Concepts de base
Introduction
Dans les chapitres précédents, nous avons vu comment créer une machine virtuelle et l’insérer dans un groupe de ressources. Néanmoins, celle-ci s’appuie sur un compte de stockage, un réseau virtuel et bien d’autres services nécessaires à son fonctionnement. Tout propriétaire d’un abonnement doit pouvoir appréhender facilement les concepts de base utilisés dans Azure, ceux-ci lui seront utiles lors de l’administration quotidienne de la plateforme. Ce chapitre aborde ces concepts.
Convention de nommage
Choisir un nom cohérent pour désigner une ressource Azure est important, car il est difficile de le modifier par la suite, et au vu du nombre de services proposés par le Cloud de Microsoft (plus d’une centaine), une convention de nommage s’avère bien souvent indispensable. La recherche d’une ressource est dans ce cas facilitée. Il est recommandé d’utiliser des préfixes (début) ou des suffixes courants (fin) pour identifier la ressource.
Par exemple, pour identifier une machine virtuelle supportant une base de données SQL dans un environnement dev et dans une région Azure France, saisissez comme nom dev-vm-sql-name01-fr en ajoutant en affixe l’environnement. Si plusieurs machines virtuelles supportaient la même application, il suffirait de rajouter 01, 02, etc.
Voici quelques abréviations utilisées couramment :
-
Groupe de ressources = rg (resource group)
-
Groupe à haute disponibilité = as (availability set)
-
Compte de stockage = data
-
Réseau virtuel = vnet
-
Interface réseau = nic
-
Groupe de sécurité réseau = nsg (network security group)
-
Equilibreur de charge = lb (load balancer)
-
Azure Application Gateway = agw
Il est aussi conseillé d’utiliser les étiquettes (décrites dans le chapitre précédent) pour identifier précisément une ressource ainsi que son propriétaire.
Microsoft propose d’utiliser une convention de nommage propre à Azure et adaptable aux conventions propres à chaque client, via le site ci-dessous : https://learn.microsoft.com/fr-fr/azure/cloud-adoption-framework/ready/azure-best-practices/naming-and-tagging
Groupe de ressources
Nous l’avons vu dans le chapitre Interfaces d’exploitation, le modèle Resource Manager inclut des fonctionnalités telles que la balise, le modèle RBAC et… le groupe de ressources. Grâce à ce dernier, les ressources d’un même projet (ou client) sont déployées dans un ordre précis, puis regroupées dans le même groupe. Celui-ci peut se voir attribuer une délégation des droits particuliers et des balises à des fins de facturation. Un groupe de ressources appartient à un abonnement. Chaque ressource ne peut être membre que d’un seul groupe de ressources, quelle que soit sa région, et elle peut être déplacée à tout moment vers un autre groupe, puis supprimée au besoin. En résumé, un groupe de ressources est la limite logique théorique des actions permises à un propriétaire désigné.
Dans pratiquement tous les cas de création d’une ressource (machine virtuelle, compte de stockage, réseau virtuel, Web App, etc.), un groupe de ressources est nécessaire à son fonctionnement. Enfin, sachez qu’un groupe de ressources a une structure plate, il ne peut pas être imbriqué dans un autre groupe de ressources.
Nous allons créer un groupe de ressources :
Dans le panneau d’actions situé à gauche de l’interface, cliquez sur Groupes de ressources, puis sur Créer. Saisissez son nom (dans notre exemple RG-livreazure), l’abonnement à utiliser pour l’héberger, ainsi que sa région (dans notre cas West Europe).
Cliquez sur le bouton Vérifier + créer puis sur le bouton Créer.
Il est possible d’épingler le groupe de ressources au tableau de bord en sélectionnant...
Machine virtuelle
Une machine virtuelle, ou VM (Virtual Machine), dans Azure est l’équivalent des machines virtuelles qui se trouvent hébergées sur un site On-Premise, à ceci près que les différentes couches la composant (virtualisation, stockage, réseau) ne sont pas directement gérables dans le Cloud Microsoft. Cela a son importance car l’administrateur n’a pas accès à toutes les fonctionnalités de l’infrastructure sous-jacente. Par exemple, la console de virtualisation ne sera pas disponible.
Pour qu’une machine virtuelle soit hébergée dans Azure, il faut que son image soit choisie dans le Marketplace (Windows ou Linux), ou bien importée depuis un disque virtuel VHD spécialement conçu.
