Archives de la catégorie ‘Microsoft Azure’

 

Hello Azure Guys,

Si vous êtes amenés à gérer vos ressources Cloud Azure via l’interface Azure CLI 2.0, vous devriez penser à checker de manière régulière les nouvelles Releases d’Azure CLI proposées/publiées par l’équipe MS Azure Corp, car de nouvelles commandes /sous-commandes sont fournies avec celle-ci.

Note : Le Releases History d’Azure CLI 2.0 est disponible ici. N’hésitez pas à consulter cette page si vous voulez en savoir plus.

 

Prenons l’exemple suivant : ma machine d’administration (sous WS10) ayant l’interface Azure CLI 2.0 d’installée et dont la version actuelle est la 2.0.17

Comme illustré dans l’image ci-dessous, mon interface Az CLI 2.0 n’inclut pas encore les nouvelles commandes telle que BatchAI (Azure Batch  Artificial Intelligence) :

 

HowTo : Updater son interface Azure CLI 2.0

Lancez l’Invite de commande (CMD.exe) en tant qu’Administrateur et saisissez la commande suivante :

Az Component Update 

ou

Az Component Update –debug pour afficher de plus amples informations sur d’éventuels problèmes rencontrés lors du processus d’Update /Upgrade : affichage des journaux de Debug (Debug Logs).

Une fois l’update terminée, les messages suivants sont affichés :

Enfin, saisissez Az –version pour noter la nouvelle version de l’interface CLI installée sur votre machine :

Maintenant que mon interface Az CLI 2.0 est mise à jour, je vais simplement ressaisir Az -h pour faire réapparaître la liste complète des commandes disponibles :

Comme montré dans la screenshot ci-dessus, les nouvelles commandes telles que « BatchAI » sont désormais intégrées et disponibles sur mon interface Azure CLI 2.0.

Stay connected, de nouveaux posts autour d’Azure & Azure CLI seront bientôt publiés :).

A bientôt

#HK.

Publicités

 

Microsoft travaille ardemment sur Azure Recovery Services et introduit régulièrement des nouveautés et améliorations à son Azure Backup Software (Solution de Sauvegarde Cloud /Online). Certaines nouvelles fonctionnalités nécessitent la nouvelle (dernière) version de l’agent Azure Backup, ou l’agent MARS (Microsoft Azure Recovery Services) pour fonctionner correctement.

Si vous créez /configurez un nouveau Recovery Vault (Coffre Recovery Services), il vous est proposé de télécharger la dernière version disponible de l’agent Azure Backup :

En outre, si vous avez déjà déployé une ancienne version de l’agent MARS, un Pop-up vous demendant de mettre à jour l’agent vers la nouvelle/dernière version est affiché de manière automatique lors du lancement de la console (Snap-in) MMC Azure Backup, deux possibilités s’offrent à vous :

Soit cliquez sur « Oui/Yes » pour télécharger et installer la nouvelle version de l’agent

Soit télécharger au préalable la dernière version de l’agent depuis le Lien de téléchargement montré dans la Screenshot précédente et faire un Upgrade In-Place.

 

Azure Backup Agent : What’s New

Great News 😀 !!

La dernière version de l’agent Azure Backup prend désormais en charge la sauvegarde du System State des serveurs OnPrem :

Pour vous faciliter la vie, je vous ai mis un Download Link de la dernière version de l’agent Azure Backup, Just Click & Download 🙂

 

Useful Info : Si vous n’avez pas encore consulté les 3 premiers HowTo Azure CLI 2.0, ceux-ci sont disponibles aux URLs ci-après:

HowTo #N°1 : Connecter l’interface Azure CLI 2.0 à votre abonnement Azure

HowTo #N°2 : Créer et gérer les groupes de ressources Azure

HowTo #N°3 Créer et gérer les réseaux virtuels Azure (VNET : Virtual Network)

 

Introduction

Azure VM (Virtual Machine) est l’une des offres IaaS (Infrastructure-as-aService) proposée par Microsoft sur sa Public Cloud Platform : Microsoft Azure.

