Proč je dobré využívat Azure Governance
Příchod Public Cloudu výrazně změnil rychlost, kterou firmy adoptují nové technologie a kterou dnes dokáží rozšiřovat infrastrukturu. Dříve se na nové servery čekalo klidně i rok. Museli jsme je nechat schválit do IT rozpočtu, udělat výběrové řízení, objednat, zajistit místo v racku v datovém centru, zapojit, nainstalovat, licencovat. V cloudu je vytvoření jakéhokoliv počtu Windows nebo Linux serverů otázka několika minut. To stejné platí i pro sítě, uložiště, aplikace a další zdroje. Rychlý přístup k neomezeným prostředkům umožňuje firmám okamžitě reagovat na zvýšenou potřebu a zajistit rychlý růst. Kromě benefitů to ale muže mít i neočekáváný dopad. Může se stát, že nám vznikne neřízené a nepřehledné prostředí, které nepodléhá pravidlům nebo požadavkům organizace. V konečném důsledku neřízené využívání cloudu může přinést i výrazné navýšení nákladů.
Z vlastních zkušeností vím, že než začneme připravovat nové prostředí v Azure, nebo migrovat stávající z lokálního data centra, musíme začít správným plánováním. Tím zajistíme optimální rychlost a dostupnost prostředků a správně odhadneme cenu. Vím, že plánování není tak vzrušující jako vytváření nových serverů, konfigurování aplikací nebo zabezpečení, je ale nezbytně nutné. Přiřazení přístupu uživatelům do Azure je snadné. A pokud by role uživatele vyžadovala možnost vytvářet resources v Azure, tak se snadno může stát, že nám v subskripci poběží příliš rychle a drahé VM. Nebo že služby budeme mít vytvořené ve všech 58 Azure regionech po celém světě. Často narážím i na to, že v neřízeném Azure prostředí vznikají aplikace nebo služby, ke kterým se už nikdo nehlásí a není jasné, k čemu jsou. Taková situace nám možná nevadila v on-premises, ale je potřeba si uvědomit, že v Public Cloudu se především využívá OpEx finanční model, kde platíme za to, co využíváme. Pokud neplánujeme a neřídíme, tak nemůžeme vědět, kolik nakonec budeme muset zaplatit, anebo z jakého rozpočtu. Abychom se do takové situace nedostali, měli bychom začít využívat Cloud Governance.
Microsoft Azure Governance obsahuje celou řadu nástrojů pro řízení přístupu k prostředkům, jejich správu, monitorování a audit. Pomáhá nám vytvořit a vynutit sadu pravidel a určit kdo a jak může konfigurovat Azure resources.
Pokud bychom k docílení kontroly nad prostředím přistupovali tradičním způsobem, můžeme řízením pověřit jednotlivce nebo tým lidí. Tento tým pak rozhoduje, jak a kde vytvářet a konfigurovat Azure resources. Správci aplikací a služeb se pak budou muset s každým požadavkem obrátit na ně a zabrání se tak neřízené správě. Myslím si, že tento systém může fungovat v menších firmách. Ve větším nebo velmi dynamickém prostředí budeme muset obětovat rychlost, a ani tak nedokážeme zabránit lidské chybě.
Výhody cloudu jsou právě agilita a rychlost, kterou můžeme reagovat na poptávku. Naštěstí nám Azure nabízí nástroje, abychom zachovali rychlost, a přitom udrželi kontrolu nad prostředím. Správcům aplikací a služeb, vývojářům a externím dodavatelům pak můžeme povolit, aby si své prostředí spravovali a rozšiřovali. Během vytváření nebo konfigurace se budou muset řídit pravidly a politikami, které jim nastavíme.
Pojďme si říct, jaké Governance nástroje v Microsoft Azure máme k dispozici a k čemu je můžeme použít.
Azure Resource Graph, Azure PowerShell, Azure CLI
Jednou z prvních otázek, kterou bychom v rámci Governance měli řešit je, zda máme přehled, co všechno v našem Azure máme a za co platíme. Azure Resource Graph je skvělý nástroj, který nám umožňuje explorovat, vyhledávat a analyzovat naše prostředky.
Azure Resource Locks
Ve velkém prostředí, kde neexistuje nebo dosud neexistovala Azure Governance, se může snadno stát, že něco smažeme a pak zjistíme, že jsme to potřebovali. Chceme rychle ušetřit peníze, tak smažeme zdánlivě nevyužívanou VM, nebo spustíme starý skript, nebo se překlikneme.... I mně se to minimálně jednou stalo.
Proto máme k dispozici Resource Locks, které můžeme zapnout na individuální resource, nebo automatický na celou Resource Group nebo Subskripci. Smazání zamčeného resource pak selže. Pro odstranění Resource Lock jsou potřebná speciální práva.
Azure Tag
V Azure prostředí nám může vzniknout velký počet prostředků a dříve nebo později budeme mít problém je správně identifikovat. Nevíme, kdo je vytvořil, k jaké aplikaci nebo týmu patří, kdo za ně platí, a jestli jsou ještě stále potřeba. Jsem si jist, že vás podobné otázky určitě napadly.
Tagování nám pomůže organizovat prostředky, přiřazovat jim informace a zobrazovat celé skupiny se stejným Tagem. Azure Tag je možné aplikovat na jednotlivé resources, na Resource Group a nově i na Subskripci. Každý resource může mít až 50 tagů. Azure Tags je možné přiřazovat manuálně, skriptem nebo pomoci Azure Politik.
Já osobně Azure Tagy používám velmi rád, protože pak nemusím vysvětlovat, k čemu je daná aplikace, nebo do kdy ji budu potřebovat.
Azure Policy
Azure Policy je služba v Azure, pomocí které vytváříme, spravujeme a přiřazujeme politiky. Těmi pak můžeme prosazovat dodržování pravidel a předpisů pro vytváření a konfiguraci Azure prostředků.
Politika obsahuje seznam pravidel a může být v Enforced nebo v Audit modu. Může se jednat například o definici zakázaných nebo povolených regionů nebo velikosti VM. Nebo to může být seznam požadovaných Tagů nebo jmenná politika pro individuální tipy resourců. Nebo to může být pravidlo, které říká, že pro každou VM musí být zapnuté Azure Backup.
Azure Blueprints
Pro centrální správu individuálního projektu nebo celého Azure prostředí můžeme použít Azure Blueprints. Tato služba umožňuje cloudovým architektům přesně definovat sadu Azure zdrojů, kterou je možné deployovat opakovaně a s jistotu, že to vždy bude v souladu s požadavky organizace. Jednotlivé týmy pak mohou implementovat nová řešení rychle a vždy správně.
Azure Blueprints deklarativně organizuje nasazení následujících artefaktů:
- Role Assignments
- Policy Assignments
- Azure Resource Manager templates
- Custom Scripts
Podle mého názoru máme dostatečné množství nástrojů na to, abychom se o Azure prostředí mohli postarat, aniž bychom museli obětovat výhody, které cloud přináší. Neexistuje však univerzální model, který by pasoval na každé prostředí. Každá společnost by si svůj kousíček cloudu měla správně naplánovat a přizpůsobit.
Doufám, že Azure Governance využíváte i vy, nebo že o něm alespoň uvažujete.
Sdílej v médiích