Documente Academic
Documente Profesional
Documente Cultură
" 100 XP
Dans Azure, les réseaux virtuels sont utilisés pour permettre une connexion privée
entre les machines virtuelles Azure et les autres services Azure. Les machines
virtuelles et les services qui font partie du même réseau virtuel peuvent accéder les
uns aux autres. Par défaut, les services situés en dehors du réseau virtuel ne peuvent
pas se connecter aux services situés dans le réseau virtuel. Cependant, vous pouvez
configurer le réseau de manière à autoriser l’accès aux services externes, y compris
vos serveurs locaux.
C’est pour cette raison que vous devez prendre le temps de réfléchir à votre
configuration réseau. Les adresses réseau et les sous-réseaux ne sont pas faciles à
modifier une fois qu’ils ont été configurés. De fait, si vous envisagez de connecter
votre réseau d’entreprise privé aux services Azure, vous devez réfléchir à la topologie
avant de mettre en place les machines virtuelles.
Lorsque vous configurez un réseau virtuel, vous spécifiez les espaces d’adressage, les
sous-réseaux et la sécurité disponibles. Si le réseau virtuel doit être connecté à
d’autres réseaux virtuels, vous devez sélectionner des plages d’adresses qui ne se
chevauchent pas. Il s’agit de la plage d’adresses privées que les machines virtuelles et
les services de votre réseau peuvent utiliser. Vous pouvez utiliser des adresses IP non
routables, telles que 10.0.0.0/8, 172.16.0.0/12 ou 192.168.0.0/16, ou définir votre
propre plage. Azure va traiter toutes les plages d’adresses comme faisant partie de
l’espace d’adressage IP du réseau virtuel privé s’il est uniquement accessible au sein
du réseau virtuel, des réseaux virtuels interconnectés et de votre emplacement local.
Si une autre personne est responsable des réseaux internes, vous devez entrer en
contact avec elle avant de sélectionner votre espace d’adressage, afin de l’informer
des plages d’adresses IP que vous souhaitez utiliser et éviter tout chevauchement.
Après avoir choisi les espaces d’adressage du réseau virtuel, vous pouvez créer un ou
plusieurs sous-réseaux pour votre réseau virtuel. Pour cela, segmentez votre réseau
pour le gérer plus facilement. Par exemple, vous pouvez affecter 10.1.0.0 aux
machines virtuelles, 10.2.0.0 aux services backend, et 10.3.0.0 aux machines virtuelles
SQL Server.
7 Notes
Dans chaque sous-réseau, Azure se réserve les quatre premières adresses, ainsi
que la dernière.
Sécuriser le réseau
Par défaut, il n’existe aucune limite de sécurité entre les sous-réseaux. Ainsi, les
services de chaque sous-réseau peuvent communiquer entre eux. Toutefois, vous
pouvez configurer des groupes de sécurité réseau, qui vous permettent de contrôler
le flux du trafic vers et depuis les sous-réseaux et les machines virtuelles. Les groupes
de sécurité réseau agissent comme des pare-feu logiciels, en appliquant des règles
personnalisées à chaque requête entrante ou sortante, au niveau de l’interface réseau
et du sous-réseau. Vous pouvez ainsi contrôler entièrement chaque requête réseau
entrante ou sortante au niveau de la machine virtuelle.
Quel est le type des données utilisées ? Existe-t-il des restrictions (juridiques ou
autres) qui interdisent un serveur non local ?
De quel type de processeur, de mémoire et de charge d’E/S disque ce serveur
dispose-t-il ? Existe-t-il un trafic en rafale à prendre en compte ?
Une information à laquelle on pense peu est le nom de la machine virtuelle. Le nom
de la machine virtuelle est utilisé comme nom d’ordinateur configuré dans le système
d’exploitation. Vous pouvez spécifier un nom d’une longueur maximale de 15
caractères sur une machine virtuelle Windows, et de 64 caractères sur une machine
virtuelle Linux.
Une ressource Azure est un élément pouvant être géré dans Azure. Tout comme les
ordinateurs physiques de vos centres de données, les machines virtuelles comportent
plusieurs éléments qui sont nécessaires à leur fonctionnement :
La machine virtuelle
Un compte de stockage pour les disques
Un réseau virtuel (partagé par d’autres machines virtuelles et services)
Une interface réseau permettant de communiquer via le réseau
Des groupes de sécurité réseau pour sécuriser le trafic réseau
Une adresse Internet publique (facultatif)
Azure crée toutes ces ressources si nécessaire. Vous pouvez également fournir des
ressources existantes dans le cadre du processus de déploiement. Chaque ressource
a besoin d’un nom qui permet de l’identifier. Si Azure crée la ressource, il utilise le
nom de la machine virtuelle pour générer le nom de la ressource. Voilà une autre
raison de rester cohérent pour le nommage des machines virtuelles !
Lorsque vous créez et déployez une machine virtuelle, vous devez sélectionner la
région à laquelle vous voulez allouer les ressources (processeur, stockage, etc.). Cela
vous permet de rapprocher autant que possible vos machines virtuelles de vos
utilisateurs, afin d’améliorer les performances et de respecter les exigences locales
relatives à la réglementation, à la conformité ou à la fiscalité.
Une fois que vous avez choisi le nom et l’emplacement de votre machine virtuelle,
vous devez choisir sa taille. Plutôt que de spécifier la puissance de traitement, la
mémoire et la capacité de stockage séparément, Azure fournit plusieurs tailles de
machine virtuelle qui proposent chacune des variations de ces paramètres. Azure
fournit un large éventail d’options pour la taille des machines virtuelles, ce qui vous
permet de choisir la combinaison de calcul, de mémoire et de stockage la mieux
adaptée à vos besoins.
Le meilleur moyen de déterminer la taille de machine virtuelle qui vous convient est
de prendre en compte le type de charge de travail que votre machine virtuelle doit
exécuter. Vous pouvez choisir parmi un sous-ensemble de tailles de machine virtuelle
pour chaque type de charge de travail. Les options de charge de travail sont classées
de la façon suivante dans Azure :
Option Description
Usage général Les machines virtuelles à usage général sont conçues pour avoir un
ratio processeur/mémoire équilibré. Idéal pour le test et le
développement, les bases de données petites à moyennes et les
serveurs web au trafic faible à moyen.
Optimisé pour Les machines virtuelles optimisées pour le calcul sont conçues pour
le calcul avoir un ratio processeur/mémoire élevé. Convient pour les serveurs
web au trafic moyen, les appliances réseau, les processus de
traitement par lots et les serveurs d’application.
À mémoire Les machines virtuelles à mémoire optimisée sont conçues pour avoir
optimisée un ratio mémoire/processeur élevé. Idéal pour les serveurs de base de
données relationnelle, les caches moyens à grands et l’analytique en
mémoire.
À stockage Les machines virtuelles à stockage optimisé sont conçues pour avoir
optimisé un débit de disque et des E/S élevés. Idéal pour les machines virtuelles
exécutant des bases de données.
GPU Les machines virtuelles GPU sont des machines spécialisées, conçues
pour les opérations graphiques intensives et la retouche vidéo. Ces
machines virtuelles sont idéales pour l’entraînement et l’inférence de
modèles avec l’apprentissage profond (deep learning).
Option Description
Calcul haute Les machines virtuelles avec calcul haute performance sont les plus
performance rapides et les plus puissantes des machines avec processeur. Elles
proposent en outre des interfaces réseau haut débit facultatives.
Lorsque vous configurez la taille d’une machine virtuelle dans Azure, vous pouvez
filtrer par type de charge de travail. La taille que vous choisissez a un impact direct
sur le coût de votre service. Plus vous avez besoin de puissance de processeur, de
mémoire et de GPU, plus le prix est élevé.
Vous pouvez changer la taille de la machine virtuelle pendant que celle-ci est en
cours d’exécution tant que la nouvelle taille est disponible dans le cluster matériel
actuel sur lequel la machine virtuelle s’exécute. Le portail Azure vous montre
uniquement les choix de tailles disponibles, ce qui rend l’opération évidente. Les
outils de ligne de commande signalent une erreur si vous essayez de redimensionner
une machine virtuelle sur une taille non disponible. Le changement de la taille d’une
machine virtuelle en cours d’exécution va redémarrer automatiquement la machine
pour terminer la demande.
2 Avertissement
Coûts de calcul : les frais de calcul sont tarifés sur une base horaire, mais sont
facturés à la minute. Par exemple, si le déploiement de la machine virtuelle prend 55
minutes, vous ne paierez que pour 55 minutes d’utilisation. La capacité de calcul ne
vous est pas facturée si vous arrêtez et libérez la machine virtuelle, puisque cela
libère le matériel. Le tarif horaire varie en fonction de la taille de machine virtuelle et
du système d’exploitation que vous sélectionnez. Le coût d’une machine virtuelle
inclut le prix du système d’exploitation Windows. Les instances Linux sont moins
onéreuses, puisqu’elles n’impliquent aucuns frais de licence pour le système
d’exploitation.
Conseil
Coûts de stockage : le stockage utilisé par la machine virtuelle vous est facturé
séparément. L’état de la machine virtuelle n’a pas de lien avec les frais de stockage
facturés. Même si la machine virtuelle est arrêtée/libérée et qu’elle ne vous est pas
facturée, le stockage utilisé par les disques vous sera facturé.
Vous pouvez choisir entre deux options de paiement pour les coûts de calcul.
Option Description
Option Description
Toutes les machines virtuelles Azure comportent au moins deux disques durs virtuels
(VHD). Le premier disque stocke le système d’exploitation, et le second est utilisé
pour le stockage temporaire. Vous pouvez ajouter des disques supplémentaires pour
stocker les données d’application. Le nombre maximal de disques est déterminé par
la taille de machine virtuelle que vous avez sélectionnée (généralement deux par
processeur). Il est courant de créer un ou plusieurs disques de données, puisque le
disque du système d’exploitation a tendance à être relativement petit. En outre, en
répartissant les données sur plusieurs disques durs virtuels, vous pouvez gérer
indépendamment la sécurité, la fiabilité et les performances du disque.
Les données de chaque disque dur virtuel sont conservées dans le service Stockage
Azure en tant qu’objets blob de pages, ce qui permet à Azure d’allouer de l’espace
uniquement pour le stockage que vous utilisez. C’est également de cette façon que
le coût du stockage est évalué. Vous payez uniquement le stockage que vous
consommez.
Le Stockage Azure est la solution de Microsoft pour le stockage des données dans le
cloud. Il prend en charge quasiment tous les types de données et fournit sécurité,
redondance et accès évolutif pour les données stockées. Un compte de stockage
fournit l’accès aux objets situés dans le Stockage Azure, dans le cadre d’un
abonnement. Les machines virtuelles ont toujours un ou plusieurs comptes de
stockage destinés à contenir chaque disque virtuel attaché.
Les disques virtuels peuvent être sauvegardés dans des comptes de stockage
Standard ou Premium. Le stockage Azure Premium utilise des disques SSD afin
d’obtenir des performances élevées et une faible latence pour les machines virtuelles
qui exécutent des charges de travail d’E/S intensives. Utilisez le stockage Azure
Premium pour les charges de production, en particulier celles qui sont sensibles aux
variations de performances ou qui font une utilisation intensive des E/S. Pour le
développement ou les tests, le stockage Standard convient tout à fait.
Quand vous créez des disques, vous avez deux options pour gérer la relation entre le
compte de stockage et chaque disque dur virtuel. Vous pouvez choisir des disques
non managés ou des disques managés.
Option Description
Disques Avec les disques non managés, vous êtes responsable des comptes de
non stockage qui sont utilisés pour contenir les disques durs virtuels
managés correspondant aux disques de votre machine virtuelle. Vous payez le tarif de
compte de stockage correspondant à la quantité d’espace que vous utilisez.
Un compte de stockage a une limite fixe de 20 000 opérations d’E/S par
seconde. Cela signifie qu’un compte de stockage est capable de prendre en
charge 40 disques durs virtuels standard pleinement utilisés. Si vous voulez
effectuer un scale-out en ajoutant des disques, vous aurez besoin de
plusieurs comptes de stockage, ce qui peut devenir compliqué.
Azure fournit un large éventail d’images de système d’exploitation à installer sur une
machine virtuelle, y compris plusieurs versions de Windows et de Linux. Comme
mentionné précédemment, le choix du système d’exploitation influence le tarif
horaire de votre calcul, puisque Azure inclut le coût de la licence du système
d’exploitation dans le prix.
Continuer T
" 100 XP
Quand vous débutez avec la création de ressources comme des machines virtuelles,
le plus simple est d’utiliser le portail Azure. Toutefois, cette méthode n’est ni la plus
efficace, ni la plus rapide, en particulier si vous devez créer plusieurs ressources à la
fois. Ici, nous allons créer plusieurs dizaines de machines virtuelles pour gérer
différentes tâches. Il serait fastidieux de les créer manuellement dans le portail Azure.
Voyons quelles sont les autres méthodes disponibles pour créer et gérer des
ressources dans Azure :
Resource Manager vous permet également de créer des modèles que vous pouvez
utiliser pour créer et déployer des configurations spécifiques.
Les modèles Resource Manager sont des fichiers JSON qui définissent les
ressources nécessaires au déploiement de votre solution.
déployer immédiatement une nouvelle machine virtuelle basée sur ce modèle. Par
exemple, vous pourriez créer une machine virtuelle à partir d’un modèle dans un
environnement de test, et vous rendre compte qu’elle ne suffit pas à remplacer votre
machine locale. Vous pouvez alors supprimer le groupe de ressources (ce qui
supprime toutes les ressources), ajuster le modèle selon vos besoins, puis réessayer.
Si vous souhaitez uniquement apporter des modifications aux ressources déjà
déployées, vous pouvez modifier le modèle utilisé pour leur création, puis effectuer
un nouveau déploiement. Resource Manager va alors modifier les ressources pour
s’aligner sur le nouveau modèle.
Vous pouvez recourir à des outils de script d’automatisation tels qu’Azure CLI, Azure
PowerShell ou même les API REST Azure avec votre langage de programmation
préféré, afin de traiter les modèles de ressources et mettre en place rapidement votre
infrastructure.
Azure PowerShell
La création de scripts d’administration constitue un puissant moyen d’optimiser votre
workflow. Vous pouvez automatiser des tâches répétitives quotidiennes et, une fois
le script vérifié, celui-ci sera exécuté de façon cohérente, ce qui réduira
probablement les erreurs. Azure PowerShell constitue la solution idéale pour les
tâches uniques interactives ou pour l’automatisation des tâches répétitives.
7 Notes
Par exemple, vous pouvez utiliser l’applet de commande New-AzVM pour créer une
machine virtuelle Azure.
PowerShell = Copier
New-AzVm `
-ResourceGroupName "TestResourceGroup" `
-Name "test-wp1-eus-vm" `
-Location "East US" `
-VirtualNetworkName "test-wp1-eus-network" `
-SubnetName "default" `
-SecurityGroupName "test-wp1-eus-nsg" `
-PublicIpAddressName "test-wp1-eus-pubip" `
-OpenPorts 80,3389
Comme indiqué ici, vous fournissez divers paramètres pour gérer le grand nombre
d’options de configuration de machine virtuelle disponibles. La plupart des
paramètres ont des valeurs raisonnables. Vous n’avez donc qu’à spécifier les
paramètres nécessaires. En savoir plus sur la création et la gestion des machines
virtuelles avec Azure PowerShell dans le module Automatiser des tâches Azure à
l’aide de scripts avec PowerShell
Azure CLI
Azure CLI peut également être utilisé pour la création de scripts et l’interaction avec
Azure par le biais de la ligne de commande.
Azure CLI est l’outil en ligne de commande multiplateforme de Microsoft qui permet
de gérer les ressources Azure, telles que les machines virtuelles et les disques, à partir
de la ligne de commande. Il est disponible pour macOS, Linux et Windows, ou dans
votre navigateur avec Cloud Shell. Tout comme Azure PowerShell, Azure CLI est un
outil puissant qui vous permet de rationaliser votre flux de travail d’administration.
Contrairement à Azure PowerShell, Azure CLI n’a pas besoin de PowerShell pour
fonctionner.
Par exemple, vous pouvez créer une machine virtuelle Azure avec la commande az
vm create .
az vm create \
--resource-group TestResourceGroup \
--name test-wp1-eus-vm \
--image win2016datacenter \
--admin-username jonc \
--admin-password aReallyGoodPasswordHere
Azure CLI peut être utilisé avec d’autres langages de script, comme Ruby ou Python.
Ces deux langages sont couramment utilisés sur des machines non Windows, par des
développeurs qui ne connaissent pas forcément PowerShell.
En savoir plus sur la création et la gestion des machines virtuelles dans le module
Gérer des machines virtuelles avec l’outil Azure CLI.
Dans Azure, vous pouvez interagir par programmation avec chaque type de
ressource.
Avec l’API REST Azure, les développeurs ont accès à des opérations classées par
ressource, et peuvent créer et gérer des machines virtuelles. Les opérations sont
exposées en tant qu’URI avec les méthodes HTTP correspondantes ( GET , PUT , POST ,
DELETE et PATCH ) et une réponse associée.
Les API Calcul Azure vous donnent un accès par programmation aux machines
virtuelles et à leurs ressources de prise en charge. Avec cette API, vous pouvez
effectuer les opérations suivantes :
Créer et gérer des disques managés, des captures instantanées et des images
Accéder aux images de la plateforme disponibles dans Azure
Récupérer des informations sur l’utilisation de vos ressources
Créer et gérer des machines virtuelles
Créer et gérer des groupes de machines virtuelles identiques
Les Kits de développement logiciel (SDK) du client Azure sont disponibles pour
plusieurs langages et infrastructures, notamment les langages .NET tels que C#, Java,
Node.js, PHP, Python, Ruby et Go.