Azure VM vous permet de créer et gérer des machines virtuelles Windows ou Linux hautement disponibles, Scalables et sécurisées.

Microsoft propose son offre Azure VM pour les deux modèles de déploiement : ASM (Azure Service Manager) et ARM : Azure Resource Manager.

Note : L’interface Azure CLI 2.0 étant disponible uniquement pour l’ARM, le mode ASM ne sera pas traité dans le présent article.

La création d’une VM Azure (ARM mode) peut se faire via :

Le nouveau portail Azure : portal.azure.com

Windows PowerShell : utilisation du module PS Azure

Azure CLI 2.0 : via l’utilisation de la commande az vm

Nous allons découvrir à travers cet article la troisième méthode qu’est l’utilisation de l’interface Azure CLI 2.0

Now let’s create & manage our Azure V(irtual) M(achine) via Azure CLI 2.0__O

 

HowTo : Créer et gérer les VMs Azure via Azure CLI 2.0
  • Ouvrez une Session Windows sur votre machine d’administration sur laquelle Azure CLI 2.0 a été installée
  • Lancez l’invite de commande (CMD.exe) en tant qu’Administrateur et saisissez az pour vérifier la disponibilité de l’interface Azure CLI 2.0
  • Après avoir saisi et exécuté la commande az, le Menu suivant vous est retourné :

  • La commande qui nous intéresse est VM. En effet, l’interface az dans le contexte VM vous permet de créer et gérer les Machines Virtuelles Azure (Windows ou Linux)
  • Pour afficher toutes les commandes & sous-commandes liés à la création et gestion de VMs Azure, saisissez la commande : az vm -h

#1. Lister toutes les VMs disponibles au niveau de votre abonnement Azure

az vm list –output table

ou simplement

az vm list –out table

Note importante : si le compte connecté à l’interface Azure CLI 2.0 dispose d’un accès à plusieurs abonnements Azure, vous devez d’abord, sélectionner (définir) un abonnement avant de pouvoir lister les VMs qui y sont hébergées Pour ce faire, exécutez la commande az account list –out table comme montré ci-dessous, et définissez ensuite un abonnement Azure « comme étant ‘Actif' », via l’utilisation de la commande az account set -s ID_de_votre_abonnement

 

Astuce : si vous souhaitez lister que les VMs membres d’un groupe de ressources spécifique, exécutez la même commande utilisée précédemment suivie du paramètre -g « Nom_Groupe_de_Ressource » > e.g : az vm list -g hk-dev-rg –out table

 

#2. Démarrer une VM Azure

Dans l’exemple suivant, la VM « hk-dev-dc1 » faisant parti du groupe de ressources « hk-dev-rg » sera démarré :

az vm start -n hk-dev-dc1 -g hk-dev-rg

Astuce : vous pouvez utiliser le paramètre –no-wait pour lancer l’opération en « Background » et ne pas attendre la fin de celle-ci pour récupérer la main sur l’interface CLI, voir Screenshot ci-dessous :

 

#3. Obtenir des informations sur une VM Azure spécifique

Dans l’exemple suivant, nous allons collecter et afficher des informations sur la VM démarrée précédemment (hk-dev-dc1) :

az vm show –show-details -n hk-dev-dc1 -g hk-dev-rg –out table

 

#4. Arrêter une VM Azure 

Dans l’exemple suivant, nous allons arrêter la VM « hk-dev-dc1 »

az vm stop -n hk-dev-dc1 -g hk-dev-rg

Comme pour la commande az vm start, vous n’êtes pas obligé d’attendre la fin de l’opération, vous pouvez utiliser le paramètre –no-wait à la fin de la commande :

 

#5. Redémarrer une VM Azure 

Dans l’exemple suivant, la VM « hk-dev-tfs1 » sera redémarrée :

az vm restart -n hk-dev-tfs1 -g hk-dev-rg –no-wait

 

#6. Désallouer une VM Azure

Pour libérer les ressources consommées par une VM, la commande az vm deallocate est utilisée.

