Archives de la catégorie ‘Microsoft Azure’

Introduction 

Pour certains : Cloud = réduction des coûts IT, alors que cela n’est pas forcément vraie !

Quand on adopte le Cloud, c’est surtout pour bénéficier de la puissance d’un CloudOs : puissance de calcul, Sclabilité, Fléxbilité …

Plusieurs clients déployant des Workloads dans le Cloud ou migrant celles hébergées initialement OnPrem, se rendent compte que les factures à la fin du mois peuvent vite devenir salées car souvent oublient de définir une gouvernance Azure « Financière » qui leur permettent de contrôler, comment les ressources Cloud sont déployées, consommées et monitorées.

J’ai décidé aujourd’hui de partager avec vous quelques Best Practices ainsi que des « Tips & Tricks » vous permettant de contrôler et d’optimiser votre conso Azure.

Plus précisément, nous allons parler des items suivants :

  • Azure Advisor
  • Les Reserved Instances
  • Azure Hybrid Benefit
  • Arrêts/Démarrages auto des VMs Azure
  • Utilisation des Stratégies (Policies) Azure
  • Utilisation des Tags
  • Utilisation du Stockage Azure de type « Cool & Archive »
  • Utilisation d’Azure Budgets
  • Utilisation de l’Auto-Scaling
  • Dimensionnement des ressources Azure
  • Utilisation des Souscriptions Azure Dev/Test
  • CleanUp des ressources Azure

 

Bonne lecture à tous :).

 

#1 : Azure Advisor

Azure Advisor est un Consultant Azure « Virtuel » et « Automatisé » qui vous aide à optimiser et sécuriser vos déploiements Cloud mais aussi à réduire vos coûts Azure. Il s’appuie sur tout un ensemble de « Best Practices » et règles de conformité/sécurité standards.

En effet, Azure Advisor examine la configuration de tous vos services Azure déployés et vous propose des recommandations dans les domaines suivants

  • Haute Disponibilité
  • Sécurité
  • Performance
  • Coût

 

Le périmètre d’analyse Azure Advisor est limité aux :

  • Abonnements
  • Groupes de Ressources

 

Vous pouvez utiliser Azure Advisor pour analyser/évaluer la configuration de vos ressources, Az Advisor pourra ensuite vous proposer des recommandations en cas de sous-utilisation de certaines Workload tels que les VM Azure.

Dans l’exemple suivant, Azure Advisor nous fait part de deux recommandations assez intéressantes :

  • Downsizer plusieurs VM Azure car celles-ci sont sous-utilisées, cela nous fera apparemment économiser +2200€ /an
  • Supprimer une Adresse/Interface IP Public qui n’est apparemment, associée à aucune ressource Azure, cela nous fera +30€ d’économie.

Azure Advisor : Pricing 

Azure Advisor est un service gratuit :).

A noter tout de même que vous avez la possibilité de souscrire à un panel d’options de support (AzAdvisor) à partir de 24€.

eBook Azure Advisor : j’ai récemment publié sur BecomeITExpert.com un eBook dédié à Azure Advisor, Cliquez ici pour en savoir plus.

 

#2 : Azure Reserved Instances

Azure Reserved Instances (Azure RI)  vous permettent de réduire considérablement votre consommation Azure (jusqu’à 72%) en vous engagement sur 1 ou 3 ans.

Le principe est simple : plus on s’engage dans le temps pour consommer, plus on obtient de remise.

En fonction de la durée d’engagement (1 ou 3 ans), vous pouvez obtenir des remises pouvant atteindre les -72%.

Tip : vous pouvez atteindre 80% de remise si vous activez l’Azure Hybrid Benefit‘. Voir section suivante pour en savoir plus.

 

Services concernés par Azure RI

Les réservations concerne uniquement le Compute (Puissance de calcul). Les RI peuvent être achetées pour les services Azure suivants :

  • Azure VM
  • Azure Cosmos DB
  • Azure SQL Database
  • Azure SQL Data Warehouse
  • App Service

 

Note importante : les réduction de coût Azure via les RI concerne uniquement la puissance de calcul (Compute). Le coût relatif au stockage, réseau, licences (eg : Azure SQL) ne sont pas concernées les instances réservées.

 

Pré-requis 

Pour pouvoir acheter des instances réservées, vous devez avoir le rôle « Owner /Propriétaire » au niveau de l’abonnement.

 

Qui peut acheter des Instances réservées ?

Pour pouvoir acheter des instances réservées, vous devez avoir le rôle « Owner /Propriétaire » au niveau Souscription de type :

  • [EA] Enterprise Agreement (Offres : MS-AZR-0017P ou MS-AZR-0148P)
  • Pay-As-You-Go (Offres : MS-AZR-0003P ou MS-AZR-0023P)
  • Microsoft Customer Agreement.

Si vous êtes CSP (Cloud Solution Provider), vous pouvez utiliser soit le Portail Azure ou le Centre Partenaire pour acheter des Réservation Azure..

Modalités de paiement 

Vous pouvez payer une réservation à l’avance ou tous les mois. Une même réservation avec paiement initial et avec paiements mensuels a le même coût total : vous ne payez pas de frais supplémentaires si vous optez pour le paiement mensuel.

  • Note : Le paiement mensuel est disponible pour les réservations Azure, et non pour les produits tiers.

 

1 ou 3 ans ? combien puis-je économiser exactement ?

Seul la Calculatrice Azure peut répondre à ce type de question :).

Voyons combien nous coûtera une VM Windows « Standard_B4ms » réservée pendant 3 ans, et hébergée en France (Central).

  • Rendez-vous sur Calculatrice Azure, et ajoutez « Machine Virtuelle« .
  • Configurez les options suivantes :
    • Région : France Central
    • Guest OS : Windows
    • Niveau : Standard
    • SKU : B4ms

 

Pour du Pay-as-you-Go (sans engagement), cette VM nous coûtera 163,52$ /mois

Calculons maintenant le prix de cette même VM avec un engagement sur 3 ans (Réservation pendant 3 ans)

Comme indiqué dans la capture d’écran ci-dessus, nous économisons ~100$ /mois avec un RI de 3 ans : 3600$ sur les 3 ans, ce qui n’est pas négligeable du tout.

 

Acheter des Reserved Instance

Cliquez ici pour acheter des instances réservées Azure.

Ce Blade vous permet également de visualiser les RI déjà achetées !

Dans l’exemple suivant, nous allons acheter une instance réservée de VM, commencez par cliquer sur « Acheter maintenant »

Cliquez sur « Acheter » sous « Machine Virtuelle » :

Le Menu suivant apparaît, vous pouvez définir des filtres (eg : dureé d’engagement 1an ou 3 an, région Azure…) :

Il suffit de sélectionner la VM qui vous intéresse pour la réserver pendant 1 ou 3 ans, vous pourrons ainsi réduire votre conso Compute Azure.

Pour en savoir plus sur les instance Réservées Azure, je vous invite à consulter cette page.

Information utile

Les réservations peuvent être annulées à tout moment, vous switcherez automatiquement en mode Pay-as-you-Go dès annulation d’une réservation.

 

#3 : Azure Hybrid Benefit

Azure Hybrid Benefit est une option tarifaire qui vous permet d’étendre vos Licences Windows Server et SQL Server dans le Cloud Azure.

Si vous disposez des licences Windows Server ou SQL Server via contrat SA (Software Assurance) ou équivalent (Licences de type EAS, Abonnement SCE ou Abonnement Open Value), sachez que vous pouvez les réutiliser pour vos Workloads Azure (Azure VM, Azure SQL, ou SQL Server sur des VMs Azure), et réduire le coût de ces ressources de manière considérable.

Vous économisez généralement jusqu’à 80% quand vous combinez Azure Hybrid Benefit avec les instances réservées (RI) Azure.

 

Source : Microsoft Docs

 

Services concernés par Azure Hybrid Benefit

La liste des services/produits est la suivante :

  • Windows Server Standard Edition avec Software Assurance
  • Windows Server Datacenter Edition avec Software Assurance
  • SQL Server Enterprise Core avec Software Assurance
  • Azure SQL Database

 

HowTo : activer Azure Hybrid Benefit

Azure Hybrid Benefit peut être activé lors du déploiement d’une nouvelle VM, vous pouvez également l’activer sur des VMs existantes.

Il suffit de répondre « Oui » au niveau de l’option « Vous disposez déjà d’une licence Windows Server » lors du déploiement d’une nouvelle VM Azure.

Vous devez ensuite confirmer cela en cochant « Je confirme que j’ai une licence Windows Server avec Software Assurance… » :

Si vous avez oublié de le faire pour vos anciens déploiement VMs, vous pouvez toujours activer l’Azure Hybrid Benefit au niveau du Blade « Configuration » de vos VMs, voir exemple suivant :

Il s’agit ici d’une méthode manuelle, qui n’est bien évidemment pas la plus adaptée quand il s’agit d’un environnement Azure avec plusieurs dizaines ou centaines de VMs. Cela peut être réalisé de manière automatisée via des scripts PowerShell (Update-AzVM) ou Az CLI (az vm update).

