Articles Tagués ‘Cloud’

Echo « Hi Azure Guys »,

Great News !

Microsoft a annoncé Mardi dernier (27 Février) l’intégration d’Azure Backup avec Azure Files (Service Cloud offrant des Partage de fichiers « Fully-Managed » et accessibles via SMB) en « Public Preview ».

Vous pouvez désormais inclure les Partages Azure Files dans votre stratégie Azure Backup pour les sauvegarder de manière automatique, et pouvoir restaurer vos données (Files Share) en cas de problème.

Comment ça marche ?

C’est assez simple !

Créez un nouveau Coffre Recovery Services (Recovery Services Vault) ou utilisez un existant, cliquez ensuite sur « Sauvegardes« , volet disponible depuis le volet Gauche du Blade « Coffres Recovery Services », enfin sélectionnez « Partage de fichiers Azure » comme valeur du paramètre « Que souhaitez-vous sauvegarder » ?

 

Dans l’exemple suivant, mon compte de stockage Azure hébergeant mon files share nommé « hk-demo-fileshare1 » est sélectionné :

Enfin, créez une stratégie de sauvegarde pour vos partages de fichiers Azure, et cliquez sur « OK » pour terminer :

Useful information

Je vous invite à consulter ce post pour en savoir plus.

A bientôt

#HK

Publicités

Great News

Aujourd’hui commence la preview Azure en France, pour tous les clients, partenaires et ISV (Independent Software Vendor) de Microsoft à travers le monde.

Microsoft Azure est désormais disponible depuis deux régions en France. En savoir plus…

Vous pouvez également Follow ce programme (Azure France Preview) en vous inscrivant sur la page suivante :

http://formulaires.microsoft.fr/page/UHUZDE-AzurePreview

Resource Manager « Locks », qu’est ce que c’est ?!

Le modèle de déploiement ARM (Azure Resource Manager) inclut une fonctionnalité qui va sûrement intéresser les IT en charge d’administrer et de sécuriser les services et ressources Azure : il s’agit de « Resource Manager Locks »

Ces verrous vous permettent de protéger vos ressources Azure jugées « Critiques » en mettant en place des règles de restrictions pour empêcher toute modification et/ou suppression accidentelle. Les Locks Resource Manager n’ont aucun rapport avec une hiérarchie RBAC (Role-Based Access Control) car une fois appliqués, ils positionnent des restrictions sur la ressource pour TOUS les utilisateurs. Cela devient très utile quand vous souhaitez protéger des « Ressources Azure Critiques » contre toute modification ou suppression, même accidentelle.

Notez qu’il existe deux niveaux de verrouillage, à savoir :

  • CanNotDelete : ce niveau empêche tous les utilisateurs de supprimer la(es) ressource(s) Azure sur la(es) quelle(s) le verrou est activé. Les ressources Azure restent en revanche accessibles en lecture et peuvent être modifiée à tout moment.
  • ReadOnly : ce niveau rend les ressources Azure accessibles en « Lecture seule » uniquement. Les utilisateurs ne peuvent donc ni modifier ni supprimer la(s) ressource(s) sur la(es) quelle(s) le verrou est activé. Appliquez ce niveau de verrouillage a le même effet /impact que d’attribuer le rôle « Lecteur » à vos utilisateurs, en effet, les mêmes autorisations accordées par le rôle « Lecteur » sont appliquées via le Lock « ReadOnly ».

Les « Locks » Resource Manager peuvent être appliqués aux :

  • Abonnements (Azure Subscriptions)
  • Groupes de Ressources (Azure Resources Group)
  • Ressources (Azure Resources)

Note importante : quand vous appliquez un verrou au niveau d’un abonnement, toutes les ressources placées dans cet abonnement (y compris celles que vous créerez plus tard) héritent le même niveau de verrouillage. De plus, et contrairement au RBAC, une fois appliqués, les Locks impactent tous les utilisateurs, quelque soit leur rôle. Donc, si la modification ou suppression d’une ressource (déjà Lockée) devient vraiment nécessaire, vous devrez d’abord supprimer le verrou associé à la ressource avant de la modifier ou la supprimer.