C# = Copier
azure.VirtualMachines.Define(vmName)
.WithRegion(Region.USEast)
.WithExistingResourceGroup("TestResourceGroup")
.WithExistingPrimaryNetworkInterface(networkInterface)
.WithLatestWindowsImage("MicrosoftWindowsServer",
"WindowsServer", "2012-R2-Datacenter")
.WithAdminUsername("jonc")
.WithAdminPassword("aReallyGoodPasswordHere")
.WithComputerName(vmName)
.WithSize(VirtualMachineSizeTypes.StandardDS1)
.Create();
Java = Copier
Update Management. Ce service sert à gérer les mises à jour et les correctifs
de vos machines virtuelles. Il permet d’évaluer l’état des mises à jour
disponibles, de planifier l’installation, et d’examiner les résultats des
déploiements pour vérifier que les mises à jour ont été appliquées. La gestion
des mises à jour comprend des services qui permettent de gérer les processus
et les configurations. Vous pouvez activer la gestion des mises à jour pour une
machine virtuelle directement dans votre compte Azure Automation. Vous
pouvez également activer la gestion des mises à jour pour une seule machine
virtuelle à partir du volet de cette dernière dans le portail Azure.
Comme vous pouvez le voir, Azure fournit un large éventail d’outils permettant de
créer et d’administrer les ressources. Vous pouvez ainsi intégrer les opérations de
gestion à un processus qui vous convient. Examinons certains autres services Azure
pour vérifier le fonctionnement correct des ressources de votre infrastructure.
" 100 XP
Souvent, la réussite d’une entreprise de services est directement liée aux contrats de
niveau de service (SLA) qu’elle établit avec ses clients. Vos clients s’attendent à ce
que vos services soient toujours disponibles et que leurs données soient en sécurité.
C’est une chose que Microsoft prend très au sérieux. Azure fournit des outils que
vous pouvez utiliser pour gérer la disponibilité, la sécurité des données et la
surveillance. Vous savez ainsi que vos services sont toujours disponibles pour vos
clients.
Nous allons aborder un service Azure qui vous permet d’améliorer la disponibilité de
vos machines virtuelles, de simplifier vos tâches de gestion de machines virtuelles,
ainsi que de sauvegarder et de sécuriser les données de vos machines virtuelles.
Commençons par définir ce qu’est la disponibilité.
Supposons que vous ayez un site web et que vous vouliez que vos clients puissent y
accéder à tout moment. Vos attentes sont une disponibilité de 100 % pour votre site
web.
Les machines virtuelles Azure s’exécutent sur des serveurs physiques hébergés dans
le centre de données Microsoft. Comme pour la plupart des appareils physiques, les
pannes sont possibles. Si le serveur physique échoue, les machines virtuelles qu’il
héberge échouent également. Dans ce cas, Azure déplace automatiquement la
machine virtuelle vers un serveur hôte sain. Toutefois, cette migration spontanée
peut prendre plusieurs minutes, pendant lesquelles les applications hébergées sur la
machine virtuelle ne sont pas disponibles.
Les machines virtuelles peuvent également être affectées par les mises à jour
périodiques lancées par Azure. Ces événements de maintenance vont des mises à
jour logicielles aux mises à niveau matérielles, et ont pour but d’améliorer les
performances et la fiabilité de la plateforme. Ces événements n’ont généralement
pas d’impact sur les machines virtuelles invitées. Toutefois, il arrive que les machines
virtuelles soient redémarrées pour finaliser une mise à jour ou une mise à niveau.
7 Notes
Pour que vos services ne soient pas interrompus et pour éviter un point de
défaillance unique, il est recommandé de déployer au moins deux instances de
chaque machine virtuelle. Cette fonctionnalité est appelée un groupe à haute
disponibilité.
Conseil
Vous pouvez créer des groupes à haute disponibilité dans la section Récupération
d’urgence du portail Azure. Vous pouvez aussi les créer à l’aide de modèles Resource
Manager ou de l’un des outils de script ou d’API. Lorsque vous placez des machines
virtuelles dans un groupe à haute disponibilité, Azure les répartit entre les domaines
d’erreur et les domaines de mise à jour.
Dans Azure, un domaine d’erreur est un groupe logique de composants matériels qui
partage une même source d’alimentation et un même commutateur réseau. C’est
similaire au rack des centres de données locaux. Les deux premières machines
virtuelles d’un groupe à haute disponibilité sont provisionnées dans deux racks
différents. De cette façon, si une panne réseau ou une panne d’alimentation devait se
produire dans un rack, une seule machine virtuelle serait affectée. Des domaines
d’erreur sont également définis pour les disques managés qui sont attachés aux
machines virtuelles.
Les groupes à haute disponibilité sont une fonctionnalité puissante qui garantit que
les services exécutés sur vos machines virtuelles seront toujours disponibles pour vos
clients. Toutefois, ils ne sont pas infaillibles. Que se passe-t-il en cas de problème
avec les données ou les logiciels de la machine virtuelle ? Dans ce cas, nous devrons
choisir d’autres techniques de sauvegarde et de reprise d’activité.
2. Site Recovery facilite grandement les tests de basculement pour les exercices de
récupération, sans impacter les environnements de production. Il est ainsi facile
de tester vos basculements planifiés et non planifiés. Vous ne pouvez pas
prétendre que votre plan de récupération est efficace si vous n’avez jamais testé
les basculements.
Les plans de reprise d’activité que vous créez avec Site Recovery peuvent être
simples ou complexes, selon les besoins de votre scénario. Ils peuvent inclure des
scripts PowerShell personnalisés, des runbooks Azure Automation ou des étapes
d’intervention manuelle. Vous pouvez utiliser les plans de récupération pour
répliquer des charges de travail dans Azure, ce qui crée de nouvelles opportunités
pour la migration, les pics temporaires en période de surcharge, ou le
développement et le test de nouvelles applications.
Azure Site Recovery fonctionne avec les ressources Azure, ainsi qu’avec les serveurs
physiques, Hyper-V et VMware de votre infrastructure locale. En outre, il peut
constituer une part essentielle de la stratégie de continuité d’activité et de reprise
d’activité, en orchestrant la réplication, le basculement et la récupération des charges
de travail et des applications en cas de panne de l’emplacement principal.
Continuer T
" 100 XP
La Sauvegarde Azure est une offre Backup as a Service qui protège les ordinateurs
physiques et les machines virtuelles, quel que soit leur emplacement, c’est-à-dire
local ou dans le cloud.
Les fichiers et les dossiers situés sur des machines Windows (physiques ou
virtuelles, locales ou dans le cloud)
Les captures instantanées tenant compte des applications (service VSS)
Les charges de travail de serveur Microsoft courantes telles que Microsoft SQL
Server, Microsoft SharePoint et Microsoft Exchange
La prise en charge native des machines virtuelles Azure (Windows et Linux)
Les ordinateurs clients Linux et Windows 10
Conservation à long terme. Azure ne limite pas la durée pendant laquelle vous
pouvez conserver les données de sauvegarde.
La Sauvegarde Azure utilise un coffre Recovery Services pour stocker les données de
sauvegarde. Un coffre est sauvegardé par le Stockage Blob Azure, ce qui en fait un
support de stockage à long terme très efficace et économique. Une fois le coffre en
place, vous pouvez sélectionner les machines à sauvegarder et définir une stratégie
de sauvegarde (moment où les instantanés doivent être créés et délai de stockage de
ces derniers).
Continuer T
" 100 XP
Nous disposons d’un site web qui s’exécute sur un serveur Linux Ubuntu local. Notre
objectif est de créer une machine virtuelle Azure à l’aide de l’image Ubuntu la plus
récente et de migrer le site dans le cloud. Dans cette unité, vous allez découvrir les
options dont vous aurez besoin pour déterminer s’il est opportun de créer une
machine virtuelle dans Azure.
La création de machines virtuelles Linux dans Azure est simple. Microsoft a conclu un
partenariat avec les principaux éditeurs Linux afin de garantir que leurs distributions
sont optimisées pour la plateforme Azure. Vous pouvez créer des machines virtuelles
à partir d’images prédéfinies pour un large éventail de distributions Linux courantes,
comme SUSE, Red Hat et Ubuntu, ou créer votre propre distribution Linux à exécuter
dans le cloud.
façons : à partir du portail Azure, d’un script (en utilisant Azure CLI ou Azure
PowerShell) ou d’un modèle Azure Resource Manager. Dans tous les cas, vous devez
fournir quelques informations que nous détaillerons prochainement.
La Place de marché Azure fournit également des images préconfigurées qui incluent
à la fois un système d’exploitation et des outils logiciels favoris installés pour des
scénarios spécifiques.
Comme d’autres services Azure, vous aurez besoin d’un groupe de ressources où
placer la machine virtuelle (et éventuellement regrouper ces ressources pour
l’administration). Quand vous créez une machine virtuelle, vous pouvez utiliser un
groupe de ressources existant ou en créer un.
Tout ce qui peut être installé sur un ordinateur peut être inclus dans une image. Vous
pouvez créer une machine virtuelle à partir d’une image qui est préconfigurée
précisément en fonction des tâches dont vous avez besoin, comme l’hébergement
d’une application web sur le serveur HTTP Apache.
Conseil
2 Avertissement
Il existe, pour chaque abonnement, des limites de quota qui peuvent avoir un
impact sur la création de machines virtuelles. Si vous atteignez ces limites de
quota, vous pouvez ouvrir une demande de service client en ligne pour
augmenter vos limites.
Tâches de calcul lourdes : Convient pour les serveurs web au trafic Fsv2, Fs, F
moyen, les appliances réseau, les processus de traitement par lots et
les serveurs d’applications.
Utilisation importante de la mémoire : Convient pour les serveurs Esv3, Ev3, M, GS,
de bases de données relationnelles, les caches de taille moyenne à G, DSv2, Dv2
grande ainsi que l’analytique en mémoire.
Conseil
Azure utilise des disques durs virtuels (VHD) qui représentent les disques physiques
pour la machine virtuelle. Les disques durs virtuels répliquent le format logique et les
données d’un lecteur de disque, mais ils sont stockés sous la forme d’objets blob de
pages dans un compte de Stockage Azure. Vous pouvez choisir pour chaque disque
le type de stockage qu’il doit utiliser (SSD ou HDD). Cela vous permet de contrôler
les performances de chaque disque, probablement en fonction des E/S que vous
prévoyez d’effectuer dessus.
Par défaut, deux VHD (disques durs virtuels) sont créés pour votre machine virtuelle
Linux :
2 Avertissement
Le disque temporaire n’est pas persistant. Vous devez écrire sur ce disque
uniquement des données qui ne sont pas essentielles au système.
Vous pouvez stocker les données sur le lecteur principal, avec le système
d’exploitation, mais une meilleure approche consiste à créer des disques de données
dédiés. Vous pouvez créer des disques supplémentaires et les attacher à la machine
virtuelle. Chaque disque peut contenir jusqu’à 32 767 Gibioctets (Gio) de données, la
quantité maximale de stockage étant déterminée par la taille de machine virtuelle
que vous sélectionnez.
7 Notes
Les tailles de disque virtuel Azure sont mesurées en Gibioctets (Gio), qui
diffèrent des gigaoctets (Go) ; un Gio représente environ 1,074 Go. Ainsi, pour
obtenir un équivalent approximatif de la taille de votre disque virtuel en Go,
multipliez la taille en Gio par 1,074 ; la taille en Go obtenue est relativement
proche. Par exemple, 32 767 Gio représentent approximativement 35 183 Go.
La création d’une image de disque dur virtuel à partir d’un disque réel est une
fonctionnalité intéressante. Cela vous permet de migrer facilement des informations
existantes d’un ordinateur local vers le cloud.
Avec les disques non managés, vous êtes responsable des comptes de stockage qui
sont utilisés pour contenir les disques durs virtuels correspondant aux disques de
votre machine virtuelle. Vous payez le tarif de compte de stockage correspondant à
la quantité d’espace que vous utilisez. Un compte de stockage a une limite fixe de
20 000 opérations d’E/S par seconde. Cela signifie qu’un compte de stockage est
capable de prendre en charge 40 disques durs virtuels standard en utilisation
maximale. Si vous voulez effectuer une montée en charge, vous aurez besoin de
plusieurs comptes de stockage, ce qui peut devenir compliqué.
Fiabilité accrue : Azure garantit que les disques durs virtuels associés aux
machines virtuelles à haute fiabilité sont placés dans différentes parties du
Stockage Azure pour fournir des niveaux de résilience similaires.
Sécurité accrue : Les disques managés sont des ressources managées réelles
dans le groupe de ressources. Cela signifie qu’ils peuvent utiliser le contrôle
d’accès en fonction du rôle (RBAC) pour restreindre le nombre de personnes
autorisées à se servir des données des VHD.
Prise en charge des instantanés : Vous pouvez utiliser des instantanés pour
créer une copie en lecture seule d’un VHD (disque dur virtuel). Vous devez
arrêter la machine virtuelle propriétaire, mais la création de l’instantané ne
prend que quelques secondes. Une fois que vous avez terminé, vous pouvez
mettre la machine virtuelle sous tension et utiliser l’instantané afin de créer un
double de la machine virtuelle pour résoudre un problème de production ou
restaurer la machine virtuelle au moment où l’instantané a été pris.
Prise en charge des sauvegardes : Vous pouvez sauvegarder
automatiquement les disques managés dans des régions distinctes pour
effectuer une reprise d’activité avec Sauvegarde Azure, sans affecter le service
de la machine virtuelle.
Communication réseau
Les machines virtuelles communiquent avec les ressources externes à l’aide d’un
réseau virtuel. Le réseau virtuel représente un réseau privé dans une région, sur
lequel vos ressources communiquent. Il s’apparente aux réseaux que vous gérez
localement. Vous pouvez diviser un réseau virtuel en sous-réseaux pour isoler les
ressources, le connecter à d’autres réseaux (notamment vos réseaux locaux) et
appliquer des règles de trafic afin de régir les connexions entrantes et sortantes.
Quand vous créez une machine virtuelle, vous avez la possibilité de créer un réseau
virtuel ou d’utiliser un réseau virtuel existant dans votre région.
La création du réseau en même temps que la machine virtuelle par Azure est simple,
mais probablement pas idéale pour la plupart des scénarios. Il est préférable de
planifier vos exigences réseau dès le début pour tous les composants de votre
architecture et de créer la structure de réseau virtuel séparément. Créez ensuite les
machines virtuelles et placez-les dans les réseaux virtuels déjà créés. Nous
examinerons les réseaux virtuels plus en détail plus loin dans ce module.
Avant de créer une machine virtuelle, nous devons décider comment nous allons
l’administrer. Voyons un peu les options qui s’offrent à nous.
Continuer T
" 100 XP
Nous disposons d’un site web qui s’exécute sur un serveur Linux Ubuntu local. Notre
objectif est de créer une machine virtuelle Azure à l’aide de l’image Ubuntu la plus
récente et de migrer le site dans le cloud. Dans cette unité, vous allez découvrir les
options dont vous aurez besoin pour déterminer s’il est opportun de créer une
machine virtuelle dans Azure.
La création de machines virtuelles Linux dans Azure est simple. Microsoft a conclu un
partenariat avec les principaux éditeurs Linux afin de garantir que leurs distributions
sont optimisées pour la plateforme Azure. Vous pouvez créer des machines virtuelles
à partir d’images prédéfinies pour un large éventail de distributions Linux courantes,
comme SUSE, Red Hat et Ubuntu, ou créer votre propre distribution Linux à exécuter
dans le cloud.
façons : à partir du portail Azure, d’un script (en utilisant Azure CLI ou Azure
PowerShell) ou d’un modèle Azure Resource Manager. Dans tous les cas, vous devez
fournir quelques informations que nous détaillerons prochainement.
La Place de marché Azure fournit également des images préconfigurées qui incluent
à la fois un système d’exploitation et des outils logiciels favoris installés pour des
scénarios spécifiques.
Comme d’autres services Azure, vous aurez besoin d’un groupe de ressources où
placer la machine virtuelle (et éventuellement regrouper ces ressources pour
l’administration). Quand vous créez une machine virtuelle, vous pouvez utiliser un
groupe de ressources existant ou en créer un.
Tout ce qui peut être installé sur un ordinateur peut être inclus dans une image. Vous
pouvez créer une machine virtuelle à partir d’une image qui est préconfigurée
précisément en fonction des tâches dont vous avez besoin, comme l’hébergement
d’une application web sur le serveur HTTP Apache.
Conseil
2 Avertissement
Il existe, pour chaque abonnement, des limites de quota qui peuvent avoir un
impact sur la création de machines virtuelles. Si vous atteignez ces limites de
quota, vous pouvez ouvrir une demande de service client en ligne pour
augmenter vos limites.
Tâches de calcul lourdes : Convient pour les serveurs web au trafic Fsv2, Fs, F
moyen, les appliances réseau, les processus de traitement par lots et
les serveurs d’applications.
Utilisation importante de la mémoire : Convient pour les serveurs Esv3, Ev3, M, GS,
de bases de données relationnelles, les caches de taille moyenne à G, DSv2, Dv2
grande ainsi que l’analytique en mémoire.
Conseil
Azure utilise des disques durs virtuels (VHD) qui représentent les disques physiques
pour la machine virtuelle. Les disques durs virtuels répliquent le format logique et les
données d’un lecteur de disque, mais ils sont stockés sous la forme d’objets blob de
pages dans un compte de Stockage Azure. Vous pouvez choisir pour chaque disque
le type de stockage qu’il doit utiliser (SSD ou HDD). Cela vous permet de contrôler
les performances de chaque disque, probablement en fonction des E/S que vous
prévoyez d’effectuer dessus.