Tip : les commandes PS et Az CLI qui vous permettent d’updater la configuration de vos VMs pour activer Azure Hybrid Benefit sont listées ci-dessous :

Commandes PowerShell

$vm = Get-AzVM -ResourceGroup "saisir_ici_leNom_de_votre_RG"

$vm.LicenseType = "Windows_Server"

Update-AzVM -ResourceGroupName "saisir_ici_leNom_de_votre_RG" -VM $vm

Commande Az CLI (2.0)

az vm update --resource-group "saisir_ici_leNom_de_votre_RG" --set licenseType=Windows_Server

 

Forcez l’utilisation d’Azure Hybrid Benefit

Perso, pour mes clients disposant déjà d’un contrat SA, je déploie plutôt une Policy Azure qui exige l’activation d’Azure Hybrid Benefit pour tout nouveau déploiement de VM, cela permet de s’assurer que toute VM déployée est configurée avec Hybrid Benefit.

Le code JSON de la Policy est le suivant :

{
"type": "Microsoft.Authorization/policyDefinitions",
"name": "enforce-hybrid-use-benefit",
"properties": {
"displayName": "Enforce hybrid use benefit",
"description": "This policy will enforce usage of hybrid use benefit.",
"parameters": {},
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"in": [
"Microsoft.Compute/virtualMachines",
"Microsoft.Compute/VirtualMachineScaleSets"
]
},
{
"field": "Microsoft.Compute/imagePublisher",
"equals": "MicrosoftWindowsServer"
},
{
"field": "Microsoft.Compute/imageOffer",
"equals": "WindowsServer"
},
{
"field": "Microsoft.Compute/imageSKU",
"in": [
"2008-R2-SP1",
"2008-R2-SP1-smalldisk",
"2012-Datacenter",
"2012-Datacenter-smalldisk",
"2012-R2-Datacenter",
"2012-R2-Datacenter-smalldisk",
"2016-Datacenter",
"2016-Datacenter-Server-Core",
"2016-Datacenter-Server-Core-smalldisk",
"2016-Datacenter-smalldisk",
"2016-Datacenter-with-Containers",
"2016-Datacenter-with-RDSH"
]
},
{
"field": "Microsoft.Compute/licenseType",
"notEquals": "Windows_Server"
}
]
},
"then": {
"effect": "deny"
}
}
}
}

Après implémentation de cette Policy, si l’équipe Ops Azure tentent de déployer une nouvelle VM sans activation de l’Azure Hybrid Benefit, elle recevra le message d’erreur suivant :

 

Combien puis-je économiser avec Azure Hybrid Benefit ?

Microsoft propose un outil (Web) qui vous permet de calculer combine vous pourrez économiser avec l’activation de l’Azure Hybrid Benefit, l’outil est disponible depuis cet URL.

Dans l’exemple suivant, nous faisons un calcul simple sur la base de 100 Licences Windows Server (Datancer) qui seront activées dans Azure via l’offre Hybrid Benefit. Pour bénéfier de l’offre Hybrid Benefit, les VMs Azure sur lesquelles vos Licences SA seront activées doivent respecter certaines SKU, dans l’exemple suivant, la VM SKU D3 v2 est sélectionnée :

 

Comme montré dans la capture d’écran, grâce à Azure Hybrid Benefit, nous économisons presque 25.000€ /an pour 100 Licences Windows Server.

Cela dû au fait qu’avec Azure Hybrid Benefit, vous économiserez le coût de la Licence Windows Server (Standard ou Datacenter) et vous payerez uniquement les frais liés à l’infrastructure Azure hébergeant votre VM :

image 1

 

Consultez cette page pour en savoir sur Azure Hybrid Benefit

 

#4 : Configurer des arrêts/démarrages auto sur vos VMs

Planifier des arrêts et démarrages automatiques sur vos VMs Azure non critiques/hors production: Dev, Recette, Intégration, Sandbox…

Cela vous permet de réduire vos coûts Azure de manière considérable (jusqu’à 66%).

Prenons l’exemple d’une VM à 100$/mois qui est utilisée uniquement 7 ou 8 heures par jour, si vous planifiez son arrêt/démarrage automatique, vous serez facturés uniquement pendant les 7/8 heures d’exécution, vous paierez donc 100$ /3 = 33,33$ au lieu de 100$.

Options d’arrêt/démarrage auto

Il existe plusieurs options/fonctionnalités vous permettant de planifier des arrêts/démarrage auto de vos VMs.

  • Fonctionnalité Buit-in appelée « Arrêt automatique« , disponible au niveau de chaque VM
      • Notez que cette feature ne vous permet pas le démarrage automatique de la VM, cela devra donc se faire à la main ou via un scheduler/script.

  • Utilisation d’Azure Automation : je vous invite à consulter cette page pour en savoir plus
    • Note : un post dédié à ce sujet est en cours de finalisation, n’hésitez pas à vous abonner sur mon Blog pour être informé dès sa publication.

 

#5 : Définir et Appliquer des Stratégies (Policies) Azure

Azure Policy une composante critique et importante du modèle de gouvernance global Azure.

Les Stratégies Azure vous permettent de définir vos standards de sécurité/conformité, et s’assurer que les ressources déployée sont « Compliant » depuis le déploiement jusqu’à exécution/utilisation.

Azure Policy peut être utilisé pour contrôler le type de SKU pouvant être déployé dans vos environnements Azure.

Le use-case qui revient le plus, est l’utilisation d’Azure Policy pour forcer l’utilisation de certains SKU de VM Azure (SKU Whitelisting) pour éviter l’utilisation de certains « SKU Monster » comme la M Serie (Up to 128 vCPUs /3.8TB de RAM) pouvant générer une consommation Azure très importante.

Dans l’exemple suivant, nous allons utiliser Azure Policy pour autoriser que les Azure VM SKU suivants :

D Serie, plus précisément :

  • D1_v2
  • D2_v2
  • D3_v2

Pour ce faire, sélectionnez votre abonnement (ou un RG si vous souhaitez appliquer cette Stratégie au niveau d’un RG), cliquez sur « Stratégies« , cliquez ensuite sur « Assigner une stratégie« , l’assistant s’affiche et vous demande de renseigner certains valeurs de paramètres.

Cliquez sur au niveau de la définition de la stratégie, et cherchez la définition SKU, comme montré dans la capture d’écran suivante :

Sélectionnez « Références SKU de machine virtuelle autorisées« , attribuez un nom à votre Policy Assignment, et cliquez sur Suivant pour continuer.

Sélectionnez les SKU de VM à autoriser (onglet « Paramètres« ), dans l’exemple suivant, nous allons sélectionner les 3 SKU suivants : D1_v2, D2_v2 et D3_v2

Enfin, cliquez sur « Vérifier + Créer » pour assigner votre Policy. Celle-ci apparaît désormais sous « Affectations » :

Comme montré dans la capture d’écran suivant, un Admin Azure tente de créer une VM en SKU G, le déploiement est refusé par la Policy que nous venons de définir, pour pouvoir déployer une VM Azure dans notre environnement, le SKU doit correspondre à D1_v2, D2_v2 ou D3_v2, Vous pouvez ainsi contrôler les coûts Azure générés par vos ressources IaaS Azure VM.

Guide pas à pas sur « Azure Policy »

Si vous voulez en savoir plus sur Azure Policy, je vous invite à consulter le guide pas à pas suivant :

Il s’agit d’un Slideshare, vous pouvez le consulter/télécharger directement depuis ce Link.

 

#6 : Forcer l’utilisation des Tags

Les Tags vous permettent d’organiser vos Ressources Azure de manière logique et par Catégorie.

L’utilisation de Tags dans Azure est primordial, car vous permettra de savoir :

  • Qui est propriétaire de la ressource (Tag : ResourceOwner)
  • La ressource appartient à quelle application (Tag : Application Name)
  • S’agit d’une ressource Dev/PreProd/Prod [Tag : EnvironmentType) ?
  • La ressource a été déployée pour quel besoin (Tag : Project Code)
  • Qui contacter en cas de maintenance de la ressource, si la machine doit être Patchée et rebooté (Tag : TechnicalContact)
  • A qui doit-on (re)facturer cette ressource la fin du mois ? si la notion du charge-Back est adoptée (Tag : CostCenter)

 

Grâce aux Tags Azure, vous pouvez faire un regroupement des coûts (par Appli, par type d’environnement …), ces informations sont très précieuses aux yeux du DAF :).

Les Tags vous permettent de connaitre combien vous coûtent vos ressources Dev à un instant T. Quel est le ResourceOwner qui consomme le plus de Ressources Azure …

Vous aurez compris, Tagger les ressources Azure devient plus qu’une bonne pratique, mais un moyen efficace pour suivre et tracer qui, consomme, quoi dans vos environnements Azure.

 

Si vous voulez en savoir plus sur Azure Tags, je vous invite à consulter le guide pas à pas suivant :

Il s’agit d’un Slideshare, vous pouvez le consulter/télécharger directement depuis ce Link.

