Hybride Cloud-Architektur: 4 Muster, die im Unternehmen wirklich funktionieren
Vier bewährte Hybrid-Cloud-Architekturmuster für Unternehmen mit Azure Arc, ExpressRoute und hybrider Identität.
Nicht jeder Workload gehört in die Public Cloud. Regulatorische Vorgaben, Latenzanforderungen, Datenresidenzpflichten und Abhängigkeiten von Legacy-Systemen sorgen dafür, dass die meisten Unternehmen auf Jahre hinaus hybrid arbeiten — möglicherweise dauerhaft. Die Frage ist nicht, ob hybrid, sondern welches Hybridmuster zu Ihrer Realität passt.
Nach Jahren des Entwurfs hybrider Architekturen für Unternehmenskunden in Europa haben wir vier Muster identifiziert, die zuverlässig Ergebnisse liefern. Wir haben auch gelernt, wann jedes Muster greift und wann nicht.
Wann Hybrid sinnvoll ist (und wann nicht)
Hybride Cloud ist kein Kompromiss — sie ist eine bewusste Architekturentscheidung. Sie ist sinnvoll, wenn:
- Regulatorische Anforderungen vorschreiben, dass bestimmte Daten On-Premises oder in einer bestimmten Jurisdiktion bleiben müssen
- Latenzsensitive Workloads (z. B. Fertigungssteuerungen, Hochfrequenzhandel) die Netzwerklatenz der Public Cloud nicht tolerieren
- Legacy-Anwendungen, die nicht refaktoriert werden können, auf Hardware laufen, die noch nicht End-of-Life ist
- Data Gravity es unpraktikabel macht, Petabytes an Daten zur Verarbeitung in die Cloud zu verschieben
Hybrid ist nicht sinnvoll als Dauerzustand für Workloads, die einfach „noch nicht bereit" sind — das ist ein Migrationsrückstand, kein Architekturmuster. Wenn der einzige Grund für On-Premises ist, dass niemand die Migration geplant hat, braucht der Workload keine Hybridarchitektur, sondern eine Migrationswelle.
Muster 1: Hub-and-Spoke mit ExpressRoute
Dies ist das grundlegende Hybridmuster und dasjenige, das die meisten Unternehmen zuerst implementieren sollten.
Architektur:
- On-Premises-Rechenzentrum über ExpressRoute (oder Site-to-Site-VPN als Fallback) mit Azure verbunden
- Azure Hub-VNet mit Azure Firewall zur zentralen Traffic-Inspektion und -Steuerung
- Spoke-VNets gepeert mit dem Hub, jeweils einen Workload oder eine Umgebung hostend
- On-Premises-DNS-Forwarding an Azure Private DNS Zones für PaaS-Private-Endpoint-Auflösung
Einsatzfall: Jedes Unternehmen, das zuverlässige, latenzarme Konnektivität zwischen On-Premises und Azure benötigt.
Zentrale Designentscheidungen:
- ExpressRoute-Circuit-Dimensionierung: Beginnen Sie mit 1 Gbit/s für die meisten Unternehmen; Auslastung überwachen und bei Bedarf hochskalieren. Immer zwei Circuits an verschiedenen Peering-Standorten für Resilienz
- Routing: BGP verwenden, um On-Premises-Routen nach Azure zu advertisen. Statische Routen vermeiden — sie skalieren nicht und erzeugen Wartungsaufwand
- Firewall-Platzierung: Sämtlicher Traffic zwischen On-Premises und Azure muss die Azure Firewall (oder NVA) passieren. Keine Ausnahmen. So wird zentrales Logging und Policy-Enforcement sichergestellt
- Private-Endpoint-Strategie: Jeder PaaS-Dienst, auf den von On-Premises zugegriffen wird, muss einen Private Endpoint nutzen. Öffentlicher Zugang muss deaktiviert sein
Praxistipp: Setzen Sie ExpressRoute Global Reach ein, wenn Sie mehrere On-Premises-Standorte haben, die über Azure kommunizieren müssen. Ohne Global Reach wird der Inter-Site-Traffic über Ihr WAN zurückgeleitet, statt das Microsoft-Backbone zu nutzen.
