Public vs. Private Endpoints – Wer hat im Unternehmen das Sagen? MVP-Treff Oster-Spezial: Eggs of Knowledge mit Andreas Hartig Klingt nach einer einfachen technischen Entscheidung, oder? Public Endpoint oder Private Endpoint – ja oder nein? Wer aber schon mal versucht hat, in einem größeren Unternehmen Private Endpoints durchzusetzen, weiß: Das ist keine technische Frage. Das ist eine politische. In dieser Oster-Spezial-Folge im Rahmen der MVP-Treff Aktion „Eggs of Knowledge" sprechen Chris und Matthias mit Andreas Hartig, Microsoft MVP für Windows Server und Azure Arc-Experte, über die Realität hinter der Endpoint-Entscheidung. Was sind Public Endpoints? Public Endpoints sind öffentlich erreichbare IP-Adressen für Azure-Ressourcen. Ein Storage Account, eine SQL-Datenbank, Entra ID – standardmäßig sind sie über das Internet erreichbar. Das bedeutet nicht, dass der Traffic unverschlüsselt ist (HTTPS und TLS sorgen für Sicherheit), aber der Endpunkt selbst ist öffentlich. Matthias stellt klar: "Nur weil es Public Endpoints heißt, heißt es nicht, dass der Verkehr dahin Public ist. Wir haben natürlich eine verschlüsselte Kommunikation über HTTPS etc." Was sind Private Endpoints? Private Endpoints ersetzen die öffentliche IP durch eine private IP im eigenen VNet. Der Traffic läuft nicht mehr über das Internet, sondern über VPN Gateway, ExpressRoute oder Azure Bastion direkt ins eigene Netzwerk. Das bringt Sicherheit und Compliance-Konformität – aber auch erhebliche Komplexität. Die DNS-Herausforderung Chris bringt es auf den Punkt: "It's always DNS." Private Endpoints erfordern Private DNS Zones in Azure, die korrekt mit dem On-Premise-DNS verknüpft sein müssen. Conditional Forwarder, Split-Brain-DNS-Vermeidung, Legacy-Proxies – all das kann zum Problem werden. Matthias ergänzt: "Es muss ja auch betrieben werden. Also nicht nur im Projekt aufgesetzt, sondern du brauchst ja auch einen Betrieb, der das weiter betreut. Ich muss es implementieren, dokumentieren und warten können." Azure Arc und Private Endpoints Andreas bringt seine Expertise ein: Beim Launch von Azure Arc gab es nur Public Endpoints – eine große Herausforderung für Unternehmen mit strikten Compliance-Anforderungen. Über 100 URLs mussten in Firewalls freigegeben werden, Security-Teams bekamen Bauchschmerzen. Heute gibt es Private Link Scope für Azure Arc, aber Andreas warnt: "Ich bin ein großer Freund von Public Endpoints bis heute. Microsoft hat da zwar sehr viel getan Richtung Private Endpoints, aber die Komplexität ist enorm." Die 80/20-Regel Matthias' klare Position: "Ich bin ein Befürworter erst einmal für Public Endpoints. Es gibt gewisse Anforderungen, da kommen wir um Private nicht umrum, ganz klar. Aber auch das Setup und den Betrieb dauerhaft einfacher zu halten – für 80 Prozent der Use Cases können wir bei Public bleiben." Chris gibt zu: "Ich muss zugeben, ich bin jetzt für diese Sendung der Fanboy der Private Endpoints, aber eigentlich bin ich da auch ambivalent. Was sagt der Berater immer? Es kommt darauf an." Ein wichtiger Punkt: Wenn eine Kommunikation bereits in Azure ist und einen Public Endpoint anspricht, läuft das nicht übers Internet, sondern über das Backbone-Netz von Microsoft – ein privates Netz. Die politische Dimension Andreas' Praxis-Tipp: "Ich würde das immer über einen Workshop mit dem Team starten und alle beteiligten Parteien in einen moderierten Raum holen. Wichtig ist nur, dass man da ergebnisoffen rangeht und sich auf die wirklichen Businessanforderungen konzentriert." Welche Teams müssen an den Tisch? Netzwerk-Team, Firewall-Team, Proxy-Team (falls vorhanden), IT-Security und Operations-Team. Andreas warnt: "Einen Konsens erzeugen, bevor ich versuche ein Produkt in die Teams zu drücken gegen Widerstände von mehreren. Das hat, egal was man tut, einer Cloud Journey keine oder wenig Aussicht auf Erfolg." Matthias nickt: "Das passt perfekt in unsere letzten Folgen über das Cloud Adoption Framework. Bringt alle an einen Tisch, redet miteinander, definiert, was der Business Use Case ist und stellt nicht ein Tool oder ein Werkzeug in den Fokus." Azure News der Folge: Infrastructure as Code für PostgreSQL Elastic Clusters (GA) – Terraform, Bicep, Ansible Azure Storage Mover – Migrationen mit privaten Verbindungen (z.B. von AWS S3 zu Azure) Fazit: Die Entscheidung zwischen Public und Private Endpoints ist keine rein technische Frage. Sie ist eine strategische Entscheidung, die Architektur, Betrieb, Kosten und Politik betrifft. Matthias' Haltung: Public first für 80% der Use Cases – Private, wenn Compliance es erfordert. Chris' Haltung: Es kommt darauf an – und das Azure Backbone ist dein Freund. Andreas' Haltung: Workshop first, Konsens erzeugen, dann entscheiden. Und denk dran: It's always DNS. 📩 Melde dich für unseren Substack-Newsletter an, um exklusive Inhalte zur Folge zu erhalten: https://podcastcloudoptimizer.substack.com/ 💬 Folge uns auf LinkedIn und diskutiere mit uns: Andreas: https://www.linkedin.com/in/andreas-hartig/ Christian: https://www.linkedin.com/in/christian-forjahn Matthias: https://www.linkedin.com/in/matthias-braun-cloud-architect ⭐ Hat dir die Folge gefallen? Dann hinterlasse eine Bewertung und teile den Podcast mit deinem Netzwerk. Osterei-Hinweis: Das Osterei für die MVP-Treff Gewinnspiel-Aktion findest du im Substack-Newsletter zu dieser Folge! Mehr Infos: www.mvp-treff.de Bis zur nächsten Episode! Chris und Matthias PS: Danke an Svenja für das großartige Intro und Outro! Fertig! Jetzt sind alle Elemente komplett. ✅ This is a public episode. If you would like to discuss this with other subscribers or get access to bonus episodes, visit podcastcloudoptimizer.substack.com