 

#7 : Configurer des niveaux d’accès de type « Cool & Archive »

Toutes les données que vous uploadez vers ou générez depuis Azure ne doivent pas nécessairement être stockées sur du stockage Haute Performance. si vous classifiez vos données et créez des catégories avec le niveau de performance exigé, vous allez vite vous rendre compte que plusieurs types de données ne nécessitent pas vraiment un type de stockage très performant.

Azure propose aujourd’hui différents niveaux d’accès au Blog Stockage : Hot, Cool et Archive.

Le niveau d’accès « Hot » est surement dédié aux données qui sont fréquemment utilisées.

Les deux autres Access Tiers (Cool & Archive) peuvent être configurée quand il s’agit des données rarement utilisées (fichiers de Backup, logs…)

Pour économiser le coût lié au Stockage Azure, il est est recommandé d’utiliser les niveaux d’accès Cool & Archive et de n’utiliser le niveau « Hot » que quand c’est nécessaire.

 

Pourquoi utiliser un stockage Cool & Archive plutôt que Hot ?

Voyons d’abord c’est quoi la différence entre les niveaux « Cool » et « Archive ».

Stockage Azure « Cool » 

Le niveau de stockage de type « Cool », concerne les données peu consultées qui doivent être stockées (archivées) pendant au moins 30 jours. Quelques scénarios typiques incluent la sauvegarde des données avant archivage (sur des systèmes d’archivage), des fichiers multimédias, des logs/fichiers d’audit ou encore des données utilisés pour de l’Analytics Big Data…

Stockage Azure « Archive »

Comme son nom l’indique, le niveau de stockage de type « Archive » est un stockage peu coûteux pour les données d’archivage qui seront rarement consultées/accédées. Ce niveau concerne les données qui resteront stockées (archiveées) pendant au moins 180 jours, comme par exemple les données de sauvegarde l’historique médical, les fichiers logs, enregistrements audios/tél…

Quels avantages ?

Le coût d’un compte de Stockage configuré avec les niveaux d’accès « Cool » ou « Archive » sont beaucoup moins cher que celui en niveau d’accès « Hot ».

Consultez le tableau ci-dessous pour en savoir plus

Note importante : l’Archive Storage reste le moins coûteux > le 1 GB est à 0,002$ seulement (pour les 50 premiers TB).

Vous pouvez consulter le document ci-dessous pour en savoir plus sur les niveaux d’accès à Azure Storage

https://docs.microsoft.com/fr-fr/azure/storage/blobs/storage-blob-storage-tiers

 

 

#8 : Pensez à configurer des alertes quand le Budget est dépassé 

Azure fournit aujourd’hui plusieurs outils de gestion des coûts Azure, tels que « Analyse de coût », « Alertes de coût » ou encore « Azure Budgets« .

Ces outils vous permettent d’analyser, évaluer et suivre votre consommation Azure en temps réel.

Nous allons nous intéresser à Azure Budget dans un premier temps.

Grace à Azure Budget, vous pouvez définir votre budget pour une Application, Groupe de ressource, un abonnement …

Azure Budget vous permet également de suivre la consommation de ce budget mais aussi et surtout être alerté en cas de dépassement.

Note importante : en cas de dépassement des seuils budgétaires définis, seules des notifications sont déclenchées (alerte par mail). Aucune de vos ressources n’est impactée ou arrêtée et votre consommation n’est pas arrêtée. Azure Budget est simplement utilisé pour définir un Quota, comparer et suivre les dépenses lors de l’analyse des coûts.

 

Dans l’exemple suivant, nous définissons un budget de 1000€ /mois pour un groupe de ressource dédiée à une Application métier appelée « HRApp » :

Les alertes (par Mail) suivantes sont positionnées/définies :

Enfin, vous pouvez suivre/monitorer la consommation du budget défini depuis la Blade « Budgets » de votre RG ou Abonnement (colonne « Progression ») :

 

Note importante : L’outil Azure Budget est disponible uniquement depuis les abonnements Azure de type EA.

 

#9 : Auto-Scaling 

Un Cloud (Public ou Privé) se caractérise par les notions d’Élasticité et l’auto-Scaling, ce sont aujourd’hui les arguments qui poussent une DSI d’aller vers le Cloud.

L’auto-scaling permet d’étendre ou réduire automatiquement votre environnement Cloud. Vous n’avez plus à intervenir pour déployer des VMs supplémentaires ou supprimer ceux dont vous n’avez plus besoin,

Si vous disposez d’un site web e-Commerce hébergé dans le Cloud, vous pouvez mettre en place des mécanismes d’auto-scaling pour étendre ou réduire les capacités de votre web site en fonction de la charge (nombre de visiteurs/visites..). Si des Pics d’activité se présentent, votre web site sera re-sizer automatiquement pour supporter cette montée en charge, et sera downsizer quand l’activité revient à la normale.

 

Scalabilité horizontale vs scalabilité verticale

Il existe deux types de Scaling : Horizontale et Verticale

Scaling Verticale

Le Scaling Verticale est le plus intuitif : cela revient à ajouter des ressources à une VM unique (en lui ajoutant de la RAM, en changeant son CPU pour un plus véloce…). C’est simple ! Mais :

  • Le coût est rapidement exponentiel de la capacité matérielle.
  • Cette solution a des limites : vous pourrez probablement multiplier par 2 les capacités de votre serveur, peut-être même par 5, mais pas par 100 !

Cela reste dans la majorité des cas la solution la plus pragmatique, et en particulier pour des applicatifs en production depuis de nombreuses années.

 

Scaling Horizontale

Le Scaling horizontale revient à ajouter de nouveaux serveurs réalisant le même type tâche. Cela permet de n’utiliser que des serveurs standards (on parle de commodity hardware). Mais les implications logicielles sont rapidement importantes !

  • L’application doit être stateless (sans état) : cela signifie que les données sont stockées dans un autre service (dans votre base de données, dans un cache distribué…)
    C’est l’idéal. Vous devriez concevoir vos nouveaux développement avec cet objectif.
  • Si votre applicatif stocke des données en local (par exemple des données de sessions utilisateurs stockée en RAM) : vous pouvez malgré tout scaler horizontalement s’il est possible de couper ces données en sous ensembles indépendants (on parle de sharding). Il est alors nécessaire de s’assurer que chaque client ne communique qu’avec un unique serveur. Cela passe par exemple par un proxy qui redirige le client vers un serveur applicatif donné en fonction des identifiants du client, on parle de sticky session.
  • Si il n’est pas possible de sharder facilement vos données, alors vous ne pouvez pas scaler horizontalement sans modifier en profondeur votre applicatif. Vous devez, au moins temporairement, vous en tenir à un scaling vertical.

 

Options d’auto-scaling Azure

Azure propose plusieurs options d’auto-Scaling vous permettant d’auto-configurer les capacités de vos services Cloud, le but étant de payer uniquement les ressources/capacités dont vous avez besoin, uniquement lorsque vous en avez besoin et éviter de payer des ressources/capacités inutiles.

Il est recommandé de concevoir et mettre en place une stratégie d’auto-Scaling sur vos ressources de Production Azure.

Je vous invite à consulter le post ci-dessous pour en savoir plus sur les options d’auto-Scaling Azure :

https://docs.microsoft.com/fr-fr/azure/azure-monitor/platform/autoscale-overview

 

#10 : Azure Dev/Test Subscriptions ?

Si vous êtes abonnés « Visual Studio », que vous souhaitez Builder des environnements Azure de Dev & Test, il est recommandé de souscrire à l’offre Azure Dev/Test plutôt qu’un abonnement Azure standard.

Azure Dev/Test, qu’est-ce que c’est ? 

Azure Dev/Test est une offre Azure dédiée aux Développeurs (exclusivement aux individus et sociétés disposant d’un abonnement Visual Studio) ayant besoin d’environnement Sandbox pour concevoir, développer et tester des services & applications dans Azure.

Avec l’offre Azure Dev/Test, trois options sont disponibles :

Ce qu’il faut retenir :

  • Offre « Particulier » : Si vous êtes un Freelance/Particulier et souhaitez avoir un environnement de Dev/Test sur Azure, cette offre est faite pour vous. Votre abonnement VS (Visual Studio) vous permettra d’avoir jusqu’à 130€ de crédit azure mensuel.  C’est à vous de décider comment vous utilisez votre crédit mensuel. Il existe plusieurs services Azure auxquels vous pouvez attribuer le crédit (cf liens ci-dissous). Les Software inclus dans votre abonnement Visual Studio peuvent être utilisé sur les VMs Azure sans frais supplémentaires. De plus, vous payez un tarif réduit pour les VMs Azure.
    Si vous dépassez le crédit inclut (130€ Max), vous serez facturés de manière mensuelle (dès réception de la facture). Pour finir, notez qu’un seul abonnement Azure Dev/Test (par abonnement VS) est autorisé
  • Offre « Equipes » (Clients EA : Enterprise Agreement) : vous permet d’avoir plusieurs abonnements Azure Dev/Test pour vos différentes équipes de Dev. Vous n’avez pas besoin de saisir les infos de votre CB lors de la souscription à l’offre Azure Dev/Test, vous serez facturés dans le cadre de votre contrat EA. Contrairement à l’offre « Particulier », cette option vous offre la possibilité de donner la main à vos End users pour exécuter les tests (recette) et donner leurs feedbacks.
  • Offre « Equipes » (Hors Clients EA) : si vous êtes abonnés VS mais ne disposez pas de contrat EA et souhaitez avoir des abonnements Azure Dev/Test, eh bien dans rentrez dans cette catégorie. La différence avec l’option précédente réside dans le fait que vous êtes facturés de manière mensuelle (par CB et à réception de la facture).

