[Azure Toolbox #8] AzAdvertizer : outil de Gouvernance Azure à garder dans sa Toolbox Azure

[Blog Post updaté le 15 Avril 2020]

Introduction à l’outil « AzAdvertizer » 

Aujourd’hui, je souhaite partager avec vous un Powerful Tool Azure nommé « AzAdvertizer« .

AzAdvertiser est un outil dédié à la Gouvernance Azure, il vous permet de Tracker/Suivre en temps réel tous les Updates/changements/évolutions introduites à plusieurs services Azure dédiés à la gouvernance de vos environnements Cloud, notamment :

• Azure RBAC
• Azure Policy
• Policy Initiative
• Policy Alias

 

Note importante : AzAdvertizer est un outil développé par un Senior PFE Microsoft (Julian Hayward), il ne s’agit pas d’un outil officiel Microsoft, par conséquent, aucun support n’est fourni, et aucun MCO (Maintien en Condition Opérationnelle) n’est garanti.

 

AzAdvertizer : comment ça marche 

AzAdvertiser est un outil Web accessible directement depuis l’URL suivante :

https://www.azadvertizer.net

En plus de l’onglet « HOME » qui vous permet d’avoir un Overview sur les Last updates/changements apportés aux services Azure RBAC/Policy/PolicyAlias/PolicyInitiative avec un joli Graph (Azure Governance vitality) illustrant quand et combien de changements/évolutions ont eu lieu, AzAdvertizer regroupe les 4 onglets « clés » suivants :

 

L’onglet « HOME »

Au moment de la rédaction du présent Blog Post, AzAdvertizer indique depuis l’onglet « HOME« , la suppression d’un rôle RBAC au 28-03-2020, si vous cliquez sur le chiffre 2 sous Role, vous serez automatiquement redirigé sur l’onglet « RBAC Role », ce qui vous donnera plus de détails sur le rôle RBAC Azure supprimé :

Comme montré dans la capture d’écran ci-dessous, le rôle « VSOnline Virtual Network Service » a été retiré/supprimé le 28/03/2020 :

L’onglet HOME pourra être utile pour les plus pressés souhaitant simplement avoir les dernières news/updates/changes sans trop rentrer dans le détail, ou suivre les new releases (quand et quoi) avant d’aller sur chaque onglet et en savoir plus sur le changement ou évolution apportés au service.

 

Onglet « POLICY »

L’onglet « POLICY » répertorie les Stratégies Azure et les différents changements/évolutions ayant eu lieu récemment, AzAdvertizer vous offre deux options (cela s’applique à tous les autres onglets aussi) :

• Changes on Policies : liste tous les changements/updates apportés aux Stratégies Azure. Vous pouvez filtrer chaque colonne pour affiner vos recherches. Dans l’exemple suivant, nous allons filtrer le résultat pour lister uniquement les Policies ayant été supprimées (deprecated) :

• « All Policies » : liste toutes les stratégies Azure à date
  • Idem que l’ancien tableau, vous avez toujours la possibilité de filtrer vos recherches pour lister uniquement les informations dont vous avez besoin. N’hésitez donc pas à définir un ou deux filtres et noter le résultat (eg : ajouter le filtre « Add » pour savoir les Stratégies qui ont été ajoutées/introduites sur Azure récemment).

 

Onglet « INITIATIVE »

Comme mentionné précédemment, AzAdvertiser propose les mêmes (deux) options pour les 4 onglets, vous retrouverez donc le « Changes on Azure Policy Initiatives » ainsi que le « All Azure Policy initiatives »

Commencez par sélectionner « Changes on Azure Policy Initiatives » et noter le résultat retourné par l’outil : tous les changements apportés aux Policy initiatives Azure vous sont retournés :

Sélectionnez maintenant « All Azure Policy Initiatives » et notez le résultat retourné par AzAdvertizer : toutes les initiatives de stratégies Azure :

 

Onglet « ALIAS »

L’onglet « ALIAS » présente tous les Policy alias Azure, vous pouvez là aussi tracker tous les changements apportés aux alias de Stratégies Azure ou les lister tous, faites l’exercice 🙂

 

Onglet « RBAC ROLE »

Enfin, l’onglet « RBAC ROLE » répertorie tous les rôles RBAC et les leurs évolutions.

