Concepts de base
Introduction
Les exercices du chapitre précédent ont permis de prendre en main le portail de gestion et de créer et d’organiser des raccourcis, afin de faciliter la navigation dans les menus.
Dans ce chapitre, après la présentation et l’explication de la convention de nommage des ressources puis de la politique d’étiquettes, il va être temps de créer une première ressource.
Dans la suite du chapitre, les concepts de base sont expliqués : comment mieux protéger ses ressources et éviter une suppression accidentelle ? Que sont les RBAC (contrôle d’accès basé sur un rôle) et que permettent-ils ? Ou même comment choisir sa région d’appartenance ?
Puis le chapitre se poursuit par une simulation de calcul des coûts engendrés par le déploiement d’une ressource ou d’un service (ensemble de ressources par exemple).
Le sujet important de la redondance vient clore ce chapitre.
Ces sujets doivent être abordés afin de passer sereinement à la suite. Ce chapitre est dense et aborde de nombreuses notions essentielles utiles pour le démarrage. Il demande une bonne lecture pour être assimilé. Il se prête assez peu aux exercices, il faudra passer du temps sur ces points théoriques.
Ces concepts de base ne sont pas les points les plus techniques...
La convention de nommage
Ce point sur la convention de nommage ainsi que la section suivante consacrée à l’étiquetage des ressources sont des sujets sur lesquels on ne passe pas assez de temps lorsque l’on découvre Azure. Pourtant, ils sont au centre de l’organisation des ressources et apportent beaucoup.
Il faut être exigeant sur le sujet. Le Cloud offre des mécanismes de délégation et étant donné la facilité des déploiements, il permet de déléguer rapidement des opérations. Une convention de nommage doit être proposée pour garantir une plus grande homogénéité et rendre l’identification d’un composant plus facile.
Il est tout à fait possible de partir de zéro et de créer sa propre convention de nommage. Il existe différentes propositions sur Internet pour simplifier cette tâche. Dans cet ouvrage, la convention retenue est celle proposée par l’éditeur Microsoft à l’adresse https://docs.microsoft.com/fr-fr/azure/cloud-adoption-framework/ready/azure-best-practices/resource-naming, puis à cette adresse https://docs.microsoft.com/fr-fr/azure/cloud-adoption-framework/ready/azure-best-practices/resource-abbreviations. Elle est simple à mettre en œuvre et couvre de très nombreux besoins.
Les propositions faites dans ce lien...
Les étiquettes
L’étiquette vient en renfort de la convention de nommage mais son utilité est différente. Elle est composée de deux parties : son nom et sa valeur. Par exemple, l’étiquette nommée Environnement peut être de valeur Prod, Dev ou Test.
On parle souvent de couple Nom/Valeur. Une étiquette ne peut porter qu’une seule valeur à la fois et le nom est unique sur une même ressource. Une ressource X est étiquetée Environnement:Prod mais elle ne peut être étiquetée en plus Environnement:Dev. Par contre, une ressource peut porter plusieurs étiquettes dont le nom est différent, par exemple Environnement:Prod, Sauvegarde:Oui.
Une ressource bien nommée n’aura pas besoin d’être "surchargée" par une étiquette, en revanche elle aura besoin d’être complétée d’autres informations. L’exemple suivant vient clarifier cette notion de surcharge inutile mais explique aussi comment une étiquette vient ajouter des informations utiles et complémentaires.
Nom de la ressource : Vmsqlcluster001. Soit une machine virtuelle 001 avec SQL dans un cluster. Étiqueter cette ressource de la manière suivante est inutile : Type:VMSQL.
Nul besoin de repréciser que cette VM est de type SQL puisque la convention de nommage...
Les groupes de ressources
Avant de pouvoir créer une ressource Azure, il est obligatoire de créer un conteneur pour héberger cette ressource. Ce conteneur est appelé Groupe de ressources. C’est une ressource très particulière qui ne sert qu’à regrouper d’autres ressources.
Si le groupe de ressources n’est pas créé en prérequis au déploiement, la ressource en cours de création propose de le faire avant de pouvoir continuer. Il ne sera pas possible de valider et de terminer les actions sans cela.
Il est pourtant préférable de le faire avant de démarrer un nouveau déploiement. Il y a quelques bonnes pratiques à respecter sur le sujet. Ce conteneur permettra de regrouper les ressources, par exemple, un groupe de ressources pour une application de production. Toutes les ressources de l’application sont dans ce conteneur. Cela permet ensuite de positionner les droits d’administration sur ce même conteneur.
La création ne demande que très peu de paramètres.
Depuis le portail Azure https://portal.azure.com/, sélectionnez Groupes de ressources. Si ce raccourci n’est pas présent dans le menu, effectuez une recherche dans le champ de recherche du portail avec le terme groupe puis sélectionnez Groupes de ressources.
Choisissez + Créer. L’écran...
Les verrous
Une ressource créée sera supprimée si elle ne sert plus. La suppression et une action simple mais avec un écran de double validation. Sur le modèle de la section Les groupes de ressources de ce chapitre, il faut créer un nouveau groupe de ressources nommé rg-formation-eni-supp.
Puis il faut supprimer ce groupe de ressources.
Dans le menu haut, sélectionnez Supprimer le groupe de ressources.
Sur l’écran de validation, renseignez le nom complet, c’est une sécurité, une double validation pour valider la suppression, ici rg-formation-eni-supp.
L’icône de suppression passe en surbrillance, elle n’est plus grisée. Cliquez sur Supprimer.