 

Quels avantages ?

Tout d’abord, il faut noter que les trois options listées précédemment vous permettent d’utiliser les Software inclus dans votre abonnement Visual Studio (environnements de Dev & Test uniquement) sans frais supplémentaires. Pour l’exécution de VMs Azure, vous bénéficiez d’un prix réduit basé sur le prix de VM Linux.

Reportez-vous au tableau ci-dessous pour en savoir plus sur les avantages/remises possibles avec l’offre Azure Dev/Test :

 

Créer votre abonnement Azure Dev/Test

L’option ajouter un nouvel abonnement vous redirige vers le Portail suivant, il suffit de sélectionner ‘Abonnement Dev/Test » et suivre l’assistant pour créer votre nouvel abonnement Azure Dev/Test :

Quelques liens utiles

Je vous invite à consulter les documents suivants pour en savoir plus sur l’offre Azure Dev/Test « Particulier », « Equipes /EA » et « Equipes /Hors EA » :

 

Si vous souhaitez donc déployer des Workloads (de Dev/Test) dans Azure, privilégiez l’utilisation d’Azure Dev/Test :).

 

#11 : Downsizer les ressources oversizées

Une autre bonne pratique consiste à auditer/analyser régulièrement (une fois /mois par exemple) les ressources Azure pour identifier d’éventuelles ressources sur-dimensionner. Vous pouvez ensuite procéder à une Downsizing de ces services/ressources pour réduire les coûts Azure associés.

Ces opérations peuvent être industrialisées/automatisées à l’aide d’options/features d’auto-scaling (Up & Down) fournis avec Azure (cf Section #9).

 

#12 : Pensez à faire le CleanUp

Planifiez des CleanUp régulièrement !

Si cela ne se fait pas de manière automatique (via des RunBooks + Tags « EndDate /Date_Suppression… »), je vous propose la méthode /process suivant :

  • Auditer /Identifier toutes les ressources « Inactives » : WebApps, VMs … éteintes et ne présentant aucune activitée depuis plus de 3 mois
  • Se référer aux Tags pour connaitre les Resources Owner (Propriétaire) de ces ressources
  • Rentrer en contact avec ces personnes pour leur faire part de vos futures opérations (suppression des ressources)
  • Obtenir un GO /Validation des responsables/Owner de ces ressources
  • Planifier la suppression des ressources non utilisées.
  • Reporter (un mail suffit) après la réalisation des actions de suppression.

 

On a tous connu des Devs ou Business Users qui ont déployés pleins de RG à des fins de tests, mais qui n’ont jamais pris le temps d’arreter ou supprimer ces ressources en fin de PoC/Sandbox.

Ce Process vous permet de faire le ménage de manière régulière pour économiser les frais associés aux ressources déployées mais aussi avoir une infrastructure Azure propre et Always UpToDate :).

 

What Else ?

Partagez ces 12 BP avec votre DAF, il va surement Liker le post :).

A bientôt, Stay tuned.

#HK

Il existe aujourd’hui plusieurs outils graphiques et en ligne de commande (GUI & CLI) vous permettant de gérer vos environnements et ressources Cloud Azure.

Nous distinguons :

  • Portail Azure
  • Azure CLI
  • Windows PowerShell (Az Module)
  • API REST
  • Azure SDKs

 

Si vous n’êtes pas encore familier avec PowerShell ou Bash (CLI), vous allez sûrement commencer à déployer et manager vos ressources Azure via le Portail Azure, disponible depuis cet URL : https://portal.azure.com

Aujourd’hui, je vais justement vous présenter quelques raccourcis clavier utiles disponibles directement depuis le Portail Azure.

Ces raccourcis peuvent vous être utiles pour mieux naviguer sur le Portail Azure et accéder rapidement à certains services qui y sont intégrés.

 

Liste des Raccourcis Clavier du Portal Azure

La liste des raccourcis clavier est disponible depuis le Portail Azure, il suffit de cliquer sur < Help >, disponible depuis le coin supérieur droit, et cliquez ensuite sur « Keyboard Shortcuts » ou « Raccourcis clavier » si votre interface Web est configurée en langue « fr-FR » :

La liste des raccourcis est affichée comme montré dans la capture d’écran suivante :

N’hésitez pas à tester les différents Shotcuts, comme par exemple « G+N » (il faut maintenir la touche G et cliquer ensuite sur N) pour faire apparaître l’assistant de création de nouvelle ressource Azure suivant :

 

Vidéo from Microsoft Azure

Je vous invite à visionner la vidéo ci-dessous montrant l’utilisation des Shortcuts du Portail Azure.

Elle a été réalisée par la Team Microsoft Azure

Information utile

La liste des raccourcis clavier du Portail Azure est également documentée sur le service docs.azure, et est disponible ici.

Je vous invite à consulter cette page régulièrement pour rester informé des dernières modifications /ajout de nouveaux raccourcis.

Enjoy :).

IoT Analytics platform for Real-Time and Streaming Analytics - XenonStack

 

Si vous intervenez sur des environnements Cloud Azure, en tant que Consultant /Architecte ou même auditeur, vous avez sûrement eu besoin de documenter la ou les architecture Azure sur lesquelles vous avez travaillé pour sortir une Big Picture illustrant tous les services /features /composants qui y sont déployés.

J’ai récemment audité une infra Azure d’un de mes clients, ce dernier ne disposant d’aucun schéma /DAT, j’ai été amené à documenter son architecture Azure.

Pour ce faire, j’ai dû utiliser plusieurs Outils/Templates/Visio stencil… j’ai donc décidé de publier ce post pour partager ces ressources avec vous :).

 

Outils & Liens Utiles

Tous les liens /documentations /ressources utilisées pour documenter une Architecture Azure sont listés ci-dessous :

 

Enjoy, à bientôt,

#HK

Résultat de recherche d'images pour "azure private link"
Introduction

Les clients Azure ont de plus en plus besoin d’accéder à leurs données et services Cloud de manière privée et sécurisée.

Plusieurs Services Azure (offres PaaS et SaaS principalement) sont (par défaut) déployés avec des interfaces Publics. Eg Database Azure SQL ou Compte de Stockage Azure déployés avec des URL Publics/DNS Name routable sur Internet.

Microsoft avait introduit un service appelé « VNET Service Endpoint » (Points de terminaison) permettant d’associer un service Azure partagé (Shared) à un VNET privé.

Vous pouvez en effet sécuriser la connexion à un service Partagé tel qu’une base Azure SQL PaaS en utilisant les points de terminaison VNET, ces derniers maintiennent le trafic sur le réseau interne Microsoft et permettent de « Lock-down » la ressource PaaS sur votre réseau virtuel uniquement.

En revanche, les points de terminaison PaaS restent accessibles via une adresse IP publique et ne peuvent donc pas être atteints depuis votre réseau local/onPrem via un Peering privé ExpressRoute ou une Passerelle VPN Azure.

Pour rendre ses services PaaS et SaaS Publics accessibles de manière privée et sécurisée, Microsoft a introduit un nouveau service appelé « Azure Private Link » !

 

Azure Private Link : qu’est-ce que c’est ? 

Tant attendu, Azure Private Link (APL) est un service qui va vous permettre d’accéder à des services Azure tels que Azure Storage, SQL (Offres PaaS), des Services tiers (Marketplace Azure) ou encore des ressources Buildées par vous via une liaison privée/sécurisée et complètement déconnectée d’Internet.

Une fois configuré et intégré à votre VNET, Azure Private Link établit un lien privé via des Private Endpoints avec tous les services Azure partagés pris en charge (Azure SQL, Azure Storage…), ces derniers deviennent accessibles via une Adresse IP Privée/Locale faisant parti de votre Range IP, comme n’importe quelle ressource déployée et associée à un de vos VNET Azure.

Notez qu’Azure Private Link s’intègre également avec les Zones DNS Privées d’Azure.

Prenons l’exemple suivant : Architecture Hybride Azure avec liaison ER (Private Peering)

Azure présente une extension de votre Datacenter (OnPrem), ce dernier est interconnecté avec Azure via une liaison « ExpressRoute » en Private Peering.

Vous déployez une base de données Azure SQL, par défaut, ce service est accessible via une URL publique (Routable sur Internet). Azure Private Link permet de rendre cette ressource Publique (DB Azure SQL), privée en l’associant à votre VNET et en lui attribuant une adresse IP locale. Les utilisateurs OnPrem peuvent donc (via le lien Private Peering ExpressRoute) accéder à cette DB Azure SQL via son adresse IP Privée/Locale, la ressource sera visible et accessible comme n’importe quelle ressource déployée dans vos environnements locaux ou Cloud.

Cela réduit considérablement le risque lié à l’exposition des ressources Azure sur Internet, car tout le trafic passe à travers le réseau Interne de MS Azure (Azure Backbone Network).