Par défaut, deux VHD (disques durs virtuels) sont créés pour votre machine virtuelle
Linux :
2 Avertissement
Le disque temporaire n’est pas persistant. Vous devez écrire sur ce disque
uniquement des données qui ne sont pas essentielles au système.
Vous pouvez stocker les données sur le lecteur principal, avec le système
d’exploitation, mais une meilleure approche consiste à créer des disques de données
dédiés. Vous pouvez créer des disques supplémentaires et les attacher à la machine
virtuelle. Chaque disque peut contenir jusqu’à 32 767 Gibioctets (Gio) de données, la
quantité maximale de stockage étant déterminée par la taille de machine virtuelle
que vous sélectionnez.
7 Notes
Les tailles de disque virtuel Azure sont mesurées en Gibioctets (Gio), qui
diffèrent des gigaoctets (Go) ; un Gio représente environ 1,074 Go. Ainsi, pour
obtenir un équivalent approximatif de la taille de votre disque virtuel en Go,
multipliez la taille en Gio par 1,074 ; la taille en Go obtenue est relativement
proche. Par exemple, 32 767 Gio représentent approximativement 35 183 Go.
La création d’une image de disque dur virtuel à partir d’un disque réel est une
fonctionnalité intéressante. Cela vous permet de migrer facilement des informations
existantes d’un ordinateur local vers le cloud.
Avec les disques non managés, vous êtes responsable des comptes de stockage qui
sont utilisés pour contenir les disques durs virtuels correspondant aux disques de
votre machine virtuelle. Vous payez le tarif de compte de stockage correspondant à
la quantité d’espace que vous utilisez. Un compte de stockage a une limite fixe de
20 000 opérations d’E/S par seconde. Cela signifie qu’un compte de stockage est
capable de prendre en charge 40 disques durs virtuels standard en utilisation
maximale. Si vous voulez effectuer une montée en charge, vous aurez besoin de
plusieurs comptes de stockage, ce qui peut devenir compliqué.
Fiabilité accrue : Azure garantit que les disques durs virtuels associés aux
machines virtuelles à haute fiabilité sont placés dans différentes parties du
Stockage Azure pour fournir des niveaux de résilience similaires.
Sécurité accrue : Les disques managés sont des ressources managées réelles
dans le groupe de ressources. Cela signifie qu’ils peuvent utiliser le contrôle
d’accès en fonction du rôle (RBAC) pour restreindre le nombre de personnes
autorisées à se servir des données des VHD.
Prise en charge des instantanés : Vous pouvez utiliser des instantanés pour
créer une copie en lecture seule d’un VHD (disque dur virtuel). Vous devez
arrêter la machine virtuelle propriétaire, mais la création de l’instantané ne
prend que quelques secondes. Une fois que vous avez terminé, vous pouvez
mettre la machine virtuelle sous tension et utiliser l’instantané afin de créer un
double de la machine virtuelle pour résoudre un problème de production ou
restaurer la machine virtuelle au moment où l’instantané a été pris.
Prise en charge des sauvegardes : Vous pouvez sauvegarder
automatiquement les disques managés dans des régions distinctes pour
effectuer une reprise d’activité avec Sauvegarde Azure, sans affecter le service
de la machine virtuelle.
Communication réseau
Les machines virtuelles communiquent avec les ressources externes à l’aide d’un
réseau virtuel. Le réseau virtuel représente un réseau privé dans une région, sur
lequel vos ressources communiquent. Il s’apparente aux réseaux que vous gérez
localement. Vous pouvez diviser un réseau virtuel en sous-réseaux pour isoler les
ressources, le connecter à d’autres réseaux (notamment vos réseaux locaux) et
appliquer des règles de trafic afin de régir les connexions entrantes et sortantes.
Quand vous créez une machine virtuelle, vous avez la possibilité de créer un réseau
virtuel ou d’utiliser un réseau virtuel existant dans votre région.
La création du réseau en même temps que la machine virtuelle par Azure est simple,
mais probablement pas idéale pour la plupart des scénarios. Il est préférable de
planifier vos exigences réseau dès le début pour tous les composants de votre
architecture et de créer la structure de réseau virtuel séparément. Créez ensuite les
machines virtuelles et placez-les dans les réseaux virtuels déjà créés. Nous
examinerons les réseaux virtuels plus en détail plus loin dans ce module.
Avant de créer une machine virtuelle, nous devons décider comment nous allons
l’administrer. Voyons un peu les options qui s’offrent à nous.
Continuer T
" 100 XP
Vous avez créé une machine virtuelle Linux dans Azure. La prochaine étape est de la
configurer pour les tâches que nous voulons déplacer vers Azure.
Sauf si vous avez configuré un VPN de site à site vers Azure, vos machines virtuelles
Azure ne sont pas accessibles à partir de votre réseau local. Si vous faites vos
premiers pas avec Azure, il est peu probable que vous ayez un VPN de site à site
opérationnel. Alors comment faire pour se connecter à la machine virtuelle ?
Par défaut, les adresses IP publiques dans Azure sont allouées dynamiquement. Cela
signifie que l’adresse IP peut changer au fil du temps : pour les machines virtuelles,
l’affectation de l’adresse IP est effectuée au redémarrage. Vous pouvez payer
davantage pour attribuer des adresses statiques si vous voulez vous connecter
directement à une adresse IP et avoir la garantie que cette adresse ne changera pas.
En acceptant ces restrictions et les alternatives décrites ci-dessus, nous allons utiliser
l’adresse IP publique de la machine virtuelle dans ce module.
Auparavant, vous avez généré une paire de clés SSH, vous avez ajouté la clé publique
à la configuration de la machine virtuelle et vous avez vérifié que le port 22 était
ouvert.
Dans l’unité suivante, vous utilisez ces informations pour ouvrir un terminal sécurisé
sur la machine virtuelle avec SSH.
Une fois le terminal ouvert, vous avez accès à tous les outils en ligne de commande
Linux standard.
Continuer T
" 100 XP
Vous avez créé une machine virtuelle Linux dans Azure. La prochaine étape est de la
configurer pour les tâches que nous voulons déplacer vers Azure.
Sauf si vous avez configuré un VPN de site à site vers Azure, vos machines virtuelles
Azure ne sont pas accessibles à partir de votre réseau local. Si vous faites vos
premiers pas avec Azure, il est peu probable que vous ayez un VPN de site à site
opérationnel. Alors comment faire pour se connecter à la machine virtuelle ?
Par défaut, les adresses IP publiques dans Azure sont allouées dynamiquement. Cela
signifie que l’adresse IP peut changer au fil du temps : pour les machines virtuelles,
l’affectation de l’adresse IP est effectuée au redémarrage. Vous pouvez payer
davantage pour attribuer des adresses statiques si vous voulez vous connecter
directement à une adresse IP et avoir la garantie que cette adresse ne changera pas.
En acceptant ces restrictions et les alternatives décrites ci-dessus, nous allons utiliser
l’adresse IP publique de la machine virtuelle dans ce module.
Auparavant, vous avez généré une paire de clés SSH, vous avez ajouté la clé publique
à la configuration de la machine virtuelle et vous avez vérifié que le port 22 était
ouvert.
Dans l’unité suivante, vous utilisez ces informations pour ouvrir un terminal sécurisé
sur la machine virtuelle avec SSH.
Une fois le terminal ouvert, vous avez accès à tous les outils en ligne de commande
Linux standard.
Continuer T
" 100 XP
Notre serveur est en cours d’exécution et Apache est installé et retourne des pages.
Notre équipe de sécurité nous demande de verrouiller tous nos serveurs, et nous
n’avons encore rien fait à cette machine virtuelle. Nous n’avons rien fait et cela a
permis à Apache d’écouter le port 80. Examinons la configuration réseau Azure pour
voir comment utiliser la prise en charge de la sécurité intégrée afin de renforcer
notre serveur.
Les applications peuvent effectuer des requêtes sortantes, mais le seul trafic entrant
autorisé provient du réseau virtuel (par exemple, d’autres ressources sur le même
réseau local) et d’Azure Load Balancer (vérifications par sondage).
2. Créer une règle de trafic entrant autorisant le trafic sur les ports dont vous avez
besoin.
Les réseaux virtuels fournissent une isolation et une protection, et constituent la base
du modèle de gestion réseau Azure. Les groupes de sécurité réseau (NSG, Network
Security Groups) sont le principal outil que vous utilisez pour appliquer et contrôler
les règles de trafic réseau au niveau de la gestion réseau. Ils constituent une couche
de sécurité facultative qui fournit un pare-feu logiciel en filtrant le trafic entrant et
sortant sur le réseau virtuel.
Les groupes de sécurité peuvent être associés à une interface réseau (pour des règles
par hôte), à un sous-réseau sur le réseau virtuel (pour s’appliquer à plusieurs
ressources), ou aux deux niveaux.
Les NSG utilisent des règles pour autoriser ou refuser le trafic sur le réseau. Chaque
règle identifie les adresses source et de destination (ou la plage d’adresses), le
protocole, le port (ou plage), la direction (entrant ou sortant), une priorité numérique,
et s’il faut autoriser ou refuser le trafic qui correspond à la règle.
Chaque groupe de sécurité dispose d’un ensemble de règles de sécurité par défaut
permettant d’appliquer les règles de réseau par défaut décrites ci-dessus. Ces règles
par défaut ne peuvent pas être modifiées, mais peuvent être remplacées.
Pour le trafic entrant, Azure traite le groupe de sécurité associé au sous-réseau, puis
le groupe de sécurité appliqué à l’interface réseau. Le trafic sortant est géré dans
l’ordre inverse (l’interface réseau tout d’abord, suivie du sous-réseau).
2 Avertissement
N’oubliez pas que les groupes de sécurité sont facultatifs à ces deux niveaux. Si
aucun groupe de sécurité n’est appliqué, tout le trafic est autorisé par Azure.
Si la machine virtuelle a une adresse IP publique, cela peut constituer un risque
sérieux, en particulier si le système d’exploitation ne fournit pas de pare-feu
intégré.
Les règles sont évaluées par ordre de priorité, en commençant par la règle à la
priorité la plus basse. Les règles de refus arrêtent toujours l’évaluation. Par
exemple, si une règle d’interface réseau bloque une requête sortante, les règles
appliquées au sous-réseau ne seront pas vérifiées. Pour que le trafic traverse le
groupe de sécurité, il doit traverser tous les groupes appliqués.
La dernière règle est toujours une règle Refuser tout. Il s’agit d’une règle par défaut
ajoutée à chaque groupe de sécurité pour le trafic entrant et sortant avec une
priorité de 65 500. Cela signifie que pour que le trafic traverse le groupe de sécurité,
vous devez avoir une règle d’autorisation, sinon la règle par défaut finale le bloquera.
7 Notes
Continuer T
" 100 XP
Votre entreprise a décidé de gérer les données vidéo de ses caméras de surveillance
du trafic dans Azure à l’aide de machines virtuelles. Pour exécuter les multiples
codecs, nous devons d’abord créer les machines virtuelles. Nous devons également
nous connecter et interagir avec les machines virtuelles. Dans cette unité, vous allez
apprendre à créer une machine virtuelle à l’aide du portail Azure. Vous configurerez
la machine virtuelle pour l’accès à distance, sélectionnerez une image de machine
virtuelle et choisirez l’option de stockage appropriée.
La Place de marché Azure fournit également des images préconfigurées qui incluent
à la fois un système d’exploitation et des outils logiciels populaires installés pour des
scénarios spécifiques.
Comme d’autres services Azure, vous aurez besoin d’un groupe de ressources où
placer la machine virtuelle (et éventuellement regrouper ces ressources pour
l’administration). Quand vous créez une machine virtuelle, vous pouvez utiliser un
groupe de ressources existant ou en créer un.
Vous pouvez inclure dans l’image de machine virtuelle toute application qui est prise
en charge par l’ordinateur. Vous pouvez créer une machine virtuelle à partir d’une
image préconfigurée en fonction de vos besoins spécifiques, par exemple,
l’hébergement d’une application ASP.Net Core.
Conseil
Vous pouvez également créer et charger vos propres images (pour plus
d’informations, consultez la documentation).
2 Avertissement
Il existe des limites de quota sur chaque abonnement qui peuvent avoir un
impact sur la création de machine virtuelle. Par défaut, vous ne pouvez pas avoir
plus de 20 cœurs virtuels parmi toutes les machines virtuelles au sein d’une
région. Vous pouvez fractionner des machines virtuelles dans différentes régions
ou soumettre une demande en ligne afin d’augmenter vos limites.
Les tailles des machines virtuelles sont regroupées en catégories, de la série B pour
des tests et une exécution de base jusqu’à la série H pour les tâches de calcul très
exigeantes. Vous devez sélectionner la taille de machine virtuelle en fonction de la
charge de travail que vous souhaitez effectuer. Vous pouvez changer la taille d’une
machine virtuelle après sa création, mais la machine virtuelle doit tout d’abord être
arrêtée ; il est donc préférable de la dimensionner correctement dès le début si
possible.
Lourdes tâches de calcul Serveurs web au trafic moyen, appareils Fsv2, Fs, F
réseau, processus de traitement par lots et serveurs d’application.
Conseil
Azure utilise des disques durs virtuels (VHD) qui représentent les disques physiques
pour la machine virtuelle. Les disques durs virtuels répliquent le format logique et les
données d’un lecteur de disque, mais ils sont stockés sous la forme d’objets blob de
pages dans un compte de Stockage Azure. Vous pouvez choisir pour chaque disque
le type de stockage qu’il doit utiliser (SSD ou HDD). Cela vous permet de contrôler
les performances de chaque disque, probablement en fonction des E/S que vous
prévoyez d’effectuer sur celui-ci.
Par défaut, deux disques durs virtuels sont créés pour votre machine virtuelle
Windows :
2 Avertissement
Le disque temporaire n’est pas persistant. Vous ne devez écrire sur ce disque
que des données que vous êtes disposé à perdre à tout moment.
Vous pouvez stocker les données sur le lecteur C:, avec le système d’exploitation,
mais une meilleure approche consiste à créer des disques de données dédiés. Vous
pouvez créer des disques supplémentaires et les attacher à la machine virtuelle.
Chaque disque de données peut contenir jusqu’à 32 767 Gibioctets (Gio) de données,
la quantité maximale de stockage étant déterminée par la taille de machine virtuelle
que vous sélectionnez.
7 Notes
La création d’une image de disque dur virtuel à partir d’un disque réel est une
fonctionnalité intéressante. Cela vous permet de migrer facilement des
informations existantes d’un ordinateur local vers le cloud.
Avec les disques non managés, vous êtes responsable des comptes de stockage qui
sont utilisés pour contenir les disques durs virtuels correspondant aux disques de
votre machine virtuelle. Vous payez le tarif de compte de stockage correspondant à
la quantité d’espace que vous utilisez. Un compte de stockage a une limite fixe de
20 000 opérations d’E/S par seconde. Cela signifie qu’un compte de stockage est
capable de prendre en charge 40 disques durs virtuels standard en utilisation
maximale. Si vous voulez effectuer une montée en charge, vous aurez besoin de
Fiabilité accrue : Azure garantit que les disques durs virtuels associés aux
machines virtuelles à haute fiabilité sont placés dans différentes parties du
Stockage Azure pour fournir des niveaux de résilience similaires.
Sécurité accrue : Les disques managés sont réellement des ressources
managées dans le groupe de ressources. Cela signifie qu’ils peuvent utiliser le
contrôle d’accès en fonction du rôle pour restreindre le nombre de personnes
autorisées à se servir des données des disques durs virtuels.
Prise en charge des instantanés : Vous pouvez utiliser des instantanés pour
créer une copie en lecture seule d’un VHD (disque dur virtuel). Vous devez
arrêter la machine virtuelle propriétaire, mais la création de l’instantané ne
prend que quelques secondes. Une fois que vous avez terminé, vous pouvez
mettre la machine virtuelle sous tension et utiliser l’instantané afin de créer un
double de la machine virtuelle pour résoudre un problème de production ou
restaurer la machine virtuelle au moment où l’instantané a été pris.
Prise en charge des sauvegardes : Vous pouvez sauvegarder
automatiquement les disques managés dans des régions distinctes pour
effectuer une reprise d’activité avec Sauvegarde Azure, tout ceci sans affecter le
service de la machine virtuelle.
Communication réseau
Les machines virtuelles communiquent avec les ressources externes à l’aide d’un
réseau virtuel. Le réseau virtuel représente un réseau privé dans une région, sur
lequel vos ressources communiquent. Il s’apparente aux réseaux que vous gérez
localement. Vous pouvez diviser un réseau virtuel en sous-réseaux pour isoler les
ressources, le connecter à d’autres réseaux (notamment vos réseaux locaux) et
appliquer des règles de trafic afin de régir les connexions entrantes et sortantes.
Quand vous créez une machine virtuelle, vous avez la possibilité de créer un réseau
virtuel ou d’utiliser un réseau virtuel existant dans votre région.
Il est simple de faire en sorte qu’Azure crée le réseau ainsi que la machine virtuelle,
mais ce n’est probablement pas idéal pour la plupart des scénarios. Il est préférable
de planifier vos exigences réseau dès le début pour tous les composants de votre
architecture, et de créer séparément la structure de réseau virtuel dont vous avez
besoin. Ensuite, vous pouvez créer les machines virtuelles et les placer sur les réseaux
virtuels déjà créés.
Nous examinerons les réseaux virtuels plus en détail un peu plus loin dans ce
module. Nous allons appliquer certaines de ces connaissances et créer une machine
virtuelle dans Azure.
Continuer T
" 100 XP
Comme nous avons maintenant une machine virtuelle Windows dans Azure, la
prochaine chose que nous allons faire consiste à placer vos applications et vos
données sur ces machines virtuelles pour traiter nos vidéos de surveillance du trafic.
