Introduction à Microsoft Azure Advisor 

Microsoft Azure Advisor est un Consultant Azure « Virtuel » et « Automatisé » qui vous aide à optimiser vos déploiements Cloud et réduire vos consommations Azure. Il s’appuie sur tout un ensemble de « Best Practices » et règles de conformité/sécurité standards.

En effet, Azure Advisor examine la configuration de tous vos services Azure déployés et vous propose des recommandations dans les domaines suivants

Haute Disponibilité (HA : High Availability)

Sécurité

Performance

Coût (Cost)

 

Grace à Azure Advisor, vous pouvez :

  • Bénéficier de recommandations en termes de meilleures pratiques proactives, interactives et personnalisées.
  • Améliorer les performances, la sécurité et la haute disponibilité de vos ressources Azure
  • Réduire le coût/consommation Azure.
  • Obtenir des recommandations avec des propositions d’actions intégrées.
    • Les recommandations proposées par Azure Advisor sont fournies avec des liens intégrés vous permettant d’implémenter directement les actions de remédiation.

 

Azure Advisor : ce que vous devez savoir !

Les recommandations fournies à travers Azure Advisor reposent sur les Best Practices courantes, telles que le placement de machines virtuelles (VM) dans des Groupes à haute disponibilité, Non-exposition des ports tels que RDP/SSH sur Internet…

Les recommandations de sécurité proviennent d’Azure Security Center. Alors que les données de facturation sont collectées à partir du portail Azure Enterprise, Azure Advisor peut analyser l’utilisation/consommation Azure et identifier les points pouvant réduire le coût tels que les VMs sous-utilisées. C’est la raison pour laquelle Azure Advisor, reste un outil assez puissant qui peut vous aider à renforcer votre gouvernance globale Azure.

Autorisations nécessaires pour accéder à Azure Advisor 

Les utilisateurs ayant les rôles suivants peuvent accéder à Azure Advisor et visualiser toutes les recommandations, et ce pour toutes les catégories :

  • Propriétaires
  • Contributeur
  • Lecteur

 

Ressources pouvant être analysées/évaluées par Azure Advisor 

Azure Advisor peut évaluer la configuration des ressources Azure suivantes seulement :

  • Machine Virtuelle Azure
  • Groupes à haute disponibilité
  • Passerelles d’application
  • App Services
  • Serveurs SQL
  • Cache Azure pour Redis.

 

Azure Advisor : Prise en main

Faisons un tour d’horizon d’Azure Advisor !

Azure Advisor est accessible depuis « Tous les services /All services » ou simplement en saisissant « Advisor » depuis la barre de recherche du Portail Azure

Tip : Je vous recommande de l’ajouter en tant que « Service Favoris » en cliquant sur l’Etoile noire:

Comme montré dans la capture d’écran ci-dessous, Azure Advisor est composé de plusieurs onglets :

  • Haute disponibilité : liste les recommandations qui vous aideront à augmenter la disponibilité de vos services Azure les plus critiques
  • Sécurité : liste les recommandations qui vous permettent de détecter les menaces et vulnérabilités pouvant conduire à des failles de sécurité.
  • Performance : liste les recommandations qui vous aideront à améliorer les performances de vos services Cloud Azure.
  • Coût : liste les recommandations qui vous permettant d’optimiser et réduire vos coûts /consommations Azure

Il existe deux autres volets qui sont :

  • Vue d’ensemble : cet onglet présente un résumé de toutes les recommandations, pour les 4 domaines/catégories (Sécurité, HA, Performance et Coût). Si vous souhaitez consulter les recommandations pour une catégorie spécifique, rendez-vous sur un des 4 onglets précédemment. eg : Onglet « Sécurité« : pour consulter les recommandations de sécurité).
  • Tous : cet onglet liste toutes les recommandations pour les 4 catégories. Vous pouvez simplement cliquer sur une recommandation pour afficher plus de détails. Vous avez ensuite la possibilité de la reporter/ignorer ou de réaliser l’action de remédiation proposée.

Configurer Azure Advisor

Azure Advisor vous offre la possibilité de configurer les abonnements et groupes de ressources à analyser/évaluer.

