Jak nahradit zastaralé VDI řešení moderním cloudovým prostředím? Kooperativa zvolila strategii, která začíná u Azure landing zone. Díky ní bezpečně přesunula aplikace do cloudu a nasadila AVD, které nahradilo dosavadní Citrix. Výsledkem je stabilní, automatizované a škálovatelné prostředí pro desktopy i aplikace.
„Díky dobře navržené landing zóně máme pod kontrolou celé cloudové prostředí – od governance přes bezpečnost až po desktopový provoz. AVD funguje spolehlivě a uživatelé jsou s ním spokojení.“
Kooperativa, člen skupiny Vienna Insurance Group, je přední česká pojišťovna, která poskytuje komplexní služby v oblasti životního i neživotního pojištění. Co ji přimělo uvažovat o cestě do cloudu a jak vypadaly její první kroky?
Loučení s Citrixem
Kooperativa pro přístup k firemním aplikacím řadu let využívala Citrix farmu. S rostoucím počtem uživatelů a zařízení se ale začaly objevovat technické, provozní a licenční komplikace. Správa prostředí byla složitá, náklady rostly a podpora moderních zařízení (např. MacOS nebo BYOD) nedokázala držet krok s požadavky na flexibilitu.
I proto se společnost rozhodla nejít cestou dílčích, nesystematických kroků, ale začít vybudováním stabilního a bezpečného základu v Azure. Tím se stala landing zóna, která definovala pravidla, bezpečné prostředí a připravenou infrastrukturu pro další rozvoj – včetně nasazení AVD.
Proč začít právě landing zónou?
Přechod do cloudu není jen o přesunu aplikací – je to změna způsobu, jak firma přemýšlí o infrastruktuře, bezpečnosti, správě i nákladech.
Bez jasně definovaného rámce se může cloudové prostředí zvrhnout v chaos: nejednotné názvy, neřízené přístupy, neoptimalizované náklady, bezpečnostní rizika aj.
Odpovědí na tyto výzvy je právě landing zone – metodicky navržené prostředí, které poskytuje standardizaci napříč týmy a aplikacemi, automatizaci pomocí Infrastructure as Code, bezpečnostní a provozní pravidla i škálovatelnost pro budoucí růst.
Azure landing zone aneb stavíme cloud na pevných základech
Projekt jsme zahájili sérií workshopů, při kterých jsme s Kooperativou definovali požadavky na bezpečnost, správu identit, síťovou architekturu, zálohování, monitoring a governance.
Na základě těchto vstupů a podle metodik Cloud Adoption Framework (CAF) a Well-Architected Framework (WAF) jsme mohli připravit návrh architektury Azure landing zóny. Které kroky následovaly?
Vytvoření organizační struktury
Navrhli jsme a vytvořili hierarchii management groups, která odráží organizační strukturu Kooperativy. Zavedli jsme subscription model, který odděluje vývoj, testování a produkci. Nastavili jsme naming konvence a tagovací pravidla, aby bylo možné efektivně spravovat zdroje a náklady.
Zajištění identity a přístupu
Cloudové prostředí jsme integrovali s Microsoft Entra ID a nastavili Role-Based Access Control (RBAC) i Conditional Access politiky. Díky Privileged Identity Managementu (PIM) jsme zpřehlednili správu oprávnění a vytvořili bezpečný rámec pro řízení přístupů.
Implementace síťové topologie
Navrhli a implementovali jsme architektonický vzor sítí v cloudu, nasadili centralizovaný firewall (pomocí NVA appliance ve vysoké dostupnosti) a zajistili jsme propojení s on-premise datacentrem.
Nastavení governance a bezpečnosti
Zavedli jsme pravidla pomocí Azure Policy, které vynucují pravidla pro regiony, naming, tagging a další provozní parametry. Vytvořili jsme blueprinty pro opakované nasazení aplikací. Integrovali jsme prostředí s Microsoft Sentinel a Defender for Cloud pro pokročilou bezpečnostní analýzu.
Zajištění monitoringu a zálohování
Zprovoznili jsme Azure Monitor a vytvořili Log Analytics Workspace pro sběr a analýzu provozních dat. Auditní a další bezpečnostní záznamy jsme napojili do interního SIEM řešení pomocí sady Event Hub prostředků. Nastavili jsme alerting pro klíčové metriky a zavedli Azure Backup a Site Recovery pro zálohování a obnovu kritických služeb.
Dobře navržená Azure landing zone přinesla Kooperativě:
Tato fáze nebyla jen technickým projektem – šlo o strategickou investici do budoucnosti IT prostředí Kooperativy.
Nasazení AVD do Azure landing zone
Jakmile byla Azure landing zone připravena, přišel čas vyřešit dlouhodobé potíže s provozem Citrix farmy.
Kooperativa proto zvolila Azure Virtual Desktop (AVD), který nabízí flexibilní přístup k aplikacím, snadné škálování, vysokou úroveň zabezpečení a bezproblémovou integraci s Microsoft 365. Jak jsme postupovali?
Návrh architektury AVD prostředí
Navrhli jsme strukturu AVD tak, aby odpovídala potřebám Kooperativy i principům enterprise governance. Využili jsme přitom komponenty připravené v Azure landing zóně – síťovou topologii, identitu, bezpečnostní politiky i monitoring.
Automatizace nasazení pomocí Terraformu
Celé prostředí AVD bylo nasazeno jako Infrastructure as Code. Vytvořili jsme Terraform moduly pro host pool, session hosty (VMs), aplikační skupiny, workspace a storage pro FSLogix profily. Vše jsme spravovali přes GitLab CI/CD pipeline s approval procesem.
Zprovoznění FSLogix profilů
Nakonfigurovali jsme FSLogix pro správu uživatelských profilů. Profily byly uloženy na Azure Files s Kerberos autentizací, což umožnilo bezproblémový roaming a rychlé přihlášení uživatelů.
Zajištění správy přes Intune
Virtuální stroje jsme připojili do Entra ID a zaregistrovali je v Intune. Nastavili jsme konfigurační politiky pro zabezpečení, aktualizace a správu aplikací. Pro automatické přiřazování politik jsme využili dynamické skupiny.
Ověření funkčnosti v pilotním provozu
AVD jsme nejprve nasadili pro vybranou skupinu uživatelů, ve které jsme sledovali výkon, stabilitu a uživatelskou zkušenost. Na základě zpětné vazby jsme provedli drobné úpravy konfigurace a teprve poté začali AVD používat ostatní pracovníci pojišťovny.
Nasazením AVD na připravené Azure landing zóně získala Kooperativa:
Projekt potvrdil, že důsledné plánování (paperwork) a následný automatizovaný deployment navržené landing zóny je klíčem k úspěšné implementaci cloudových služeb. A že AVD může být plnohodnotnou náhradou za tradiční VDI řešení.“
S Azure landing zone to začalo, s AVD nekončí
Co přinesly oba projekty různým týmům v Kooperativě – a co můžou přinést i vám?
IT architektům:
Managementu:
Koncovým uživatelům:
Dnes má Kooperativa moderní desktopové prostředí v cloudu. Azure landing zóna jí dává kontrolu nad správou, bezpečností i náklady. Bezproblémové soužití s AVD navíc ve společnosti rozvířilo úvahy nad dalším rozvojem cloudu.
CHCETE MÍT CLOUD POD KONTROLOU JAKO KOOPERATIVA?
Pomůžeme vám s výstavbou landing zóny, na kterou bude spolehnutí.
