[Azure Toolbox #8] AzAdvertizer : outil de Gouvernance Azure à garder dans sa Toolbox Azure

[Blog Post updaté le 15 Avril 2020]

Introduction à l’outil « AzAdvertizer » 

Aujourd’hui, je souhaite partager avec vous un Powerful Tool Azure nommé « AzAdvertizer« .

AzAdvertiser est un outil dédié à la Gouvernance Azure, il vous permet de Tracker/Suivre en temps réel tous les Updates/changements/évolutions introduites à plusieurs services Azure dédiés à la gouvernance de vos environnements Cloud, notamment :

• Azure RBAC
• Azure Policy
• Policy Initiative
• Policy Alias

 

Note importante : AzAdvertizer est un outil développé par un Senior PFE Microsoft (Julian Hayward), il ne s’agit pas d’un outil officiel Microsoft, par conséquent, aucun support n’est fourni, et aucun MCO (Maintien en Condition Opérationnelle) n’est garanti.

 

AzAdvertizer : comment ça marche 

AzAdvertiser est un outil Web accessible directement depuis l’URL suivante :

https://www.azadvertizer.net

En plus de l’onglet « HOME » qui vous permet d’avoir un Overview sur les Last updates/changements apportés aux services Azure RBAC/Policy/PolicyAlias/PolicyInitiative avec un joli Graph (Azure Governance vitality) illustrant quand et combien de changements/évolutions ont eu lieu, AzAdvertizer regroupe les 4 onglets « clés » suivants :

 

L’onglet « HOME »

Au moment de la rédaction du présent Blog Post, AzAdvertizer indique depuis l’onglet « HOME« , la suppression d’un rôle RBAC au 28-03-2020, si vous cliquez sur le chiffre 2 sous Role, vous serez automatiquement redirigé sur l’onglet « RBAC Role », ce qui vous donnera plus de détails sur le rôle RBAC Azure supprimé :

Comme montré dans la capture d’écran ci-dessous, le rôle « VSOnline Virtual Network Service » a été retiré/supprimé le 28/03/2020 :

L’onglet HOME pourra être utile pour les plus pressés souhaitant simplement avoir les dernières news/updates/changes sans trop rentrer dans le détail, ou suivre les new releases (quand et quoi) avant d’aller sur chaque onglet et en savoir plus sur le changement ou évolution apportés au service.

 

Onglet « POLICY »

L’onglet « POLICY » répertorie les Stratégies Azure et les différents changements/évolutions ayant eu lieu récemment, AzAdvertizer vous offre deux options (cela s’applique à tous les autres onglets aussi) :

• Changes on Policies : liste tous les changements/updates apportés aux Stratégies Azure. Vous pouvez filtrer chaque colonne pour affiner vos recherches. Dans l’exemple suivant, nous allons filtrer le résultat pour lister uniquement les Policies ayant été supprimées (deprecated) :

• « All Policies » : liste toutes les stratégies Azure à date
  • Idem que l’ancien tableau, vous avez toujours la possibilité de filtrer vos recherches pour lister uniquement les informations dont vous avez besoin. N’hésitez donc pas à définir un ou deux filtres et noter le résultat (eg : ajouter le filtre « Add » pour savoir les Stratégies qui ont été ajoutées/introduites sur Azure récemment).

 

Onglet « INITIATIVE »

Comme mentionné précédemment, AzAdvertiser propose les mêmes (deux) options pour les 4 onglets, vous retrouverez donc le « Changes on Azure Policy Initiatives » ainsi que le « All Azure Policy initiatives »

Commencez par sélectionner « Changes on Azure Policy Initiatives » et noter le résultat retourné par l’outil : tous les changements apportés aux Policy initiatives Azure vous sont retournés :

Sélectionnez maintenant « All Azure Policy Initiatives » et notez le résultat retourné par AzAdvertizer : toutes les initiatives de stratégies Azure :

 

Onglet « ALIAS »

L’onglet « ALIAS » présente tous les Policy alias Azure, vous pouvez là aussi tracker tous les changements apportés aux alias de Stratégies Azure ou les lister tous, faites l’exercice 🙂

 

Onglet « RBAC ROLE »

Enfin, l’onglet « RBAC ROLE » répertorie tous les rôles RBAC et les leurs évolutions.

L’option « Changes on Azure RBAC Roles » vous retourne les dernières évolutions/new releases pour les rôles RBAC :

Si vous sélectionnez l’option « All Azure RBAC Roles« , AzAdvertizer vous retourne la liste complète de tous les rôles RBAC. Au moment de la rédaction du présent post, il existe 168 rôles RBAC (cf screenshot ci-dessous) :

Vous pouvez constater cela depuis le Portail Azure > Contrôle d’accès (IAM) de n’importe quel Abonnement, Resource Group (RG) ou Ressource Azure > Rôles > Filtrer Role Type sur « BuiltinRole » :

Comme montré dans l’image ci-dessus, le nombre de Rôles Built-in affichés sur le Portail Azure est le même que celui retourné par AzRoleAdvertizer.