Dans l’exemple suivant, nous allons désallouer la VM hk-dev-sql1 faisant parti du groupe de ressources « hk-dev-rg »

az vm deallocate -n hk-dev-sql1 -g hk-dev-rg

La VM est désormais « Deallocated », ses ressources sont donc libérées et ne sont plus facturées :

 

#7. Lister toutes les tailles de VMs disponibles sur une région Azure spécifique

Dans l’exemple suivant, nous allons lister tous les Size de VM disponible au niveau de la région Azure « Europe de l’Ouest » > « WestEurope ».

az vm list-sizes –location WestEurope –output table

ou simplement

az vm list-sizes -l WestEurope -o table

 

#8. Lister toutes les tailles de VMs vers lesquelles une VM spécifique peut être Upgradée 

Dans l’exemple suivant, nous allons lister toutes les tailles de VMs vers lesquelles la VM « hk-dev-dc1 » pour être Resizée :

az vm list-vm-resize-options -n hk-dev-dc1 -g hk-dev-rg –out table

 

#9. Changer la taille (capacité) d’une VM Azure

Nous avons listé précédemment toutes les VMs vers lesquelles la VM « hk-dev-dc1 » peut être upgradée.

Nous allons maintenant utilisée la commande az vm resize pour upgrader les capacités de cette VM vers la VM size « Standard_A3 ». Pour ce faire, la commande suivante est utilisée :

az vm resize –size Standard_A3 -n hk-dev-dc1 -g hk-dev-rg 

Si vous vous rendez sur le (New) Portail Azure, et cliquez sur la VM en question, vous pouvez déjà constater que la taille (le Flag au niveau Propriétés de la VM) est déjà changé, et que la VM a été rebootée pour que l’augmentation des capacités soit prise en compte :

Une fois l’upgrade effectué, le message suivant vous est retourné :

 

#10. Mettre à jour (Updater) les propriétés d’une VM Azure

Dans l’exemple suivant, les propriétés de la VM « hk-dev-dc1 » seront updatées :

az vm update -n hk-dev-dc1 -g hk-dev-rg 

Cette commande est à exécuter après chaque changement /modification des propriétés et objets associés à une VM Azure.

 

#11. Supprimer une VM Azure

Dans l’exemple suivant, la VM « hk-dev-dc2 » sera supprimé : az vm delete -n hk-dev-dc2 -g hk-dev-rg –no-wait

Un message de confirmation vous est retourné, saisissez « Y » comme « Yes » pour confirmer la suppression :

Astuce  : vous pouvez bypasser cette option de confirmation en utilisant le paramètre –yes ou -y. La commande devient donc : az vm delete -n hk-dev-dc2 -g hk-dev-rg -y –no-wait

 

#12. Créer une VM Azure (Windows ou autre)

Dans l’exemple suivant, une VM Azure exécutant Windows Server 2016 (Edition Datacenter) sera provisionnée:

az vm create -n hk-dev-ws2016 -g hk-dev-rg –image Win2016Datacenter

Note : vous êtes invité à saisir le mot de passe du compte Administrateur

Pour provisionner une VM Azure CentOS, la commande suivante est utilisée :

az vm create -n hk-dev-cos -g hk-dev-rg –image CentOS

Si vous voulez provisionner une nouvelle VM Windows Server 2012 R2 Edition Datacenter de taille « Standard_A3 » et lui attacher un nouveau vDisk (Virtual Hard Drive) de données de 50GB, exécutez la commande ci-dessous :

az vm create -n hk-dev-ws2012R2 -g hk-dev-rg –image Win2012R2Datacenter –data-disk-sizes-gb 50 –size Standard_A3

Plusieurs dizaines de paramètres sont fournis avec la commande az vm create, n’hésitez pas à consulter le « Help » pour en savoir plus sur les autres sous-commandes /paramètres : az vm create -h

 

#13. Redéployer une VM Azure

Dans l’exemple suivant, la VM « hk-dev-dc1 » sera redéployé : az vm redeploy -n hk-dev-dc1 -g hk-dev-rg

Note importante : Une VM en cours d’exécution (mode Running) ne peut être redéployée, en effet, si vous essayez de redéployer une VM « Running », le message d’erreur suivant vous est retourné :

 

#14. Générer un Template d’une VM Azure

Si vous voulez créer un VM Template à partir d’une VM Azure spécifique, eh bien vous devez utiliser la commande az vm capture.

