1. Livres & vidéos
  2. Débuter et se perfectionner avec Azure
  3. Concepts de base
Extrait - Débuter et se perfectionner avec Azure Concepts fondamentaux et mise en œuvre (2e édition)
Extraits du livre
Débuter et se perfectionner avec Azure Concepts fondamentaux et mise en œuvre (2e édition)
1 avis
Revenir à la page d'achat du livre

Concepts de base

Introduction

Les exercices du chapitre précédent ont permis de prendre en main le portail de gestion et de créer et d’organiser des raccourcis, afin de faciliter la navigation dans les menus. C’est une toute première étape.

Dans ce chapitre, le point de départ est la notion d’organisation et de gouvernance dans Azure. Tous les concepts, quels qu’ils soient, sont adossés à cette notion de gouvernance. Tout le début du chapitre est consacré à ce sujet majeur, au cœur de toute l’infrastructure Azure. Puis viennent la présentation et l’explication de la convention de nommage des ressources puis de la politique d’étiquettes. Enfin, il va être temps de créer une première ressource.

Dans la suite du chapitre, les concepts de base sont expliqués : comment mieux protéger ses ressources et éviter une suppression accidentelle ? Que sont les RBAC (contrôle d’accès basé sur un rôle) et que permettent-ils ? Ou même comment choisir sa région d’appartenance, la région sur laquelle déployer ses ressources Azure ?

Puis le chapitre se poursuit par une simulation de calcul des coûts engendrés par le déploiement d’une ressource ou d’un service (ensemble de ressources par exemple).

Le sujet...

Gouvernance

La gouvernance Azure désigne l’ensemble des stratégies, des méthodes et de l’organisation qui permettent de gérer les ressources, la sécurité et la conformité dans l’environnement Azure. C’est une définition assez générique. Derrière cette définition, il y a une organisation assez cadrée et que l’on retrouve souvent sous le terme CAF ou Cloud Adoption Framework (cadre d’adoption du cloud). Le terme est assez rarement utilisé en Français. Il faut donc retenir ce terme de CAF !

Le CAF, c’est un ensemble de bonnes pratiques et de recommandations qu’il faut essayer d’adapter (et d’adopter) dans le cadre de l’entreprise. Lorsque l’on arrive sur le cloud, c’est la partie la plus facile, rien n’existe, respecter les bonnes pratiques dès le départ est une règle de bon sens. Lorsque l’on est déjà sur le cloud et que l’on n’a pas forcément respecté les recommandations, c’est un peu plus difficile, voire beaucoup plus difficile. Plus le temps passé hors d’une implémentation conforme au CAF est élevé, plus les charges de remédiation vont l’être également. Mais la bonne pratique à la cible, c’est qu’il faut essayer de se rapprocher le plus possible de ce Framework.

Ce n’est pas une notion purement technique, mais plutôt un cadre organisationnel. Il y a assez peu de composants pour déployer ce socle de base de la gouvernance. Sous sa forme la plus simple, on retrouve des groupes de managements appelés groupe de gestion (ou Management groups), des abonnements (ou subscriptions). Ce sont deux types de conteneurs organisationnels qui ne sont pas à proprement parler des ressources Azure. Ces conteneurs ne sont pas facturés, ils servent à organiser (gouverner) les environnements.

Si au départ, ce n’est pas un point technique, ne pas s’appuyer sur l’arborescence de ces conteneurs rend l’utilisation d’Azure beaucoup plus compliquée. Il n’est pas inutile de le dire plusieurs fois tellement ce point est structurant Avec...

Convention de nommage

Ce point sur la convention de nommage ainsi que la section suivante consacrée à l’étiquetage des ressources sont des sujets sur lesquels on ne passe pas assez de temps lorsque l’on découvre Azure. Pourtant, ils sont au centre de l’organisation des ressources et apportent beaucoup.

Il faut être exigeant sur le sujet. Le cloud offre des mécanismes de délégation et étant donné la facilité des déploiements, il permet de déléguer rapidement des opérations. Une convention de nommage doit être proposée pour garantir une plus grande homogénéité et rendre l’identification d’un composant plus facile.

Il est tout à fait possible de partir de zéro et de créer sa propre convention de nommage. Il existe différentes propositions sur Internet pour simplifier cette tâche. Dans cet ouvrage, la convention retenue est celle proposée par l’éditeur Microsoft à l’adresse https://docs.microsoft.com/fr-fr/azure/cloud-adoption-framework/ready/azure-best-practices/resource-naming, puis à cette adresse https://docs.microsoft.com/fr-fr/azure/cloud-adoption-framework/ready/azure-best-practices/resource-abbreviations. Elle est simple à mettre en œuvre et couvre de très nombreux besoins.