Toutefois, à moins que vous ayez configuré un VPN de site à site vers Azure, vos
machines virtuelles Azure ne sont pas accessibles à partir de votre réseau local. Si
vous faites vos premiers pas avec Azure, il est peu probable que vous ayez un VPN
de site à site opérationnel. Dans ces conditions, comment pouvez-vous transférer des
fichiers vers des machines virtuelles Azure ? Une méthode simple consiste à utiliser la
fonctionnalité Connexions Bureau à distance d’Azure pour partager vos lecteurs
locaux avec vos nouvelles machines virtuelles Azure.
Maintenant que nous disposons d’une nouvelle machine virtuelle Windows, nous
devons y installer notre logiciel personnalisé. Il existe plusieurs façons de le faire.
Examinons l’approche la plus simple pour les machines virtuelles Windows : Bureau à
distance.
Une connexion RDP requiert un client prenant en charge le protocole RDP (client
RDP). Microsoft fournit des clients prenant en charge le protocole RDP pour les
systèmes d’exploitation suivants :
Windows (intégré)
MacOS
iOS
Android
La capture d’écran suivante affiche le client prenant en charge le protocole RDP dans
Windows 10.
Il existe également des clients Linux open source, tels que Remmina, qui vous
permettent de vous connecter à un PC Windows à partir d’une distribution Ubuntu.
la machine virtuelle via Internet. Nous pouvons également configurer un réseau privé
virtuel (VPN) qui connecte notre réseau local à Azure, ce qui nous permet de nous
connecter de manière sécurisée à la machine virtuelle sans exposer une adresse IP
publique. Cette approche est couverte dans un autre module et est entièrement
documentée si vous souhaitez explorer cette option.
Concernant les adresses IP publiques dans Azure, gardez à l’esprit qu’elles sont
souvent allouées dynamiquement. Cela signifie que l’adresse IP peut changer au fil
du temps, par exemple, au redémarrage d’une machine virtuelle. Vous pouvez payer
davantage pour attribuer des adresses statiques si vous souhaitez vous connecter
directement à une adresse IP plutôt qu’utiliser un nom et avoir la garantie que
l’adresse IP ne change pas.
La connexion à une machine virtuelle dans Azure à l’aide du protocole RDP est un
processus simple. Dans le portail Azure, accédez aux propriétés de votre machine
virtuelle puis, en haut, cliquez sur Se connecter. Cette action affiche les adresses IP
attribuées à la machine virtuelle et vous donne la possibilité de télécharger un fichier
.rdp préconfiguré que Windows ouvre ensuite dans le client RDP. Vous pouvez
choisir de vous connecter via l’adresse IP publique de la machine virtuelle dans le
fichier RDP. Si vous vous connectez via VPN ou ExpressRoute, vous pouvez
également sélectionner l’adresse IP interne. Vous pouvez aussi sélectionner le
numéro de port pour la connexion.
Si vous utilisez une adresse IP publique statique pour la machine virtuelle, vous
pouvez enregistrer le fichier .rdp sur votre bureau. Si vous utilisez un adressage IP
dynamique, le fichier .rdp ne reste valide que pendant que la machine virtuelle est en
cours d’exécution. Si vous arrêtez puis redémarrez la machine virtuelle, vous devez
télécharger un autre fichier .rdp.
Conseil
Quand vous vous connectez, vous recevez généralement deux avertissements. Les
voici :
-Avertissement du publieur : causé par le fait que le fichier .rdp n’est pas signé
publiquement.
Dans des environnements de test, ces avertissements peuvent être ignorés. Dans des
environnements de production, le fichier .rdp peut être signé à l’aide de
RDPSIGN.EXE et du certificat d’ordinateur placé dans le magasin Autorités de
certification racines de confiance du client.
Essayons d’utiliser le protocole RDP pour nous connecter à notre machine virtuelle.
Continuer T
" 100 XP
Nous avons installé notre logiciel personnalisé, configuré un serveur FTP et configuré
la machine virtuelle pour recevoir nos fichiers vidéo. Toutefois, si nous essayons de
nous connecter à notre adresse IP publique avec le protocole FTP, nous découvrirons
qu’elle est bloquée.
Vous avez déjà vu une partie des informations de base et des options de gestion
dans le panneau Vue d’ensemble de la machine virtuelle. Examinons un peu plus la
configuration réseau.
Les applications peuvent effectuer des demandes sortantes, mais le seul trafic entrant
autorisé provient du réseau virtuel (par exemple, d’autres ressources sur le même
réseau local) et d’Azure Load Balancer (contrôles par sondage).
Les réseaux virtuels fournissent une isolation et une protection, et constituent la base
du modèle de gestion réseau Azure. Les groupes de sécurité réseau (NSG, Network
Security Groups) sont le principal outil que vous utilisez pour appliquer et contrôler
les règles de trafic réseau au niveau de la gestion réseau. Ils constituent une couche
de sécurité facultative qui fournit un pare-feu logiciel en filtrant le trafic entrant et
sortant sur le réseau virtuel.
Les groupes de sécurité peuvent être associés à une interface réseau (pour des règles
par hôte), à un sous-réseau sur le réseau virtuel (pour s’appliquer à plusieurs
ressources), ou aux deux niveaux.
Les NSG utilisent des règles pour autoriser ou refuser le trafic sur le réseau. Chaque
règle identifie les adresses source et de destination (ou la plage d’adresses), le
protocole, le port (ou la plage), la direction (entrante ou sortante), une priorité
numérique, et s’il faut autoriser ou refuser le trafic qui correspond à la règle.
L’illustration suivante montre les règles de groupe de sécurité réseau appliquées aux
niveaux du sous-réseau et de l’interface réseau.
Chaque groupe de sécurité dispose d’un ensemble de règles de sécurité par défaut
permettant d’appliquer les règles de réseau par défaut décrites ci-dessus. Ces règles
par défaut ne peuvent pas être modifiées, mais peuvent être remplacées.
Pour le trafic entrant, Azure traite le groupe de sécurité associé au sous-réseau, puis
le groupe de sécurité appliqué à l’interface réseau. Le trafic sortant est traité dans
l’ordre inverse (l’interface réseau tout d’abord, suivie du sous-réseau).
2 Avertissement
N’oubliez pas que les groupes de sécurité sont facultatifs aux deux niveaux. Si
aucun groupe de sécurité n’est appliqué, tout le trafic est autorisé par Azure.
Si la machine virtuelle a une adresse IP publique, cela peut constituer un risque
sérieux, en particulier si le système d’exploitation ne fournit pas de
fonctionnalité de pare-feu.
Les règles sont évaluées par ordre de priorité, en commençant par la règle à la
priorité la plus basse. Les règles de refus arrêtent toujours l’évaluation. Par
exemple, si une règle d’interface réseau bloque une requête sortante, les règles
appliquées au sous-réseau ne sont pas vérifiées. Pour que le trafic traverse le groupe
La dernière règle est toujours une règle Refuser tout. Il s’agit d’une règle par défaut
ajoutée à chaque groupe de sécurité pour le trafic entrant et sortant avec une
priorité de 65 500. Cela signifie que pour que le trafic traverse le groupe de sécurité,
vous devez avoir une règle d’autorisation, sinon la règle par défaut finale le bloque.
7 Notes
Continuer T
" 100 XP
Le responsable de l’information dans votre service gère un site web non public dont
l’utilisation est réservée aux médias locaux. Votre responsable de l’information utilise
son appareil mobile pour mettre à jour le contenu sur le site web d’information afin
que les médias locaux puissent rester informés des événements en cours. Pour éviter
que des informations non autorisées ou incorrectes soient présentées aux médias, ce
site doit être aussi sécurisé que possible. En tant qu’administrateur, pour améliorer la
sécurité, vous pouvez maintenir à jour le site avec les dernières mises à jour.
Dans cette unité, nous allons présenter la solution Update Management pour Azure.
Update Management peut être utilisé pour intégrer des machines en mode natif
dans plusieurs abonnements du même locataire. Pour gérer les machines d’un autre
locataire, vous devez les intégrer en tant que machines non-Azure.
Intelligence Pack d’évaluation des mises à jour pour Microsoft System Center
Advisor
Microsoft.IntelligencePack.UpdateAssessment.Configuration
Pack d’administration du déploiement des mises à jour
" 100 XP
En plus d’un site web public, le service utilise des sites web pour le contenu interne
tel que les dossiers de remise et de soins des patients. Ces sites doivent être aussi
sécurisés que possible.
Analyse de conformité
Update Management effectue une analyse de conformité de mise à jour. Par défaut,
une analyse de conformité est effectuée toutes les 12 heures sur un ordinateur
Windows et toutes les 3 heures sur un ordinateur Linux. En plus de l’analyse planifiée,
une analyse de conformité est lancée dans les 15 minutes si MMA est redémarré,
avant et après l’installation de la mise à jour. Dès qu’un ordinateur effectue une
L’affichage sur le tableau de bord des données mises à jour provenant des
ordinateurs gérés peut prendre de 30 minutes à 6 heures.
Les mises à jour sont installées par des Runbooks dans Azure Automation. Vous ne
pouvez pas visualiser ces Runbooks, qui ne nécessitent aucune configuration.
Lorsqu’un déploiement de mises à jour est créé, il génère un calendrier qui lance un
Runbook de mise à jour principal à l’heure spécifiée pour les ordinateurs inclus.
Ce Runbook principal lance un Runbook enfant sur chaque agent qui effectue
l’installation des mises à jour obligatoires.
Unité suivante: Exercice : utiliser Azure Log Analytics et planifier les mises
à jour
Continuer T
" 100 XP
Vous disposez d’un centre de données local que vous souhaitez conserver, mais vous
souhaitez utiliser Azure pour décharger les pics de trafic à l’aide de machines
virtuelles hébergées dans Azure. Vous souhaitez conserver votre schéma d’adressage
IP et vos appliances réseau existants, tout en assurant des transferts de données
sécurisés.
L’isolement et la segmentation
Les communications Internet
Communiquer entre des ressources Azure
Communiquer avec des ressources locales
Router le trafic
Filtrer le trafic
Connecter des réseaux virtuels
Isolement et segmentation
Azure vous permet de créer plusieurs réseaux virtuels isolés. Lorsque vous configurez
un réseau virtuel, vous définissez un espace d’adressage IP privé, à l’aide de plages
d’adresses IP publiques ou privées. Vous pouvez ensuite segmenter cet espace
d’adressage IP en sous-réseaux et allouer une partie de l’espace d’adressage défini à
chaque sous-réseau nommé.
Communications Internet
Une machine virtuelle Azure peut se connecter à Internet par défaut. Vous pouvez
activer les connexions entrantes en provenance d’Internet en définissant une
adresse IP publique ou un équilibreur de charge public. Pour la gestion des machines
virtuelles, vous pouvez vous connecter via Azure CLI, le protocole RDP (Remote
Desktop Protocol) ou le protocole SSH (Secure Shell).
Vous voudrez permettre aux ressources Azure de communiquer entre elles en toute
Réseaux virtuels
Les réseaux virtuels peuvent non seulement connecter des machines virtuelles,
mais également d’autres ressources Azure, comme l’environnement App
Service, Azure Kubernetes Service et les groupes de machines virtuelles
identiques Azure.
Vous pouvez utiliser des points de terminaison de service pour établir une
connexion à d’autres types de ressources Azure, comme des comptes de
stockage et des bases de données Azure SQL. Cette approche vous permet de
lier plusieurs ressources Azure à des réseaux virtuels, améliorant ainsi la sécurité
et fournissant un routage optimal entre les ressources.
Les réseaux virtuels Azure vous permettent de lier des ressources ensemble dans
votre environnement local et au sein de votre abonnement Azure, permettant ainsi la
création d’un réseau s’étendant sur vos environnements locaux et cloud. Il existe trois
mécanismes vous permettant d’assurer cette connectivité :
Cette approche ressemble à une connexion VPN utilisée par un ordinateur situé
à l’extérieur de votre organisation pour entrer dans votre réseau, sauf qu’elle
fonctionne dans la direction opposée. Dans ce cas, l’ordinateur client initie une
connexion VPN chiffrée vers Azure, connectant cet ordinateur au réseau virtuel
Azure.
Réseaux privés virtuels de site à site Un VPN de site à site lie votre appareil
ou passerelle VPN local à la passerelle VPN Azure sur un réseau virtuel. En
pratique, les appareils dans Azure peuvent apparaître comme étant sur le
réseau local. La connexion est chiffrée et fonctionne sur Internet.
Azure ExpressRoute
Pour les environnements où vous avez besoin d’une bande passante plus
Par défaut, Azure achemine le trafic entre les sous-réseaux sur tout réseau virtuel
connecté, tout réseau local et Internet. Toutefois, vous pouvez contrôler le routage et
substituer ces paramètres comme suit :
Tables de routage
Une table de routage vous permet de définir des règles concernant la direction
du trafic. Vous pouvez créer des tables de routage personnalisées qui
contrôlent la façon dont les paquets sont routés entre les sous-réseaux.
Les réseaux virtuels Azure vous permettent de filtrer le trafic entre des sous-réseaux à
l’aide des approches suivantes :
Une appliance virtuelle réseau est une machine virtuelle spécialisée qui peut
être comparée à une appliance réseau renforcée. Une appliance virtuelle réseau
effectue une fonction particulière au sein du réseau, comme l’exécution d’un
pare-feu ou une optimisation WAN.
Quand vous créez un réseau virtuel Azure, vous configurez un certain nombre de
paramètres de base. Vous aurez la possibilité de configurer des paramètres avancés,
comme plusieurs sous-réseaux, la protection contre le déni de service distribué
(DDoS) et les points de terminaison de service.
Vous allez configurer les paramètres suivants pour un réseau virtuel de base :
Nom de réseau
Le nom du réseau doit être unique au sein de votre abonnement, mais il ne doit
pas être globalement unique. Choisissez un nom descriptif facile à mémoriser et
à identifier parmi les autres réseaux virtuels.
Espace d’adressage
Toutefois, vous pouvez utiliser 10.0.0.0/16, avec les adresses comprises entre
10.0.0.1 et 10.0.255.254, et 10.1.0.0/16, avec les adresses comprises entre
10.1.0.1 et 10.1.255.254. Vous pouvez affecter ces espaces d’adressage à vos
réseaux virtuels, car il n’existe aucun chevauchement d’adresse.
7 Notes
Vous pouvez ajouter des espaces d’adressage après avoir créé le réseau
virtuel.
Abonnement
Groupe de ressources
Comme toutes les autres ressources Azure, un réseau virtuel doit exister dans
un groupe de ressources. Vous pouvez sélectionner un groupe de ressources
existant ou en créer un.
Emplacement
Sous-réseau
7 Notes
Ici, vous activez des points de terminaison de service et vous sélectionnez les
points de terminaison de service Azure que vous souhaitez activer à partir de la
liste. Les options incluent Azure Cosmos DB, Azure Service Bus, Key Vault et
d’autres.
Une fois le réseau virtuel créé, vous pouvez définir d’autres paramètres. Il s’agit
notamment des paramètres suivants :
Les groupes de sécurité réseau possèdent des règles de sécurité qui vous
permettent de filtrer le type de trafic réseau qui peut circuler vers et depuis les
Table de routage
Lorsque vous avez créé un réseau virtuel, vous pouvez modifier des paramètres
supplémentaires à partir du volet Réseaux virtuels dans le portail Azure. Sinon, vous
pouvez utiliser des commandes PowerShell ou des commandes dans Cloud Shell
pour effectuer des modifications.
Vous pouvez ensuite consulter et modifier des paramètres dans d’autres sous-volets.
Il s’agit notamment des paramètres suivants :
Vous pouvez également superviser et résoudre les problèmes relatifs aux réseaux
virtuels, ou bien créer un script d’automation pour générer le réseau virtuel actuel.
Les réseaux virtuels sont des mécanismes puissants et hautement configurables pour
connecter des entités dans Azure. Vous pouvez connecter des ressources Azure entre
elles, ou bien les connecter à des ressources locales. Vous pouvez isoler, filtrer et
router le trafic réseau. Azure vous permet de renforcer la sécurité aux emplacements
où vous l’estimez nécessaire.
Continuer T
" 100 XP
Pour intégrer votre environnement local à Azure, vous devez pouvoir créer une
connexion chiffrée. Vous pouvez vous connecter par le biais d’Internet ou d’une
liaison dédiée. Ici, nous allons examiner la passerelle VPN Azure, qui fournit un point
de terminaison aux connexions entrantes à partir d’environnements locaux.
Vous avez configuré un réseau virtuel Azure et vous devez vous assurer du
chiffrement de tous les transferts de données depuis Azure vers votre site et entre
des réseaux virtuels Azure. Vous devez également savoir comment connecter des
réseaux virtuels entre des régions et des abonnements.
Chaque réseau virtuel ne peut posséder qu’une seule passerelle VPN. Toutes les
connexions à cette passerelle VPN partagent la bande passante réseau disponible.
le sous-réseau de passerelle.
La création d’une passerelle de réseau virtuel peut prendre du temps, il est important
de la prévoir à l’avance. Lorsque vous créez une passerelle de réseau virtuel, le
processus d’approvisionnement génère les machines virtuelles de passerelle et les
déploie sur le sous-réseau de passerelle. Ces machines virtuelles disposeront des
paramètres que vous avez configurés sur la passerelle.
Les connexions entre des réseaux virtuels via un tunneling VPN IPsec/IKE, liant
plusieurs passerelles VPN entre elles.
Le tunneling VPN IPsec/IKE entre plusieurs sites, pour connecter des réseaux
locaux à Azure via des appareils VPN dédiés afin de créer des connexions de
site à site.