La capture de la VM se fait en trois étapes :

  • Désallouer la VM
  • Généraliser la VM
  • Capturer la VM

Dans l’exemple suivant, nous allons générer une VM Template à partir de la VM « hk-dev-dc1 », les commandes à exécuter sont donc :

az vm deallocate -n hk-dev-dc1 -g hk-dev-rg

az vm generalize -n hk-dev-dc1 -g hk-dev-rg

az vm capture -n hk-dev-dc1 -g hk-dev-rg –vhd-name-prefix dc-template

Si vous parcourez le compte de stockage hébergeant les fichiers (VHDs) de votre VM « Source », vous constaterez l’apparition de deux nouveaux fichiers : fichier .vhd et son fichier .json associé. Ces deux fichiers se trouvent dans : Compte de stockage > Conteneurs > System > Microsoft.Compute > Images > vhds 

Le fichier dc-template-vmTemplate.XXXXXXXX peut désormais être utilisé pour provisionner de nouvelles VMs Azure.

 

#15. Ouvrir un port spécifique sur une VM azure

Si votre VM fera (par exemple) office de Serveur Web, et que vous avez besoin d’ouvrir le port 80 (HTTP), la commande suivante est à exécuter : az vm open-port -n hk-dev-iis1 -g hk-dev-rg –port 80

 

Plusieurs HowTo Azure CLI 2.0 sont en cours de finalisation, so stay connected dear friends :).

Hello Everyone,

Si vous souhaitez découvrir les Datacenters Azure de plus près et en savoir plus sur les différentes couches logicielles et matérielles qui les composent, incluant le « Compute /Storage /Network », je vous invite donc à consulter cette présentation.

Très bonne PPT, par le grand Mark Russinivoch, CTO MS Azure Corp.

Bonne lecture à tous.

HK o__O.

Hello Azure Guys,

Great News 🙂

Azure Availability Zones est désormais disponibles (in Public Preview pour l’instant) sur les deux Régions Azure suivantes :

  • États-Unis de l’Est 2 (US Est 2)
  • Europe de l’Ouest (West Europe)
Pourquoi  « ‘Azure Availability Zone » ?

Azure Availability Zones (ou Zones de Disponibilités Azure) vous permet de protéger vos ressources Cloud en cas de perte d’un Datacenter Azure en entier.

En effet, ces Zones (Datacenters) sont situés au niveau d’une même Région Azure et fonctionnent de manière indépendante (Alimentation électrique, climatisation, réseau…). Pour assurer une résilience, il existe au moins trois zones (3 Datacenters) distinctes dans toutes les régions supportant l’Availability Zones.

La séparation physique et logique des zones dans une région protège vos données et ressources Cloud en cas de problème ou défaillance sur un Datacenter.

Azure Availability Zones & Services Cloud pris en charge

Au moment de l’écrire du présent post, seuls les services Azure suivants prennent en charge l’Azure Availability Zones :

  • Linux Virtual Machines
  • Windows Virtual Machines
  • Zonal Virtual Machine Scale Sets
  • Managed Disks
  • Load Balancer
Azure Availability Zones & Familles de VMs Azure pris en charge

Seules les séries de VMs Azure suivantes prennent en charge l’Azure Availability Zones :

  • Av2
  • Dv2
  • DSv2

 

HowTo : Activer Azure Availability Zones sur votre abonnement (Subscription) Azure

Tout d’abord, vous devez « Sign-up » ici  : comme mentionné précédemment, Azure Availability Zones est en mode « Preview » pour l’instant

Connectez-vous ensuite à votre abonnement et activer A-A-Z

 

Useful Links

Je vous invite à consulter les liens ci-après pour en savoir plus :

https://docs.microsoft.com/en-us/azure/availability-zones/az-overview

https://azure.microsoft.com/en-us/updates/azure-availability-zones/


Ce post a été updaté le 16/10/2017


Resource Manager « Locks », qu’est ce que c’est ?!