L’option « Changes on Azure RBAC Roles » vous retourne les dernières évolutions/new releases pour les rôles RBAC :

Si vous sélectionnez l’option « All Azure RBAC Roles« , AzAdvertizer vous retourne la liste complète de tous les rôles RBAC. Au moment de la rédaction du présent post, il existe 168 rôles RBAC (cf screenshot ci-dessous) :

Vous pouvez constater cela depuis le Portail Azure > Contrôle d’accès (IAM) de n’importe quel Abonnement, Resource Group (RG) ou Ressource Azure > Rôles > Filtrer Role Type sur « BuiltinRole » :

Comme montré dans l’image ci-dessus, le nombre de Rôles Built-in affichés sur le Portail Azure est le même que celui retourné par AzRoleAdvertizer.

 

Onglet « OTHER »

L’onglet « OTHER » liste/répertorie plusieurs outils Azure assez intéressants et Useful, notamment le fameux AzureChart , ou encore le Powerful Azure Speed/Latency Test tool.

Enjoy :).

 

Update du 15 Avril 2020

Une nouvelle fonctionnalité a été introduite sur l’outil AzAdvertizer ce mi Avril, il s’agit de ResProvOps.

Un nouvel onglet nommé « RESPROVOPS » a été effectivement ajouté à l’outil Web AzAdvertizer :

Ce nouvel onglet liste tous les fournisseurs de ressources Azure, avec les espaces de noms (NameSpace) et opérations associées.

Dans l’exemple suivant, nous allons sélectionner le Resource Provider Microsoft.Network, le tableau nous retourne les informations suivantes (notez la liste des opérations du RP) :

Cet onglet devient vite pratique et très utile si vous êtes dans une phase de design d’un nouveau modèle de gestion de droits RBAC, car vous permet de lister rapidement les Resources Opérations possibles pour un Resource Provider spécifique, et vous permettra donc d’établir rapidement les opérations nécessaires pour vos Custom Roles RBAC.

N’hésitez pas à faire le tour des autres fournisseurs de ressources, et analyser les résultats retournés.

 

[Azure Toolbox #7] AzGovViz : un Outil de Gouvernance Azure à garder dans sa Toolbox

Introduction

J’ai récemment découvert un outil assez intéressant pour Azure, il s’agit d’Azure VizGov.

Cet outil vous permet d’auditer vos environnements Azure (ou ceux de vos clients) pour :

• Avoir de la visibilité sur la hiérarchie de vos Management Group Azure (Groupes d’Administration) jusqu’aux abonnements Azure
• Capturer /récupérer toutes les informations relatives aux droits/attributions de rôle RBAC
• Lister toutes les Stratégies (Azure Policies) appliquées à vos Management Group (MG) et abonnements

 

Télécharger AzGovViz

L’outil tourne sou forme de Script PowerShell, et est disponible en téléchargement depuis ce Repo Github

 

Prérequis

AzGovViz a été codé sous PowerShell, vous devez donc disposer d’un des modules PowerShell Azure suivant pour l’exécuter :

• Module Az
• Module AzureRM

De plus, pour pouvoir exécuter le script, vous devez disposez les autorisations/permissions RBAC suivantes :

• [RBAC] : le rôle « Management Group Reader«  au niveau du Management Group
• [RBAC] : le rôle « Reader«  au niveau du Management Group
• [Permissions API] : si vous voulez exécuter le script via Azure Automation ou l’agent Azure DevOp, vous devrez configurer les permissions de l’API au niveau de l’annuaire Azure AD. Idem pour le compte Automation qui sera utilisé, l’inscription de l’App du compte doit être autorisé avec l’autorisation suivante : Azure Active Directory API | Application | Directory | Read.All

 

HowTo : exécuter AzGovViz

Suivez les instructions suivantes pour exécuter l’outil de visualisation de gouvernance Azure depuis votre environnement :

.\AzGovViz.ps1 -managementGroupId <ID_de_votre_Management_Group>

 

 

Outputs

AzGovViz audit/collecte et retourne des informations sur vos Management Group, Abonnements, droits RBAC, Initiatives Policy et Policies Azure.

AzGovViz vous retourne le résultat sous format « HTML » et CSV (Comma-Separated Values).

 

Petit Bonus !