Les connexions point à site par IKEv2 ou SSTP, pour lier des ordinateurs clients
aux ressources dans Azure.
À présent, examinons les facteurs que vous devez prendre en compte pour la
planification de votre passerelle VPN.
Facteurs de planification
Voici les facteurs que vous devez couvrir pendant votre processus de planification :
Le tableau suivant résume certains de ces points de planification. Le reste est décrit
plus loin.
Services pris Services cloud et Services cloud et Tous les services pris
en charge par machines machines virtuelles en charge
Azure virtuelles
Il est important de choisir la référence SKU qui vous convient. Si vous avez configuré
votre passerelle VPN avec une mauvaise référence SKU, vous devrez supprimer et
recréer la passerelle, ce qui peut prendre du temps. Pour les dernières informations
sur les références SKU de passerelle, notamment le débit, consultez Qu’est-ce qu’une
passerelle VPN ? - SKU de passerelle.
Workflow
Lorsque vous concevez une stratégie de connectivité cloud à l’aide d’un réseau privé
virtuel sur Azure, vous devez appliquer le flux de travail suivant :
Lorsque vous concevez vos passerelles VPN pour connecter des réseaux virtuels, vous
devez prendre en compte les facteurs suivants :
Vous ne pouvez pas avoir deux hôtes avec la même adresse IP à différents
emplacements, car il est impossible d’acheminer le trafic entre ces deux hôtes
et la connexion entre les réseaux virtuels échouera.
Avant de créer une passerelle VPN, vous devez créer le réseau virtuel Azure.
Le type de passerelle VPN que vous créez dépend de votre architecture. Les options
sont les suivantes :
RouteBased
Les appareils VPN basés sur le routage utilisent des sélecteurs de trafic
universels (caractère générique) et laissent les tables de routage/transfert
diriger le trafic vers les différents tunnels IPsec. Les connexions basées sur le
routage sont, en règle générale, construites sur des plateformes de routeur où
chaque tunnel IPsec est modélisé en tant qu’interface réseau ou VTI (interface
virtuelle de tunnel).
PolicyBased
Les appareils VPN basés sur des stratégies utilisent des combinaisons de
préfixes provenant des deux réseaux pour définir la façon dont le trafic est
chiffré/déchiffré via les tunnels IPsec. Une connexion basée sur des stratégies
est, en règle générale, construite sur des dispositifs de pare-feu qui se chargent
du filtrage des paquets. Les fonctions de chiffrement et de déchiffrement de
tunnel IPsec sont ajoutées au filtrage des paquets et au moteur de traitement.
Étant donné qu’il y a plusieurs chemins d’accès de configuration avec les passerelles
VPN Azure, chacun disposant de plusieurs options, il n’est pas possible de couvrir
chaque configuration dans ce cours. Pour plus d’informations, consultez la section
Ressources supplémentaires.
Configurer la passerelle
Une fois votre passerelle créée, vous devez la configurer. Il existe plusieurs
paramètres de configuration que vous devrez fournir, comme le nom, l’emplacement,
le serveur DNS, etc. Nous verrons cela plus en détail au cours de l’exercice.
Les passerelles VPN Azure sont un composant des réseaux virtuels Azure qui active
les connexions de point à site, de site à site ou de réseau à réseau. Les passerelles
VPN Azure permettent aux ordinateurs clients individuels de se connecter aux
ressources dans Azure, d’étendre des réseaux locaux dans Azure ou de faciliter les
connexions entre des réseaux virtuels entre différentes régions et plusieurs
abonnements.
Continuer T
" 100 XP
Dans la mesure où votre société traite des données hautement sensibles et stocke
de grandes quantités d’informations dans Azure, la sécurité et la fiabilité des
connexions sur Internet publiques suscitent certaines préoccupations. La société ne
souhaite pas migrer toutes ses données vers Azure sans la garantie préalable de
hauts niveaux de connectivité, de sécurité et de fiabilité.
Ici, nous irons au-delà des connexions passant par Internet, et nous traiterons des
lignes dédiées directes dans les centres de données Azure.
Azure ExpressRoute
Microsoft Azure ExpressRoute permet aux organisations d’étendre leurs réseaux
locaux à Microsoft Cloud via une connexion privée implémentée par un fournisseur
de connectivité. Ceci signifie que la connectivité aux centres de données Azure ne
passe pas par Internet, mais par une liaison dédiée. ExpressRoute facilite également
les connexions efficaces avec d’autres services cloud Microsoft, par exemple
Office 365 et Dynamics 365.
Débits plus importants, entre 50 Mbits/s et 10 Gbits/s avec une mise à l’échelle
dynamique de la bande passante
Sécurité élevée
Des liaisons Ethernet de point à point peuvent fournir des connexions gérées de
couche 2 ou 3 entre vos centres de données ou bureaux locaux et Microsoft Cloud.
Fonctionnement d’ExpressRoute
Azure ExpressRoute utilise une combinaison des circuits et des domaines de routage
ExpressRoute pour fournir une connectivité à large bande passante vers Microsoft
Cloud.
Chaque circuit peut avoir jusqu’à trois peerings, qui sont une paire de sessions BGP
configurées pour la redondance. Il s'agit de :
Privé Azure
Public Azure
Microsoft
Domaines de routage
Les circuits ExpressRoute sont ensuite mappés à des domaines de routage, chaque
circuit ExpressRoute ayant plusieurs domaines de routage. Ces domaines sont les
mêmes que les trois peerings répertoriés ci-dessus. Dans une configuration actif-
actif, chaque paire de routeurs aurait chaque domaine de routage configuré de
manière identique, offrant ainsi une haute disponibilité. Les noms de peering public
Azure et privé Azure représentent les schémas d’adressage IP.
Le peering privé Azure se connecte à des services de calcul Azure comme les
machines virtuelles et les services cloud déployés avec un réseau virtuel. Du point de
vue de la sécurité, le domaine de peering privé est une simple extension de votre
réseau local dans Azure. Vous activez ensuite une connectivité bidirectionnelle entre
ce réseau et des réseaux virtuels Azure, rendant les adresses IP des machines
virtuelles Azure visibles au sein de votre réseau interne.
7 Notes
Le peering public Azure permet des connexions privées à des services disponibles
sur des adresses IP publiques, par exemple Stockage Azure, les bases de données
Azure SQL et les services web Azure. Avec le peering public, vous pouvez vous
connecter à ces adresses IP publiques de service sans que votre trafic ne soit
acheminé via internet. La connectivité va toujours de votre réseau étendu vers Azure,
jamais dans le sens inverse. Il s’agit également d’une approche tout ou rien, étant
donné que vous ne pouvez pas sélectionner les services pour lesquels vous
7 Notes
Pour les services PaaS Azure, nous vous recommandons d’utiliser le peering
Microsoft plutôt que le peering public.
Peering Microsoft
Le peering Microsoft prend en charge les connexions à des offres SaaS basées sur le
cloud, comme Office 365 et Dynamics 365. Cette option de peering fournit une
connectivité bidirectionnelle entre le réseau étendu de votre entreprise et des
services cloud de Microsoft.
Intégrité ExpressRoute
Disponibilité
Connectivité à des réseaux virtuels
Utilisation de la bande passante
L’outil clé pour cette activité de supervision est Network Performance Monitor, en
particulier NPM pour ExpressRoute.
Azure ExpressRoute est utilisé pour créer des connexions privées entre les centres de
données Azure et une infrastructure locale ou dans un environnement de
colocalisation. Les connexions ExpressRoute ne sont pas établies via le réseau
Internet public. Elles offrent une plus grande fiabilité, des débits plus importants et
des latences moindres par rapport aux connexions Internet classiques.
Continuer T
" 100 XP
Vous pouvez utiliser le peering de réseaux virtuels pour connecter directement des
réseaux virtuels Azure. Quand vous utilisez le peering pour connecter des réseaux
virtuels, les machines virtuelles incluses dans ces réseaux peuvent communiquer
entre elles comme si elles se trouvaient dans le même réseau.
Dans les réseaux virtuels appairés, le trafic entre les machines virtuelles est routé par
le biais du réseau Azure. Le trafic utilise uniquement des adresses IP privées. Il ne
repose pas sur la connectivité Internet, des passerelles ou des connexions chiffrées.
Le trafic est toujours privé et il exploite la bande passante élevée et la latence faible
du réseau principal Azure.
VNet1 VNet2
Connexion
d'appairage
Les deux types de connexions de peering se créent de la même façon :
virtuels qui se trouvent dans des régions Azure différentes, par exemple un
réseau virtuel de la région Europe Nord et un réseau virtuel de la région Europe
Ouest.
Le peering de réseaux virtuels n’affecte pas et ne perturbe pas les ressources que
vous avez déjà déployées sur les réseaux virtuels. Mais quand vous utilisez le peering
de réseaux virtuels, tenez compte des fonctionnalités clés définies dans les sections
suivantes.
Connexions réciproques
Quand vous créez une connexion de peering de réseaux virtuels dans un seul réseau
virtuel pour vous connecter à un pair situé sur un autre réseau, vous ne connectez
pas les réseaux entre eux. Pour les connecter par peering de réseaux virtuels, vous
devez créer des connexions dans chaque réseau virtuel.
Pensez à la manière dont vous connectez deux commutateurs réseau ensemble. Vous
connectez un câble à chaque commutateur et peut-être configurez-vous des
paramètres afin que les commutateurs puissent communiquer. Le peering de réseaux
virtuels nécessite des connexions similaires dans chaque réseau virtuel. Des
connexions réciproques fournissent cette fonctionnalité.
Quand vous utilisez le peering de réseaux virtuels entre abonnements, sachez que
l’administrateur d’un abonnement peut ne pas administrer l’abonnement du réseau
appairé. Il risque alors de ne pas être en mesure de configurer les deux extrémités de
la connexion. Pour appairer les réseaux virtuels quand les deux abonnements se
trouvent dans des locataires Azure Active Directory différents, les administrateurs de
Transitivité
Le peering de réseaux virtuels n’est pas transitif. Seules les réseaux virtuels
directement appairés peuvent communiquer entre eux. Les réseaux virtuels ne
peuvent pas communiquer avec les pairs de leurs pairs.
Supposons, par exemple, que vos trois réseaux virtuels (A, B, C) soient appairés
comme ceci : A <-> B <-> C. Les ressources de A ne peuvent pas communiquer avec
les ressources de C, car ce trafic ne peut pas transiter par le biais du réseau virtuel B.
Si vous avez besoin d’une communication entre le réseau virtuel A et le réseau virtuel
C, vous devez les appairer explicitement.
Pour activer le transit par passerelle, configurez l’option Autoriser le transit par
passerelle dans le réseau virtuel hub où vous avez déployé la connexion de
passerelle sur votre réseau local. Configurez également l’option Utiliser des
passerelles distantes dans les réseaux virtuels spoke.
7 Notes
Vous pouvez également connecter des réseaux virtuels entre eux par le biais du
circuit ExpressRoute. ExpressRoute est une connexion privée dédiée entre un centre
de données local et le réseau principal Azure. Les réseaux virtuels connectés à un
circuit ExpressRoute font partie du même domaine de routage et peuvent
communiquer entre eux. Les connexions ExpressRoute ne passent pas par l’Internet
public, si bien que vos communications avec les services Azure sont aussi sécurisées
que possible.
Les réseaux privés virtuels (VPN) utilisent Internet pour connecter votre centre de
données local au réseau principal Azure par le biais d’un tunnel chiffré. Vous pouvez
une configuration de site à site pour connecter des réseaux virtuels entre eux par le
biais de passerelle VPN. Les passerelles VPN ont une latence plus élevée que les
configurations de peering de réseaux virtuels. Elles sont plus complexes à gérer et
elles peuvent coûter plus cher.
Quand des réseaux virtuels sont connectés par le biais d’une passerelle et par
peering, le trafic passe par la configuration du peering.
Le peering ne sera peut-être pas votre premier choix si vous avez des connexions ou
des services VPN ou ExpressRoute existants derrière des équilibreurs de charge Azure
de base qui doivent être accessibles depuis un réseau virtuel appairé. Dans ce cas,
vous devez rechercher des alternatives.
7 Notes
Cet article a été mis à jour pour tenir compte de l’utilisation du nouveau
module Az d’Azure PowerShell. Vous pouvez toujours utiliser le module
AzureRM, qui continue à recevoir des correctifs de bogues jusqu’à au
moins décembre 2020. Pour en savoir plus sur le nouveau module Az et la
compatibilité avec AzureRM, consultez Présentation du nouveau module
Az d’Azure PowerShell. Pour des instructions d’installation du module Az,
consultez Installer Azure PowerShell.
Vous pouvez connecter des réseaux virtuels entre eux à l’aide du peering de
réseaux virtuels. Une fois que les deux réseaux virtuels sont appairés, leurs
ressources peuvent communiquer entre elles avec les mêmes bande passante
et latence, comme si elles se trouvaient sur le même réseau virtuel. Dans cet
article, vous apprendrez comment :
Option Exemple/Lien
Sélectionnez Essayer
dans le coin supérieur
droit d’un bloc de code.
La sélection de Essayer
ne copie pas
automatiquement le code
dans Cloud Shell.
Accédez à
https://shell.azure.com ou
sélectionnez le bouton
Lancer Cloud Shell pour
ouvrir Cloud Shell dans
votre navigateur.
Sélectionnez le bouton
Cloud Shell dans la barre
de menus en haut à
droite du portail Azure.
$virtualNetwork1 = New-AzVirtualNetwork `
-ResourceGroupName myResourceGroup `
-Location EastUS `
-Name myVirtualNetwork1 `
-AddressPrefix 10.0.0.0/16
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
-Name Subnet1 `
-AddressPrefix 10.0.0.0/24 `
-VirtualNetwork $virtualNetwork1
$virtualNetwork1 | Set-AzVirtualNetwork
Add-AzVirtualNetworkPeering `
-Name myVirtualNetwork1-myVirtualNetwork2 `
-VirtualNetwork $virtualNetwork1 `
-RemoteVirtualNetworkId $virtualNetwork2.Id
Add-AzVirtualNetworkPeering `
-Name myVirtualNetwork2-myVirtualNetwork1 `
-VirtualNetwork $virtualNetwork2 `
-RemoteVirtualNetworkId $virtualNetwork1.Id
Get-AzVirtualNetworkPeering `
-ResourceGroupName myResourceGroup `
-VirtualNetworkName myVirtualNetwork1 `
| Select PeeringState
Les ressources d’un réseau virtuel ne peuvent pas communiquer avec les
ressources d’un autre réseau virtuel tant que la valeur de PeeringState pour
les appairages dans les deux réseaux virtuels soit Connected.
Créez une machine virtuelle avec New-AzVM. L’exemple suivant crée une
machine virtuelle nommée myVm1 dans le réseau virtuel myVirtualNetwork1.
L’option -AsJob crée la machine virtuelle en arrière-plan. Vous pouvez donc
passer à l’étape suivante. Lorsque vous y êtes invité, entrez le nom d’utilisateur
et le mot de passe pour vous connecter à la machine virtuelle.
New-AzVm `
-ResourceGroupName "myResourceGroup" `
-Location "East US" `
-VirtualNetworkName "myVirtualNetwork1" `
-SubnetName "Subnet1" `
-ImageName "Win2016Datacenter" `
-Name "myVm1" `
-AsJob
New-AzVm `
-ResourceGroupName "myResourceGroup" `
-Location "East US" `
-VirtualNetworkName "myVirtualNetwork2" `
-SubnetName "Subnet1" `
-ImageName "Win2016Datacenter" `
-Name "myVm2"
Get-AzPublicIpAddress `
-Name myVm1 `
-ResourceGroupName myResourceGroup | Select IpAddress
Utilisez la commande suivante pour créer une session Bureau à distance avec
la machine virtuelle myVm1 à partir de votre ordinateur local. Remplacez
<publicIpAddress> par l’adresse IP retournée par la commande précédente.
= Copier
mstsc /v:<publicIpAddress>
Un fichier .rdp (Remote Desktop Protocol) est créé, téléchargé sur votre
ordinateur, puis ouvert. Entrez le nom d’utilisateur et le mot de passe (il se
peut que vous deviez choisir Plus de choix, puis Utiliser un compte différent
pour spécifier les informations d’identification que vous avez entrées lors de la
création de la machine virtuelle), puis cliquez sur OK. Un avertissement de
certificat peut s’afficher pendant le processus de connexion. Cliquez sur Oui ou
Continuer pour continuer le processus de connexion.
PowerShell = Copier
Bien que ce test ping soit utilisé pour établir une communication entre les
machines virtuelles, il n’est pas recommandé d’autoriser le protocole IMCP via
le pare-feu Windows lors de déploiements de production.
= Copier
mstsc /v:10.1.0.4
Étant donné que vous avez activé la commande ping sur myVm1, vous pouvez
maintenant effectuer un test ping par adresse IP à partir d’une invite de
commandes sur la machine virtuelle myVm2 :
= Copier
ping 10.0.0.4
Vous recevez quatre réponses. Déconnectez vos sessions RDP sur myVm1 et
myVm2.
" 200 XP
Vous utilisez Azure Automation State Configuration pour vous assurer que les
machines virtuelles dans un cluster sont dans un état cohérent. Les mêmes logiciels
doivent être installés sur les machines virtuelles avec les mêmes configurations.
Dans cette unité, vous allez découvrir les fonctionnalités et les possibilités d’Azure
Automation. Vous allez examiner le modèle déclaratif de DSC PowerShell et explorer
ses avantages.
Azure Automation State Configuration a un serveur Pull intégré. Vous pouvez cibler
des nœuds pour qu’ils reçoivent automatiquement les configurations de ce serveur
Pull, conformes à l’état souhaité et qu’ils indiquent leur conformité. Vous pouvez
cibler des machines physiques ou virtuelles Windows ou Linux, dans le cloud ou en
local.
