Im laufenden Betrieb zu AWS Control Tower gewechselt
Skaylink migrierte eine AWS Landing Zone samt aller produktiven Workloads auf AWS Control Tower
Einleitung
Von einer veralteten Basisinfrastruktur auf eine neue wechseln – das treibt Unternehmen den Angstschweiß auf die Stirn. Eine Migration, ohne den laufenden Betrieb phasenweise stillzulegen und alle Mitarbeitenden an neue Abläufe zu gewöhnen, ist fast unmöglich.
Aber es geht, wie Skaylink in einem Kundenprojekt beweisen konnte: Der Kunde nutzte seit längerem eine AWS Landing Zone, basierend auf der AWS Landing Zone Solution und mit individuellen Erweiterungen ergänzt. AWS unterstützte die Landing Zone Solution allerdings nicht mehr. Veraltete Module erhalten erst im Störungsfall ein Update, das dann vom Kunden selbst durchgeführt werden muss. So kam es regelmäßig zu Störungen der Account Vending Machine. Ein unhaltbarer Zustand, der sich mit Hilfe von Skaylink schnell ändern sollte.
Die Basis tauschen, ohne die produktiven Workloads zu stören
Die bestehenden Workloads und Konzepte sollten erhalten bleiben. Darum mussten aus dem bisherigen Aufbau der AWS Landing Zone viele individualisierte Skripte migriert werden. Das parallele Aufbauen einer neuen AWS-Umgebung war jedoch nicht möglich: Die alte AWS-Umgebung war zu stark in alle IT-Systeme des Kunden eingebunden.
Um die Zusammenhänge genau zu erfassen, arbeiteten die sieben Skaylink-Expert*innen deshalb eng mit den Verantwortlichen für die AWS Landing Zone und den Stakeholder*innen der Workloads zusammen. Der Hauptfokus lag darauf, die bestehenden Produktivsysteme in 50 AWS-Accounts durch das Projekt nicht zu beeinträchtigen. Der Kunde wählte am Ende fertige Angebotspakete von Skaylink, um schnell und strukturiert in eine neue Umgebung migrieren zu können, und vermied damit, in häufig gemachte Fehler zu tappen.
Fakten
Wir haben eine Landing Zone-Einrichtung gemäß dem Cloud Adoption Framework (CAF) implementiert, die Folgendes umfasst:
- Eine Pipeline für die Erstellung neuer Landing Zone-Abonnements und zugehöriger Ressourcen
- Governance-Richtlinien und Kostenmanagement (Budgets, mit der Möglichkeit, Kosten intern zu verteilen)
- Verwaltung von Gruppenhierarchie und zentralen Plattformressourcen, die von mehreren Landing Zones gemeinsam genutzt werden
- Netzwerkeinrichtung mit Azure Virtual WAN, Landing Zone und Azure Firewall
- Zugriffskontrolle für Landing Zones
- Automatische Bereitstellung von Defender for Cloud Standard
- Zentrale Protokollierung von Aktivitätsprotokollen und anderen wichtigen Protokollen an einem einzigen Ort zur zentralen Überwachung.
Erfolg durch gute Vorbereitung & eine klare Strategie
Der Plan des Skaylink-Teams: AWS Control Tower sollte die Aufgaben der bestehenden AWS Landing Zone Solution übernehmen, die AWS Organization dabei jedoch bestehen bleiben. Dazu mussten zunächst alle individuellen Erweiterungen angepasst werden, sodass sie mit der AWS-Lösung „Customizations for Control Tower“ zentralisiert auf die im Anschluss migrierten AWS-Accounts ausgerollt werden konnten.
Anschließend wurden 50 Accounts aus ihren ursprünglichen in die neuen AWS-Control-Tower-verwalteten AWS Organizations OUs umgezogen. Dadurch konnten die Expert*innen alle Konfigurationen und individuellen Skripte der veralteten Lösung auf AWS Control Tower migrieren und automatisiert ausrollen.
Nach der Migration der zuvor bestehenden zentralen Services identifizierten die Spezialist*innen in einem nächsten Schritt weitere zentrale Services und integrierten sie in die neue Umgebung.
Mit dieser Strategie wurde die technisch funktionsfähige, aber veraltete AWS Landing Zone Solution komplett auf AWS Control Tower migriert. Das hatte neben dem Upgrade auf eine technisch aktuelle Lösung noch einen positiven Effekt für den Kunden: Die eigene IT konnte einen Teil der Verantwortung für die Landing Zone durch den Managed Service direkt an AWS abgeben. Skaylink übertrug für den Kunden alle Individualisierungen der Landing Zone reibungslos auf die neue Lösung. Dadurch laufen die Produktivsysteme weiter wie gewohnt.
Updates des AWS Control Tower liegen nun in der Hand von AWS. Nur noch von AWS bereitgestellte Updates der Customization Pipeline müssen von der hauseigenen IT des Kunden durchgeführt werden. Der Kunde hat nun wieder eine technisch aktuelle AWS-Basisinfrastruktur und dadurch eine störungsfreie, effiziente Governance über alle seine AWS Accounts, ohne dass während des Upgrades der Landing Zone produktive Applikationen beeinträchtigt wurden.
"Die AWS Landing Zone als fundamentale Basisinfrastruktur auszutauschen, gleicht einer OP am offenen Herzen. Mich hat beeindruckt, dass diese OP mitten im Marathon der Produktivsysteme reibungslos geglückt ist."