Les Permissions : ce que vous devez connaître !

Les permissions qui vous permettent de créer et supprimer les verrous nécessitent l’accès à l’une des permissions RBAC suivante :

  • Microsoft.Authorization/*
  • Microsoft.Authorization/locks/*

Par défaut, ces actions /permissions sont prédéfinies pour les rôles « Owner /Propriétaire » et « User Access Administrator /Administrateur de l’accès Utilisateur ». Si nécessaire, vous pouvez les ajouter à des rôles spécifiques /personnalisés.

 

Logs /Traçabilité 

Les opérations de « Création & Suppression » de verrous sont (par défaut) inscrites dans les Journaux d’Activité Azure (Azure Activité Logs).

Les utilisateurs qui tente de supprimer ou modifier une ressource ayant un « Lock » déjà en place recoivent le message d’erreur suivant :

Au niveau du New Azure Portal (portal.Azure.com) :

Au niveau de l’interface Azure CLI, l’Admin IT reçoit le message suivant :

The scope ‘/subscriptions/31854640-1004-4040-81fc-be333f3cef5c/resourceGroups/hk-dev-rg/providers/Microsoft.Storage/storageAccounts/hkcriticalstorage1’ cannot perform delete operation because following scope(s) are locked: ‘/subscriptions/31854640-1004-4040-81fc-be333f3cef5c’. Please remove the lock and try again.

Même chose côté PowerShell, le message d’erreur suivant est retourné à l’Admin IT :

Remove-AzureRmResource : ScopeLocked : The scope ‘/subscriptions/31854640-1004-4040-81fc-be333f3cef5c/resourceGroups/hk-dev-rg/providers/Microsoft.Storage/storageAccounts/hkcriticalstorage1’
cannot perform delete operation because following scope(s) are locked: ‘/subscriptions/31854640-1004-4040-81fc-be333f3cef5c’. Please remove the lock and try again.

 

HowTo : Créer vos « Verrous /Locks »

Les « Locks » Resource Manager peuvent être créés soit au moment de la création de la ressource (au niveau du Template ARM) ou ultérieurement via le nouveau portal Azure (portal.Azure.com), Windows PowerShell ou encore l’interface en ligne de commande (Az CLI 2.0).

Création des « Locks » lors de la création d’une Ressource

La création de Verrous lors de la configuration du Template ARM est le meilleur moyen de s’assurer que votre protection est bien place une fois vos ressources Azure créées /provisionnées.

Les Verrous sont des ressources ARM de « Haut Niveau », ils ne font pas partis de la configuration (sous-couche) des ressources Azure mais plutôt référence à la (aux) ressource(s) à verrouiller, celles-ci doivent donc d’abord exister pour pouvoir créer des « Locks ».

Dans l’exemple suivant, nous allons créer un compte de stockage nommé hkcriticalstorage1 et ensuite verrouiller cette ressource contre la suppression. Notez que le paramètre « Type » fait référence au type de ressource que vous voulez « Verrouiller ».

 

{
« type »: « Microsoft.Storage/storageAccounts »,
« name »: « hkcriticalstorage1 »,
« apiVersion »: « 2015-01-01 »,
« location »: « [resourceGroup().location] »,
« tags »: {
« displayName »: « hkcriticalstorage1 »
},
« properties »: {
« accountType »: « Standard_LRS »
}
},
{
« name »: « [concat(‘hkcriticalstorage1’, ‘/Microsoft.Authorization/criticalStorageLock’)] »,
« type »: « Microsoft.Storage/storageAccounts/providers/locks »,
« apiVersion »: « 2015-01-01 »,
« properties »: {
« level »: « CannotDelete »
}
}
]

 

Le niveau de verrouillage peut être défini à « ReadOnly » simplement en changeant la valeur du paramètre « Level » et la définissant à ReadOnly

Création des « Locks » via le Portail Azure

Comme expliqué précédemment, les verrous s’appliquent à différent niveau : abonnement, groupe de ressource ou encore à des ressources individuelles.

