Azure Migrate Assessment
Agenten- oder agentenlose Discovery, VM-Rightsizing-Empfehlungen, SQL Server-zu-SQL MI-Kompatibilitätsbewertung, Abhängigkeitskarte (bei Bedarf ergänzt durch eBPF-Tracing), 7Rs-Entscheidungsmatrix je Workload.
Leistungen
Azure-Migrationsdienste für US- und EU-Unternehmen
Microsoft-native Cloud-Migrationen professionell umgesetzt: CAF Enterprise-Scale Landing Zones in Terraform AVM oder Bicep, Azure Migrate-gestütztes 7Rs-Assessment, AKS / App Service / Container Apps Replatforming, SQL Server-Konsolidierung zu Azure SQL MI via DMS Online und Defender for Cloud als integraler Bestandteil des Fundaments. Senior-Azure-Entwickler im MEZ-Arbeitstag mit Überlappung zur US-Ostküste, EU Data Boundary standardmäßig, Hybrid Benefit überall dort angewendet, wo Ihre Lizenzen es erlauben. Discovery-Sprints ab 35.000 EUR Festpreis; dedizierte Teams ab 12.000 EUR/Monat.
Azure belohnt Teams, die dem Cloud Adoption Framework folgen, und bestraft Teams, die improvisieren. Wir improvisieren nicht. Jedes Engagement beginnt beim CAF Enterprise-Scale Landing Zone, bereitgestellt über die offiziellen Terraform Azure Verified Modules oder Bicep, mit einer Management-Group-Hierarchie ausgerichtet an Ihren Geschäftsbereichen und Azure Policy-Initiativen, die Regions-Pinning, Tagging und Defender for Cloud auf Standard-Niveau durchsetzen. Die Identität wird über Entra ID mit PIM verwaltet, das für die Produktion verpflichtend ist. EU-Workloads landen in West Europe, North Europe, Sweden Central oder France Central mit EU Data Boundary-Verpflichtungen, die per Richtlinie durchgesetzt und monatlich geprüft werden. Hybrid Benefit wird ab Tag eins angewendet — 40 Prozent der Windows/SQL-Ausgaben auf dem Tisch liegen zu lassen ist kein Engineering, sondern Beschaffungsvernachlässigung.
Leistungsumfang eines Azure-Migrationsengagements
CAF Landing Zone
Enterprise-Scale Landing Zone via Terraform AVM oder Bicep, Management-Group-Hierarchie ausgerichtet an Ihrer Organisation, Azure Policy-Initiativen, Hub-Spoke-vNet mit Azure Firewall Premium, Entra ID + PIM, Defender for Cloud Standard.
AKS / App Service Replatforming
Zustandslose Tiers zu App Service oder Container Apps mit Dapr; komplexe Workloads zu AKS mit Azure CNI Overlay, Workload Identity, Azure Policy Add-on und NAP für Node-Autoskalierung. ACR mit Defender-Scanning in der Pipeline.
SQL MI + PostgreSQL Flex
SQL Server-Konsolidierung zu Azure SQL Managed Instance via DMS Online Migration mit nahezu null Ausfallzeit; PostgreSQL zu Azure Database for PostgreSQL Flexible Server mit HA und Read Replicas, ausschließlich private Endpunkte.
FinOps + Hybrid Benefit
Cost Management-Exporte zu ADLS Gen2 + Synapse, Tagging via Azure Policy durchgesetzt, Hybrid Benefit auf jedes berechtigte SKU angewendet, Reserved Instance + Savings Plan-Strategie, Spot auf AKS für Batch-Workloads.
Observability + Defender
Azure Monitor + Log Analytics + Application Insights, OpenTelemetry für App-Instrumentierung, Defender for Cloud + Defender for Servers/SQL/Containers/Storage auf Standard, Sentinel SIEM optional mit benutzerdefinierten KQL-Playbooks.
Azure-Dienste und Werkzeuge, mit denen wir täglich arbeiten
Azure Migrate
Azure Site Recovery
DMS (Online)
CAF Landing Zone
Terraform AVM
Bicep
Entra ID + PIM
Azure Policy
Defender for Cloud
Sentinel SIEM
AKS + NAP
App Service
Container Apps + Dapr
Azure SQL MI
PostgreSQL Flex
Key Vault Managed HSM
Front Door + WAF
Application Gateway
Azure Firewall Premium
Cost Management + Synapse
Ablauf einer Azure-Migration von Anfang bis Ende
-
01
Discovery (4 Wochen, Festpreis)
Azure Migrate Appliance eingerichtet, Abhängigkeitskarte erstellt, 7Rs-Entscheidung je Workload, CAF Landing Zone Design, Kostenmodell mit Hybrid Benefit, Migrationswellen mit Go/No-Go-Gates.
