Die Cloud Optimizer - Podcast

Policy as Code in Azure – Schluss mit dem Chaos
Hunderte Policies, kein Überblick, Non-Compliance-Warnungen für Services die niemand nutzt – willkommen im Azure Policy Alltag vieler Unternehmen. In dieser Folge von Die Cloud Optimizer sprechen Chris und Matthias darüber, wie man das strukturiert in den Griff bekommt: mit Policy as Code.
Der Ansatz ist derselbe wie bei Infrastructure as Code: Policies werden nicht mehr manuell im Portal verwaltet, sondern als versionierter Code in einem Git-Repository gepflegt. Das bringt Nachvollziehbarkeit (wer hat wann was geändert und warum), ein Vier-Augen-Prinzip über Pull Requests und automatisierte Deployments über CI/CD-Pipelines.
Matthias erklärt den Unterschied zwischen zwei Ansätzen: Terraform bietet Flexibilität und Multi-Cloud-Fähigkeit, erfordert aber deutlich mehr manuelle Arbeit bei Azure Policies. ePAC (Enterprise Policy as Code) hingegen ist ein von Microsoft entwickeltes PowerShell-Framework, das direkt auf Azure Landing Zones und AMBA (Azure Monitor Baseline Alerts) abgestimmt ist – mit klarer Struktur, importierbaren Policy-Sets und einem schnelleren Einstieg.
Ein zentrales Thema: Weniger ist mehr. Wer eine Initiative mit 200+ Policies blindlings ausrollt, ohne zu prüfen, was davon wirklich relevant ist, erzeugt nur Rauschen. Chris und Matthias zeigen, wie sie bei Kunden-Onboardings vorgehen: Terraform für die Foundation, ePAC parallel für die Policies – sauber strukturiert, reviewed und auf das Wesentliche reduziert.
Kernthemen dieser Folge:
- Was sind Azure Policies und warum werden sie so oft falsch eingesetzt?
- Policy as Code: Versionierung, Vier-Augen-Prinzip, Automatisierung
- Terraform vs. EPAC – Vor- und Nachteile im direkten Vergleich
- Integration von EPAC mit Azure Landing Zones und AMBA
- Wie ein sauberer Policy-Workflow in der Praxis aussieht
- Azure News: Azure Monitor Pipelines (GA) & Service Health Alerts
Diese Folge richtet sich an Cloud-Architekten, IT-Leiter und Senior Admins, die Azure-Umgebungen betreiben und Governance endlich nachhaltig und nachvollziehbar gestalten wollen – ohne im Portal zu klicken.
📩 Melde dich für unseren Substack-Newsletter an, um exklusive Inhalte zur Folge zu erhalten: https://podcastcloudoptimizer.substack.com/
💬 Folge uns auf LinkedIn und diskutiere mit uns:
Christian: https://www.linkedin.com/in/christian-forjahn
Matthias: https://www.linkedin.com/in/matthias-braun-cloud-architect
⭐ Hat dir die Folge gefallen? Dann hinterlasse eine Bewertung und teile den Podcast mit deinem Netzwerk.
Bis zur nächsten Episode! Chris und Matthias
PS: Danke an Svenja für das großartige Intro und Outro!


This is a public episode. If you would like to discuss this with other subscribers or get access to bonus episodes, visit podcastcloudoptimizer.substack.com

