IT-infrastrukturen for mange virksomheter er aldrende og nærmer seg en kapasitetsgrense. Samtidig vokser organisasjonene jevnt og sikkert. I stedet for å utvide kapasiteten lokalt bør vi se nærmere på muligheten til å utvide infrastrukturen til Azure. Du kan forbedre den med passende skyteknologier og oppnå en best mulig balanse mellom arbeidsbelastninger som kjører i eget datasenter og i skyen. Men hva er egentlig en hybrid sky? Hvordan ser arkitekturen ut? Hvilke elementer inngår her? Hvordan skal dette hybride miljøet administreres? Hvor lagrer vi data, og hvilke utfordringer står vi overfor?
Hva er en hybrid sky?
Hybridsky er en stabil tilstand der noen tjenester og applikasjoner kjører lokalt og andre i Azure. Ressurser på stedet kommuniserer sikkert og sømløst med ressurser i Azure-skyen. Det benyttetes en ensartet identitetsinfrastruktur for autentisering og autorisasjon. Et konsistent sett med verktøy brukes til å administrere lokale og skybaserte arbeidsbelastninger og infrastrukturer. Et konsistent sett med teknologier anvendes for å sikre ressurser lokalt og i skyen. Synkroniserte brukerkontoer binder miljøene sammen.
Eksempel på skyløsning
En bedrift har flere virtuelle maskiner med applikasjoner som er avhengig av lokalt Active Directory (AD) og tilpassede skjemautvidelser på en rekke avdelingskontorer. Disse arbeidsbelastningene kjører sammen med virtualisert vertsmaskinvare som nærmer seg slutten på livet. Arbeidstakere i disse avdelingskontorene i flere land krever fortsatt sikker tilgang. Å migrere nyttelasten til hovedkontoret gir ikke mening. Med en hybrid løsning kobler du opp kontorene til Azure ved hjelp av VPN eller ExpressRoute. Du setter opp nye domenekontrollere i eksisterende domene, men som nytt nettsted (site) i Azure. Så migrerer du applikasjonene til virtuelle Windows Servere-maskiner i samme subnett.
Hybride arkitekturer
Det er en rekke arkitekturer og måter å få lokal infrastruktur til å samhandle med skyen på. Her antydes bare enkelte sentrale momenter. Vesentlig er at du på en forsiktig og gradvis måte utvider nettverket ditt til også å omfatte Azure. Du kan alltids reversere løsninger og prøve deg frem.
- Med Azure AD Connect – som snart kommer i en skyversjon – setter du opp synkronisering av lokale brukere, grupper og enheter mellom Windows AD og Azure AD.
- For de fleste scenarioer kobler du bedriftsnettverket til Azure med VPN eller ExpressRoute. Etter hvert som nettverket utvides, bør du legge deg på en nettverkstopologi basert på nav og eiker med Azure Firewall.
- Med Azure AD Domain Services slipper du å forholde deg til og drifte domenekontrollere i skyen. Du kan opprette et énveis klareringsforhold (trust) fra et AD-domene til lokalt AD.
- Med Azure Arc ser dine lokale servere ut som virtuelle maskiner i Azure og forenkler administrasjonen av dem.
- Bruk Azure-fildeling og hybride filtjenester for lagring, tilgjengelighet, sikkerhetskopiering og katastrofegjenoppretting.
- Administrer hybride Azure-arbeidsbelastninger ved hjelp av Windows Admin Center.
- Benytt deg av Azure Automation for å redusere manuelle rutiner som patching.
- Ta i bruk hybrid sikkerhetsovervåking ved hjelp av Azure Security Center og Azure Sentinel.
Forenklet hybrid administrasjon
Du beholder enkelte arbeidsbelastninger lokalt og flytter andre til Azure. Du bruker samme sett av verktøy for å administrere og vedlikeholde dem. Sentralt er Windows Admin Center, et nettbasert administrasjonsverktøysett som lar deg administrere Windows-serverne dine uansett hvor de befinner seg. Det gir deg full kontroll over de viktigste aspektene ved serverinfrastrukturen.
