Cas concrets
Introduction
En tant que Cloud Solution Architect Azure et ancien Microsoft MVP (Most Valuable Professional), j’ai pu, durant ces dernières années, aborder avec différents clients les problématiques techniques auxquelles ils étaient confrontés. J’ai proposé des solutions, qui parfois ont été retenues, d’autres fois non. La concurrence avec Amazon AWS reste rude, mais Microsoft crée régulièrement de nouveaux services pour être très compétitif. Ce n’est pas un hasard si depuis quelques années, la part de marché de Microsoft dans les technologies du Cloud croît plus fortement que celle du leader Amazon. La puissance commerciale de la firme de Redmond est indéniable et lui permet de rattraper, petit à petit, son retard.
Un des avantages de Microsoft est sa position historique dans les entreprises, y compris du côté des infrastructures serveur. Un exemple concret est la sortie du système d’exploitation Windows Server 2019 et le programme Azure Hybrid Use Benefit : l’entreprise peut utiliser la même licence de l’édition Datacenter dans son réseau local et dans Azure. Le taux de calcul (donc l’économie potentielle) est cette fois basé sur l’utilisation d’une machine virtuelle Linux dans Azure, soit une économie finale d’environ 30 %.
Je décris dans ce chapitre trois dossiers importants sur lesquels j’ai eu l’opportunité de travailler, ainsi qu’un retour d’expérience (RETEX) d’un client :
RETEX : témoignage anonyme d’un client ayant subi une cyberattaque.
« Je me suis pris un camion en pleine face. Songez, j’étais responsable de 250 postes de travail, d’une quinzaine de serveurs...
Une infrastructure hautement disponible
Avant d’intégrer Microsoft en tant que formateur puis Cloud Solution Architect, j’étais P-Seller dans une SSII. Microsoft me contactait régulièrement pour me proposer d’effectuer des avant-ventes auprès de ses clients. Les avantages pour le P-Seller sont multiples : je ne porte pas le discours Microsoft mais bien un discours indépendant et surtout je mets en place l’infrastructure que j’ai définie avec le client. Il n’y a donc plus d’écart entre ce qui est vendu et ce qui est effectivement mis en place…
C’est dans ce cadre qu’un AM (Account Manager) Microsoft me contacta pour me proposer une avant-vente avec un prospect souhaitant principalement externaliser la maintenance en condition opérationnelle de ses applications critiques : financières et de gestion des relations avec les clients CRM (Customer Relationship Management). Dans ce cas-là, la priorité est de proposer un niveau de disponibilité du système d’information sans faille.
Le SPOF (Single Point Of Failure) se situe bien souvent au niveau de l’interconnexion entre le réseau du client et le Cloud public Azure. À cette époque, Microsoft proposait, via son programme bêta, la possibilité de créer une réplication interrégion des machines virtuelles hébergées dans Azure. Expliqué plus simplement : des machines virtuelles à Amsterdam (Europe de l’Ouest) sont répliquées à Dublin (Europe du Nord), ainsi, si le datacenter de Dublin était indisponible (rupture de la normalité, etc.), un basculement serait déclenché manuellement pour que les utilisateurs accèdent à ces ressources depuis Amsterdam.
1. Création...
La DSI dans Azure
La DSI d’une grande marque de produits cosmétiques m’a contacté avec une problématique simple : des services internes du groupe possédant un abonnement Azure (MSDN, CSP…) avaient créé des ressources dans le Cloud public de Microsoft et avaient demandé à la DSI de les gérer… après coup. Dans le même temps, des partenaires de l’entreprise (solutions de sauvegarde, de gestion des notes de frais, etc.) proposant des logiciels en mode PaaS Azure souhaitaient interconnecter leurs environnements avec la DSI de l’entreprise.
L’objectif pourrait se résumer ainsi : comment intégrer des projets Cloud avec les standards de l’entreprise, tels que la couche antivirus, supervision ou sauvegarde ?
1. Hub and Spoke
La réponse que j’ai rédigée et qui a été retenue fut basée sur l’architecture Hub and Spoke de Microsoft, le Hub étant un réseau virtuel Azure formant le point d’entrée (et de sortie) de votre réseau local. Les membres spokes sont quant à eux aussi des réseaux virtuels contenant des ressources Azure liées au Hub (service VNet peering) et qui peuvent être utilisés pour isoler ou gérer les services partagés.
Les services partagés contenus dans le Hub peuvent être un Azure Load Balancer, une Application Gateway, un cluster Kubernetes, le service DNS, un contrôleur de domaine, etc. Les économies sont donc substantielles, car les spokes consommeront les services du Hub sans nécessiter de déploiement de services dédiés.
L’interconnexion entre le réseau local et le Hub est possible via une passerelle ExpressRoute ou VPN site à site. Si la DSI a besoin d’une relation unidirectionnelle...
Une sauvegarde très… délicate
Je suis contacté en plein été pour valider une architecture de sauvegarde Veeam dans Azure, mise en place pour un de nos clients. Depuis son réseau local, le client externalise la sauvegarde de ses postes de travail, serveurs physiques et virtuels, vers une machine virtuelle Azure sur laquelle est installée la solution Veeam Cloud Connect.
Le schéma de la solution est présenté comme suit :
La bonne pratique en matière de politique de sauvegarde est de conserver trois copies différentes des données, sur deux médias différents (disque dur externe, bande de sauvegarde) ainsi qu’une copie dans un Cloud privé ou public mais dans tous les cas hors site. Une fois cette règle 3-2-1-1 mise en place, il est nécessaire d’effectuer un test de restauration pour valider l’efficience de la solution.
Concernant l’infrastructure mise en place pour ce client, cette règle n’était pas respectée. Le client externalisait sa sauvegarde dans Azure, sans aucune autre copie. J’ai donc recommandé de conserver une copie locale des données et de sauvegarder la machine virtuelle Azure VCC contenant la sauvegarde. De plus, la taille de cette machine virtuelle ne permettait pas d’ajouter des disques supplémentaires pour répondre efficacement à une augmentation du volume de la sauvegarde. Suite à mes recommandations, il a été décidé d’augmenter la taille de la machine virtuelle mais de ne pas la sauvegarder.
Quelques mois plus tard, après que Microsoft nous a prévenu d’une maintenance planifiée sur Azure, la machine virtuelle VCC a redémarré et… les disques de données contenant les sauvegardes ont été corrompus :...