Case Studies

PFA geht mit der neuen Azure-Hybrid-Cloud-IT-Architektur in die Zukunft

Einer der Eckpfeiler der IT-Strategie 2020 von PFA war die Option, von einem On-Premises-Rechenzentrum auf eine Public Cloud in Azure umzustellen.

Die Herausforderung

PFA möchte Arbeitslasten in Microsoft Azure verlagern und selbst neue neue cloudbasierte Lösungen erstellen können, die genauso sicher sind wie die bestehenden On-Premises-Installationen. Der Fokus liegt eindeutig auf auf Governance, Risk & Compliance, die dem vorhandenen On-Premises-Standard entsprechen sollen.

PFA hatte das Ziel, eine Azure-Cloud-IT-Architektur einzurichten, die zuverlässiger und kostengünstiger ist und eine schnellere Markteinführung mit voller Skalierbarkeit und größerer Flexibilität für neue Lösungen ermöglicht. Außerdem sollte ein Cloud Center of Excellence (CCoE) aufgebaut werden, als Grundlage für die künftige Cloud-Entwicklung von PFA.

Sämtliche relevanten Unternehmensbereiche sollten einbezogen werden, u. a. IT-Sicherheit, -Architektur und -Betrieb, Entwicklung, Recht, Finanzen usw. Das CCoE soll als zentrale Cloud-Governance-Funktion dienen, um dem gesamten Unternehmen Cloud-Services kontrolliert und sicher zur Verfügung zu stellen.

Die Plattform soll mehrere Entwicklungsteams in verschiedenen Geschäftsbereichen unterstützen. Daher war es wichtig, eine Balance zwischen Freiheit und Kontrolle zu finden, ohne Kompromisse bei Governance-, Risiko- und Compliance-Themen.

Die Lösung

Skaylink betreibt bereits seit einigen Jahren ein eigenes Cloud CoE, das mittels der CADD-Plattform von Skaylink die Cloud-Entwicklung zahlreicher Kunden in Dänemark und im Ausland beschleunigt. Gerade diese Expertise trug dazu bei, dass Skaylink den Auftrag erhielt, die neue Azure-Plattform und das Cloud CoE für PFA einzurichten – in enger Zusammenarbeit mit der IT-Architektur-Abteilung von PFA.

Grundlage für die Umsetzung sind das Microsoft Cloud Adoption Framework (CAF) und die neue Erweiterung „Enterprise Scale Landing Zones“. Diese besteht aus Rahmenarchitekturen mit zugehörigen Designprinzipien und -leitlinien, empfohlenen Richtlinien usw.

Das Projekt umfasst den gesamten Cloud-Adoption-Zyklus: „Plan, Ready, Adopt, Govern and Manage“. Die enge Zusammenarbeit von PFA, Skaylink und Microsoft ermöglichte auch den Pilot-Zugriff auf die neuesten Erweiterungen des CAF, sodass die Plattform immer auf dem neuesten Stand der Technik ist und auf internationalen Best Practices basiert. Ein wichtiger Teil der Lieferung sind Instrumente und ein Framework, das durch Governance, Risikomanagement und Compliance sicherstellt, dass PFA die Rechtsvorschriften einhält, denen sie als Renten- und Versicherungsunternehmen unterliegt. Dazu gehören Security-by-Design, ein detailliertes Kostenmanagement sowie dokumentierte Anwendungsprinzipien für die SaaS-, FaaS-, PaaS- und IaaS-Komponenten, aus denen sich die künftigen Lösungen zusammensetzen sollen. 

Zur Validierung der neuen Plattform bietet Skaylink zusätzliche Unterstützung für eine Reihe von Leuchtturmprojekten, die auf der neuen Cloud-Plattform entwickelt und betrieben werden sollen. 

