Stip op de horizon

Wil je Azure gebruiken? Dan zijn je keuzes, met betrekking tot hoe je het gaat gebruiken en wat je ermee wil bereiken als onderwijsinstelling, belangrijk bij het bepalen van de stip op de horizon. Die keuzes hebben namelijk invloed op de gehele IT-strategie voor de lange termijn. Je kiest immers niet voor een transitie naar Azure om hier slechts een jaar gebruik van te maken. Hoe de onderwijsinstelling is ingericht en hoe IT wordt ingekocht en geconsumeerd, strekt zich over meerdere jaren uit. Ook zijn er financiële gevolgen waar je over na moet denken. Azure gaat over IT-diensten die maandelijkse of jaarlijkse kosten met zich meebrengen. Hier moet budget voor zijn, en dit budget en de consumptie moeten bewaakt worden. Het is daarom verstandig om van tevoren een roadmap te maken. Hiermee zorg je dat het beleid van de onderwijsinstelling goed doorgevoerd wordt en breng je in kaart wat er precies binnen Azure moet gaan draaien en wat de technische- en financiële gevolgen zijn.

Interne organisatie

Naast de techniek is ook de interne organisatie een belangrijke factor om over na te denken, aangezien het IT-landschap en het onderliggende platform verandert. De eindgebruikers zullen hier weinig van merken, maar de IT-medewerkers zien wellicht wat veranderingen in hun rol. Voor deze veranderingen kunnen opleidingen nodig zijn om het nieuwe IT-platform te beheren binnen Azure. Bovendien kan er een wens zijn om het beheer uit te besteden bij een Microsoft Partner en zelf regie te gaan voeren, de roadmap te bepalen en functioneel beheer uit te voeren. Op deze manier kun je waarde toevoegen aan de interne organisatie, omdat je die het beste kent.

Een goede start in Azure begint dus bij de IT-strategie, de cloudvisie en de stip op de horizon. Daarna volgen architectuursessies, samen met een Microsoft Partner, om het High Level Design (HLD) vorm te geven. Dat is uiteindelijk leidend voor de technische implementatie van een Azure Landing Zone. IT-Workz helpt graag om deze rol in te vullen en zo een basis neer te zetten in Azure.

De voordelen van Azure Landing Zones in het onderwijs

De basis in Azure is een Azure Landing Zone, die aan te passen is op de grootte van de onderwijsinstelling. Dit is het fundament waarin de kaders zijn bepaald, veiligheidsmaatregelen zijn vastgelegd en aansluitingen aanwezig zijn om verder te kunnen bouwen. Het is gebaseerd op het Microsoft Cloud Adoption Framework (CAF) en ontworpen om te zorgen voor schaalbaarheid, veiligheid, beheersbaarheid en compliance. Binnen de Landing Zone is connectiviteit naar buiten en naar het interne netwerk van de onderwijsinstelling geregeld en indien nodig van elkaar gescheiden. Kortom, alles is geregeld om je omgeving in Azure af te kaderen zodat het een veilige omgeving is om applicaties op te laten landen, onafhankelijk van de vorm. Ook het ontwerp is inzichtelijk, overzichtelijk en beheersbaar.

Het gebruik van Azure brengt in de praktijk een aantal belangrijke voordelen met zich mee voor onderwijsinstellingen. Allereerst, een Azure-omgeving bestaat uit verschillende abonnementen (subscripties), waarmee je bepaalde applicaties, afdelingen of onderdelen van elkaar kunt scheiden en toegang kunt geven aan specifieke beheerders, partners of gebruikers. Een ander voordeel is de schaalbaarheid: de Azure Landing Zone en de resources kunnen meegroeien en afschalen in lijn met de behoeften van de onderwijsinstelling. Dit maakt het mogelijk om bouwstenen toe te voegen of juist af te schalen. Tot slot is het een veilige omgeving om applicaties naar toe te migreren, voor het moderniseren van je netwerk of om te innoveren. Naast dat er virtuele machines kunnen draaien in Azure (IaaS), is het ook mogelijk om Platform-diensten als een service af te nemen, zoals PaaS. PaaS is een SQL-server die niet op een server draait, maar die als dienst afgenomen wordt binnen Azure.

Hoe ziet een Azure Landing Zone eruit?

Een Azure Landing Zone bestaat uit een aantal subscripties. Bovenaan heb je de tenant. Daaronder heb je een subscriptie voor je Management, de Connectiviteit en de Identiteit (het veilig houden van de gebruikers). Dit is de basis. Daaronder komen een of meerdere subscripties: de Landing Zones. Subscripties zijn een soort abonnementen, een plek waaronder Azure-resources worden aangemaakt en geconsumeerd. Denk aan VM’s, storage en databases. Subscripties worden aangemaakt in het Azure-account onder de tenant. Zo is het mogelijk om een Online Isolated subscriptie in te richten voor bijvoorbeeld webservers, welke volledig los staan van je interne omgeving, maar wel (afgescheiden) in Azure staan. Een andere mogelijkheid is Online Connected: een combinatie. Stel je hebt een webserver die gebruik moet maken van gegevens, die uit servers komen binnen je interne netwerk, dan kan je daar een veilige verbinding mee maken.