Si vous voulez exclure certains abonnements ou groupes de ressources du scope d’Azure Advisor, eh bien cela peut être configuré en cliquant sur le bouton « Configurer » :

Vous pouvez ensuite, inclure ou exclure des abonnements ou groupes de ressources dans l’évaluation Azure Advisor :

Note : Par défaut, tous les abonnements Azure (et leurs RG associés) sont inclus dans le scope d’Azure Advisor.

 

Filtrer vos abonnements Azure

Vous pouvez configurer vos filtres pour n’afficher que les recommandations proposées pour un abonnement spécifique.

Cela peut être configuré depuis « Répertoire + abonnement »

Dans l’exemple suivant, le filtre d’abonnement global Azure sera modifié pour sélectionner que l’abonnement « Microsoft Azure Sponsorship » :

Comme montré dans la Screenshot ci-dessus, l’abonnement sélectionné depuis « Répertoire + abonnement » est automatiquement configuré au niveau d’Azure Advisor. Notez que vous pouvez également configurer ce filtre depuis le Dashbord Azure Advisor, depuis la liste déroulante « Abonnements« .

 

Filtrer vos ressources Azure

Vous avez également la possibilité de filtrer les types de ressources Azure pour lesquels vous voulez afficher les recommandations Azure Advisor.

Dans l’exemple suivant, le filtre « Type de ressource > Machines Virtuelles » sera configuré. Les recommandations affichées depuis le Dashbord Azure Advisor concernent uniquement celles qui s’appliquent aux VMs Azure :

 

Grouper vos recommandations par Abonnement

Azure Advisor vous permet d’organiser les recommandations Azure Advisor par Abonnement.

Cela peut être configuré en sélectionnant l’option « Grouper par abonnement » :

Afficher les détails sur les recommandations Azure Advisor

Comme indiqué précédemment, pour obtenir plus d’informations sur les recommandations proposées par Azure Advisor, il faut se rendre dans l’onglet « Tous » ou sur l’onglet correspondant à une catégorie spécifique.

Cliquez sur une recommandation pour en savoir plus. Dans l’exemple suivant, je vais cliquer sur « Utiliser des groupes à haute disponibilité….« :

Les informations détaillées suivantes sont affichées :

  • La colonne « Machine Virtuelle« , liste les VMs impactées/concernées par la recommandation.
  • La colonne « Actions recommandées« , vous permet d’implémenter l’action recommandée (création d’AS dans notre exemple: Availability Set).
  • La colonne « Action » vous permet de reporter cette action ou de l’ignorer.

Dans mon cas, je peux simplement ignorer cette recommandation car il s’agit ici de VMs de Test/Demo.

En effet, un Groupe à haute disponibilité est plutôt destiné à des environnements de Production (Domain Controllers, SQL Server IaaS, ERP, Business App…etc).

 

Configurer la règle « Utilisation moyenne CPU » pour les VMs à analyser par Azure Advisor 

Par défaut, les VMs présentant une utilisation de <5 % CPU sont considérées comme étant « surdimensionnées », c’est la raison pour laquelle vous recevrez des recommandations vous indiquant des VMs sous-utilisées avec comme action « Redimensionnement Machine Virtuelle ». Si vous estimez que cette valeur est très basse, vous pouvez la modifier à tout moment en cliquant « Configurer » > « Règles » > sélectionnez l’abonnement concerné par cette modification > cliquez ensuite sur « Modifier« , enfin spécifier la valeur qui vous convient (<10% dans l’exemple suivant) :

 

Télécharger les rapports Azure Advisor 

Le service « Azure Advisor » vous offre la possibilité de télécharger les rapports des recommandations.

Deux types de rapports peuvent être générés :

  • Rapport au format PDF
  • Rapport au format CSV

Les rapports PDF sont présentables dans l’état, en revanche les rapports CSV doivent être formatés si vous devez les présenter à votre client ou votre responsable hiérarchique.

Voici un exemple de rapport CSV AzAdvisor format (Excel Data convertie)

Les rapports PDF générés ressemblent à l’image ci-dessous :

 

Azure Advisor : Pricing 

Azure Advisor est un service gratuit :).