Le résultat /données collectées post-exécution d’AzGovViz sont directement disponibles dans le Wiki Azure DevOps (voir screenshot ci-dessous) :

 

Informations utiles

AzGovViz a été testé (par mes soins) sur le CloudShell et PowerShell Core pour Windows et Linux (Ubuntu 18.04 LTS). Il est compatible et ne présente aucun problème d’exécution/stabilité.

 

 

 

[Azure Toolbox #6] Azure Resource Explorer

 

Introduction

Azure Resource Explorer est un outil Web développé par Microsoft.

Il s’agit d’un projet « Open-Source », hébergé sur Github et disponible depuis l’URL suivante :

https://github.com/projectkudu/AzureResourceExplorer

 

Azure Resource Explorer (ARE) est un outil Web puissant qui vous permet de :

• Obtenir la documentation API complète
• Découvrir les API ARM (Azure Resource Management)
• Faire des appels API directement sur vos Abonnements (Subscriptions) Azure

 

Il vous permet de lister toutes les ressources déjà créées et hébergées dans vos Abonnement Azure, comprendre comment celles-ci sont structurées et afficher toutes les propriétés dont elles disposent.

Azure Resource Explorer a été principalement conçu pour l’audit et gestion (modification) des Applis Web Azure (Az WebApps), il ne permet pas la modification des autres services Azure, à l’exception des R(esource) G(roups).

URL Azure Resource Explorer

Azure Resource Explorer est accessible depuis l’URL suivante :

https://resources.azure.com

Connectez-vous à cet URL et authentifiez-vous comme vous avez l’habitude de le faire sur le Portail Azure 

Une fois connecté, Azure Resource Explorer vous affiche l’arborescence suivante (volet gauche).

Deux nœuds parents sont affichés depuis ce volet :

• Providers : plus précisément, la liste des Resources Providers (ou fournisseurs de ressources) Azure utilisés dans votre ou vos abonnements Azure
• Subscriptions : la liste des abonnements associés au compte Azure utilisé lors de la phase Sign-in (Authentification).

 

Vous pouvez développer « subscriptions » et lister tous les Groupes de ressources (ResourceGroups) qui sont disponibles depuis l’abonnement Azure sélectionné.

Vous pouvez ensuite parcourir ces RG pour descendre jusqu’aux ressources qui y sont hébergées :

 

HowTo : utiliser Azure Resource Explorer

Pour afficher les propriétés d’une ressource Azure, il suffit de la localiser et la sélectionner depuis le volet gauche. Dans l’exemple suivant, je vais sélectionner mon groupe de ressource « hk-prod-01 » :

Cette fois-ci je vais sélectionner « resources » pour afficher les propriétés des ressources placées dans mon RG « hk-prod-01 » :

Pour chaque appel API (GET), vous noterez l’URI affichée automatiquement dans la barre d’adresse à côté du bouton « GET » > onglet Data (GET, PUT)

Si vous sélectionnez un Groupe de ressource depuis l’arborescence du volet gauche, vous allez constater l’apparition des options suivantes depuis l’onglet « Actions (POST, DELETE) :

• Delete : permet de supprimer le groupe de ressource sélectionné
• exportTemplate : permet de générer un template (ARM) à partir du groupe de ressource sélectionné
• moveResources : permet de déplacer les ressources d’un groupe de ressource à un autre

 

Dans l’exemple suivant, nous allons faire un Move de la ressource « VM\hk-ad-01 » hébergée dans le RG source « hk-prod-01 » vers « hk-prod-02 », notez qu’il faut d’abord noter les ID de chaque objet Azure (RG et Ressource à déplacer) pour la renseigner dans la requête du ARE :

 

 

Pour résumer, ARE vous permet non seulement d’afficher les API Azure R(esource) M(anager), mais aussi de les exécuter dans votre propre Abonnement directement à partir d’un simple Navigateur Web.

Par exemple, vous pouvez l’utiliser pour lister et modifier vos Web Apps/Sites Azure existantes, ou en créer des nouvelles.

Tout se fait directement au niveau JSON, vous visualisez et contrôlez donc toutes les opérations en temps réel.

Azure Resource Explorer : In Action

Une petite vidéo réalisée par un des développeurs d’Azure Resource Explorer est disponible ci-dessous :

 

 

N’hésitez pas à faire le tour de l’outil, pratiquer et manipuler les différentes options pour découvrir la puissante de l’outil.