Le modèle de déploiement ARM (Azure Resource Manager) inclut une fonctionnalité qui va sûrement intéresser les IT en charge d’administrer et de sécuriser les services et ressources Azure : il s’agit de « Resource Manager Locks »

Ces verrous vous permettent de protéger vos ressources Azure jugées « Critiques » en mettant en place des règles de restrictions pour empêcher toute modification et/ou suppression accidentelle. Les Locks Resource Manager n’ont aucun rapport avec une hiérarchie RBAC (Role-Based Access Control) car une fois appliqués, ils positionnent des restrictions sur la ressource pour TOUS les utilisateurs. Cela devient très utile quand vous souhaitez protéger des « Ressources Azure Critiques » contre toute modification ou suppression, même accidentelle.

Notez qu’il existe deux niveaux de verrouillage, à savoir :

  • CanNotDelete : ce niveau empêche tous les utilisateurs de supprimer la(es) ressource(s) Azure sur la(es) quelle(s) le verrou est activé. Les ressources Azure restent en revanche accessibles en lecture et peuvent être modifiée à tout moment.
  • ReadOnly : ce niveau rend les ressources Azure accessibles en « Lecture seule » uniquement. Les utilisateurs ne peuvent donc ni modifier ni supprimer la(s) ressource(s) sur la(es) quelle(s) le verrou est activé. Appliquez ce niveau de verrouillage a le même effet /impact que d’attribuer le rôle « Lecteur » à vos utilisateurs, en effet, les mêmes autorisations accordées par le rôle « Lecteur » sont appliquées via le Lock « ReadOnly ».

Les « Locks » Resource Manager peuvent être appliqués aux :

  • Abonnements (Azure Subscriptions)
  • Groupes de Ressources (Azure Resources Group)
  • Ressources (Azure Resources)

Note importante : quand vous appliquez un verrou au niveau d’un abonnement, toutes les ressources placées dans cet abonnement (y compris celles que vous créerez plus tard) héritent le même niveau de verrouillage. De plus, et contrairement au RBAC, une fois appliqués, les Locks impactent tous les utilisateurs, quelque soit leur rôle. Donc, si la modification ou suppression d’une ressource (déjà Lockée) devient vraiment nécessaire, vous devrez d’abord supprimer le verrou associé à la ressource avant de la modifier ou la supprimer.


Les Permissions : ce que vous devez connaître !

Les permissions qui vous permettent de créer et supprimer les verrous nécessitent l’accès à l’une des permissions RBAC suivante :

  • Microsoft.Authorization/*
  • Microsoft.Authorization/locks/*

Par défaut, ces actions /permissions sont prédéfinies pour les rôles « Owner /Propriétaire » et « User Access Administrator /Administrateur de l’accès Utilisateur ». Si nécessaire, vous pouvez les ajouter à des rôles spécifiques /personnalisés.

 

Logs /Traçabilité 

Les opérations de « Création & Suppression » de verrous sont (par défaut) inscrites dans les Journaux d’Activité Azure (Azure Activité Logs).

Les utilisateurs qui tente de supprimer ou modifier une ressource ayant un « Lock » déjà en place recoivent le message d’erreur suivant :

Au niveau du New Azure Portal (portal.Azure.com) :

Au niveau de l’interface Azure CLI, l’Admin IT reçoit le message suivant :

The scope ‘/subscriptions/31854640-1004-4040-81fc-be333f3cef5c/resourceGroups/hk-dev-rg/providers/Microsoft.Storage/storageAccounts/hkcriticalstorage1’ cannot perform delete operation because following scope(s) are locked: ‘/subscriptions/31854640-1004-4040-81fc-be333f3cef5c’. Please remove the lock and try again.

Même chose côté PowerShell, le message d’erreur suivant est retourné à l’Admin IT :

Remove-AzureRmResource : ScopeLocked : The scope ‘/subscriptions/31854640-1004-4040-81fc-be333f3cef5c/resourceGroups/hk-dev-rg/providers/Microsoft.Storage/storageAccounts/hkcriticalstorage1’
cannot perform delete operation because following scope(s) are locked: ‘/subscriptions/31854640-1004-4040-81fc-be333f3cef5c’. Please remove the lock and try again.

