Microsoft Azure Essentials - Fundamentals of Azure

1. Azure : votre plateforme cloud pour des solutions rapides

Azure permet de développer rapidement des solutions et offre les ressources nécessaires pour accomplir des tâches souvent impossibles dans un environnement local.

Vue d’ensemble du cloud computing. Azure est la plateforme cloud publique de Microsoft, proposant une large gamme de services tels que le calcul, le stockage, le réseau et les applications, sans nécessiter l’achat ni la maintenance de matériel physique. Cette approche transforme les dépenses d’investissement en dépenses opérationnelles, donnant accès à des ressources autrement trop coûteuses. Azure prend en charge les modèles de cloud public, privé (Azure Stack) et hybride, offrant ainsi une grande flexibilité dans le déploiement des charges de travail.

Comparaison avec l’environnement local. Contrairement aux centres de données traditionnels qui privilégient la montée en puissance de matériel coûteux, Azure favorise la montée en nombre en déployant davantage de nœuds de calcul standards, souvent plus économique. Avec des centres de données répartis dans le monde entier, Azure permet de déployer des services à proximité des clients, un avantage pour les startups grâce à des coûts initiaux faibles et une montée en charge rapide. Il facilite également l’expérimentation de nouvelles versions ou configurations logicielles sans nécessiter de mises à jour locales.

Catégories de services. Les services Azure se répartissent en grandes catégories : Calcul (machines virtuelles, App Services, Service Fabric), Données (Stockage, base SQL, DocumentDB), Applications (Azure AD, Service Bus, HDInsight) et Réseau (réseaux virtuels, ExpressRoute, Traffic Manager). Comprendre ces services simplifie la migration des applications et renforce leur robustesse en tirant parti des fonctionnalités natives du cloud.

2. Azure Resource Manager : le plan de contrôle moderne

Avec Resource Manager, vous déployez ces ressources dans un même groupe et les gérez et surveillez ensemble.

Introduction à Resource Manager. Azure Resource Manager (ARM) est le modèle de déploiement moderne recommandé, remplaçant l’ancien modèle Azure Service Management (ASM) ou « classique ». ARM considère les ressources liées (machines virtuelles, réseaux, bases de données d’une application) comme une unité unique, les déployant dans un groupe de ressources pour une gestion, une surveillance et une suppression unifiées. Cela contraste avec ASM, où les ressources étaient gérées de manière plus indépendante.

Avantages d’ARM. ARM permet des déploiements plus rapides grâce à la création parallèle des ressources, contrairement à l’approche séquentielle d’ASM. Il offre une sécurité fine via le contrôle d’accès basé sur les rôles (RBAC), permettant de définir des permissions au niveau de l’abonnement, du groupe de ressources ou de la ressource individuelle. ARM prend aussi en charge le marquage des ressources pour une meilleure organisation et gestion des coûts, facilitant la récupération des informations de facturation selon les tags.

Modèles et automatisation. Un atout majeur d’ARM réside dans l’utilisation de modèles JSON déclaratifs pour définir les déploiements. Ces modèles garantissent des déploiements cohérents et reproductibles, que ce soit pour le développement, les tests ou la production. Ils peuvent être paramétrés pour plus de flexibilité, identifier les dépendances entre ressources, et être mis à jour puis redéployés pour modifier progressivement les ressources existantes.

3. Maîtriser le portail Azure et les outils de gestion

Un portail de gestion en ligne offre le moyen le plus simple de gérer les ressources que vous déployez dans Azure.

Le portail Azure. L’interface principale pour gérer les ressources Azure est le portail Azure (portal.azure.com), un outil web fournissant un tableau de bord et un centre de navigation. Il permet de créer, visualiser et gérer les ressources via des « volets » qui s’ouvrent en glissant. Bien que la plupart des services soient accessibles dans le portail principal, certains, comme Azure Active Directory, utilisent encore parfois le portail classique (manage.windowsazure.com).

Création et visualisation des ressources. Les ressources se créent via le bouton « Nouveau », en parcourant les catégories ou en recherchant dans le Marketplace, qui liste tous les éléments déployables, y compris les images de machines virtuelles et les applications préconstruites comme WordPress. Les ressources peuvent être consultées et gérées par groupe de ressources logique ou sous forme de liste plate de toutes les ressources d’un abonnement, avec accès aux paramètres tels que RBAC, tags et historique des déploiements.