Si vous familier avec l’outil Postman (outil de développement/test d’API REST), eh bien ARE est un peu comme Postman pour Azure.

 

A bientôt,

#HK

[Azure Toolbox #5] Azure Heat Map : Follow Azure Updates !

Aujourd’hui, nous allons parler « Azure Toolbox ».

Plus précisément d’un nouvel outil Web appelé « Azure Heat Map« , développé par Alexey Polkovnikov. Azure Solutions Architect @Microsoft Corp.

Azure Heat Map vous permet de suivre depuis « One Place » toutes les mises à jour relatives aux services Cloud Azure.

Le graphique présenté à travers Azure Heat Map est assez intéressant et pratique, car liste les différents services Azure par catégorie et vous permet de localiser rapidement le service qui vous intéresse.

Azure Heat Map vous propose 4 vues différentes, à savoir :

• Heat ALL Up : Vue par défaut, il affiche tous les services Azure, avec ou sans mises à jour récentes.
• All updates equal : Pour afficher les services ayant eu des mises à jour/changements/évolutions sur les 6 derniers mois.
• Latest more important : Pour afficher les services ayant eu des mises à jour/changements/évolutions le dernier mois.
• Only last 7 days : Afficher uniquement les services ayant eu des mises à jour/changements/évolutions les 7 derniers jours.

 

Azure Heat Map est disponible depuis l’URL suivante :

https://azureheatmap.azurewebsites.net

Dans l’exemple suivant, nous allons sélectionner la vue « Only last 7 days », Azure Heat Map nous liste les services ayant eu des Updates pendant cette période (7 derniers jours) :

Les services Azure « Kubernetes Service – Virtual Machines – Azure DevOps – Azure Backup » ont donc eu des Updates sur les 7 derniers jours, il suffit de cliquer sur un des services retournés par Azure Heat Map pour en savoir plus sur les mises à jour apportées.

Azure Heat Map est à garder dans sa Toolbox Azure :).

Note importante : notez qu’il ne s’agit pas d’un site officiel Microsoft. Comme mentionné précédemment, cet outil Web a été développé par un salarié MS. Il a été conçu pour récupérer (à travers des API) les informations fournies à travers le service Docs de MS, plus précisément les informations relatives aux mises à jour des services Cloud Azure. L’avantage qu’offre Azure Heat Map, c’est de retrouver plusieurs Updates /Informations sur différents services Cloud Azure depuis un seul et même endroit.

 

A bientôt,

#HK

[Azure VM – Toolbox] Tool #1 : AzurePrice.Net

Hi Azure Guys,

Aujourd’hui je vais vous parler d’un Powerful Web tool dédié à l’offre IaaS d’Azure : Azure Virtual Machine

Il s’agit de AzurePrice.Net

Cet outil web vous permet de trouver et comparer rapidement les différentes offres Azure VM depuis une seule et même page.

Plusieurs clients trouvent qu’Azure Pricing Calculator n’est pas très pertinent quand il s’agit de sélectionner et calculer le prix de plusieurs VM Azure à la fois.

Azure Pricing Calculator est organisé par volet /par service Azure, il vous offre également la possibilité de calculer le prix d’une configuration spécifique/personnalisée, c’est la raison pour laquelle il reste l’outil à privilégier quand il s’agit de calculer le coût global d’une infrastructure Azure.

En revanche, si vous cherchez un outil simple & easy à utiliser pour calculer rapidement le coût d’une ou plusieurs VM Azure, (uniquement), eh bien AzurePrice.Net reste le meilleur outil. A garder dans sa Toolbox.

DEMO

Dans l’exemple suivant, je veux simplement connaître le coût mensuel (en €) d’une VM Azure de type « Standard_A2_v2 » hébergée en France.

Les filtres sont configurés avec les paramètres suivants :

• Région : France Central
• Coût : Euro (€)
• Mode Facturation : Mensuel

 

Résultat de ma recherche :

Comme indiqué dans la Screenshot, le résultat retourné inclut également une colonne (Best Price /couleur verte) vous indiquant la Région Azure offrant le meilleur prix pour la même VM (West US 2 dans notre exemple). Si vous n’avez pas de contrainte spécifique pour héberger votre VM en dehors de la France (eg : contraintes légales), vous pouvez donc choisir d’héberger votre VM dans cette Région et économisez 28,3% sur le coût global comparé à un hébergement en France Central.