 

Onglet « OTHER »

L’onglet « OTHER » liste/répertorie plusieurs outils Azure assez intéressants et Useful, notamment le fameux AzureChart , ou encore le Powerful Azure Speed/Latency Test tool.

Enjoy :).

 

Update du 15 Avril 2020

Une nouvelle fonctionnalité a été introduite sur l’outil AzAdvertizer ce mi Avril, il s’agit de ResProvOps.

Un nouvel onglet nommé « RESPROVOPS » a été effectivement ajouté à l’outil Web AzAdvertizer :

Ce nouvel onglet liste tous les fournisseurs de ressources Azure, avec les espaces de noms (NameSpace) et opérations associées.

Dans l’exemple suivant, nous allons sélectionner le Resource Provider Microsoft.Network, le tableau nous retourne les informations suivantes (notez la liste des opérations du RP) :

Cet onglet devient vite pratique et très utile si vous êtes dans une phase de design d’un nouveau modèle de gestion de droits RBAC, car vous permet de lister rapidement les Resources Opérations possibles pour un Resource Provider spécifique, et vous permettra donc d’établir rapidement les opérations nécessaires pour vos Custom Roles RBAC.

N’hésitez pas à faire le tour des autres fournisseurs de ressources, et analyser les résultats retournés.

 

[Azure Toolbox #7] AzGovViz : un Outil de Gouvernance Azure à garder dans sa Toolbox

Introduction

J’ai récemment découvert un outil assez intéressant pour Azure, il s’agit d’Azure VizGov.

Cet outil vous permet d’auditer vos environnements Azure (ou ceux de vos clients) pour :

• Avoir de la visibilité sur la hiérarchie de vos Management Group Azure (Groupes d’Administration) jusqu’aux abonnements Azure
• Capturer /récupérer toutes les informations relatives aux droits/attributions de rôle RBAC
• Lister toutes les Stratégies (Azure Policies) appliquées à vos Management Group (MG) et abonnements

 

Télécharger AzGovViz

L’outil tourne sou forme de Script PowerShell, et est disponible en téléchargement depuis ce Repo Github

 

Prérequis

AzGovViz a été codé sous PowerShell, vous devez donc disposer d’un des modules PowerShell Azure suivant pour l’exécuter :

• Module Az
• Module AzureRM

De plus, pour pouvoir exécuter le script, vous devez disposez les autorisations/permissions RBAC suivantes :

• [RBAC] : le rôle « Management Group Reader«  au niveau du Management Group
• [RBAC] : le rôle « Reader«  au niveau du Management Group
• [Permissions API] : si vous voulez exécuter le script via Azure Automation ou l’agent Azure DevOp, vous devrez configurer les permissions de l’API au niveau de l’annuaire Azure AD. Idem pour le compte Automation qui sera utilisé, l’inscription de l’App du compte doit être autorisé avec l’autorisation suivante : Azure Active Directory API | Application | Directory | Read.All

 

HowTo : exécuter AzGovViz

Suivez les instructions suivantes pour exécuter l’outil de visualisation de gouvernance Azure depuis votre environnement :

.\AzGovViz.ps1 -managementGroupId <ID_de_votre_Management_Group>

 

 

Outputs

AzGovViz audit/collecte et retourne des informations sur vos Management Group, Abonnements, droits RBAC, Initiatives Policy et Policies Azure.

AzGovViz vous retourne le résultat sous format « HTML » et CSV (Comma-Separated Values).

 

Petit Bonus !

Le résultat /données collectées post-exécution d’AzGovViz sont directement disponibles dans le Wiki Azure DevOps (voir screenshot ci-dessous) :

 

Informations utiles

AzGovViz a été testé (par mes soins) sur le CloudShell et PowerShell Core pour Windows et Linux (Ubuntu 18.04 LTS). Il est compatible et ne présente aucun problème d’exécution/stabilité.

 

 

 

[Portail Azure – Tip Of the Week] Liste des « Raccourcis Clavier » que vous devez connaître !

Il existe aujourd’hui plusieurs outils graphiques et en ligne de commande (GUI & CLI) vous permettant de gérer vos environnements et ressources Cloud Azure.

Nous distinguons :

• Portail Azure
• Azure CLI
• Windows PowerShell (Az Module)
• API REST
• Azure SDKs

 

Si vous n’êtes pas encore familier avec PowerShell ou Bash (CLI), vous allez sûrement commencer à déployer et manager vos ressources Azure via le Portail Azure, disponible depuis cet URL : https://portal.azure.com

Aujourd’hui, je vais justement vous présenter quelques raccourcis clavier utiles disponibles directement depuis le Portail Azure.

Ces raccourcis peuvent vous être utiles pour mieux naviguer sur le Portail Azure et accéder rapidement à certains services qui y sont intégrés.