Häufiger Fehler: Zu wenig in ExpressRoute-Monitoring investieren. Wir deployen Azure-Monitor-Alerts für Circuit-Auslastung, BGP-Peer-Status und Paketverluste. Ein ExpressRoute-Ausfall, der 30 Minuten unbemerkt bleibt, kann zu weitreichenden Anwendungsausfällen kaskadieren.
Muster 2: Azure Arc für einheitliches Management
Azure Arc erweitert die Azure-Steuerungsebene auf On-Premises- und Multi-Cloud-Ressourcen. Es verschiebt keine Workloads — es bringt Azure-Management, Governance und Sicherheit dorthin, wo Workloads bereits sind.
Architektur:
- Arc-fähige Server: On-Premises Windows- und Linux-Server in Azure registriert, per Azure Policy verwaltet, über Azure Monitor überwacht, durch Microsoft Defender for Cloud geschützt
- Arc-fähiges Kubernetes: On-Premises-Kubernetes-Cluster über Azure verwaltet, mit GitOps (Flux) für Konfiguration und Azure Policy für Compliance
- Arc-fähige Datendienste: Azure SQL Managed Instance und PostgreSQL On-Premises betrieben, über Azure verwaltet
Einsatzfall: Unternehmen, die eine einheitliche Management-Ebene über hybride und Multi-Cloud-Umgebungen benötigen, insbesondere wenn die vollständige Migration noch Jahre entfernt ist.
Zentrale Designentscheidungen:
- Konnektivitätsmodus: Directly Connected Mode verwenden, wenn Server ausgehenden Internetzugang zu Azure haben. Indirectly Connected Mode für Air-Gapped-Umgebungen (eingeschränkte Funktionalität)
- Policy-Scope: Azure Policies auf Arc-fähige Ressourcen auf derselben Management-Group-Ebene wie Cloud-Ressourcen anwenden — das stellt konsistente Governance sicher
- Update-Management: Azure Update Manager für Arc-fähige Server nutzen, um Patch-Management über Cloud und On-Premises zu konsolidieren
Der Mehrwert in Zahlen: Einer unserer Kunden hat seinen Tooling-Footprint von fünf separaten Management-Tools (SCCM, Nagios, Custom Scripts, CMDB und Ticketsystem) auf Azure Arc + Azure Monitor + Azure Policy reduziert. Der operative Overhead sank um 35 Prozent.
Muster 3: Hybride Identität mit Entra ID
Identität ist die Steuerungsebene der hybriden Cloud. Fehler hier erzeugen Sicherheitslücken und Nutzerfrustration. Richtig umgesetzt, fühlt sich Hybrid nahtlos an.
Architektur:
- On-Premises Active Directory Domain Services (AD DS) synchronisiert mit Microsoft Entra ID (ehemals Azure AD) über Entra Connect (oder Entra Cloud Sync)
- Conditional-Access-Richtlinien konsistent über Cloud- und On-Premises-Anwendungen angewendet
- Azure AD Application Proxy zur Bereitstellung von On-Premises-Webanwendungen für Remote-Nutzer ohne VPN
- Password Hash Sync + Seamless SSO für Authentifizierungsresilienz (selbst bei Nichterreichbarkeit des On-Premises-AD funktioniert die Cloud-Authentifizierung weiter)
Einsatzfall: Jedes hybride Unternehmen. Es gibt keine tragfähige Hybridarchitektur ohne hybride Identität.
Zentrale Designentscheidungen:
- Authentifizierungsmethode: Wir empfehlen nachdrücklich Password Hash Sync (PHS) als primäre Methode. Pass-Through Authentication (PTA) oder AD FS Federation nur, wenn regulatorische Vorgaben vorschreiben, dass Passwort-Hashes die On-Premises-Grenze nicht verlassen dürfen
- Staging-Modus: Immer einen zweiten Entra-Connect-Server im Staging-Modus für Disaster Recovery betreiben
- Gruppenbasierte Lizenzierung: Entra-ID-Gruppen für die Lizenzzuweisung nutzen — manuelle Lizenzverwaltung skaliert nicht
- Conditional-Access-Baseline: Legacy-Authentifizierung blockieren, MFA für alle Nutzer erzwingen, konforme Geräte für den Zugriff auf sensible Anwendungen verlangen
Wichtiger Hinweis für deutsche Unternehmen: Falls Ihr Datenschutzbeauftragter Bedenken gegenüber Password Hash Sync hat: PHS überträgt einen abgeleiteten Hash, nicht das tatsächliche Passwort. Microsofts Dokumentation bietet detaillierte Sicherheitsanalysen, die typischerweise DSGVO- und BaFin-Anforderungen erfüllen. Wir unterstützen Kunden bei dieser Diskussion.