Les propositions faites dans ce lien...

Étiquettes

L’étiquette vient en renfort de la convention de nommage mais son utilité est différente. Elle est composée de deux parties : son nom et sa valeur. Par exemple, l’étiquette nommée Environnement peut être de valeur Prod, Dev ou Test.

On parle souvent de couple Nom/Valeur. Une étiquette ne peut porter qu’une seule valeur à la fois et le nom est unique sur une même ressource. Une ressource X est étiquetée Environnement:Prod mais elle ne peut être étiquetée en plus Environnement:Dev. Par contre, une ressource peut porter plusieurs étiquettes dont le nom est différent, par exemple Environnement:Prod, Sauvegarde:Oui.

Une ressource bien nommée n’aura pas besoin d’être "surchargée" par une étiquette, en revanche elle aura besoin d’être complétée d’autres informations. L’exemple suivant vient clarifier cette notion de surcharge inutile mais explique aussi comment une étiquette vient ajouter des informations utiles et complémentaires.

Nom de la ressource : Vmsqlcluster001. Soit une machine virtuelle 001 avec SQL dans un cluster. Étiqueter cette ressource de la manière suivante est inutile : Type:VMSQL.

Nul besoin de repréciser que cette VM est de type SQL puisque la convention de nommage...

Groupes de ressources

Avant de pouvoir créer une ressource Azure, il est obligatoire de créer un conteneur pour héberger cette ressource. Ce conteneur est appelé Groupe de ressources. C’est une ressource très particulière qui ne sert qu’à regrouper d’autres ressources.

Si le groupe de ressources n’est pas créé en prérequis au déploiement, la ressource en cours de création propose de le faire avant de pouvoir continuer. Il ne sera pas possible de valider et de terminer les actions sans cela.

Il est pourtant préférable de le faire avant de démarrer un nouveau déploiement. Il y a quelques bonnes pratiques à respecter sur le sujet. Ce conteneur permettra de regrouper les ressources, par exemple, un groupe de ressources pour une application de production. Toutes les ressources de l’application sont dans ce conteneur. Cela permet ensuite de positionner les droits d’administration sur ce même conteneur.

La création ne demande que très peu de paramètres.

 Depuis le portail Azure https://portal.azure.com/, sélectionnez Groupes de ressources. Si ce raccourci n’est pas présent dans le menu, effectuez une recherche dans le champ de recherche du portail avec le terme groupe puis sélectionnez Groupes de ressources.

 Choisissez + Créer. L’écran de création...

Verrous

Une ressource créée sera supprimée si elle ne sert plus. La suppression et une action simple mais avec un écran de double validation. C’est un premier niveau de sécurité.

images/03RI06N.png

Entrez le nom du compte de stockage pour confirmer la suppression

Sur le modèle de la section Groupes de ressources de ce chapitre, il faut créer un nouveau groupe de ressources nommé rg-formation-eni-supp.

Puis il faut supprimer ce groupe de ressources.

 Dans le menu haut, sélectionnez Supprimer le groupe de ressources.

 Sur l’écran de validation, renseignez le nom complet, c’est une sécurité, une double validation pour valider la suppression, ici rg-formation-eni-supp.

 L’icône de suppression passe en surbrillance, elle n’est plus grisée. Cliquez sur Supprimer.

C’est une action anodine mais il peut y avoir une mauvaise interprétation de ce qui est demandé, une erreur ou une mauvaise manipulation. La double validation n’est pas toujours suffisante, l’administrateur en charge de l’action peut se tromper.

Ici, ce n’est plus anodin. La suppression du conteneur (le groupe de ressources) supprime l’ensemble des éléments contenus à l’intérieur, par exemple une application critique pour l’entreprise. Pour éviter cette catastrophe, il faut utiliser...

RBAC

La gestion des contrôles d’accès se nomme RBAC sur Azure (Role-Based Access Control ou contrôle d’accès en fonction du rôle Azure). Cette gestion est complète (un livre entier ne suffirait pas à faire le tour du sujet) mais facile à mettre en œuvre. Pour l’instant, la simple connaissance du sigle RBAC est suffisante. Le chapitre Identité et accès présentera plus en détail ce point.