 

Liste des Raccourcis Clavier du Portal Azure

La liste des raccourcis clavier est disponible depuis le Portail Azure, il suffit de cliquer sur < Help >, disponible depuis le coin supérieur droit, et cliquez ensuite sur « Keyboard Shortcuts » ou « Raccourcis clavier » si votre interface Web est configurée en langue « fr-FR » :

La liste des raccourcis est affichée comme montré dans la capture d’écran suivante :

N’hésitez pas à tester les différents Shotcuts, comme par exemple « G+N » (il faut maintenir la touche G et cliquer ensuite sur N) pour faire apparaître l’assistant de création de nouvelle ressource Azure suivant :

 

Vidéo from Microsoft Azure

Je vous invite à visionner la vidéo ci-dessous montrant l’utilisation des Shortcuts du Portail Azure.

Elle a été réalisée par la Team Microsoft Azure

Information utile

La liste des raccourcis clavier du Portail Azure est également documentée sur le service docs.azure, et est disponible ici.

Je vous invite à consulter cette page régulièrement pour rester informé des dernières modifications /ajout de nouveaux raccourcis.

Enjoy :).

[Azure – Tip of the Week] Documentez votre architecture Azure !

 

Si vous intervenez sur des environnements Cloud Azure, en tant que Consultant /Architecte ou même auditeur, vous avez sûrement eu besoin de documenter la ou les architecture Azure sur lesquelles vous avez travaillé pour sortir une Big Picture illustrant tous les services /features /composants qui y sont déployés.

J’ai récemment audité une infra Azure d’un de mes clients, ce dernier ne disposant d’aucun schéma /DAT, j’ai été amené à documenter son architecture Azure.

Pour ce faire, j’ai dû utiliser plusieurs Outils/Templates/Visio stencil… j’ai donc décidé de publier ce post pour partager ces ressources avec vous :).

 

Outils & Liens Utiles

Tous les liens /documentations /ressources utilisées pour documenter une Architecture Azure sont listés ci-dessous :

• Azure Solutions Architecture : (https://azure.microsoft.com/en-us/solutions/architecture/)
• Centre d’Architecture Azure (https://docs.microsoft.com/fr-fr/azure/architecture/)
• Microsoft 3D Visio How to walk through – (https://www.youtube.com/watch?v=Tag2HNAJh4Y&feature=youtu.be)
• Template Visio 3D Microsoft (https://www.microsoft.com/en-us/download/confirmation.aspx?id=48243)
• Microsoft Azure, Cloud and Enterprise Symbol / Icon Set – Visio stencil, PowerPoint, PNG, SVG (https://www.microsoft.com/en-us/download/details.aspx?id=41937)
• Cloudockit (https://www.cloudockit.com)

 

Enjoy, à bientôt,

#HK

[Public Preview] Azure Bastion : Tout ce que vous devez savoir !

 

Introduction

Avec son offre « Azure VM », Microsoft offre à ses clients la possibilité de déployer des infrastructures IaaS (Infrastructure-as-a–Service) sous Windows Server/Client ou Linux.

Par défaut :

• Toute VM Windows (Client ou Server) déployée est exposée à Internet et est accessible via le protocole RDP (Remote Desktop Protocol : Port 3389.
• Toute VM Linux déployée est exposée à Internet et est accessible via le protocole SSH (Secure SHell) : Port 22

 

En effet, lors de la création d’une nouvelle VM Azure (Windows ou Linux), l’assistant Azure vous propose la création d’une interface (IP) Publique pour permettre l’accès à votre VM (via RDP ou SSH) depuis Internet.

Cela vous expose à un risque important car vos VMs écoutent sur des ports (22/SSH et 3389/RDP) considérés étant vulnérables et très ciblés par les Hacker. Sans parler des Bots qui scannent en permanence les réseaux IP des Cloud Providers (tels que MS, AWS, GCP..etc) et essayent de Brute-forcer les accès SSH/RDP sur toute VM écoutant sur ces ports.

Pour réduire ce risque, certaines sociétés exposent seulement une VM (aka Jumpbox) de rebond utilisée pour atteindre les autres VMs en Back-end. Or, ce dernier devient donc aussi vulnérable car écoute toujours sur les mêmes ports (SSH/RDP), en outre, cet environnement Jumpbox est rarement « Hardené » et restreint (IP filtering, OS Hardening, AppLocker, Real-tim monitoring…etc)

D’autres sociétés ayant un niveau de sécurité plus sérieux, construisent un « vrai » environnement Bastion à base de RDS (Remote Desktop Services), comprenant une Gateway RDS pour exposer uniquement le protocole SSL/TLS (HTTPS) et encapsuler le protocole RDP over HTTPS.

Pour construire un environnement Bastion basé sur RDS, plusieurs services de rôles (et plusieurs VMs) doivent être déployées et configurées.

L’infra Bastion Azure (IaaS) peut comporter jusqu’à 6 ou 7 VMs (coût assez important), de plus, cette infrastructure devenant le point d’entrée aux infras IaaS Azure, doit être sécurisée, monitorée en permanence, backupée….etc donc un effort de gestion et maintenance non négligeable pour une société souhaitant s’offrir ce niveau de sécurité.

