Azure Public vs. Private Endpoints - Wer hat im Unternehmen das Sagen? (S2F06)

Public vs. Private Endpoints – Wer hat im Unternehmen das Sagen?


MVP-Treff Oster-Spezial: Eggs of Knowledge mit Andreas
Hartig


Klingt nach einer einfachen technischen Entscheidung, oder?
Public Endpoint oder Private Endpoint – ja oder nein?


Wer aber schon mal versucht hat, in einem größeren Unternehmen
Private Endpoints durchzusetzen, weiß: Das ist keine technische
Frage. Das ist eine politische.


In dieser Oster-Spezial-Folge im Rahmen der MVP-Treff
Aktion „Eggs of Knowledge" sprechen Chris und Matthias
mit Andreas Hartig, Microsoft MVP für Windows
Server und Azure Arc-Experte, über die Realität hinter der
Endpoint-Entscheidung.


Was sind Public Endpoints?


Public Endpoints sind öffentlich erreichbare IP-Adressen für
Azure-Ressourcen. Ein Storage Account, eine SQL-Datenbank, Entra
ID – standardmäßig sind sie über das Internet erreichbar. Das
bedeutet nicht, dass der Traffic unverschlüsselt
ist (HTTPS und TLS sorgen für Sicherheit), aber der Endpunkt
selbst ist öffentlich.


Matthias stellt klar: "Nur weil es Public Endpoints heißt, heißt
es nicht, dass der Verkehr dahin Public ist. Wir haben natürlich
eine verschlüsselte Kommunikation über HTTPS etc."


Was sind Private Endpoints?


Private Endpoints ersetzen die öffentliche IP durch eine private
IP im eigenen VNet. Der Traffic läuft nicht mehr über das
Internet, sondern über VPN Gateway, ExpressRoute oder Azure
Bastion direkt ins eigene Netzwerk. Das bringt Sicherheit und
Compliance-Konformität – aber auch erhebliche Komplexität.


Die DNS-Herausforderung


Chris bringt es auf den Punkt: "It's always DNS."


Private Endpoints erfordern Private DNS Zones in Azure, die
korrekt mit dem On-Premise-DNS verknüpft sein müssen. Conditional
Forwarder, Split-Brain-DNS-Vermeidung, Legacy-Proxies – all das
kann zum Problem werden.


Matthias ergänzt: "Es muss ja auch betrieben werden. Also nicht
nur im Projekt aufgesetzt, sondern du brauchst ja auch einen
Betrieb, der das weiter betreut. Ich muss es implementieren,
dokumentieren und warten können."


Azure Arc und Private Endpoints


Andreas bringt seine Expertise ein: Beim Launch von Azure Arc gab
es nur Public Endpoints – eine große Herausforderung für
Unternehmen mit strikten Compliance-Anforderungen. Über 100 URLs
mussten in Firewalls freigegeben werden, Security-Teams bekamen
Bauchschmerzen.


Heute gibt es Private Link Scope für Azure Arc, aber Andreas
warnt: "Ich bin ein großer Freund von Public Endpoints bis heute.
Microsoft hat da zwar sehr viel getan Richtung Private Endpoints,
aber die Komplexität ist enorm."


Die 80/20-Regel


Matthias' klare Position: "Ich bin ein Befürworter erst einmal
für Public Endpoints. Es gibt gewisse Anforderungen, da kommen
wir um Private nicht umrum, ganz klar. Aber auch das Setup und
den Betrieb dauerhaft einfacher zu halten – für 80 Prozent der
Use Cases können wir bei Public bleiben."


Chris gibt zu: "Ich muss zugeben, ich bin jetzt für diese Sendung
der Fanboy der Private Endpoints, aber eigentlich bin ich da auch
ambivalent. Was sagt der Berater immer? Es kommt darauf an."


Ein wichtiger Punkt: Wenn eine Kommunikation
bereits in Azure ist und einen Public Endpoint anspricht, läuft
das nicht übers Internet, sondern über das Backbone-Netz von
Microsoft – ein privates Netz.


Die politische Dimension


Andreas' Praxis-Tipp: "Ich würde das immer über einen Workshop
mit dem Team starten und alle beteiligten Parteien in einen
moderierten Raum holen. Wichtig ist nur, dass man da
ergebnisoffen rangeht und sich auf die wirklichen
Businessanforderungen konzentriert."


Welche Teams müssen an den Tisch? Netzwerk-Team, Firewall-Team,
Proxy-Team (falls vorhanden), IT-Security und Operations-Team.


Andreas warnt: "Einen Konsens erzeugen, bevor ich versuche ein
Produkt in die Teams zu drücken gegen Widerstände von mehreren.
Das hat, egal was man tut, einer Cloud Journey keine oder wenig
Aussicht auf Erfolg."


Matthias nickt: "Das passt perfekt in unsere letzten Folgen über
das Cloud Adoption Framework. Bringt alle an einen Tisch, redet
miteinander, definiert, was der Business Use Case ist und stellt
nicht ein Tool oder ein Werkzeug in den Fokus."


Azure News der Folge:


Infrastructure as Code für PostgreSQL Elastic
Clusters (GA) – Terraform, Bicep, Ansible


Azure Storage Mover – Migrationen mit privaten
Verbindungen (z.B. von AWS S3 zu Azure)


Fazit:


Die Entscheidung zwischen Public und Private Endpoints ist keine
rein technische Frage. Sie ist eine strategische Entscheidung,
die Architektur, Betrieb, Kosten und Politik betrifft.


Matthias' Haltung: Public first für 80% der Use
Cases – Private, wenn Compliance es erfordert.


Chris' Haltung: Es kommt darauf an – und das
Azure Backbone ist dein Freund.


Andreas' Haltung: Workshop first, Konsens
erzeugen, dann entscheiden.


Und denk dran: It's always DNS.


Melde dich für unseren Substack-Newsletter an, um
exklusive Inhalte zur Folge zu erhalten:
https://podcastcloudoptimizer.substack.com/


Folge uns auf LinkedIn und diskutiere mit uns:


Andreas: https://www.linkedin.com/in/andreas-hartig/


Christian: https://www.linkedin.com/in/christian-forjahn


Matthias:
https://www.linkedin.com/in/matthias-braun-cloud-architect


Hat dir die Folge gefallen? Dann hinterlasse eine
Bewertung und teile den Podcast mit deinem Netzwerk.


Osterei-Hinweis: Das Osterei für die MVP-Treff
Gewinnspiel-Aktion findest du im Substack-Newsletter zu dieser
Folge!


Mehr Infos: www.mvp-treff.de


Bis zur nächsten Episode! Chris und Matthias


PS: Danke an Svenja für das großartige Intro und
Outro!


Fertig! Jetzt sind alle Elemente komplett.


This is a public episode. If you would like to discuss this with
other subscribers or get access to bonus episodes, visit
podcastcloudoptimizer.substack.com