Vous pouvez utiliser les journaux Azure Monitor pour vérifier la conformité de vos
nœuds en configurant Azure Automation State Configuration pour envoyer ces
données.
Si vous utilisez déjà PowerShell, vous vous demandez peut-être pourquoi vous avez
besoin de DSC. Considérez l’exemple suivant.
Quand vous voulez créer un partage sur un serveur Windows, vous pouvez utiliser la
commande PowerShell suivante :
PowerShell = Copier
Cette approche n’est pas idempotente. L’idempotence décrit une opération qui a le
même effet, que vous l’exécutiez 1 fois ou 10 001 fois. Pour atteindre ce résultat dans
PowerShell, vous devez ajouter de la logique et une gestion des erreurs. Si le partage
n’existe pas, créez-le. Si le partage existe, il n’est pas nécessaire de le créer. Si User2
existe mais n’a pas d’accès en lecture, vous ajoutez l’accès en lecture.
PowerShell = Copier
$shareExists = $false
$smbShare = Get-SmbShare -Name $Name -ErrorAction SilentlyContinue
if($smbShare -ne $null)
{
Write-Verbose -Message "Share with name $Name exists"
$shareExists = $true
}
Les autres cas spéciaux que vous n’avez pas pris en compte peuvent être considérés
comme maigres lorsque des problèmes surviennent. DSC gère automatiquement les
cas inattendus. Avec DSC, vous décrivez le résultat final au lieu du processus à
effectuer pour obtenir ce résultat.
PowerShell = Copier
Configuration Create_Share
{
Import-DscResource -Module xSmbShare
# A node describes the VM to be configured
Node $NodeName
{
Cet exemple utilise le module xSmbShare . Le module indique à DSC comment vérifier
l’état d’un partage de fichiers. Le kit de ressources DSC contient actuellement plus de
80 modules de ressources différents, notamment un pour l’installation d’un site IIS.
Vous trouverez un lien vers cette ressource à la fin du module.
Vous en saurez plus sur la structure du code DSC PowerShell dans l’unité suivante.
Quand vous utilisez cette approche, chaque nœud doit être inscrit auprès du
service Tirage (pull).
Le mode Envoi (push) est facile à configurer. Il n’a pas besoin de sa propre
infrastructure dédiée et peut s’exécuter sur un ordinateur portable. Le mode
Envoi (push) est utile pour tester les fonctionnalités de DSC. Vous pouvez
également utiliser le mode Envoi (push) pour obtenir une machine
nouvellement mise en image avec l’état souhaité pour la base de référence.
Le mode Tirage (pull) est pratique quand vous avez un déploiement
d’entreprise qui s’étend sur un grand nombre de machines. Le Gestionnaire de
configuration local interroge régulièrement le serveur Pull et vérifie que les
nœuds sont dans l’état souhaité. Si un outil ou une équipe externe applique des
correctifs logiciels qui aboutissent à des écarts de la configuration sur des
machines individuelles, ces machines sont rapidement annulées en ligne et la
configuration est rétablie à celle que vous avez définie. Ce processus vous
permet d’obtenir un état de conformité continue pour vos obligations
réglementaires et de sécurité.
Windows
Server 2019
Server 2016
Server 2012 R2
Server 2012
Server 2008 R2 SP1
10
8.1
7
Linux
La plupart des variantes, mais pas Debian ni Ubuntu 18.04
DSC PowerShell est installé sur toutes les machines Linux prises en charge par Azure
Automation DSC.
La première fois que l’extension Azure DSC est appelée, elle installe une version de
WMF compatible avec le système d’exploitation sur toutes les versions de Windows,
à l’exception de Windows Server 2016 ou version ultérieure. La dernière version de
WMF est déjà installée sur Windows Server 2016 et ses versions ultérieures. Une fois
WMF installé, la machine doit être redémarrée.
WinRM est activé sur les nœuds de machines qui exécutent Windows Server 2012,
Windows 7 ou versions ultérieures de Windows.
La prise en charge du proxy pour l’agent DSC est disponible dans les builds 1809 et
ultérieures de Windows. La prise en charge du proxy n’est pas disponible dans DSC
pour les versions antérieures de Windows.
Si vos nœuds se trouvent sur un réseau privé, le port et les URL suivants sont
nécessaires pour que DSC communique avec Automation :
Port : seul le port TCP 443 est nécessaire pour l’accès Internet sortant.
URL globale : *.azure-automation.net
URL globale de US Gov Virginia : *.azure-automation.us
Service de l’agent : https://.agentsvc.azure-automation.net
Est idempotent.
3. Pourquoi utiliser le mode Tirage (pull) au lieu du mode Envoi (push) pour DSC ?
" 100 XP
Vous utilisez DSC PowerShell pour spécifier l’état souhaité d’une machine virtuelle.
Dans cette unité, vous allez découvrir plus d’informations sur DSC PowerShell et sur
la façon de l’utiliser pour contrôler l’état de vos machines virtuelles. Dans l’exemple
de scénario, vous utilisez DSC PowerShell pour vérifier qu’IIS pour Windows Server
est installé et configuré de façon cohérente sur tous vos serveurs web.
Ressources DSC
Vous avez vu que DSC PowerShell était un langage de script déclaratif orienté tâche.
Quand vous devez configurer et déployer une ressource Azure de façon cohérente
sur un ensemble de machines virtuelles, DSC PowerShell peut vous aider. Vous
utilisez DSC PowerShell même si vous n’êtes pas familiarisé avec les étapes
techniques nécessaires à l’installation et à la configuration des logiciels et des
services.
PowerShell = Copier
Ressource Description
Pour les ressources plus complexes, comme l’intégration Active Directory, le kit de
ressources DSC est mis à jour tous les mois. Vous trouverez le lien vers cette
ressource à la fin du module.
PowerShell = Copier
PowerShell = Copier
Configuration MyDscConfiguration {
param
(
[string] $ComputerName='localhost'
)
Node $ComputerName {
...
}
PowerShell = Copier
Pour chaque nœud figurant dans le script DSC, un fichier .mof est créé dans le
dossier que vous avez spécifié avec le paramètre -OutputPath .
À l’aide du scénario précédent, supposons que sur le serveur Web qui est installé sur
chaque nœud, vous souhaitez définir la propriété SiteName sur des valeurs
différentes. Vous pouvez définir un bloc de données de configuration comme suit :
PowerShell = Copier
$datablock =
@{
AllNodes =
@(
@{
NodeName = "WEBSERVER1"
SiteName = "WEBSERVER1-Site"
},
@{
NodeName = "WEBSERVER2"
SiteName = "WEBSERVER2-Site"
},
@{
NodeName = "WEBSERVER3"
SiteName = "WEBSERVER3-Site"
}
);
}
Si vous voulez définir une propriété sur la même valeur dans chaque nœud, dans le
tableau AllNodes , spécifiez NodeName = "*" .
Par défaut, les informations d’identification ne sont pas chiffrées dans les fichiers
.mof. Elles sont exposées sous forme de texte en clair. Pour chiffrer les informations
d’identification, utilisez un certificat dans vos données de configuration. La clé privée
du certificat doit être présente sur le nœud auquel vous voulez appliquer la
configuration. Les certificats sont configurés via le Gestionnaire de configuration
local du nœud.
À compter de PowerShell 5.1, les fichiers .mof sur le nœud sont chiffrés au repos.
Toutes les informations d’identification sont chiffrées en transit via WinRM.
PowerShell = Copier
Cette étape correspond au mode Envoi (push) décrit dans l’unité précédente.
Vous pouvez configurer un compte Azure Automation pour agir en tant que service
Tirage (pull). Il suffit de télécharger la configuration dans le compte Automation.
Enregistrez ensuite vos machines virtuelles avec ce compte.
Par exemple, un script DSC dans l’unité précédente utilisait le module PowerShell
xSmbShare pour indiquer à DSC comment vérifier l’état d’un partage de fichiers. DSC
extrait automatiquement les modules du compte Automation vers le nœud.
Les informations d’identification sont gérées en mode natif par votre compte
Automation. Cette fonctionnalité réduit la complexité de la sécurisation et de
l’utilisation des informations d’identification.
Continuer T
" 100 XP
Superviser l’intégrité de la
machine virtuelle
5 minutes
Vous pouvez utiliser Azure Monitor pour visualiser des métriques sur toutes vos
ressources Azure.
Votre groupe de musique part en tournée le mois prochain : vous devez donc
identifier les métriques que vous voulez utiliser pour superviser l’intégrité de vos
machines virtuelles.
Dans cette unité, vous allez découvrir comment utiliser les métriques Azure pour
superviser l’intégrité d’une machine virtuelle. Vous allez découvrir les métriques
disponibles dans Azure.
Utilisation du processeur
Trafic réseau
Utilisation du disque de système d’exploitation
Réussite du démarrage
Azure peut collecter ces métriques par défaut pour les machines virtuelles hébergées
sans que vous ayez besoin d’installer des logiciels supplémentaires. Pour capturer les
diagnostics de démarrage, vous devez créer et associer un compte de stockage. Vous
1 of 3 22/04/2020 à 21:51
Superviser l’intégrité de la machine virtuelle - Learn... https://docs.microsoft.com/fr-fr/learn/modules/moni...
2 of 3 22/04/2020 à 21:51
Superviser l’intégrité de la machine virtuelle - Learn... https://docs.microsoft.com/fr-fr/learn/modules/moni...
Pour obtenir un ensemble complet de métriques, vous devez installer deux outils
directement sur la machine virtuelle : l’extension Diagnostics Azure et l’agent Log
Analytics. Les deux outils sont disponibles pour Windows et pour Linux.
Les outils ont besoin d’un compte de stockage pour enregistrer les données qu’ils
collectent. Une fois que vous avez installé les outils, vous pouvez accéder à des
alertes de métrique en quasi temps réel. Vous pouvez également :
Vous pouvez installer ces outils par programmation, ou en utilisant le portail Azure,
l’interface de ligne de commande Azure ou PowerShell.
Continuer T
3 of 3 22/04/2020 à 21:51
Afficher les métriques de la machine virtuelle - Lea... https://docs.microsoft.com/fr-fr/learn/modules/moni...
" 200 XP
Maintenant que vous avez créé une machine virtuelle, vous voulez pouvoir vérifier
son intégrité rapidement. Vous décidez d’enregistrer certains graphiques de
métriques dans un nouveau tableau de bord sur le portail.
Dans cette unité, vous allez découvrir comment créer des graphiques riches en
informations en utilisant les métriques de base de machine virtuelle, puis comment
épingler ces graphiques sur un nouveau tableau de bord.
Métriques
Les métriques Azure sont des valeurs numériques disponibles auprès du portail
Azure, qui vous aident à comprendre l’intégrité, le fonctionnement et les
performances de vos machines virtuelles. Vous pouvez choisir des métriques
spécifiques et obtenir un graphique de ces métriques.
Tous les disques Octets lus [ou écrits] sur le Octets lus [ou écrits] sur le disque
disque pendant la période de supervision
1 of 7 22/04/2020 à 21:52
Afficher les métriques de la machine virtuelle - Lea... https://docs.microsoft.com/fr-fr/learn/modules/moni...
Octets lus [ou écrits]/s sur Lecture [ou écritures] sur le disque
disque OS du système d’exploitation pendant
la période de supervision, en octets
par seconde
Octets lus [ou écrits]/s sur Lectures [ou écritures] sur le disque
disque de données de données pendant la période de
supervision, en octets par seconde
2 of 7 22/04/2020 à 21:52
Afficher les métriques de la machine virtuelle - Lea... https://docs.microsoft.com/fr-fr/learn/modules/moni...
Réseau Flux entrants [ou sortants] Nombre de flux actuels dans le sens
entrant [ou sortant]
Vous pouvez choisir plusieurs métriques et les tracer sur le graphique pour mieux
comprendre le trafic qui atteint votre serveur web. Azure offre également des plages
de temps flexibles. Vous pouvez choisir des 30 dernières minutes aux 30 derniers
jours, ou spécifier une plage personnalisée avec des dates de début et de fin. Vous
pouvez spécifier une précision d’une minute à un mois. Ces données vous
permettent de voir des tendances ou des modèles.
3 of 7 22/04/2020 à 21:52
Afficher les métriques de la machine virtuelle - Lea... https://docs.microsoft.com/fr-fr/learn/modules/moni...
4 of 7 22/04/2020 à 21:52
Afficher les métriques de la machine virtuelle - Lea... https://docs.microsoft.com/fr-fr/learn/modules/moni...
Dans la page Vue d’ensemble, vous pouvez aussi changer la plage de temps de tous
les graphiques.
Dans la section Superviser > Métriques de la machine virtuelle, vous allez créer un
graphique d’utilisation maximale du processeur et l’épingler à un nouveau tableau de
bord partagé. Maintenant que vous avez un tableau de bord d’indicateurs de
performance clés, vous épinglez le graphique Réseau (total) à ce tableau de bord.
Vous pouvez en ajouter d’autres, mais avec ces deux graphiques, vous disposez d’un
moyen rapide de visualiser les performances de votre machine virtuelle.
5 of 7 22/04/2020 à 21:52
Afficher les métriques de la machine virtuelle - Lea... https://docs.microsoft.com/fr-fr/learn/modules/moni...
6 of 7 22/04/2020 à 21:52
Configurer l’extension Diagnostics Azure - Learn | ... https://docs.microsoft.com/fr-fr/learn/modules/moni...
" 100 XP
Configurer l’extension
Diagnostics Azure
4 minutes
Votre groupe de musique est en tournée le mois prochain et vous avez identifié les
métriques qui vous aideront à superviser l’intégrité de votre machine virtuelle. Les
métriques que vous voulez superviser vont au-delà des métriques de base
disponibles dans le portail Azure. Vous avez décidé d’activer les diagnostics d’invité
pour obtenir plus de données.
Dans cette unité, vous allez découvrir comment installer l’extension Diagnostics
Azure pour superviser l’intégrité d’une machine virtuelle. Vous allez découvrir
comment activer les diagnostics d’invité quand vous créez une machine virtuelle et
pour une machine virtuelle déjà créée.
Vous pouvez ajouter l’extension pour Linux ou pour Windows quand vous créez la
machine virtuelle dans Azure. Dans la section Supervision, vous définissez
Diagnostics du système d’exploitation invité sur Activé.
1 of 5 22/04/2020 à 21:53
Configurer l’extension Diagnostics Azure - Learn | ... https://docs.microsoft.com/fr-fr/learn/modules/moni...
Si vous avez déjà créé la machine virtuelle, le moyen le plus simple d’ajouter
l’extension est d’accéder à Paramètres de diagnostic pour la machine virtuelle.
Sélectionnez le compte de stockage, puis sélectionnez Activer la supervision
d'invités.
2 of 5 22/04/2020 à 21:53
Configurer l’extension Diagnostics Azure - Learn | ... https://docs.microsoft.com/fr-fr/learn/modules/moni...
Vous pouvez utiliser l’extension pour collecter des données sur les valeurs relatives
au processeur, aux disques et à la mémoire de la machine virtuelle.
Configurer l’extension
Vous disposez de différentes options de configuration, selon le système
d’exploitation installé sur la machine virtuelle. Au niveau de base, ces options sont les
suivantes :
Windows Linux
3 of 5 22/04/2020 à 21:53
Configurer l’extension Diagnostics Azure - Learn | ... https://docs.microsoft.com/fr-fr/learn/modules/moni...
4 of 5 22/04/2020 à 21:53
Études de cas de données de diagnostic - Learn | Mi... https://docs.microsoft.com/fr-fr/learn/modules/moni...
" 100 XP
Votre groupe de musique est en tournée le mois prochain, et vous avez identifié des
problèmes qui peuvent dans certains cas être détectés par le biais de métriques et
d’alertes. Vos principales préoccupations sont les attaques DDoS potentielles et une
augmentation de la charge du processeur qui nécessiterait un autre serveur.
Dans cette unité, vous allez considérer quelques scénarios où vous pouvez utiliser les
données que vous collectez pour diagnostiquer et résoudre les problèmes.
Attaque DDoS
Pour créer un graphique ou une alerte pour une attaque DDoS, dans le portail Azure,
accédez à Superviser > Métriques. Vous spécifiez ensuite votre adresse IP publique
comme ressource à superviser et vous ajoutez des métriques DDoS, notamment
Soumis à une attaque DDoS. Vous ajoutez ensuite une alerte pour être averti d’une
attaque.
Vous n’avez pas besoin d’installer l’extension Diagnostics Azure pour être alerté des
attaques DDoS. L’alerte porte sur la ressource d’adresse IP publique, et non sur la
machine virtuelle.
1 of 4 22/04/2020 à 21:54
Études de cas de données de diagnostic - Learn | Mi... https://docs.microsoft.com/fr-fr/learn/modules/moni...
Pour répondre à une charge élevée, vous pouvez créer une règle d’alerte pour la
machine virtuelle avec une condition pour la métrique du processeur. Par exemple,
vous pouvez savoir si la valeur moyenne sur une plage de 15 minutes est supérieure
à 85 %.
2 of 4 22/04/2020 à 21:54
Études de cas de données de diagnostic - Learn | Mi... https://docs.microsoft.com/fr-fr/learn/modules/moni...
Ajoutez ensuite une action et créez un groupe d’actions. Le groupe d’actions vous
envoie un e-mail et peut ensuite effectuer un scale-up de votre machine virtuelle.
3 of 4 22/04/2020 à 21:54
Études de cas de données de diagnostic - Learn | Mi... https://docs.microsoft.com/fr-fr/learn/modules/moni...
Continuer T
4 of 4 22/04/2020 à 21:54
Comprendre les options de stockage pour les machi... https://docs.microsoft.com/fr-fr/learn/modules/add-...