Subscripties

Er zijn verschillende mogelijkheden om Azure-diensten af te nemen in die subscripties. Dat kan via CSP en via Enterprise Agreement (EA). Beide mogelijkheden zijn Pay-As-You-Go modellen: je betaalt naar gebruik. De EA-subscriptie heeft een aantal voordelen ten opzichte van de CSP-subscriptie. De EA valt onder de Microsoft-overeenkomst met SURF. Hierdoor vallen de kosten, die je maakt binnen Azure, onder de EA, dus ook onder de aanbesteding. Daarnaast zijn de additionele privacy-voorwaarden, afgesproken tussen SLM rijk en Microsoft, ook van toepassing op deze EA. Tot slot zijn de prijzen vastgesteld. Dat betekent dat de prijzen niet stijgen, en op het moment dat de prijzen dalen, dalen ze mee. Het is belangrijk om goed na te denken over welk model het beste past bij jouw onderwijsinstelling. IT-Workz kan helpen bij het maken van de juiste keuze.

Connectiviteit

Nadat de subscripties zijn gemaakt en de Landing Zone gereed is, moet er connectiviteit worden ingeregeld van de schoolomgeving naar Azure toe. Dat kan op twee manieren: via een VPN-verbinding of via een Express-route. Een VPN-verbinding gaat over het publieke netwerk heen en maakt een veilige verbinding van het netwerk waarop de school aangesloten zit naar Azure toe. Een Express-route is een privé glasvezelverbinding waar niemand bij kan komen. Het is een kwalitatief betere verbinding met een betere garantie. Beide oplossingen worden aangesloten op de Connectiviteit subscriptie.

AD en Azure

Is de connectiviteit ingeregeld, dan kan er een domeincontroller geplaatst worden in de Identiteit subscriptie. Deze virtuele server verplaatst het AD van de schoollocatie naar Azure toe. Deze kan op beide locaties tegelijk aanwezig zijn. Het belangrijkste is dat er een domeincontroller op twee geografisch gescheiden locaties staat, waardoor de kans op uitval verminderd. Op het moment dat de domeincontroller in Azure staat, kan de AD Connect naar Azure worden verplaatst. Het voordeel hiervan is de connectie tussen Microsoft 365 en Azure. Dit is een directe verbinding over de Microsoft Backbone, waardoor het sneller is en de kans op verstoringen kleiner is. De gebruikers hebben dan zowel beschikking over de faciliteiten binnen Azure als binnen Microsoft 365.

Migratie naar Azure

Is de Azure Landing Zone gereed, dan kunnen er applicaties en servers naartoe verhuisd worden. We zien echter in de praktijk dat er steeds minder servers worden gemigreerd naar Azure. Deze servers verdwijnen langzaam, doordat applicatieleveranciers deze als een dienst aanbieden (SaaS).

Bij een migratie zijn er een aantal scenario’s mogelijk. We onderzoeken altijd eerst welk scenario voor jouw onderwijsinstelling het meest geschikt is. Voorafgaand aan een migratie maken we daarom eerst een migratieplan om het applicatielandschap en de afhankelijkheden in kaart te brengen. Hieruit volgt de migratiestrategie. Denk bijvoorbeeld aan: we verhuizen de servers, die nog moeten blijven bestaan, we her-installeren de servers op een nieuwere versie van Windows, of we onderzoeken of bepaalde functies van servers in een Platform-as-a-Service (PaaS) dienst beschikbaar zijn. Zo behoud je een beheersbare omgeving over met minder werk aan serverbeheer. IT-Workz heeft hier verschillende oplossingen voor.

Back-up

Microsoft maakt in de basis geen back-ups. Dat moet ingesteld worden. Keuzes over de mate van back-ups en retentietijd worden gemaakt tijdens het maken van de architectuur en het High Level Design. De mate van beschikbaarheid van deze back-up kan ingesteld worden per server, workload of applicatie, zodat deze aansluit bij de retentie-eis. Een goede disaster recovery- en backup-strategie is belangrijk voor een onderwijsinstelling. IT-Workz kan helpen om de juiste mate van veiligheid en beschikbaarheid van je data en back-ups in de Cloud te realiseren.

Beveiliging

Tot slot is een goede architectuur noodzakelijk om in het design van de Landing Zone veiligheid en compliance te creëren. Op het moment dat je virtuele servers of andere diensten onderling of met de schoollocatie gaat koppelen, moet je nadenken over de ontsluiting naar buiten toe, en eventueel een firewall. Hoe ga je het verkeer routeren? Gaat dat vanuit Azure direct naar het internet toe of wordt dat terug gerouteerd naar de schoolomgeving en gaat het via de firewall op locatie? En hoe houd je de Azure-omgeving veilig? Dit zijn belangrijke zaken om over na te denken. IT-Workz heeft al meerdere instellingen geholpen met het maken van de juiste keuzes, passend bij de strategie en behoeften van de onderwijsinstelling.

Op zoek naar cloudexpertise?

IT-Workz is specialist op het gebied van cloud in het onderwijs. Wij hebben de eerste migratie ooit van een school succesvol uitgevoerd! Aan de slag met de cloud? We kunnen je helpen, in elke fase.

Onze dienstverlening

Contact

Wil je na het lezen van dit artikel meer informatie of ben je op zoek naar een partner die kan ondersteunen met de inrichting van de Landing Zone? Neem contact op met IT-Workz! Wij helpen je graag verder.

Team IT-Workz