Abstrakt: Hybridní cloud se v posledních letech etabloval jako dlouhodobá architektura většiny enterprise organizací, nikoli jako přechodné řešení. Článek shrnuje principy návrhu, klíčové oblasti propojení on-premise prostředí s veřejnými cloudy, typické chyby a doporučení pro úspěšnou implementaci. Text je určen IT vedoucím, architektům a infrastrukturním specialistům, kteří se podílejí na strategii hybridního provozu.
Proč hybridní model přetrvává
Předpoklad z přelomu desetiletí, že většina podnikových aplikací skončí ve veřejném cloudu, se nenaplnil. Reálná analýza aplikačního portfolia ve velkých organizacích typicky ukazuje, že přibližně třetina aplikací je vhodná k okamžité migraci, další třetina vyžaduje zásadní úpravy a poslední třetina musí z regulatorních, výkonnostních nebo nákladových důvodů zůstat ve vlastním prostředí.
Hybridní cloud tedy není kompromisem, ale optimalizací. Důvody pro zachování části workloadu on-premise jsou pragmatické:
- regulatorní omezení na umístění dat, zejména v bankovnictví, zdravotnictví a veřejné správě
- legacy systémy bez cloudové alternativy, typicky mainframové aplikace
- požadavky na velmi nízkou latenci, například ve výrobě nebo obchodování
- ekonomická výhodnost vlastní infrastruktury pro stabilní a předvídatelné workloady
- požadavek na kontrolu nad kritickými systémy
Stavební bloky hybridní architektury
On-premise prostředí zahrnuje vlastní datacentrum nebo kolokační prostor, virtualizační platformu, úložiště, síťovou infrastrukturu a systémy zálohování a obnovy.
Cloudové prostředí poskytuje IaaS služby pro výpočet a úložiště, PaaS služby pro databáze a analytické úlohy, dále SaaS aplikace a řízené bezpečnostní služby.
Propojovací vrstva je nejnáročnější součástí návrhu. Patří do ní síťová konektivita, správa identit, jednotná správa, replikace dat a bezpečnostní perimetr. Kvalita propojovací vrstvy zpravidla rozhoduje o úspěchu celé architektury.
Síťová konektivita
Site-to-Site VPN je nejjednodušší a nejlevnější způsob propojení. Vhodný je pro pilotní projekty, vývojová prostředí a pobočky s nižším provozem. Nevýhodou je závislost na kvalitě internetového připojení, proměnlivá latence a omezená propustnost.
Dedikované okruhy typu Azure ExpressRoute, AWS Direct Connect nebo Google Cloud Interconnect poskytují garantovanou propustnost v řádu jednotek až stovek Gbps a latence pod 5 ms v rámci regionu. Nasazení trvá zpravidla 6 až 12 týdnů a měsíční náklady se pohybují v jednotkách až desítkách tisíc eur. Pro produkční workloady s vysokými nároky na dostupnost představují standard.
SD-WAN technologie vytváří inteligentní překryvnou síť nad různými typy spojů. Umožňuje automatický přechod na záložní spoj, optimalizaci provozu podle aplikací a centrální správu. V kombinaci s dedikovanými okruhy a VPN tvoří odolnou topologii.
Pro produkční nasazení platí pravidlo, že redundance není volitelná. Dva nezávislé okruhy od různých poskytovatelů jsou minimem.
Správa identit
Správa identit je nejčastějším zdrojem provozních problémů hybridních prostředí. Uživatelé očekávají jednotné přihlášení, aplikace používají různé protokoly a bezpečnostní oddělení požaduje dohledatelnost.
Pro organizace s Active Directory představuje typické řešení synchronizace přes Microsoft Entra Connect, dříve Azure AD Connect. Volba mezi synchronizací hashe hesel, průchozí autentizací a federací přes ADFS závisí na požadavcích na kontrolu a dostupnost.
V multi-cloudovém prostředí se osvědčuje centrální poskytovatel identit, například Okta, Ping Identity nebo Microsoft Entra ID, propojený se všemi cílovými prostředími přes SAML nebo OpenID Connect. Automatické zřizování účtů přes SCIM výrazně snižuje administrativní zátěž.
Vícefaktorová autentizace je dnes minimem, podmíněný přístup na základě kontextu (lokalita, zařízení, riziko) představuje další úroveň zabezpečení.
Jednotná správa
Spravovat hybridní prostředí oddělenými nástroji pro každou platformu vede k duplicitě, nekonzistenci a vysokým nákladům na lidské zdroje. Hlavní cloud poskytovatelé na to zareagovali rozšířením vlastní řídicí roviny do on-premise prostředí.
Microsoft Azure Arc umožňuje promítnout on-premise servery, kubernetové clustery a databázové služby do Azure portálu a aplikovat na ně Azure policies, monitoring a Log Analytics. Vyžaduje pouze odchozí HTTPS konektivitu a nasazení agenta.
AWS Outposts přináší fyzický AWS hardware do datacentra zákazníka s identickým API jako veřejný region. Doplňkem je ECS a EKS Anywhere pro orchestraci kontejnerů na vlastním hardwaru.