Gérer Azure Advisor via Windows PowerShell

Je prépare actuellement un autre guide Step-by-Step sur l’utilisation d’Azure Advisor via Windows PowerShell (Az PowerShell Module).

Restez connectés :).

N’hésitez pas à vous abonner à mon Blog pour rester informé de toute nouvelle publication.

A bientôt,

#HK

Publicités

Liste des premiers modules « Gouvernance Azure »

Les deux premiers modules « Azure Naming Convention » et « Azure Locks » sont disponibles depuis les URLs suivantes :

[Azure Free Training] Lesson1 : Définissez votre Convention de Nommage Azure

[Azure Free Training] Lesson2 : Protégez vos ressources Azure, Appliquez des « Locks Azure »

 

Introduction

Si vous devez migrer des Workloads depuis votre Corporate Network (Onprem) vers Azure et/ou construire de nouvelles architectures Azure (Mode « Cloud Only »), notez que la Step1 de votre projet va consiste à définir un Modèle de Gouvernance Global pour Azure.

Comme illustré dans le schéma ci-dessus, le modèle de Gouvernance Azure (Azure Scaffold) est composé de :

  • Convention de nommage (définition de vos naming standards pour vos ressources Azure)
  • Modèle de délégation (RBAC)
  • Policies (Stratégies Azure)
  • Tags (Azure Resources Tags)
  • Azure Locks
  • Subscrption Design (Nombre d’abonnements à créer..etc)
  • …Etc

 

Durant cette « Lesson 3 », nous allons découvrir la composante « Azure Tags » ou « Balises Azure » en Français.

Azure Tags vous permettent d’organiser, de manière logique les ressources Azure avec les propriétés que vous définissez. Les Tags deviennent très utiles lorsque vous devez organiser des ressources pour une meilleure gestion et/ou facturation (Billing) > eg : combine me coûte toutes les VMs de Production > il suffit de sélectionner toutes les VMs ayant comme Tag « Environnement=Production » pour le savoir :).

 

Step-by-step guide sur Azure Tags : Introduction & HowTo

Le document est disponible sur SlideShare, à cet URL.

Vous pouvez aussi le visualiser directement depuis ce post, voir Slide ci-dessous :

Ce Slide a été rédigé en Anglais (pour atteindre un public plus large) mais sera bientôt disponible en Français sur la même plateforme.

 

Next Lesson ?

Je travaille actuellement sur les autres « Lessons/Modules » du modèle de Gouvernance Global Azure, à savoir :

  • Azure Policies
  • Azure RBAC
  • Azure Resources Groups

 

N’hésitez pas à vous abonner à mon Blog (ou à mon profil SlideShare) pour rester informé de toute nouvelle publication.

Sinon, vos Comments/Feedbacks sont bien évidemment les bienvenus :).

#HK

Bonjour tout le monde,

Voici notre « RDS Tip of The Week » :

Comment transférer des fichiers/données de plus de 2GB via RDP

 

Description de la limitation /problème

Il existe une limitation relative au protocole RDP quand il s’agit de transférer des données/fichiers volumineux via une Session Bureau à distance.

Si vous avez déjà essayez de transférer des fichiers volumineux (+ 2 GB), le message d’erreur suivant vous est retourné (Error Copying File or Folder « Unspecified Error« ):

 

Solution (HowToFix)

Il existe deux techniques permettant de contourner ce problème :

  • Transférer vos données via la « la Redirection de disque local » mappé directement sur votre Session Bureau à distance
  • Transférer vos données via un Partage UNC (\\tsclient\C$)

 

Perso, j’utilise la redirection de mes disques locaux vers la Session Bureau à distance pour transférer des données volumineuses, par XP, je trouve que c’est plus stable & fiable.

Si votre infra RDS se trouve en Back-end derrière une Gateway RDS, tout le traffic RDP est encapsulé over HTTPS, il s’agit du même principe qu’un service STaaS (STorage-as-aService) tel que OneDrive ou Dropbox. Les protocoles de partages réseaux (eg : SMB/445 TCP) ne sont jamais exposés à Internet, tout le traffic passe à travers le canal HTTPS.