C’est une action anodine mais il peut y avoir une mauvaise interprétation de ce qui est demandé, une erreur ou une mauvaise manipulation. La double validation n’est pas toujours suffisante, l’administrateur en charge de l’action peut se tromper.
Ici, ce n’est plus anodin. La suppression du conteneur (le groupe de ressources) supprime l’ensemble des éléments contenus à l’intérieur, par exemple une application critique pour l’entreprise. Pour éviter cette catastrophe, il faut utiliser les verrous. Le verrou est un mécanisme supplémentaire de protection. Il existe deux niveaux pour les verrous :...
RBAC
La gestion des contrôles d’accès se nomme RBAC sur Azure (Role-Based Access Control ou contrôle d’accès en fonction du rôle Azure). Cette gestion est complète (un livre entier ne suffirait pas à faire le tour du sujet) mais facile à mettre en œuvre. Pour l’instant, la simple connaissance du sigle RBAC est suffisante. Le chapitre Identité et accès présentera plus en détail ce point.
Région Azure
Une région est l’endroit où sont positionnés les bâtiments qui hébergent les machines du centre de données, c’est-à-dire l’emplacement physique. À la date de l’écriture de cet ouvrage, il existe plus de soixante régions Azure et une feuille de route qui prévoit d’autres ouvertures de régions. C’est une répartition à l’échelle mondiale.
Pour la France, il existe deux régions : Azure France-Centre et France-Sud.
Lors du choix de la région, quatre règles au moins sont à prendre en compte. Elles permettent de faire un choix cohérent qui répondra au mieux aux besoins de l’entreprise.
-
Quelles sont les contraintes pour la résidence des données ? Les règles RGPD sont incontournables dans l’Union européenne. Il peut y voir également quelques règles de conformité à respecter selon le secteur d’activité. C’est certainement le choix le plus structurant. Déployer une application qui par sa résidence géographique ne répondra pas à des contraintes légales est une faute.
-
Où se trouvent les clients de l’application ? Du service ? Répondre à cette question, c’est aussi faire un choix de résidence...
La calculatrice Azure
Le chapitre Les coûts sera consacré à la maîtrise et à l’optimisation des coûts. Cependant, à partir du chapitre suivant, pour accompagner la partie théorique, le déploiement de ressources sera la base de tous les exercices. Il est important de comprendre comment ces déploiements vont impacter les coûts.
La calculatrice Azure est l’outil indispensable pour cette estimation, disponible à cette adresse : https://azure.microsoft.com/fr-fr/pricing/calculator/
Elle permet d’estimer facilement le coût d’une ressource unitaire et de ressources liées. Une machine virtuelle plus des disques de données attachés.
Voici quelques exemples d’estimations et de la façon dont il est possible d’influer sur les prix.
Depuis la calculatrice disponible à l’adresse https://azure.microsoft.com/fr-fr/pricing/calculator/, sélectionnez Ordinateurs virtuels. Par défaut, sur le navigateur de l’auteur, le choix est positionné sur un modèle D2 v3 sur la région West US. Cette sélection peut être différente sur votre calculatrice.
Vous pouvez positionner les mêmes options ou conserver les options proposées, cela ne posera pas de problème pour l’exercice.
Dans la partie tout en bas à droite de l’écran, il est possible de choisir la monnaie utilisée pour la simulation ; ici, basculez en Euro (€) (la monnaie par défaut est le dollar ($)).
Comparez la vue dans l’impression écran ci-dessous avec la vue que vous...
Redondance
La redondance est une solution pour améliorer la disponibilité des services et ressources Azure. En s’assurant qu’il n’y a pas (ou le moins possible) de points de défaillance uniques. Voici quelques exemples et bonnes pratiques pour éviter ce genre de situation :
-
Déployer son application sur plusieurs régions.
-
Si l’application est sensible, héberger cette application sur plus d’une machine virtuelle et placer ces machines derrière un équilibreur de charge. Il contrôle l’état d’intégrité et distribue les requêtes uniquement sur les machines qu’il considère en bonne santé.
-
Activer la géoréplication pour les bases de données.
-
Sélectionner une redondance de zone ou une redondance géographique pour les comptes de stockage (sujet traité en détail dans la section Sécurité du stockage du chapitre Le stockage).
Ce ne sont que quelques-unes des possibilités offertes par le Cloud. Évidemment, ces choix seront guidés par des critères de criticité. Redonder ses composants, c’est augmenter ses coûts d’exploitation. S’il y a un intérêt certain à géorépliquer une base de données sensible, ce n’est pas nécessaire sur une base...
Contexte général
Opérer un Cloud, c’est travailler dans un contexte, une hiérarchie. Tenant, subscription, abonnement, etc. Voilà une question qui revient inlassablement dans les discussions ou les questions que se pose le débutant Azure et à laquelle il faut donner un sens.
Il faut voir toutes ces notions comme les éléments d’une hiérarchie. Au sommet se trouve l’organisation, par exemple monorganisationptbt.fr. Dans cette organisation se trouvent un ou plusieurs abonnements ; ce peut être un abonnement Azure comme celui utilisé dans les exercices ou un abonnement de type Software as a Service (SaaS) comme la suite bureautique Office 365.
Ici, pour Office 365, différents niveaux de licences sont proposés. Il s’agit de différences de fonctionnalités ou de volume d’utilisateurs et donc des différences de coûts.
Pour l’authentification et la gestion des accès, les comptes sont stockés dans un Azure Active Directory (AAD). Un abonnement ne peut être attaché à plusieurs Azure Active Directory. AAD est l’annuaire que l’on trouve fréquemment dans les documentations sous l’appellation Azure AD Tenant.
Ces notions sont indispensables pour une bonne compréhension d’ensemble.