Région Azure

Une région est l’endroit où sont positionnés les bâtiments qui hébergent les machines du centre de données, c’est-à-dire l’emplacement physique. À la date de l’écriture de cet ouvrage, il existe plus de soixante régions Azure et une feuille de route qui prévoit d’autres ouvertures de régions. C’est une répartition à l’échelle mondiale.

Pour la France, il existe deux régions : Azure France Centre et France Sud.

Lors du choix de la région, quatre règles au moins sont à prendre en compte. Elles permettent de faire un choix cohérent qui répondra au mieux aux besoins de l’entreprise.

  • Quelles sont les contraintes pour la résidence des données ? Les règles RGPD sont incontournables dans l’Union européenne. Il peut y avoir également quelques règles de conformité à respecter selon le secteur d’activité. C’est certainement le choix le plus structurant. Déployer une application qui par sa résidence géographique ne répondra pas à des contraintes légales est une faute. Ce choix est à placer en premier dans la liste, il doit être respecté.

  • Les services qui doivent être déployés sont-ils disponibles dans...

Calculatrice Azure

Le chapitre Les coûts sera consacré à la maîtrise et à l’optimisation des coûts. Cependant, à partir du chapitre suivant, pour accompagner la partie théorique, le déploiement de ressources sera la base de tous les exercices. Il est important de comprendre comment ces déploiements vont impacter les coûts.

La calculatrice Azure est l’outil indispensable pour cette estimation, disponible à cette adresse : https://azure.microsoft.com/fr-fr/pricing/calculator/

Elle permet d’estimer facilement le coût d’une ressource unitaire et de ressources liées. Une machine virtuelle plus des disques de données attachés.

Voici quelques exemples d’estimations et de la façon dont il est possible d’influer sur les prix.

 Depuis la calculatrice disponible à l’adresse https://azure.microsoft.com/fr-fr/pricing/calculator/, sélectionnez Ordinateurs virtuels. Par défaut, sur le navigateur de l’auteur, le choix est positionné sur un modèle D2 v3 sur la région West US. Cette sélection peut être différente sur votre calculatrice.

 Vous pouvez positionner les mêmes options ou conserver les options proposées, cela ne posera pas de problème pour l’exercice.

 Dans la partie tout en bas à droite de l’écran, il est possible de choisir la monnaie utilisée pour la simulation ; ici, basculez en Euro (€) (la monnaie par défaut est le dollar ($)).

 Comparez la vue dans l’impression écran ci-dessous avec la vue que vous venez de créer....

Redondance

La redondance est une solution pour améliorer la disponibilité des services et ressources Azure. En s’assurant qu’il n’y a pas (ou le moins possible) de points de défaillance uniques. Voici quelques exemples et bonnes pratiques pour éviter ce genre de situation :

  • déployer son application sur plusieurs régions ;

  • si l’application est sensible, héberger cette application sur plus d’une machine virtuelle et placer ces machines derrière un équilibreur de charge. Il contrôle l’état d’intégrité et distribue les requêtes uniquement sur les machines qu’il considère en bonne santé ;

  • activer la géoréplication pour les bases de données ;

  • sélectionner une redondance de zone ou une redondance géographique pour les comptes de stockage (sujet traité en détail dans la section Sécurité du stockage du chapitre Le stockage).

Ce ne sont que quelques-unes des possibilités offertes par le cloud. Évidemment, ces choix seront guidés par des critères de criticité. Redonder ses composants, c’est augmenter ses coûts d’exploitation. S’il y a un intérêt certain à géorépliquer une base de données sensible, ce n’est pas nécessaire sur une base...

Contexte général

Pour finir ce chapitre, un rappel du contexte général. Opérer un cloud, c’est travailler dans un contexte, une hiérarchie. Et surtout, c’est utiliser un modèle (le CAF) éprouvé. Il a beaucoup évolué ces dernières années, mais est maintenant plutôt abouti.

Tenant, abonnement, MG, organisation, gouvernance, etc. Voilà des questions qui reviennent inlassablement dans les discussions ou les questions que se pose le débutant Azure et auxquelles il faut donner un sens, ce qui a été fait dans ce chapitre. Maintenant que tous ces concepts sont assimilés, direction les identités et les accès dans le chapitre suivant.

Cette notion peu technique est, comme déjà partagé un peu plus haut, le cœur du sujet. Sans cela, l’expérience cloud Azure n’est plus tout à fait la même !