Enfin, les sociétés ayant plus d’exigences Sécu, n’exposent aucune VM sur Internet, même s’il s’agit d’une VM RD Gateway avec de l’HTTPS only, et optent pour une solution « Privée » qu’est la mise en place d’un VPN Point-to–Site ou P2S (si l’équipe Admin Cloud ne comporte pas plus de deux ou trois personnes) ou VPN Site-to–Site (ou S2S) s’elles souhaitent interconnecter le réseau local (ou un réseau Admin Local spécifique) avec leur VNET Azure.

• Note : les deux VPN modes sont sécurisés
  • VPN S2S : IPSec /IKEv2
  • VPN P2S : OpenVPN ou SSTP « SSL/TLS based-authentification à base de certificat »

 

Ce 18 Juin 2019, l’équipe Azure Corp a annoncé la disponibilité d’un nouveau service de sécurité appelé « Azure Bastion« .

Ce service peut remplacer toutes les solutions citées ci-haut, et vous allez vite comprendre pourquoi :).

 

Azure Bastion : qu’est-ce que c’est ?

Azure Bastion est un service PaaS (Platform-as-a–Service) entièrement géré et maintenu par Microsoft (Sécurisation, Patch Management….), il fournit un accès RDP et SSH sécurisé à vos VMs Azure (Windows & Linux) directement via le portail Azure.

Azure Bastion est déployé/associé au niveau de chaque réseau virtuel (VNet) Azure et prend en charge toutes les VMs faisant partie du VNET.

Vos VMs ne sont jamais exposées sur Internet (pas d’@IP Publique), seul le service Azure Bastion est exposé et est accessible via HTTPS (via le Portail Azure).

Ce service peut remplacer votre infrastructure Bastion RDS traditionnelle, vous pouvez ainsi réduire le coût lié à l’infra VM Azure (plusieurs VMs > plusieurs centaines voire des milliers d’euros /mois, selon le sizing des VMs déployées) et réduire vos efforts de gestion, sécurisation, maintenance, backup…. (passage du mode IaaS au PaaS).

 

Azure Bastion est encore en « Public Preview », et est disponible uniquement pour les Régions Azure suivantes :

• West US
• East US
• West Europe
• South Central US
• Australia East
• Japan East

 

Azure Bastion : Big Picture

Le schéma suivant illustre l’accès RDP/SSH via Azure Bastion

source : Blog MS Azure

Pré-requis

Pour pouvoir déployer le service Azure Bastion, vous devez vérifier les deux prérequis suivants :

• Disposer d’un compte Azure, vous pouvez en créer-un gratuitement ici.
  • Note : Vous bénéficiez de 170€ de Crédit pour tout nouveau compte Azure créé.
• Enregistrer la fonctionnalité « AllowBastionHost » du fournisseur de ressources « Microsoft.Network » au niveau de votre abonnement, et ce en exécutant les commandes PS suivantes.
  • Note : les Commandes PS ci-dessous peuvent être exécutées depuis une instance PS locale ou directement depuis le Cloud Shell.

 

Tip : si votre compte Azure est associé à plusieurs abonnements, commencez par sélectionner celui pour lequel vous souhaitez enregistrer le service Azure Bastion (AllowBastionHost Feature), exécutez les commandes suivantes :

Maintenant que vous avez sélectionné votre abonnement, commencez par enregistrer la fonctionnalité « AllowBastionHost » en exécutant la commande suivante :

Register-AzureRmProviderFeature -FeatureName AllowBastionHost -ProviderNamespace Microsoft.Network

Exécutez ensuite la commande PS suivante pour enregistrer à nouveau votre abonnement avec le Provider NameSpace « Microsoft.Network » :

Register-AzureRmResourceProvider -ProviderNamespace Microsoft.Network

Enfin, exécutez la commande PS suivante pour vérifier que la Feature « AllowBastionHost » est bien enregistrée au niveau de votre abonnement :

Get-AzureRmProviderFeature -ProviderNamespace Microsoft.Network

Tip : La vérification de l’inscription/enregistrement du fournisseur de ressource ‘Microsoft.Network’ peut également être réalisée depuis le Portail Azure, en sélectionnant votre abonnement et cliquant sur le Blade ‘Resources providers’, voir capture d’écran ci-dessous :

Tous les prérequis ont été mis en place, maintenant nous allons découvrir comment déployer le service « Azure Bastion » et commencer à exploiter cette Amazing Feature :).