„Es ist nicht einfach, einen Partner zu finden, der mit seinen Kompetenzen alles von der Infrastruktur bis zur DevOps-Entwicklung abdeckt. Vor allem, wenn sich die Cloud-Technologien so schnell weiterentwickeln wie derzeit.“

Eingesetzte Lösungen

Iterative Einrichtung einer Enterprise Scale Cloud Platform:

  • Standards und Governance-Modell
  • Security und Automation
  • Operation und Governance
  • Pilotprojekte

Cloud-Funktionalitäten:

  • Cloud CoE (Cloud Center of Excellence)
  • IaaS/PaaS-Infrastruktur und -Komponenten
  • Sicherheit und Maßnahmen gegen Risiken
  • 100 % skriptgesteuerte/automatisierte Bereitstellung und Build-/Deployment-Pipelines
  • Einrichtung und Überwachung des Betriebs
  • Operation and Service Model

Das Ergebnis

Die Plattform wurde pünktlich in nur sechs Monaten geliefert und war vorbereitet, um das erste große strategische Cloud-Projekt bei PFA in Betrieb zu nehmen: die „Moderne Datenplattform“. Es ist gelungen, eine sehr flexible Plattform zu schaffen, die den einzelnen Entwicklungsteams viele Möglichkeiten bietet und sie nicht einschränkt. Alle Teams können nun den Infrastructure-as-Code schreiben und implementieren, der erforderlich ist, um bestimmte Workloads in Azure auszuführen. Sie müssen nicht länger Server und Datenbanken bestellen, sondern können diese Infrastruktur innerhalb von wenigen Minuten mit Infrastructure-as-Code aus einer DevOps-Pipeline selbst bereitstellen.

Außerdem haben die Entwicklungsteams von PFA nun auch die Möglichkeit, innovative Lösungen zum Beispiel mit Databricks, Azure Machine Learning und GPU Computing zu entwickeln. Hinzu kommt der Zugriff auf vollständig verwaltete Dienste wie Azure Functions, die bei Nichtgebrauch automatisch und schnell auf 0 Maschinen reduziert und in Spitzenzeiten potenziell auf mehr als 100 Maschinen hochgefahren werden können. Und da die Dienste verwaltet werden, muss sich der Betrieb nun nicht mehr um Sicherheitsupdates, Upgrades oder Patches für die zugrunde liegenden Maschinen kümmern. Alles beginnt nun damit, dass die Entwicklungsbereiche über einen automatischen Prozess eine sogenannte Landing Zone für die verschiedenen Workloads bestellen.

Die Landing Zones bestehen aus einem Azure-Abonnement, einigen Blueprints und einem virtuellen Netzwerk, das mit einem virtuellen WAN in Azure verbunden ist, das wiederum über ExpressRoutes an On-Premises-Netzwerke anschließt. Um sicherzustellen, dass wichtige Richtlinien eingehalten werden, sind mehrere Azure Policies über jede Landing Zone gelegt.

Für diese Lösung wurden zahlreiche Komponenten entwickelt:   

  • Cloud Center of Excellence (CCoE)-Organisation  
  • Leitlinien und Standards
  • Entwicklung von Landing Zones  
  • Einrichtung einer hybriden Verbindung zum bestehenden Rechenzentrum über Microsoft Express Route        
  • IaaS- und PaaS-Plattform          
  • Dienste-Whitelisting  
  • Azure Compute Options (VMs, Containers, App Service, Serverless) 
  • Infrastruktur-Provisionierung (VMs, Container, Speicher, Netzwerke, …) 
  • Integration von On-Premises-Datenquellen und externen Systemen
  • Templates und DevOps-Umgebungen (z. B. Dev/Test/Prod)
  • Service and Operating Model
  • Kostenmanagement und Berichterstattung über den Ressourcen-/Kostenverbrauch
  • Grundsätze zur Minimierung der Lieferantenbindung/Exit-Strategie
  • Tenancy-Administration, Ressourcen-/Netzwerkadministration und Administration von Benutzerrollen
  • Ad-hoc-Provisionierung und -Deprovisionierung von Ressourcen 
  • Skalierung von Azure-Ressourcen 
  • Monitoring und operative Überwachung
  • Vollständiges Scripting/Infrastruktur-as-Code von verwendeten Komponenten
  • Build-/Deploy-Scripting
  • Sicherheit, Identität, Risiken und Maßnahmen sowie Nutzung des bereits bestehenden AD

Zu dem Projekt gehörten zudem ein Wissentransfer und die Schulung des PFA-Teams in Azure Cloud. 

Case Stories