Azure Arc-aktiverte servere
Både fysiske og virtuelle Windows- og Linux-servere kan aktiveres med Arc. De kan befinne seg i ditt datasenter, i Azure og andre skyer, som Google Cloud Platform (GCP) og Amazon Web Services (AWS). Du konfigurerer dem med policyer, sikrer dem basert på anbefalte bunnlinjer, og kontrollerer om de er i samsvar. Naturligvis får du råd om utbedring. Tilgangskontrollene er rollebaserte. Partnere kan bidra med å forvalte dem via Lighthouse. Det gir deg ett sted for å administrere serverparken på tvers av miljøer.
Hybride filområder og -synkronisering
Azure File Sync gir kunder sikker sentralisert administrasjon av fildeling i skyen. Ved å installere File Sync-agenten på lokale Windows Serverer få du muligheten til å lagre filer som benyttes sjeldent, i skyen, mens hyppigere brukte data beholdes på lokale fildelinger. De vil også kunne tilby konsistent fildelingsytelse uten behov for konfigurasjon eller kodeendringer. Sentralisert administrasjon av fildeling med File Sync kan også redusere behovet for IT-støtte på avdelingskontorer eller eksterne lokasjoner, inkludert sentralisert sikkerhetskopiering og replikering på tvers av flere områder.
Filer kan være store, og da er det mest effektivt å lagre dem lokalt og kopiere dem over til Azure i bakgrunnen. Derfra kan de replikeres over til andre filservere. I eksemplet ovenfor er filserver 2 i Seattle gått ned. Da tar du den ut av synkroniseringen og setter opp en ny server. Cloud Tiering betyr skylagdeling. Sånn setter du typisk opp at bare dokumenter for de siste 30 eller 60 dagene skal lagres på filserveren. Alle tidligere filer befinner seg i skyen. De lastes ned kun ved behov. Cloud Access er skytilgang; brukere kan gå rett mot filområdene i Azure.
Sikkerhetskopiering
Azure Backup sørger for å sikkerhetskopiere virtuelle maskiner og data både lokalt og i skyen med nær sagt ubegrenset kapasitet. Dataene er kryptert i transitt og i hvile. Sikkerhetskopiene er applikasjonskonsistente, dvs. du kan gjenopprette til tilstandene applikasjonen og dataene var i. Det er ingen begrensning for hvor lenge data lagres. Du har i alt 9999 gjenopprettingspunkter per beskyttet instans. Azure File Share Backup sikkerhetskopierer filområder. Du kan sette opp en lokal Backup Server for raskere tilgang lokalt. Med Azure Backup løser du en langvarig utfordring: Hvordan få sikkerhetskopier ut av huset, samtidig som de er raskt tilgjengelig?
Katastrofegjenoppretting
Å planlegge for gjenoppretting etter katastrofer må inngå i enhver bedrifts kontinuitetsplan. Dette er et sett med retningslinjer og prosedyrer som fokuserer på å beskytte en organisasjon mot vesentlige effekter i tilfelle en negativ hendelse, som kan omfatte nettangrep, naturkatastrofer eller bygg- eller enhetsfeil. I Azure kan du opprette et speilet miljø og svitsje over fra primært nettsted til sekundært ved å endre på DNS-rutingen med Traffic Manager. På samme måte kan du replikere kritiske lokale tjenester til Azure og foreta en manuell failover om det blir nødvendig.
Avsluttende ord
Microsoft har nedlagt betydelig arbeid i å forenkle administrasjonen av hybride miljøer. For enkelte virksomheter vil hybridløsninger være et overgangsstadium, men for mange andre vil det bli til en permanent infrastruktur. For å administrere Windows Server bør du nå bruke Windows Admin Center, som oppfører seg helt likt lokalt og i Azure. Azure AD Domain Services er en elegant skyløsning for Kerberos- og NTLM-autentisering, NTFS-tillatelser og gruppepolicyer. Windows Admin Center gjør det helt transparent å administrere Windows-servere i skyen eller lokalt.
Azure Arc-aktivering gjør at du sømløst kan benytte deg av tjenester som Azure Monitor, Azure Policy for konfigurasjon og sikring mot avdrift, foruten Azure Update Management for automatisert patching. Azure File Sync burde løse de fleste problemer du har slitt med i forbindelse med lokale filservere. Integrasjonen med sikkerhetskopiering og gjenoppretting etter katastrofer kan få IT-avdelingen til å lette på skuldrene. Alle disse emnene skal utdypes i kommende innlegg. Men først trenger vi en oversikt over hybrid sikkerhet, som blir gjenstand for neste blogg.