 

Méthodes de déploiement du Bastion Azure

Il existe deux méthodes de déploiement d’Azure Bastion :

• Déploiement depuis la Marketplace Azure
• Déploiement depuis les paramètres d’une VM Azure

 

HowTo : déployer Azure Bastion

Déployer un Bastion Azure depuis la Marketplace

Pour déployer le service Azure Bastion depuis la Marketplace, suivez les instructions suivantes :

• Connectez-vous sur le Portail Azure Preview, il est important d’utiliser ce lien plutôt que l’URL standard (https://portal.azure.com)
• Cliquez sur ‘Create a resource’
• Saisissez le mot ‘Bastion’ depuis la zone de recherche et sélectionnez ensuite ‘Bastion (preview)’ :

• Cliquez sur ‘Create’ pour continuer :

• Maintenant, sélectionnez/remplissez les informations suivantes et cliquez ensuite sur ‘Review + Create’.
  • Abonnement (Subscription)
  • Groupe de ressource (Resource Group)
  • Nom de l’instance Bastion Host Azure
  • Région de l’instance (sélectionnez l’une des 6 Régions prenant en charge Azure Bastion, voir la liste ci-haut)
  • Réseau Virtuel Azure (Virtual NETwork Azure) dans lequel le sous-réseau du Bastion Azure sera créé
  • Sous-réseau (Subnet) du Bastion Azure
    • Note importante : le Subnet qui sera dédié au Host Azure Bastion doit avoir les caractéristiques suivantes :
      • Doit avoir un Net(work)Mask ‘/27’
      • Doit être nommé ‘AzureBastionSubnet’
  • Nom de l’adresse IP Publique du Bastion vu qu’il sera exposé sur Internet (flux HTTPS Only !)
    • Note : l’@IP Publique qui sera attribuée au Bastion Host Azure sera statique, il s’agit d’un choix défini par défaut par Azure (non modifiable !)

• Le déploiement du service Azure Bastion démarre…

• Une fois déployé, le service Azure Bastion apparaît désormais dans le Groupe de Ressource spécifié lors du déploiement du Service Bastion Azure :

• Enfin, vous pouvez cliquer votre service Bastion pour afficher ses propriétés :

Déployer un Bastion Azure depuis les paramètres d’une VM Azure

Pour déployer/activer le service Azure Bastion depuis les Paramètres d’une VM Azure, suivez les instructions suivantes :

• Connectez-vous sur le Portail Azure Preview, il est important d’utiliser ce Lien plutôt que l’URL standard (https://portal.azure.com)
• Depuis le Blade « Toutes les ressources » ou « Virtual Machines » si vous l’avez « Favorisé », localisez et sélectionnez une VM Azure (Linux ou Windows)
• Cliquez sur « Connect » et cliquez ensuite sur « BASTION« 
• Si le service Bastion n’a jamais été déployé depuis la Marketplace comme montré précédemment, le bouton suivant (Use Bastion) s’affiche :

• Lorsque vous cliquez sur ce bouton, l’assistant de création du Bastion Host suivant s’affiche, vous êtes invité à renseigner les mêmes informations que celles demandées lors de la création du service Bastion depuis la Marketplace :

 

Note : si vous essayez d’activer Azure Bastion au niveau d’un VNET déployé sur une Région autres que celles (les 6 Régions) listées ci-haut, le message suivant vous est retourné :

 

HowTo : Se connecter aux VMs Azure via Azure Bastion

Pour se connecter à vos VMs Azure via Azure Bastion, rien de plus simple :

• Sélectionnez votre VM Azure,et cliquez sur « Connect« 
• Depuis la fenêtre qui s’affiche, cliquez sur « BASTION » et remplissez les informations de connexion/authentification :
• Dans l’exemple suivant, nous allons nous connecter (via RDP) à notre VM Azure Windows nommée « hkdemowsvm01« 

• Cette fois-ci, je me connecte en SSH à une VM Azure Linux « hkdemolinuxvm01 » :

Bien évidemment, les deux VMs (Windows & Linux) utilisées dans les exemples précédents ne sont pas exposées à Internet et ne disposent donc d’aucune Interface IP Publique :

hkdemowsvm01

hkdemolinuxvm01

 

HowTo : Copier/Coller du Texte

Seul le Clipboard (Copier/Coller) du Texte est autorisé à travers le service Azure Bastion (pour l’instant ^_^).

Pour les navigateurs Web prenant en charge l’accès avancé à l’API Presse-papiers, vous pouvez copier et coller du texte entre votre Device/PC local et la session distante (VM Azure cible) de la même manière que vous copiez et collez entre des applications hébergées sur une seule et même machine (locale).

Pour les autres navigateurs, vous pouvez utiliser la palette d’outils d’accès au presse-papiers Bastion.

Lors de la première connexion RDP ou SSH via Azure Bastion, vous serez invité à autoriser le Clipboard depuis votre Navigateur Web, le message suivant est affiché, et il suffit de cliquer sur « Allow » pour autoriser le Clipboard :

Comment ça marche ?

Une fois connecté (via RDP ou SSH) à une VM Azure, cliquez sur les deux Flèches situées à gauche de la fenêtre :

Copiez ensuite un texte depuis votre machine locale, notez qu’il est automatiquement ajouté à la boite de dialogue du Bastion Azure, voir capture d’écran ci-dessous :

Enfin, collez votre texte depuis la session distance Azure Bastion :

Azure Bastion : Limitations

Azure Bastion est déployé et associé au niveau Azure VNET, vous devez le déployer pour chaque VNET présent au sein de votre abonnement.