De plus, accéder à un \tsclient\c$ nécessite des privilèges « LocAdmin », si des utilisateurs standards doivent transférer des données via RDP, il suffit de configurer (autoriser) la Redirection de disque local sur la machine cible, aucun privilège « Admin » n’est requis, ils doivent simplement appartenir au groupe local « Remote Desktop Users » sur la machine cible.

Voyons comment ça marche.

Depuis la machine qui héberge les données/fichiers à transférer, lancez l’outil MSTSC.exe, depuis « Ressources locales« , > « Autres » > « Lecteurs » > cochez le lecteur/disque contenant vos données à transférer pour le rediriger vers la Session RDS (C: dans l’exemple suivant) :

Une fois connecté sur votre session Bureau à distance, ouvrez Windows Explorer (Drapeau+E) et vérifiez que votre ou vos lecteurs locaux ont bien été redirigés :

Enfin, cliquez sur votre lecteur redirigé et copiez/collez vos données sur le Windows Desktop de la session RDS (ou Documents..etc) :

Et voilà le tour est joué :).

A bientôt,

#HK

 

Microsoft a annoncé aujourd’hui la disponibilité générale (GA : General Availability) de Windows Server 2019 en tant que « Guest OS » pour son offre IaaS (Infrastructure-as-aService) : Azure Virtual Machine.

Windows Server 2019 pour Azure VM fait désormais parti de la famille 6 des Guest OS disponibles depuis le Azure Marketplace.

Consultez ce post pour en savoir plus !

 

Petit Reminder sur les familles de Guest OS pour Azure VM

Il existe aujourd’hui 5 principales Famille de Guest OS pour vos VMs Azure (Numérotation commence à 2) :

Famille 6

Windows Server 2019

Famille 5

Windows Server 2016

Famille 4

Windows Server 2012 R2

Famille 3

Windows Server 2012

Famille 2

Windows Server 2008 R2 SP1

 

Je vous invite à consulter cet article pour plus d’informations sur chaque Family Release.

#HK

Premier module de la série « Gouvernance Azure »

Le premier Module de la série « Gouvernance Azure » > « Azure Naming Convention » est disponible depuis l’URL suivante :

[Azure Free Training] Lesson1 : Définissez votre Convention de Nommage Azure

 

Introduction

Si vous devez migrer des Workloads depuis votre Corporate Network (Onprem) vers Azure et/ou construire de nouvelles architectures Azure (Mode « Cloud Only »), notez que la Step1 de votre projet va consiste à définir un Modèle de Gouvernance Global pour Azure.

Comme illustré dans le schéma ci-dessus, le modèle de Gouvernance Azure (Azure Scaffold) est composé de :

  • Convention de nommage (définition de vos naming standards pour vos ressources Azure)
  • Modèle de délégation (RBAC)
  • Policies (Stratégies Azure)
  • Tags (Azure Resources Tags)
  • Azure Locks
  • Subscrption Design (Nombre d’abonnements à créer..etc)
  • …Etc

 

Durant la « Lesson 2 », nous allons découvrir la composante « Azure Locks » ou « Verrous Azure » en Français.

Il s’agit d’une Feature de sécurité Azure qui vous permet de protéger vos abonnements, Groupes de Ressources ou encore des ressources Azure spécifiques contre la modification ou suppression accidentelle.

 

Step-by-step guide sur Azure Locks : Introduction & HowTo

Le document est disponible sur SlideShare, à cet URL.

Vous pouvez aussi le visualiser directement depuis ce post, voir Slide ci-dessous :

Ce Slide a été rédigé en Anglais (pour atteindre un public plus large) mais sera bientôt disponible en Français sur la même plateforme.

 

Next Module : Azure Tags

La deuxième Module « Azure Tags » est disponible à cet URL :

[Azure Free Training] Lesson3 : Tout ce que vous devez savoir sur Azure Tags

N’hésitez pas à vous abonner à mon Blog pour rester informé de toute nouvelle publication.