Une machine virtuelle, en mode Resource Manager, doit obligatoirement faire partie d’un groupe de ressources, être hébergée dans un compte de stockage, être connectée à un réseau virtuel, avoir ses métriques stockées dans un autre compte de stockage et bien entendu faire partie d’une région Azure.
Nous avons détaillé dans le chapitre Interfaces d’exploitation - Azure Marketplace - Installation d’un système d’exploitation comment créer une machine virtuelle, mais pas la manière de s’y connecter. Voici la procédure pour ouvrir une session Bureau à distance sur une machine virtuelle démarrée et pourvue du système d’exploitation Microsoft Windows :
Cliquez sur Machines virtuelles dans le menu de gauche, puis sur vm-w2k16. Si la machine est arrêtée, cliquez sur Démarrer. Cliquez ensuite sur Connecter puis sur RDP et enfin sur le bouton Télécharger le fichier RDP. Le fichier vm-w2k16.rdp est proposé en ouverture...
Disque managé
Afin de simplifier la gestion des disques virtuels des machines virtuelles Azure, Microsoft offre à ses clients d’utiliser des Managed Disks (ou disques managés). La taille et les performances (Premium SSD, Standard SSD, Standard HDD ou Ultra Disk) sont gérées par Azure en arrière-plan. Les disques managés sont l’équivalent d’un disque physique sur un serveur, mais virtualisé comme un disque dur virtuel. L’administrateur spécifie la taille de disque ainsi que son type, et quelques secondes plus tard, le disque est disponible.
Auparavant, l’administrateur devait créer des comptes de stockage dédiés à la prise en charge des disques (fichiers de disques durs virtuels) et gérer manuellement les montées en puissance. De plus, chaque compte de stockage possédait des URL pour accéder à ses différents services, tels que Blob, Table, File d’attente, etc. Vous l’aurez compris, posséder une machine virtuelle avec un disque dur virtuel vhd accessible potentiellement depuis Internet était une faille de sécurité potentielle.
Désormais, un disque non accessible depuis Internet sera utilisé pour créer votre machine virtuelle, et vous pourrez posséder jusqu’à 50 000 disques par abonnement, en fonction du type (SSD ou standard).
Les disques managés assurent une disponibilité de 99,999 % mais… sans SLA associé. Le SLA pris en compte par Microsoft est celui de la machine virtuelle ou du stockage virtuel sous-jacent. Chaque machine virtuelle a au moins un disque managé hébergeant le système d’exploitation, et vous pouvez ajouter, en fonction de la taille de la machine virtuelle, des disques managés hébergeant les données.
La capture...
Compte de stockage
Un grand nombre de ressources Azure nécessitent un compte de stockage (ou Azure Storage) pour fonctionner : une base de données, des sauvegardes, des journaux d’événements… Un compte de stockage fournit un espace sécurisé pour stocker les données du client. Le temps de disponibilité minimal est de 99,9 %. Sa limite d’espace est de 5 Pétatoctets, ce qui permet d’envisager sereinement des scénarios de Big Data ou de diffusion de contenus multimédias. En fonction du type de compte de stockage retenu, le client ne paie que l’espace consommé et les opérations qu’il effectue sur les disques, ou bien l’espace provisionné d’un disque entier à l’aide d’un disque managé. Évolutif, le compte de stockage alloue automatiquement les ressources appropriées en fonction de la montée en charge détectée.
Vous pouvez y accéder via différents scénarios, depuis :
-
un poste de travail muni d’un navigateur ;
-
une application installée localement ;
-
un appareil mobile ;
-
un langage de programmation tel que .NET, C++ ;
-
des API REST ;
-
des machines virtuelles ;
-
des partages ;
-
une base de données ;
-
etc.
Une bonne pratique est de créer au moins deux comptes de stockage dans un abonnement : l’un pour stocker les sauvegardes, le second pour archiver les journaux d’activité.
La création d’un compte de stockage s’effectue depuis le portail :
Dans votre navigateur internet, saisissez l’adresse du portail : https://portal.azure.com. Utilisez l’identifiant et le mot de passe créés précédemment lors de la souscription à l’offre gratuite ou bien ceux que vous possédez...
Réseau virtuel ou VNet
Dans Microsoft Azure, un réseau virtuel, ou VNet (Virtual Network), est la continuité du réseau physique de l’entreprise, mais dans le Cloud. L’espace d’adressage (réseau et sous-réseaux), la résolution DNS, le routage et bien d’autres paramètres peuvent être définis. Il est aussi possible de créer une connectivité permanente (VPN site à site, ExpressRoute) ou temporaire (VPN point à site) d’un site On-Premise vers Azure.