Google Anthos staví na Kubernetes a Istio service mesh. Cílí na organizace s mikroslužbovou architekturou a multi-cloudovou strategií.
Volba mezi těmito přístupy se odvíjí od stávající investice do jednoho z poskytovatelů a od strategie kontejnerizace.
Správa dat
Data mají gravitaci. Velké objemy dat přitahují aplikace a jejich přenos je nákladný i časově náročný. Strategie pro hybridní data se proto soustředí na tři principy: umístit data tam, kde dávají smysl, replikovat selektivně a používat mezivrstvy.
Tiering rozděluje data podle frekvence přístupu na horká, vlažná a studená a směruje je na odpovídající úložiště. Horká data zůstávají blízko aplikace, studená data putují do levných archivních služeb v cloudu.
Replikace může být synchronní pro kritická data s nulovou ztrátou, asynchronní pro analytické účely nebo formou pravidelných snapshotů pro zálohování. Volba závisí na požadavcích na konzistenci a tolerovanou ztrátu dat.
Hybridní datové platformy typu NetApp Cloud Volumes ONTAP, AWS Storage Gateway nebo Azure Stack HCI poskytují společnou abstrakci nad on-premise a cloudovým úložištěm. Aplikace pracují s daty bez ohledu na fyzické umístění.
Egress poplatky za odchozí data z cloudu jsou často podceňovaným nákladem. Architektura by měla minimalizovat zbytečné přenosy a využívat lokální zpracování dat tam, kde leží.
Bezpečnost
Tradiční perimetrová bezpečnost v hybridním cloudu nestačí. Perimetr není jeden, ale rozprostřený mezi prostředími. Vhodným modelem je Zero Trust, který nedůvěřuje žádnému spojení implicitně a vyžaduje opakované ověření identity, zařízení i kontextu.
Hybridní bezpečnostní centrum agreguje logy z obou prostředí do společného SIEM, korreluje události napříč hranicemi a automatizuje reakci na incidenty. Microsoft Sentinel, Splunk nebo IBM QRadar patří mezi obvyklé volby.
Síťová bezpečnost kombinuje cloudové bezpečnostní skupiny s on-premise firewally, webové aplikační firewally pro vystavené služby a ochranu proti DDoS na hraně cloudu. Mikrosegmentace omezuje pohyb útočníka uvnitř prostředí.
Správa privilegovaných přístupů je v hybridu obzvláště citlivá. Centrální PAM řešení s nahráváním relací a dočasným zpřístupněním účtů je standardem.
Kontinuita provozu
Hybridní cloud nabízí flexibilní možnosti pro disaster recovery. Typické vzory zahrnují primární prostředí on-premise s cloudovým DR, opačné uspořádání nebo aktivní-aktivní topologii. Volba závisí na požadavcích na RTO (cíl doby obnovy) a RPO (cíl bodu obnovy) a na nákladovém rámci.
Pravidlo zálohování 3-2-1-1 vyžaduje tři kopie dat na dvou různých médiích, jednu kopii mimo lokalitu a jednu neměnitelnou kopii jako ochranu proti ransomwaru. Hybridní zálohovací nástroje typu Veeam, Commvault, Azure Backup nebo AWS Backup podporují tento model nativně.
Řízení nákladů
Hybridní cloud generuje skryté náklady, které se v rozpočtech často objeví až dodatečně. Patří mezi ně poplatky za odchozí data, licenční nesoulad u Oracle a Microsoft, redundantní infrastruktura, dedikované okruhy a investice do školení.
FinOps přístup zavádí transparentní rozúčtování na oddělení, automatickou alokaci nákladů, využívání rezervovaných instancí pro stabilní workloady a přechodných (spot) instancí pro dávkové úlohy. Pravidelný right-sizing podle skutečného využití je nezbytností. Bez aktivního řízení rostou cloudové náklady o 20 až 40 % ročně.
Doporučení pro architekturu
Pro budoucí životnost hybridního prostředí platí několik principů: vystavovat funkcionalitu přes API, používat kontejnery a Kubernetes jako standard pro běhové prostředí, navrhovat volně provázané komponenty komunikující přes události, popisovat infrastrukturu kódem a investovat do pozorovatelnosti přes metriky, logy a trasování.
Implementace hybridního cloudu je dlouhodobý proces. Doporučuje se postupovat po krocích, začít s rychlými výhrami a postupně rozšiřovat rozsah. Snaha o dokonalou architekturu od počátku zpravidla skončí zpožděním a frustrací.
Závěr
Hybridní cloud zůstane na dohlednou dobu standardní architekturou pro většinu velkých organizací. Jeho úspěšné nasazení vyžaduje strategickou vizi, zkušený tým, postupnou implementaci a trvalou optimalizaci. Klíčové oblasti jsou spolehlivá konektivita, jednotná správa identit, automatizace provozu a bezpečnost postavená na principech Zero Trust.
Organizace, které tyto principy zvládnou, získávají flexibilitu cloudu při zachování kontroly nad kritickými systémy. Klíčem není volba mezi cloudem a vlastní infrastrukturou, ale jejich inteligentní kombinace přizpůsobená konkrétním potřebám.
