Start / Use Cases / Landing Zone

Wie bauen wir eine Azure Landing Zone für den Mittelstand?

Wir bauen Ihr gewachsenes Azure-Abonnement zu einer nachvollziehbaren Landing Zone um — in der Größe, die zu Ihrer Firma passt, nicht im Enterprise-Maximum.

Ihr Azure-Abonnement existiert seit ein paar Jahren. Irgendwann hat jemand das erste Subnetz angelegt, dann kam eine VM für ein Test-System dazu, dann ein Storage-Konto für Backups, dann eine zweite Subscription, weil der Steuerberater das wollte. Heute weiß niemand mehr genau, was wo läuft, was es kostet, und warum die Ressource „vm-test-final-2” produktiv ist. Wir bauen daraus eine Landing Zone, die in der Größe zu Ihrer Firma passt — nicht das Microsoft-Enterprise-Maximum, das niemand mehr versteht.

Kennen Sie diese Situation?

Warum jetzt — und nicht später

Eine ungeordnete Azure-Umgebung kostet auf drei Ebenen: Sie kostet bares Geld durch ungenutzte Ressourcen, falsch dimensionierte VMs und vergessene Test-Umgebungen, die seit Monaten laufen. Sie kostet Zeit, weil jede Änderung Recherche-Arbeit auslöst. Und sie kostet Sicherheit, weil ohne Struktur niemand merkt, wenn eine Ressource außerhalb der Policy entsteht.

Typische Auslöser, die jetzt dran sind:

So sähe das bei Ihnen aus

Schritt 1 — Bestandsaufnahme und Ist-Diagramm

Wir starten damit, dass wir uns einlesen: welche Subscriptions existieren, welche Resource Groups, welche Ressourcen, welche Identitäten, welche Rechte. Dafür reichen Reader-Rechte. Am Ende von Schritt 1 haben Sie ein Diagramm und eine Tabelle, in der jede laufende Ressource einem Zweck zugeordnet ist — oder als „unbekannt” markiert ist, wenn niemand mehr weiß, wofür sie da ist. Allein dieser Schritt deckt häufig spürbares Einsparpotenzial auf — etwa Test-Maschinen aus 2023, die niemand mehr braucht.

Stack-Hinweise: Azure Resource Graph für Inventar, Cost-Management-Exporte, Entra-ID-Rollen-Auswertung.

Schritt 2 — Subscription- und Management-Group-Struktur

Wir entwerfen mit Ihnen eine Struktur, die zu Ihrer Firma passt. Für eine 80-Mitarbeitenden-Firma reicht in den meisten Fällen ein flacher Aufbau mit Management Groups für „Produktion”, „Test/Entwicklung” und ggf. „Sandbox” — darunter zwei bis vier Subscriptions. Das ist bewusst weniger als das, was die Microsoft-CAF-Dokumentation für Konzerne vorsieht. Wer keine vier Tochterfirmen hat, braucht keine vier Subscriptions pro Workload. Liefer-Ergebnis: eine Struktur, die eine externe Person in 15 Minuten verstehen kann.

Stack-Hinweise: Management Groups, Subscription-Vending, Entra ID PIM für privilegierte Rollen.

Schritt 3 — Naming- und Tagging-Konvention

Wir einigen uns mit Ihnen auf ein Schema, das man sich merken kann. Typisches Beispiel: <workload>-<umgebung>-<typ>-<region>-<nr>, also erp-prod-vm-weu-01. Dazu Pflicht-Tags wie costcenter, owner, workload, environment. Wichtig: Die Konvention ist nur dann etwas wert, wenn sie über Azure Policy erzwungen wird — sonst entstehen in drei Monaten wieder Ressourcen ohne Tags. Liefer-Ergebnis: ein Naming- und Tagging-Standard, dokumentiert auf einer Seite, plus Policy-Definitionen, die fehlerhafte Erstellungen verhindern oder kennzeichnen.