Pour ajouter un « Lock », il suffit de sélectionner l’objet sur lequel vous souhaitez l’appliquer, et cliquez (depuis le volet gauche) sur :

Verrous (ou Locks si votre portail Azure est en En« glish ») : s’il s’agit d’un Groupe de Ressources ou une Ressource individuelle

 

 

 

 

Verrous de ressources (ou Resource Locks si votre portail Azure est en En« glish ») : s’il s’agit d’un Abonnement Azure

 

 

 

 

 

 

Dans l’exemple suivant, nous allons ajouter un « Lock » au niveau de mon abonnement (Visual Studio Premium avec MSDN) en spécifiant les informations suivantes :

  • Nom du Verrou : hk-subscription-lock-del(etion)
  • Type de verrou : Supprimer
  • Remarques : Ce Verrou permet d’empêcher tout utilisateur de supprimer les ressources de l’abonnement Azure « VS Prem MSDN » de HK

Pour ce faire, il faut simplement cliquer sur « Verrous de ressources » > Ajouter > et spécifier ensuite les informations de configuration:

Pour confirmer que les ressources Azure hébergées au niveau de l’abonnement héritent bien ce « Lock » nouvellement créé, cliquez sur n’importe quelle ressource de l’abonnement et rendez-vous ensuite sur « Verrous » ou « Locks », constatez l’apparition du « Lock », précédemment créé :

Création des « Locks » via Windows PowerShell

Le code PS ci-après peut être utilisé pour ajouter un « Lock » à une ressource existante. Encore une fois, le type de ressource (paramètre ResourceType) dépend du type de la ressource que vous souhaitez verrouiller.

Pour supprimer le Verrou, vous devez utiliser la Cmd-let Remove-AzureRmResourceLock.

 

Création des « Locks » via Azure CLI 2.0

Note : si vous n’avez pas encore connecter votre Interface Azure CLI 2.0 à votre compte Azure, je vous invite à consultez cet article.

La commande qui vous permet de créer et gérer les « Verrous » est : Az Lock

Depuis l’interface CLI 2.0, saisissez Az Lock -h pour faire apparaître l’aide en ligne de cette commande :

Pour créer un « Lock » de type « ReadOnly » et l’appliquer au niveau de votre abonnement Azure, la commande suivante est utilisée :

az lock create –name criticalStorageLock –resource-group hk-criticalstorage-rg –lock-type ReadOnly

Je vous invite à consulter cet article très bien rédigé par l’équipe MS Azure pour en savoir plus sur toute la syntaxe et paramètre disponibles avec la commande Az Lock.

 

Ce qu’il faut retenir

Notez que les Locks permettent seulement la protection contre toute suppression ou modification accidentelle des ressources Azure « Critiques », ceux-ci ne permettent pas une restriction totale car les Admins Azure peuvent facilement supprimer les verrous et récupérer les droits de « Supprimer et/ou Modifier » les ressources Azure.

Perso, je considère les Locks comme une couche de protection supplémentaire des ressources Azure car, ils s’appliquent à TOUS les utilisateurs, quelque soit leur rôle (hiérarchie RBAC), cela permettra donc une amélioration de la sécurité /protection de l’infrastructure Cloud, Azure.

What Next ?

Je vous laisse créer et tester vos new Resource Manager Locks sur vos ressources Azure et me faire part de votre feedback pour cette fonctionnalité.

Restez connecté, plusieurs articles autour de l’Azure sont en cours de finalisation et verront le jour très prochainement sur mon blog :).

A bientôt.

Rappel sur les Groupes de Ressources Azure [Azure Ressource Groupe]

Toutes les ressources créés /provisionnées dans Microsoft Azure ont besoin d’être associées à des « Groupes de Ressources ». il s’agit ici d’une fonctionnalité de base du modèle ARM (Azure Resource Manager).

Utiliser un groupe de ressources Azure vous permettra de grouper toutes vos ressources Cloud (VM, NIC, stockage, IP Public..etc) dans une sorte de « Conteneur logique » et de les gérer de manière centraliser

Puis-je déplacer mes ressources Azure d’un Groupe de Ressources vers un autre ?