MVP Summit 2026 – Live aus Redmond: Klassentreffen, Produktgruppen-Feedback und echte Management-Attention
In dieser besonderen Folge von Die Cloud Optimizer nimmt dich Chris mit auf den MVP Summit 2026 in Redmond – aufgenommen direkt in den Microsoft DevRel Studios. Diesmal nicht mit Matthias, sondern mit Florian Lenz, Host des Podcasts Die Coding Zone.
Der MVP Summit ist mehr als eine Konferenz. Es ist das jährliche Klassentreffen der Microsoft-Community aus aller Welt. Chris und Florian berichten von ihren Eindrücken, den Highlights und auch den Lowlights der ersten Tage.
Was dich in dieser Folge erwartet:
Azure News der Woche: Alle Details in unseren Substack Blog (Den Link findest du am Ende der Notes)
Klassentreffen-Feeling: Warum der MVP Summit das Event ist, bei dem du Menschen triffst, die du sonst nur bei LinkedIn kennst – live und in echt
Roundtables mit Produktgruppen: Wie Chris und Florian direkt mit den Azure-Teams über Pain Points, AI-Overload und echte Kundenbedarfe gesprochen haben
Management Attention: Warum Scott Guthrie MVP-Feedback liest – und manchmal sogar direkt antwortet
Sessions: Was gut lief, was zu oberflächlich war – und warum Deep Dives wichtiger sind als GA-Announcements
Networking weltweit: Vom Australier, der Chris kennt, bis zum Finnen in der Bahn – wie global die MVP-Community wirklich ist
DevRel Studios: Wie es ist, in einem Profi-Studio aufzunehmen, in dem sonst nur Microsoft selbst Content produziert
Chris und Florian sprechen offen darüber, warum der Summit nicht primär über neue Features geht, sondern über echten Austausch, Feedback und die Möglichkeit, Einfluss auf die Roadmap zu nehmen.
Kernthemen:
- MVP Summit 2026 – Eindrücke aus Redmond
- Roundtables mit Azure Migrate, Azure Functions & Co.
- AI-Feedback: Wo es Sinn macht, wo es nervt
- Networking mit der weltweiten MVP-Community
- Management Attention auf C-Level
- Lowlights: Zu viel GA, zu wenig Deep Dive
- Ausblick: Was kommt in den nächsten Tagen?
Zielgruppe:
Diese Folge ist für alle, die sich fragen, was beim MVP Summit wirklich passiert – und ob es sich lohnt, selbst aktiv in der Community zu werden. Für IT-Profis, die wissen wollen, wie man Einfluss auf Microsoft-Produkte nehmen kann. Und für alle, die einfach mal hinter die Kulissen von Redmond schauen wollen.
📩 Melde dich für unseren Substack-Newsletter an, um exklusive Inhalte zur Folge zu erhalten: https://podcastcloudoptimizer.substack.com/
💬 Folge uns auf LinkedIn und diskutiere mit uns:Christian: https://www.linkedin.com/in/christian-forjahnMatthias: https://www.linkedin.com/in/matthias-braun-cloud-architect
⭐ Hat dir die Folge gefallen? Dann hinterlasse eine Bewertung und teile den Podcast mit deinem Netzwerk.
Bis zur nächsten Episode!Chris und Matthias
PS: Danke an Svenja für das großartige Intro und Outro!


This is a public episode. If you would like to discuss this with other subscribers or get access to bonus episodes, visit podcastcloudoptimizer.substack.com