 

HowTo : Créer vos « Verrous /Locks »

Les « Locks » Resource Manager peuvent être créés soit au moment de la création de la ressource (au niveau du Template ARM) ou ultérieurement via le nouveau portal Azure (portal.Azure.com), Windows PowerShell ou encore l’interface en ligne de commande (Az CLI 2.0).

Création des « Locks » lors de la création d’une Ressource

La création de Verrous lors de la configuration du Template ARM est le meilleur moyen de s’assurer que votre protection est bien place une fois vos ressources Azure créées /provisionnées.

Les Verrous sont des ressources ARM de « Haut Niveau », ils ne font pas partis de la configuration (sous-couche) des ressources Azure mais plutôt référence à la (aux) ressource(s) à verrouiller, celles-ci doivent donc d’abord exister pour pouvoir créer des « Locks ».

Dans l’exemple suivant, nous allons créer un compte de stockage nommé hkcriticalstorage1 et ensuite verrouiller cette ressource contre la suppression. Notez que le paramètre « Type » fait référence au type de ressource que vous voulez « Verrouiller ».

 

{
« type »: « Microsoft.Storage/storageAccounts »,
« name »: « hkcriticalstorage1 »,
« apiVersion »: « 2015-01-01 »,
« location »: « [resourceGroup().location] »,
« tags »: {
« displayName »: « hkcriticalstorage1 »
},
« properties »: {
« accountType »: « Standard_LRS »
}
},
{
« name »: « [concat(‘hkcriticalstorage1’, ‘/Microsoft.Authorization/criticalStorageLock’)] »,
« type »: « Microsoft.Storage/storageAccounts/providers/locks »,
« apiVersion »: « 2015-01-01 »,
« properties »: {
« level »: « CannotDelete »
}
}
]

 

Le niveau de verrouillage peut être défini à « ReadOnly » simplement en changeant la valeur du paramètre « Level » et la définissant à ReadOnly

Création des « Locks » via le Portail Azure

Comme expliqué précédemment, les verrous s’appliquent à différent niveau : abonnement, groupe de ressource ou encore à des ressources individuelles.

Pour ajouter un « Lock », il suffit de sélectionner l’objet sur lequel vous souhaitez l’appliquer, et cliquez (depuis le volet gauche) sur :

Verrous (ou Locks si votre portail Azure est en En« glish ») : s’il s’agit d’un Groupe de Ressources ou une Ressource individuelle

 

 

 

 

Verrous de ressources (ou Resource Locks si votre portail Azure est en En« glish ») : s’il s’agit d’un Abonnement Azure

 

 

 

 

 

 

Dans l’exemple suivant, nous allons ajouter un « Lock » au niveau de mon abonnement (Visual Studio Premium avec MSDN) en spécifiant les informations suivantes :

  • Nom du Verrou : hk-subscription-lock-del(etion)
  • Type de verrou : Supprimer
  • Remarques : Ce Verrou permet d’empêcher tout utilisateur de supprimer les ressources de l’abonnement Azure « VS Prem MSDN » de HK

Pour ce faire, il faut simplement cliquer sur « Verrous de ressources » > Ajouter > et spécifier ensuite les informations de configuration:

Pour confirmer que les ressources Azure hébergées au niveau de l’abonnement héritent bien ce « Lock » nouvellement créé, cliquez sur n’importe quelle ressource de l’abonnement et rendez-vous ensuite sur « Verrous » ou « Locks », constatez l’apparition du « Lock », précédemment créé :

Création des « Locks » via Windows PowerShell

Le code PS ci-après peut être utilisé pour ajouter un « Lock » à une ressource existante. Encore une fois, le type de ressource (paramètre ResourceType) dépend du type de la ressource que vous souhaitez verrouiller.

Pour supprimer le Verrou, vous devez utiliser la Cmd-let Remove-AzureRmResourceLock.

 

Création des « Locks » via Azure CLI 2.0

Note : si vous n’avez pas encore connecter votre Interface Azure CLI 2.0 à votre compte Azure, je vous invite à consultez cet article.