" 100 XP
À l’instar de n’importe quel autre ordinateur, les machines virtuelles dans Azure
utilisent des disques comme emplacements pour stocker un système d’exploitation,
des applications et des données. Ces disques sont appelés des disques durs virtuels
(VHD).
Supposons que vous avez créé une machine virtuelle (VM) dans Azure, cette dernière
hébergera la base de données d’antécédents dont dépend votre cabinet juridique.
Une configuration de disque bien conçue est essentielle à de bonnes performances
et à une résilience pour SQL Server.
Dans cette unité, vous allez découvrir comment choisir des valeurs de configuration
appropriées pour vos disques et comment attacher ces disques à une machine
virtuelle.
1 of 4 22/04/2020 à 20:56
Comprendre les options de stockage pour les machi... https://docs.microsoft.com/fr-fr/learn/modules/add-...
virtuel temporaire qui est utilisé pour les fichiers de page et d’échange. Les
données sur ce lecteur peuvent être perdues lors d’un événement de
maintenance ou d’un redéploiement. Le lecteur porte l’étiquette du lecteur D:
sur une machine virtuelle Windows par défaut. N’utilisez pas de ce lecteur pour
stocker des données importantes que vous ne voulez pas risquer de perdre.
Stockage des données. Un disque de données correspond à n’importe quel
autre disque attaché à une machine virtuelle. Vous utilisez des disques de
données pour stocker les fichiers, bases de données et toutes les autres
données que vous souhaitez conserver à travers les redémarrages. Certaines
images de machine virtuelle incluent des disques de données par défaut. Vous
pouvez également ajouter des disques de données supplémentaires jusqu’au
nombre maximal spécifié par la taille de la machine virtuelle. Chaque disque de
données est inscrit comme lecteur SCSI et possède une capacité maximale de 4
095 Go. Vous pouvez choisir les lettres de lecteur ou points de montage pour
vos disques de données.
Ce tableau détaille les différents types de comptes de stockage et les objets qu’ils
peuvent utiliser.
Standard universel Stockage Blob Azure, Azure Objets blob de blocs, objets
Files, Stockage File blob de pages et objets
d’attente Azure blob d’ajout
Les stockages Standard et Premium universels prennent en charge les objets blob de
pages. Choisissez un compte de stockage standard si le coût est votre préoccupation
2 of 4 22/04/2020 à 20:56
Comprendre les options de stockage pour les machi... https://docs.microsoft.com/fr-fr/learn/modules/add-...
première. Le stockage Premium est plus cher, mais offre des opérations d’E/S par
seconde (IOPS) beaucoup plus élevées. Si les performances des données sont une
priorité pour votre machine virtuelle, le stockage premium vous est conseillé.
Le disque dur virtuel ne peut pas être supprimé du stockage tant qu’il est attaché.
Vous disposez peut-être déjà d’un disque dur virtuel qui stocke les données que
vous souhaitez utiliser dans votre machine virtuelle Azure. Dans notre scénario de
cabinet juridique, par exemple, peut-être avez-vous déjà converti vos disques
physiques en disques durs virtuels locaux. Dans ce cas, vous pouvez utiliser l’applet
de commande PowerShell Add-AzVhd pour les charger sur le compte de stockage.
Cette cmdlet est optimisée pour le transfert de fichiers de disque dur virtuel et peut
effectuer le chargement plus rapidement que d’autres méthodes. Le transfert est
réalisé à l’aide de plusieurs threads pour de meilleures performances. Une fois le
disque dur virtuel chargé, attachez-le à une machine virtuelle existante en tant que
disque de données. Cette méthode constitue un excellent moyen de déployer des
données de tous les types vers des machines virtuelles Azure. Les données sont
automatiquement présentes dans la machine virtuelle, il est inutile de partitionner ou
de formater le nouveau disque.
Vous pouvez utiliser le portail Azure pour ajouter un nouveau disque de données
vide à une machine virtuelle.
Ce processus crée un fichier .vhd comme objet blob de pages dans le compte de
3 of 4 22/04/2020 à 20:56
Comprendre les options de stockage pour les machi... https://docs.microsoft.com/fr-fr/learn/modules/add-...
stockage que vous spécifiez, puis attache ce fichier .vhd à la machine virtuelle comme
disque de données.
Avant de pouvoir utiliser le nouveau disque dur virtuel pour stocker des données,
vous devez initialiser, partitionner et formater le nouveau disque. Vous allez vous
exercer à la maîtrise de ces étapes au cours l’exercice suivant.
Dans les serveurs physiques en local, vous stockez les données sur des disques durs
physiques. Vous stockez des données dans une machine virtuelle (VM) Azure, située
sur des disques durs virtuels (VHD). Ces disques durs virtuels sont stockés en tant
qu’objets blob de pages dans des comptes de stockage Azure. Par exemple, quand
vous migrez la base de données de l’historique de votre cabinet juridique vers Azure,
vous devez créer des disques durs virtuels dans lesquels les fichiers de base de
données seront enregistrés.
Continuer T
4 of 4 22/04/2020 à 20:56
Identifier le besoin d’utiliser le stockage Premium -... https://docs.microsoft.com/fr-fr/learn/modules/add-...
" 100 XP
Certaines applications ont plus d’exigences de stockage de données que d’autres. Les
applications telles que Dynamics CRM, Exchange Server, SAP Business Suite,
SQL Server, Oracle et SharePoint nécessitent de hautes performances et une faible
latence en permanence pour offrir un service optimal.
Types de disques
Les disques Azure sont conçus pour offrir une disponibilité de 99,999 %.
Lorsque vous créez vos disques, vous avez le choix entre quatre niveaux de
performances : disques Ultra, SSD Premium, SSD Standard et stockage HDD
Standard. Selon la taille de la machine virtuelle, vous pouvez combiner et associer ces
types de disques.
Disques Ultra
Les disques Ultra Azure fournissent un stockage sur disque présentant un débit élevé,
un nombre d’IOPS élevé et une faible latence homogène pour les machines virtuelles
Azure IaaS. Les disques Ultra permettent de changer dynamiquement le niveau de
performance des disques sans avoir à redémarrer les machines virtuelles. Les disques
Ultra sont adaptés aux charges de travail qui consomment beaucoup de données,
par exemple SAP HANA, les bases de données de niveau supérieur et les charges de
travail avec un grand nombre de transactions. Les disques Ultra peuvent être utilisés
comme disques de données uniquement. Nous vous recommandons d’utiliser des
disques SSD Premium comme disques de système d’exploitation.
1 of 6 22/04/2020 à 20:58
Identifier le besoin d’utiliser le stockage Premium -... https://docs.microsoft.com/fr-fr/learn/modules/add-...
Vous pouvez utiliser les disques SSD Premium avec des tailles de machine virtuelle
dont le nom de série comporte un « s ». Par exemple, pour les noms de série Dv3 et
Dsv3, vous pouvez utiliser la taille de série Dsv3 avec des disques SSD Premium.
Disques SSD standard
Le stockage Premium est limité à des tailles de machines virtuelles spécifiques. Par
conséquent, le type de machine virtuelle que vous créez a un impact sur les capacités
de stockage : taille, capacité maximale et le type de stockage. Que se passe-t-il si
vous avez une machine virtuelle bas de gamme, et que vous avez besoin d’un
stockage SSD pour les performances d’E/S ? C’est pour ça qu’il existe les disques SSD
standard. Les disques SSD standard se situent entre les disques durs standard et les
disques SSD Premium en termes de performances et de coût.
Vous pouvez utiliser des disques SSD standard avec n’importe quelle taille de
machine virtuelle, y compris des tailles qui ne prennent pas en charge le stockage
Premium. L’utilisation de disques SSD standard est la seule façon d’employer des
disques SSD avec ces machines virtuelles. Ce type de disque est uniquement
disponible dans des régions spécifiques et uniquement avec des disques managés.
Stockage HDD standard
Les disques HDD standard sont soutenus par des disques durs classiques (HDD). Les
disques HDD standard sont facturés à un prix inférieur à celui des disques Premium.
Les disques HDD standard peuvent être utilisés avec n’importe quelle taille de
machine virtuelle.
2 of 6 22/04/2020 à 20:58
Identifier le besoin d’utiliser le stockage Premium -... https://docs.microsoft.com/fr-fr/learn/modules/add-...
Lorsque vous créez des machines virtuelles ou des disques durs virtuels, vous avez le
choix entre des disques non managés et des disques managés.
Avec les disques non managés, vous êtes responsable des comptes de stockage qui
sont utilisés pour contenir les disques durs virtuels correspondant aux disques de
votre machine virtuelle. Vous payez le tarif de compte de stockage correspondant à
la quantité d’espace que vous utilisez. Un compte de stockage a une limite fixe de
20 000 opérations d’E/S par seconde. Cela signifie qu’un compte de stockage est
capable de prendre en charge 40 disques durs virtuels standard en utilisation
maximale. Si vous voulez effectuer une montée en charge, vous aurez besoin de
plusieurs comptes de stockage, ce qui peut devenir compliqué.
Fiabilité accrue : Azure garantit que les disques durs virtuels associés aux
machines virtuelles à haute fiabilité sont placés dans différentes parties du
Stockage Azure pour fournir des niveaux de résilience similaires.
Sécurité accrue : Les disques managés sont des ressources managées dans le
groupe de ressources. Cela signifie qu’ils peuvent utiliser le contrôle d’accès en
fonction du rôle (RBAC) pour restreindre le nombre de personnes autorisées à
se servir des données des VHD.
Prise en charge des instantanés : Vous pouvez utiliser des instantanés pour
créer une copie en lecture seule d’un VHD (disque dur virtuel). Vous devez
arrêter la machine virtuelle propriétaire, mais la création de l’instantané ne
prend que quelques secondes. Une fois que vous avez terminé, vous pouvez
mettre la machine virtuelle sous tension et utiliser l’instantané afin de créer un
double de la machine virtuelle pour résoudre un problème de production ou
restaurer la machine virtuelle au moment où l’instantané a été pris.
Prise en charge des sauvegardes : Vous pouvez sauvegarder
automatiquement les disques managés dans des régions distinctes pour
effectuer une reprise d’activité avec Sauvegarde Azure, tout ceci sans affecter le
service de la machine virtuelle.
3 of 6 22/04/2020 à 20:58
Identifier le besoin d’utiliser le stockage Premium -... https://docs.microsoft.com/fr-fr/learn/modules/add-...
Le tableau suivant offre une comparaison entre les disques Ultra, SSD Premium, SSD
Standard et HDD Standard afin de vous aider dans votre choix.
4 of 6 22/04/2020 à 20:58
Identifier le besoin d’utiliser le stockage Premium -... https://docs.microsoft.com/fr-fr/learn/modules/add-...
Les comptes de stockage standard prennent en charge tous les types de réplication,
mais seuls les comptes de stockage Premium prennent en charge le stockage
localement redondant (LRS). Les machines virtuelles s’exécutant dans une même
région, cette restriction n’est généralement pas un problème pour le stockage de
disque dur virtuel.
5 of 6 22/04/2020 à 20:58
Identifier le besoin d’utiliser le stockage Premium -... https://docs.microsoft.com/fr-fr/learn/modules/add-...
Par exemple, avec le stockage standard, vous obtenez un débit maximal de 500 IOPS
et 60 Mo/s par disque (même sur les disques SSD). Avec le stockage premium, le
nombre d’IOPS varie selon les disques premium que vous choisissez et la taille de
machine virtuelle.
Continuer T
6 of 6 22/04/2020 à 20:58
Redimensionner les disques de machines virtuelles ... https://docs.microsoft.com/fr-fr/learn/modules/add-...
" 100 XP
Azure stocke vos images de disque dur virtuel (VHD) comme objets blob de pages
dans un compte de stockage Azure. Avec des disques managés, Azure s’occupe de la
gestion du stockage à votre place ; c’est une des meilleures raisons pour choisir des
disques managés.
Lorsque vous créez la machine virtuelle, il choisit une taille pour le disque du système
d’exploitation. La taille spécifique dépend de l’image que vous sélectionnez. Sous
Linux, elle avoisine souvent 30 Go et, sous Windows, 127 Go.
Vous pouvez ajouter des disques de données pour fournir de l’espace de stockage
supplémentaire ou développer un disque existant : peut-être qu’une application
héritée ne peut pas fractionner ses données sur les disques, ou que vous migrez un
disque de PC physique vers Azure et avez besoin d’un système d’exploitation plus
volumineux.
7 Notes
1 of 5 22/04/2020 à 20:59
Redimensionner les disques de machines virtuelles ... https://docs.microsoft.com/fr-fr/learn/modules/add-...
taille contrôle le nombre de disques que vous pouvez ajouter à la machine virtuelle
et la taille maximale de chaque disque.
2 Avertissement
Il est impossible d’exécuter des opérations sur les disques durs virtuels (VHD) quand
la machine virtuelle est en cours d’exécution. La première étape consiste à arrêter et
à libérer la machine virtuelle avec az vm deallocate , en indiquant le nom de la
machine virtuelle et le nom du groupe de ressources.
7 Notes
N’exécutez pas encore ces commandes. Vous allez utiliser ce processus dans la
partie suivante.
az vm deallocate \
--resource-group <resource-group-name> \
2 of 5 22/04/2020 à 20:59
Redimensionner les disques de machines virtuelles ... https://docs.microsoft.com/fr-fr/learn/modules/add-...
--name <vm-name>
az disk update \
--resource-group <resource-group-name> \
--name <disk-name> \
--size-gb 200
az vm start \
--resource-group <resource-group-name> \
--name <vm-name>
3 of 5 22/04/2020 à 20:59
Redimensionner les disques de machines virtuelles ... https://docs.microsoft.com/fr-fr/learn/modules/add-...
4. Dans les détails du disque, tapez une taille supérieure à la taille actuelle. Vous
pouvez également passer de Premium à Standard (ou vice versa) ici. Ces
paramètres ajustent les performances comme indiqué dans la section IOPS
prévue.
Extension de la partition
Tout comme l’ajout d’un nouveau disque de données, un disque étendu ne fournit
pas d’espace utilisable tant que vous n’avez pas étendu la partition et le système de
fichiers. Cette opération doit être effectuée à l’aide des outils de système
d’exploitation disponibles pour la machine virtuelle.
4 of 5 22/04/2020 à 20:59
Redimensionner les disques de machines virtuelles ... https://docs.microsoft.com/fr-fr/learn/modules/add-...
Sur Windows, vous pouvez utiliser l’outil Gestionnaire de disque ou l’outil en ligne de
commande diskpart .
Sur Linux, vous pouvez utiliser parted et resize2fs . Vous le ferez dans la partie
suivante.
Continuer T
5 of 5 22/04/2020 à 20:59
Effet de la mise en cache sur les performances de d... https://docs.microsoft.com/fr-fr/learn/modules/cach...
" 100 XP
Nous nous penchons en particulier sur le stockage et les disques sous-jacents utilisés
pour les machines virtuelles. Quand vous observez les performances, n’oubliez pas
que vous devez également prendre en compte la couche Application. Par exemple, si
vous exécutez une base de données dans une machine virtuelle, vous devez examiner
les paramètres de performances spécifiques à la base de données afin de vérifier
qu’elle est optimisée pour la machine virtuelle et le stockage servant à son exécution.
Commençons par définir quelques termes et les garanties qu’Azure apporte à leur
sujet.
L’IOPS représente le nombre de demandes qui peuvent être traitées par le disque en
une seconde. Une seule demande est une opération de lecture ou d’écriture. Cette
mesure est appliquée directement au stockage. Par exemple, si vous avez un disque
qui peut prendre en charge 5000 E/S par seconde, cela signifie qu’il est
théoriquement capable de traiter 5 000 opérations de lecture ou d’écriture par
1 of 4 22/04/2020 à 21:00
Effet de la mise en cache sur les performances de d... https://docs.microsoft.com/fr-fr/learn/modules/cach...
seconde.
L’IOPS est une mesure des disques de stockage, mais c’est une limite théorique ; en
effet, deux autres facteurs peuvent affecter les performances réelles des applications,
à savoir le débit et la latence.
Le débit (également appelé « bande passante ») est la quantité de données que votre
application envoie aux disques de stockage dans un intervalle spécifié (généralement
par seconde). Si votre application effectue des E/S avec de grands blocs de données,
elle nécessite un débit élevé.
IOPS et débit
Le débit et l’IOPS sont directement liés, la modification de l’un ayant un impact direct
sur l’autre. Pour obtenir une limite de débit théorique, vous pouvez utiliser la formule
2 of 4 22/04/2020 à 21:00
Effet de la mise en cache sur les performances de d... https://docs.microsoft.com/fr-fr/learn/modules/cach...
suivante : IOPS x I/O size = throughput . Il est important de tenir compte de ces
deux valeurs quand vous planifiez votre application.
La latence affecte directement l’IOPS. Par exemple, si notre disque peut gérer
5 000 E/S par seconde, mais que le traitement de chaque opération prend 10 ms,
notre application est limitée à 100 opérations par seconde en raison du temps de
traitement. Il s’agit d’un exemple simple, la latence étant beaucoup plus faible la
plupart du temps. Fondamentalement, la latence et le débit déterminent la vitesse à
laquelle votre application peut traiter les données à partir du stockage.
Le Stockage Premium offre une faible latence, que vous pouvez même améliorer
quand cela est nécessaire par le biais de la mise en cache.
3 of 4 22/04/2020 à 21:00
Effet de la mise en cache sur les performances de d... https://docs.microsoft.com/fr-fr/learn/modules/cach...