Outils de gestion complémentaires. Au-delà du portail, les développeurs utilisent souvent Visual Studio avec le SDK Azure pour un développement et un déploiement intégrés, incluant des outils comme Cloud Explorer pour gérer les ressources ARM. Les professionnels IT et développeurs nécessitant automatisation ou support multiplateforme recourent aux cmdlets Azure PowerShell (pour scripts Windows) et à l’interface en ligne de commande Azure CLI, disponible sur Windows, Linux et Mac, offrant des capacités de script avancées et l’accès aux fonctionnalités les plus récentes.

4. Azure App Service : hébergement simplifié des applications

Avec des applications web fonctionnant dans un App Service via un plan App Service, la gestion est prise en charge pour vous, et vous pouvez facilement monter en charge simplement en modifiant les paramètres du plan.

Présentation d’App Service. Azure App Service est une offre Platform as a Service (PaaS) qui simplifie l’hébergement de divers types d’applications : Web Apps, Mobile Apps, Logic Apps, API Apps et Function Apps. Elle masque la gestion de l’infrastructure sous-jacente, permettant aux développeurs de se concentrer sur le code plutôt que sur les machines virtuelles, la configuration IIS ou les correctifs.

Plans App Service. Les applications s’exécutent dans un plan App Service, qui définit les ressources de calcul partagées (taille des VM, nombre d’instances, niveau tarifaire, localisation) pour une ou plusieurs applications. Cela permet d’exécuter plusieurs applications de manière économique sur un même ensemble de VM. La montée en charge s’effectue en modifiant les paramètres du plan, ajustant automatiquement les ressources VM sous-jacentes.

Fonctionnalités des Web Apps. Les Web Apps, cœur d’App Service, supportent plusieurs langages (.NET, Java, PHP, Node.js, Python) et offrent des fonctionnalités telles que le déploiement continu depuis un contrôle de source (GitHub, TFS), une configuration aisée, la surveillance (métriques de performance, journalisation) et la montée en charge automatique basée sur des indicateurs comme l’utilisation CPU. Des applications préconstruites comme WordPress sont disponibles via le Marketplace, simplifiant le déploiement.

5. Machines virtuelles Azure : contrôle flexible de l’infrastructure

Avec une machine virtuelle Azure, vous êtes responsable de presque tous les aspects de la VM.

Offre IaaS. Les machines virtuelles Azure (VM) fournissent une Infrastructure as a Service (IaaS), offrant aux utilisateurs un contrôle quasi total sur le système d’exploitation, l’installation logicielle et la configuration. Cela convient parfaitement aux charges de travail ne correspondant pas au modèle PaaS, comme les serveurs de bases de données, Active Directory ou la migration d’applications locales existantes (« lift and shift »).

Composants et disques des VM. Les VM nécessitent un disque système et peuvent disposer de plusieurs disques de données pour un stockage persistant, tous reposant sur des blobs de pages durables dans Azure Storage. Les disques peuvent utiliser un stockage Standard (HDD) ou Premium (SSD), ce dernier étant recommandé pour les charges sensibles aux performances. Les VM disposent aussi d’un disque temporaire sur l’hôte, non persistant, adapté uniquement aux données temporaires.

Réseau et haute disponibilité. Les VM dans le modèle Resource Manager doivent résider dans un réseau virtuel Azure (VNet) et sont configurées explicitement avec des interfaces réseau, des adresses IP (publiques ou privées) et des groupes de sécurité réseau (NSG) pour les règles de pare-feu. Pour garantir la haute disponibilité, les VM doivent être déployées dans un ensemble de disponibilité, assurant leur répartition sur différents matériels physiques (domaines de panne) et mises à jour à des moments distincts (domaines de mise à jour), offrant un SLA de 99,95 % pour plusieurs instances.

6. Azure Storage : services de données durables et évolutifs

Microsoft Azure Storage est un service géré par Microsoft qui offre un stockage durable, évolutif et redondant.

Types de comptes de stockage. Azure Storage propose un stockage cloud durable, évolutif et redondant, géré par Microsoft. Les données sont stockées dans des comptes de stockage, qui peuvent être à usage général (supportant Blobs, Fichiers, Tables, Files d’attente) ou spécialisés Blob (optimisés pour les blobs en blocs ou en ajout avec niveaux d’accès chaud/froid). Les comptes à usage général peuvent utiliser un stockage Standard (HDD) ou Premium (SSD).