Public vs. Private Endpoints – Wer hat im Unternehmen das Sagen?
MVP-Treff Oster-Spezial: Eggs of Knowledge mit Andreas Hartig
Klingt nach einer einfachen technischen Entscheidung, oder? Public Endpoint oder Private Endpoint – ja oder nein?
Wer aber schon mal versucht hat, in einem größeren Unternehmen Private Endpoints durchzusetzen, weiß: Das ist keine technische Frage. Das ist eine politische.
In dieser Oster-Spezial-Folge im Rahmen der MVP-Treff Aktion „Eggs of Knowledge" sprechen Chris und Matthias mit Andreas Hartig, Microsoft MVP für Windows Server und Azure Arc-Experte, über die Realität hinter der Endpoint-Entscheidung.
Was sind Public Endpoints?
Public Endpoints sind öffentlich erreichbare IP-Adressen für Azure-Ressourcen. Ein Storage Account, eine SQL-Datenbank, Entra ID – standardmäßig sind sie über das Internet erreichbar. Das bedeutet nicht, dass der Traffic unverschlüsselt ist (HTTPS und TLS sorgen für Sicherheit), aber der Endpunkt selbst ist öffentlich.
Matthias stellt klar: "Nur weil es Public Endpoints heißt, heißt es nicht, dass der Verkehr dahin Public ist. Wir haben natürlich eine verschlüsselte Kommunikation über HTTPS etc."
Was sind Private Endpoints?
Private Endpoints ersetzen die öffentliche IP durch eine private IP im eigenen VNet. Der Traffic läuft nicht mehr über das Internet, sondern über VPN Gateway, ExpressRoute oder Azure Bastion direkt ins eigene Netzwerk. Das bringt Sicherheit und Compliance-Konformität – aber auch erhebliche Komplexität.
Die DNS-Herausforderung
Chris bringt es auf den Punkt: "It's always DNS."
Private Endpoints erfordern Private DNS Zones in Azure, die korrekt mit dem On-Premise-DNS verknüpft sein müssen. Conditional Forwarder, Split-Brain-DNS-Vermeidung, Legacy-Proxies – all das kann zum Problem werden.
Matthias ergänzt: "Es muss ja auch betrieben werden. Also nicht nur im Projekt aufgesetzt, sondern du brauchst ja auch einen Betrieb, der das weiter betreut. Ich muss es implementieren, dokumentieren und warten können."
Azure Arc und Private Endpoints
Andreas bringt seine Expertise ein: Beim Launch von Azure Arc gab es nur Public Endpoints – eine große Herausforderung für Unternehmen mit strikten Compliance-Anforderungen. Über 100 URLs mussten in Firewalls freigegeben werden, Security-Teams bekamen Bauchschmerzen.
Heute gibt es Private Link Scope für Azure Arc, aber Andreas warnt: "Ich bin ein großer Freund von Public Endpoints bis heute. Microsoft hat da zwar sehr viel getan Richtung Private Endpoints, aber die Komplexität ist enorm."
Die 80/20-Regel
Matthias' klare Position: "Ich bin ein Befürworter erst einmal für Public Endpoints. Es gibt gewisse Anforderungen, da kommen wir um Private nicht umrum, ganz klar. Aber auch das Setup und den Betrieb dauerhaft einfacher zu halten – für 80 Prozent der Use Cases können wir bei Public bleiben."
Chris gibt zu: "Ich muss zugeben, ich bin jetzt für diese Sendung der Fanboy der Private Endpoints, aber eigentlich bin ich da auch ambivalent. Was sagt der Berater immer? Es kommt darauf an."
Ein wichtiger Punkt: Wenn eine Kommunikation bereits in Azure ist und einen Public Endpoint anspricht, läuft das nicht übers Internet, sondern über das Backbone-Netz von Microsoft – ein privates Netz.
Die politische Dimension
Andreas' Praxis-Tipp: "Ich würde das immer über einen Workshop mit dem Team starten und alle beteiligten Parteien in einen moderierten Raum holen. Wichtig ist nur, dass man da ergebnisoffen rangeht und sich auf die wirklichen Businessanforderungen konzentriert."
Welche Teams müssen an den Tisch? Netzwerk-Team, Firewall-Team, Proxy-Team (falls vorhanden), IT-Security und Operations-Team.
Andreas warnt: "Einen Konsens erzeugen, bevor ich versuche ein Produkt in die Teams zu drücken gegen Widerstände von mehreren. Das hat, egal was man tut, einer Cloud Journey keine oder wenig Aussicht auf Erfolg."
Matthias nickt: "Das passt perfekt in unsere letzten Folgen über das Cloud Adoption Framework. Bringt alle an einen Tisch, redet miteinander, definiert, was der Business Use Case ist und stellt nicht ein Tool oder ein Werkzeug in den Fokus."
Azure News der Folge:
Infrastructure as Code für PostgreSQL Elastic Clusters (GA) – Terraform, Bicep, Ansible
Azure Storage Mover – Migrationen mit privaten Verbindungen (z.B. von AWS S3 zu Azure)
Fazit:
Die Entscheidung zwischen Public und Private Endpoints ist keine rein technische Frage. Sie ist eine strategische Entscheidung, die Architektur, Betrieb, Kosten und Politik betrifft.
Matthias' Haltung: Public first für 80% der Use Cases – Private, wenn Compliance es erfordert.
Chris' Haltung: Es kommt darauf an – und das Azure Backbone ist dein Freund.
Andreas' Haltung: Workshop first, Konsens erzeugen, dann entscheiden.
Und denk dran: It's always DNS.
📩 Melde dich für unseren Substack-Newsletter an, um exklusive Inhalte zur Folge zu erhalten: https://podcastcloudoptimizer.substack.com/
💬 Folge uns auf LinkedIn und diskutiere mit uns:
Andreas: https://www.linkedin.com/in/andreas-hartig/
Christian: https://www.linkedin.com/in/christian-forjahn
Matthias: https://www.linkedin.com/in/matthias-braun-cloud-architect
⭐ Hat dir die Folge gefallen? Dann hinterlasse eine Bewertung und teile den Podcast mit deinem Netzwerk.
Osterei-Hinweis: Das Osterei für die MVP-Treff Gewinnspiel-Aktion findest du im Substack-Newsletter zu dieser Folge!
Mehr Infos: www.mvp-treff.de
Bis zur nächsten Episode! Chris und Matthias
PS: Danke an Svenja für das großartige Intro und Outro!
Fertig! Jetzt sind alle Elemente komplett. ✅