La commande qui vous permet de créer et gérer les « Verrous » est : Az Lock

Depuis l’interface CLI 2.0, saisissez Az Lock -h pour faire apparaître l’aide en ligne de cette commande :

Pour créer un « Lock » de type « ReadOnly » et l’appliquer au niveau de votre abonnement Azure, la commande suivante est utilisée :

az lock create –name criticalStorageLock –resource-group hk-criticalstorage-rg –lock-type ReadOnly

Je vous invite à consulter cet article très bien rédigé par l’équipe MS Azure pour en savoir plus sur toute la syntaxe et paramètre disponibles avec la commande Az Lock.

 

Ce qu’il faut retenir

Notez que les Locks permettent seulement la protection contre toute suppression ou modification accidentelle des ressources Azure « Critiques », ceux-ci ne permettent pas une restriction totale car les Admins Azure peuvent facilement supprimer les verrous et récupérer les droits de « Supprimer et/ou Modifier » les ressources Azure.

Perso, je considère les Locks comme une couche de protection supplémentaire des ressources Azure car, ils s’appliquent à TOUS les utilisateurs, quelque soit leur rôle (hiérarchie RBAC), cela permettra donc une amélioration de la sécurité /protection de l’infrastructure Cloud, Azure.

What Next ?

Je vous laisse créer et tester vos new Resource Manager Locks sur vos ressources Azure et me faire part de votre feedback pour cette fonctionnalité.

Restez connecté, plusieurs articles autour de l’Azure sont en cours de finalisation et verront le jour très prochainement sur mon blog :).

A bientôt.

Dans le cadre d’un projet de migration de Datacenters d’un de mes clients vers Azure, j’avais en charge l’étude, design et l’implémentation de plusieurs canaux VPN entre les Datacenters Azure et ceux OnPremise.

Compte-tenu du nombre de Gateway VPN Azure à monter, j’ai créé le script P(ower)S(hell) suivant pour automatiser et accélérer le processus de création des services Cloud réseaux nécessaires pour interconnexion.

Le code est détaillé ci-après, j’ai utilisé des noms & subnets de tests, vous aurez donc juste à remplacer les valeurs des variables par celles correspondant à votre environnement.

Mon architecture réseau Azure « cible » est la suivante :

  • 1 VNET nommé : hk-demo-vnet »
  • 1 Espace d’adressage : 10.0.52.0/24
  • 5 Subnets :
    • Subnet « Front-end » : 10.0.52.0/25
    • Subnet « Back-end » :  10.0.52.128/26
    • Subnet « Management« : 10.0.52.192/27
    • Subnet « DMZ » :  10.0.52.224/28
    • Subnet dédiée à la « Passerelle Az » : 10.0.52.240/28

 

Note : la seule étape qui nécessite un peu d’attente (~45 minutes environ) est la création de la Gateway VPN Az [Step #8]. Le reste des opérations est quasi immédiat :).

Note importante : le présent script concerne uniquement la configuration côté « Azure »; une configuration spécifique côté « Réseau OnPrem » est à faire, cela dépendra du type d’équipement déjà présent sur votre S.I (e.g : Fortigate, Cisco ASA, F5 BIG-IP, A10 Network…Etc). N’hésitez pas à consulter cette page pour vérifier la comptabilité /prise en charge de votre équipement réseau pour la connexion VPN avec Azure.


#1 Connecter votre compte Azure
Login-AzureRmAccount

#2 Selectionner votre Abonnement Azure (si vous en avez qu’un seul, vous pouvez bypasser cette etape). Dans l’exemple suivant, la subscription « HKDemoSubsription » sera selectionnee
Select-AzureRmSubscription -SubscriptionName « HKDemoSubscription »

#3 Crerr votre groupe de Ressource Azure au niveau de la Region Europe de l’Ouest
New-AzureRmResourceGroup -Name « hk-demo-rg » -Location ‘West Europe’

#4 Creer  du VNET ‘HK-Demo-vnet » et ses Subnets associés
$hkdemosubfe = New-AzureRmVirtualNetworkSubnetConfig -Name ‘hk-demo-sub-fe’ -AddressPrefix 10.0.52.0/25