La prise en charge du VNET Peering n’est pas encore pris en charge, et Microsoft ne sait pas (pour l’instant) répondre à la question.

 

Conclusion 

Au moment de l’écriture de ce post, Azure Bastion est encore en « Public Preview », vous aurez compris : à ne pas déployer sur vos environnements Azure de Production.

Il présente encore quelques bugs et problèmes de stabilité, que j’ai d’ailleurs remontés à l’équipe Azure Corp.

Selon les infos communiquées par MS (NDA Comm), il sera GA (Generally Available) dans quelques mois.

Ce service Bastion pourra remplacer vos infrastructures Bastion de type RDS/RD Gateway (avec ou sans RD Web Access Portal). Vous passerez donc d’un mode IaaS (Infra RDS exécutée sur de plusieurs VMs Azure : coût important + effort de gestion) à une plateforme Bastion PaaS (Platform-as-a-Service) fully-managed par Microsoft, ce mode PaaS présente plusieurs avantages, à savoir : une plateforme always UpToDate et plus sécurisée.

 

Voilà :).

#HK

[Azure Toolbox #6] Azure Resource Explorer

 

Introduction

Azure Resource Explorer est un outil Web développé par Microsoft.

Il s’agit d’un projet « Open-Source », hébergé sur Github et disponible depuis l’URL suivante :

https://github.com/projectkudu/AzureResourceExplorer

 

Azure Resource Explorer (ARE) est un outil Web puissant qui vous permet de :

• Obtenir la documentation API complète
• Découvrir les API ARM (Azure Resource Management)
• Faire des appels API directement sur vos Abonnements (Subscriptions) Azure

 

Il vous permet de lister toutes les ressources déjà créées et hébergées dans vos Abonnement Azure, comprendre comment celles-ci sont structurées et afficher toutes les propriétés dont elles disposent.

Azure Resource Explorer a été principalement conçu pour l’audit et gestion (modification) des Applis Web Azure (Az WebApps), il ne permet pas la modification des autres services Azure, à l’exception des R(esource) G(roups).

URL Azure Resource Explorer

Azure Resource Explorer est accessible depuis l’URL suivante :

https://resources.azure.com

Connectez-vous à cet URL et authentifiez-vous comme vous avez l’habitude de le faire sur le Portail Azure 

Une fois connecté, Azure Resource Explorer vous affiche l’arborescence suivante (volet gauche).

Deux nœuds parents sont affichés depuis ce volet :

• Providers : plus précisément, la liste des Resources Providers (ou fournisseurs de ressources) Azure utilisés dans votre ou vos abonnements Azure
• Subscriptions : la liste des abonnements associés au compte Azure utilisé lors de la phase Sign-in (Authentification).

 

Vous pouvez développer « subscriptions » et lister tous les Groupes de ressources (ResourceGroups) qui sont disponibles depuis l’abonnement Azure sélectionné.

Vous pouvez ensuite parcourir ces RG pour descendre jusqu’aux ressources qui y sont hébergées :

 

HowTo : utiliser Azure Resource Explorer

Pour afficher les propriétés d’une ressource Azure, il suffit de la localiser et la sélectionner depuis le volet gauche. Dans l’exemple suivant, je vais sélectionner mon groupe de ressource « hk-prod-01 » :

Cette fois-ci je vais sélectionner « resources » pour afficher les propriétés des ressources placées dans mon RG « hk-prod-01 » :

Pour chaque appel API (GET), vous noterez l’URI affichée automatiquement dans la barre d’adresse à côté du bouton « GET » > onglet Data (GET, PUT)

Si vous sélectionnez un Groupe de ressource depuis l’arborescence du volet gauche, vous allez constater l’apparition des options suivantes depuis l’onglet « Actions (POST, DELETE) :

• Delete : permet de supprimer le groupe de ressource sélectionné
• exportTemplate : permet de générer un template (ARM) à partir du groupe de ressource sélectionné
• moveResources : permet de déplacer les ressources d’un groupe de ressource à un autre

 

Dans l’exemple suivant, nous allons faire un Move de la ressource « VM\hk-ad-01 » hébergée dans le RG source « hk-prod-01 » vers « hk-prod-02 », notez qu’il faut d’abord noter les ID de chaque objet Azure (RG et Ressource à déplacer) pour la renseigner dans la requête du ARE :

 

 

Pour résumer, ARE vous permet non seulement d’afficher les API Azure R(esource) M(anager), mais aussi de les exécuter dans votre propre Abonnement directement à partir d’un simple Navigateur Web.

Par exemple, vous pouvez l’utiliser pour lister et modifier vos Web Apps/Sites Azure existantes, ou en créer des nouvelles.

Tout se fait directement au niveau JSON, vous visualisez et contrôlez donc toutes les opérations en temps réel.

