Pour être un bon administrateur Azure il est indispensable de savoir utiliser les principaux outillages disponibles pour gérer les infrastructures et les ressources associées . Il y en a 6 au minimum :

  • Le portail
  • Azure Powershell
  • Azure CLI
  • Cloud Shell
  • Le gestionnaire de ressources ARM
  • Les modèles ARM

Le portail azure vous permet de créer, gérer ,déployer et surveiller vos infrastructures et vos ressources dans Azure de manière simple et centralisée .

On y accède via l’url https://portal.azure.com/ .A la première connexion vous êtes invité à une visite guidée pour démarrer votre prise en main .

Visite Guidée

Une petite démo pour vous montrer comment customiser le portail .

Azure Cloud Shell est un interpréteur de commandes interactif, authentifié et accessible par navigateur qui permet de gérer les ressources Azure. Il vous donne la possibilité de choisir l’expérience d’interpréteur de commandes la plus adaptée à votre façon de travailler, qu’il s’agisse de Bash ou de PowerShell.. Les utilisateurs de Linux peuvent opter pour une expérience Bash, tandis que les utilisateurs de Windows peuvent opter pour PowerShell. Avec Cloud Shell vous pouvez travailler depuis n’importe quel support disposant d’un navigateur compatible Pc Mac Android et Ios .

Vous trouverez dans la documentation de Microsoft les principes suivants concernant le fonctionnement de cloud shell .

  • Cloud Shell s’exécute sur un hôte temporaire fourni par session et par utilisateur
  • Cloud Shell expire après 20 minutes sans activité interactive
  • Cloud Shell requiert qu’un partage de fichiers Azure soit monté
  • Cloud Shell utilise le même partage de fichiers Azure pour Bash et PowerShell
  • Cloud Shell est affecté à une machine par compte d’utilisateur
  • Cloud Shell rend $HOME persistant en conservant une image de 5 Go dans votre partage de fichiers
  • Les autorisations sont définies en tant qu’utilisateur Linux standard dans Bash

Démo configuration Cloud Shell

Azure PowerShell est conçu pour gérer et administrer des ressources Azure en ligne de commande. Utilisez Azure PowerShell lorsque vous voulez créer des outils automatisés qui utilisent le modèle Azure Resource Manager. Essayez-le dans le navigateur avec Azure Cloud Shell, ou installez-le sur votre ordinateur local.

Vous trouverez toutes les informations sur le module powershell d’azure dans la documentation . Vous trouverez pas moins d’une centaine de cmdlets pour gérer les ressources suivantes par exemple :

  • Les souscriptions
  • Les groupes de ressources
  • Les comptes de stockage
  • Les machines virtuelles
  • Les réseaux virtuels
  • Azure Active Directory

https://docs.microsoft.com/fr-fr/powershell/azure/get-started-azureps?view=azps-3.4.0

Pour vous authentifier à votre compte Azure vous pouvez utilisez la les commandes suivantes .A noter que les deux se valent .

Login-AzAccount
Connect-AzAccount

Vous êtes alors invité à vous connecter à :

https://microsoft.com/devicelogin

Suivez les instructions en vous connectant à et entrer le code qui vous est fourni puis cliquez sur suivant :

Vous obtenez cette page et vous serez invité à entre ID et mot de passe de votre compte associé pour ma part je l’avais déja fourni et donc il ne restait qu’à le choisir .

Une fois authentifié vous aurez les fenêtres suivantes :

 

Pour lister les souscriptions actives et désactivées tapez la commande :

Get-AzSubscription 

Pour ma part j’ai une active et une désactivée .

Vous ne pouvez pas travailler sur plusieurs souscriptions à la fois en mode interactif .Pour selectionner une souscription en particulier

Select-AzSubcription -SubscriptionId  iddevotresouscription

Une fois la bonne souscription selectionnée vous commencer à travailler dessus . Pour créer un nouveau groupe de ressources j’utilise la commande suivante :

New-AzResourceGroup -name az-parlonsazure-rg001 -location westeurope

Ici on voit que le paramètre ProvisionningState est à Succeeded ce qui veut dire que mon RG (Resource Group ) a bien été crée dans la région Europe de l’Ouest .