A bientôt,

#HK

Introduction

RDP (Remote Desktop Protocol) est (par défaut) considéré comme un protocole vulnérable qui peut exposer votre infrastructure (voire tout votre S.I) à des risques assez importants, notamment :

  • Brute-Force Attack
  • DoS (Denial-of-Service) Attack
  • Encryption Attack
  • Man-in-The-Middle (MiTM) Attack

 

Vous exposerez également votre S.I à un risque de sécurité si vous êtes consommateur (Cloud Consumer) d’une solution/Application Cloud hébergée sur une infrastructure RDS distante : Multi-tenancy Risk.

Plusieurs Cloud Providers proposant des applications SaaS (Software-as-a-Service) virtualisées et distribuées (RemoteApp) via des Portail RD Web Access personnalisés. Ces Apps sont souvent hébergées sur des infrastructures RDS « Partagées /Shared », cela veut dire que plusieurs clients, se connectent et consomment les mêmes Apps Cloud RDS depuis le même environnement. Pour des raisons de réduction de coût, plusieurs Cloud Providers déploient des RD Session Host en mode « Shared », et proposent rarement des infrastructures RDS dédiées (Collections de Session RDS dédiées par client/app).

Malheureusement la plupart des clients ne pensent pas à poser la question et se contentent de signer un contrat désignant les responsabilités de chacun (SLA) : en mode SaaS vous êtes uniquement responsable de vos données, les couches infra/storage/middleware sont gérées par le CP, seul ce dernier est responsable de la gestion, maintenance, patching… de l’environnement Cloud.

En revanche, vous avez la responsabilité de s’assurer du niveau de sécurité offert à travers ces applis Cloud qui souvent font parties de votre IT globale car les devices clients depuis lesquels vos users se connectent sont souvent intégrés dans votre AD local et connectés au niveau de votre Coporate Network.

 

Guide de Sécurité RDS : Liste des Risques, Menaces et Bonnes Pratiques que vous connaître 

Je viens de publier sur Slideshare un Guide de sécurité RDS assez complet (en Anglais) traitant ce sujet.

Il décrit et détaille toutes les Security Risks, menaces ainsi que les bonnes pratiques que vous devez prendre en considération lors de la phase « Design » de tout projet RDS (de 2008 R2 à 2019).

Il vous liste également les Risks/Menaces liées à des infrastructures RDS Offsites (hébergées chez un Cloud Provider), si vous êtes Cloud Customer d’une ou plusieurs Apps Cloud, vous pouvez toujours challenger l’éditeur/Cloud Provider en posant les questions listées dans ce Slide.

Le document est disponible sur SlideShare, à cet URL.

Vous pouvez aussi le visualiser directement depuis ce post, voir Slide ci-dessous :

Si vous souhaitez être accompagné, n’hésitez pas à me Ping via MP pour planifier un call et discuter plus en détail de votre projet.

Bonne lecture à tous,

#HK

Microsoft a récemment dévoilé le nom d’une nouvelle fonctionnalité (native) prévue pour Windows 10 19H1 (disponible début 2019), fonctionnalité qui a été baptisée Windows Sandbox.

La fonctionnalité avait fait parler d’elle en août dernier, elle devient aujourd’hui une réalité.

Windows Sandbox fera partie des éditions Windows 10 Pro et Enterprise. Il permet la création d’un Mini Environnement Windows Temporaire et complètement isolé de l’Hôte Windows 10 qui l’héberge.

Cet environnement peut être utilisé par les utilisateurs pour exécuter des logiciels potentiellement suspects.

L’équipe Windows Corp décrit Windows Sandbox comme un environnement de Bureau léger conçu pour exécuter en toute sécurité des applications isolées. Cela devient très pratique si vous devez déployer et tester des applications provenant de sources « Inconnues » (eg : apps downloadées depuis Internet dont l’éditeur n’est pas connu).

De plus, Microsoft a annoncé :

Combien de fois avez-vous téléchargé un fichier exécutable sans avoir peur de l’exécuter? Avez-vous déjà été dans une situation qui nécessitait une nouvelle installation de Windows, mais vous ne vouliez pas créer et configurer une nouvelle machine virtuelle ?