Yes, cela est tout à fait possible !

Vous pouvez être amené à déplacer une ou plusieurs ressources Azure (VM, VNET, Compte de stockage…) d’un Groupe de Ressources vers un autre.

e.g : Déplacement d’une VM (ayant servie par exemple à la mise en pré-production d’une solution ou application pour validation) d’un groupe de ressources nommée « hk-preprod-rg » vers un Groupe de Ressources nommé « hk-prod-rg ». Un autre scénario classique est le déplacement d’une ou plusieurs VM Azure ayant servie pour la mise en place d’un PoC qui doit finir en Production. Vous aurez donc comme tâche le move de ces VMs d’un Groupe de Ressources TaGué « PoC » vers un autre TaGué « Prod ».

Comment ça marche ?

Le déplacement d’une ressource Azure d’un Groupe de Ressources vers un autre peut se faire via trois outils :

  • Nouveau Portail Azure : portal.azure.com
  • Windows PowerShell : module Azure
  • Azure CLI 2.0 : commande az resource move

 

Déplacement de Ressources via le Nouveau Portail Azure
  • Connectez-vous sur portal.azure.com
  • Cliquez sur le Groupe de Ressources « source » regroupant votre ou vos ressources Azure à déplacer. Dans l’exemple suivant, la ressource que je souhaite déplacer est associée au groupe de Ressources « hk-preprod-rg« .
  • Localisez et cliquez sur la Ressource à déplacer. Dans l’exemple, la VM « hk-preprod-vm1 » sera déplacée vers le Groupe de Ressources « hk-prod-rg« 

  • Depuis « Vue d’ensemble« , cliquez sur « Déplacer » et sélectionnez ensuite « Déplacer vers un autre groupe de ressources » :

  • L’assistant suivant apparaît, comme illustré dans l’image ci-dessous, vous pouvez également déplacer une ou toutes les autres ressources associées à la ressource que vous souhaitez déplacer. Sélectionnez le groupe de ressources de « Destination » et cliquez sur « Ok » pour démarrer le déplacement de la ressource.

  • Si vous cliquez sur le Groupe de Ressources de « Destination », vous constaterez l’apparition d’une notification vous indiquant le Déplacement de ressource.

 

Déplacement de Ressources via Windows PowerShell
  • Lancez Windows PowerShell (en tant qu’Administrateur) et saisissez Login-AzureRmAccount pour connecter votre compte Azure

  • Une fois connecté, saisissez la commande suivante et notez l’ID de la ressource à déplacer. Dans l’exemple suivant, nous allons afficher les informations sur la ressource Azure « hk-preprod-vm1« , qui est une VM Azure associée au groupe de Ressources « hk-preprod-rg » :

Get-AzureRmResource -ResourceName hk-preprod-vm1 -ResourceGroupName hk-preprod-rg

  • Pour déplacer votre ressource (dans l’exemple suivant > hk-preprod-vm1 dont l’ID de ressource est /subscriptions/31854640-1004-4040-81fc-be333f3cef5c/resourceGroups/hk-preprod-rg/providers/Microsoft.Compute/virtualMachines/hk-preprod-vm1), vous pouvez exécuter l’une des deux commandes suivante :

Move-AzureRmResource -ResourceId /subscriptions/31854640-1004-4040-81fc-be333f3cef5c/resourceGroups/hk-preprod-rg/providers/Microsoft.Compute/virtualMachines/hk-preprod-vm1 -DestinationResourceGroupName hk-prod-rg

ou

Get-AzureRmResource -ResourceName hk-preprod-vm1 -ResourceGroupName hk-preprod-rg | Move-AzureRmResource -DestinationResourceGroupName hk-prod-rg

  • Le déplacement de la ressource démarre …

 