-
02
Foundation
Enterprise-Scale Landing Zone via Terraform AVM bereitgestellt, Management Groups, Azure Policy-Initiativen, Hub-vNet + Azure Firewall, Entra ID-Verbund, Defender for Cloud Baseline, ExpressRoute oder Site-to-Site VPN.
-
03
Migrationswellen
Wellen von je 10–30 VMs via Azure Site Recovery oder Replatforming zu AKS/App Service. SQL DMS Online Cutovers in Wartungsfenstern. Leistungsvalidierung gegen Pre-Migrations-Baseline vor der Außerbetriebnahme.
-
04
Optimieren + Übergabe
FinOps-Optimierungssprint, Reserved Instance / Savings Plan-Kauf, Defender for Cloud Secure-Score-Anhebung über 80, Runbooks finalisiert, 30-tägige Schatten-Bereitschaft bevor Ihr Team die Verantwortung übernimmt.
Engagement-Modelle
Discovery-Sprint
4 Wochen, fester Umfang. Azure Migrate Assessment, Abhängigkeitskarte, CAF Landing Zone Design, Kostenmodell mit Hybrid Benefit, Migrationsplan, Executive Readout. Ab 35.000 EUR Festpreis.
Dediziertes Migrationsteam
3-köpfiger Pod (TPM + Senior Azure Engineer + SRE), der Landing Zone und Migrationswellen gemeinsam mit Ihrem Team umsetzt. Bicep/Terraform im Pair-Programming, wöchentliches Architektur-Review. Ab 12.000 EUR/Monat pro Team.
FinOps + Defender Retainer
Laufender FinOps-Rhythmus, Reserved Instance-Management, Defender for Cloud + Sentinel SOC-Tier (optional), vierteljährliches Well-Architected Review, 24/7 SRE-Bereitschaft. Ab 6.500 EUR/Monat.
Alle Engagements beinhalten NDA, DSGVO-konformen AVV mit SCCs, EU Data Boundary-Verpflichtung via Azure Policy sowie eine vertragliche No-Vendor-Lock-out-Klausel.
Ausgewählte Projekte
Fertigung · E-Commerce
REHAU
B2B-E-Commerce und Produktkonfigurator für einen globalen Polymerhersteller mit multiregionaler Preisgestaltung, Lager- und Händler-Workflows.
LegalTech · Mobile · CRM
Signatory Pro
Native iOS- und Android-E-Signatur-Clients mit einem Symfony + React CRM für eine grenzüberschreitende Anwaltskanzlei — KYC-Onboarding und eine nachweissichere Beweiskette für US- und EU-Verfahren.
PropTech · Marketplace
ANT
Immobilien-Marketplace-Webplattform mit Listing-CMS, Suche und B2B-Admin-Konsole für US- und EU-Betreiber.
Warum US- und EU-Unternehmen YuSMP für Azure wählen
DSGVO-konform · ISO-27001-bereit · SOC 2 Type II in Vorbereitung · HIPAA-fähig · CCPA-berücksichtigt
CAF-diszipliniert
Wir folgen dem Microsoft Cloud Adoption Framework Enterprise-Scale Landing Zone ausnahmslos, passen gezielt an und schreiben keine Landing Zone von Grund auf neu. Das macht das nach der Migration verwaltete Estate für Ihr Team wartbar — kein YuSMP-spezifisches Artefakt.
EU Data Boundary standardmäßig
West Europe / North Europe / Sweden Central / France Central, Azure Policy-Regions-Pinning auf Management-Group-Ebene, Key Vault Managed HSM (FIPS 140-2 Level 3), Customer Lockbox aktiviert, Schrems-II-konformer AVV mit SCCs.
Hybrid Benefit korrekt angewendet
Jede berechtigte Windows Server- und SQL Server-Lizenz wird ab Tag eins auf Azure Hybrid Benefit gemappt. Typischerweise 40 Prozent Ersparnis allein bei diesen SKUs — und wir prüfen die Zuweisung monatlich, damit die Abdeckung nicht wegdriftet.
Für regulierte Workloads liefern wir gegen das Microsoft Well-Architected Framework mit vierteljährlich überprüften Sicherheits-, Zuverlässigkeits- und Kostensäulen. Defender Secure-Score >80 ist vertraglich festgelegtes Abnahmekriterium.
Häufig gestellte Fragen
Nutzen Sie Azure Landing Zones (CAF) und wie stark passen Sie diese an?
Ja — wir starten stets vom Microsoft Cloud Adoption Framework Enterprise-Scale Landing Zone und passen gezielt an; wir schreiben keine Landing Zone von Grund auf neu. Die Bereitstellung erfolgt über die offiziellen Terraform AVM (Azure Verified Modules) oder Bicep, wenn der Kunde Microsoft-native Werkzeuge bevorzugt. Anpassungen sind bewusst gewählt: Management-Group-Hierarchie ausgerichtet an Ihren Geschäftsbereichen (nicht an Microsofts Standardvorgaben), Azure Policy-Initiativen für Regions-Pinning und Ressourcensperren, Defender for Cloud auf Standard-Tier in jedem Abonnement sowie eine Hub-Spoke-vNet-Topologie mit Azure Firewall Premium im Hub. Die Identität wird über Entra ID (ehemals Azure AD) mit Privileged Identity Management gesteuert, das für jede Rolle oberhalb von Reader in Produktionsabonnements verpflichtend ist.