Azure Resource Explorer : In Action

Une petite vidéo réalisée par un des développeurs d’Azure Resource Explorer est disponible ci-dessous :

 

 

N’hésitez pas à faire le tour de l’outil, pratiquer et manipuler les différentes options pour découvrir la puissante de l’outil.

Si vous familier avec l’outil Postman (outil de développement/test d’API REST), eh bien ARE est un peu comme Postman pour Azure.

 

A bientôt,

#HK

[Azure Portal App] Un « Client Lourd » du Portail Azure est désormais disponible !

 

Introduction à Azure Portal App

Microsoft a récemment annoncé la disponibilité de l’application Windows Desktop « Azure Portal ».
Ce client lourd vous permet de connecter votre compte Azure (Compte Microsoft Personnel ou Professionnel) et accéder à tous vos services Cloud Azure comme vous avez l’habitude de le faire via le Portail Web Azure (https://portal.azure.com).

Téléchargez Azure Portal App

L’application Azure Portal peut être téléchargée depuis l’URL suivante. Notez que ce client lourd est encore en mode « Preview », Microsoft annonce la disponibilité d’une First Release version courant 2019.

https://preview.portal.azure.com/app/welcome

Cliquez sur « Download the Azure portal app » :

Re-cliquez sur « Download the Azure portal app » pour accepter les termes de contrats de Licence.
MS devait normalement appeler ce bouton « Accepter les termes du contrat de Licence » …. 😦

Le téléchargement de l’application Desktop Azure Portal démarre. Exécutez le fichier Setup une fois téléchargé.

Il s’agit d’un fichier à quelques kilo-octets, qui lui appelle un lien de téléchargement depuis le(s) serveur(s) de Microsoft.

Le téléchargement des binaires démarre :

Notez que vous avez aussi la possibilité d’utiliser la nouvelle version du Portail Azure (qui est elle aussi encore en Preview au moment de l’écriture de ce post), simplement en cliquant sur « Continue to Azure portal website« .

Notez l’extension preview.portal.azure.com sur l’URL du nouveau portail Azure :

Dès que l’application Azure Portail est installée, elle est automatiquement lancée, et vous êtes tout d’abord invités à renseigner votre compte Microsoft Azure et son mot de passe associé :

Vous pouvez cliquez sur « Oui » pour rester connecté (garder la Session Azure active). Vous pouvez également cocher « Ne plus afficher ce message » pour faire disparaître cette boite de dialogue de manière définitive et éviter son apparition lors de chaque connexion à votre compte Azure :

Une fois connecté, L’application vous propose une visite guidée, vous pouvez la démarrer simplement en cliquant sur « Démarrer la visite », vous pouvez également la reporter en cliquant sur « Peut-être plus tard :

Enfin, vous arrivez sur votre Portail Azure « Windows Desktop » ou vous retrouverez les mêmes volets/Blades/Options et fonctionnalités.

Après deux d’utilisations, je peux vous dire que ce client lourd est 2 fois plus stable que le client « Light /Web » portal.azure.com

L’application présente vraiment aucun Bug (pour l’instant :D), et j’en suis entièrement satisfait :).

Et vous, qu’est ce que vous en pensez ? laissez-moi vos commentaires, donnez moi votre feedback ^_^

[Azure Toolbox #5] Azure Heat Map : Follow Azure Updates !

Aujourd’hui, nous allons parler « Azure Toolbox ».

Plus précisément d’un nouvel outil Web appelé « Azure Heat Map« , développé par Alexey Polkovnikov. Azure Solutions Architect @Microsoft Corp.

Azure Heat Map vous permet de suivre depuis « One Place » toutes les mises à jour relatives aux services Cloud Azure.

Le graphique présenté à travers Azure Heat Map est assez intéressant et pratique, car liste les différents services Azure par catégorie et vous permet de localiser rapidement le service qui vous intéresse.

Azure Heat Map vous propose 4 vues différentes, à savoir :

• Heat ALL Up : Vue par défaut, il affiche tous les services Azure, avec ou sans mises à jour récentes.
• All updates equal : Pour afficher les services ayant eu des mises à jour/changements/évolutions sur les 6 derniers mois.
• Latest more important : Pour afficher les services ayant eu des mises à jour/changements/évolutions le dernier mois.
• Only last 7 days : Afficher uniquement les services ayant eu des mises à jour/changements/évolutions les 7 derniers jours.

 

Azure Heat Map est disponible depuis l’URL suivante :

https://azureheatmap.azurewebsites.net

Dans l’exemple suivant, nous allons sélectionner la vue « Only last 7 days », Azure Heat Map nous liste les services ayant eu des Updates pendant cette période (7 derniers jours) :

Les services Azure « Kubernetes Service – Virtual Machines – Azure DevOps – Azure Backup » ont donc eu des Updates sur les 7 derniers jours, il suffit de cliquer sur un des services retournés par Azure Heat Map pour en savoir plus sur les mises à jour apportées.

