Migration einer lokalen AIX UNIX-Instanz zu Azure Linux

In dieser Lösung wird eine Migration von einer IBM AIX Unix-Plattform zu Red Hat Enterprise Linux (RHEL) in Azure beschrieben. Das Beispiel aus der Praxis war eine Anwendung für das Gesundheits- und Sozialwesen für einen großen Kunden. Niedrige Transaktions- und Wartezeiten waren wichtige Anforderungen sowohl für das Legacy- als auch für das Azure-System. Eine wichtige Funktion ist das Speichern von Kundeninformationen in einer Datenbank, die mit einem Netzwerkdateispeicher verknüpft ist, der verwandte grafische Bilder enthält. Azure erfüllt diese Anforderung mit Azure NetApp Files.

Aufbau

Das folgende Diagramm zeigt die lokale AIX-Legacysystemarchitektur vor der Migration:

Laden Sie eine Visio-Datei dieser Architektur herunter.

• Netzwerkgeräte bieten eine umfangreiche Netzwerkrouting- und Lastenausgleichsebene (A).

• Die Präsentationsebene (B) verwendet drei Java-Web-Front-End-Computer in ihrem eigenen Subnetz. Der Netzwerkdatenverkehr wird nach Firewalls segmentiert.

• Firewalls (C) bilden Netzwerkgrenzen zwischen allen beteiligten Ebenen und Subsystemen. Firewalls sind zwar effektiv, aber auch mit einem hohen Verwaltungsaufwand verbunden.

• Das System übermittelt Benutzeranfragen an die Logikschicht (D), die über drei Webanwendungsserver verfügt.

• Die Anwendungsebene ruft die DB2-Datenbank und das NAS (Network Attached Storage) auf:

  • Die Datenbank (E) ist DB2 unter AIX. In einem HA/DR-Cluster sind drei DB2-Server konfiguriert.

  • Die Anwendung speichert Binärobjekte wie Bilder und PDFs für Kunden und Benutzer in einem NAS-Subsystem (F).

• Management- und Verwaltungsserver und die MQ-Server (G) befinden sich in einem eigenen, durch Firewalls segmentierten Subnetz.

• LDAP-Identitätsverwaltungsdienste (Lightweight Directory Access Protocol) (H) befinden sich in einem eigenen, durch Firewalls segmentierten Subnetz.

Das folgende Diagramm zeigt die Azure RHEL-Systemarchitektur nach der Migration:

Laden Sie eine Visio-Datei dieser Architektur herunter.

Datenfluss

1. Datenverkehr in Richtung des Azure-Systems wird über Azure ExpressRoute und Azure Traffic Manager weitergeleitet:

   • ExpressRoute bietet eine sichere, zuverlässige private Verbindung mit virtuellen Azure-Netzwerken. ExpressRoute stellt eine Verbindung mit Azure mit geringer Wartezeit, hoher Zuverlässigkeit und Geschwindigkeit sowie Bandbreiten von bis zu 100 GBit/s her.
   • Traffic Manager verteilt den öffentlichen Anwendungsdatenverkehr auf Azure-Regionen.

2. Eine Netzwerkverwaltungsebene bietet Dienste für Endpunktsicherheit, Routing und Lastenausgleich. Diese Ebene verwendet Azure Load Balancer und Azure Web Application Firewall.

3. Azure App Service dient als Präsentationsebene. App Service ist eine PaaS-Ebene (Platform-as-a-Service) für .NET- oder Java-Anwendungen. Sie können App Service für Verfügbarkeit und Skalierbarkeit innerhalb und zwischen Azure-Regionen konfigurieren.

4. Die Lösung kapselt jede Logikschicht in einem eigenen virtuellen Netzwerk, das mit Netzwerksicherheitsgruppen segmentiert ist.

5. Verfügbarkeitsgruppen und freigegebener Azure-Speicher bieten Hochverfügbarkeit und Skalierbarkeit für virtuelle Computer auf Ebene der Logikschicht. Anwendungsclusterserver geben den Transaktionsstatus frei und skalieren virtuelle Computer nach Bedarf hoch.

6. Die Anwendung nutzt eine Verbindung mit privatem Endpunkt, um Daten in Azure SQL-Datenbank zu speichern und auf diese Daten zuzugreifen. SQL-Datenbank wird in einer Geschäftskontinuitätskonfiguration ausgeführt, die Georeplikations- und Autofailover-Gruppen für automatische und gebietsübergreifende BCDR-Vorgänge bietet.

7. Azure NetApp Files bietet ein freigegebenes NAS mit schnellem Zugriff auf Binärdaten und Replikation in der sekundären Region.