Chez Microsoft, nous rencontrons régulièrement ces situations, nous avons donc développé Windows Sandbox: un environnement de bureau temporaire et isolé, dans lequel vous pouvez exécuter des logiciels non fiables sans crainte de conséquences durables pour votre PC. Tout logiciel installé dans le Windows Sandbox reste uniquement dans le Sandbox et ne peut affecter votre hôte. Une fois que Windows Sandbox est fermé, tous les logiciels avec tous leurs fichiers et leur état sont définitivement supprimés.

 

Windows Sandbox : Ce qu’il faut retenir

Selon les informations communiquées par l’équipe MS Windows Corp, Windows Sandbox aurait les propriétés suivantes :

  • WS Sandbox est fourni de manière native avec toute nouvelle installation de Windows 10 Pro et Entreprise (à partir de la build 18035). Il n’y pas de prérequis spécifique pour activer cette nouvelle fonctionnalité : eg. Pas besoin de télécharger un disque dur virtuel !
  • Auto-Refresh/Reset : Pour chaque exécution/lancement de Windows Sandbox (chaque nouvelle instance), il est aussi propre qu’une nouvelle installation de Windows.
  • Jetable : rien ne persiste sur la Session Windows Sandbox; tout est auto-deleted après la fermeture de l’application : pas de persistence de données, d’ou l’intérêt de cette integrated-WS Sandbox feature.
  • Sécurisé : Windows Sandbox fonctionne sous forme de Virtual Session, cette dernière est basée sur la virtualisation matérielle pour l’isolation du noyau, laquelle repose sur l’hyperviseur de Microsoft pour exécuter un noyau distinct qui isole Windows Sandbox de l’hôte Windows 10.
  • Efficace : utilise le planificateur de noyau intégré, la gestion intelligente de la mémoire et le processeur graphique virtuel

 

Prérequis (Hardware) à prendre en considération 

Pour Installer et exécuter votre environnement Windows Sandbox, les prérequis suivants doivent être respectés :

  • CPU : Processeur (en Architecture Amd64) avec au moins 2 Coeurs (bien que 4 coeurs en hyper-threading soient préférables)
  • RAM : 4 GB de RAM minimum (8 Go sont recommandés)
  • Espace Disque : 1 Go d’espace de stockage libre (de préférence un SSD).

 

Installer/Activer Windows Sandbox

Pour activer la fonctionnalité « Windows Sandbox », rien de plus simple.

Il faut se rendre dans la « Control Panel » console Programmes et Fonctionnalités > Cliquer sur Activer ou désactiver des fonctionnalités Windows > Cochez « Windows Sandbox » et enfin cliquez sur « Ok« .

Comme indiqué précédemment, Windows Sandbox étant une « Native Feature », aucun binaire/exécutable n’est à télécharger.

Tip : pour vous rendre directement dans la console « Programmes et Fonctionnalités« , vous pouvez saisir AppWiz.cpl depuis le Menu Démarrer ou Exécuter

 

Windows Sandbox : Informations à prendre en compte 

Windows Sandbox certaines limitations que vous devez prendre en compte, la voici la liste des problèmes notés et communiqués par Microsoft :

  • Lorsque Windows Sandbox est installé pour la première fois et à chaque événement de maintenance, un processus d’installation est exécuté et déclenche une activité significative du processeur et du disque pendant une minute environ.
  • L’ouverture du menu Démarrer dans Windows Sandbox prend un certain temps et certaines applications du menu Démarrer ne s’exécutent pas.
  • Le Fuseau horaire n’est pas synchronisé entre Windows Sandbox et l’hôte qui l’héberge.
  • Windows Sandbox ne prend pas en charge les programmes d’installation nécessitant un redémarrage.
  • Microsoft Store n’est pas pris en charge dans Windows Sandbox.
  • Windows Sandbox ne prend pas très bien en charge les écrans haute résolution.
  • Windows Sandbox ne prend pas complètement en charge les configurations Multi-Moniteurs.

 

Conclusion

Windows Sandbox est un Mini Windows à l’intérieur de votre hôte Windows 10 qui vous permet de télécharger, exécuter et tester vos Apps/Soft auxquels vous n’avez pas entièrement confiance sans le moindre Risque :).