Une fois que vous avez sélectionné votre configuration, vous pouvez utiliser des
outils comme Iometer pour tester les performances de votre disque sur les machines
virtuelles Windows et Linux. Vous aurez ainsi une idée plus réaliste du niveau de
performance auquel vous pouvez vous attendre. Cette approche peut également
vous aider à identifier des méthodes permettant d’améliorer l’utilisation du stockage
par votre application. Par exemple, une application qui effectue des E/S mono-thread
est susceptible de voir ses performances d’E/S amoindries en raison de la latence.
Examinons certaines autres choses que nous pouvons faire pour améliorer les
performances du disque.
Continuer T
4 of 4 22/04/2020 à 21:00
Activer et configurer un cache de disque de machin... https://docs.microsoft.com/fr-fr/learn/modules/cach...
" 100 XP
Nous avons vu des paramètres et des propriétés que vous pouvez sélectionner pour
prédire les performances de votre disque ; maintenant, nous allons examiner
comment améliorer celles-ci par le biais de la mise en cache.
1 of 6 22/04/2020 à 21:01
Activer et configurer un cache de disque de machin... https://docs.microsoft.com/fr-fr/learn/modules/cach...
Il est important de noter que la mise en cache en lecture est bénéfique quand il
existe une certaine prévisibilité de la file d’attente de lecture, comme un ensemble de
lectures séquentielles. Pour les E/S aléatoires, où les données auxquelles vous
accédez sont disséminées dans le stockage, la mise en cache apporte peu
d’avantages, voire aucun, et elle peut même réduire les performances du disque.
Il existe deux types de mise en cache de disque concernant le stockage sur disque :
La mise en cache de stockage Azure fournit des services de cache pour le stockage
d’objets blob Azure, Azure Files et d’autres contenus dans Azure. La configuration de
ces types de caches dépasse le cadre de ce module.
La mise en cache de disque de machine virtuelle Azure optimise les accès en lecture
et en écriture des fichiers de disque dur virtuel (VHD) attachés aux machines
virtuelles Azure. Nous allons nous concentrer sur la mise en cache de disque dans ce
module.
Trois types de disque sont utilisés avec les machines virtuelles Azure :
2 of 6 22/04/2020 à 21:01
Activer et configurer un cache de disque de machin... https://docs.microsoft.com/fr-fr/learn/modules/cach...
Disque temporaire : Quand vous créez une machine virtuelle Azure, Azure
ajoute automatiquement un disque temporaire. Ce disque est utilisé pour les
données, par exemple les fichiers d’échange. Les données sur ce disque
peuvent être perdues pendant une maintenance ou un redéploiement de la
machine virtuelle. Ne l’utilisez pas pour stocker des données permanentes, par
exemple des fichiers de base de données ou des journaux des transactions.
Toutes les options de mise en cache ne sont pas disponibles pour chaque type de
disque. Le tableau suivant vous montre les options de mise en cache pour chaque
type de disque :
3 of 6 22/04/2020 à 21:01
Activer et configurer un cache de disque de machin... https://docs.microsoft.com/fr-fr/learn/modules/cach...
7 Notes
Les options de mise en cache du disque ne peuvent pas être changées pour les
machines virtuelles L-Series et B-series.
Disques de données
Pour les applications sensibles aux performances, vous devez utiliser des disques de
données plutôt qu’un disque de système d’exploitation. L’utilisation de disques
4 of 6 22/04/2020 à 21:01
Activer et configurer un cache de disque de machin... https://docs.microsoft.com/fr-fr/learn/modules/cach...
séparés vous permet de configurer les paramètres de cache appropriés pour chacun.
Par exemple, sur les machines virtuelles Azure exécutant SQL Server, l’activation de la
mise en cache Lecture seule sur les disques de données (pour les données normales
et TempDB) peut entraîner une amélioration significative des performances. Les
fichiers journaux, en revanche, conviennent aux disques de données sans mise en
cache.
2 Avertissement
Vous pouvez configurer les paramètres de cache des disques de machine virtuelle
avec l’un des outils suivants :
Portail Azure
Azure CLI
Azure PowerShell
Modèles Resource Manager
Quand vous ajoutez un disque de données à une machine virtuelle existante, vous
pouvez configurer l’option de cache avant le déploiement du disque sur la machine
virtuelle.
5 of 6 22/04/2020 à 21:01
Activer et configurer un cache de disque de machin... https://docs.microsoft.com/fr-fr/learn/modules/cach...
Nous allons créer une machine virtuelle et modifier les paramètres de cache à l’aide
du portail Azure.
Continuer T
6 of 6 22/04/2020 à 21:01
Gérer les paramètres de cache avec PowerShell - Le... https://docs.microsoft.com/fr-fr/learn/modules/cach...
" 100 XP
Conseil
1 of 2 22/04/2020 à 21:03
Gérer les paramètres de cache avec PowerShell - Le... https://docs.microsoft.com/fr-fr/learn/modules/cach...
Commande Description
Avec ces commandes, nous pouvons effectuer toutes les tâches que nous avons
faites dans le portail Azure. Faisons un essai sur notre machine virtuelle.
Continuer T
2 of 2 22/04/2020 à 21:03
Options de chiffrement permettant de protéger les... https://docs.microsoft.com/fr-fr/learn/modules/secu...
" 100 XP
Options de chiffrement
permettant de protéger les
machines virtuelles Windows et
Linux
8 minutes
Supposez que les partenaires commerciaux de votre entreprise ont des politiques de
sécurité qui exigent que leurs données commerciales soient protégées par un
chiffrement complexe. Vous utilisez une application B2B qui s'exécute sur vos
serveurs Windows et stocke les données sur le disque de données du serveur.
Maintenant que vous passez au cloud, vous devez démontrer à vos partenaires
commerciaux que les données stockées sur vos machines virtuelles Azure ne peuvent
pas être accessibles par des utilisateurs, périphériques ou applications non autorisés.
Vous devez décider d'une stratégie pour implémenter le cryptage de vos données
B2B.
Vos exigences en matière d’audit imposent que vos clés de chiffrement soient gérées
en interne, et non par une tierce partie. Vous vous souciez également du maintien
des performances et de la facilité de gestion de vos serveurs Azure. Donc, avant
d’implémenter le chiffrement, vous voulez être sûr qu’il n’y aura pas d’impact sur les
performances.
1 of 5 22/04/2020 à 21:05
Options de chiffrement permettant de protéger les... https://docs.microsoft.com/fr-fr/learn/modules/secu...
utilisées. Les paires de clés publique-privée utilisées dans les certificats numériques
en sont un exemple.
Chiffrement symétrique
Les algorithmes qui utilisent des clés symétriques, comme Advanced Encryption
Standard (AES), sont généralement plus rapides que les algorithmes à clé publique et
sont souvent utilisés pour protéger les grandes banques de données. Étant donné
qu’il n'y a qu'une seule clé, des procédures doivent être en place pour éviter que la
clé ne soit rendue publique.
Chiffrement asymétrique
Avec les algorithmes asymétriques, seul le membre de la clé privée de la paire de clés
doit rester privé et sécurisé ; comme son nom l'indique, la clé publique peut être
mise à la disposition de tous, sans compromettre les données cryptées. Cependant
l'inconvénient des algorithmes à clé publique, est qu'ils sont beaucoup plus lents que
les algorithmes symétriques et ne peuvent pas être utilisés pour chiffrer d’importants
volumes de données.
Storage Service Encryption est effectué sur les disques physiques dans le centre de
2 of 5 22/04/2020 à 21:05
Options de chiffrement permettant de protéger les... https://docs.microsoft.com/fr-fr/learn/modules/secu...
Azure Disk Encryption chiffre les disques durs virtuels de la machine virtuelle. Si le
disque dur virtuel est protégé par ADE, l’image de disque n’est accessible que par la
machine virtuelle qui possède le disque.
Il est possible d’utiliser les deux services pour protéger vos données.
Azure Storage Service Encryption (SSE) est un service de chiffrement intégré à Azure
qui sert à protéger les données au repos. La plateforme de stockage Azure chiffre
automatiquement les données avant qu’elles ne soient stockées sur plusieurs services
de stockage dont Disques managés Azure. Le chiffrement est activé par défaut avec
le chiffrement AES 256 bits et est géré par l’administrateur de compte de stockage.
Storage Service Encryption est activé pour tous les comptes de stockage nouveaux et
existants et ne peut pas être désactivé. Vos données étant sécurisées par défaut, vous
n’avez pas besoin de modifier votre code ou vos applications pour tirer parti de
Storage Service Encryption.
Storage Service Encryption n’affecte pas les performances des services de stockage
Azure.
Azure Disk Encryption (ADE) est géré par le propriétaire de la machine virtuelle. Il
contrôle le chiffrement de Windows et des disques contrôlés par machine virtuelle
Linux à l’aide de BitLocker sur les machines virtuelles Windows et de DM-Crypt sur
les machines virtuelles Linux. BitLocker Drive Encryption est une fonction de
protection des données qui s'intègre au système d'exploitation et répond aux
menaces de vol de données ou d'exposition des ordinateurs perdus, volés ou mis
hors service de manière inappropriée. De même, DM-Crypt chiffre les données au
repos pour Linux avant d'écrire dans le stockage.
ADE garantit que toutes les données sur les disques des machines virtuelles sont
chiffrées au repos dans le stockage Azure, et ADE est nécessaire pour les machines
3 of 5 22/04/2020 à 21:05
Options de chiffrement permettant de protéger les... https://docs.microsoft.com/fr-fr/learn/modules/secu...
Avec ADE, les machines virtuelles démarrent sous des clés et des stratégies
contrôlées par le client. ADE est intégré à Azure Key Vault pour gérer les secrets et
les clés de chiffrement de disque.
7 Notes
Pour les disques du système d'exploitation (OS), les données telles que les mots de
passe sont chiffrées automatiquement, donc même si le fichier VHD n'est pas lui-
même chiffré, il n'est pas facile d'accéder à ces informations. Les applications
peuvent également chiffrer automatiquement leurs propres données. Cependant,
même avec de telles protections, si une personne avec des intentions malveillantes
accède à un disque de données et que le disque lui-même n'est pas chiffré, elle
pourrait alors être en mesure d'exploiter toute faille connue dans la protection des
données de l'application. Une fois le chiffrement de disque en place, ces attaques
sont impossibles.
Storage Service Encryption (SSE) est partie intégrante d’Azure et il ne doit y avoir
aucun impact notable des performances sur le disque de machine virtuelle d’E/S lors
de l’utilisation de SSE. Les disques managés avec SSE sont désormais la valeur par
défaut, et il n’est normalement pas nécessaire de la modifier. Azure Disk Encryption
4 of 5 22/04/2020 à 21:05
Options de chiffrement permettant de protéger les... https://docs.microsoft.com/fr-fr/learn/modules/secu...
Continuer T
5 of 5 22/04/2020 à 21:05
Chiffrer des disques de machines virtuelles existante... https://docs.microsoft.com/fr-fr/learn/modules/secu...
" 100 XP
Supposez que votre entreprise a décidé d’implémenter Azure Disk Encryption (ADE)
sur toutes les machines virtuelles. Vous devez évaluer comment déployer le
chiffrement sur les volumes de machine virtuelle existants. Ici, nous examinons les
exigences relatives à ADE et les étapes du chiffrement des disques sur les machines
virtuelles Linux et Windows existantes.
Les clés de chiffrement utilisées par ADE peuvent être stockées dans Azure Key Vault.
Azure Key Vault est un outil permettant de stocker les secrets et d’y accéder en toute
sécurité. Un secret est un élément dont vous voulez contrôler étroitement l’accès. Il
peut s’agir de clés d’API, de mots de passe ou de certificats. Cela fournit un stockage
sécurisé hautement disponible et évolutif, tel que défini dans des modules matériels
de sécurité (HSM) validés au niveau 2 des normes FIPS (Federal Information
Processing Standards) 140-2. Avec Key Vault, vous gardez le contrôle total des clés
utilisées pour chiffrer vos données, et vous pouvez gérer et vérifier l’utilisation de vos
clés.
7 Notes
1 of 8 22/04/2020 à 21:05
Chiffrer des disques de machines virtuelles existante... https://docs.microsoft.com/fr-fr/learn/modules/secu...
Azure Disk Encryption exige que votre coffre de clés et vos machines virtuelles
soient dans la même région Azure pour garantir que les secrets de chiffrement
ne franchissent pas les frontières régionales.
PowerShell
PowerShell = Copier
Azure CLI
az keyvault create \
--name "myKeyVault" \
--resource-group <resource-group> \
--location <location> \
--enabled-for-disk-encryption True
Portail Azure
Azure Key Vault est une ressource qui peut être créée dans le portail Azure de la
même façon que les autres ressources.
1. Dans le menu du portail Azure ou dans la page Accueil, sélectionnez Créer une
ressource.
2 of 8 22/04/2020 à 21:05
Chiffrer des disques de machines virtuelles existante... https://docs.microsoft.com/fr-fr/learn/modules/secu...
3 of 8 22/04/2020 à 21:05
Chiffrer des disques de machines virtuelles existante... https://docs.microsoft.com/fr-fr/learn/modules/secu...
4 of 8 22/04/2020 à 21:05
Chiffrer des disques de machines virtuelles existante... https://docs.microsoft.com/fr-fr/learn/modules/secu...
Azure doit avoir accès aux clés de chiffrement ou aux secrets de votre coffre de clés
afin de les rendre disponibles à la machine virtuelle pour démarrer et déchiffrer les
volumes. Nous avons abordé ce thème dans le cadre du portail quand nous avons
changé les Stratégies d’accès avancées ci-dessus.
Voici comment activer la stratégie de chiffrement de disque. Les deux autres sont
similaires, mais utilisent différents indicateurs.
PowerShell = Copier
5 of 8 22/04/2020 à 21:05
Chiffrer des disques de machines virtuelles existante... https://docs.microsoft.com/fr-fr/learn/modules/secu...
2 Avertissement
PowerShell = Copier
Set-AzVmDiskEncryptionExtension `
-ResourceGroupName <resource-group> `
-VMName <vm-name> `
-VolumeType [All | OS | Data]
-DiskEncryptionKeyVaultId <keyVault.ResourceId> `
-DiskEncryptionKeyVaultUrl <keyVault.VaultUri> `
-SkipVmBackup
az vm encryption enable \
--resource-group <resource-group> \
--name <vm-name> \
--disk-encryption-keyvault <keyvault-name> \
--volume-type [all | os | data] \
--skipvmbackup
PowerShell = Copier
6 of 8 22/04/2020 à 21:05
Chiffrer des disques de machines virtuelles existante... https://docs.microsoft.com/fr-fr/learn/modules/secu...
Ces deux commandes retournent l’état de chaque disque joint à la machine virtuelle
spécifiée.
PowerShell = Copier
Ces commandes désactivent le chiffrement des volumes du type All sur la machine
virtuelle spécifiée. Tout comme pour le chiffrement, vous pouvez spécifier un
paramètre -VolumeType``[All | OS | Data] pour sélectionner les disques à
déchiffrer. Si vous n’en spécifiez pas, la valeur par défaut est All .
2 Avertissement
7 of 8 22/04/2020 à 21:05
Chiffrer des disques de machines virtuelles existante... https://docs.microsoft.com/fr-fr/learn/modules/secu...
ont été chiffrés ne fonctionne pas comme prévu. Vous devez désactiver le
chiffrement sur tous les disques à la place.
Dans le prochain exercice, vous allez essayer quelques-unes de ces commandes sur
une nouvelle machine virtuelle.
Continuer T
8 of 8 22/04/2020 à 21:05
Automatiser les déploiements sécurisés de machine... https://docs.microsoft.com/fr-fr/learn/modules/secu...
" 100 XP
Nous allons maintenant voir comment utiliser un modèle Azure Resource Manager
pour activer automatiquement le chiffrement pour les nouvelles machines virtuelles
Windows.
1 of 5 22/04/2020 à 21:06
Automatiser les déploiements sécurisés de machine... https://docs.microsoft.com/fr-fr/learn/modules/secu...
Il existe des exemples de modèles dans docs qui permettent d’automatiser toutes
sortes de tâches d’administration. En fait, nous aurions pu utiliser l’un de ces modèles
pour chiffrer la machine virtuelle au lieu de le faire manuellement !
2 of 5 22/04/2020 à 21:06
Automatiser les déploiements sécurisés de machine... https://docs.microsoft.com/fr-fr/learn/modules/secu...
Quand le modèle est déployé, Azure affiche une liste des champs d’entrée
obligatoires.
3 of 5 22/04/2020 à 21:06
Automatiser les déploiements sécurisés de machine... https://docs.microsoft.com/fr-fr/learn/modules/secu...
Vous pouvez ensuite exécuter le modèle pour créer, modifier ou supprimer des
ressources.
Si vous connaissez déjà le modèle que vous souhaitez utiliser, ou que vous avez
enregistré des modèles dans votre compte Azure, vous pouvez utiliser la ressource
Créer une ressource > Déploiement de modèle pour rechercher et exécuter des
modèles définis dans le portail. Vous pouvez rechercher des modèles par leur nom,
modifier un modèle pour en changer les paramètres ou le comportement, et
exécuter le modèle directement depuis l’interface utilisateur graphique.
Vous pouvez exécuter un modèle ayant une URL dans Azure PowerShell. Par
4 of 5 22/04/2020 à 21:06
Automatiser les déploiements sécurisés de machine... https://docs.microsoft.com/fr-fr/learn/modules/secu...
PowerShell = Copier
New-AzResourceGroupDeployment `
-Name encrypt-disk `
-ResourceGroupName <resource-group-name> `
-TemplateUri https://raw.githubusercontent.com/azure/azure-
quickstart-templates/master/201-encrypt-running-windows-vm-without-
aad/azuredeploy.json
Ou, si vous préférez Azure CLI, avec la commande group deployment create .
Continuer T
5 of 5 22/04/2020 à 21:06