Le Schéma suivant illustre le fonctionnement du service Azure Private Link :

Diagram showing the Private Link topology. Starting from services attached to Private Link, then linked and made available in the customer VNet through a Private Endpoint.

 

Vous pouvez aussi regarder la vidéo ci-dessous pour en savoir plus sur APL :

[Cliquez sur l’image pour visionner la vidéo]

 

Pourquoi utiliser Azure Private Link : Quels avantages ? Quels Use-Cases ?

L’utilisation d’Azure Private Link présente plusieurs avantages :

  • Configuration réseau simplifiée : la configuration et gestion des règles de filtrage réseau reste la même car tous les services Publics partagés (eg : Azure SQL Database) deviennent privés et sont accédées via leurs interfaces IP privées comme n’importe quelle ressource associée à votre VNET (même accès et connectivité que les VM Azure par exemple).

Vous pouvez utiliser Azure Private Link dans les scénarios suivants :

  • Si vous voulez établir une connexion privée avec les services PaaS Azure : comme mentionné précédemment, grâce à Azure Private Link, vous pouvez désormais accéder à des services partagés Multi-tenant tels que le Stockage Azure, Azure SQL de manière privée et sécurisée. Vous pouvez simplement créer un Private Endpoint dans votre VNET et le mapper sur votre ressource PaaS (votre compte de stockage Azure ou base de données SQL), APL attribue ensuite des adresses IP locales/privées à ces services PaaS et les rendent accessibles depuis votre réseau Azure (VNET) ou Local (OnPrem).
  • Si vous voulez Établir une connexion privée avec les services SaaS Azure : Plusieurs Partenaires de Microsoft offrent aujourd’hui leurs solutions sous forme de SaaS (Software-as-a-Service) à travers la Marketplace Azure. Ces solutions SaaS sont souvent accessibles que depuis Internet. Certains clients Azure souhaitent utiliser ces SaaS au sein de leurs réseaux privés comme s’elles étaient déployées au sein de leurs Datacenters. La possibilité de consommer les solutions SaaS à titre privé au sein du réseau du client est une demande courante. Avec Azure Private Link, la connectivité privée est aussi étendue aux partenaires Microsoft. Quand APL sera en GA, vous allez surement constater la disponibilité de plusieurs offres/solutions SaaS du Marketplace via un Azure Private Link : nous allons donc parler plutôt de Private SaaS.
  • Si vous voulez  établir une connexion privée avec vos services Azure (autres que PaaS et SaaS) : Le scope d’Azure Private Link ne se limite pas aux services/offres PaaS et SaaS d’Azure, vous pouvez en effet étendre APL aux autres Workloads comme par exemple des VMs Azure (faisant office de Web Server) ou des Azure WebApps placés derrière un Équilibreur de charge (Load Balancer) Standard. Le diagram suivant illustre une architecture avec et sans APL :

 

Before and after diagram, showing services traditionally exposed through public IPs vs exposed privately in the VNet through Private Link

 

Comme montré dans le schéma ci-dessus, avec Azure Private Link, vous pouvez déployer et placer des ressources Azure derrière un Load Balancer Standard, et configurer ce dernier pour permettre à vos utilisateurs faisant parti d’autres tenant AAD (ou abonnements) de donc depuis d’autres VNET d’atteindre sans avoir besoin d’exposer vos ressources sur Internet.

La création d’un Azure Private Link Service est nécessaire.

 

Composants d’Azure Private Link

Il faut bien noter qu’Azure Private Link fonctionne de la manière suivante :

  • Les Azure Private Endpoints sont utilisés pour rendre la communication privée avec les services PaaS/SaaS
  • Les Azure Private Link Services sont utilisés pour faire référence à vos ressources (VMs) placées derrière un Load Balancer Standard.

 

Services Azure pris en charge par Azure Private Link
Services Azure PaaS pris en charge 

Encore en Public Preview au moment de la rédaction de ce post, Azure Private Link prend uniquement en charge les services PaaS suivants :

  • Azure Storage
  • Azure SQL Database
  • Azure SQL Data Warehouse
  • Azure Data Lake Storage (Gen2)

 

Autres Services Azure pris en charge 
  • Services Azure placés derrière un Load Balancer Standard

 

Régions prenant en charge Azure Private Link

La Public Preview d’Azure Private Link prend uniquement en charge les régions Azure suivantes :

Type de service (Scénario) Services pris en charge Régions disponibles
Private Link pour vos services Azure Services derrière un Load Balancer Standard
  • West Central US
  • WestUS
  • South Central US
  • East US
  • North US
Private Link pour les services Azure PaaS Azure Storage
  • East US
  • West US
  • West Central US
Azure SQL Database
  • East US
  • West US
  • West Central US
Azure SQL Data Warehouse
  • West Central US
  • WestUS
  • South Central US
  • East US
  • North US
Azure Data Lake Storage Gen2
  • West Central US
  • WestUS
  • South Central US
  • East US
  • North US

Note importante : si des règles de sécurité/Compliance vous obligent à déployer des services Azure uniquement en France (Central /Sud) ou en Europe (Nord & Ouest), vous ne pouvez malheureusement activer/configurer/tester Azure Private Link. Eg : une Azure Policy qui force le déploiement des services Azure dans les Régions France et Europe uniquement vous empêchera de déployer APL. Voir avec les Cloud SecAdmin pour faire une exclusion sur un RG de test ou réaliser vos tests sur un Abonnement dédié au Sandbox/Dev/Test.

 

Limitations

Au moment de la rédaction du présent article, Azure Private Link (encore en Public Preview) présente les limitations suivantes :

Ressource/Object Limitation
Nombre de « Private Endpoints » par VNET 1000
Nombre de « Private Endpoints » par Abonnement 64000
Nombre de Service « Private Link » par Abonnement 32
Nombre de Configurations IP pour un Service « Private Link » 8 (Adresses IP NAT IP utilisées par PLS)
Nombre de « Private Endpoints » pour le même Service « Private Link » 1000

 

Pricing

Au moment de la rédaction de ce post, Azure Private Link est facturé de la manière suivante :

Service Liaison privée Le service Liaison privée n’est pas facturé
Point de terminaison privé 0,005 € par heure
Données entrantes (IN) traitées 0,005 € par Go
Données sortantes (OUT) traitées 0,005 € par Go

Notez que pendant toute la période « Public Preview » du service Azure Private Link, vous bénéficiez d’une remise de 50% sur les tarifs indiqués dans le tableau ci-dessus.

 

HowTo : créer un service Azure Private Link

Pour pouvoir créer un Private Link Azure, vous devez d’abord créer un Private endpoint. Azure Private Link s’appuie en effet sur le Private endpoint pour établir les différents canaux privés entre le VNET et les services Azure cibles (PaaS, SaaS, Ressources propriétaires).

Nous allons découvrir durant cette partie comment activer et configurer Azure Private Link.

Dans l’exemple suivant, le but est de sécuriser la communication entre une DB Azure SQL (PaaS) et une VM Azure (IaaS) depuis le réseau privé (VNET) Azure.

Notre service cible (DB Azure SQL) sera accessible de manière privée via son @IP privée/locale et ne sera donc plus visible depuis Internet.

Prérequis

Si vous ne disposez pas encore de compte Azure, vous pouvez en créer un gratuitement en cliquant ici.

 

Sandbox : Informations de configuration

Voici la configuration de notre LAB Azure :

  • 1 VNET :
    • Espace Adressage 10.10.0.0/16
    • Subnet 10.10.0.0/24
  • 1 VM Azure :
    • WS Server 2016 (Datacenter Edition)
    • Avec SSMS (SQL Server Management Studio) installé
    • IP : 10.10.0.4
  • [PaaS] Azure SQL Database :
    • Nom SQL Server : hklabdbserver.database.windows.net
    • Nom Database SQL : hklabdatabase
    • Zone DNS Privée Azure
      • Nom de la zone : hklabprivatelink.windows.database.net
      • Record A pour la base PaaS :
        • Hostname : hklabdbserver.hklabprivatelink.windows.database.net
        • IP Address (privée) : 10.10.0.5

 

Outils de déploiement

L’activation et configuration d’Azure Private Link peuvent être réalisées via différents tools (Azure Portal, Az PowerShell Module, Az CLI…).

Pour notre LAB, Azure CLI sera utilisé car c’est mon tool préféré (:D) mais aussi parce que je trouve que l’interaction avec Azure est 2 à 3 fois plus rapide par rapport à WS PS.

 

HowTo : créer un service Azure Private Link

Pour pouvoir créer et tester Azure Private Link, nous allons d’abord déployer notre infra de test, comprenant :

  • 1 VNET + 1 Subnet
  • 1 VM
  • 1 SQL Server-as-a-Service
  • 1 Database SQL Azure
  • 1 Zone DNS Privée Azure + 1 Record pour notre Azure DB Server
  • Le tout placé dans un Resource Group 

 

Pour ce faire, connectez-vous sur le Cloud Shell Azure et exécutez les commandes suivantes :

  • Note : vous pouvez changer les noms des objets et renseigner ceux qui vous conviennent le plus (eg : respecter une convention de nommage d’un env LAB Azure de votre société ou client).

