Cloud Governance
Geordnet in die Cloud
Fortsetzung des Artikels von Teil 1
Gute Gründe für eine Grundordnung
Eine Niederlassung im Ausland kann so keine kostenpflichtigen Systeme erzeugen, von denen die Zentrale nicht weiß, ob sie überhaupt benötigt werden. Hinzu kommt bei Azure, wie bei vielen Cloud-Diensten anderer Anbieter, dass Subscriptions nicht nach Kosten limitierbar sind. Eine Abteilung kann sich zwar benachrichtigen lassen, wenn sie 50 Prozent ihres jährlichen 10.000-Euro-Budgets verbraucht hat. Das verschafft ihr die Möglichkeit nachzusteuern. Das Cloud-Abo läuft aber nach Überschreiten des Budgets weiter. Zudem besteht standardmäßig keine Limitierung für den funktionalen und regionalen Einsatz von Ressourcen durch Anwender. Mit einem Governance-Konzept steckt ein Unternehmen diesen Handlungsspielraum ab und gibt für ihn die Spielregeln vor.
Betrachtet man eine Subscription in Azure, lässt sich ableiten, wie ein Unternehmen die notwendige Hierarchie aufbauen kann. Eine Subscription ist ein virtuelles Rechenzentrum – eine in sich geschlossene, logische Einheit, in der Anwender Ressourcen erstellen. Das können sie auch in einer zweiten Subscription umsetzen. Erzeugte VMs oder Netze in Subscription eins und zwei können sich standardmäßig nicht austauschen. Sie sind getrennt, beispielsweise in ein Testsystem der IT und in ein produktives CRM-System innerhalb einer Rechenzentrums- und Netzwerkinfrastruktur. Es hat sich bewährt, eine Grundordnung mit mehreren Subscriptions aufzubauen. Das ist der erste Schritt, um Verantwortlichkeiten zu trennen und Rechte zu delegieren. So legt ein global agierendes Unternehmen länderspezifische Abteilungen an. Innerhalb der europäischen Organisation können dann Accounts definiert werden, die wiederum berechtigt sind Subscriptions anzulegen. Auf diese werden aber explizit nur ihre europäischen IT-Mitarbeiter berechtigt.
Namen schaffen Ordnung
Bevor jedoch ein Unternehmen die ersten Ressourcen erzeugt, steht das Namenskonzept auf der Agenda. Denn das Erstellen einer einzigen VM zieht schnell sechs oder mehr Ressourcen nach sich, die ebenfalls erstellt werden müssen – und einen Namen benötigen. Das betrifft zum Beispiel Netzwerk, Subnetz, Storage-Account, Netzwerkkarte, öffentliche IP-Adresse und eine Firewall. Eine stringente Namenskonvention vereinfacht im laufenden Betrieb das Identifizieren von Ressourcen und hilft beispielsweise bei der Suche nach Komponenten, die nicht mehr gebraucht werden. Relevanz gewinnt die Namenskonvention auch deshalb, weil Firmen produktive Systeme in der Praxis bevorzugt über Skripte wie PowerShell oder mittels Template erstellen. Werden hierbei die Namen nicht korrekt an das Skript übergeben, werden die Namen gegebenenfalls automatisch generiert. Eine Netzwerkkarte „NIC2345“ lässt sich dann nur schwer dem passenden virtuellen System zuordnen. Somit wird die Administration, aber auch die interne Verrechnung der gebuchten Dienste, unnötig erschwert.
Das Namenskonzept schließt Ressourcengruppen ein. In Azure muss jede Ressource in eine Ressourcengruppe eingeordnet werden, die natürlich auch wieder nach einem Namen verlangt.
- Geordnet in die Cloud
- Gute Gründe für eine Grundordnung
- Zugriffe einschränken und Ressourcen sperren
Lesen Sie mehr zum Thema