8. Die sekundäre Region ermöglicht BCDR mit folgenden Komponenten:

   • Azure Site Recovery sichert VM-Images für das Notfallwiederherstellungsfailover in einer Aktiv/Passiv-Konfiguration. Site Recovery erstellt konsistente VM-Imagereplikate in der sekundären Region und hält die VM-Images synchron.
   • Die Geschäftskontinuitätskonfiguration für SQL-Datenbank sorgt dafür, dass die Datenbanktransaktionen konsistent bleiben. SQL-Datenbank stellt Replikatdatenbanken bereit und hält sie mit synchroner oder asynchroner Datenreplikation synchron.

Das System enthält außerdem die folgenden Komponenten:

• Mindestens ein virtueller Computer im virtuellen Verwaltungsnetzwerk bietet Management- und Verwaltungsfunktionen.

• Azure Service Bus implementiert die Infrastruktur der MQ-Serie und stellt Nachrichtenwarteschlangendienste für die Anwendungen zur Verfügung. Weitere Informationen zum Migrieren von der MQ-Serie zu Azure Service Bus finden Sie unter Migrieren vorhandener JMS 2.0-Anwendungen (Java Message Service) von Apache ActiveMQ zu Azure Service Bus.

• Microsoft Entra ID ermöglicht die Identitäts- und Zugriffsverwaltung für alle Azure-Entitäten und -Identitäten, die aus den LDAP-Legacydiensten migriert wurden.

Komponenten

• Azure ExpressRoute erweitert ein lokales Netzwerk über eine private Verbindung, die von einem Konnektivitätsanbieter bereitgestellt wird, in Microsoft-Clouddienste. ExpressRoute bietet eine sichere, zuverlässige private Verbindung mit dem Azure-System mit geringer Wartezeit und hoher Geschwindigkeit und Bandbreite.

• Azure Traffic Manager ist ein DNS-basierter Lastenausgleich, der Datenverkehr in den Azure-Regionen mit Hochverfügbarkeit und kurzen Reaktionszeiten verteilt.

• Azure Load Balancer unterstützt Hochverfügbarkeit, indem eingehender Netzwerkdatenverkehr gemäß konfigurierten Lastenausgleichsregeln und Integritätstests auf virtuelle Back-End-Computer verteilt wird. Load Balancer arbeitet auf der vierten Schicht des OSI-Modells (Open Systems Interconnection).

• Azure Web Application Firewall ist ein cloudnativer WAF-Dienst, der Web-Apps vor böswilligen Angriffen und allgemeinen Websicherheitsrisiken schützt.

• Azure App Service ist ein vollständig verwalteter Webhostingdienst für die schnelle und einfache Bereitstellung von Unternehmens-Web-Apps für jede Plattform in einer skalierbaren und zuverlässigen Cloudinfrastruktur.

• Azure Virtual Machines ist einer von mehreren Azure-Diensten, die bedarfsgesteuerte, skalierbare Computeressourcen zur Verfügung stellen. Mit Azure-VMs erhalten Sie die Flexibilität der Virtualisierung, ohne physische Hardware kaufen und warten zu müssen.

  • Verwaltete Azure SSD-Datenträger sind Speichervolumes auf Blockebene für virtuelle Azure-Computer.
  • Virtuelle Azure-Netzwerkadapter (Network Interface Cards, NICs) ermöglichen virtuellen Azure-Computern die Kommunikation mit dem Internet, Azure und lokalen Ressourcen. Sie können mehrere virtuelle Netzwerkadapter zu einem virtuellen Azure-Computer hinzufügen, sodass untergeordnete virtuelle Computer über ihre eigenen dedizierten Netzwerkschnittstellengeräte und IP-Adressen verfügen können.

• Azure Virtual Network ist der grundlegende Baustein für private Azure-Netzwerke. Mit Virtual Network können zahlreiche Arten von Azure-Ressourcen (z. B. virtuelle Computer) sicher untereinander sowie mit dem Internet und lokalen Netzwerken kommunizieren. Virtual Network bietet Vorteile der Azure-Infrastruktur wie Skalierbarkeit, Verfügbarkeit und Isolation.

• Azure Files-Speicher bietet vollständig verwaltete Dateifreigaben in der Cloud, auf die über Server Message Block (SMB), ein Protokoll nach Branchenstandard, zugegriffen werden kann. Cloudbasierte und lokale Windows-, Linux- und macOS-Bereitstellungen können Azure-Dateifreigaben gleichzeitig einbinden.