 

#1 : Création du Ressource Groupe

Exécutez la commande suivante pour créer un groupe de ressource nommé « hk-lab-rg » au niveau de la région France Central :

#2 : Création du VNET et Subnet

Exécutez les commandes suivantes pour créer un nouveau VNET nommé « hk-lab-vnet » avec un subnet de /24 nommé « hk-lab-subnet » :

#3 : Création de la VM

Exécutez les commandes suivantes pour créer une nouvelle VM WS2019Datacenter nommé « hk-lab-vm« :

 

#4 : Création d’un nouveau Server Azure SQL (hklabdbserver) et une base de données de test (hklabdatabase)

Exécutez les commandes suivantes pour créer une nouveau Server Azure SQL :

az sql server create \
–name « hklabdbserver » \
–resource-group « hk-lab-rg » \
–location francecentral \
–admin-user « hksqladmin » \
–admin-password P@$$w0rd_2019!

Exécutez ensuite les commandes suivantes pour créer une nouvelle DB Azure SQL :

az sql db create \
–resource-group hk-lab-rg \
–server hklabdbserver \
–name hklabdatabase \
–edition GeneralPurpose \
–family Gen5 \
–capacity 1

 

#5  : Mettez à jour les stratégies Réseaux au niveau du Subnet « hk-lab-subnet »

Les stratégies réseaux et règles de filtrage (eg : règles NSG) ne prennent pas en charge les Private endpoints.

Le sous-réseau auquel nous allons associer les Ressources Private Link (via les Private endpoints) doit être configuré/mis à jour pour exclure les Privates Endpoints de toute règle réseau/filtrage définie.

Pour désactiver ces stratégies réseaux du subnet sur lequel vous allez créer et associer des Private endpoints, il suffit d’exécuter les commandes suivantes :

az network vnet subnet update \
–name hk-lab-subnet \
–resource-group hk-lab-rg \
–vnet-name hk-lab-vnet \
–disable-private-endpoint-network-policies true

 

Note importante : si vous créez votre Private endpoint via le Portail Azure (GUI mode), cette mise à jour des network policies est faite de manière automatique par l’assistant. Elle doit être réalisée à la main seulement quand vous déployer des private Endpoints via Windows PowerShell (Az Module) ou Azure CLI.

 

#6 : Création du Private Endpoint

Maintenant que les ressources requises pour notre LAB ont été créées et les stratégies réseaux ont été désactivées, nous allons créer et configurer Azure Private Link.

Pour ce faire, vous devez simplement créer un Private Endpoint car APL s’appuie en effet ce dernier pour faire communiquer des ressources comme les VMs Azure avec les ressources Private Link (de type Base PaaS Azure SQL ou Compte de stockage Azure).

Commencez donc par créer un Private endpoint en exécutant la commande Az CLI suivante

az network private-endpoint create \
–name hktestprivateendpoint \
–resource-group hk-lab-rg \
–vnet-name hk-lab-vnet \
–subnet hk-lab-subnet \
–private-connection-resource-id « /subscriptions/id/resourceGroups/hk-lab-rg/providers/Microsoft.Sql/servers/hklabdbserver »/ \
–group-ids hklabdbserver \
–connection-name hklabprivateendpointconnection

 

Tip : vous devez avoir l’ID de votre Az SQL Server (paramètre –private-connection-resource-id), pour l’obtenir, vous pouvez exécuter la commande suivante :

az sql server show -n hklabdbserver -g hk-lab-rg

 

#7 : Création de la Zone DNS privé Azure ainsi que le record pour la PaaS SQL Azure

Pour créer la zone DNS privée « hklabprivatelink.database.windows.net« , exécutez la commande suivante :

az network private-dns zone create –resource-group hk-lab-rg \
–name « hklabprivatelink.database.windows.net »

Créez ensuite le lien DNS privé, en exécutant la commande suivante :

az network private-dns link vnet create –resource-group hk-lab-rg \
–zone-name « hklabprivatelink.database.windows.net »\
–name hklabdnslink \
–virtual-network hk-lab-vnet \
–registration-enabled false

Nous allons maintenant déclarer/ajouter un record (A) et l’associer à notre serveur SQL Azure (hklabdbserver <> IP locale/privée : 10.10.0.5 car le 10.10.0.4 est attribuée à notre VM WS2016) en exécutant les deux commandes suivantes :

az network private-dns record-set a create –name hklabdbserver –zone-name hklabprivatelink.database.windows.net –resource-group hk-lab-rg

az network private-dns record-set a add-record –record-set-name hklabdbserver –zone-name hklabprivatelink.database.windows.net –resource-group hk-lab-rg -a 10.10.0.5

Et voilà le tour est joué :).

HowTo : Créer /Configurer Azure Private Link via PowerShell & Azure Portal

Pour créer et configurer Azure Private Link via PowerShell (Az Moduel), consultez cet article.

Pour créer et configurer Azure Private Link via le Portail Azure, consultez cet article.

 

Tester l’accès à votre service PaaS (SQL Server Azure) via son @IP locale

Nous allons maintenant tester la connectivité (privée) entre notre VM Azure (10.10.0.4) et notre Azure SQL Server (10.10.0.5), pour ce faire :

  • Connectez-vous via RDP sur la VM Azure (Click Connect pour récupérer le RDP File). Si vous n’avez pas attachée une Public IP à votre VM, vous pouvez toujours vous connecter en RDP via le service Azure Bastion. Pensez à utiliser l’URL « Preview » pour avoir l’option « Bastion : RDP|SSH » sur votre VM.
  • Une fois la session Windows ouverte, lancez l’invite de commande (CMD.exe) et faites un test nslookup avec le DNS name du serveur SQL Azure en exécutant la commande suivante : nslookup hklabdbserver.hklabprivatelink.database.windows.net
  • Comme montré dans la capture d’écran suivante, L’@IP retournée est 10.10.0.5 (IP locale)

  • Nous allons maintenant tester la communication via le port 1433 (SQL) sur l’@IP 10.10.0.5. Pour ce faire, lancez Windows PowerShell (en tant qu’Admin) et saisissez la commande suivante : Test-NetConnection -ComputerName 10.10.0.5 -Port 1433, le résultat retourné doit indiquer ‘True’, c’est qui veut dire que la communication entre votre VM et le service PaaS Azure SQL sur le port 1433 est OK via l’@IP locale (10.10.0.5)

  • Enfin, installez SQL Server Management Studio sur la VM Azure (10.10.0.4) et connectez-vous sur le serveur Azure SQL (hklabdbserver <> 10.10.0.5) à l’aide des credentials Admin SQL renseignés lors de la création du service Azure SQL

  • Comme montré dans la screenshot ci-dessous, la connexion sur le serveur Azure SQL a été réalisée avec succès, nous sommes bien connectés sur notre instance hklabdbserver via l’IP locale 10.10.0.5 :

 

S(ervice) L(evel) A(greement)

Une fois en GA (General Availability), Microsoft annonce une disponibilité trois 9 (99,9) du service Azure Private Link.

Source : https://azure.microsoft.com/fr-fr/pricing/details/private-link/

 

Azure Private Link : La Roadmap ?

L’équipe Azure Networking Corp annonce plusieurs New Features dans la Roadmap Azure Private Link, à savoir :

  • Disponibilité d’Azure Private Link dans de nouvelles Régions : Les régions France Central/Sud et Europe Nord/Ouest seront donc bientôt prises en charge (selon le PM Azure Networking)
  • Pris en charge de plusieurs nouveaux services PaaS : Azure Cosmos DB | Azure MySQL | Azure PostgreSQL | Azure MariaDB | Azure Application Service | Azure Key Vaul
  • Pris en charge de Nouveaux Services Partner (Service Tiers du Marketplace)

Quand il sera en GA, Azure Private Link prendra en charge une liste de services nettement plus importante.

Stay connected on : https://azure.microsoft.com/fr-fr/updates/?product=virtual-network

 

Lien Utile /Documenttion « Azure Private Link » 

La documentation officielle sur Azure Private Link est disponible depuis l’URL ci-dessous :

https://docs.microsoft.com/en-us/azure/private-link/

 

That’s All :).

A bientôt, #HK

 

 

A propos de cet eBook

Ce livre gratuit vous présente toutes les composantes critiques du modèle de gouvernance global Azure (Tags, Policy, Convention de nommage, Locks)

Il décrit en détails chaque composant/service, et détaille les bonnes pratiques et limitations relatives à chaque composant.
De plus, vous apprenez à travers ce free ebook toutes les techniques vous permettant de concevoir et implémenter votre model de Gouvernance, via Le Portail Azure mais aussi via l’interface « Cross-Platform » Az CLI et Windows PowerShell (utilisation du nouveu module PS « Az »).

