel ist die Etablierung zentraler DNS-Strukturen und Traffic-Organisation über einen zentralen Hub. Dies wird dazu beitragen, die Konsistenz und Sicherheit zu verbessern, die Einhaltung von Vorschriften zu gewährleisten und die Effizienz des Systems zu optimieren.
• Die Kernthemen dieses Projekts sind das Platform Engineering, die Einrichtung von Landing Zones und die Migration von Anwendungen in neue Cloud-Infrastrukturen.

Inkonsistentes Berechtigungskonzept:

Derzeit sind die Anwendungen in Subscriptions untergebracht, die keine zentrale Struktur aufweisen und mit zu hohen Berechtigungen (Owner) ausgestattet sind. Dieser Zustand trägt zur Unübersichtlichkeit bei und kann Risiken in Bezug auf die Datensicherheit und -kontrolle bergen.

Gewährleistung von Compliance-Richtlinien:

Aufgrund dieser Struktur kann die Einhaltung von Compliance-Richtlinien nicht gewährleistet werden. Der Mangel an Kontrolle und Überblick kann zu Verstößen gegen Vorschriften und Standards führen, was sowohl rechtliche als auch sicherheitstechnische Konsequenzen haben kann.

Erschwerte Wartbarkeit durch verschiedene App-Infrastrukturen:

Die Architektur der Anwendungsinfrastruktur ist nicht einheitlich und unterscheidet sich von Projekt zu Projekt, was die Wartbarkeit für die verantwortlichen DevOps-Teams erheblich erschwert. Durch die fehlende Konsistenz ist es schwierig, effektive Wartungsstrategien zu entwickeln und umzusetzen.

Sichereheitsanforderungen DNS:

Aktuell existieren keine zentralen Infrastruktur-Konzepte für die Auflösung von öffentlichen und privaten DNS. Dies kann zu Ineffizienzen und potenziellen Sicherheitsproblemen führen, da es keine standardisierten Verfahren zur Adressauflösung gibt.

Kein zentrales Logging:

Es fehlt eine zentrale Logging-Struktur, was bedeutet, dass mehrere Log-Analytics-Workspaces aufgebaut werden müssen. Dies ist nicht skalierbar und im Falle von Incidents sind die Log-Daten auf verschiedene Datenbanken verteilt, was die Analyse und Behebung von Problemen erschwert.

Um die Infrastruktur zu vereinheitlichen wurden folgende Lösungen umgesetzt, um die Herausforderungen der IST-Architektur zu meistern. Dazu wurden Managed Subscriptions aufgesetzt, damit verschiedene Applikations-Teams von Standardisierung und Policies profitieren. Im Folgenden sind einige der Lösungsansätze kurz beschrieben:

Landingzones: Landing Zones ist ein wesentlicher Aspekt der Lösung, um grundlegende Infrastruktur-Services für die zu migrierenden Anwendungen zu bieten. Für „normale“ Webanwendungen wird eine spezielle Landingzone (LZ) für Azure App Services bereitgestellt. Für containerisierte Anwendungen gibt es eine eigene Landingzone (LZ) für Azure Container Apps.

Anpassung des Terraform Codes:

• Im Rahmen des Projekts wurde der vorhandene Terraform-Code ersetzt und durch eine Verlinkung auf die neue mitgelieferte Infrastruktur-Services der Landingzones verlinkt (Vnets, NSGs, Route Tables, DNS Zones)
• Einige Konfigurationen der bisherigen Infrastruktur-Services der Anwendung z.B. WAF-SKUS wurden im Zuge des Projektes an zentrale Vorgaben der Plattform angepasst werden, dies wurde gesteuert über Policies

Zentrale Hub-Spoke-Architektur: Im Zentrum der neuen Architektur steht eine zentrale Hub-Spoke-Architektur mit einem zentralen Hub und einer Firewall. Dies ermöglicht eine effiziente und sichere Verwaltung des Netzwerkverkehrs und der Datenströme.

• Die Netzwerkstruktur ist festgelegt und wird durch Netzwerksicherheitsgruppen (NSGs) geregelt. Dies stellt sicher, dass der Datenverkehr gemäß den festgelegten Regeln und Richtlinien fließt.

• Es wurden einheitliche Policies für jede Umgebung eingeführt, um die Einhaltung von Standards und Sicherheitsanforderungen zu gewährleisten. Diese Policies gewährleisten eine konsequente Verwaltung und Kontrolle über alle Umgebungen hinweg.

Vollautomatisiertes provisionieren von Infrastruktur: Durch die vollautomatisierte Bereitstellung von Infrastrukturen mit Terraform wurde die Bereitstellungszeit erheblich verkürzt. Dies ermöglicht eine schnelle und effiziente Bereitstellung und Skalierung von Infrastrukturen.

Erhöhte Wartbarkeit und Robustheit: Durch den Einsatz von Infrastructure as Code (IaC) mit Terraform wurde die Wartbarkeit und Robustheit der Systeme deutlich verbessert. Die Nutzung von Terraform erlaubt es, Infrastrukturen effizienter zu verwalten und zu aktualisieren, was zu einer stabilen und widerstandsfähigen Cloud-Landschaft führt.

Standardisierung Entwicklungsprozesse: Die Standardisierung des Entwicklererlebnisses wurde durch die Schaffung einer einheitlichen Umgebung (Landingzone) mit entsprechenden Berechtigungen für jede Applikation und auf jeder Stage erreicht. Dies fördert die Konsistenz und Effizienz der Entwicklungsprozesse, verbessert die Produktivität der Entwickler und die Wartbarkeit im Betrieb.

Zentrale Entwicklung der Cloud-Infrastruktur: Durch die zentralisierte Weiterentwicklung der Anwendungsinfrastrukturen mittels einfacher Rollouts neuer Landingzone-Versionen werden keine einzelnen Updates benötigt, wenn neue Technologien eingesetzt werden. Dies vereinfacht die Aktualisierung der Infrastruktur und erhöht die Flexibilität des Systems.

Entwicklungsteams lagern Infrastruktur-Provisionierung aus: Der Fokus soll vermehrt auf die App-Entwicklung liegen und nicht auf der Bereitstellung der Infrastruktur. Dies erlaubt den Entwicklern, sich auf ihre Kernkompetenzen, der Applikations-Entwicklung zu konzentrieren, ohne sich um die zugrundeliegende Infrastruktur kümmern zu müssen.

Zentrales Logging und Monitoring: Durch die Einführung zentraler Diagnose-Einstellungen für jeden Spoke wurde die Transparenz und Kontrolle über die Systemleistung erhöht. Dies erleichtert die Fehlerbehebung und Optimierung der Systeme und trägt zu einer verbesserten Betriebsqualität bei.

• Terraform

• Bash, Java, JS

• Docker, Kubernetes, Helm

• Azure DevOps

• Nexus