Azure Arc voor hybride beheer: wanneer wel, wanneer niet
Azure Arc positioneert Microsoft als het beheer van servers die niet in Azure staan, alsof ze dat wel doen. On-premises machines, servers bij een andere cloud, of hardware bij een colocation-aanbieder: Arc projecteert ze als resources in het Azure-portaal en maakt ze beheerbaar via Azure Policy, Defender for Cloud en Azure Monitor.
Dat klinkt aantrekkelijk. Of het ook werkt, hangt af van je situatie.
Wanneer Arc zinvol is
Je wilt Azure Policy toepassen op on-premises servers. Dit is de sterkste use case. Arc installeert een agent op de server die rapporteert aan Azure. Daarna kun je policies toewijzen: dwingt af dat bepaalde software geinstalleerd is, controleert configuraties, signaleert afwijkingen. Voor organisaties die al Azure Policy gebruiken voor hun cloud-resources is dit een directe uitbreiding van iets wat ze al kennen.
Je doet een lift-and-shift assessment. Arc verzamelt data over de workload: CPU, geheugen, dependencies, netverkeer. Die informatie gebruik je om te bepalen welke VM-grootte je nodig hebt in Azure en welke dependencies je mee moet nemen. De Azure Migrate tool integreert hier goed mee.
Je wilt multi-cloud governance vanuit een centraal punt. Als je AWS EC2-instances of Google Compute Engine VMs hebt die je onder hetzelfde governance-model wilt brengen als je Azure-resources, dan is Arc de verbindingslaag. Je beheert dan niet meerdere governance-tools per cloud, maar gebruikt Azure Policy als de centrale laag.
Bekijk Azure Arc en hybride cloud trainingen
Wanneer Arc weinig toevoegt
Latency-gevoelige workloads. Arc is een beheertool, geen netwerkverbinding. Je workload draait nog steeds op de lokale server, maar de beheeropties en monitoring lopen via Azure. De overhead van de Arc-agent op de machine is klein (een paar procent CPU in pieken), maar de latency naar Azure voor elke beleidscontrole of monitoring-check kan een probleem zijn in real-time omgevingen.
Organisaties die Azure niet als primair control plane willen. Arc werkt goed als je al in Azure zit en dat platform vertrouwt als de centrale plek waar je beheer doet. Als je organisatie juist probeert om vendor lock-in te vermijden of al zwaar investeert in een andere governance-tool zoals Ansible of Puppet, dan voegt Arc een laag toe in plaats van er een weg te nemen.
Omgevingen zonder stabiele connectiviteit. De Arc-agent heeft verbinding nodig met Azure om te werken. In omgevingen met slechte of intermittente internetverbinding, denk aan industriele locaties, schepen, of edge-deployments, werkt Arc onbetrouwbaar. Microsoft heeft een “Arc-enabled servers in disconnected scenarios” scenario (via Local Configuration Policy), maar dat is beperkt in functionaliteit.
Kosten
Arc zelf is gratis voor de basisversie: agent installeren, servers zichtbaar maken in Azure, Azure Policy gebruiken. Je betaalt voor aanvullende services die je erbovenop activeert.
- Azure Monitor en Log Analytics: op basis van data-ingest, reken op €2-4 per GB afhankelijk van retentietijd.
- Microsoft Defender for Servers: €0,02 per server per uur voor Plan 1, €0,057 per uur voor Plan 2 (met EDR en vulnerability assessment). Op jaarbasis is dat €175 tot €500 per server.
- Azure Automation (voor Update Management, Desired State Configuration): €0,002 per node per uur.
Voor een organisatie met 50 on-premises servers die ook Defender for Servers Plan 2 wil activeren, kom je al snel op €8.000 tot €12.000 per jaar. Vergelijk dat met wat je betaalt voor je huidige monitoring- en patchoplossing.
Een eerlijk advies
Arc is geen silver bullet voor hybride beheer. Het werkt goed als je al diep in Azure zit en je governance-model wilt doortrekken naar on-premises resources. Het werkt minder goed als je Arc inzet als brugje om de stap naar Azure later te maken, maar die stap nooit echt zet.
De juiste vraag is: is Azure ons control plane, en willen we dat het dat ook voor on-premises is? Als het antwoord ja is, dan is Arc de juiste tool. Als het antwoord twijfelend is, dan is de investering in licenties en beheer waarschijnlijk groter dan de opbrengst.