Déplacement de Ressources via l’interface Azure CLI 2.0
  • Lancez l’Invite de commande CMD.exe (en tant qu’Administrateur) et suivez les instructions détaillées dans cet article pour connecter l’interface Azure CLI 2.0 à votre compte Azure
  • Comme sous Windows PowerShell, vous devez d’abord récupérer l’ID de la ressource à déplacer. Pour ce faire, Saisissez la commande suivante. Notez que dans l’exemple ci-dessous, la ressource à déplacer est la VM « hk-preprod-vm1 » associée au groupe de ressource source « hk-preprod-rg » :

az resource show -n hk-preprod-vm1 -g hk-preprod-rg –resource-type « Microsoft.Compute/virtualMachines »

Cette ressource (dont l’ID est /subscriptions/31854640-1004-4040-81fc-be333f3cef5c/resourceGroups/hk-preprod-rg/providers/Microsoft.Compute/virtualMachines/hk-preprod-vm1) sera déplacée vers le Groupe de ressources de Destination « hk-prod-rg », la commande suivante est utilisée :

az resource move –ids /subscriptions/31854640-1004-4040-81fc-be333f3cef5c/resourceGroups/hk-preprod-rg/providers/Microsoft.Compute/virtualMachines/hk-preprod-vm1 –destination-group hk-prod-rg


Plusieurs « HowTo » Azure sont en cours de finalisation et seront bientôt publiés, n’hésitez pas à vous abonner sur le Blog pour Keep updated de toute nouvelle publication.

A bientôt.

 

 

 

Si vous souhaitez démarrer avec Microsoft Azure, commencez par comprendre tous les composants et services disponibles sur celui-ci.

Je vous propose de consulter la version cliquable d’Azure Periodic Table, disponible à cet URL.

Il s’agit d’une « Big Picture » cliquable qui vous détaille chaque service disponible sur Azure.

C’est un bon point de départ si vous souhaitez vous former sur MS Azure.

 

MS a annoncé au « Ignite 2016″  la disponibilité générale de l’IPv6 pour les Machines Virtuelles (VMs) Azure.

La plupart des Régions Azure (voir liste ci-après) peuvent désormais héberger des VMs « Dual-Stack » : IPv4 + IPv6

Brazil South

Canada Central

Canada East

Central India

Central US

East Asia

East US

East US 2

Japan East

Japan West

North Europe

North Central US

South India

South Central US

Southeast Asia

UK North

UK South 2

West Central US

West Europe

West India

West US

West US 2

 

Notez qu’au moment de la rédaction de cet article, les Régions suivantes ne peuvent faire du hosting de VMs Dual-Stack (IPv4 + IPv6) :

Australia East, Australia Southeast

UK West, UK South

Germany Central, Germany Northeast

USGov Central, USGov East

China North, China East

 

1

Azure RemoteApp, qu’est-ce que c’est ?

Azure RemoteApp est un service Cloud qui vous permet de publier des Apps Windows (tel que Microsoft Office) mais aussi Non-Windows (tel que vos Apps métiers ou third-party) et proposer l’accès à celles-ci depuis n’importe ou et via n’importe quel périphérique.

En effet, l’accès aux Apps publiées se fait via un client lourd « RemoteApp » téléchargeable gratuitement et disponible pour toutes les plateformes, notamment :

  • Windows Client (x86 et x64) : Windows 7 > 10
  • Windows 8.1 RT
  • Windows Phone
  • Android
  • iPhone et iPad
  • Mac OS

Contrairement aux offres rivales comme celle d’Amazon (WorkSpaces), Azure RemoteApp ne permet pas l’accès à l’OS en entier, mais uniquement aux Applications publiées, voir image ci-après :

2

Collections Azure RemoteApp

Le service Azure RemoteApp s’appuye sur la solution RDS (Remote Desktop Services) et fonctionne avec les mêmes concepts que celle-ci : les Collections.

Deux types de Collection Azure RemoteApp existent :

  • Cloud
  • Hybride 

 

Azure RemoteApp : Collection Cloud

Une Collection Cloud est hébergée dans le Cloud Azure et stocke toutes les données des programmes qui y figurent. Les utilisateurs peuvent accéder aux applications en se connectant avec leur compte Microsoft ou leurs informations d’identification d’entreprise, synchronisées ou fédérées avec Azure Active Directory.