Stack-Hinweise: Azure Policy (deny/audit), Tag-Inheritance, Initiative-Definitionen.

Schritt 4 — Infrastructure-as-Code-Basis

Statt dass weiterhin jede:r per Portal klickt, definieren wir die wichtigen Ressourcen-Typen einmal als Code. Bicep für Microsoft-native Setups, Terraform, wenn Sie ohnehin mit anderen Clouds arbeiten — beides funktioniert. Liefer-Ergebnis: ein kleines Repository mit Modulen für die häufigsten Bedarfe (VM, Storage-Account, Resource Group mit Standard-Policies, Key Vault), plus eine kurze Anleitung, wie ein Deployment ausgelöst wird. Bewusst kein Über-Engineering: keine 14-stufige Pipeline mit Approval-Gates auf vier Ebenen, sondern etwas, das ein:e IT-Generalist:in in zwei Tagen lernen kann.

Stack-Hinweise: Bicep oder Terraform, GitHub Actions oder Azure DevOps Pipelines, Service Principals mit eingeschränkten Rechten.

Schritt 5 — Cost Management und Policy-Baseline

Budgets pro Subscription, Alerts bei Schwellenwert-Überschreitung, monatlicher Cost-Report an die Geschäftsführung. Dazu eine Policy-Baseline: keine VMs in Regionen außerhalb der EU, Storage-Konten ohne öffentlichen Endpoint, Diagnostic Settings als Pflicht. Liefer-Ergebnis: Sie bekommen einmal pro Monat eine Übersicht, was Azure pro Workload und pro Kostenstelle gekostet hat — und die Sicherheit, dass niemand versehentlich eine VM in einer anderen Region anlegt.

Stack-Hinweise: Azure Cost Management Budgets, Action Groups, Azure Policy Initiatives, Microsoft Defender for Cloud Free-Tier.

Worauf Sie achten sollten

Was sich danach realistisch ändert

Was Sie beisteuern

Risiken und wann es nicht passt

So fängt das Gespräch an

Erstgespräch buchen

Häufige Fragen

Brauchen wir wirklich Management Groups, wenn wir nur zwei Subscriptions haben? Nein, nicht zwingend. Bei zwei Subscriptions reicht oft eine flache Struktur mit Policies direkt auf Subscription-Ebene. Management Groups lohnen sich ab drei bis vier Subscriptions oder wenn Policies vererbt werden sollen. Im Erstgespräch klären wir, was für Ihre Größe sinnvoll ist.

Bicep oder Terraform — was empfehlen Sie? Bicep, wenn Sie ausschließlich in Azure unterwegs sind und mit dem Microsoft-Toolstack arbeiten. Terraform, wenn Sie ohnehin mehrere Clouds nutzen oder das Tool schon kennen. Beide funktionieren. Wichtiger als die Wahl ist, dass es konsequent eingesetzt wird.

Was passiert mit unseren bestehenden Ressourcen — werden die neu deployed? Nein, in der Regel nicht. Wir bringen bestehende Ressourcen per Tag-Nachzug und ggf. Verschieben zwischen Resource Groups in das neue Schema. Da sich die meisten Azure-Ressourcen nicht umbenennen lassen, gilt die Naming-Konvention für neu erstellte Ressourcen — der Bestand wird über Tags zugeordnet. Neu-Deployment nur dort, wo es technisch nicht anders geht oder wo die Ressource sowieso erneuert werden soll.

Wie lange dauert das typischerweise? Bestandsaufnahme und Struktur-Design etwa 2 bis 3 Wochen, Umsetzung der Naming-/Tagging-Policy weitere 2 bis 4 Wochen, IaC-Basis und Cost Management noch einmal 2 bis 3 Wochen. Insgesamt also rund 6 bis 10 Wochen für eine mittelständische Umgebung. Eine ehrliche Spannweite geben wir nach der Bestandsaufnahme.

Verwandtes