Blog Infrastructuur Azure

Wat is een Azure Landing Zone?

Een Azure Landing Zone is je startpunt bij het bouwen van een veilige, schaalbare infrastructuur in Azure.

Het is waar je de basisconfiguratie vastlegt in lijn met Microsoft's Cloud Adoption Framework. Deze setup omvat identiteit, netwerking, beveiliging, governance en platformdiensten.
 
In dit artikel bespreken we het doel, de voordelen, de architectuur en de designoverwegingen van Azure Landing Zones zodat jij je Azure cloud migratie eenvoudiger kunt maken.

Rinie Huijgen

Auteur

Rinie Huijgen CTO

Leestijd 6 minuten Gepubliceerd: 05 oktober 2020 Laatst gewijzigd: 06 augustus 2025

Wat zijn Azure Landing Zones?

Een landingszone is de basisomgeving in de public cloud waar je je infrastructuur opbouwt volgens de best practices en framework richtlijnen van Microsoft. Het zorgt ervoor dat je cloud resources veilig, efficiënt en compliant worden ingezet.

Met een Azure Landing Zone creëer je een framework waarbinnen je organisatie efficiënt en gecontroleerd een cloud migratie kan uitvoeren. Binnen een Landing Zone leg je vooraf de belangrijkste parameters vast die bepalen hoe data en applicaties in de cloud gebruikt mogen worden, de zogenaamde guard rails. 

Landing Zones zijn de noodzakelijke bouwstenen voor elke succesvolle cloud adoptiestrategie. Je kunt dit vergelijken met het bouwen van een nieuw huis; je moet de bouwmiddelen klaar hebben staan voor je gaat bouwen.

De onderstaande video legt in 2 minuten uit wat een Azure landingszone is:

 

Waarom je een Azure Landing Zone nodig hebt

Een goed gestructureerde landing zone biedt de volgende voordelen:

  • Standaardisatie: Wanneer je apps op grote schaal bouwt, maakt het gebruik van consistente setups ondersteuning makkelijker, vooral in grote omgevingen. Als je vanaf het begin met standaardpatronen begint, bespaart dat later tijd. Dit helpt ook nieuwe gebruikers. Met een consistente opstelling hoeven ze niet uit te zoeken hoe ze iets moeten doen, maar kunnen ze gewoon het bestaande patroon kiezen en het gebruiken.
  • Confidence: De overstap naar een publieke cloud kan in het begin riskant aanvoelen, met veel bewegende delen en onbekendheid. Landingszones helpen vertrouwen op te bouwen in je cloud configuratie omdat je bekende, bewezen patronen volgt met duidelijke richtlijnen van Microsoft.
  • Operational efficiency: Door dingen op dezelfde manier te doen, werk je veel efficiënter. Gedeelde platformonderdelen (zoals log analytics workspaces, hub-and-spoke netwerken of firewalls) kunnen door verschillende teams worden hergebruikt. Dat bespaart dubbel werk. Het scheidt ook de verantwoordelijkheden van de applicatie- en platformteams.
  • Beveiliging end Compliance: Als je organisatie specifieke beveiligings- of compliance-eisen heeft, kun je deze vooraf definiëren en integreren in je landingszone. Dit maakt het platform veiliger en zorgt voor compliance.

 

Belangrijkste Design Aspecten van Azure Landing Zones

Wanneer je je landingszone in Azure ontwerpt, zijn er acht gebieden waarop je je moet richten:

  1. Azure facturering and Microsoft Entra tenant: Hoe je wordt gefactureerd voor wat je gebruikt in de cloud en hoe alles op een hoog niveau bij elkaar past binnen je Microsoft Entra ID (voorheen Active Directory) tenant. 
  2. Identity and Access Management (IAM): Hiermee bepaal je wie toegang heeft tot jouw omgeving, rol permissies en toegang tot resources.
  3. Organisatie resources: Gaat over het structureren van je resources zodat ze gemakkelijk te beheren zijn en afgestemd op hoe je te werk gaat.
  4. Netwerktopologie en connectiviteit: Hoe verschillende gebieden in de landingszone verbinding maken, veilig blijven en meegroeien met de groei van je cloud omgeving.
  5. Beveiliging: Hoe je je Azure omgeving in een publieke cloud beschermt. 
  6. Management: Naarmate je omgeving groeit, moet je deze kunnen beheren en duurzaam houden.
  7. Governance: Afhankelijk van je organisatie moet je misschien voldoen aan specifieke eisen (ISO 27001, NIST, etc.). Je moet een governancebeleid opstellen, dit implementeren en de naleving controleren.
  8. Automation and DevOps: Als je omgeving groeit, kun je met automatisering en DevOps schalen door handmatige inspanningen te verminderen. Het maakt gebruik van Infrastructure as Code (IaC), CI/CD-pijplijnen en geautomatiseerde workflows om resources efficiënt in te zetten en te beheren.

 

Platform Landing Zone Vs. Application Landing Zone

Azure landing zones kunnen worden onderverdeeld in twee types: platform landing zones (1) and application landing zones (2).