Note : il s’agit de la première Edition de l’eBook « Azure Governance ». La seconde Edition comprendra les autres composants du modèle de Governance, à savoir « Azure RBAC » | « Azure Automation » | « Azure Security Center » | « Azure ResourceGroup-as-a-Service »

Publics concernés par cet eBook

Ce guide pas à pas peut intéresser plusieurs populations IT :

  • DSI /IT Manager /Cloud Program Manager
  • RSSI /Adjoint RSSI /Responsable Sécurité Cloud
  • Consultant /Architecte Azure /Architecte Solutions Cloud
  • Consultant Sécurité/Cyber /Consultant Sécurité Cloud
  • Administrateur /Ingénieur Cloud ou Sécurité
  • Cloud Enthusiast 😊
  • Toute personne souhaitant étudier, concevoir et implémenter un modèle de gouvernance Azure.

 

Téléchargez l’eBook

L’eBook est disponible en téléchargement gratuit sur BecomeITexpert.com, cliquez sur l’image ci-après pour en savoir plus :

 

Enfin, ce livre gratuit est organisé en 4 Chapitres. Je vous invite à consulter la table des matières pour en savoir plus.

Bonne lecture à tous :).

A bientôt,

#HK

 

Introduction

Avec son offre « Azure VM », Microsoft offre à ses clients la possibilité de déployer des infrastructures IaaS (Infrastructure-as-aService) sous Windows Server/Client ou Linux.

Par défaut :

  • Toute VM Windows (Client ou Server) déployée est exposée à Internet et est accessible via le protocole RDP (Remote Desktop Protocol : Port 3389.
  • Toute VM Linux déployée est exposée à Internet et est accessible via le protocole SSH (Secure SHell) : Port 22

 

En effet, lors de la création d’une nouvelle VM Azure (Windows ou Linux), l’assistant Azure vous propose la création d’une interface (IP) Publique pour permettre l’accès à votre VM (via RDP ou SSH) depuis Internet.

Cela vous expose à un risque important car vos VMs écoutent sur des ports (22/SSH et 3389/RDP) considérés étant vulnérables et très ciblés par les Hacker. Sans parler des Bots qui scannent en permanence les réseaux IP des Cloud Providers (tels que MS, AWS, GCP..etc) et essayent de Brute-forcer les accès SSH/RDP sur toute VM écoutant sur ces ports.

Pour réduire ce risque, certaines sociétés exposent seulement une VM (aka Jumpbox) de rebond utilisée pour atteindre les autres VMs en Back-end. Or, ce dernier devient donc aussi vulnérable car écoute toujours sur les mêmes ports (SSH/RDP), en outre, cet environnement Jumpbox est rarement « Hardené » et restreint (IP filtering, OS Hardening, AppLocker, Real-tim monitoring…etc)

D’autres sociétés ayant un niveau de sécurité plus sérieux, construisent un « vrai » environnement Bastion à base de RDS (Remote Desktop Services), comprenant une Gateway RDS pour exposer uniquement le protocole SSL/TLS (HTTPS) et encapsuler le protocole RDP over HTTPS.

Pour construire un environnement Bastion basé sur RDS, plusieurs services de rôles (et plusieurs VMs) doivent être déployées et configurées.

L’infra Bastion Azure (IaaS) peut comporter jusqu’à 6 ou 7 VMs (coût assez important), de plus, cette infrastructure devenant le point d’entrée aux infras IaaS Azure, doit être sécurisée, monitorée en permanence, backupée….etc donc un effort de gestion et maintenance non négligeable pour une société souhaitant s’offrir ce niveau de sécurité.

Enfin, les sociétés ayant plus d’exigences Sécu, n’exposent aucune VM sur Internet, même s’il s’agit d’une VM RD Gateway avec de l’HTTPS only, et optent pour une solution « Privée » qu’est la mise en place d’un VPN Point-toSite ou P2S (si l’équipe Admin Cloud ne comporte pas plus de deux ou trois personnes) ou VPN Site-toSite (ou S2S) s’elles souhaitent interconnecter le réseau local (ou un réseau Admin Local spécifique) avec leur VNET Azure.

  • Note : les deux VPN modes sont sécurisés
    • VPN S2S : IPSec /IKEv2
    • VPN P2S : OpenVPN ou SSTP « SSL/TLS based-authentification à base de certificat »

 

Ce 18 Juin 2019, l’équipe Azure Corp a annoncé la disponibilité d’un nouveau service de sécurité appelé « Azure Bastion« .

Ce service peut remplacer toutes les solutions citées ci-haut, et vous allez vite comprendre pourquoi :).

 

Azure Bastion : qu’est-ce que c’est ?

Azure Bastion est un service PaaS (Platform-as-aService) entièrement géré et maintenu par Microsoft (Sécurisation, Patch Management….), il fournit un accès RDP et SSH sécurisé à vos VMs Azure (Windows & Linux) directement via le portail Azure.

Azure Bastion est déployé/associé au niveau de chaque réseau virtuel (VNet) Azure et prend en charge toutes les VMs faisant partie du VNET.

Vos VMs ne sont jamais exposées sur Internet (pas d’@IP Publique), seul le service Azure Bastion est exposé et est accessible via HTTPS (via le Portail Azure).

Ce service peut remplacer votre infrastructure Bastion RDS traditionnelle, vous pouvez ainsi réduire le coût lié à l’infra VM Azure (plusieurs VMs > plusieurs centaines voire des milliers d’euros /mois, selon le sizing des VMs déployées) et réduire vos efforts de gestion, sécurisation, maintenance, backup…. (passage du mode IaaS au PaaS).

 

Azure Bastion est encore en « Public Preview », et est disponible uniquement pour les Régions Azure suivantes :

  • West US
  • East US
  • West Europe
  • South Central US
  • Australia East
  • Japan East

 

Azure Bastion : Big Picture

Le schéma suivant illustre l’accès RDP/SSH via Azure Bastion

source : Blog MS Azure

Pré-requis

Pour pouvoir déployer le service Azure Bastion, vous devez vérifier les deux prérequis suivants :

  • Disposer d’un compte Azure, vous pouvez en créer-un gratuitement ici.
    • Note : Vous bénéficiez de 170€ de Crédit pour tout nouveau compte Azure créé.
  • Enregistrer la fonctionnalité « AllowBastionHost » du fournisseur de ressources « Microsoft.Network » au niveau de votre abonnement, et ce en exécutant les commandes PS suivantes.
    • Note : les Commandes PS ci-dessous peuvent être exécutées depuis une instance PS locale ou directement depuis le Cloud Shell.

 

Tip : si votre compte Azure est associé à plusieurs abonnements, commencez par sélectionner celui pour lequel vous souhaitez enregistrer le service Azure Bastion (AllowBastionHost Feature), exécutez les commandes suivantes :

Maintenant que vous avez sélectionné votre abonnement, commencez par enregistrer la fonctionnalité « AllowBastionHost » en exécutant la commande suivante :

Register-AzureRmProviderFeature -FeatureName AllowBastionHost -ProviderNamespace Microsoft.Network

Exécutez ensuite la commande PS suivante pour enregistrer à nouveau votre abonnement avec le Provider NameSpace « Microsoft.Network » :

Register-AzureRmResourceProvider -ProviderNamespace Microsoft.Network

Enfin, exécutez la commande PS suivante pour vérifier que la Feature « AllowBastionHost » est bien enregistrée au niveau de votre abonnement :

Get-AzureRmProviderFeature -ProviderNamespace Microsoft.Network

Tip : La vérification de l’inscription/enregistrement du fournisseur de ressource ‘Microsoft.Network’ peut également être réalisée depuis le Portail Azure, en sélectionnant votre abonnement et cliquant sur le Blade ‘Resources providers’, voir capture d’écran ci-dessous :

Tous les prérequis ont été mis en place, maintenant nous allons découvrir comment déployer le service « Azure Bastion » et commencer à exploiter cette Amazing Feature :).

 

Méthodes de déploiement du Bastion Azure

Il existe deux méthodes de déploiement d’Azure Bastion :

  • Déploiement depuis la Marketplace Azure
  • Déploiement depuis les paramètres d’une VM Azure

 

HowTo : déployer Azure Bastion
Déployer un Bastion Azure depuis la Marketplace

Pour déployer le service Azure Bastion depuis la Marketplace, suivez les instructions suivantes :

  • Connectez-vous sur le Portail Azure Preview, il est important d’utiliser ce lien plutôt que l’URL standard (https://portal.azure.com)
  • Cliquez sur ‘Create a resource’
  • Saisissez le mot ‘Bastion’ depuis la zone de recherche et sélectionnez ensuite ‘Bastion (preview)’ :

  • Cliquez sur ‘Create’ pour continuer :

  • Maintenant, sélectionnez/remplissez les informations suivantes et cliquez ensuite sur ‘Review + Create’.
    • Abonnement (Subscription)
    • Groupe de ressource (Resource Group)
    • Nom de l’instance Bastion Host Azure
    • Région de l’instance (sélectionnez l’une des 6 Régions prenant en charge Azure Bastion, voir la liste ci-haut)
    • Réseau Virtuel Azure (Virtual NETwork Azure) dans lequel le sous-réseau du Bastion Azure sera créé
    • Sous-réseau (Subnet) du Bastion Azure
      • Note importante : le Subnet qui sera dédié au Host Azure Bastion doit avoir les caractéristiques suivantes :
        • Doit avoir un Net(work)Mask ‘/27’
        • Doit être nommé ‘AzureBastionSubnet’
    • Nom de l’adresse IP Publique du Bastion vu qu’il sera exposé sur Internet (flux HTTPS Only !)
      • Note : l’@IP Publique qui sera attribuée au Bastion Host Azure sera statique, il s’agit d’un choix défini par défaut par Azure (non modifiable !)