Services de stockage. Azure Storage offre quatre services principaux :

• Blob Storage : stocke des données non structurées (fichiers, images, VHD) sous forme de blobs en blocs (pour le streaming), blobs en pages (accès aléatoire comme les VHD) ou blobs en ajout (pour la journalisation). Accessible via URL, REST ou SDK.
• File Storage : propose des partages de fichiers réseau gérés accessibles via le protocole SMB standard, permettant à plusieurs VM de partager des fichiers. Accessible aussi via REST/SDK.
• Table Storage : un magasin NoSQL clé/valeur pour de grands volumes de données semi-structurées non relationnelles, accessible via REST/SDK/Odata.
• Queue Storage : un service de messagerie pour stocker et récupérer des messages (jusqu’à 64 Ko) à traiter de manière asynchrone, souvent utilisé pour découpler les composants applicatifs.

Redondance et sécurité. Azure Storage propose plusieurs options de redondance : stockage localement redondant (LRS) avec trois copies dans un même centre, stockage géo-redondant (GRS) avec copies dans une région jumelée pour reprise après sinistre, GRS en lecture seule (RA-GRS) permettant la lecture sur la région secondaire, et stockage redondant en zones (ZRS) réparti sur plusieurs centres. Les fonctionnalités de sécurité incluent les clés de compte, RBAC pour l’accès à la gestion, les signatures d’accès partagé (SAS) pour un accès granulaire aux données, HTTPS/SMB 3.0 pour les données en transit, ainsi que le chiffrement côté service (SSE) ou le chiffrement des disques Azure pour les données au repos.

7. Réseaux virtuels Azure : construire une connectivité sécurisée

Les réseaux virtuels (VNets) sont utilisés dans Azure pour fournir une connectivité privée aux machines virtuelles Azure et à certains services Azure.

Principes des VNets. Les réseaux virtuels Azure (VNets) permettent une communication privée et sécurisée entre ressources Azure telles que les VM et les services. Les ressources au sein d’un même VNet peuvent communiquer directement via des adresses IP privées. Les VNets sont définis par des espaces d’adresses (blocs CIDR) et peuvent être segmentés en sous-réseaux, facilitant l’organisation logique des ressources.

Groupes de sécurité réseau. Les groupes de sécurité réseau (NSG) jouent le rôle de pare-feu, contrôlant le trafic réseau entrant et sortant vers les VM ou sous-réseaux selon des règles (IP source/destination, port, protocole). Les NSG constituent une couche de sécurité essentielle, notamment pour les VM avec adresse IP publique, autorisant uniquement le trafic nécessaire (comme RDP ou SSH par défaut) tout en bloquant le reste.

Connectivité inter-sites. Azure propose plusieurs options pour connecter votre réseau local aux VNets Azure :

• VPN site-à-site : connecte un réseau local entier à un VNet via un appareil VPN ou RRAS, créant un tunnel sécurisé sur Internet public.
• VPN point-à-site : connecte des machines clientes individuelles de façon sécurisée à un VNet via SSTP, souvent utilisé pour l’accès distant sans appareil VPN d’entreprise. Utilise une authentification par certificat.
• ExpressRoute : offre une connexion privée et dédiée entre votre réseau local et Azure, contournant Internet public pour une bande passante plus élevée, une latence réduite et une fiabilité accrue, adaptée aux charges critiques.

8. Bases de données Azure : options variées de stockage des données

Un magasin de données persistant est au cœur de nombreuses applications.

Base de données SQL Azure. Azure SQL Database est une base relationnelle Platform as a Service (PaaS), idéale pour les charges OLTP. Elle offre des fonctionnalités telles que l’élasticité, des performances prévisibles (mesurées en DTU) et la continuité d’activité (restauration à un instant, restauration géographique, réplication géo-active) avec une administration minimale. Disponible en niveaux Basic, Standard et Premium, elle est compatible avec les outils SQL Server comme SSMS.

SQL Server sur VM Azure. Pour les scénarios nécessitant un contrôle total ou des fonctionnalités spécifiques de SQL Server absentes de SQL Database (authentification Windows, agent SQL, CLR), il est possible d’exécuter SQL Server sur des machines virtuelles Azure (IaaS). L’utilisateur est responsable de l’installation, la configuration et la gestion, y compris des solutions HADR comme AlwaysOn. La facturation inclut le coût de la VM, la licence SQL Server (ou l’apport de licence) et le stockage.

Alternatives de bases de données. Azure prend également en charge d’autres plateformes. MySQL est disponible en service via ClearDb dans le Marketplace. Par ailleurs, il est possible de déployer et gérer pratiquement tout logiciel de base de données (Oracle, MongoDB, etc.) sur des VM Azure. Pour les besoins non relationnels, Azure propose DocumentDB (base JSON entièrement gérée avec requêtes SQL) et Azure Table Storage (magasin clé/valeur économique et évolutif).