Elk dient een ander doel in je cloudomgeving:

1. Platform Landing Zone

Platform landing zones zijn ontworpen om gedeelde resources en basisdiensten voor meerdere applicaties te voorzien.

Deze services vormen de infrastructuur en het governance framework die nodig zijn om een divers scala aan workloads binnen je organisatie te ondersteunen.

Azure Landing Zone conceptual framework showing a hierarchical structure of management groups and subscriptions within an organisation

Het omvat fundamentele architectuurelementen zoals:

  • Identity and access management (IAM)
  • Netwerken
  • Organisatie resources (management groups, subscripties, resource groups)
  • Beveiliging en compliance
  • Monitoring
  • Cost management
  • Backup en disaster recovery

Deze services vormen het infrastructuur- en governance -framework dat nodig is om een breed scala aan workloads binnen je organisatie te ondersteunen.

 

2. Application landing zones

Applicatie landingszones richten zich op specifieke configuraties, resources en governance die nodig zijn voor individuele applicaties of workloads. Het is afgestemd op de specifieke behoeften van elke applicatie.

Zoom in of Microsoft conceptual framework showing Azure landing zone structure with virtual networks in multiple regions, resource groups, and shared services.

Ze nemen vaak beleidsregels en services over van de platform landing zone, omdat ze voortbouwen op de basisarchitectuur van de platform landing zone.

Met een applicatie landing zone is het doel om tegemoet te komen aan de individuele behoeften en kenmerken van elke applicatie en tegelijkertijd op één lijn te blijven met het bredere organisatiebeleid.

Het onderstaande conceptuele architectuurdiagram van Microsoft laat twee landingszones zien:

A conceptual architecture diagram of an Azure landing zone with Application & Platform Landing Zones overlaid
Bron: Microsoft

Klik op de link or of klik hier om in te zoomen of lees Microsoft’s documentatie om meer te leren over de beschikbare opties voor het deployen van platform en application landing zones.

Aandachtspunten binnen Landing Zones

Welke fundamentele keuzes moeten worden vastgelegd in een Landing Zone zijn voor elke organisatie en elke workload verschillend. Ga je bijvoorbeeld gebruik maken van Azure Compute, zorg er dan voor dat je maximaal inzet op automation voor beheer. Ook kan de stap naar moderne cloud native PaaS services kleiner zijn dan het initieel lijkt. Afhankelijk van het type workload zijn App Service, Container Instances of Azure Functions interessante, zeer schaalbare opties. Binnen het Cloud Adoption Framework is een handige decision tree beschikbaar waarmee je snel je opties in kaart brengt:

Overweeg je een hybride setup, identificeer dan direct de networking eisen. Zo kan het gebruik van Virtual Networks in Azure noodzakelijk zijn en heb je mogelijk een VPN Gateway of ExpressRoute nodig om beide werelden aan elkaar te verbinden. En ga je diensten of apps naar buiten publiceren dan is Azure Front Door, Application Gateway of Traffic Manager wellicht onderdeel van je Landing Zone.

Governance wordt vaak vergeten maar is minstens zo belangrijk als het technische element van de Landing Zone. Denk vooraf na over de inzet van policies, monitoring, cost management en identity. Om controle te krijgen en behouden moet je ook de zogenaamde primitives niet vergeten. Daaronder valt de naam conventie, subscription design, resource groups en de eventuele inzet van management groups.

Zoals je ziet zijn er enorm veel keuzes te maken, bepaal daarom als altijd eerste de scope en het doel van de Landing Zone.

 

Begin klein en schaal op

Nadat je een eerste Landing Zone hebt gemaakt is het zaak continue verbeteringen door te voeren, de refactoring fase. Binnen deze fase kan je inzetten op het gebruik van meer cloud native tools voor beheer en monitoring, centraal management middels Azure Lighthouse en resiliancy van de omgeving verbeteren door de failure modes in kaart te brengen.

Zo kan het inzetten van meerdere instances en een Premium tier beter passen bij de workload en schaal je in Azure liever horizontaal dan verticaal. Mocht dev/test en productie nog niet seperaat zijn opgezet dan is dit de fase waarin je deze zaken gaat structureren. Ook is het zaak om de frontend (bijvoorbeeld een Web App), te scheiden van de backend zoals een Web API.

Infrastructuur als code

Als je nog niet veel ervaring hebt met Azure, is de Azure Portal een prachtige grafische omgeving waarin je kennis kan maken met alle mogelijkheden die geboden worden. Een Landing Zone word bij voorkeur in code gedefinieerd, er zijn meerdere manieren om resources die je in de Azure Portal hebt opgezet om te zetten naar Infrastructure as Code. Intercept biedt kosteloze Azure Fundementals workshops waarin we uitleggen hoe je dat kan doen.

Iac Ebook CTA Image (1)

Wil je meer leren over IaC in Azure?

Lees onze nieuwste whitepaper over IaC in Azure, master Azure Bicep, Azure Verified Modules (AVM) en meer!

Download the IaC whitepaper for free!