$hkdemosubbe = New-AzureRmVirtualNetworkSubnetConfig -Name ‘hk-demo-sub-be’ -AddressPrefix 10.0.52.128/26

$hkdemosubmgmt = New-AzureRmVirtualNetworkSubnetConfig -Name ‘hk-demo-sub-mgmt’ -AddressPrefix 10.0.52.192/27

$SecuritySubnet = New-AzureRmVirtualNetworkSubnetConfig -Name ‘SecuritySubnet’ -AddressPrefix 10.0.52.224/28

$GatewaySubnet = New-AzureRmVirtualNetworkSubnetConfig -Name ‘GatewaySubnet’ -AddressPrefix 10.0.52.240/28

New-AzureRmVirtualNetwork -Name hk-demo-vnet -ResourceGroupName hk-demo-rg `
-Location ‘West Europe’ -AddressPrefix 10.0.52.0/24 -Subnet $hkdemosubfe, $hkdemosubbe, $hkdemosubmgmt, $SecuritySubnet, $GatewaySubnet

#5 Declarer La Passerelle /Device VPN Local ainsi que les Subnets de votre reseau Corporate (192.168.x.0 dans l’exemple suivant)
New-AzureRmLocalNetworkGateway -Name hk-demo-localgtw -ResourceGroupName hk-demo-rg `
-Location ‘West Europe’ -GatewayIpAddress ‘10.112.11.33’ -AddressPrefix ‘192.168.1.0/24’, ‘192.168.2.0/24’, ‘192.168.3.0/24’

#6 Creation d’une nouvelle adresse IP public pour la Gateway VPN Azure
$azuregtwpip = New-AzureRmPublicIpAddress -Name hk-demo-azgtwpip -ResourceGroupName hk-demo-rg -Location ‘West Europe’ -AllocationMethod Dynamic

#7 Declarer /Creer la configuration de la Gateway VPN Azure
$vnet = Get-AzureRmVirtualNetwork -Name hk-demo-vnet -ResourceGroupName hk-demo-rg
$subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name ‘GatewaySubnet’ -VirtualNetwork $vnet
$azgtwipconfig = New-AzureRmVirtualNetworkGatewayIpConfig -Name hk-demo-azgtwconfig -SubnetId $subnet.Id -PublicIpAddressId $azuregtwpip.Id

#8 Creer votre nouvelle Gateway Azure
New-AzureRmVirtualNetworkGateway -Name hk-demo-azgtw -ResourceGroupName hk-demo-rg -Location 'West Europe' -IpConfigurations $azgtwipconfig -GatewayType Vpn
-VpnType RouteBased -GatewaySku Standard

#9 Obtenir l’@IP Public de la Gateway Azure (verifier que l’IP Public de votre Gateway Azure est bien générée)
Get-AzureRmPublicIpAddress -Name hk-demo-azgtwpip -ResourceGroupName hk-demo-rg

#10 Creer la connexion VPN entre le Device OnPrem et Azure
$azuregtw = Get-AzureRmVirtualNetworkGateway -Name hk-demo-azgtw -ResourceGroupName hk-demo-rg
$localgtw = Get-AzureRmLocalNetworkGateway -Name hk-demo-localgtw -ResourceGroupName hk-demo-rg

New-AzureRmVirtualNetworkGatewayConnection -Name hk-demo-azgtwcon -ResourceGroupName hk-demo-rg -Location 'West Europe' -VirtualNetworkGateway1 $azuregtw -LocalNetworkGateway2 $localgtw
-ConnectionType IPsec -RoutingWeight 10 -SharedKey ‘$HKD€m0@2017$’


Run & Enjoy the script :).

Une fois l’interconnexion établie entre le Device VPN Azure et celui d’OnPrem, le statut de l’objet de connexion passe à « Connected« , checkez les « Data in » et « Data out » pour s’assurer que le traffic passe bien entre vos ressources locales (OnPrem) et celles hébergées dans le Cloud Az.

Restez connectés, de nouveaux posts autour de l’Azure (step-by-step guides, HowTo..Etc) sont en cours de finalisation :).