9. Azure Active Directory : gestion centralisée des identités

Azure AD offre une solution d’identité moderne, sécurisée, évolutive et adaptée au cloud, pour les solutions hébergées dans le cloud comme sur site.

Fondamentaux d’Azure AD. Azure Active Directory (Azure AD) est le service cloud de gestion des identités et des accès de Microsoft. C’est un annuaire multitenant utilisé par les services cloud Microsoft (Azure, Office 365) et pouvant se synchroniser avec Active Directory Windows Server local via Azure AD Connect. Azure AD ne remplace pas totalement AD Windows Server mais le complète, offrant des fonctionnalités comme le Single Sign-On (SSO) pour les applications SaaS.

Utilisateurs et groupes. Azure AD gère les utilisateurs (de votre organisation, comptes Microsoft, autres Azure AD ou partenaires via B2B) et les groupes. Les utilisateurs peuvent être ajoutés manuellement, synchronisés ou programmatiquement. Les groupes simplifient la gestion des accès en permettant d’attribuer des permissions à un groupe plutôt qu’à des utilisateurs individuels, particulièrement utile pour contrôler l’accès aux applications de la galerie Azure AD.

Fonctionnalités de sécurité. Azure AD propose diverses capacités de sécurité selon les niveaux Free, Basic et Premium. Une fonctionnalité clé est l’authentification multifacteur Azure (MFA), ajoutant une étape de vérification supplémentaire (appel téléphonique, SMS, notification d’application) au-delà du mot de passe, renforçant significativement la sécurité des comptes administratifs et des utilisateurs accédant aux applications. Azure AD supporte aussi des fonctionnalités comme l’accès conditionnel, la protection d’identité et le proxy d’application.

10. Explorer d’autres services Azure

L’un des plaisirs de travailler avec la plateforme Azure est la richesse des services qu’elle propose.

Au-delà des fondamentaux. Bien que ce livre couvre les services Azure essentiels, la plateforme offre un portefeuille vaste et en constante évolution. De nombreux services répondent à des besoins spécifiques ou incarnent des architectures récentes. Se tenir informé de ces services peut aider à optimiser les solutions ou à activer de nouvelles capacités.

Exemples de services complémentaires :

• Azure Service Fabric : une plateforme pour construire et gérer des microservices hautement scalables et fiables, utilisée en interne par Microsoft pour des services comme SQL Database et Event Hubs. Peut être déployée partout (Azure, sur site, autres clouds).
• Cloud Services : une ancienne offre PaaS de calcul (modèle classique) pour rôles web et worker, désormais largement supplantée par App Service et Service Fabric pour les nouvelles charges.
• Azure Container Service (ACS) : simplifie le déploiement et la gestion de clusters de conteneurs Docker avec des orchestrateurs comme DC/OS ou Docker Swarm, fournissant l’infrastructure VM sous-jacente.
• DocumentDB : un service NoSQL de base de données documentaire entièrement géré, supportant JSON et compatible avec le protocole MongoDB.
• Azure Redis Cache : un magasin de structures de données en mémoire géré, basé sur Redis open source, utilisé pour la mise en cache et l’amélioration des performances applicatives.

Services spécialisés. D’autres services incluent Azure HDInsight (service Hadoop managé pour le big data), Azure Search (service de recherche managé), Azure Service Bus (messagerie d’entreprise), Azure Event Hubs (streaming de données à haut débit), Azure Notification Hubs (notifications push), Azure Media Services (encodage/streaming média), Azure Backup (sauvegarde cloud), Azure Site Recovery (reprise après sinistre) et Azure Key Vault (stockage sécurisé des clés et secrets).

11. Azure en action : scénarios d’entreprise courants

Les scénarios de développement et test sont parmi les usages les plus fréquents d’Azure.

Environnements Dev/Test. Azure est largement utilisé pour le développement et les tests grâce à sa capacité à provisionner et déprovisionner rapidement des environnements, transformant les coûts d’investissement en coûts opérationnels. Les VM, App Services et bases de données peuvent être lancés à la demande, utilisés puis arrêtés ou supprimés, limitant ainsi les coûts. Les abonnements MSDN et BizSpark offrent des crédits et remises spécifiquement pour Dev/Test.

Solutions hybrides. Azure facilite les scénarios de cloud hybride, intégrant l’infrastructure locale avec les services Azure. Cela s’obtient souvent via les réseaux virtuels Azure et les