This is a public episode. If you would like to discuss this with other subscribers or get access to bonus episodes, visit podcastcloudoptimizer.substack.com

Cloud-Architektur funktioniert selten perfekt beim ersten Versuch.
In dieser Folge von Die Cloud Optimizer sprechen Chris und Matthias über reale Situationen aus Projekten, in denen Dinge nicht so liefen wie geplant. Keine Theorie – sondern echte Erfahrungen aus der Praxis.
Von missverstandenen Azure-Netzwerken über Security-Probleme bei GitHub-Deployments bis hin zu teuren Logging-Konfigurationen: Die beiden zeigen, wie schnell man in der Cloud in typische Fallen geraten kann.
Dabei geht es nicht darum, Fehler zu vermeiden – sondern daraus zu lernen.
Viele der Geschichten stammen aus echten Kundenprojekten und zeigen, wie wichtig ein solides Verständnis der Cloud-Architektur ist. Denn viele Konzepte funktionieren in Azure anders als im klassischen On-Prem-Rechenzentrum.
Gerade Architekten und Admins mit On-Prem-Background laufen häufig in diese Denkfallen – etwa beim Thema Netzwerksegmentierung oder Zugriffskontrolle.
Ein weiteres Highlight der Folge ist die Diskussion über ExpressRoute-Design und Latenzoptimierung. Hier zeigt sich, wie entscheidend die richtige Planung von Peering-Pfaden und Netzwerkarchitektur sein kann.
Und auch das Thema Logging wird beleuchtet: Ein scheinbar harmloses Experiment mit Event Logs führte zu mehreren hundert Gigabyte Logdaten in einem Log Analytics Workspace.
Die wichtigste Erkenntnis:
Cloud-Architektur lebt von Erfahrung. Und manchmal entstehen die wertvollsten Learnings genau aus den Momenten, in denen etwas schiefgeht.
In dieser Folge sprechen wir über:
- typische Azure-Fettnäpfchen aus realen Projekten
- warum Subnetze in Azure anders funktionieren als On-Prem
- Security-Risiken bei GitHub-Deployments
- ExpressRoute-Design und Peering-Probleme
- teure Log-Analytics-Überraschungen
- Performance-Optimierung mit Proximity Placement Groups
Wenn du in der Cloud arbeitest – egal ob als Admin, Consultant oder Architekt – wirst du dich in einigen dieser Geschichten wiederfinden.
Und vielleicht hilft dir diese Folge dabei, das ein oder andere Fettnäpfchen zu umgehen.
Azure News der Woche
Azure Policies werden schneller:Microsoft hat die Policy-Verarbeitung verbessert. Neue Policy-Zuweisungen sollen dank Cache Refresh Optimierung deutlich schneller greifen. Der bekannte Workaround (Portal neu einloggen) wird damit überflüssig.Mehr Infos: https://azure.microsoft.com/updates
Scam über Azure Monitoring Alerts:Aktuell nutzen Angreifer Azure Alert-Mails für Social Engineering. Die Links sind legitim, aber in der Alert-Description stehen falsche Telefonnummern oder Hinweise.
👉 Tipp: Alerts immer im Azure Portal prüfen, nicht nur in der Mail – und Empfänger entsprechend sensibilisieren.
📩 Melde dich für unseren Substack-Newsletter an, um exklusive Inhalte zur Folge zu erhalten:https://podcastcloudoptimizer.substack.com/
💬 Folge uns auf LinkedIn und diskutiere mit uns:
Christian: https://www.linkedin.com/in/christian-forjahn
Matthias: https://www.linkedin.com/in/matthias-braun-cloud-architect
⭐ Hat dir die Folge gefallen? Dann hinterlasse eine Bewertung und teile den Podcast mit deinem Netzwerk.
Bis zur nächsten Episode!Chris und Matthias
PS: Danke an Svenja für das großartige Intro und Outro!