Choisissez une collection Cloud quand l’application que vous souhaitez publier ne nécessite pas de connexion à des ressources sur le réseau privé de votre société (par exemple, via un périphérique VPN). Si l’application utilise des ressources sur Internet, OneDrive ou Azure, une Collection Cloud peut répondre à votre besoin. C’est également l’option la plus simple et la rapide à mettre en place.

La « Big Picture » ci-après illuste l’architecture d’un déploiement Azure RemoteApp « Cloud » :

AzureRemoteApp_Cloud

Azure RemoteApp : Collection Hybride

Une Collection Hybride est hébergée dans le Cloud Azure et y stocke également les données, mais elle permet aussi aux utilisateurs d’accéder aux données et aux ressources stockées et hébergées sur des serveurs OnPremise. Les utilisateurs peuvent accéder aux applications en se connectant avec leurs informations d’identification d’entreprise, synchronisées ou fédérées avec Azure Active Directory.

Choisissez une Collection Hybride si vous avez besoin d’une connexion à des ressources sur le réseau privé de votre société. Par exemple, si l’application nécessite un accès à l’une des ressources (OnPrem) suivantes :

  • Serveurs de fichiers
  • Serveurs de base de données

Cette option s’avère généralement plus utile pour les entreprises de taille importante qui possèdent beaucoup de ressources sur leurs réseaux privés qu’elles ne peuvent pas déplacer vers Azure.

La « Big Picture » ci-après illuste l’architecture d’un déploiement Azure RemoteApp « Hybrid » :

AzureRemoteApp_Hybrid

Prérequis

Microsoft Azure est plateforme basée sur une souscription, vous pouvez vous souscrive à Microsoft Azure et bénéficier d’un mois d’essaie de cette plateforme (incluant 150€ offerte par Microsoft) ainsi que tous ses services Cloud associés, y compris Azure RemoteApp.

Comment ça marche ?

Rendez-vous ici.

Niveaux de service & Pricing

4 Niveaux de service sont disponibles pour Azure RemoteApp :

  • Basic
  • Standard
  • Premium
  • Premium Plus

Notez qu’Azure RemoteApp est un service facturé par utilisateur et par mois.

Les informations sur les prix /options /limitations pour chaque Niveau de service sont détaillées dans le tableau ci-après :

7

Note importante : 

Pour les niveaux « Basic et Standard« , chaque Collection RemoteApp requiert au minimum 20 utilisateurs. Pour les niveaux « Premium et Premium Plus« , chaque Collection RemoteApp requiert au minimum 5 utilisateurs. Si le nombre d’utilisateurs est inférieur au nombre requis, vous êtes tout de même facturé pour le nombre minimal d’utilisateurs requis pour cette référence SKU.

Enfin, vous pouvez visionner la vidéo ci-après pour en savoir plus :

Remise exceptionnelles

Au moment de l’écriture de cet article, Microsoft propose une remise jusqu’à 80 % sur les niveaux Azure RemoteApp « Basic et Standard » avec les abonnements admissibles Software Assurance (SA) aux Services Bureau à distance > Offre valable jusqu’au 30 septembre 2016

Estimez vos frais mensuels

Une calculatrice Azure qui vous permet de calculer /estimer rapidement vos factures mensuelles pour votre future déploiement Azure RemoteApp est mise à votre disponible ici.

Il suffit de cliquer sur « Compute » > « RemoteApp » et renseignez les informations demandées :

8

Dans l’exemple suivant, une estimation pour 5 utilisateurs avec 50 heures (d’utilisation par mois /utilisateur) a été réalisée :

9

Comme indiqué dans l’image ci-dessus, l’utilisation du service Azure RemoteApp par 5 utilisateurs  avec 50H d’utilisation /mois s’élève à ~50€ /mois.

Deux nouveaux articles sur la création des deux Collections « Cloud & Hybrid » sont en cours de rédaction (PART 2 et 3), So stay in touch :).