Häufiger Fehler: Entra Connect auf einem Domain Controller betreiben. Entra Connect gehört auf einen dedizierten, domänenverbundenen Server. Kollokation auf einem DC erzeugt Upgrade- und Troubleshooting-Komplexität.
Muster 4: Datenresidenz-bewusste Hybridarchitektur
Für Unternehmen mit strengen Datenresidenzanforderungen — verbreitet in Finanzdienstleistung, Gesundheitswesen und öffentlichem Sektor — muss die Hybridarchitektur darauf ausgelegt sein, wo Daten gespeichert werden und fließen dürfen.
Architektur:
- Datenklassifizierung auf jeden Datensatz angewendet: öffentlich, intern, vertraulich, eingeschränkt
- Eingeschränkte Daten verbleiben On-Premises oder in einer spezifischen Azure-Region mit Sovereign Controls
- Nicht eingeschränkte Workloads laufen in Azure und greifen über Private Endpoints und ExpressRoute auf On-Premises-Daten zu
- Datenverarbeitungsschicht läuft dort, wo die Daten liegen — wenn Daten On-Premises bleiben müssen, kommt die Rechenleistung zu den Daten (via Azure Stack HCI oder Arc-fähige Datendienste)
Einsatzfall: Unternehmen in regulierten Branchen oder solche, die grenzüberschreitenden Datentransferbeschränkungen unterliegen (z. B. Schrems-II-Implikationen für EU-US-Datentransfers).
Zentrale Designentscheidungen:
- Azure-Regionsauswahl:
Germany West CentralundGermany Northfür deutsche Datenresidenz nutzen. Für EU-only funktioniert jede EU-Region, aber die Rationale muss dokumentiert werden - Azure Confidential Computing: Für hochsensible Workloads DCsv3-Serie-VMs mit Intel-SGX-Enclaves einsetzen — Daten sind selbst während der Verarbeitung verschlüsselt
- Egress-Kontrollen: Azure Policy nutzen, um Ressourcenerstellung außerhalb genehmigter Regionen zu unterbinden, und Azure Firewall zur Verhinderung von Datenexfiltration
- Audit-Trail: Jeder grenzüberschreitende Datenfluss muss protokolliert, klassifiziert und auditierbar sein
Häufiger Fehler: Datenresidenz als binäre Entscheidung (On-Prem vs. Cloud) behandeln statt als Spektrum. Viele Datensätze haben Bestandteile mit unterschiedlichen Klassifizierungen. Ein Kundendatensatz kann öffentlich verfügbare Geschäftsadressdaten und eingeschränkte persönliche Finanzdaten enthalten — diese lassen sich über Grenzen hinweg aufteilen.
Das richtige Muster wählen
Die meisten Unternehmen kombinieren mehrere Muster:
| Muster | Primärer Treiber | Typische Workloads |
|---|---|---|
| Hub-and-Spoke + ExpressRoute | Konnektivität und Sicherheit | Alle hybriden Workloads |
| Azure Arc | Einheitliches Management | Legacy-Server, On-Prem-Kubernetes |
| Hybride Identität | User Experience und Sicherheit | Alle Anwendungen |
| Datenresidenz-bewusst | Regulatorische Compliance | Finanz, Gesundheit, Öffentlicher Sektor |
Muster 1 (Netzwerk) und Muster 3 (Identität) sind Voraussetzungen — implementieren Sie diese zuerst. Muster 2 und 4 werden je nach spezifischen Anforderungen darauf aufgebaut.
Wie wir unterstützen
CC Conceptualise entwirft und implementiert hybride Cloud-Architekturen, die auf europäische Unternehmensanforderungen zugeschnitten sind. Wir verstehen die regulatorische Landschaft (DSGVO, NIS2, BaFin, DORA) und übersetzen Compliance-Anforderungen in technische Architekturentscheidungen. Lassen Sie uns Ihre Hybridarchitektur gestalten.