  • Le déploiement du service Azure Bastion démarre…

  • Une fois déployé, le service Azure Bastion apparaît désormais dans le Groupe de Ressource spécifié lors du déploiement du Service Bastion Azure :

  • Enfin, vous pouvez cliquer votre service Bastion pour afficher ses propriétés :

Déployer un Bastion Azure depuis les paramètres d’une VM Azure

Pour déployer/activer le service Azure Bastion depuis les Paramètres d’une VM Azure, suivez les instructions suivantes :

  • Connectez-vous sur le Portail Azure Preview, il est important d’utiliser ce Lien plutôt que l’URL standard (https://portal.azure.com)
  • Depuis le Blade « Toutes les ressources » ou « Virtual Machines » si vous l’avez « Favorisé », localisez et sélectionnez une VM Azure (Linux ou Windows)
  • Cliquez sur « Connect » et cliquez ensuite sur « BASTION« 
  • Si le service Bastion n’a jamais été déployé depuis la Marketplace comme montré précédemment, le bouton suivant (Use Bastion) s’affiche :

  • Lorsque vous cliquez sur ce bouton, l’assistant de création du Bastion Host suivant s’affiche, vous êtes invité à renseigner les mêmes informations que celles demandées lors de la création du service Bastion depuis la Marketplace :

 

Note : si vous essayez d’activer Azure Bastion au niveau d’un VNET déployé sur une Région autres que celles (les 6 Régions) listées ci-haut, le message suivant vous est retourné :

 

HowTo : Se connecter aux VMs Azure via Azure Bastion

Pour se connecter à vos VMs Azure via Azure Bastion, rien de plus simple :

  • Sélectionnez votre VM Azure,et cliquez sur « Connect« 
  • Depuis la fenêtre qui s’affiche, cliquez sur « BASTION » et remplissez les informations de connexion/authentification :
  • Dans l’exemple suivant, nous allons nous connecter (via RDP) à notre VM Azure Windows nommée « hkdemowsvm01« 

  • Cette fois-ci, je me connecte en SSH à une VM Azure Linux « hkdemolinuxvm01 » :

Bien évidemment, les deux VMs (Windows & Linux) utilisées dans les exemples précédents ne sont pas exposées à Internet et ne disposent donc d’aucune Interface IP Publique :

hkdemowsvm01

hkdemolinuxvm01

 

HowTo : Copier/Coller du Texte

Seul le Clipboard (Copier/Coller) du Texte est autorisé à travers le service Azure Bastion (pour l’instant ^_^).

Pour les navigateurs Web prenant en charge l’accès avancé à l’API Presse-papiers, vous pouvez copier et coller du texte entre votre Device/PC local et la session distante (VM Azure cible) de la même manière que vous copiez et collez entre des applications hébergées sur une seule et même machine (locale).

Pour les autres navigateurs, vous pouvez utiliser la palette d’outils d’accès au presse-papiers Bastion.

Lors de la première connexion RDP ou SSH via Azure Bastion, vous serez invité à autoriser le Clipboard depuis votre Navigateur Web, le message suivant est affiché, et il suffit de cliquer sur « Allow » pour autoriser le Clipboard :

Comment ça marche ?

Une fois connecté (via RDP ou SSH) à une VM Azure, cliquez sur les deux Flèches situées à gauche de la fenêtre :

Copiez ensuite un texte depuis votre machine locale, notez qu’il est automatiquement ajouté à la boite de dialogue du Bastion Azure, voir capture d’écran ci-dessous :

Enfin, collez votre texte depuis la session distance Azure Bastion :

Azure Bastion : Limitations

Azure Bastion est déployé et associé au niveau Azure VNET, vous devez le déployer pour chaque VNET présent au sein de votre abonnement.

La prise en charge du VNET Peering n’est pas encore pris en charge, et Microsoft ne sait pas (pour l’instant) répondre à la question.

 

Conclusion 

Au moment de l’écriture de ce post, Azure Bastion est encore en « Public Preview », vous aurez compris : à ne pas déployer sur vos environnements Azure de Production.

Il présente encore quelques bugs et problèmes de stabilité, que j’ai d’ailleurs remontés à l’équipe Azure Corp.

Selon les infos communiquées par MS (NDA Comm), il sera GA (Generally Available) dans quelques mois.

Ce service Bastion pourra remplacer vos infrastructures Bastion de type RDS/RD Gateway (avec ou sans RD Web Access Portal). Vous passerez donc d’un mode IaaS (Infra RDS exécutée sur de plusieurs VMs Azure : coût important + effort de gestion) à une plateforme Bastion PaaS (Platform-as-a-Service) fully-managed par Microsoft, ce mode PaaS présente plusieurs avantages, à savoir : une plateforme always UpToDate et plus sécurisée.

 

Voilà :).

#HK

 

Introduction

Azure Resource Explorer est un outil Web développé par Microsoft.

Il s’agit d’un projet « Open-Source », hébergé sur Github et disponible depuis l’URL suivante :

https://github.com/projectkudu/AzureResourceExplorer

 

Azure Resource Explorer (ARE) est un outil Web puissant qui vous permet de :

  • Obtenir la documentation API complète
  • Découvrir les API ARM (Azure Resource Management)
  • Faire des appels API directement sur vos Abonnements (Subscriptions) Azure

 

Il vous permet de lister toutes les ressources déjà créées et hébergées dans vos Abonnement Azure, comprendre comment celles-ci sont structurées et afficher toutes les propriétés dont elles disposent.

Azure Resource Explorer a été principalement conçu pour l’audit et gestion (modification) des Applis Web Azure (Az WebApps), il ne permet pas la modification des autres services Azure, à l’exception des R(esource) G(roups).

URL Azure Resource Explorer

Azure Resource Explorer est accessible depuis l’URL suivante :

https://resources.azure.com

Connectez-vous à cet URL et authentifiez-vous comme vous avez l’habitude de le faire sur le Portail Azure 

Une fois connecté, Azure Resource Explorer vous affiche l’arborescence suivante (volet gauche).

Deux nœuds parents sont affichés depuis ce volet :

  • Providers : plus précisément, la liste des Resources Providers (ou fournisseurs de ressources) Azure utilisés dans votre ou vos abonnements Azure
  • Subscriptions : la liste des abonnements associés au compte Azure utilisé lors de la phase Sign-in (Authentification).

 

Vous pouvez développer « subscriptions » et lister tous les Groupes de ressources (ResourceGroups) qui sont disponibles depuis l’abonnement Azure sélectionné.

Vous pouvez ensuite parcourir ces RG pour descendre jusqu’aux ressources qui y sont hébergées :

 

HowTo : utiliser Azure Resource Explorer

Pour afficher les propriétés d’une ressource Azure, il suffit de la localiser et la sélectionner depuis le volet gauche. Dans l’exemple suivant, je vais sélectionner mon groupe de ressource « hk-prod-01 » :

Cette fois-ci je vais sélectionner « resources » pour afficher les propriétés des ressources placées dans mon RG « hk-prod-01 » :

Pour chaque appel API (GET), vous noterez l’URI affichée automatiquement dans la barre d’adresse à côté du bouton « GET » > onglet Data (GET, PUT)

Si vous sélectionnez un Groupe de ressource depuis l’arborescence du volet gauche, vous allez constater l’apparition des options suivantes depuis l’onglet « Actions (POST, DELETE) :

  • Delete : permet de supprimer le groupe de ressource sélectionné
  • exportTemplate : permet de générer un template (ARM) à partir du groupe de ressource sélectionné
  • moveResources : permet de déplacer les ressources d’un groupe de ressource à un autre

 

Dans l’exemple suivant, nous allons faire un Move de la ressource « VM\hk-ad-01 » hébergée dans le RG source « hk-prod-01 » vers « hk-prod-02 », notez qu’il faut d’abord noter les ID de chaque objet Azure (RG et Ressource à déplacer) pour la renseigner dans la requête du ARE :

 

 

Pour résumer, ARE vous permet non seulement d’afficher les API Azure R(esource) M(anager), mais aussi de les exécuter dans votre propre Abonnement directement à partir d’un simple Navigateur Web.

Par exemple, vous pouvez l’utiliser pour lister et modifier vos Web Apps/Sites Azure existantes, ou en créer des nouvelles.

Tout se fait directement au niveau JSON, vous visualisez et contrôlez donc toutes les opérations en temps réel.

Azure Resource Explorer : In Action

Une petite vidéo réalisée par un des développeurs d’Azure Resource Explorer est disponible ci-dessous :

 

 

N’hésitez pas à faire le tour de l’outil, pratiquer et manipuler les différentes options pour découvrir la puissante de l’outil.

Si vous familier avec l’outil Postman (outil de développement/test d’API REST), eh bien ARE est un peu comme Postman pour Azure.

 

A bientôt,

#HK o_O