• Azure SQL-Datenbank ist eine PaaS-Lösung für vollständig verwaltete Datenbanken, die immer unter der aktuellen Version des Betriebssystems und der stabilen SQL Server-Datenbank-Engine mit höchster Verfügbarkeit ausgeführt wird. SQL-Datenbank übernimmt die Datenbankverwaltungsfunktionen wie Upgrades, Patches, Sicherungen und die Überwachung ohne Benutzereingriff.

• Azure NetApp Files bietet von NetApp unterstützte Azure-Dateifreigaben für Unternehmen. Mit Azure NetApp Files können Unternehmen komplexe, dateibasierte Anwendungen mühelos ohne Codeänderungen migrieren und ausführen.

• Azure Site Recovery ist ein nativer Azure-Dienst für die Notfallwiederherstellung. Site Recovery stellt Replikations-, Failover- und Wiederherstellungsprozesse bereit, um Anwendungen während geplanter und ungeplanter Ausfälle in Betrieb zu halten.

• Azure Service Bus ist ein zuverlässiger Cloudmessagingdienst mit einfacher Hybridintegration.

• Microsoft Entra ID ist ein cloudbasierter Identitäts- und Zugriffsverwaltungsdienst von Microsoft für Unternehmen. Einmaliges Anmelden und mehrstufige Authentifizierung von Microsoft Entra ID unterstützen Benutzer*innen bei der Anmeldung und beim Zugriff auf Ressourcen und schützen gleichzeitig vor Cybersicherheitsangriffen.

Alternativen

Azure App Service-Umgebungen sind für Anwendungsworkloads geeignet, die eine hohe Skalierung, Isolation und sicheren Netzwerkzugriff erfordern. Dieses Feature bietet vollständig isolierte und dedizierte Umgebungen für die sichere Ausführung von App Service-Apps in großem Umfang. In App Service-Umgebungen können die folgenden Arten von Apps gehostet werden:

• Linux-Web-Apps, wie im aktuellen Beispiel
• Windows-Web-Apps
• Docker-Container
• Mobile Apps
• Functions

Szenariodetails

Ein deutlicher Unterschied zwischen dem Legacysystem und der Cloudimplementierung besteht in der Handhabung der Netzwerksegmentierung. Das Legacysystem hat Netzwerke mit Firewalls segmentiert. Eine Cloudplattform wie Azure segmentiert Netzwerke mit virtuellen Netzwerken und Netzwerksicherheitsgruppen, die Datenverkehr anhand verschiedener Kriterien filtern.

Ein weiterer Unterschied zwischen den Systemen sind die Modelle für Hochverfügbarkeit (High Availability, HA) und Notfallwiederherstellung (Disaster Recovery, DR). Im Legacysystem wurden bei HA/DR hauptsächlich Sicherungen und in gewissem Umfang redundante Server im selben Rechenzentrum verwendet. Diese Konfiguration bot geringfügige DR-, aber nahezu keine HA-Funktionen. Die Verbesserung von HA/DR war ein entscheidender Faktor für die Umstellung auf die Azure-Plattform. Azure verwendet Clustering, freigegebenen Speicher und Azure Site Recovery, um ein hohes Maß an HA/DR zu gewährleisten.

Mögliche Anwendungsfälle

Zu den wichtigen Faktoren für die Umstellung von einer lokalen IBM AIX-Umgebung auf RHEL in Azure zählen u. a. folgende:

• Aktualisierte Hardware und geringere Kosten. Lokale Legacyhardwarekomponenten veralten ständig und werden nicht mehr unterstützt. Cloudkomponenten sind immer auf dem neuesten Stand. Die monatlichen Kosten können in der Cloud geringer sein.

• Agile DevOps-Umgebung. Die Bereitstellung von Complianceänderungen in einer lokalen AIX-Umgebung kann Wochen dauern. Möglicherweise müssen Sie ähnliche Umgebungen für die Leistungsentwicklung mehrmals einrichten, um Änderungen zu testen. In einer Azure-Cloudumgebung können Sie Benutzerakzeptanztests (User Acceptance Testing, UAT) und Entwicklungsumgebungen in wenigen Stunden einrichten. Sie können Änderungen über eine moderne, klar definierte DevOps-CI/CD-Pipeline (Continuous Integration und Continuous Delivery) implementieren.

• Verbesserte BCDR-Funktionen (Business Continuity & Disaster Recovery). In lokalen Umgebungen können RTOs (Recovery Time Objectives) einen hohen Wert haben. In der lokalen AIX-Beispielumgebung lag der RTO-Wert über herkömmliche Sicherungen und Wiederherstellungen bei zwei Tagen. Durch die Migration zu Azure wurde der RTO-Wert auf zwei Stunden reduziert.