Enjoy :).

A bientôt.

#HK

 

[Azure Toolbox #2] Tool of the Week : MAVMRA (Microsoft Azure Virtual Machine Readiness Assessment)

MAVMRA, qu’est-ce que c’est ?

Si vous souhaitez migrer vos Machines Virtuelles OnPrem vers Azure, vous devez d’abord auditer l’existant pour pouvoir sizer vos Machines Virtuelles Azure et pouvoir répondre à la question suivante :

Quelles Machines Virtuelles Azure aurais-je besoin pour telle ou telle VM OnPrem.

Si vous documentez bien vos environnements et que vous disposez d’une solution de Monitoring/Inventory existante, cela peut vous aider à collecter des informations sur votre infrastructure existante, en revanche, si vous avez aucune visibilité sur l’existant, eh bien l’outil MAVMRA peut vous aider à partir du bon pied quand il s’agit de migrer des Workload from vos Datanceters OnPrem vers Azure.

MAVMRA (pour Microsoft Azure Virtual Machine Readiness Assessment) est un outil qui vous permet de réaliser une évaluation de la configuration de vos VMs existantes et détecter d’éventuels problèmes de configuration à corriger avant migration vers Azure.

 

Technologies/Services pris en charge par MAVMRA

MAVMRA vous permet de réaliser un assessment complet des serveurs/technologies suivantes :

Windows Server Active Directory : Contrôleur de domaine AD (DC : Domain Controller)

Microsoft SharePoint : Serveur SharePoint

Microsoft SQL Server : Serveur SQL

 

MAVMRA : Prérequis

Je vous invite à télécharger le document PDF suivant et prendre connaissance de tous les prérequis avant d’installer l’outil MAVMRA :

Note importante : La machine (Physique ou Virtuelle) qui servira de serveur MAVMRA, doit obligatoirement être jointe à un domaine AD pour pouvoir exécuter à distance les différents tests d’assessment et de collecte d’informations sur votre infrastructure système Windows Server existante.

 

How To : Installer MAVMRA

Bon, l’installation de MAVMRA est assez simple, choisissez un emplacement d’installation (%PROGRAMFILES% par défaut), et cliquez sur « Install » pour démarrer l’installation :

Une fois installé, cliquez sur « Close » pour lancez l’assistant de configuration :

Note : laissez la case à cocher « Launch Microsoft Azure Virtual Machine Readiness Assessment » cochée

 

How To : Configurer MAVMRA

L’assistant de configuration MAVMRA suivant apparaît, il est composé de 6 volets.

Sélectionnez le type de service/technologie pour le(la) quel(le) effectuer l’Assessment.

Danns l’exemple suivant, nous allons évaluer la configuration des Contrôleurs de domaine, Active Directory est donc sélectionnée comme option :

Les prérequis suivants doivent être OK pour que MAVMRA puisse réaliser son Assessment :

L’assistant MAVMRA comprend 13 questions auxquelles vous devez répondre pour une meilleure évaluation de votre infrastructure Windows Server existante :

Question 1/13 de l’assistant de configuration MAVMRA :

Quand vous aurez répondu à toutes les questions, l’évaluation de votre infrastructure (AD dans notre exemple) démarre :

Dès que l’évaluation/collecte de données est terminée, deux rapports vous sont proposés. Cliquez sur « View Reports » pour afficher leur emplacement :

Les deux rapports automatiquement générés par MAVMRA sont les suivants :

Le premier document « DOCx file » : représente le rapport complet détaillant toutes les Steps pour réussir la migration de vos Workload vers Azure

 

La second document (XLS file) : regroupe tous les problèmes (Issues) détectés pouvant empêcher la migration de vos VMs vers Azure. Cela vous permet d’avoir un Overview sur toutes les corrections/plan de remédiation à mettre en place pour réussir votre migration vers Azure.

 

Télécharger Microsoft Azure Virtual Machine Readiness Assessment

L’outil Microsoft Azure Virtual Machine Readiness Assessment peut être téléchargé gratuitement depuis le bouton ci-dessous.

 

 

A bientôt

#HK