Pour supprimer le groupe de ressources il est nécessaire de le spécifier

Remove-AzResourceGroup -name az-parlonsazure-rg001 -location westeurope

Etant donné que la suppression du groupe de ressources implique la suppression de son contenu il vous est toujours demandé si vous êtes sur que vous voulez le supprimer .

Pour lister la liste des groupes de ressources de a souscription vous pouvez utiliser la commande Get-AzResourceGroup .En revanche comme sur la capture ci dessous si vous voulez supprimer un RG en particulier il faut spécifier au moins le nom et l’emplacement comme ci dessous .

Get-AzResourceGroup -name az-parlonsazure-rg001 -location westeurope

On peut effectuer toutes ces opération dans Azure CLI . Si vous n’utilisez pas Cloudshell il est nécessaire de l’installer .Quelque soit votre environnement vous trouverez comment l’installer via la documentation de Microsoft .

https://docs.microsoft.com/fr-fr/cli/azure/?view=azure-cli-latest

Pour s’authentifier

az login 

Il y a de petits changements au niveau syntaxe par rapport à Powershell mais vous pouvez utilisez –help pour obtenir de l’aide .

az group --help

Pour utiliser Az CLI dans cloudshell switchez sur bash dans le menu déroulant

Le gestionnaire de ressources Azure Resource Manager

Un groupe de ressources est un conteneur logique qui vous permet de regrouper toutes vos ressouces au seul et même endroit . Imaginez vous avez une application avec un FrontEnd un Backend une IP publique des VM des comptes de stockage et une base de données .ARM vous permet de les regrouper dans un seul et même groupe de ressources pour vous faciliter entre autre le déploiement , la gestion , la surveillance , l’accès ou encore la suppression. ARM fournit en effet des fonctionnalités de sécurité d’audit de tags que vous pouvez utiliser via le portail Azure Cli les API Rest les clients SDKS et Azure Powershell . Au delà de la maitrise du cycle de vie de vos resources ou applications vous pouvez les redéployer facilement juste en mettant à jour quelques paramètres . Vous pouvez aussi utiliser des templates pour déployer from scratch.

Les groupes de ressources respectent certaines règles

  • Chaque ressource est unique on ne peut pas avoir une même ressource qui existe dans 2 groupes différents .
  • Les ressources partagent le même cycle de vie (de la création à la suppression .
  • L’ajout et la suppression de ressources est illimitée du moment ou vous avez les bons droits .
  • Vous pouvez avoir des ressources avec différents emplacements dans un même groupe de ressource. Vous pouvez très bien avoir une VM en West Europe et une autre en North Europe
  • Les ressources peuvent être déplacés d’un groupe de ressources à l’autre .Attention certaines ne peuvent pas être déplacées .
  • Des ressources peuvent intéragir avec d’autres même s’ils sont pas dans le même groupe de ressources

Il y a une certain nombre de bonnes pratiques à mettre en place lorsqu’il s’agit de créer des goupes de ressources .

  • Appliquez des Tags pour mieux les organiser
  • Mettez des verrous pour éviter des modifications ou suppressions accidentelles
  • Controlez les accès en respectant la règle du privilège minimal
  • Appliquez les règles pour répondre aux besoins de conformité aux standards et obligations légales

Les étiquettes ( Tags)

Un tag permet une meilleure organisation des ressources . Un tag est une paire nom, valeur . Imaginez dans une souscription chaque département de votre entreprise utilise une application contenue dans un RG . Sans Tags la gestion peut être cauchemardesque surtout quand il s’agit de répartir la facturation . On peut imaginer des tags comme cela :

Nom du Tag Valeur
Créé par Ibrahima
Contact de référence ibrahima.m@demo.xyz
Poste Budgétaire R&D
Environnement MaFutureAppli – DEV
Exemple de Tags d’un RG

Quelques infos à propos des Tags

  • L’héritage ne s’applique ce n’est pas parce que vous avez taggé vos groupes de ressources que les ressources sont taggés en conséquence.
  • Dans notre exemple précédent nous avons 4 tags mais on pourrait aller jusqu’à 15 Maximum
  • Vous pouvez pas inclure dans le nom d’un tag les caractéres < > % & \ ? /
  • Vous ne pouvez pas taggué une ressource classique ( Azure Service Manager)
  • Le nom d ‘un tag est limité à 512 caractères et la valeur à 256

Les verrous de ressources Resources Locks

Les verrous de ressources ont pour objectif d’empêcher les suppressions ou les modifications accidentelles . Ils peuvent être mis en place au niveau de la souscription du groupe de ressource ou de la ressource elle même . Il y a deux formes de verrous

  • En Lecture seule ( Read-Only locks ) pour empêcher les modifications.
  • Supprimer (Delete locks) pour empêcher les suppressions.