Azure Migrate oder Drittanbieter-Discovery — welchem vertrauen Sie?
Azure Migrate für Assessment und Abhängigkeitskartierung ist genuint gut — agentenbasiert oder agentenlos, je nach Ihrer Sicherheitslage. Wir setzen es als Primärquelle für VM-Rightsizing und die Kompatibilitätsbewertung SQL Server zu SQL MI ein. Wo es an Grenzen stößt, ist die Abbildung von Anwendungsschicht-Abhängigkeiten bei verteilten Monolithen; dort ergänzen wir mit Movere-Daten, sofern verfügbar, oder stellen für zwei Wochen ein eigenes leichtgewichtiges eBPF-basiertes Tracing auf. Das Ergebnis ist ein einheitlicher Abhängigkeitsgraph als Grundlage der Wellen-Planung — kein Wirrwarr aus drei konkurrierenden Tabellenkalkulationen.
Wie gehen Sie mit EU-Datenresidenz und Schrems II in Azure um?
Workloads mit personenbezogenen EU-Daten landen in West Europe (Niederlande), North Europe (Irland), Sweden Central oder France Central — je nach Latenz- und Souveränitätsanforderungen. Wir nutzen Azure Policy auf Management-Group-Ebene, um die Ressourcenerstellung außerhalb genehmigter Regionen zu unterbinden. Für Schrems II setzen wir Customer Lockbox, Confidential Computing (Intel SGX / AMD SEV-SNP) auf DCasv5/ECasv5-SKUs, kundenverwaltete Schlüssel in Azure Key Vault HSM (oder Azure Key Vault Managed HSM FIPS 140-2 Level 3) sowie SCCs im AVV ein. Die EU Data Boundary-Verpflichtung von Microsoft wird auf Abonnement-Tag-Ebene durchgesetzt und monatlich geprüft.
Replatforming-Pfad — was wird AKS, App Service oder Container Apps?
Die Entscheidung richtet sich nach Team-Kompetenz, nicht nach architektonischen Modetrends. Zustandslose Web-Tiers ohne Bedarf an Sidecar-Mesh oder benutzerdefiniertem Netzwerk gehen zu App Service oder Azure Container Apps (Dapr-aktiviert, wenn bereits ereignisgesteuerte Muster vorhanden sind). Alles mit regulatorischer Komplexität, Multi-Tenant-Isolationsanforderungen oder relevantem Service-Mesh-Bedarf geht zu AKS — mit Azure CNI Overlay, Azure Policy Add-on, Workload Identity (nicht Pod Identity) und einem Karpenter-Äquivalent via NAP. SQL Server konsolidiert zu Azure SQL Managed Instance via DMS Online Migration mit nahezu null Ausfallzeit; PostgreSQL geht zu Azure Database for PostgreSQL Flexible Server.
Wie funktioniert FinOps in Azure nach der Migration?
Cost Management + Billing-Exporte zu ADLS Gen2, dann Synapse oder Fabric für Analytics — nicht rohes Power BI auf der API, das drosselt. Die Tagging-Richtlinie wird via Azure Policy mit Deny-on-Missing-Tag-Regeln durchgesetzt. FinOps-Rhythmus ist wöchentlich: Rightsizing via Azure Advisor, Tracking der Reserved Instance- und Savings-Plan-Abdeckung, Hybrid Benefit überall angewendet, wo Windows Server / SQL Server-Lizenzen es erlauben (typische 40 Prozent Ersparnis allein bei diesen SKUs), Spot VMs auf AKS für Batch-Workloads. Typische Einsparungen im ersten Jahr gegenüber der Lift-and-Shift-Baseline: 25–35 Prozent.
Wie sehen Preise und Zeitplan für eine typische Azure-Migration aus?
Der Discovery-Sprint dauert 4 Wochen zum Festpreis von 35.000 EUR — Azure Migrate Assessment, Abhängigkeitskartierung, CAF Landing Zone Design, Kostenmodell und Migrationsplan. Die Durchführung läuft als dediziertes Team-Engagement ab 12.000 EUR/Monat pro Pod (TPM + Senior Azure Engineer + SRE). Ein 250-VM-Estate mit SQL Server-Konsolidierung schließt typischerweise in 5–7 Monaten ab. SQL MI-Cutovers und AKS-Replatforming-Wellen werden pro Welle angeboten. Post-Cutover FinOps + Defender SOC Retainer ist ab 6.500 EUR/Monat verfügbar.