Überlegungen

Für diese Lösung gelten auf Grundlage von Microsoft Azure Well-Architected Framework die folgenden Überlegungen:

Verfügbarkeit

• Azure NetApp Files kann den Dateispeicher in der sekundären Region mit der regionsübergreifenden Replikation von Azure NetApp Files-Volumes auf dem neuesten Stand halten. Dieses Azure-Feature bietet Schutz von Daten durch regionsübergreifende Volumereplikation. Sie können bei einem regionsweiten Ausfall ein Failover für kritische Anwendungen erstellen. Die regionsübergreifende Volumereplikation befindet sich derzeit in der Vorschauphase.

• Anwendungsclusterserver skalieren virtuelle Computer nach Bedarf hoch. Dadurch wird die Verfügbarkeit in Azure-Regionen erhöht.

Operations

Für die proaktive Überwachung und Verwaltung sollten Sie ggf. Azure Monitor zur Überwachung migrierter AIX-Workloads verwenden.

Effiziente Leistung

• Die potenziellen Engpässe in dieser Architektur sind die Speicher- und Computesubsysteme. Achten Sie darauf, Ihre Speicher- und VM-SKUs entsprechend auszuwählen.

• Bei den verfügbaren VM-Datenträgertypen handelt es sich um Ultra-Datenträger, Premium-SSDs, Standard-SSDs und Standard-Festplattenlaufwerke. Für diese Lösung ist es am besten, entweder Premium-SSDs oder Ultra-Datenträger zu verwenden.

• Beachten Sie beim Schätzen der Dimensionierung für virtuelle Computer aus einem AIX-System, dass die AIX-CPUs ungefähr 1,4-mal schneller sind als die meisten x86-vCPUs. Dieser Richtwert kann je nach Workload variieren.

• Platzieren Sie mehrere virtuelle Computer, die miteinander kommunizieren müssen, in einer Näherungsplatzierungsgruppe. Wenn Sie die virtuellen Computer nah beieinander platzieren, ist die Wartezeit bei der Kommunikation am geringsten.

Skalierbarkeit

• Azure ExpressRoute unterstützt eine hohe Skalierbarkeit für Implementierungen, die eine erhebliche Bandbreite für die erste Replikation oder die fortlaufende Replikation geänderter Daten beanspruchen.

• Die Infrastrukturverwaltung einschließlich der Skalierbarkeit ist in Azure-Datenbanken automatisiert.

• Sie können die Logikschicht aufskalieren, indem Sie weitere Anwendungsserver-VM-Instanzen hinzufügen.

Sicherheit

• Diese Lösung verwendet Azure-Netzwerksicherheitsgruppen, um den Datenverkehr zwischen Azure-Ressourcen zu verwalten. Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen.

• Halten Sie sich möglichst genau an die Anweisungen unter Bewährte Methoden für die Netzwerksicherheit in Azure.

• Befolgen Sie für VM- oder IaaS-Sicherheit (Infrastructure-as-a-Service) die bewährten Sicherheitsmethoden für IaaS-Workloads in Azure.

Kostenoptimierung

• Die Migration von AIX-Workloads zu Linux in Azure kann erhebliche Kosteneinsparungen mit sich bringen. Die Wartung der Hardware entfällt, die Kosten für Räumlichkeiten werden reduziert, und die Betriebskosten können in der Regel um den Faktor acht bis zehn gesenkt werden. Azure kann je nach Bedarf zusätzliche Kapazität für saisonale oder regelmäßige Workloads bereitstellen. Dadurch werden die Gesamtkosten gesenkt.

• Durch die Migration von AIX-Workloads zu Azure können Kosten auch durch die Verwendung cloudnativer Dienste reduziert werden. Beispiele:

  • Verwendung von Azure App Service für die Präsentationsebene, anstatt mehrere virtuelle Computer einzurichten
  • Segmentieren von Workloads mit virtuellen Azure-Netzwerken anstelle der Verwendung von hardwarebasierten Firewalls

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

• Jonathon Frost | Principal Program Manager

Nächste Schritte

• Migrieren von AIX-Workloads zu Azure: Ansätze und Best Practices
• Planungshandbuch für die strategische Migration von AIX zu Red Hat Enterprise Linux
• Wenden Sie sich an legacy2azure@microsoft.com, um weitere Informationen zu erhalten.

Zugehörige Ressourcen

• Hochverfügbarkeits- und Notfallwiederherstellungsszenarios für IaaS-Apps
• Webanwendung mit mehreren Ebenen für Hochverfügbarkeit und Notfallwiederherstellung
• n-schichtige Anwendung für mehrere Regionen
• Ausführen eines virtuellen Linux-Computers in Azure