Azure Heat Map est à garder dans sa Toolbox Azure :).

Note importante : notez qu’il ne s’agit pas d’un site officiel Microsoft. Comme mentionné précédemment, cet outil Web a été développé par un salarié MS. Il a été conçu pour récupérer (à travers des API) les informations fournies à travers le service Docs de MS, plus précisément les informations relatives aux mises à jour des services Cloud Azure. L’avantage qu’offre Azure Heat Map, c’est de retrouver plusieurs Updates /Informations sur différents services Cloud Azure depuis un seul et même endroit.

 

A bientôt,

#HK

[Portail Azure] Tip of the Week : Configurer la déconnexion automatique (Auto Logout) du Portail Azure après une période d’inactivité !

Introduction

Le Portail Azure vous offre la possibilité de configurer les options de déconnexion automatique (Automatic Logout) après une certaine période d’inactivité.

Par défaut, une Session ouverte sur le Portail Azure n’expire jamais car le délai d’inactivité défini par défaut est « Jamais« .

Cette valeur doit obligatoirement être changée dès la première connexion car vous vous exposez à un risque assez important en laissant une Session ouverte qui n’expire jamais sur le Portail Azure.

HowTo : Configurer la déconnexion automatique du Portail Azure après une période d’inactivité !

La procédure est simple, connectez-vous sur le Portail Azure (https://portal.azure.com), et cliquez ensuite sur le bouton « Paramètres »

Sous « Me déconnecter lorsque je suis inactif« , sélectionnez le délai qui vous convient et cliquez ensuite sur « Appliquer »

Note : option recommandée par #HK est « Au bout de 15 minutes« . C’est toujours plus Secure qu’un délai d’inactivité d’une ou deux heures.

Configurez un délai d’inactivité « Personnalisé »

Sachez que vous pouvez définir un délai d’inactivité personnalisé (faisant pas parti de la liste par défaut proposée dans le Portail). Pour ce faire, il suffit de sélectionner « Durée personnalisée » et spécifier ensuite le délai d’inactivité (en HH et MM) qui vous convient le plus.

Dans l’exemple suivant, 3 heures a été spécifié comme délai personnalisé :

#HK

[Azure VM – Toolbox] Tool #2 : VMChooser

Introduction

AzureVMChooser est un WebTool qui vous aide à sélectionner/choisir l’offre Azure VM qui répond le plus à votre besoin.

Cet outil vous permet de spécifier vos critères en matière de CPU/RAM/ACU/Storage… et analyse pour vous toutes les offres Azure VM proposées par Microsoft.

Le résultat est ensuite retourné sous forme de tableau, comprenant le prix /heure et /mois.

Plusieurs paramètres/critères peuvent être spécifiés sur VMChooser :

• CPU
• RAM
• ACU (Azure Compute Units)
• Type de Stockage : HHD ou SSD
• Capacité Stockage Min
• IOPS souhaité
• Région Azure
• Bande passante Min
• Type VM Tier (Standard, Basic…etc)
• Type de Contrat (PayG, Instance Reservée 1/3ans…)
• Type Devise (€, $…etc)

 

DEMO

Dans l’exemple suivant, je souhaite connaître les séries de VM Azure pouvant répondre à mon besoin ci-dessous :

• CPU : 4 (Core)
• RAM : 8 GB
• ACU : 200
• Type de Stockage : SSD
• Capacité Stockage Min : 512 GB
• IOPS souhaité : 500
• Région Azure : France Central
• Bande passante Min : peu importe (pas d’exigence spécifique)
• Type VM Tier : Standard
• Type d’OS : Windows 
• Type de Contrat : Reserved Instance 3 ans
• Type Device : Euro (€)

 

Ces critères ont donc été renseignés dans les différents onglets de VMChooser :

#1 : Onglet « Compute »

#2 : Onglet « Storage »

#3 : Onglet « Attributes »

#4 : Onglet « Optimize »

#5 : Onglet « Settings »

Comme montré dans la capture d’écran ci-dessus, le champs « How many results do you want to see » vous indique que (par défaut) seuls 5 résultats vous seront retournés. En fonction des critères renseignés, le résultat peut comprendre plus que 5 lignes (dans le tableau), c’est la raison pour laquelle je vous recommande de spécifier (100) comme valeur du champ « How many results…etc »

Enfin, cliquez sur le bouton « Find my t-shirt size ! » pour analyser et lister toutes les VMs correspondant à vos critères.

Dans mon cas, la liste de VMs suivante m’a été retournée :

 

Vous aurez compris, AzureVMChooser est à garder dans sa Toolbox Azure :), car il devient vite pratique lorsque vous souhaitez analyser et trouver les séries de VM Azure qui correspondent le plus à vos besoins IaaS Azure.

 

Documentation AzureVMChooser

La documentation complète d’AzureVMChooser est disponible depuis l’URL suivante :

https://docs.vmchooser.com

 

A bientôt,

#HK