Un VNet contient un espace d’adressage pouvant contenir jusqu’à 33 554 427 adresses IP (/7) non routables (192.168, 10.0, 172.16) ou routables (RFC 1918). Sa taille est modifiable à tout moment, ce qui n’est pas le cas des sous-réseaux qui le composent. Un VNet contient toujours au moins un sous-réseau.
Un VNet est par défaut totalement isolé des autres VNet d’un abonnement, et peut être segmenté pour héberger dans des sous-réseaux les environnements de production, de préproduction ou encore de développement. Cette segmentation permet à des machines virtuelles Azure ou à des instances PaaS telles que SQL de communiquer entre elles facilement, et d’avoir accès au réseau internet. À l’aide de groupes de sécurité réseau (équivalents à des pare-feu réseau), les flux entrants et sortants des ressources peuvent être contrôlés.
Un abonnement peut héberger 1 000 réseaux virtuels par région, chacun supportant 3 000 sous-réseaux, 20 serveurs DNS et 65 536 adresses IP privées. Ces limites ne peuvent pas être augmentées en contactant le support Microsoft.
La création d’un réseau virtuel Azure est gratuite, mais...
Key Vault
Le client est partie prenante du processus de sécurité initié par Microsoft sur son infrastructure Cloud. Pour l’accompagner, Microsoft propose le service Key Vault. Basé sur des modules de sécurité matérielle (ou Hardware Security Module) conformes à la norme FIPS 140-2 level 2, Key Vault (ou coffre-fort) offre à l’administrateur un moyen de sécuriser les clés de chiffrement, les mots de passe des machines virtuelles, les certificats PFX (Personal Information Exchange) et les deux clés de compte de stockage, dans Azure, grâce à un coffre-fort numérique.
Les développeurs peuvent créer leurs propres jeux de clés pour les environnements de développement, puis les migrer simplement dans un environnement de production.
Le coffre est accessible via le protocole sécurisé HTTPS et le sous-domaine vault.azure.net.
New-AzKeyVault -VaultName "nomcoffre" -ResourceGroupName
"livreazure" -Location "west europe"
Notez l’URL du coffre, dans notre exemple, https://nomcoffre.vault.azure.net/.
Imaginons un instant qu’un développeur vous demande de sauvegarder une clé dont il se sert pour accéder à son programme développé dans Azure : le coffre étant vide de toute clé, vous allez en ajouter une. Fournir l’accès...
Points essentiels à retenir
Blob
-
Donnée non structurée, telle qu’un document, une musique, une vidéo ou un programme.
-
Utilisé par les machines virtuelles et les disques VHD via l’utilisation d’un disque géré.
-
Accessible depuis l’URL : https://nomcomptedestockage.blob.core.windows.net/container/blob
Compte de stockage
-
Limite d’espace de 5 Po.
-
Peut héberger des objets blob (Blob Storage), des tables (Table Storage), des files d’attente (Queue Storage) ou des fichiers partagés (File Storage).
-
SLA minimal de 99,9 %.
Groupe de ressources
-
Regroupe dans un conteneur les ressources Azure.
-
Chaque ressource ne peut être membre que d’un seul groupe de ressources.
Groupe de sécurité réseau ou NSG
-
Équivalent d’un pare-feu réseau (flux entrant et sortant).
-
5000 NSG par région Azure.
-
Il ne peut y avoir deux règles avec la même priorité, afin d’éviter les conflits.
Machine virtuelle
-
Équivalent d’une machine virtuelle On-Premise, mais dans Azure.
-
Supporte les systèmes d’exploitation Windows, Linux et Unix avec une architecture 32 ou 64 bits.
-
Disque virtuel au format VHD.
Objets blob d’ajout
-
Type d’objet usité lorsqu’il y a fréquemment des opérations d’ajout.
Objets blob de blocs
-
Utile pour la diffusion en continu de musiques ou de vidéos (streaming), mais aussi pour stocker des documents, des sauvegardes…
Objets blob de pages
-
Taille maximale de 8 To.
-
Supporte les données des disques des machines virtuelles.
Stockage froid
-
Gère les données froides (anciennes).
-
Coût inférieur à celui d’un compte de stockage classique.
-
Disponibilité de 99 %.
Réseau virtuel
-
Continuité du réseau physique de l’entreprise, mais dans...