This is a public episode. If you would like to discuss this with other subscribers or get access to bonus episodes, visit podcastcloudoptimizer.substack.com

In dieser Episode von Die Cloud Optimizer gehen Chris und Matthias tiefer ins Cloud Adoption Framework (CAF) – und zeigen anhand eines praxisnahen Beispiels, wie Workload-Architektur wirklich entschieden wird.
Nach dem Feedback zur letzten CAF-Folge wird es diesmal konkreter: Wie laufen Strategy-, Plan-, Ready-, Adopt- und Betriebsphase im echten Projekt ab? Welche Fehler passieren typischerweise? Und warum entstehen die meisten Cloud-Kosten nicht bei der Migration, sondern bei falschen Architekturentscheidungen?
🔵 Azure News der Woche
Bevor es ins CAF-Deep-Dive geht, sprechen wir über zwei aktuelle Azure Updates, die direkt Einfluss auf Architektur-Entscheidungen haben:
Instant Snapshots für Premium SSD v2 & Ultra Disks Snapshots sind jetzt sofort einsatzbereit – ohne Data Hydration.Das bedeutet: Schnellere Rollbacks, bessere Patch-Strategien und echte Vorteile im Disaster-Recovery-Szenario.
AKS Security & Tooling Updates Azure Kubernetes Service unterstützt jetzt Disk Encryption Sets und Encryption at Host auch beim Auto-Provisioning – relevant für sicherheitskritische Workloads.Zusätzlich wurde das AKS-Tooling konsolidiert (Preview), was Betrieb und Governance vereinfacht.
Diese Updates zeigen: Architektur ist kein statischer Zustand. Azure entwickelt sich ständig weiter – und gute Architekten passen ihre Entscheidungen entsprechend an.
CAF in der Praxis – Was wir konkret durchgehen
Wir strukturieren die Folge entlang der fünf zusammengefassten CAF-Phasen:
Strategy
- Warum Architektur keine reine IT-Entscheidung ist
- C-Level-Buy-in als Erfolgsfaktor
- Business-Ziele wie Skalierbarkeit, Compliance & Innovation
Plan
- Landing Zones & Governance
- Azure Hybrid Benefit & Kostenhebel
- Azure Migrate für Dependency-Analysen
- Warum saubere Planung bis zu 30 % Kosten sparen kann
Ready
- Technische Umsetzung mit Infrastructure as Code
- Resilienz, Backup, Monitoring, Policies
- Compliance von Anfang an integrieren
Adopt
- Lift & Shift vs. Replatform vs. Rebuild
- Pilot-Workloads und Komplexitätssteigerung
- SQL-VM oder Managed Service?
- Warum bewusste Entscheidungen entscheidend sind
Govern, Secure & Manage
- Shutdown-Policies als größter Kostenhebel
- Autoscaling & Right-Sizing
- Defender for Cloud & Security Reviews
- Architektur als kontinuierlicher Kreislauf
Diese Folge richtet sich an:
IT-Leiter und Cloud-Architekten, Infrastruktur-Teams im Mittelstand und Unternehmen, die Cloud strategisch statt reaktiv angehen wollen
Wenn du verstehen willst, warum Kosten dem Design folgen und warum CAF kein Theoriepapier, sondern ein echtes Praxiswerkzeug ist - dann ist diese Episode genau für dich.
📩 Melde dich für unseren Substack-Newsletter an, um exklusive Inhalte zur Folge zu erhalten:https://podcastcloudoptimizer.substack.com/
💬 Folge uns auf LinkedIn und diskutiere mit uns:Christian: https://www.linkedin.com/in/christian-forjahnMatthias: https://www.linkedin.com/in/matthias-braun-cloud-architect
⭐ Hat dir die Folge gefallen? Dann hinterlasse eine Bewertung und teile den Podcast mit deinem Netzwerk.
Bis zur nächsten Episode!Chris und Matthias
PS: Danke an Svenja für das großartige Intro und Outro!


This is a public episode. If you would like to discuss this with other subscribers or get access to bonus episodes, visit podcastcloudoptimizer.substack.com