Pour pouvoir créer et supprimer des verrous vous devez avoir au moins une des assignations de rôles suivantes :

  • User Access Administrator
  • Owner

Exemple de mise en place un verrou sur une ressource . Vous avez juste à naviguer dans la colonne de gauche cliquer sur verrous , ajouter, donner un nom , choisir un type de verrou renseigner ou non une remarque et valider par ok .

Exemple de création d’un verrou en powershell

New-AzResourceLock -LockName "ressourcecritique"  -LockLevel CanNotDelete -ResourceGroupName democloudshell

 

 

Création d’un verrou au niveau groupe de ressource

Pour supprimer une ressource qui a un verrou vous devez au préalable enlever ce verrou . Le message suivant s’affiche si le verrou n’a pas été enlevé.

Pour avoir la liste des verrous en powershell :

Get-AzResourceLock

Pour enlever un verrou en particulier il faut spécifier le nom ou l’Id du verrou

Remove-AzResourceLock -LockName "ne pas supprimer"

Azure Policy est un service d’Azure que vous utilisez pour créer, affecter et gérer des stratégies. . On reviendra plus en détails sur ce service mais Imaginez que pour des raisons légales ou de sécurité que vos données doivent être chiffrer ce qui veut dire que vous les disques non managés vous devez les chiffrer à l’aide de bitlocker si c’est du windows et dmcrypt si c’est du Linux .

Au niveau du groupe de ressource je crée une statégie je charge une définition et je clique sur vérifier et créer apèrs avoir

Ce n’est pas le cas ici mais pour certaines stratégies une correction peut être forcée et il faudrait pour cela créer une identité managée en cochant la case dans correction .

Chaque définition de stratégie dans Azure Policy a un effet unique. Cet effet détermine ce qu’il se passe lorsque la règle de stratégie est évaluée pour une mise en correspondance. 

Il y a plusieurs effets possible et vous pouvez trouver plus de détails sur chaque effet dans la documentation

https://docs.microsoft.com/fr-fr/azure/governance/policy/concepts/effects#modify

Dans un article dédié à la gouvernance dans Azure j’irais plus en profondeur dans mes explications . Vous pouvez faire un tour également dans la documentation .

https://docs.microsoft.com/fr-fr/azure/governance/policy/

Dans les principes de gestion définis par Microsoft la configuration des charges de travail correspond à 3 choses :

  • Déployer
  • Maintenir
  • Automatiser

Microsoft via les modèles ARM fournit un certain nombre de fonctionnalités .

https://docs.microsoft.com/fr-fr/azure/azure-resource-manager/templates/overview

Il y a pas moins de 840 modèles disponible dans la galerie Microsoft

https://azure.microsoft.com/fr-fr/resources/templates/

Vous pouvez aussi trouver des modèles dans Github

https://github.com/Azure/azure-quickstart-templates

Déployer une VM depuis un modèle Github

On va finir cet article par le déplacement et la suppression de ressources

Quelques considérations avant de déplacer des ressources

https://docs.microsoft.com/fr-fr/azure/azure-resource-manager/management/move-resource-group-and-subscription

Je sélectionne toutes mes ressources dans mon groupe de ressources RG-DEMO-001 et je clique sur déplacer . Ici je veux le déplacer dans un autre groupe de ressource appelé aksflight.

Je spécifie le groupe de ressource de destination je coche la case et je clique sur OK

Après quelques minutes mes ressource sont déplacées .

Attention toutes les ressources ne peuvent pas être déplacées le détail ici : https://docs.microsoft.com/fr-fr/azure/azure-resource-manager/management/move-support-resources

Pour supprimer les ressources d’un coup le moyen le plus rapide c’est de supprimer le groupe de ressource . Vous avez toujours un avertissement et vous devez spécifier le nom du RG et cliquer sur supprimer .

 

[/et_pb_text][/et_pb_column][/et_pb_row][/et_pb_section]


Ibrahima Mbodji

Passionné de nouvelles technologies

0 Comments

%d bloggers like this: