Azure Strategy

Guide de and
stratégie et
Implementation
de mise en œuvre Guide
Azure
Fourth Edition
Quatrième édition

Themanuel
Le essential handbook
essentiel à la to cloud transformation
transformation
with Azure
du Cloud avec Azure

Jack Lee, Greg

Greg Leonardo,
Leonardo,Jason
JasonMilgram,
Milgram,and DavidRendón
et David Rendón
Guide de stratégie et de
mise en œuvre Azure,
quatrième édition
Le manuel essentiel à la transformation du Cloud
avec Azure

Jack Lee

Greg Leonardo

Jason Milgram

David Rendón

BIRMINGHAM – MUMBAI
Guide de stratégie et de mise en œuvre Azure, quatrième édition
Copyright © 2021 Packt Publishing
Tous droits réservés. Aucune partie de ce livre ne peut être reproduite, stockée dans un
système de recherche ou transmise sous quelque forme ou par quelque moyen que ce
soit sans l’autorisation écrite préalable de l’éditeur, sauf dans le cas de brèves citations
incluses dans des articles ou revues critiques.
Tous les efforts ont été déployés dans la préparation de ce livre pour assurer
l’exactitude des informations présentées. Toutefois, les informations contenues ici sont
fournies sans aucune garantie, expresse ou implicite. Ni les auteurs, ni Packt Publishing,
ni ses revendeurs et distributeurs ne sauraient être tenus responsables des dommages
causés directement ou indirectement par ce livre.
Packt Publishing s’est efforcé de fournir des informations sur les marques de commerce
de toutes les sociétés et produits mentionnés dans ce livre en utilisant de manière
appropriée les majuscules. Cependant, Packt Publishing ne peut garantir l’exactitude de
ces informations.
Auteurs : Jack Lee, Greg Leonardo, Jason Milgram, et David Rendón
Relecteurs techniques : Aaditya Pokkunuri et Peter De Tender
Directeurs de la rédaction : Siddhant Jain et Mamta Yadav
Rédacteurs responsables des commandes : Saby Dsilva et Ben Renow-Clarke
Rédacteur responsable de la publication : Deepak Chavan
Comité de rédaction : Vishal Bodwani, Ben Renow-Clarke, Arijit Sarkar et Lucy Wan
Troisième publication : juin 2020
Quatrième publication : mars 2021
Référence de la production : 4120421
ISBN : 978-1-80107-797-2
Publié par Packt Publishing Ltd.
Livery Place, 35 Livery Street
Birmingham, B3 2PB, UK.
Table des matières

Préface   i

Chapitre 1 : Introduction   1

Qu’est-ce que Microsoft Azure ? ............................................................................  2

Approches envers l’adoption d’Azure ....................................................................  4
Cloud public ..................................................................................................................... 4
Cloud privé ....................................................................................................................... 4
Cloud hybride .................................................................................................................. 5
Multicloud ........................................................................................................................ 6
Edge computing .............................................................................................................. 7
Stratégies de migration Azure ................................................................................  7
Le ré-hébergement ......................................................................................................... 8
La refonte des plateformes ........................................................................................... 8
La refactorisation ............................................................................................................ 8
Avantages de l’infrastructure Azure pour les entreprises ..................................  8
Liens utiles ................................................................................................................  9

Chapitre 2: Automatisation et gouvernance dans Azure   10

Azure DevOps .........................................................................................................  11

Modèles ARM ................................................................................................................. 12
Déploiement d’Azure IaC ......................................................................................  14
Avantages offerts par Azure IaC ..........................................................................  16
Bonnes pratiques ...................................................................................................  17
Paramètres .................................................................................................................... 17
Variables ........................................................................................................................ 18
Ressources ..................................................................................................................... 19
Contrôle des identités et des accès .....................................................................  19
Quels sont les avantages offerts par Azure en termes de sécurité ? ..................... 20
Bonnes pratiques .......................................................................................................... 21
Gouvernance Azure ...............................................................................................  23
Quels sont les avantages ? ........................................................................................... 23
Résumé ...................................................................................................................  27
Liens utiles ..............................................................................................................  27

Chapitre 3: Modernisation grâce au Cloud hybride

et au multicloud   29

Qu'est-ce que le Cloud hybride, le multicloud et l’Edge computing ? .............  30

Quels sont les critères de réussite d’une stratégie hybride et multicloud ? .....  31
Présentation d'Azure Arc ......................................................................................  32
Gestion des applications Kubernetes à grande échelle ........................................... 34
Serveurs compatibles avec Azure Arc ........................................................................ 35
Services de données compatibles avec Azure Arc .................................................... 37
Conditions requises pour les services de données Azure ....................................... 39
Modes de connectivité ................................................................................................. 40
Exigences en matière de connectivité ........................................................................ 42
Création du contrôleur de données Azure Arc ......................................................... 43
 Azure Arc dans GitHub ................................................................................................. 43
Moderniser vos datacenters avec Azure Stack ..................................................  46
Présentation d’Azure Stack Hub ................................................................................. 48
Cas d’utilisation d'Azure Stack Hub ............................................................................ 49
Architecture d'Azure Stack Hub .................................................................................. 51
Fournisseur d’identité Azure Stack Hub .................................................................... 51
Comment est géré Azure Stack Hub ? ........................................................................ 51
Fournisseurs de ressources ......................................................................................... 53
Administration de base d'Azure Stack Hub ............................................................... 54
Obtenir de l’aide ............................................................................................................ 57
Kit de développement Azure Stack ............................................................................. 58
Gestion des mises à jour Azure Stack Hub ................................................................ 58
Présentation de la solution Azure Stack HCI ......................................................  61
Cas d’utilisation d’Azure Stack HCI ............................................................................. 61
Avantages de l’intégration Azure ................................................................................ 63
Conditions préalables pour adopter Azure Stack HCI .............................................. 64
Partenaires en matériel ............................................................................................... 64
partenaires logiciels ..................................................................................................... 65
Gestion des licences, facturation et tarification ....................................................... 65
Outils de gestion ........................................................................................................... 65
Prise en main d'Azure Stack HCI et de Windows Admin Center ......................  66
Installation de Windows Admin Center ..................................................................... 66
Ajout et connexion à un cluster Azure Stack HCI ..................................................... 66
Comparaison entre Azure Stack Hub et Azure Stack HCI .................................  69
Résumé ...................................................................................................................  70
Chapitre 4: Migration vers le Cloud : planification,
mise en œuvre et bonnes pratiques   72

Microsoft Azure Well-Architected Framework ...................................................  73

Choisir votre infrastructure sous-jacente ...........................................................  75
Calcul .............................................................................................................................. 75
Mise en réseau .............................................................................................................. 77
Stockage ......................................................................................................................... 79
Scénarios de migration de charges de travail ....................................................  83
Charges de travail Windows Server et Linux ............................................................. 84
SQL Server ...................................................................................................................... 85
Conteneurs .................................................................................................................... 87
Charges de travail VMware .......................................................................................... 88
Charges de travail SAP ................................................................................................. 90
Calcul haute performance ........................................................................................... 91
Bénéficier de l'évolutivité du Cloud et optimiser les performances ...............  95
Mise à l’échelle automatique Azure ........................................................................... 95
Considérations relatives aux performances de calcul et de stockage ................... 95
Sauvegarde et récupération d'urgence de qualité professionnelle ................  98
Azure Backup ................................................................................................................. 98
Azure Site Recovery ...................................................................................................  100
Bonne pratiques et support concernant la migration Azure .........................  102
La documentation officielle Azure ...........................................................................  102
Azure Migrate .............................................................................................................  102
Programme de migration Azure ..............................................................................  102
Centre des architectures Azure ...............................................................................  103
Azure App Service ......................................................................................................  103
 Azure SQL Database ..................................................................................................  103
Formation gratuite avec Microsoft Learn ...............................................................  103
Contacter un commercial Azure ..............................................................................  103
Résumé .................................................................................................................  103

Chapitre 5: Faciliter le travail à distance en toute

sécurité avec Azure AD et Azure Virtual Desktop   104

Déployer en toute sécurité l’infrastructure de travail à distance .................  105

Azure Active Directory .........................................................................................  106
Préparer votre environnement ................................................................................  107
Configuration d’Azure AD et d’environnements hybrides ....................................  110
Déployer Azure Virtual Desktop ...............................................................................  117
Étapes permettant de déployer les machines virtuelles associées
à Azure AD dans Azure Virtual Desktop ..................................................................  124
Modèles ARM ..............................................................................................................  129
Protéger votre infrastructure d'identité .................................................................  132
Faciliter la connectivité à distance ....................................................................  136
Azure Virtual WAN .....................................................................................................  137
Azure VPN ...................................................................................................................  138
Sécuriser et gérer le trafic vers vos charges de travail ...................................  142
Application Gateway avec WAF ................................................................................  144
Pare-feu Azure ............................................................................................................  146
Azure Load Balancer et équilibrage de charge inter-régions ...............................  147
Azure Bastion et accès Juste à temps (JIT) ..............................................................  148
Faciliter le travail à distance à l'aide d'Azure Virtual Desktop .......................  150
Instructions réseau  ...................................................................................................  155
Gestion des profils utilisateur à l'aide d'Azure Files et des Fichiers NetApp .....  157
Azure Monitor pour Azure Virtual Desktop ............................................................  159
 Intégrations avec des partenaires Azure Virtual Desktop  ...................................  160
Résumé .................................................................................................................  161

Chapitre 6: Notions de base sur la sécurité pour

lutter contre la cybercriminalité   162

Renforcer la sécurité des travailleurs à distance ............................................  163

Excellence des opérations de sécurité  ...................................................................  163
Cyber Defense Operations Center ...........................................................................  164
Protection ...................................................................................................................  165
Détection .....................................................................................................................  165
Intervention ................................................................................................................  166
Microsoft Intelligent Security Association ..............................................................  166
Obtenir de la visibilité sur l’ensemble de votre infrastructure
à l’aide d'Azure Security Center .........................................................................  167
Gestion des conditions de sécurité et multicloud .................................................  168
Architecture d'Azure Security Center ......................................................................  171
Azure Security Benchmark .......................................................................................  172
Garantir une protection avancée contre les menaces pour
vos environnements hybrides et multicloud avec Azure Defender ....................  174
Tableau de bord d'Azure Defender .........................................................................  175
Bonnes pratiques concernant la sécurité du réseau ......................................  181
Moderniser les opérations de sécurité avec Azure Sentinel,
une solution SIEM Cloud native .........................................................................  183
Une expérience SecOps unifiée .........................................................................  188
Résumé .................................................................................................................  189
Chapitre 7: Offres, support, ressources et conseils
pour optimiser les coûts dans Azure   191

Comprendre et prévoir les coûts .......................................................................  192

Modèle économique Cloud .......................................................................................  192
Outils de gestion des coûts .......................................................................................  193
Choisir le modèle de tarification approprié ...........................................................  199
Optimiser vos coûts .............................................................................................  200
Azure Advisor .............................................................................................................  201
Azure Hybrid Benefit .................................................................................................  201
Réservations Azure ....................................................................................................  202
Machines virtuelles Spot ...........................................................................................  203
Prix de développement/test .....................................................................................  203
Check-list d’optimisation ..........................................................................................  203
Résumé .................................................................................................................  204

Chapitre 8: Conclusion   206

Ressources ............................................................................................................  207
Glossaire ...............................................................................................................  207

Index   211
 Préface
>
À propos de

Cette section présente brièvement les auteurs et les réviseurs, ce que couvre ce livre, les
compétences techniques dont vous aurez besoin pour commencer, ainsi que le matériel et les
logiciels requis pour aborder tous les sujets.
ii | Préface

À propos du guide de stratégie et de mise en œuvre Azure,

quatrième édition
Microsoft Azure est une plateforme de Cloud computing puissante qui offre une multitude de
services et de fonctionnalités aux organisations de toute taille qui optent pour une stratégie
Cloud.

Cette quatrième édition aborde les dernières mises à jour sur les notions de base de la sécurité,
le Cloud hybride, la migration vers le Cloud, Microsoft Azure Active Directory et Azure Virtual
Desktop. Ce livre couvre l'ensemble des mesures impliquées dans le déploiement Azure,
notamment la compréhension des notions de base d’Azure, le choix d’une architecture Cloud
adaptée, l’élaboration de principes de conception, la familiarisation avec Azure DevOps et les
bonnes pratiques relatives à l’optimisation et à la gestion.
Le livre commence par introduire la plateforme Cloud Azure, en démontrant les nombreuses
possibilités de la transformation numérique et de l’innovation qui peuvent être réalisées grâce
aux fonctionnalités d’Azure. Il fournit ensuite des informations pratiques sur la modernisation
des applications, le déploiement de l'infrastructure en tant que service (IaaS) Azure, la gestion
de l’infrastructure, les architectures d’applications clés, les bonnes pratiques d’Azure DevOps et
Azure Automation.
À la fin du livre, vous aurez acquis les compétences essentielles pour piloter des opérations
Azure, qu'il s'agisse de la planification et de la migration vers le Cloud, de la gestion des coûts
ou de la résolution des problèmes.

À propos des auteurs

Jack Lee est consultant senior certifié Azure et chef de projet Azure passionné par le
développement logiciel, le Cloud et les innovations DevOps. Il est un contributeur actif de
la communauté technologique de Microsoft et a fait des présentations à divers groupes
d'utilisateurs et lors de conférences, dont le Global Azure Bootcamp chez Microsoft Canada.
Jack est un mentor et un juge expérimenté chez hackathons et est également président d'un
groupe d'utilisateurs qui se concentre sur Azure, DevOps et le développement logiciel. Il est
le co-auteur d'Azure pour les architectes et Analyse des données du cloud avec Microsoft Azure,
publiés par Packt Publishing. Il est reconnu en tant que MVP Microsoft pour ses contributions à
la communauté technologique. Vous pouvez suivre Jack sur Twitter, sur @jlee_consulting.
 Préface | iii

Greg Leonardo est actuellement architecte Cloud, et il aide les entreprises à adopter le Cloud et
à innover grâce à lui. Il travaille dans le secteur informatique depuis l’époque où il était militaire.
Il est vétéran, architecte, enseignant, conférencier et adoptant de la première heure. Il est
certifié Azure Solution Architect Expert, en plus d'être formateur certifié Microsoft et Microsoft
Azure MVP. Il a travaillé sur de nombreuses facettes de l’informatique tout au long de sa carrière.
Il est président de TampaDev, une rencontre communautaire qui organise #TampaCC, Azure
User Group, Azure Medics et divers événements technologiques à Tampa.

Greg a également écrit le livre Hands-On Cloud Solutions with Azure et les deux éditions
précédentes du Guide de stratégie et de mise en œuvre Azure pour Microsoft, publiés par Packt
Publishing.

Jason Milgram est architecte principal chez Science Applications International Corporation
(SAIC), dont le siège est situé à Reston, en Virginie. Il était auparavant premier Vice-président
et Architecte de solutions Cloud à la City National Bank of Florida, à Miami, après avoir
occupé le poste de Vice-président de Platform Architecture & Engineering chez Champion
Solutions Group à Boca Raton, en Floride. Jason a fait ses études à l’Université de Cincinnati
et au Massachusetts Institute of Technology – Sloan School of Management. Il a également
été sergent dans la réserve de l’armée des États-Unis, en service de 1990 à 1998. Microsoft
Azure MVP (2010 à aujourd’hui), Jason a effectué plus de 100 présentations sur Azure et il écrit
régulièrement des articles sur des sujets liés à Azure.

David Rendón a été un MVP Microsoft pendant 7 années consécutives grâce à ses connaissances
Azure. Il est actuellement architecte en solutions pour les régions des États-Unis et LATAM chez
Kemp, un fournisseur de logiciels de livraison d’applications et de sécurité.

Il présente régulièrement des événements informatiques publics tels que Microsoft Ignite, les
événements mondiaux Azure et les événements liés aux groupes d’utilisateurs locaux à travers
les États-Unis, l’Europe et l’Amérique Latine. Il est actif sur Twitter, sous @daverndn.

David s’est fortement intéressé aux technologies Microsoft et Azure depuis 2010. Il aide les
personnes à développer des compétences à la demande pour faire progresser leur carrière
dans le Cloud et l’IA. Il apporte son aide aux partenaires Microsoft dans le monde entier, en leur
prodiguant des conseils techniques et en dispensant des cours de formation Azure à l’échelle
mondiale (Inde, Amérique du Sud et États-Unis), qui permettent aux entreprises de migrer leurs
applications critiques vers le Cloud et de former leurs collaborateurs afin qu'ils deviennent des
architectes du Cloud certifiés.

Vous pouvez contacter David sous /daverndn sur LinkedIn et Twitter, et sous /wikiazure sur
YouTube.
iv | Préface

À propos des réviseurs

Aaditya Pokkunuri est un ingénieur de base de données chevronné qui bénéficie de 11 années
d'expérience dans le secteur des technologies et des services de l’information. Il est compétent
en matière d'optimisation des performances, d’administration de serveur de base de données
Microsoft SQL, SSIS, de SSRS, Power BI et de développement SQL. Il possède de solides
connaissances sur la réplication, le clustering, les options de haute disponibilité SQL Server
et les processus ITIL. Son savoir-faire concerne les tâches d’administration Windows, Active
Directory et les technologies Microsoft Azure. Il bénéficie également de connaissances
approfondies sur le Cloud AWS, en plus d'être un associé architecte de solutions AWS. Aaditya
est un professionnel de la technologie de l’information compétent, titulaire d'un baccalauréat en
technologie axé sur l’informatique et l’ingénierie de l’Université de Sastra, à Tamil Nadu.

Peter de Tender est un expert Azure bien connu et un formateur technique extrêmement
passionné et dédié, qui parvient toujours à proposer des ateliers techniques approfondis et
inspirants sur la plateforme Azure, avec des démonstrations et de l’amusement.

Avant de rejoindre la prestigieuse équipe de formateurs techniques d’Azure au sein de Microsoft,

Peter a occupé un poste similaire au sein de sa propre entreprise pendant six ans. Maintenant,
il continue à faire ce qu’il aime le plus, en aidant les clients et les partenaires à aiguiser leurs
connaissances dans le monde merveilleux et les capacités d’Azure.

Peter est un formateur certifié Microsoft (MCT) depuis plus de 10 ans, et il est MVP Microsoft
depuis 2013, initialement sur Windows IT Pro, puis sur Azure depuis 2015.

En plus de la co-création de la précédente édition de ce livre, Peter a publié d’autres documents

consacrés à Azure avec Packt Publishing, Apress et en auto-édition.

Vous pouvez suivre Peter sur Twitter comme @pdtit ou @007ffflearning, afin de vous tenir
informé de ses aventures avec Azure.

Objectifs d’apprentissage
À la fin de ce livre de recettes, vous serez en mesure de faire ce qui suit :
• Comprendre les principales technologies et solutions d’infrastructure Azure
• Établir une planification détaillée de la migration des applications vers le Cloud avec
Azure
• Déployer et exécuter es services d’infrastructure Azure
• Définir les rôles et les responsabilités en matière de DevOps
• Bien comprendre les notions de base sur la sécurité
• Optimiser les coûts dans Azure
 Préface | v

Audience
Ce livre est destiné aux architectes Azure, aux architectes de solutions Cloud, aux développeurs
Azure, aux administrateurs Azure et à tous ceux qui souhaitent acquérir des connaissances en
matière d’exploitation et d’administration du Cloud Azure. Des connaissances basiques sur les
systèmes d’exploitation et les bases de données vous permettront de comprendre les concepts
abordés dans ce livre.

Approche
Le Guide de stratégie et de mise en œuvre Azure, quatrième édition explique chaque sujet en
détail et fournit un scénario concret à la fin, pour que vous puissiez découvrir des solutions
pratiques. Il enrichit également les enseignements tirés avec des données statistiques et des
représentations graphiques supplémentaires.

Configurations matérielles requises

Le portail Azure est une console basée sur le Web qui s’exécute sur tous les navigateurs
modernes pour les ordinateurs de bureau, les tablettes et les appareils mobiles. Pour utiliser le
portail Azure, vous devez avoir activé JavaScript sur votre navigateur.

Configurations logicielles requises

Nous vous conseillons d’utiliser le navigateur le plus à jour compatible avec votre système
d’exploitation. Les navigateurs suivants sont actuellement pris en charge :
• Microsoft Edge (dernière version)
• Internet Explorer 11
• Safari (dernière version, Mac uniquement)
• Chrome (dernière version)
• Firefox (dernière version)

Conventions
Les mots en code dans le texte, les noms de bases de données, les noms de fichiers et les
extensions de fichiers sont indiqués comme suit : « dans ce code, nous utilisons une déclaration
let pour l'instance Eventappelée WVDConnections et des tables de filtrage pour les lignes qui
correspondent aux utilisateurs avec un état connected. »
vi | Préface

Voici un exemple de bloc de code :

let Events = WVDConnections
| where UserName == "userupn";
Events
| where State == "Connected"
| project CorrelationId, UserName, ResourceAlias, StartTime=TimeGenerated
| join (Events
| where State == "Completed"
| project EndTime=TimeGenerated, CorrelationId)
on CorrelationId
| project Duration = EndTime - StartTime, ResourceAlias
| sort by Duration asc

Les termes nouveaux et les mots importants sont indiqués en gras. Par exemple, l’« Edge
computing confère la puissance du Cloud aux appareils de l'Internet des objets (IoT) ».
 Introduction
1
De nos jours, les entreprises sont confrontées à des défis importants, qu’il s’agisse d'adopter
le travail à distance ou de faire face à l’augmentation des cyberattaques. Microsoft Azure est
une plateforme Cloud puissante conçue pour vous aider à renforcer la productivité, assurer
la sécurité, stimuler l’efficacité et économiser de l’argent, en vous permettant de garantir la
résilience, de réaliser des économies et d'obtenir les avantages dont votre entreprise a besoin.
Que vous soyez une start-up ou une entreprise multinationale opérant dans le monde entier,
vous pouvez commencer à déployer et à migrer des charges de travail vers Azure avec une
approche qui répond aux besoins de votre entreprise.

La première étape pour tirer parti des nombreuses fonctionnalités offertes par Azure consiste
à effectuer une planification rigoureuse. Ce document a été conçu pour vous aider à mener
à bien cette planification en vous offrant une compréhension de base de l’infrastructure
Azure, de ses fonctionnalités et avantages fondamentaux, ainsi que les bonnes pratiques
qui vous aideront à utiliser Azure, que vous décidiez de migrer ou d’adopter une approche
de Cloud hybride.
Ce chapitre couvre les sujets suivants :
• Qu’est-ce que Microsoft Azure ?
• Approches envers l’adoption d’Azure
• Stratégies de migration Azure
• Avantages de l’infrastructure Azure pour les entreprises
2 | Introduction

Ce chapitre présente l’infrastructure et les avantages commerciaux d’Azure. Les chapitres

suivants couvriront ce sujet, en fournissant des conseils plus spécifiques et une explication des
technologies qui vous aideront à planifier vos stratégies de migration et de mise en œuvre de
l’infrastructure Azure.

Qu’est-ce que Microsoft Azure ?

Azure est la plateforme de Cloud computing de Microsoft. elle propose une variété de services
à la fois aux individus et aux organisations. Le Cloud computing offre un accès pratique et à la
demande à un pool partagé de ressources informatiques sur le réseau. Parmi ces ressources
figurent, le stockage, les serveurs et les applications qui peuvent être déployées rapidement.

Azure assure une mise en service rapide des ressources de calcul pour vous aider à héberger
vos applications existantes, à rationaliser le développement de nouvelles applications et même
à améliorer les applications sur site. Ces ressources sont gérées par Microsoft. Toutefois,
vous pouvez les surveiller et obtenir des rapports et des alertes lorsque des problèmes
surviennent. Tous ces éléments sont basés sur les pools de ressources qui peuvent être affectés
dynamiquement aux services requis, notamment l’UC, la mémoire, le stockage et la bande
passante réseau.

Azure propose quatre catégories de modèles de services : l'infrastructure en tant que service
(IaaS), le logiciel en tant que service (Saas), la plateforme en tant que service (PaaS) et le
modèle sans serveur. Configurée et gérée sur Internet, Azure IaaS est une infrastructure
informatique instantanée qui offre des ressources de calcul, de stockage et de mise en réseau
essentielles à la demande.

Il est essentiel de comprendre comment vous pouvez tirer parti de chacun de ces modèles de
service pour répondre à vos demandes en constante évolution. Lorsque vous utilisez Azure, vous
assumez une responsabilité partagée concernant les ressources que vous déployez. La figure 1.1
illustre votre part de responsabilité et celle de Microsoft concernant la gestion des charges
de travail pour chacun des modèles de service, en vous permettant de vous concentrer sur les
ressources importantes pour votre application :
 Introduction | 3

Figure 1.1 : modèles de Cloud computing

Selon le niveau de responsabilité que vous souhaitez gérer par rapport à celui d'Azure, vous
pouvez déterminer le modèle de service Cloud le plus adapté à votre entreprise. Les différents
modèles offrent différents degrés de contrôle sur l’environnement de développement, la
possibilité de refactoriser vos applications, vos objectifs de commercialisation, etc. Vos
responsabilités augmentent généralement à mesure que vous passez du modèle SaaS, au
modèle PaaS et au modèle IaaS. La séparation des responsabilités sera abordée en détail dans le
chapitre 2, automatisation et gouvernance dans Azure, dans la section Contrôle des identités et des
accès.

Le reste de ce document porte sur le modèle IaaS. Le modèle IaaS vous offre un contrôle
maximal sur l’environnement, car Microsoft fournit l’infrastructure de base en vous laissant
gérer les applications. Cette approche est idéale pour les entreprises qui souhaitent
personnaliser leurs solutions Cloud pour leurs applications professionnelles.
4 | Introduction

Approches envers l’adoption d’Azure

Lorsque vous envisagez d’adopter Azure dans le cadre de votre stratégie d’infrastructure Cloud,
vous pouvez choisir différentes façons de déployer des services Cloud (cloud public, Cloud
privé, Cloud hybride, plusieurs Clouds et à la périphérie des réseaux). Le choix de l'un de ces
environnements informatiques dépend d’un grand nombre de facteurs.

Étudions chacune de ces approches d’un peu plus près.

Cloud public
Le type de service de Cloud computing le plus courant est le Cloud public, qui est fourni par des
fournisseurs de Cloud tiers et livré sur l’Internet public. Les ressources de ces environnements
de Cloud public sont détenues et gérées par le fournisseur de Cloud sous-jacent, qui, dans le
cas d’Azure, est Microsoft. Dans les Clouds publics, les ressources sont partagées avec d’autres
organisations ou des locataires du Cloud. Il peut s'agir de services tels que les e-mails, le CRM,
les machines virtuelles et les bases de données.
Le Cloud public est couramment utilisé par les organisations qui souhaitent exposer leurs
charges de travail publiques, telles que des sites Web publics ou des applications mobiles. Ces
types d’applications présentent des charges de travail comprenant plusieurs couches d’interface
utilisateur et de services nécessaires à leur fonctionnement. Les produits Office de Microsoft
sur différentes plateformes, telles que les applications de bureau, Web et mobiles en sont un bon
exemple. Ces offres requièrent la séparation de l’interface utilisateur et des services, Chaque
mise en œuvre utilisant les services et l’infrastructure Cloud en coulisses pour offrir la même
expérience indépendamment de la plateforme.

Azure offre plusieurs avantages en tant que Cloud public :

• Azure repose sur un vaste réseau de serveurs et de régions, en renforçant la protection
contre les défaillances et la fiabilité.
• Azure peut offrir une évolutivité quasi illimitée en fournissant des services à la demande
pour répondre aux besoins de votre entreprise.
• Azure fournit à la fois du matériel et des logiciels à des coûts bien inférieurs à ceux des
modèles sur site, car vous payez uniquement en fonction de votre consommation.

Cloud privé
Comme son nom l’indique, un Cloud privé comprend des ressources de Cloud computing
(matériel et logiciel) utilisées exclusivement par une entreprise ou une organisation, les services
et l’infrastructure étant maintenus sur un réseau privé. Un fournisseur de services tiers peut
héberger un Cloud privé, ou celui-ci peut résider dans un datacenter sur site.
 Introduction | 5

Les Clouds privés sont souvent utilisés par les organismes publics, les institutions financières
ou les prestataires de soins de santé pour répondre à des exigences spécifiques en matière de
réglementation et d’informatique. Leurs opérations stratégiques nécessitent en effet un contrôle
accru sur leur environnement. Les environnements locaux peuvent être étendus à Azure à l’aide
d’Azure ExpressRoute ou d’un tunnel VPN de site à site pour connecter les charges de travail,
tout en les gardant isolées de la vue publique. Nous allons étudier plus en détail ces principaux
composants de l’infrastructure Azure au chapitre 5, Faciliter le travail à distance en toute sécurité
avec Azure AD et Azure Virtual Desktop.

Les avantages du choix d’un Cloud privé sont les suivants :

• Un contrôle accru sur vos ressources, car elles ne sont pas partagées avec d'autres.
• Une plus grande flexibilité dans la personnalisation de l’environnement pour répondre
aux besoins spécifiques de l’entreprise.
• Une meilleure évolutivité par rapport aux infrastructures sur site.

Ces types de solutions basées dans le Cloud sont un peu plus coûteuses en raison de
l’infrastructure nécessaire pour isoler et accéder aux charges de travail de l’entreprise.

Cloud hybride
Un Cloud hybride est un environnement informatique qui combine un datacenter sur site et un
Cloud public, lesquels partagent les données et les applications. Les Clouds hybrides permettent
aux entreprises de facilement mettre à l'échelle leur infrastructure sur site dans le Cloud lorsque
la demande de traitement augmente et de réduire cette infrastructure lorsque la demande
diminue. Le Cloud hybride permet également d’utiliser les nouvelles technologies axées sur le
Cloud pour les charges de travail nouvelles ou migrées, tout en conservant d’autres applications
et données stratégiques sur site en raison des coûts de migration et de la conformité des
entreprises ou des réglementations.

Prenons l'exemple du scénario d'une entreprise fiscale. Les sociétés fiscales ont généralement
besoin d’un calcul important seulement trois mois par an, ce qui peut s'avérer onéreux. Plutôt
que d’investir des capitaux importants dans des serveurs locaux supplémentaires pour faire
face à la capacité de pointe, elles peuvent utiliser un environnement hybride dans le Cloud pour
développer et réduire leur calcul à la demande. Cette solution leur permettrait de réduire les
coûts en ne payant que ce qu’elles utilisent.
Azure offre des fonctionnalités hybrides uniques qui offrent aux clients la souplesse nécessaire
pour innover en tout lieu, que ce soit sur site, dans les Clouds ou dans des environnements
en périphérie. Azure propose différents modèles d’utilisation hybride qui peuvent vous aider à
réduire le coût d’exécution de vos charges de travail dans le Cloud. Par exemple, Azure Hybrid
Benefit vous permet d’utiliser vos licences de serveur sur site sur Azure afin d'optimiser les
économies de coûts. Cette méthode est appelée modèle de licence hybride et s’applique à la
plupart des licences basées sur serveur.
6 | Introduction

Microsoft propose également des offres Cloud spécifiques au secteur, notamment le Cloud
Microsoft pour les services financiers, le Cloud Microsoft pour l’industrie manufacturière et le
Cloud Microsoft pour les organisations à but non lucratif. Ces Clouds du secteur épousent toute
la gamme des services Cloud de Microsoft avec des composants et des normes, des charges
de travail et des API spécifiques à l’industrie, afin de fournir des solutions adaptées aux défis
du secteur, en permettant aux entreprises de cibler les domaines qui nécessitent le plus de
transformation technologique.

Les Clouds hybrides ne doivent pas être considérés comme un compromis temporaire, concédé
par les organisations le temps qu'elles migrent leur environnement sur site vers Azure. Un Cloud
hybride peut être une stratégie utilisée par les organisations pour trouver une solution stable
qui répond le mieux à leurs besoins en matière de technologie de l’information.

Multicloud
Une approche multicloud implique l’utilisation de plusieurs services de Cloud computing
provenant de plusieurs fournisseurs de Cloud. Ce modèle vous permet de mélanger et d’associer
les services de différents fournisseurs pour obtenir la combinaison la plus adaptée à une tâche
particulière ou tirer parti d'offres dans des emplacements spécifiques, qu’il s’agisse de Clouds
publics ou privés.

Les clients peuvent par exemple choisir une stratégie multicloud pour répondre aux exigences
réglementaires ou de souveraineté des données dans différents pays. Cette approche permet
également d'améliorer la continuité de service et la récupération d’urgence, par exemple, la
sauvegarde des données sur site dans deux Clouds publics pour les unités commerciales, les
filiales ou les sociétés rachetées qui adoptent différentes plateformes Cloud.

Les modèles multicloud peuvent devenir très complexes car ils nécessitent la gestion de
plusieurs plateformes. Microsoft Azure fournit des solutions qui facilitent la gestion de
votre Cloud hybride, et qui sont décrites en détail à l'adresse [Link]
solutions/hybrid-cloud-app/. Parmi ces solutions figure Azure Arc, une technologie de gestion
multicloud. Azure Arc étend la gestion et les services Azure à l’aide d’un seul plan de contrôle
sur les environnements hybrides, multicloud et en périphérie, en garantissant un état cohérent
entre les environnements de ressources et l’infrastructure. Cette solution offre une plus grande
visibilité sur les ressources, responsabilise davantage les équipes et donne plus de moyen aux
développeurs, tout en accélérant l’innovation sur Azure vers n’importe quel emplacement.

Les solutions Cloud hybride et multicloud seront abordées plus en détail au chapitre 3,
Modernisation grâce au Cloud hybride et au multicloud.
 Introduction | 7

Edge computing
L’Edge computing confère la puissance du Cloud aux appareils de l'Internet des objets (IoT).
Vous pouvez exécuter des machines virtuelles, des services de données et des conteneurs
sur les sites périphériques, à proximité de l’endroit où résident les données, à l’aide de l’Edge
computing pour obtenir des informations en temps réel et réduire la latence. Vos appareils
passent moins de temps à communiquer avec le Cloud à la périphérie du réseau et fonctionnent
de manière fiable, même s'ils sont déconnectés pendant de longue périodes.
En raison de l’adoption à grande échelle de capteurs intelligents et d’appareils connectés,
ainsi que de technologies de pointe dans le Cloud, comme le Machine Learning et l’IA, les
appareils IoT sont très sensibles aux changements locaux et au contexte. Ils offrent également
des avantages en matière de sécurité, compte tenu de la nature distribuée des systèmes Edge
computing, où une seule perturbation ne parvient pas à compromettre l’ensemble du réseau.

Cet avantage peut s'avérer précieux pour le suivi d'un parc automobile. Avec l’aide d’Azure, le
Programme des Nations Unies pour le développement (PNUD) a conçu une solution de gestion
de flotte utilisant la technologie IoT et des appareils compatibles pour générer de nouvelles
informations. Ces appareils de suivi IoT envoient une quantité importante de données de
télémétrie lorsqu’ils sont connectés à Internet et stockent ces données localement en l’absence
de connexion. Le PNUD a ainsi pu déplacer et gérer sa flotte de véhicules en coordonnant
environ 12 000 membres du personnel dans une mission visant à éradiquer la pauvreté grâce
au développement durable. Pour en savoir plus à ce sujet, consultez la page [Link]
[Link]/story/822486-united-nations-development-programme-nonprofit-azure-iot.

Nous avons vu les différentes façons dont vous pouvez adopter Azure dans votre stratégie
d’infrastructure Cloud. Étudions de plus près la migration vers Azure.

Stratégies de migration Azure

Microsoft Azure offre aux entreprises la possibilité de transférer une infrastructure déjà
existante vers le Cloud, en déplaçant soit une partie des charges de travail dans la cadre
d'une approche de Cloud hybride, soit l’intégralité de l’infrastructure. Cette dernière méthode
est appelée migration. Qu'il s'agisse de migrer des applications héritées ou de déployer des
applications sur Azure, les entreprises doivent déterminer leurs besoins à l’avance et planifier
une stratégie de migration.
La migration vers Azure peut être réalisée de plusieurs façons en fonction de deux
considérations importantes. La première est le type de modèle de déploiement que vous
souhaitez utiliser : Azure public, Cloud privé, Azure hybride ou multicloud. La seconde est la
catégorie ou le type de service : IaaS, PaaS, SaaS ou sans serveur. Ces stratégies de migration
vous aideront à déterminer l'approche optimale pour transférer vos charges de travail vers
Azure.
Trois stratégies différentes permettent de migrer vers Azure : le ré-hébergement, la refonte des
plateformes et la refactorisation.
8 | Introduction

Le ré-hébergement
Le réhébergement, ou la réplication, correspond au transfert direct d'une application sur site
ou d’une machine virtuelle vers Azure. Il s’agit de la migration la plus rapide et la plus simple.
En effet, cette méthode implique le moins de dépendances, un impact minimal sur l'entreprise et
aucune contrainte. Le ré-hébergement de votre application est recommandé dans les scénarios
impliquant une livraison rapide.

La refonte des plateformes

La refonte des plateformes, ou le redéploiement, consiste à transférer un élément comme
Internet Information Services (IIS) sur une machine virtuelle vers une offre PaaS dans Azure.
Ainsi, vous n’aurez pas à gérer le système d’exploitation, uniquement l’application elle-même.
Cette méthode peut généralement être appliquée en redirigeant simplement votre processus
DevOps pour le redéployer dans la nouvelle infrastructure. Ce scénario peut néanmoins
impliquer des DLL tiers et des restrictions susceptibles d'engendrer des problèmes.

La refactorisation
La refactorisation est généralement recommandée lorsque votre code d’application n’est
pas conforme aux services Azure. Vous devez alors réécrire l’application, ou des parties de
l’application, afin de vous conformer aux nouvelles normes en constante évolution, ainsi qu’aux
besoins fonctionnels et de sécurité. Cette procédure est également dénommée modernisation
de l’application, car vous la rendez plus native au sein d'Azure. Parmi les trois stratégies de
migration vers Azure, celle-ci présente un risque de dépassement des coûts.
Sachez qu’il n’y a pas de bonne ou de mauvaise réponse concernant le choix entre ces
approches. L’identification des objectifs de votre entreprise peut vous aider à déterminer la
stratégie de migration qui convient le mieux à votre entreprise.

Intéressons-nous désormais aux raisons pour lesquelles vous devez migrer vers Azure.

Avantages de l’infrastructure Azure pour les entreprises

Lorsque vous envisagez d’adopter l’infrastructure Azure, il est utile de comprendre les avantages
découlant d'une migration. La nature flexible et agile d’Azure sont des atouts qui ne sont tout
simplement pas offerts par un environnement d’infrastructure sur site. Vous bénéficierez
également des avantages suivants en migrant vers Azure :
• Évolutivité : Azure peut prendre en charge le travail opérationnel et vous permettre
de dimensionner rapidement les ressources Azure pour répondre à vos exigences
professionnelles. Vous pouvez facilement configurer de nouvelles ressources et
dimensionner les ressources existantes dans le portail Azure, ou à l'aide d'un programme
via Azure PowerShell, l'interface de ligne de commande d’Azure (Azure CLI) ou les
API REST.
 Introduction | 9

• Économies de coûts : Azure propose des services Cloud basés sur la consommation, en
permettant aux entreprises de passer d’un modèle de dépenses CapEx à un modèle de
dépenses OpEx plus agile. Économisez de l’argent et gagnez en agilité opérationnelle
grâce à des offres hybrides, des programmes complets de migration de datacenter et une
infrastructure informatique rentable.
• Vitesse de livraison accrue : étant donné que vous n’avez pas à attendre le déploiement
de l’infrastructure dans votre datacenter pour pouvoir accéder aux ressources
nécessaire, vous profiterez d'un délai de mise sur le marché accéléré. L’automatisation du
pipeline d’intégration, de livraison et de déploiement continus sur la plateforme unique
Azure DevOps joue également un rôle important dans ce processus.
• Innovation : vous accédez à toutes les dernières technologies sur Azure, telles qu'Azure
AI, le Machine Learning et l’Internet des objets.
• Gestion fluide et sécurisée des environnements hybrides : vous pouvez commencer
à tirer parti des ressources basées sur Azure sans avoir à migrer l’intégralité de votre
infrastructure sur site existante vers le Cloud. En outre, vous pouvez appliquer la
sécurité et la résilience à ces environnements hybrides. Azure vous permet d’améliorer
vos conditions de sécurité et d’obtenir des informations complètes sur les menaces qui
pèsent sur vos environnements.

Comme nous l’avons mentionné, Azure propose un modèle basé sur la consommation et
à la demande, qui vous permet de ne payer que ce que vous utilisez. Vous n’avez plus besoin
d’investir dans des ressources et des applications sur site. Azure confère une évolutivité infinie
à vos applications pour les rendre plus performantes, en mettant l'accent sur la sécurité,
en aidant aussi bien les petites que les grandes organisations.

Maintenant que nous avons présenté Azure et les services associés, passons au chapitre suivant,
qui porte sur certaines des technologies et solutions de base proposées aux organisations.

Liens utiles
• Si vous souhaitez en savoir plus sur l’architecture Azure, consultez la documentation sur
les ressources et les architectures disponible ici : [Link]
architecture/framework/
• Pour essayer gratuitement les services Azure pendant 12 mois, rendez-vous ici :
[Link]
 Automatisation
2
et gouvernance
dans Azure
Dans le dernier chapitre, nous avons étudié le fonctionnement de l’infrastructure dans le
Cloud, d’un point de vue natif mais aussi hybride. Intéressons-nous désormais à la création
de ressources dans Azure. Même si vous pouvez maintenant accéder au portail Azure et créer
n’importe quelle ressource Azure, cette tâche peut s'avérer fastidieuse sans automatisation.
L’automatisation dans Azure s’effectue via les modèles Azure DevOps et Azure Resource
Manager (ARM). Même si nous nous concentrons exclusivement sur les solutions Microsoft
prêtes à l’emploi, un certain nombre d’autres outils de déploiement et de développement
peuvent vous aider à effectuer des tâches d’automatisation. Une fois que vous avez déployé vos
ressources, vous devez garantir leur sécurité.
 Automatisation et gouvernance dans Azure | 11

Ce chapitre aborde les thèmes suivants :

• Azure DevOps et son importance
• Les modèles ARM et leurs différents cas d'utilisation
• Les notions de base et les bonnes pratiques de déploiement de l'infrastructure en tant
que code (IaC) d'Azure
• Les avantages et les bonnes pratiques dédiés aux contrôles des identités et des accès
dans Azure
• Gouvernance Azure

Avant d'étudier en détail l’automatisation et l'impact d'une infrastructure IaC, commençons par
présenter les modèles Azure DevOps et ARM.

Azure DevOps
Bien que ce chapitre ne concerne pas Azure DevOps, il est judicieux de commencer
par présenter les fondements de cette solution. Azure DevOps est à la fois un outil de
développement et d’entreprise, car il peut être la source unique de vérité pour votre base de
code et un backlog d'éléments que le code doit couvrir. Examinons quelques-unes des options
proposées par cette solution :
• Azure Repos vous permet de créer un référentiel Git ou Team Foundation Version
Control pour stocker votre contrôle de source de développement.
• Les pipelines Azure, l’un des processus critiques que nous allons utiliser dans ce chapitre
pour les artefacts créés, fournissent des services de build et de lancement, afin de
garantir l'intégration et la livraison en continu (CI/CD) de vos applications.
• Les tableaux Azure fournissent un backlog de produit en vue de planifier et de suivre
le travail, les défauts de code et d’autres problèmes susceptibles de survenir au cours
de votre développement logiciel.
• Azure Test Plans vous permet de tester le code au sein de votre référentiel et d’effectuer
des tests manuels et exploratoires, ainsi que des tests continus.
• Azure Artifacts fournit les éléments nécessaires à l’empaquetage et au déploiement
de votre code, comme les ressources NuGet généralement partagées avec vos pipelines
CI/CD.
12 | Automatisation et gouvernance dans Azure

Comme vous pouvez le voir, Azure DevOps est l’outil de Microsoft dédié au déploiement et à la
gestion des applications dans Azure, dans le cadre du processus de gestion des versions. Pour
en savoir plus sur Azure DevOps, consultez la documentation disponible à l’adresse [Link]
[Link]/azure/devops/user-guide/what-is-azure-devops?view=azure-devops.

Remarque
Azure DevOps est disponible gratuitement avec une licence cinq utilisateurs. N’hésitez
pas à découvrir le fonctionnement des déploiements dans Azure. Rendez-vous à l'adresse
[Link] pour créer gratuitement votre compte.

Maintenant que nous avons abordé certains des outils, intéressons-nous aux modèles ARM.

Modèles ARM
Les modèles ARM correspondent à la représentation de votre infrastructure en tant que code.
Les modèles ARM aident les équipes à adopter une approche plus agile envers le déploiement
de l’infrastructure dans le Cloud. Il n’est plus nécessaire de cliquer sur déployer dans le portail
Azure pour créer votre infrastructure. Un modèle ARM est le mélange d’un fichier JSON
représentant la configuration de votre infrastructure et d’un script PowerShell pour exécuter
ce modèle et créer l’infrastructure.
L’avantage réel de l’utilisation du système ARM est qu’il vous permet d’utiliser une syntaxe
déclarative. Ainsi, vous pouvez déployer une machine virtuelle et créer l’infrastructure réseau
associée. Les modèles aboutissent à la création d'un processus qui peut être exécuté à plusieurs
reprises d’une manière très cohérente. Ils gèrent l’état souhaité de l’infrastructure. Ainsi, un
modèle devient la source de vérité pour ces ressources d’infrastructure. Si vous modifiez votre
infrastructure, vous devez le faire à l’aide des modèles.
Le processus de déploiement du modèle ne peut être réalisé qu'en orchestrant l'exécution du
processus de modèle et l’ordre dans lequel il doit s’exécuter. Il est également utile de diviser ces
fichiers en segments plus petits et de les associer ou de les réutiliser de différentes manières
avec d’autres modèles. Cela peut vous aider à comprendre et à contrôler votre infrastructure,
tout en répétant et en stabilisant le processus. Les modèles ARM sont utilisés dans les pipelines
CI/CD et le déploiement de code pour créer une suite d’applications au sein de l’organisation.
 Automatisation et gouvernance dans Azure | 13

Le fichier JSON suivant indique la structure des modèles ARM :

{
  "$schema": "[Link]
[Link]#",
  "contentVersion": "[Link]",
  "parameters": {},
  "variables": {},
  "resources": [],
  "outputs": {}
}
Comme vous pouvez le voir, il existe plusieurs éléments importants : les paramètres, les
variables, les ressources et les sorties. Examinons rapidement chacun d'entre eux :
• Les fichiers de modèle ARM doivent être paramétrés. Il existe par ailleurs un fichier
distinct pour les paramètres mappés à la liste des paramètres dans le fichier de modèle
JSON.
• La partie variables concerne les variables utilisées dans ce fichier. Les variables sont
généralement utilisées pour créer des fonctions de nommage en vue de générer une
convention de nommage déjà structurée, et de développer cette structure qui utilise les
paramètres d’entrée pour créer le nom.
• La section ressources correspond à l’emplacement de toutes les ressources que vous
essayez de déployer avec ce modèle ARM. Il peut s'agir de machines virtuelles, de sites
Web, etc.
• Enfin, la section sorties fait référence à tous les éléments de votre modèle ARM que vous
souhaitez utiliser ailleurs, par exemple un nom SQL Server, avant d’exécuter vos scripts
SQL.

Trois fichiers sont générés lorsque vous créez un fichier de modèle ARM dans Visual Studio :
• Le premier est le fichier JSON, qui est le modèle représenté dans le code précédent.
• Le deuxième est le fichier d’entrée du paramètre JSON, qui peut être modifié à chaque
déploiement pour correspondre à l’environnement que vous souhaitez déployer.
• Le troisième est le script PowerShell utilisé pour exécuter le modèle. Le script
PowerShell accepte les entrées du groupe de ressources, le fichier de modèle ARM et le
fichier de paramètres.
14 | Automatisation et gouvernance dans Azure

Nous venons donc de présenter rapidement Azure DevOps et les fichiers générés lorsque vous
créez un modèle ARM. Intéressons-nous désormais au déploiement des ressources Azure à l’aide
de ces modèles ARM.

Déploiement d’Azure IaC

Comme nous l’avons vu dans la section Modèles ARM, les modèles ARM nous servent à déployer
notre infrastructure, car ils s’adaptent parfaitement à notre processus CI/CD. Plusieurs
méthodes permettent de créer ces modèles.

L’une d'entre elles consiste à créer un modèle monolithique qui contient toutes les ressources
que vous souhaitez déployer. Pour rendre ce processus un peu plus modulaire, vous pouvez
utiliser une structure de modèle imbriquée. Vous pouvez également adopter une approche
plus découplée et créer des modèles plus petits que vous pouvez lier ensemble, en créant une
structure hautement utilisable et reproductible.

Jetons un coup d’œil à chacune de ces méthodes, en commençant par la vue monolithique :

Figure 2.1 : modèle ARM monolithique

Comme vous pouvez le voir dans la figure 2.1, un modèle ARM monolithique déploie une
interface utilisateur frontale avec un niveau intermédiaire d’API connecté à la base de données
SQL. Dans ce processus, nous devons créer toutes les dépendances au sein du modèle JSON.
La base de données SQL est déployée avant le niveau intermédiaire de l’API pour utiliser la
chaîne de connexion dans la configuration de l’application API. Vous devez ensuite déployer
la couche d’interface utilisateur avec l’URL de l’API utilisée dans la configuration de l’application
d’interface utilisateur. L'enchaînement du déploiement peut fonctionner non seulement pour
le déploiement du code, mais également pour la configuration.
 Automatisation et gouvernance dans Azure | 15

Vous pouvez également mettre en œuvre un ensemble de modèles imbriqués :

Figure 2.2 : modèles ARM imbriqués

Comme vous pouvez le voir, ce cas de figure est similaire à la structure illustrée dans la figure 2.1.
Toutefois, les modèles de cette structure sont imbriqués dans des sections de fichiers distinctes.
Chaque modèle est donc propriétaire de la ressource qu’il tente de déployer. Cette structure
est similaire à la division de votre code C# en méthodes et actions gérables. Elle applique le
même processus de déploiement que celui du scénario monolithique, à la différence près que les
fichiers sont imbriqués.
La structure finale correspond à des modèles ARM liés :

Figure 2.3 : modèles ARM liés

16 | Automatisation et gouvernance dans Azure

Comme vous pouvez le voir, les modèles sont initialement séparés et découplés les uns des
autres, avant d'être liés dans notre pipeline de lancement. Les modèles liés sont similaires aux
modèles imbriqués, sauf que les fichiers sont externes au modèle et au système, tandis que les
modèles imbriqués sont inclus dans la même portée que le modèle parent. Cette caractéristique
facilite la réutilisation ultérieure, car les modèles sont des fichiers distincts qui peuvent être liés
à d’autres fichiers de déploiement.
À noter que le mode de déploiement peut uniquement être défini sur Progressif avec les
modèles liés ou imbriqués. Toutefois, le modèle principal peut être déployé en mode Complet.
Si les modèles liés ou imbriqués ciblent le même groupe de ressources, le déploiement combiné
sera évalué pour un déploiement complet, sinon, il sera déployé de manière progressive. Pour en
savoir plus sur les modes de déploiement ARM, consultez la page [Link]
azure/azure-resource-manager/templates/deployment-modes.
Nous avons vu différentes façons d’utiliser ces modèles ARM pour automatiser le déploiement
de l’infrastructure. Étudions désormais les avantages qui en découlent.

Avantages offerts par Azure IaC

Le principal avantage de l’utilisation d'une IaC est l’automatisation de la création, de la mise
à jour et de la configuration des différents environnements et ressources. L’automatisation
supprime l'intervention humaine, tout en ajoutant certains avantages clés :
• La possibilité de planifier des déploiements automatisés, en permettant à votre personnel
d’exploitation de moins travailler.
• La capacité d'effectuer des tests de détection de fumée sur vos déploiements
automatisés.
• La possibilité de créer un processus répétable.
• La conception d'applications autorégénératrices.
• La possibilité d'annuler les modifications.
• Resource Manager permet de marquer les ressources.
• ARM prend en charge les dépendances des ressources dans le groupe de ressources.

L’automatisation, à n’importe quel moment, est essentielle à l’utilisation d’une plateforme comme
Azure, qu’il s’agisse d’automatiser les déploiements ou les tests de votre infrastructure pour
garantir la stabilité de vos déploiements de production.

Afin de profiter de ces avantages, nous devons apprendre à utiliser efficacement les modèles ARM.
 Automatisation et gouvernance dans Azure | 17

Bonnes pratiques
Examinons rapidement quelques bonnes pratiques pour optimiser les modèles ARM. Mais tout
d’abord, commençons par définir les limites de nos modèles.

Dans l’ensemble, le modèle ne peut dépasser 4 Mo, et chaque fichier de paramètres est
limité à 64 Ko. Les expressions de modèles sont limitées à 256 paramètres, 256 variables,
800 ressources, 64 valeurs de sortie et 24 576 caractères. Comme nous l’avons mentionné, vous
pouvez dépasser certaines de ces limites à l’aide des modèles imbriqués si votre modèle devient
trop volumineux. Microsoft recommande néanmoins d’utiliser des modèles liés pour éviter ces
limites. Dans les sections suivantes, nous abordons les bonnes pratiques appliquées à chaque
composant dans un modèle ARM.

Paramètres
Le système de modèle ARM au sein d’Azure DevOps résout les valeurs des paramètres
avant les opérations de déploiement et vous permet de réutiliser le modèle pour différents
environnements. Il est essentiel de souligner que chaque paramètre doit présenter une valeur
de type de données définie. La liste de ces types de données est disponible à l’adresse https://
[Link]/azure/azure-resource-manager/templates/template-syntax#data-types.

Bonnes pratiques
Microsoft recommande les bonnes pratiques suivantes pour les paramètres :
• Il est préférable de minimiser l’utilisation des paramètres. Comme nous l’avons souligné
au début de ce chapitre, vous devez utiliser des variables pour les propriétés et n’utiliser
que des paramètres pour les éléments que vous devez saisir.
• Il est recommandé d’utiliser le camel case pour les noms de paramètres.
• Il est également recommandé de décrire chaque paramètre. Ainsi, lorsque d’autres
développeurs utilisent le modèle, ils sont à même de comprendre les paramètres.
• Veillez à utiliser les paramètres pour ces éléments susceptibles de changer à mesure que
l’environnement évolue, tels que la capacité ou les noms de service d’application.
• Nommez vos paramètres de façon à pouvoir les identifier facilement.
• Fournissez des valeurs par défaut pour les paramètres. Vous devez fournir la plus petite
taille de machine virtuelle, de sorte que les environnements hors production utilisent
des ressources plus petites, en donnant un point de départ aux autres développeurs qui
utilisent le modèle.
• Si vous devez indiquer des paramètres facultatifs, évitez d’utiliser des chaînes vides
comme valeur par défaut. Utilisez plutôt une valeur littérale. Vous pourrez ainsi établir
une structure de nommage pour les utilisateurs du modèle.
18 | Automatisation et gouvernance dans Azure

• Utilisez les valeurs autorisées le moins possible, car celles-ci peuvent changer au fil
du temps et devenir difficiles à mettre à jour dans vos scripts.
• Utilisez toujours des paramètres pour que les noms d’utilisateur et les mots de passe
ou les secrets soient définis pour chaque environnement et non codés en dur dans le
modèle. Vous devez également utiliser une chaîne sécurisée pour tous les mots de passe
et les secrets.
• Lorsque vous devez définir un emplacement pour la ressource que vous déployez,
définissez la valeur par défaut à resourcegroup().location, afin que la valeur
d’emplacement soit définie correctement dans le groupe de ressources.

Comme vous pouvez le voir, les paramètres sont très utiles dans le processus de modèle ARM
car ils confèrent une grande flexibilité au déploiement d'environnement. N’oubliez pas de
concevoir des modèles aussi simples que possible avec les applications ou les microservices que
vous souhaitez déployer.

Variables
Les variables sont également résolues avant de démarrer le déploiement, et le gestionnaire de
ressources remplace la variable par sa valeur déterminée. Les variables sont utiles pour dériver
une dénomination complexe au sein de votre modèle et vous permettent de ne transmettre que
les paramètres requis.

Il peut par exemple s'agir d’une organisation qui utilise un ID client et qui s'en sert pour établir
sa convention de nommage en vue de conserver toutes les ressources déployées dans Azure
propres à cet ID client. Dans ce cas, vous devez créer l’ID client en tant que paramètre, puis
développer des variables pour générer des noms à l’aide de votre norme de nommage. La
liste des types de données acceptés pour les variables est disponible à l’adresse [Link]
[Link]/azure/azure-resource-manager/templates/template-syntax#data-types.

Bonnes pratiques
Microsoft recommande les bonnes pratiques suivantes pour les variables :
• N’oubliez pas de supprimer les variables et les fichiers inutilisés car ils peuvent être
déroutants.
• Utilisez le camel case pour les noms de variables.
• Utilisez les variables pour les valeurs que vous utiliserez plusieurs fois au sein de votre
modèle.
• Les noms de variables doivent être uniques.
• Utilisez la boucle de copies dans les variables pour les modèles répétables d’objets JSON.
 Automatisation et gouvernance dans Azure | 19

Ressources
La section des ressources des modèles ARM est réservée aux ressources qui seront déployées
ou mises à jour. Les modèles ARM permettent généralement de dériver l’état souhaité des
ressources dans Azure. Lors de la modification de l’infrastructure Azure, il est toujours
recommandé de commencer par modifier votre modèle, puis de le réexécuter pour modifier vos
ressources Azure. Trop souvent, les organisations apportent des modifications sur le portail,
mais oublient de modifier leur modèle ARM. Ainsi, la prochaine fois qu’elles déploient ces
ressources, celles-ci présenteront le mauvais état.

Bonnes pratiques
Microsoft recommande les bonnes pratiques suivantes pour les ressources :
• Ajoutez des commentaires à vos ressources afin que les autres utilisateurs puissent
savoir à quoi elles servent.
• N’oubliez pas qu’il existe un certain nombre de ressources qui nécessitent des noms
uniques. Il ne faut donc jamais coder en dur les noms de ressources.
• Lorsque vous ajoutez un mot de passe à une extension de script personnalisé, utilisez
la propriété CommandToExecute dans les paramètres protégés d’Azure Resource Manager.

Nous avons désormais une compréhension fondamentale des éléments d’un modèle ARM.
Nous allons donc nous intéresser au contrôle des identités et des accès une fois les ressources
déployées.

Contrôle des identités et des accès

Avant d'aborder ce sujet en détail, il est bon de rappeler que la sécurité et la protection de
vos ressources sont une responsabilité partagée entre vous et le fournisseur de Cloud. Il est
essentiel de comprendre les éléments qui relèvent de votre responsabilité et ceux qui incombent
au fournisseur de Cloud. Intéressons-nous brièvement à la responsabilité partagée dans Azure,
comme l'illustre la figure 2.4 :
20 | Automatisation et gouvernance dans Azure

Figure 2.4 : responsabilité partagée Azure

Selon le type de service que vous choisissez dans Azure, vos responsabilités varieront, tout
comme celles du fournisseur de Cloud. Notez les différences entre les ressources sur site et les
différentes options proposées par Azure. Quelles que soient les nouvelles responsabilités, vous
devrez toujours gérer les points de terminaison, assumer la gestion des comptes, les comptes
et les référentiels de données que vous créez dans le Cloud.

Azure étant une ressource publique, la sécurité est à l’avant-garde de son développement.
Un large éventail d’outils et de conseillers sont disponibles dans Azure. Ceux-ci vous
permettront de tirer parti des différents outils et fonctionnalités de sécurité d’Azure.

Quels sont les avantages offerts par Azure en termes de sécurité ?

Les groupes de sécurité sur site des organisations disposent uniquement de ressources
limitées (membres de l’équipe et outils) pour afficher les exploitations et les attaquants. L’un
des avantages de l’utilisation d’une plateforme comme Azure réside dans le fait que vous
pouvez déléguer ces responsabilités au fournisseur dans le Cloud. Vous bénéficierez ainsi d'une
approche plus efficace et plus intelligente envers les menaces qui planent sur votre organisation,
sans avoir besoin de recourir à des ressources physiques.
 Automatisation et gouvernance dans Azure | 21

L’un des avantages les plus importants d’Azure réside dans le fait que lorsque vous créez
un locataire, il est livré avec Azure AD. Azure vous permet donc de démarrer en axant votre
stratégie sur la sécurité. Azure AD est utilisé pour verrouiller l'ensemble des services et des
ressources dans Azure. Vous pouvez également utiliser Azure AD pour sécuriser vos applications
ou créer des AD Business to Customer (B2C) ou Business to Business (B2B) pour héberger vos
informations client.

Outils utiles proposés par Azure

Plusieurs solutions de sécurité et d’audit sont intégrées à Azure pour renforcer vos conditions
de sécurité. Celles-ci sont accessibles dans le portail Azure via le tableau de bord de sécurité
et d’audit sur votre écran d’accueil. Voici quelques outils utiles proposés par Azure :
• Nous avons mentionné plus tôt qu’Azure Resource Manager permet de réunir tous les
éléments en un seul endroit pour le déploiement, la mise à jour et la suppression des
ressources au sein de votre solution, en vue de coordonner les opérations.
• Azure offre également la gestion des performances des applications (APM), appelée
Application Insights. Application Insights vous permet de surveiller vos applications dans
Azure et de détecter les anomalies de performances.
• Azure Monitor vous permet de visualiser votre infrastructure dans le journal d’activité
et les journaux de diagnostic individuels pour vos ressources Azure.
• Azure Advisor fait office de concierge personnalisé dans le Cloud et vous permet
d'optimiser vos ressources Cloud. Ce service peut vous aider à détecter les problèmes
de sécurité et de performances au sein de vos applications.
• Azure Security Center permet de prévenir, de détecter et de répondre aux différentes
menaces qui ciblent vos applications dans Azure. Il assure la surveillance de sécurité
et la gestion de stratégie sur tous vos autres abonnements.

Bonnes pratiques
Voici quelques bonnes pratiques Azure recommandées par Microsoft en matière de sécurité :
• Utilisez Azure AD pour procéder au contrôle de sécurité central et à la gestion des
identités dans Azure. Cette solution permet de rationaliser la gestion et l’intégration.
• Essayez de réunir vos instances Azure AD en une source unique de vérité.
• Si vous disposez d'un environnement AD sur site, il est recommandé de l’intégrer
à Azure AD, à l’aide d’Azure AD Connect pour profiter d'une expérience d’authentification
unique.
• Si vous utilisez Azure AD Connect pour synchroniser votre environnement AD sur
site avec Azure, activez la synchronisation de hachage de mot de passe si la ressource
principale est hors ligne ou obsolète.
22 | Automatisation et gouvernance dans Azure

• N’oubliez pas que vous pouvez utiliser Azure AD pour authentifier les utilisateurs de vos
nouvelles applications, via Azure AD directement, B2B ou B2C.
• Utilisez des groupes de gestion pour contrôler l'accès aux abonnements. Ceux-ci
assurent une gestion centralisée, et vous n'aurez plus à vous soucier de la gestion
de l'identité et de l'accès Azure (IAM) dans chaque abonnement.
• Utilisez l’accès conditionnel pour le personnel de support afin qu’il puisse élever ses
autorisations en cas de besoin dans Azure, plutôt que de disposer d'un accès en continu.
• Bloquez les protocoles hérités qui ne sont pas utilisés pour prévenir les attaques.
• Il est recommandé d’utiliser des réinitialisations de mot de passe en libre-service pour
vos utilisateurs si vous utilisez Azure AD pour vos applications et si vous souhaitez
surveiller ce processus.
• Si vous utilisez Azure AD Connect, assurez-vous que vos stratégies Cloud correspondent
à vos stratégies sur site.
• Appliquez l’authentification multifacteur au sein de votre organisation si possible.
• Si vous souhaitez fournir des rôles intégrés dans Azure, veillez à conserver l’accès
en fonction du rôle au lieu de l’accès basé sur les règles, car ce dernier peut être très
fastidieux à gérer à long terme.
• Accordez l'accès basé sur les privilèges minimum à ceux qui se connectent à Azure. Ainsi,
si un compte est compromis, son accès est limité.
• Définissez au moins deux comptes d’accès d’urgence, au cas où les comptes des membres
de l’équipe d’administration soient compromis.
• Veillez à contrôler les emplacements où les ressources sont créées pour votre
organisation si vous souhaitez également surveiller activement les activités suspectes
au sein de votre locataire Azure AD. En effet, des restrictions de données peuvent être
appliquées dans différentes régions.
• Appliquez l’authentification et l’autorisation à vos comptes de stockage.
• Examinez et apportez des améliorations à vos bonnes pratiques au fil du temps.

Maintenant que nous comprenons la sécurité dans Azure, passons à l'utilisation

de la gouvernance Azure.
 Automatisation et gouvernance dans Azure | 23

Gouvernance Azure
La gouvernance Azure correspond au processus et aux mécanismes utilisés pour maintenir
le contrôle sur vos applications et ressources dans Azure. Ce sont les priorités stratégiques
impliquées dans la planification de vos initiatives au sein de votre organisation. La gouvernance
Azure est assurée par deux services : la stratégie Azure et, comme nous le verrons dans le
chapitre 7, Offres, support, ressources et conseils pour optimiser les coûts dans Azure, Azure Cost
Management.
L’objectif de la stratégie Azure est d’organiser vos normes opérationnelles et d’évaluer votre
conformité. La stratégie Azure réglemente la conformité, la sécurité, les coûts et la gestion
tout en mettant en œuvre la gouvernance pour garantir la cohérence de vos ressources. Tout
les éléments d'Azure sont régis par ces stratégies, qui contiennent des règles métier au format
JSON et des définitions de stratégie. Le schéma de ces définitions de stratégie est disponible
à l’adresse [Link]

Quels sont les avantages ?

La gouvernance Azure et la stratégie Azure permettent de créer et de mettre à l'échelle vos
applications tout en conservant un niveau de contrôle. Ces deux solutions permettent d'établir
des garde-fous et de déployer des environnements entièrement gouvernés tout au long de
l’abonnement de votre organisation à l’aide des plans Azure. Comme nous le verrons dans
le chapitre 7, Offres, support, ressources et conseils pour optimiser les coûts dans Azure, cette
solution contribue également à la gestion des coûts en fournissant des informations sur vos
dépenses afin de maximiser votre investissement dans le Cloud. La gouvernance Azure offre
également les avantages suivants :
• Aide à l’audit et à l’application de vos stratégies pour tout service Azure
• Favorise la responsabilisation au sein de l’organisation, tout en contrôlant les dépenses
• Crée des environnements conformes, y compris les ressources, les stratégies et le
contrôle d’accès
• Garantit la conformité avec les réglementations externes via des contrôles de conformité
intégrés

Dans les sections suivantes, nous examinerons en détail certains des services et fonctions
disponibles via la gouvernance Azure, à savoir les groupes de gestion Azure, la stratégie Azure,
les plans Azure, Azure Graph et Azure Cost Management and Billing.
24 | Automatisation et gouvernance dans Azure

Groupes de gestion Azure

Les groupes de gestion Azure vous aident à gérer vos abonnements Azure en les regroupant et
en prenant des mesures sur ces groupes. Ils vous permettent de définir la sécurité, les stratégies
et les déploiements typiques à l'aide de plans. Ils permettent de créer une vue hiérarchique
de votre organisation afin que vous puissiez gérer efficacement vos abonnements et vos
ressources :

Figure 2.5 : groupes de gestion Azure

Comme vous pouvez le voir dans la figure 2.5, une simple séparation existe entre la production
et la non-production. Cette illustration nous permet de comprendre que chaque groupe de
gestion présente une racine ou un parent qui est transmis à chaque structure hiérarchique.
Vous pouvez créer une structure globale à la racine, ou une stratégie de production
ou hors-production dans l’une ou l’autre des branches.

Stratégie Azure
La stratégie Azure a été conçue pour garantir la conformité des ressources vis-à-vis des normes
organisationnelles dans Azure. La stratégie Azure est couramment utilisée pour mettre en
œuvre la gouvernance afin de garantir la cohérence des ressources, de la sécurité, des coûts
et de la gestion. Comme tout élément dans Azure, les stratégies Azure sont exprimées au format
JSON. Vous pouvez par ailleurs ajouter des règles métier pour définir les stratégies en vue
de simplifier la gestion de ces règles.
 Automatisation et gouvernance dans Azure | 25

Les stratégies Azure peuvent être appliquées aux ressources Azure dans différents cycles de
vie ou lors d’une évaluation de la conformité continue. Elles peuvent être utilisées en tant que
mécanisme de contrôle pour refuser les modifications ou les enregistrer. La différence entre la
stratégie Azure et le contrôle d’accès basé sur les règles (RBAC) Azure est que votre stratégie ne
limite pas les actions Azure. Ainsi, en combinant Azure RBAC et la stratégie Azure, vous profitez
d'une sécurité intégrale dans Azure.
Les bonnes pratiques suivantes sont recommandées par Microsoft :
• Lorsque vous utilisez les stratégies Azure, il est toujours judicieux de commencer par une
stratégie d’audit plutôt qu’une stratégie de refus. En effet, la définition d’une stratégie
de refus peut entraver les tâches d’automatisation lors de la création des ressources.
• Tenez compte de vos hiérarchies organisationnelles lorsque vous créez vos définitions.
Il est recommandé de créer des définitions de niveau supérieur, telles que le groupe
de gestion ou le niveau d’abonnement.
• Créez et attribuez des définitions d’initiative ou des ensembles de stratégies, même pour
les plus petites définitions de stratégie.
• Il est bon de se rappeler qu’une fois l'assignation initiale évaluée, toutes les stratégies
de cette initiative sont également évaluées.
• Vous devez envisager d’utiliser des stratégies pour contrôler votre infrastructure, comme
l’installation d’un antivirus sur toutes les machines virtuelles ou ne pas créer certaines
tailles de machines virtuelles dans un environnement hors production. Pour mieux
comprendre la structure de définition de la stratégie Azure, consultez l'adresse https://
[Link]/azure/governance/policy/concepts/definition-structure.

Plans Azure
Les plans Azure permettent aux groupes technologiques de concevoir un ensemble répétable
de ressources Azure qui prend en charge les modèles, les exigences et les normes d’une
organisation. Les plans sont un excellent outil pour orchestrer le déploiement de diverses
ressources, telles que les attributions de rôles, les stratégies, les modèles ARM et les groupes
de ressources. Les plans Azure sont une extension des modèles ARM, qui sont conçus pour
faciliter la configuration de l’environnement. Les plans Azure utilisent des modèles pour
atteindre cet objectif.
26 | Automatisation et gouvernance dans Azure

Azure Resource Graph

Azure Resource Graph a été créé pour étendre les fonctionnalités des modèles ARM en vue
d'explorer les ressources, même entre différents abonnements. Les requêtes Azure Resource
Graph vous permettent de chercher des résultats complexes à partir de ressources qui ont été
déployées dans Azure. Azure Resource Graph est le système de requête qui prend en charge la
recherche dans Azure. Le langage de requête est basé sur le langage de requête Kusto, qui est
également utilisé par Azure Data Explorer. Ils se peut donc que vous ne le connaissiez pas et
vous aurez besoin d'un peu de temps pour vous y habituer.

Vous avez besoin des droits appropriés dans Azure RBAC pour accéder aux ressources : il s’agit
de l’autorisation de lecture. Si aucun résultat n'est retourné dans Azure lorsque vous utilisez
Azure Resource Graph, vérifiez d’abord que vous disposez d'une autorisation de lecture.

Azure Resource Graph est gratuit. Il est néanmoins limité pour offrir la meilleure expérience
possible à tout le monde.

Azure Cost Management and Billing

Azure Cost Management and Billing a été créé pour vous aider à analyser, gérer et optimiser les
coûts de vos charges de travail dans Azure. Cette solution a été introduite pour permettre aux
entreprises de réduire le risque de gaspillage et d’inefficacité potentiels lorsqu'elles migrent vers
le Cloud. Azure Cost Management and Billing effectue les opérations suivantes :
• Aide à payer vos factures
• Génère des factures mensuelles contenant les données de coût et d’utilisation qui
peuvent être téléchargées
• Définit les seuils de dépense
• Analyse vos coûts de manière proactive
• Identifie les opportunités d’optimiser les dépenses pour vos charges de travail dans Azure

Nous aborderons ce sujet plus en détail au chapitre 7, Offres, support, ressources et conseils pour
optimiser les coûts dans Azure, car les individus et les organisations gèrent les flux de dépenses
différemment dans Azure.
 Automatisation et gouvernance dans Azure | 27

Résumé
Comme vous avez pu le voir dans ce chapitre, Azure et Azure DevOps présentent différentes
synergies. Il est essentiel de créer une méthode répétable et stable pour déployer votre code
et votre infrastructure dans le Cloud. Nous devions comprendre l'objet des modèles ARM, tout
en apprenant à déployer cette infrastructure dans le Cloud. Cela nous a amenés à discuter
de certaines des notions de base et des bonnes pratiques concernant le déploiement de cette
infrastructure afin de tirer parti de notre code ou de nos applications. Nous avons examiné
exactement comment nous devions sécuriser les ressources et nos applications via le contrôle
des identités et des accès. Nous avons ensuite compris comment créer une gouvernance dans
Azure pour garantir la cohérence et la conformité.

Azure crée un grand nombre d’infrastructures qui vous permettent de digérer les éléments
nécessaires pour que vos applications soient sécurisées et complètes. Il est également judicieux
de se rappeler qu’Azure doit être abordé du point de vue de l’automatisation. Une organisation
doit appliquer la conformité, la gouvernance Azure et les bonnes pratiques qui fonctionnent
au sein de l’entreprise, tout en minimisant ses risques commerciaux.

Maintenant que nous avons couvert ces notions de base, passons au prochain chapitre
et découvrons comment moderniser les applications.

Liens utiles
• Azure Cost Management and Billing : [Link]
management-billing/cost-management-billing-overview
• Azure Resource Graph : [Link]
• Plans Azure : [Link]
• Stratégie Azure : [Link]
overview#policy-definition
• Stratégie Azure : [Link]
definition-structure
• Groupes de gestion Azure : [Link]
groups/
• Kit de ressources de modèles ARM : [Link]
manager/templates/test-toolkit
• Structure de modèle ARM : [Link]
templates/template-syntax
28 | Automatisation et gouvernance dans Azure

• Recommandations relatives aux modèles ARM : [Link]

resource-manager/templates/templates-cloud-consistency
• Azure Security Center : [Link]
• Bonnes pratiques en matière de sécurité sur Azure : [Link]
azure-storage-support-for-azure-ad-based-access-control-now-generally-available/
• Lien vers les ressources : [Link]
templates/template-syntax#resources
• Bonnes pratiques concernant les modèles ARM : [Link]
azure-resource-manager/templates/template-best-practices?WT.mc_id=azuredevops-
azuredevops-jagord
• Variables : [Link]
template-variables
• Paramètres : [Link]
template-parameters
 Modernisation grâce
3
au Cloud hybride et
au multicloud
Les environnements professionnels deviennent de plus en plus complexes. De nombreuses
applications logicielles s'exécutent désormais sur différents systèmes situés sur site, hors
site, dans plusieurs Clouds et en périphérie. La planification, la mise en œuvre et la gestion
adéquates de ces différents environnements sont essentielles pour aider vos utilisateurs et votre
organisation à en tirer le meilleur parti. Ce chapitre porte sur le rôle des solutions hybrides
et multicloud Azure, en particulier Azure Arc et la gamme de solutions Azure Stack.
À la fin de ce chapitre, vous serez en mesure d'effectuer les opérations suivantes :
• Comprendre ce qu’est le Cloud hybride, le multicloud et l’Edge computing
• Déterminer les conditions de la réussite d’une stratégie hybride et multicloud
• Expliquer ce que sont les serveurs compatibles avec Azure Arc, les services de données
et la gestion d'applications Kubernetes
• Présenter le portefeuille Azure Stack et expliquer comment il peut moderniser votre
datacenter
30 | Modernisation grâce au Cloud hybride et au multicloud

Ce chapitre décrit les exigences et les approches de connectivité d'Azure Arc afin que vous
puissiez créer des services de données compatibles avec Azure Arc sur les clusters Kubernetes
et les services Kubernetes gérés. Vous découvrirez également comment intégrer la gamme
de solutions Azure Stack à votre architecture et gérer Azure Stack Hub. La première section
concerne la terminologie.

Qu'est-ce que le Cloud hybride, le multicloud et l’Edge

computing ?
Même si nous avons déjà introduit le Cloud hybride, le multicloud et l’Edge Computing dans
le Chapitre 1, Introduction , voici un bref récapitulatif :
• Une approche Cloud hybride implique la combinaison de ressources Cloud et non
Cloud (comme un datacenter sur site). Elle offre davantage de flexibilité, d’options
de déploiement, d’évolutivité et de cohérence opérationnelle.
• Une approche multicloud implique l'utilisation de services de Cloud computing auprès
de plusieurs fournisseurs. Elle offre une flexibilité et une atténuation des risques accrues,
car vous pouvez choisir la combinaison de services et de fournisseurs régionaux qui
répond le mieux aux besoins de votre entreprise.
• Une approche Edge computing exploite la puissance de calcul du Cloud en la mettant
à profit d'appareils proches des points de terminaison où les données sont créées et
consommées. Ces points de terminaison peuvent inclure des systèmes de contrôle de
processus sur des lignes de production, des systèmes de surveillance de bâtiments, ainsi
que des capteurs et des actionneurs sur des sites distants.

Pour choisir parmi ces environnements informatiques, vous devez tenir compte de différents
facteurs. Par exemple, une approche Cloud hybride qui inclut des systèmes sur site peut être
le meilleur choix pour répondre aux exigences réglementaires et de souveraineté des données,
tout en améliorant la résilience et la continuité de service.

En revanche, si votre organisation souhaite réduire la latence de réponse et garantir la

disponibilité hors ligne sur le terrain, l’Edge computing, offrant des machines virtuelles
(VM), des conteneurs et des services de données par appareil, peut constituer le choix le plus
judicieux.

Il est important de garder à l’esprit que le Cloud hybride, le multicloud et l’Edge computing
peuvent également accroître la complexité opérationnelle. Par exemple, le multicloud nécessite
la gestion de différents environnements Cloud auprès de divers fournisseurs de services. Cette
difficulté supplémentaire pèse alors sur les organisations, déjà confrontées à une pénurie de
talents en matière de Cloud. Dans ce cas, une solution comme Azure peut s'avérer utile. Elle est
en effet conçue pour faciliter la gestion d'environnements multicloud, Cloud hybride et Edge
computing.

Maintenant que nous avons discuté de la terminologie, parlons de la stratégie.

 Modernisation grâce au Cloud hybride et au multicloud | 31

Quels sont les critères de réussite d’une stratégie hybride et

multicloud ?
Pour tirer pleinement profit de solutions hybrides et multicloud, vous devez absolument
permettre à vos équipes d’utiliser la technologie adaptée à leurs besoins tout en assurant la
sécurité et la gouvernance sur les sites de votre organisation. En plus d’améliorer l’expérience
de vos utilisateurs, ce type d'environnement permet d'unifier les opérations en matière de
développement d’applications et de gestion IT. Vos développeurs peuvent créer des applications
à l'aide des mêmes outils et API avant de les déployer au sein de votre organisation. La gestion,
la sécurité et la gouvernance peuvent être homogénéisées sur tous les sites de votre entreprise.
C'est en choisissant judicieusement les bases de données et les piles de calcul à travers les
différents emplacements que vous pourrez déplacer rapidement les données et les charges
de travail selon vos besoins.

Dans l’ensemble, les solutions et produits hybrides et multicloud d'Azure permettent d’optimiser
les éléments suivants :
• L'expérience des utilisateurs de l'application : créez une expérience d’application
cohérente sur l’ensemble de votre environnement Cloud, sur site et hors site.
• Les services de données : la migration, la gestion et l’analyse des données peuvent être
réalisées en toute simplicité en exécutant les services de données Azure en fonction
de vos besoins.
• La gestion IT : unifiez la gestion, la gouvernance et la sécurité de vos ressources IT grâce
à un contrôle centralisé sur l’ensemble de vos domaines organisationnels.
• La sécurité et la protection contre les menaces : appliquez un plan de contrôle sur
l'ensemble de votre domaine numérique pour garantir la sécurité et la protection
avancée contre les menaces pour toutes vos charges de travail.
• L'identité et l'accès des utilisateurs : utilisez une plateforme unifiée pour la gestion des
identités et des accès afin de proposer aux utilisateurs une expérience d’authentification
unique et fluide à l’échelle mondiale.
• La mise en réseau : connectez les charges de travail distribuées et les emplacements en
toute sécurité au sein de votre organisation en étendant votre réseau actuel avec Azure.

Azure Arc et Azure Stack sont deux composants de solutions et de produits hybrides et
multicloud d'Azure. Azure Arc simplifie la gestion de vos déploiements et étend les services
et les données d’applications Azure à travers les environnements multicloud, les datacenters
et la périphérie. Proposant trois offres et la possibilité d’utiliser Azure Arc en option, Azure Stack
offre les éléments suivants :
• Un système intégré Cloud natif qui propose les services Cloud Azure sur site,
particulièrement adapté aux scénarios déconnectés.
• Une infrastructure hyperconvergée (HCI ) qui modernise les datacenters en actualisant
les hôtes de virtualisation à l’aide du stockage et de la mise en réseau modernes
software-defined, combinés avec Hyper-V pour le calcul.
32 | Modernisation grâce au Cloud hybride et au multicloud

• Appareils gérés dans le Cloud/appareils de périmètre dédiés à l'exécution des charges

de travail Edge computing.

Ensemble, ces deux solutions offrent les avantages suivants :

• Utilisation d'un seul plan de contrôle pour gérer, gouverner et sécuriser les serveurs,
les clusters Kubernetes et les applications en toute simplicité sur les environnements
multicloud, sur site et en périphérie.
• Conservation des services Azure à jour sur toutes les infrastructures, tout en
garantissant l’automatisation, la gestion unifiée et la sécurité.
• Modernisation des applications sur site ou en périphérie grâce aux technologies Cloud
natives.
• Association d'applications virtualisées à un HCI local qui peut facilement ajouter des
services Azure pour obtenir une performance de prix optimale.
• Extension du calcul, du stockage et de l’IA d’Azure à l’Internet des objets et à d’autres
appareils de périmètre, et exécution du Machine Learning et des analytiques avancées
à la périphérie pour obtenir des informations en temps réel.

Remarque
Ce chapitre porte sur la planification, la mise en œuvre et les bonnes pratiques d'Azure
Arc et d'Azure Stack. Des informations supplémentaires sur la sécurité Azure et des sujets
associés sont disponibles aux adresses [Link]
center/ et [Link]

Microsoft propose également des exemples d’architecture de solution pour créer des
solutions hybrides et multicloud, ainsi qu'un parcours de migration flexible. Voici un
exemple concernant la gestion des configurations pour les serveurs compatibles avec Azure
Arc : [Link]

Espérons que ces premières sections vous ont donné une bonne base d’introduction. La section
suivante présente Azure Arc plus en détail.

Présentation d'Azure Arc

À mesure que les solutions Cloud, non Cloud, sur site et hors site continuent de croître, les
entreprises doivent gérer des environnements informatiques de plus en plus complexes. Les
nombreux Clouds et environnements nécessitent l'utilisation de plusieurs outils de gestion
disparates, ainsi que diverses courbes d’apprentissage. En outre, les outils existants sont
susceptibles de ne pas correctement prendre en charge ces nouvelles versions Cloud natives
de modèles opérationnels comme DevOps et ITOps.
 Modernisation grâce au Cloud hybride et au multicloud | 33

Azure Arc permet de simplifier la gestion et la gouvernance de ces environnements. Grâce

à Azure Arc, vous pouvez déployer des services Azure et étendre la gestion Azure en tout lieu.
Il s’agit d’une plateforme unique (un seul écran) garantissant la gestion cohérente des ressources
multicloud, sur site et en périphérie, chacune étant projetée via Azure Arc dans Azure Resource
Manager (ARM). Vous pouvez ainsi gérer les machines virtuelles, les clusters Kubernetes et
les bases de données comme s’ils s’exécutaient dans Azure, à l’aide des outils de gestion et des
services Azure.

Voici les principaux avantages d’Azure Arc :

• Visibilité sur un seul écran de vos opérations et de votre conformité. Utilisez le portail
Azure pour gérer, gouverner et sécuriser une large gamme de ressources sur Windows,
Linux, SQL Server et Kubernetes couvrant les datacenters, la périphérie et le multicloud.
• La possibilité de concevoir des applications hybrides à grande échelle où les composants
sont distribués à travers les services de Cloud public, les Clouds privés, les datacenters
et les sites périphériques sans sacrifier la visibilité et le contrôle centraux. Effectuez le
codage et le déploiement d'applications de manière centralisée en toute confiance dans
n’importe quelle distribution Kubernetes, en tout lieu. Accélérez le développement grâce
au déploiement, à la configuration, à la sécurité et à l’observabilité standardisés.
• L’extension des services et des données d’applications Azure à tous vos sites. Utilisez les
services de données et d'applications Azure pour mettre en œuvre les pratiques Cloud
et l’automatisation afin de déployer systématiquement des services compatibles avec
Azure Arc, évolutifs et à jour.

Azure Arc vous permet d'effectuer les opérations suivantes :

• Poursuivre et étendre l’application des processus et des services gérés par votre
service IT pour votre entreprise (ITOps) à travers tous ces environnements.
• Déployer le DevOps pour prendre en charge de nouveaux modèles Cloud natifs dans tous
les environnements, qu'ils soient basés dans le Cloud ou non.
• Gérer et gouverner les serveurs Windows et Linux, y compris les machines physiques
et virtuelles, à l’intérieur et à l’extérieur d’Azure.
• Gérer et gouverner les clusters Kubernetes à grande échelle, en bénéficiant d'un contrôle
sur le code source pour garantir la configuration et le déploiement cohérents des
applications.
• Gérer les services Azure SQL Database et PostgreSQL Hyperscale (Azure Data Services)
avec une évolutivité à la demande soutenue par des correctifs, des mises à niveau et une
sécurité automatisées dans vos domaines organisationnels, à l’intérieur et à l’extérieur
du Cloud.
34 | Modernisation grâce au Cloud hybride et au multicloud

Plus précisément, les principales fonctions d’Azure Arc offrent les capacités suivantes :
• La gestion, la gouvernance, la sécurité et l'inventaire cohérents des serveurs au sein
de tous vos environnements.
• La surveillance, la sécurité et les mises à jour de vos serveurs en configurant des
extensions de machine virtuelle Azure dédiées aux services de gestion Azure.
• La gestion et l'évolutivité des clusters Kubernetes à l’aide de toute distribution
Kubernetes conforme au CNFC, en appliquant les techniques DevOps.
• La gestion basée sur GitOps avec une configuration en tant que code (CAC) pour le
déploiement d’applications et la configuration sur plusieurs clusters, directement à partir
du contrôle de code source.
• L’utilisation de la stratégie Azure pour la conformité et la configuration automatisées
(zero-touch) pour vos clusters Kubernetes.
• Le déploiement d’Azure SQL Managed Instance et d'Azure Database pour PostgreSQL
Hyperscale (services de données Azure) dans n’importe quel environnement Kubernetes,
avec une mise à niveau et une mise à jour Azure, la sécurité, la surveillance et la prise en
charge des fonctions de haute disponibilité Azure SQL et la prise en charge de scénarios
déconnectés PostgreSQL Hyperscale.
• Une vue unifiée de vos actifs compatibles avec Azure Arc, où qu’ils se trouvent, que
ce soit via le portail Azure, CLI, PowerShell ou l’API REST.

Remarque
Pour exécuter des charges de travail Kubernetes sur Azure Stack HCI, les clients peuvent
déployer Azure Kubernetes Service sur Azure Stack HCI, un service spécialement conçu pour
Azure Stack HCI.

Maintenant que vous avons évoqué les avantages offerts par Azure Arc, découvrons cette
solution plus en détail. Nous commencerons par présenter l’infrastructure compatible avec
Azure Arc, notamment la façon dont elle facilite la gestion de Kubernetes à grande échelle.
Nous couvrirons ensuite les services de données compatibles avec Azure Arc qui permettent
d’exécuter des services de données Azure sur site, dans d’autres Clouds publics et en périphérie.

Gestion des applications Kubernetes à grande échelle

Les avantages offerts par les conteneurs, notamment leur portabilité, leur efficacité et
leur évolutivité, ont rendus ces derniers très populaires pour le déploiement d’applications
professionnelles. Les nouvelles applications peuvent être créées sous forme de microservices
dans les clusters Kubernetes. Les applications héritées peuvent être modernisées après avoir
été réécrites en tant que conteneurs. Toutefois, ces possibilités impliquent le besoin de gérer les
Kubernetes à grande échelle.
 Modernisation grâce au Cloud hybride et au multicloud | 35

Azure Arc répond à ce besoin, en permettant aux organisations de déployer rapidement des
applications sur n’importe quel cluster Kubernetes à travers plusieurs emplacements dans le
cadre de stratégies de gestion rigoureuses. Azure Kubernetes Configuration Management
(AKCM) permet justement d'y parvenir. Il s'agit d'un service Azure qui assure la gestion
de la configuration et le déploiement d’applications à partir d’Azure, à l’aide de GitOps.
Un déploiement continu et conforme peut être garanti en liant les stratégies d’application
à des référentiels GitHub spécifiques. Grâce à cette fonctionnalité, les administrateurs
de cluster peuvent déclarer leur configuration de cluster et leurs applications dans Git. Les
équipes de développement peuvent ensuite utiliser les demandes de tirage et les outils qu’ils
connaissent (les pipelines DevOps existants, Git, les manifestes Kubernetes et les tableaux Helm,
par exemple) pour déployer facilement des applications sur des clusters Kubernetes compatibles
avec Azure Arc et effectuer des mises à jour en production. Les agents GitOps écoutent les
modifications et facilitent les restaurations automatisées si ces changements entraînent une
divergence entre le système et la source de la vérité.

Par exemple, une entreprise de distribution comptant de nombreux points de vente peut
migrer ses applications en magasin vers des clusters de conteneurs Kubernetes. Azure
Arc garantit le déploiement, la configuration et la gestion uniformes de ces applications
conteneurisées sur plusieurs emplacements. Les nouveaux points de vente peuvent recevoir
des ensembles spécifiques d’applications en exerçant un contrôle centralisé sur la conformité
et la configuration. L’équipe informatique peut également surveiller, sécuriser et modifier
les configurations et les applications dans tous les points de vente, tout en tirant parti des
stratégies pour sécuriser les connexions réseau et éviter les configurations inappropriées.

Azure Kubernetes Service (AKS) peut être utilisé pour surveiller l’intégrité du cluster
Kubernetes, effectuer la maintenance, monter des volumes de stockage et activer des nœuds
pour des tâches spécifiques (par exemple, à l’aide de nœuds compatibles GPU pour le traitement
parallèle). Azure Arc et la stratégie Azure donnent ensuite à l’équipe informatique du détaillant
une vue unifiée sur le portail Azure de tous les clusters de l'ensemble des points de vente. Vous
pouvez également exécuter les services de données compatibles avec Azure Arc sur Azure Stack
HCI. Ce sujet est abordé plus loin dans le chapitre.

Serveurs compatibles avec Azure Arc

Les serveurs compatibles avec Azure Arc vous permettent d'appliquer des niveaux de gestion de
machine virtuelle Azure natives à des machines Windows et Linux situées à l’extérieur d’Azure, par
exemple sur un réseau d’entreprise ou dans le cadre de services provenant d’autres fournisseurs
Cloud. Ces ressources n'appartenant pas à Azure peuvent être connectées à Azure et gérées en
tant que ressources Azure. Chaque machine hybride connectée est ensuite incluse dans un groupe
de ressources doté d’un ID de ressource au niveau de la machine. Elle peut également être gérée à
l’aide de fonctionnalités Azure standard, telles que la stratégie Azure, RBAC et les balises.

Les fournisseurs de services qui gèrent plusieurs environnements clients peuvent par exemple
étendre la fonctionnalité de gestion Azure native via Azure Arc, comme Azure Lighthouse.
Cette solution permet aux fournisseurs de services de se connecter à leur locataire afin
de gérer les abonnements et les groupes de ressources tels qu'ils sont délégués par les clients.
36 | Modernisation grâce au Cloud hybride et au multicloud

La fonctionnalité de plan de contrôle d’Azure Arc fournit les éléments suivants :

• Des groupes de gestion et des balises pour organiser vos ressources.
• L’utilisation d’Azure Resource Graph pour l’indexation et la recherche.
• L’utilisation de l'accès et du contrôle basés sur les rôles (RBAC) d'Azure pour garantir
la sécurité et le contrôle des accès.
• Des modèles et des extensions pour la création et l'automatisation des environnements.
• La gestion des mises à jour.

Scénarios pris en charge

Vous profitez des avantages suivants lorsque vous connectez votre machine à des serveurs
compatibles avec Azure Arc :
• Suivi des modifications et inventaire d’Azure Automation : utilisé pour générer des
rapports sur les modifications de configuration apportées aux serveurs surveillés. Cette
fonctionnalité peut être utilisée pour les services Microsoft, le registre et les fichiers
Windows, les démons Linux et votre logiciel installé.
• Configuration d’état Azure Automation : utilisée pour simplifier le déploiement de vos
machines Windows ou Linux non Azure. Vous pouvez également utiliser l’extension de
script personnalisé pour l’installation logicielle ou la configuration post-déploiement.
• Gestion des mises à jour : pour gérer les mises à jour du système d’exploitation des serveurs
Windows et Linux. Pour en savoir plus, consultez l'adresse suivante [Link]
com/azure/automation/update-management/enable-from-automation-account.
• Azure Monitor pour machines virtuelles : cette solution vous permet de surveiller
les performances du système d’exploitation invité sur votre machine connectée. Vous
pouvez découvrir les composants d’application et surveiller leurs processus et leurs
dépendances.
• Configuration Invité Azure Policy : vous pouvez attribuer (et pas seulement auditer) les
configurations Invité Azure Policy à votre machine hybride, tout comme vous attribuez
des stratégies à des machines Azure natives.
• Azure Defender : permet de détecter et de répondre aux menaces, tout en gérant les
fonctionnalités de sécurité et de conformité préventives de vos serveurs non Azure.

Remarque
Chaque machine hybride gérée via Azure Arc nécessite l’installation de l’agent Azure
Connected Machine. Pour assurer la surveillance proactive du système d’exploitation et
des charges de travail sur la machine, vous devez également installer l’agent Log Analytics
pour Windows et Linux, puis gérer l’appareil avec des procédures opérationnelles, la gestion
des mises à jour, Azure Security Center ou d’autres services appropriés. Les données des
journaux collectées et stockées sur l’appareil hybride peuvent ensuite être identifiées dans
un espace de travail Log Analytics via leur ID de ressource ou d’autres propriétés.
 Modernisation grâce au Cloud hybride et au multicloud | 37

Régions prises en charge

Que vous activiez des serveurs compatibles avec Azure Arc manuellement ou via l’exécution
d’un script de modèle, l'emplacement à choisir est évidemment la région Azure la plus proche
de votre appareil. Votre choix de région peut également être déterminé par les exigences de
résidence des données, étant donné que les données sont stockées dans la géographie Azure
contenant la région sélectionnée.

Si une panne survient dans la région Azure sélectionnée, votre machine connectée ne sera pas
affectée. Les opérations de gestion basées sur Azure sont néanmoins susceptibles de ne pas
être effectuées. Connectez les services géographiquement redondants comprenant plusieurs
appareils ou emplacements à différentes régions Azure.

Certaines données sont collectées et stockées à partir de la machine connectée. Les éléments
suivants sont stockés dans la région où la ressource de la machine Azure Arc a été créée :
• Le nom de domaine qualifié complet de l’ordinateur (FQDN)
• Le nom de l'ordinateur
• La version de l’agent Connected Machine
• Le nom et la version du système d’exploitation

Toutes les 5 minutes, la machine connectée envoie un signal de pulsation au service. Si ces
signaux cessent, le service modifiera l’état de l’appareil dans le portail pour le déconnecter
au bout de 15 à 30 minutes. Lorsque l’agent de machine connecté envoie un nouveau signal
de pulsation, l’état redevient connecté.

Pour en savoir plus, consultez :

• [Link]
• [Link]

Services de données compatibles avec Azure Arc

Avec Azure Arc et Kubernetes, les services de données Azure spécifiés sont à votre disposition
et peuvent être exécutés sur l’infrastructure de votre choix en dehors d’Azure, par exemple, sur
site, sur des appareils de périmètre et dans d’autres Clouds. Les innovations, l’évolutivité et la
gestion unifiée d’Azure sont ensuite disponibles pour les charges de travail de données dans
des scénarios connectés et déconnectés. Les premiers services de données compatibles avec
Azure Arc proposés au public (d’abord en version préliminaire) sont SQL Managed Instance
et PostgreSQL Hyperscale. Il est important de noter que vous pouvez également exécuter les
services de données compatibles avec Azure Arc sur Azure Stack HCI. Ce sujet est abordé plus
loin dans ce chapitre.
38 | Modernisation grâce au Cloud hybride et au multicloud

Durabilité (toujours à jour)

Si vous utilisez les services de données compatibles avec Azure Arc pour les charges de travail
sur site, vous pourrez alors accéder aux dernières fonctions et capacités d’Azure. Vous pouvez
également configurer des mises à jour automatiques pour recevoir les derniers correctifs et
mises à niveau de Microsoft Container Registry, tout en adaptant les cadences de déploiement
à votre stratégie et en optimisant la disponibilité du système. Vous éviterez également les
problèmes liés aux fins de support de vos bases de données. En effet, les services de données
compatibles avec Azure Arc sont un service d’abonnement.

Élasticité
Les services de données compatibles avec Azure Arc offrent une évolutivité élastique similaire
à celle du Cloud à vos bases de données sur site. Vous pouvez ainsi répondre aux exigences
des charges de travail volatiles et exigeantes, tout en traitant les requêtes et les ingestions
de données en temps réel. Aucune limite n’est appliquée à l’évolutivité et vous pouvez créer
des instances de base de données en quelques secondes afin de garantir des temps de réponse
opérationnels inférieurs à la seconde. Les tâches administratives de base de données telles
que la configuration de la haute disponibilité sont simplifiées et peuvent être effectuées en
quelques clics. Les charges de travail de données peuvent évoluer dynamiquement en fonction
de la capacité nécessaire, sans interrompre les applications. Elles peuvent monter en charge
verticalement et horizontalement pour augmenter les réplicas de lecture ou le partitionnement.

Gestion unifiée
Vous pouvez obtenir une vue unifiée de vos actifs de données déployés avec Azure Arc à l’aide
d’outils tels que le portail Azure, Azure Data Studio ou Azure Data CLI. Vous pouvez vérifier
la capacité et l'intégrité de l’infrastructure à l’aide des journaux et de la télémétrie des API
Kubernetes. Azure Monitor vous permet également de bénéficier d'une vue opérationnelle
et d'obtenir des informations sur tout votre domaine de données.

Azure Arc automatise les tâches de gestion de base de données pour mettre à l’échelle la gestion
en fonction des ressources. Parmi les fonctionnalités prêtes à l’emploi figurent la surveillance,
la mise en service rapide, l'évolutivité élastique à la demande, les correctifs, la configuration
haute disponibilité, ainsi que la sauvegarde et la restauration. Grâce à Azure Arc, les bases de
données de vos domaines numériques peuvent également bénéficier d’Azure Backup, d’Azure
Monitor, d’Azure Policy, d’Azure RBAC et d'Advanced Data Security.
 Modernisation grâce au Cloud hybride et au multicloud | 39

Gestion appliquée aux scénarios déconnectés

Vous pouvez bénéficier des avantages Azure avec ou sans une connexion Cloud directe
et continue. De nombreux services, notamment la surveillance, la sauvegarde/restauration
automatisée et la mise en service en libre-service, peuvent s’exécuter localement, que vous
disposiez d'une connexion directe à Azure ou non. Le contrôleur de données Azure Arc local
offre une fonctionnalité de gestion complète dans un environnement auto-hébergé pour la mise
en service, l'évolutivité élastique, la sauvegarde, les mises à jour automatisées, la surveillance
et la haute disponibilité. Une connexion directe à Azure offre des options supplémentaires
pour l’intégration à d’autres services Azure, tels qu’Azure Monitor. Elle vous permet également
d’utiliser le portail Azure et les API Azure Resource Manager en tout lieu pour gérer vos services
de données compatibles avec Azure Arc.

Conditions requises pour les services de données Azure

Un cluster Kubernetes basé sur une distribution Kubernetes majeure sera nécessaire pour
orchestrer les services de données Azure sur l’infrastructure de votre choix. Vous devrez
également installer le contrôleur de données Azure Arc avant de mettre en service les services
de données Azure et d’utiliser les fonctionnalités de gestion dans votre environnement.

Devez-vous choisir un serveur SQL ou une instance gérée compatible

avec Arc ?
Azure offre déjà différentes options de déploiement et de gestion pour héberger des
fonctionnalités SQL Server. La prise en charge de SQL Server avec Azure Arc offre davantage
de possibilités. Voici les différentes possibilités offertes par Azure Arc :
• SQL Server compatible avec Azure Arc (actuellement en version préliminaire) : pour les
serveurs SQL de votre propre infrastructure ou dans un autre Cloud public, SQL Server
compatible avec Azure Arc vous permet de connecter ces serveurs SQL à Azure et de
tirer parti des services Azure associés. La connexion et l'enregistrement des serveurs
SQL auprès d'Azure ne sont pas affectés. Aucune exigence de migration de données ou
de temps d’arrêt n'est appliquée. Le portail Azure vous permet de gérer tous vos serveurs
SQL s'il est utilisé comme tableau de bord de gestion centralisée. Le service d’évaluation
à la demande SQL Server vous permet de valider régulièrement l’intégrité de votre
environnement SQL Server, d’atténuer les risques et d’améliorer les performances.
• SQL Managed Instance compatible avec Azure Arc (actuellement en version
préliminaire) : SQL Managed Instance compatible avec Azure Arc est un service de
données Azure SQL. Il peut être créé n’importe où dans votre infrastructure et bénéficie
d’une compatibilité de près de 100 % avec le moteur de base de données SQL Server
le plus récent. SQL Managed Instance compatible avec Azure Arc vous permet de
répliquer vos applications vers les services de données Azure Arc, tout en minimisant les
modifications apportées à vos applications et bases de données.
40 | Modernisation grâce au Cloud hybride et au multicloud

Sans quitter votre infrastructure existante, vous pouvez migrer vos applications SQL Server
existantes vers la version la plus récente du moteur SQL Server et bénéficier de l’avantage
supplémentaire des fonctionnalités de gestion intégrée de type PaaS. Ces fonctionnalités vous
permettent de respecter les critères de conformité tels que la souveraineté des données. Pour
ce faire, vous devez utiliser la plateforme Kubernetes avec les services de données Azure, qui
peut être déployée sur n’importe quelle infrastructure.
Voici les avantages offerts à l'heure actuelle :
• Création, suppression et redimensionnement élastique et aisés d'une instance gérée
en une minute.
• La plateforme installe automatiquement les mises à niveau, les mises à jour et les
correctifs afin de garantir l'exécution de la version la plus récente de SQL Server.
• Surveillance, haute disponibilité, sauvegarde et restauration disponibles en tant que
services de gestion intégrés.

PostgreSQL Hyperscale compatible avec Azure Arc cou Azure Database pour
PostgreSQL Hyperscale ?
Les différences entre ces deux entités sont similaires à celles de SQL Server compatible avec Arc
et de SQL Managed Instance compatible avec Arc. Azure Database pour PostgreSQL Hyperscale
est un service Azure exploité par Microsoft et exécuté dans les dacatenters de Microsoft.
En comparaison, PostgreSQL Hyperscale compatible avec Azure Arc fait partie des services de
données compatibles avec Azure Arc et s’exécute sur votre propre infrastructure. Toutefois, les
deux entités sont basées sur le facteur de forme hyperscale de la base de données PostgreSQL
alimentée par l’extension Citus.

Modes de connectivité
Votre environnement de services de données compatibles avec Azure Arc peut se connecter
à Azure de différentes manières, en fonction de facteurs tels que votre stratégie commerciale,
les réglementations gouvernementales et les connexions réseau disponibles. Les services
de données compatibles avec Azure Arc proposent les modes de connectivité suivants :
• Directement connecté (non pris en charge au moment de la rédaction du présent
document)
• Indirectement connecté
• Jamais connecté (non pris en charge au moment de la rédaction du présent document)
 Modernisation grâce au Cloud hybride et au multicloud | 41

La disponibilité de certaines fonctionnalités de services de données compatibles avec Azure Arc

dépend du mode de connectivité sélectionné. Le choix du mode de connectivité vous permet
de déterminer la quantité de données transmises à Azure et le type d’interaction utilisateur
avec le contrôleur de données Arc. Examinons les différences entre les connexions directes
et indirectes.

Connexions directes
Lorsque les services de données compatibles avec Azure Arc sont directement connectés
à Azure :
• Les utilisateurs peuvent exploiter les services de données Azure Arc via les API Azure
Resource Manager, Azure CLI et le portail Azure.
• Azure Active Directory (Azure AD) et Azure RBAC sont disponibles grâce
à la communication continue et directe dans le mode directement connecté.
• Des services tels que les services de sécurité Azure Defender, Container Insights et Azure
Backup sur le stockage blob sont disponibles dans le mode directement connecté.

Les opérations disponibles dans le mode directement connecté sont similaires à l’utilisation
du portail Azure pour les services, par exemple, la mise en service/hors service, la configuration
et la mise à l’échelle.

Les connexions directes peuvent être utilisées dans les cas suivants :
• Les organisations utilisent des Clouds publics tels qu’Azure, AWS ou Google Cloud
Platform.
• Les emplacements de site en périphérie, tels que les magasins de vente au détail
où la connectivité Internet est souvent présente et autorisée.
• Les datacenters d’entreprise, autorisant une connectivité plus étendue vers/à partir
de la région de données de leur datacenter et de l’Internet.

Connexions indirectes
Lorsque les services de données compatibles avec Azure Arc sont indirectement connectés
à Azure :
• Seule une vue en lecture seule est disponible dans le portail Azure. Vous pouvez
consulter les instances et les détails des déploiements d’instances gérées et d’instances
Postgres Hyperscale, sans pouvoir agir sur celles-ci dans le portail Azure.
• Toutes les actions doivent être lancées localement à l’aide d’Azure Data Studio, d’Azure
Data CLI (azdata) ou d’outils Kubernetes natifs, tels que kubectl.
• Azure AD et Azure RBAC ne sont pas disponibles.
• Des services tels que les services de sécurité Azure Defender, Container Insights et Azure
Backup sur le stockage blob ne sont pas disponibles.
42 | Modernisation grâce au Cloud hybride et au multicloud

Au moment de la rédaction du présent document, seul le mode indirectement connecté est pris
en charge (en version préliminaire).

Les connexions indirectes peuvent être utilisées dans les cas suivants :
• Les datacenters sur site, par exemple, pour la finance, les soins de santé ou
l'administration, peuvent interdire la connectivité dans ou hors de la région de données.
Cela est dû aux stratégies de conformité des entreprises ou des réglementations, souvent
pour éviter les risques d’attaques externes ou d’exfiltration de données.
• Les emplacements de site périphériques, par exemple, pour les applications de terrain
de pétrole/gaz ou militaires, où la connectivité à Internet est souvent indisponible.
• Les emplacements de sites périphériques, tels que les navires, disposant uniquement
d'une connectivité intermittente.

Jamais connecté
En mode jamais connecté, aucune donnée ne peut être envoyée de quelque manière que ce soit
vers ou depuis Azure. Ce mode peut par exemple convenir à une installation gouvernementale
top-secrète. Ce type d’environnement isolé garantit une isolation complète des données.

Il est important de noter que ce mode n’est pas encore pris en charge.

Exigences en matière de connectivité

Un agent de votre environnement est toujours l’initiateur de la communication entre votre
environnement et Azure. Cela est également le cas pour les opérations lancées par un utilisateur
dans le portail Azure, qui sont alors mises en file d’attente dans Azure. Un agent de votre
environnement vérifie ensuite les tâches dans la file d’attente en initiant la communication avec
Azure. L’agent exécute ces tâches et signale l'état de la tâche à Azure (réalisation ou échec).

Connexions disponibles pour le mode indirectement connecté

Il existe actuellement trois connexions disponibles pour le seul mode pris en charge dans
la préversion : le mode indirectement connecté. Voici les connexions disponibles :
• API Azure Monitor
• API Azure Resource Manager
• Microsoft Container Registry (MCR)

Toutes les connexions HTTPS vers Azure et le Microsoft Container Registry sont chiffrées.
Elles utilisent SSL/TLS et des certificats officiellement signés et vérifiables.
 Modernisation grâce au Cloud hybride et au multicloud | 43

Les API Azure Monitor et Azure Resource Manager

Azure Data Studio, Azure Data CLI (azdata) et Azure CLI se connectent aux API Azure Resource
Manager pour transmettre des données à Azure et en recevoir, pour certaines fonctions.

À l’heure actuelle, toutes les connexions HTTPS/443 de navigateur aux tableaux de bord Grafana
et Kibana et à partir d’Azure Data CLI (azdata) à l’API du contrôleur de données utilisent le
chiffrement SSL avec des certificats auto-signés. Une fonctionnalité est prévue pour permettre
le chiffrement de ces connexions SSL à l’aide de vos propres certificats.

Microsoft Container Registry

MCR est le référentiel d'images de conteneur des services de données compatibles avec Azure
Arc. Vous pouvez extraire ces images de MCR et les transférer dans un registre de conteneurs
privé. Vous pouvez ensuite configurer le processus de déploiement du contrôleur de données
pour extraire les images de conteneur de ce registre de conteneurs privé.

Les connexions au serveur d’API Kubernetes à partir d’Azure Data Studio et d’Azure Data CLI
(azdata) utilisent l’authentification et le chiffrement Kubernetes que vous avez mis en place.
Pour exécuter un grand nombre d'actions sur les services de données compatibles avec Azure
Arc, les utilisateurs d’Azure Data Studio et d’Azure Data CLI doivent disposer d’une connexion
authentifiée à l’API Kubernetes.

Création du contrôleur de données Azure Arc

Plusieurs approches permettent de créer des services de données compatibles avec Azure Arc
sur des clusters Kubernetes et des services Kubernetes gérés.

La liste actuelle des services et des distributions Kubernetes pris en charge est disponible ici :
[Link]

Cette URL indique également les exigences appliquées aux services et aux distributions. Par
exemple, la version minimale prise en charge de l’application, la taille de la machine virtuelle,
la mémoire et le stockage, ainsi que les exigences de connectivité. Vous y trouverez également
les informations nécessaires concernant le processus de création du contrôleur.

Azure Arc dans GitHub

Le référentiel GitHub disponible à l'adresse [Link] contient
différentes ressources concernant l'utilisation des serveurs compatibles avec Azure Arc, SQL
Server compatible avec Azure Arc, Kubernetes compatible avec Azure Arc et les services de
données compatibles avec Azure Arc.

Examinons à présent les différents guides disponibles concernant l’adoption d’Azure Arc.
44 | Modernisation grâce au Cloud hybride et au multicloud

Serveurs compatibles avec Azure Arc

Ces scénarios de déploiement facilitent l’intégration de différents déploiements de serveurs
Windows et Linux sur Azure avec Azure Arc :
• Généralités : exemples pouvant être utilisés pour connecter des serveurs Windows
ou Linux existants à Azure avec Azure Arc.
• Microsoft Azure : guides concernant l'intégration d'une machine virtuelle Azure en tant
que serveur compatible avec Azure Arc.
• Des guides supplémentaires fournissent des informations sur l’utilisation de Vagrant,
Amazon Web Services (AWS), Google Cloud Platform (GCP) et VMware.
• Serveurs compatibles avec Azure Arc — scénarios 2 jours et cas d’utilisation : une fois
que les ressources de serveur ont été projetées dans Azure avec Azure Arc pour devenir
des serveurs compatibles avec Azure Arc, ces guides illustrent la gestion de ces serveurs
en tant que ressources Azure natives à l’aide d’outils de gestion Azure natifs, tels que les
balises de ressources, la stratégie Azure et Log Analytics.
• Serveurs compatibles avec Azure Arc — scénarios de déploiement évolutif : guides
concernant l'intégration évolutive vers Azure Arc de machines virtuelles sur différents
environnements et plateformes existants.

SQL Server compatible avec Azure Arc

Ces scénarios de déploiement offrent des conseils pour intégrer les déploiements de Microsoft
SQL Server sur différentes plateformes vers Azure Arc :
• Microsoft Azure : procédures d’intégration d’une machine virtuelle Azure avec
une installation SQL Server en tant que serveur SQL compatible avec Azure Arc et
serveur compatible avec Azure Arc. Ce guide est proposé uniquement à des fins de
démonstration et de test (il n’est pas pris en charge).
• AWS : conseils pour le déploiement end-to-end dans AWS de Windows Server avec SQL
Server et intégration de Terraform à Azure avec Azure Arc.
• GCP : conseils pour le déploiement end-to-end dans GCP de Windows Server avec SQL
Server et intégration de Terraform à Azure avec Azure Arc.
• VMware : conseils pour le déploiement end-to-end dans VMware vSphere de Windows
Server avec SQL Server et intégration de Terraform à Azure avec Azure Arc.
 Modernisation grâce au Cloud hybride et au multicloud | 45

Kubernetes compatible avec Azure Arc

Cette section propose des options pour Kubernetes compatible avec Azure Arc, pour lancer
rapidement un cluster Kubernetes, afin qu'il soit projeté dans Azure Arc et géré par des outils
Azure natifs :
• Généralités : présentation d'exemples de connexion à Arc ou d’un cluster Kubernetes
existant.
• AKS : exemples de procédures de création d’un cluster AKS pour simuler un cluster
exécuté sur site. Parmi les exemples de déploiement proposés figurent l’utilisation
de Terraform et d’un modèle ARM.
• Amazon Elastic Kubernetes Service (EKS) : exemple utilisant Terraform pour déployer
un cluster EKS sur AWS et la connexion de ce cluster EKS à Azure avec Azure Arc.
• Google Kubernetes Engine (GKE) : exemple utilisant Terraform pour déployer un cluster
GKE sur Google Cloud et la connexion de ce cluster EKS à Azure avec Azure Arc.
• Rancher k3s : exemples de déploiement d'un Kubernetes Rancher k3s léger (par exemple,
pour un Kubernetes périphérique, IoT ou intégré) sur une machine virtuelle Azure
ou l'intégration VMware du cluster vers Azure avec Azure Arc.
• Azure Red Hat OpenShift (ARO) V4 : exemple utilisant Terraform pour déployer
un nouveau cluster ARO avec l’intégration du cluster à Azure avec Azure Arc.
• Kubernetes dans Docker (kind) : exemple d’utilisation de Kind pour la création d’un
cluster Kubernetes sur votre ordinateur local (exécuté en tant que cluster Kubernetes
local à l’aide de « nœuds » de conteneur docker) et de l’intégration du cluster en tant que
cluster Kubernetes compatible avec Azure Arc.
• MicroK8s : exemple de procédure d’utilisation de MicroK8s pour créer un cluster
Kubernetes sur votre machine locale et intégration du cluster en tant que cluster
Kubernetes compatible avec Azure Arc.
• Kubernetes compatible avec Azure Arc — scénarios 2 jours et cas d’utilisation : une
fois que les clusters Kubernetes ont été projetés dans Azure avec Azure Arc, ces guides
illustrent la gestion de ces clusters en tant que ressources Azure natives à l’aide d’outils
de gestion Azure natifs, tels qu'Azure Monitor, la stratégie Azure et les configurations
GitOps. Par exemple, pour AKS (mais cela s'applique également à GKE), vous pouvez
déployer des configurations GitOps et effectuer un flux GitOps basique basé sur Helm
sur AKS en tant que cluster connecté à Azure Arc. Vous pouvez également appliquer
des configurations GitOps sur AKS en tant que cluster connecté Azure Arc à l’aide
de la stratégie Azure pour Kubernetes et intégrer Azure Monitor pour les conteneurs
à AKS en tant que cluster connecté à Azure Arc.
46 | Modernisation grâce au Cloud hybride et au multicloud

Services de données compatibles avec Azure Arc (actuellement en version

préliminaire)
Cette section décrit les options de déploiement des services de données compatibles avec Azure
Arc. L’objectif consiste à lancer rapidement de nouveaux clusters Kubernetes et de déployer
des services de données compatibles avec Azure Arc afin qu'ils soient prêts à être projetés dans
Azure Arc et gérés avec des outils natifs Azure. Si vous possédez déjà un cluster Kubernetes,
vous pouvez utiliser ces informations pour déployer des services de données compatibles avec
Azure Arc sur un cluster Kubernetes existant : [Link]
data/create-data-controller :
• Services de données sur AKS : exemples de procédures relatives à la création d’un
cluster AKS avec le déploiement de services de données Azure Arc sur le cluster. Par
exemple, l’utilisation d’Azure Arc Data Controller Vanilla, d'Azure SQL Managed Instance
et le déploiement d’Azure PostgreSQL Hyperscale sur AKS avec un modèle Azure ARM :
[Link]
arm_template.
• Services de données sur AWS Elastic Kubernetes : exemples de procédures relatives
à la création d’un cluster EKS et du déploiement de services de données Azure Arc sur
ce cluster.
• Services de données sur GCP Google Kubernetes : exemples de procédures relatives
à la création d’un cluster GKE et du déploiement de services de données Azure Arc sur
ce cluster.
• Services de données sur un Kubernetes en amont (Kubeadm) : exemples de procédures
relatives à la création d’un cluster Kubernetes à nœud unique et du déploiement de
services de données Azure Arc sur ce cluster.

Le référentiel GitHub fournit une excellente documentation pour démarrer. Il couvre une grande
variété de scénarios, tout en encourageant la contribution de chacun.

De nombreux documents ont été étudiés au cours de notre présentation d’Azure Arc. Espérons
que ces sections vous ont fourni de bonnes bases pour que vous puissiez commencer vos projets
de proof of concept. Intéressons-nous désormais à Azure Stack, un autre élément essentiel de la
stratégie hybride et multicloud d'Azure.

Moderniser vos datacenters avec Azure Stack

La gamme de solutions Azure Stack peut étendre les services et les fonctionnalités Azure à
tous vos emplacements, tels que votre datacenter local, vos bureaux distants et vos appareils
de périmètre. Vous pouvez également créer et exécuter des applications hybrides de manière
cohérente entre les limites des emplacements et des environnements, en répondant aux
exigences de diverses charges de travail.
 Modernisation grâce au Cloud hybride et au multicloud | 47

Azure Stack est une gamme comprenant trois produits :

• Azure Stack Hub : un système Cloud natif intégré qui assure les services Cloud Azure
sur site
• Azure Stack HCI : un HCI qui modernise les datacenters en actualisant les hôtes de
virtualisation à l’aide du stockage et de la mise en réseau modernes software-defined,
combinés avec Hyper-V pour le calcul
• Azure Stack Edge : un appareil de périmètre géré dans le Cloud qui exécute l’IA/le ML,
les solutions IoT et les charges de travail de l’Edge computing

Ces trois solutions Azure Stack peuvent être articulées comme suit :

1. Azure Stack Hub :

• Cloud privé et autonome, prenant en charge des scénarios complètement
déconnectés et des scénarios de Cloud hybride connectés, tout en garantissant
la cohérence opérationnelle avec Azure
• Modernisation des applications (applications Cloud natives)
• Scénarios de souveraineté des données, de réglementations et de conformité
• Scénarios connectés et déconnectés ou isolés

2. Azure Stack HCI :

• Solution hybride et hyperconvergée intégrée à Azure
• Modernisation de l’architecture locale éliminant la complexité du stockage SAN
• Virtualisation, mise en réseau et stockage évolutifs
• Charges de travail hautes performances
• Succursales distantes
3. Azure Stack Edge :
• Appareil géré par Azure en tant que service
• Applications de calcul accéléré par le matériel, d’AI/ML et d'IoT
• Charges de travail à faible latence
• Fonctionnalités de passerelle de stockage Cloud

Ce chapitre porte sur Azure Stack Hub et Azure Stack HCI. Vous trouverez plus d’informations
sur Azure Stack Edge ici : [Link]

Maintenant que nous avons examiné brièvement les trois solutions Azure Stack, intéressons-nous
à l’une d'entre elles en détail : Azure Stack Hub.
48 | Modernisation grâce au Cloud hybride et au multicloud

Présentation d’Azure Stack Hub

Azure Stack Hub intègre les services Azure sur site, dans votre datacenter. Il s’agit d’une
extension d’Azure. Si elle utilise la même plateforme Cloud dans tout son domaine numérique,
votre organisation peut baser en toute confiance les décisions technologiques sur les besoins
de l’entreprise au lieu que les limitations technologiques n'affectent les décisions commerciales.

Pourquoi utiliser Azure Stack Hub ?

Bien que la version native d’Azure offre aux développeurs des services complets pour développer
des applications modernes, gérer la latence, la connectivité sporadique, les réglementations sur
les données et la conformité, elle est susceptible de nuire aux applications basées dans le Cloud.
Pour résoudre ce problème, Azure et Azure Stack Hub offrent des possibilités pour prendre en
charge de nouveaux scénarios de Cloud hybride pour les applications, qu'elles soient destinées
à des clients ou à une utilisation interne :
• Applications Cloud sur site : à l’aide des services Azure, des microservices basés sur
des conteneurs et des architectures sans serveur, vous pouvez étendre les applications
actuelles ou en créer de nouvelles pour tirer parti des avantages du Cloud et garantir
la cohérence des opérations. Cette cohérence au sein du Cloud natif Azure et d’un
hub Azure Stack sur site permet d’utiliser un ensemble de processus DevOps, en vue
d'accélérer la modernisation des applications et de créer des applications stratégiques
robustes.
• Conformité d’applications Cloud : Azure Stack Hub vous permet d'associer les exigences
sur site aux avantages du Cloud. Vous pouvez créer et développer des applications dans
un environnement Azure pour les déployer sur site avec Azure Stack Hub sans modifier
le code pour répondre aux exigences réglementaires et de conformité. Il peut par
exemple s'agir d'applications dédiées aux rapports de dépenses, aux rapports financiers,
aux opérations de change et aux audits mondiaux.
• Connectivité intermittente ou inexistante : vous pouvez utiliser Azure Stack Hub avec
une connectivité intermittente, voire nulle, sur Azure ou Internet. Il peut par exemple
s'agir des sites de production à distance, des navires et des applications militaires. Les
données peuvent être traitées dans votre installation Azure Stack Hub, puis agrégées
dans Azure à un moment opportun pour faire l'objet d'analyses supplémentaires, en
évitant les problèmes de latence ou de connexion permanente.
 Modernisation grâce au Cloud hybride et au multicloud | 49

Cas d’utilisation d'Azure Stack Hub

Parmi les nombreuses possibilités, nous avons choisi des exemples appartenant à six grands
secteurs :

1. Services financiers :
• Modernisez les applications stratégiques avec une architecture de microservices
prise en charge par les services et les conteneurs Azure.
• Répondez aux exigences réglementaires tout en rationalisant les opérations
en exécutant des applications Cloud sur site et en protégeant les données, les
applications et les identités.
• Tirez parti d'informations en temps réel, atténuez les risques tout en évitant
les problèmes de latence et améliorez l’expérience client grâce à l’IA et d’autres
applications qui s’exécutent dans un HCI local.

2. Service public :
• Utilisez la maintenance prédictive sur les flottes de véhicules et gérez les bâtiments
en vue de garantir l’efficacité énergétique grâce à des solutions IoT qui intègrent
le Machine Learning.
• Améliorez les services proposés aux citoyens grâce à de meilleures performances
d’application et de base de données sur site, notamment celles des applications
héritées.
• Garantissez la conformité et améliorez la gouvernance en utilisant un ensemble
cohérent d’outils dédiés à la gestion des applications et des données.

3. Production industrielle :
• Utilisez des fonctionnalités de Cloud hybride pour améliorer la productivité
et l’efficacité en exécutant les services Azure sans avoir besoin d’une connexion
permanente à Internet.
• Améliorez la sécurité des collaborateurs grâce aux applications d’intelligence
artificielle en périphérie pour signaler les risques et éviter la panne des machines
grâce à la maintenance prédictive.
• Surveillez les résultats des étapes de production en temps réel pour améliorer
la qualité et réduire les défauts, ainsi que les dommages.

4. Distribution :
• Améliorez la satisfaction des clients grâce à une utilisation plus intelligente des
données, y compris l’analyse des promotions et des intérêts locaux des clients
à chaque point de vente.
• Optimisez la disponibilité des produits en contrôlant l’inventaire et le taux d’achat
afin de recommander les bonnes quantités au bon moment.
• Réduisez les pertes dues à la démarque, au vol à l’étalage, à la fraude aux retours ou
à tout autre impact sur les stocks grâce à des informations en temps réel provenant
de données vidéo et d’applications.
50 | Modernisation grâce au Cloud hybride et au multicloud

5. Énergie :
• Utilisez des services Cloud essentiels dans des activités et des domaines qui ne sont
pas connectés à Internet, tels que les sites d’exploration à distance et les réseaux
électriques.
• Réduisez et évitez les pannes d’équipement coûteuses, accélérez la résolution des
problèmes de site distant, tout en identifiant et en remédiant aux problèmes avant
qu’ils n’affectent la sécurité des travailleurs.
• Stockez et traitez les données localement pour optimiser immédiatement la
production et les opérations liées aux puits de pétrole, aux raffineries, aux centrales
électriques, aux parcs éoliens et bien plus encore.
6. Santé :
• Modernisez les systèmes hérités et protégez les patients des défaillances de
système, tout en intégrant des appareils médicaux et des applications dans des
environnements Cloud et hyperconvergés.
• Améliorez les environnements cliniques et l’utilisation des ressources, notamment
les performances des salles d’opération et les taux d'occupation, en migrant
l’infrastructure vers des configurations Cloud flexibles.
• Optimisez l’analyse de données et la gestion des dossiers de santé grâce
à l’agrégation locale, au traitement et au stockage des dossiers médicaux dans une
infrastructure évolutive et conteneurisée.

Utilisations d'Azure Stack Hub au niveau des applications, du PaaS et de l'IaaS

Azure Stack Hub est adapté à chacun de ces trois niveaux de ressources Cloud conventionnels :
• Au niveau de l'application : Azure Stack Hub peut prendre en charge le déploiement et
le fonctionnement de vos applications avec des pratiques DevOps modernes. Les équipes
DevOps peuvent optimiser la productivité et les résultats en utilisant l’infrastructure en
tant que code, l'intégration continue/le déploiement continu (CI/CD), les extensions
de machine virtuelle compatibles avec Azure et d’autres fonctions.
• Au niveau de la plateforme en tant que service (PaaS) : Azure Stack Hub est également
une plateforme dédiée à la création et à l’exécution d’applications qui nécessitent
des services PaaS sur site tels qu'Event Hubs et les applications Web. Les services
sont disponibles dans Azure Stack Hub de la même manière que dans Azure, pour les
environnements de développement et d’exécution hybrides unifiés.
• Au niveau de l’infrastructure en tant que service (IaaS) : Azure Hub Stack offre des
ressources en libre-service fortement isolées avec un suivi détaillé de leur utilisation
et des rapports relatifs à l’utilisation mutualisée. Il s’agit donc d’une solution IaaS idéale
pour les Clouds privés d’entreprise et les fournisseurs de services. Azure Stack Hub est
fondamentalement une plateforme IaaS, et nous avons exploré la série [Link]
[Link]/blog/azure-stack-iaas-part-one/.
 Modernisation grâce au Cloud hybride et au multicloud | 51

Architecture d'Azure Stack Hub

Les systèmes intégrés à Azure Stack Hub sont conditionnés en groupes de 4 à 16 serveurs
(appelés unités d'échelle) livrés à votre datacenter après avoir été créés par des fournisseurs
de matériel de confiance. Le système intégré avec son matériel et son logiciel fournit une
solution qui garantit une innovation au rythme du Cloud et une gestion IT simplifiée. Azure
Stack Hub utilise du matériel standard et offre les mêmes outils de gestion que ceux des
abonnements Azure. Vous pouvez ainsi appliquer des processus DevOps cohérents, que vous
soyez connecté à Azure au non. Les systèmes intégrés à Azure Stack Hub sont pris en charge
par Microsoft et le fournisseur de matériel.

Fournisseur d’identité Azure Stack Hub

Azure Stack Hub utilise l’un des deux fournisseurs d’identité suivants : Azure AD ou Active
Directory Federation Services (AD FS). De nombreuses configurations hybrides connectées
à Internet utilisent Azure AD. Les déploiements déconnectés nécessitent quant à eux l’utilisation
d’AD FS. Les fournisseurs de ressources Azure Stack Hub, ainsi que d’autres applications,
fonctionnent de la même manière avec Azure AD ou AD FS. Sachez qu’Azure Stack Hub possède
sa propre instance d’Active Directory et une API Active Directory Graph.

Comment est géré Azure Stack Hub ?

De la même manière que Microsoft fournit des services Azure aux locataires, vous pouvez
utiliser les opérations Azure Stack Hub pour proposer différents services et applications à vos
utilisateurs locataires. En effet, Azure et Azure Stack Hub utilisent le même modèle d’opérations.

Azure Stack Hub introduit un nouveau rôle appelé Opérateur. Il s’agit d’une fonction de niveau
administrateur qui est utilisée pour gérer, surveiller et configurer Azure Stack Hub. Il s’agit
d’un rôle essentiel pour l’environnement Azure Stack Hub, qui nécessite un large éventail de
compétences et de connaissances. Celles-ci se reflètent dans la certification Microsoft : Azure
Stack Hub Operator Associate ([Link]
hub-operator?WT.mc_id=Azure_blog-wwl) et l'examen AZ-600 : configuration et exploitation
d’un Cloud hybride avec Microsoft Azure Stack Hub ( [Link]
certifications/exams/az-600?WT.mc_id=Azure_blog-wwl).

Pour vous préparer à cet examen, nous avons publié un ensemble de documents (y compris les
ressources du fondement principal d'Azure Stack Hub [Link]
Azure-Stack-Hub-Foundation-Core/tree/master/ASF-Training) répertoriés dans les blogs
TechCommunity : [Link]
hub-operator-certification-az-600/ba-p/2024434.
52 | Modernisation grâce au Cloud hybride et au multicloud

Azure Stack Hub peut être géré à l’aide de trois options :

• Portail administrateur
• Portail utilisateur
• PowerShell

Le portail administrateur peut être utilisé pour effectuer des actions de gestion sur Azure Stack
Hub, tels que la surveillance de l’état ou la maintenance de l’intégrité du système intégré, ainsi
que l’ajout d’éléments Marketplace, de capacité et de nouveaux fournisseurs de ressources pour
activer de nouveaux services PaaS. Le guide de démarrage rapide du portail d’administration
Azure Stack Hub ([Link]
portals) contient plus d’informations sur l’utilisation du portail administrateur pour gérer Azure
Stack Hub.

Des modèles de démarrage rapide Azure Stack Hub sont également disponibles avec des
exemples de déploiement de ressources, qu'il s'agisse d’une simple installation de machine
virtuelle ou de déploiements plus complexes tels qu’Exchange et SharePoint.

En tant qu’opérateur Azure Stack Hub, vous pouvez activer différents types de ressources
pour vos utilisateurs. Il peut par exemple s'agir de serveurs SQL et MySQL, ainsi que d'images
personnalisées de machine virtuelle, de services d’application, de fonctions Azure, de hubs
d’événements, etc. En tant qu’opérateur, vous pouvez également gérer les problèmes de
capacité, créer des offres d’utilisation et des abonnements pour les locataires et répondre aux
alertes.
Les utilisateurs peuvent tirer parti des fonctionnalités en libre-service proposées dans le
portail utilisateur pour consommer des ressources Cloud telles que les applications Web, les
comptes de stockage et les machines virtuelles. Les utilisateurs profitent des services mis
à disposition par l’opérateur. Ils peuvent configurer, surveiller et gérer les services auxquels ils
ont souscrit, tels que le stockage, les applications Web et les machines virtuelles. Pour gérer leur
environnement, les utilisateurs ont le choix entre le portail utilisateur ou PowerShell.
Azure Stack Hub fournit un environnement multiclient. Divers fournisseurs de services
(notamment les fournisseurs de solutions Cloud, les fournisseurs de services gérés et les
fournisseurs de logiciels indépendants [ISV]) ont ainsi pu créer et offrir une valeur ajoutée
à la plateforme Azure Stack Hub, tout en la proposant à plusieurs clients. Chacun d'entre eux
étant isolé et sécurisé dans ses propres abonnements Azure Stack Hub respectifs.
 Modernisation grâce au Cloud hybride et au multicloud | 53

Fournisseurs de ressources
Les fournisseurs de ressources sont des services qui constituent les fondements de tous les
services IaaS et PaaS d'Azure Stack Hub. Il existe trois fournisseurs de ressources IaaS dans
Azure Stack Hub :
• Fournisseur de ressources de traitement : il permet la création de machines virtuelles
par vos locataires Azure Stack Hub. Grâce à ce fournisseur, les machines virtuelles et les
extensions de machine virtuelle peuvent être créées.
• Fournisseur de ressources réseau : permet de créer des groupes de sécurité réseau, des
adresses IP publiques, des réseaux virtuels et des équilibreurs de charge de type logiciel.
• Fournisseur de ressources de stockage : prend en charge la création de service de blob,
de table et de file d’attente Azure. Azure Key Vault (utilisé pour créer et gérer des clés
secrètes) est également pris en charge par ce fournisseur de ressources.

Vous pouvez également déployer et utiliser l’un de ces fournisseurs de ressources PaaS
optionnels avec Azure Stack Hub :
• App service : une offre PaaS qui permet aux clients de créer des applications Web, des
API et des applications Azure Functions pour n’importe quel appareil ou plateforme. Vos
clients internes et externes peuvent automatiser leurs processus métier et intégrer vos
applications à leurs applications locales. Ces applications client peuvent être exécutées
par des opérateurs Cloud Azure Stack Hub sur des machines virtuelles partagées ou
dédiées et entièrement gérées.
• Event Hubs : Event Hubs sur Azure Stack Hub vous permet de réaliser des scénarios
de Cloud hybride. Les solutions en streaming et basées sur les événements sont prises
en charge, pour le traitement sur site et dans le Cloud Azure. Que votre scénario soit
hybride (connecté) ou déconnecté, votre solution peut prendre en charge le traitement
des événements/flux à grande échelle. Votre scénario n’est lié que par la taille du cluster,
que vous pouvez configurer en fonction de vos besoins. (Source : [Link]
com/azure/event-hubs/event-hubs-about)
• IoT Hub (en version préliminaire) : IoT Hub sur Azure Stack Hub vous permet de créer
des solutions IoT hybrides. IoT Hub est un service géré, qui sert de concentrateur de
messages central dédié à la communication bidirectionnelle entre votre application IoT
et les appareils qu’elle gère. Vous pouvez utiliser IoT Hub sur Azure Stack Hub pour créer
des solutions IoT offrant une communication fiable et sécurisée entre les appareils IoT
et une solution back-end sur site. (Source : [Link]
docs/blob/master/articles/iot-hub/[Link])
• SQL Server : cette solution vous permet de fournir des bases de données SQL en tant
que service à vos locataires Azure Stack Hub en mettant à disposition un connecteur sur
une instance SQL Server.
• MySQL Server : cette option vous permet de proposer les bases de données MySQL
disponibles en tant que service Azure Stack Hub en fournissant un connecteur sur une
instance de serveur MySQL.
54 | Modernisation grâce au Cloud hybride et au multicloud

Administration de base d'Azure Stack Hub

Il existe plusieurs aspects fondamentaux de l’administration Azure Stack Hub que vous
devez connaître, notamment la compréhension des builds, le choix des outils de gestion, les
responsabilités typiques d’un opérateur Azure Stack Hub, et ce qu’il faut communiquer à vos
utilisateurs pour les aider à devenir plus productifs.

Comprendre les builds

Voici deux composants liés aux builds que vous devez connaître :
• Systèmes intégrés : les packages de mise à jour diffusent des versions actualisées
d’Azure Stack Hub pour les systèmes intégrés à Azure Stack Hub. Vous pouvez importer
ces packages et les appliquer à l’aide de la vignette Mises à jour dans le portail
administrateur.
• Kit de développement : le Kit de développement Azure Stack (ASDK) est proposé sous
forme d'environnement de test pour évaluer Azure Stack Hub. Il vous permet également
de créer et de tester des applications dans un environnement hors production. La page
de déploiement ASDK contient plus d’informations sur le déploiement : [Link]
[Link]/azure-stack/asdk/asdk-install.

L’innovation dans Azure Stack Hub est rapide. En effet, des versions de nouveaux builds sont
publiées régulièrement. Si vous exécutez ASDK et si vous souhaitez passer à la dernière version
et profiter des fonctionnalités les plus récentes d’Azure Stack Hub, appliquer des packages de
mise à jour ne suffit pas : vous devez redéployer ASDK. La documentation ASDK indiquée sur le
site Web Azure reflète la dernière version de build : [Link]
asdk/.

Rester informé des services disponibles

Azure Stack Hub prend en charge un sous-ensemble évolutif de services Azure. Vous devrez
connaître les services que vous pouvez proposer à vos utilisateurs Azure Stack Hub à un
instant T.

Services de base
Azure Stack Hub comprend par défaut les services de base suivants lors du déploiement :
• Calcul
• Stockage
• Mise en réseau
• Key Vault

Ces services de base vous permettent de proposer des options IaaS à vos utilisateurs avec une
configuration minimale.
 Modernisation grâce au Cloud hybride et au multicloud | 55

Services supplémentaires
Voici les services PaaS supplémentaires actuellement pris en charge :
• App Service
• Azure Functions
• SQL et MySQL RPs
• Event Hubs
• IoT Hub (en version préliminaire)
• Kubernetes (en version préliminaire)

Avant de pouvoir proposer ces services supplémentaires à vos utilisateurs, une configuration
supplémentaire est nécessaire. Consultez les tutoriels et les sections Guides pratiques pour
en savoir plus : [Link]

Quels outils de gestion pouvez-vous utiliser ?

Le portail administrateur est le moyen le plus simple d’apprendre les concepts de gestion de
base. Vous pouvez également utiliser PowerShell pour la gestion Azure Stack Hub, bien que
celui-ci nécessite certaines étapes de préparation. Grâce à lui vous pourrez vous familiariser
avec la manière selon laquelle PowerShell s'applique à Azure Stack Hub, en consultant la section
Démarrer avec PowerShell sur Azure Stack Hub : [Link]
azure-stack-powershell-overview.
En tant que mécanisme de déploiement, de gestion et d’organisation sous-jacent, Azure Stack
Hub utilise Azure Resource Manager. Pour en savoir plus sur Resource Manager, découvrir
comment gérer Azure Stack Hub et aider les utilisateurs, consultez le livre blanc Démarrer avec
Azure Resource Manager : [Link]
449A-897E-BD92E42479CE/Getting_Started_With_Azure_Resource_Manager_white_paper_
EN_US.pdf.

Responsabilités typiques de l’administrateur/du fournisseur

Les utilisateurs considèrent que l’opérateur Azure Stack Hub doit mettre à leur disposition les
services dont ils ont besoin. Vous devez donc déterminer les services qui seront proposés, puis
créer des plans, des offres et des quotas pour mettre ces services à leur disposition. Consultez
également Présentation des services proposés dans Azure Stack Hub : [Link]
com/azure-stack/operator/service-plan-offer-subscription-overview.

Vous devrez également ajouter des éléments à Azure Stack Hub Marketplace. Pour y parvenir,
le plus simple consiste à télécharger des éléments Marketplace sur Azure Stack hub à partir
d’Azure.

Remarque
Vous devez utiliser le portail utilisateur au lieu du portail administrateur pour tester la
disponibilité utilisateur de vos services, ainsi que les plans et les offres de ces services.
56 | Modernisation grâce au Cloud hybride et au multicloud

En plus de fournir des services, l'opérateur doit effectuer des tâches périodiques pour garantir le
bon fonctionnement d'Azure Stack Hub. Ces tâches sont les suivantes :
• La création de comptes utilisateur pour le déploiement Azure AD ([Link]
[Link]/azure-stack/operator/azure-stack-add-new-user-aad) ou le
déploiement AD FS ([Link]
add-users-adfs).
• Attribution de rôle RBAC (non réservé aux administrateurs) ([Link]
azure-stack/operator/azure-stack-manage-permissions).
• Surveillance de l'intégrité de l'infrastructure ([Link]
operator/azure-stack-monitor-health).
• Gestion du réseau ([Link]
viewing-public-ip-address-consumption) et des ressources de stockage ([Link]
[Link]/azure-stack/operator/azure-stack-manage-storage-accounts).
• Remplacement du matériel défectueux, par exemple un disque défaillant ([Link]
[Link]/azure-stack/operator/azure-stack-replace-disk).

Communication avec les utilisateurs

Vos utilisateurs devront savoir comment se connecter à l’environnement Azure Stack
Hub, comment s’abonner à des offres et comment utiliser les services Azure Stack Hub. La
documentation utilisateur d'Azure Stack Hub ([Link]
est une source d’informations utile.

Comprendre comment utiliser les services Azure Stack Hub

Avant que les utilisateurs ne puissent travailler avec des services et concevoir des applications
dans Azure Stack Hub, il devront satisfaire à certaines conditions préalables, notamment
en adoptant des versions spécifiques de PowerShell et des API. Des différences existent
également entre les fonctions d'un service Azure et le service Azure Stack Hub correspondant.
Les utilisateurs doivent donc se familiariser avec le contenu suivant :
• Principaux éléments à prendre en compte pour utiliser les services ou concevoir des
applications pour Azure Stack Hub : [Link]
azure-stack-considerations
• Points à prendre en compte pour les machines virtuelles dans Azure Stack Hub :
[Link]
• Différences et points à prendre en compte pour le stockage Azure Stack Hub :
[Link]

Les informations contenues dans ces trois articles décrivent les différences entre les services
proposés dans Azure et Azure Stack Hub. Il s’agit d’informations supplémentaires à la
documentation globale d'Azure pour un service Azure donné.
 Modernisation grâce au Cloud hybride et au multicloud | 57

Connexions des utilisateurs sur Azure Stack Hub

Dans le cas d'ASDK, les utilisateurs peuvent configurer une connexion de réseau privé virtuel
(VPN) pour se connecter à l’environnement ASDK s’ils n’utilisent pas de bureau à distance. Des
informations supplémentaires sont indiquées ici : [Link]
asdk/asdk-connect.

Les utilisateurs souhaiteront également savoir comment se connecter via le portail utilisateur
([Link] ou à l’aide de
PowerShell. L’URL du portail utilisateur varie selon le déploiement dans un environnement de
systèmes intégré. Veillez à communiquer l'adresse appropriée à vos utilisateurs.

Si le portail est publié sur Internet, les utilisateurs peuvent également utiliser des éléments tels
que Cloud Shell pour gérer et créer des ressources sur Azure Stack Hub. Sachez que le service
Cloud Shell lui-même n’est pas disponible sur Azure Stack Hub, il nécessite un environnement
connecté.

Avant d’utiliser les services via PowerShell, les utilisateurs peuvent avoir besoin d’enregistrer
des fournisseurs de ressources, comme le fournisseur de ressources de mise en réseau qui
gère des ressources telles que les équilibreurs de charge, les interfaces réseau et les réseaux
virtuels. Les utilisateurs doivent installer PowerShell ([Link]
operator/powershell-install-az-module), télécharger des modules supplémentaires (https://
[Link]/azure-stack/operator/azure-stack-powershell-download) et configurer
PowerShell (notamment l’inscription du fournisseur de ressources) : [Link]
com/azure-stack/user/azure-stack-powershell-configure-user.

Souscription à une offre

Les utilisateurs doivent également s’abonner à l'offre ([Link]
operator/azure-stack-subscribe-plan-provision-vm) créée par un opérateur avant de pouvoir
utiliser des services. Les offres sont des groupes d’un ou de plusieurs plans qui permettent
aux opérateurs d’Azure Stack Hub de contrôler des éléments tels que les offres d’essai et la
planification de la capacité, voire de déléguer la création d’abonnements Azure Stack Hub
à d’autres utilisateurs.

Obtenir de l’aide
Azure Stack Hub couvre de nombreux domaines. Avant de contacter le support Microsoft,
consultez cette page Web. Elle répertorie les questions et les problèmes courants en fournissant
des liens de dépannage : [Link]
servicing-policy.

En plus des problèmes décrits ci-dessus, voici quelques considérations supplémentaires

concernant le support.
58 | Modernisation grâce au Cloud hybride et au multicloud

Systèmes intégrés
Un système intégré bénéficie d’un processus coordonné de remontée et de résolution de
problèmes entre Microsoft et les fournisseurs de matériel du fabricant d’équipements d’origine
(OEM) de Microsoft.

Le support Microsoft peut vous aider si vous rencontrez un problème lié aux services Cloud.
Pour ouvrir une demande de support, sélectionnez l’icône aide et support (point d’interrogation)
dans le coin supérieur droit du portail administrateur. Sélectionnez ensuite Aide +assistance,
puis Nouvelle demande de support dans la section Support.

Votre fournisseur de matériel OEM est votre premier point de contact si vous rencontrez
un problème de déploiement, de correctif, de mise à jour, de matériel (y compris les unités
remplaçables sur le terrain) ou avec tout logiciel de marque matérielle, tel que les logiciels
exécutés sur l’hôte du cycle de vie du matériel.

Contactez le support Microsoft si vous rencontrez un autre problème.

Kit de développement Azure Stack

ASDK est un déploiement Azure Stack Hub sur un seul nœud que vous pouvez télécharger
et≈utiliser gratuitement. Tous les composants ASDK sont installés sur des machines virtuelles
exécutées sur un ordinateur à hôte unique qui doit disposer de ressources suffisantes. ASDK
est conçu pour fournir un environnement dans lequel vous pouvez évaluer Azure Stack Hub
et créer des applications modernes à l’aide d’API et d’outils compatibles avec Azure dans un
environnement hors production.
Étant donné qu'ASDK est un produit gratuit, aucun support formel n’est proposé. Vous pouvez
poser des questions relatives au support ASDK dans les forums de Microsoft régulièrement
consultés ([Link] Pour
accéder aux forums, sélectionnez l’icône aide et support (point d’interrogation) dans le coin
supérieur droit du portail administrateur, puis sélectionnez Aide + assistance et Forums MSDN
dans la section Support. Toutefois, aucune assistance officielle n'est proposée par le support
Microsoft car ASDK est un environnement d’évaluation.

Gestion des mises à jour Azure Stack Hub

Vous pouvez contribuer à la mise à jour d'Azure Stack Hub en appliquant des mises à jour
complètes et express, des correctifs et des mises à jour du pilote et du micrologiciel
auprès de l’OEM. Rappelez-vous toutefois que les packages de mise à jour Azure Stack
Hub sont conçus pour des systèmes intégrés et ne peuvent pas être appliqués à ASDK,
pour lequel un redéploiement doit être effectué. Consultez Redéployer ASDK à l’adresse
[Link]
 Modernisation grâce au Cloud hybride et au multicloud | 59

Types de package de mise à jour

Trois types de packages de mise à jour sont disponibles pour les systèmes intégrés :
• Mises à jour logicielles Azure Stack Hub : ces mises à jour sont téléchargées
directement à partir de Microsoft et peuvent inclure les mises à jour des fonctions Azure
Stack Hub, la sécurité Windows Server et les mises à jour non relatives à la sécurité.
Chaque package de mise à jour peut appartenir au type complet ou express :
• Les packages de mise à jour complet mettent à jour les systèmes d’exploitation
hôtes physiques dans l’unité d’échelle. Ils nécessitent une fenêtre de maintenance
plus importante.
• Les packages de mise à jour express sont limités et ne mettent pas à jour les
systèmes d’exploitation hôtes physiques sous-jacents.
• Correctifs Azure Stack Hub : ces mises à jour urgentes remédient à un problème
spécifique. Chaque correctif est publié avec un article de Base de connaissances
Microsoft correspondant qui décrit le problème, la cause et la résolution. Les correctifs
sont téléchargés et installés à l'image des packages de mise à jour complets pour Azure
Stack Hub. Pour en savoir plus sur ce sujet, cliquez ici : [Link]
azure-stack/operator/azure-stack-servicing-policy#hotfixes.
• Mises à jour fournies par le fournisseur de matériel : ces mises à jour sont gérées
par chaque fournisseur de matériel. Elles contiennent généralement des mises à jour
de pilotes et de micrologiciels, et chaque fournisseur les héberge sur son propre site.

À quel moment effectuer les mises à jour ?

Les mises à jour susmentionnées sont diffusées à des fréquences différentes :
• Mises à jour logicielles Azure Stack Hub : plusieurs packages de mises à jour logicielles
complets et express sont publiés chaque année par Microsoft.
• Correctifs Azure Stack Hub : ils revêtent un caractère urgent et peuvent être publiés
à tout moment. Lors d'une mise à niveau d’une version majeure à une autre, les correctifs
de la nouvelle version seront automatiquement installés s'ils sont présents.
• Mises à jour fournies par le fournisseur de matériel OEM : ces mises à jour sont
publiées par les fournisseurs de matériel OEM selon les besoins.

Vous devez conserver votre environnement Azure Stack Hub sur une version logicielle Azure
Stack Hub prise en charge pour continuer à bénéficier d'une prise en charge. Pour en savoir
plus et connaître la stratégie de maintenance Hub Azure Stack, consultez ce lien :
[Link]
60 | Modernisation grâce au Cloud hybride et au multicloud

Vérification des mises à jour disponibles

La notification des mises à jour dépend de divers facteurs, notamment votre connectivité
Internet et le type de mise à jour :
• Une alerte relative aux mises à jour logicielles et aux correctifs logiciels publiés par
Microsoft s'affichera dans le volet Mise à jour pour les instances Hub Azure Stack
qui sont connectées à Internet. Redémarrez la machine virtuelle du contrôleur de
gestion de l’infrastructure si ce volet ne s'affiche pas. Vous pouvez vous abonner au flux
RSS ([Link] pour recevoir
la notification de chaque version de correctif relatif aux instances qui ne sont pas
connectées.
• Les notifications concernant les mises à jour fournies par les fournisseurs de matériel
OEM dépendent de vos communications avec votre fabricant. Pour en savoir plus,
consultez la page des mises à jour OEM pour Azure Stack Hub : [Link]
com/azure-stack/operator/azure-stack-update-oem.

Mise à jour entre deux versions majeures

La mise à jour entre deux versions majeures doit être exécutée dans le bon ordre et étape
par étape. Une mise à jour de version majeure ne peut pas être ignorée. Pour en savoir
plus, consultez ce lien : [Link]
updates#how-to-know-an-update-is-available.

Correctifs des versions majeures

Plusieurs correctifs peuvent être associés à une version majeure. Ceux-ci sont cumulés avec
le dernier package de correctifs appliqué à cette version majeure, notamment tous ses correctifs
précédents. Pour en savoir plus, consultez [Link]
azure-stack-servicing-policy#hotfixes.

Le fournisseur de ressources de mise à jour

Azure Stack Hub gère l’application des mises à jour logicielles de Microsoft à l'aide d’un
fournisseur de ressources de mise à jour. Le fournisseur vérifie que les mises à jour ont été
appliquées à l’ensemble des applications Service Fabric et de leurs runtimes, sur tous les hôtes
physiques, ainsi que l'ensemble des machines virtuelles et des services qui leur sont associés.

Vous avez accès à une présentation de l’état global du processus de mise à jour dans Azure Stack
Hub, laquelle vous permet de consulter la progression des différents sous-systèmes.

Nous avons abordé les bases d’Azure Stack Hub. Passons ensuite à Azure Stack HCI, une solution
de cluster HCI.
 Modernisation grâce au Cloud hybride et au multicloud | 61

Présentation de la solution Azure Stack HCI

Azure Stack HCI est conçu pour héberger des charges de travail Linux et Windows virtualisées
sur du matériel partenaire validé. Conçu pour l’environnement hybride (sur site et dans le
Cloud), Azure Stack HCI associé aux services Azure Hybrid fournit des fonctionnalités telles
que la récupération d’urgence et des options de sauvegarde pour vos machines virtuelles, ainsi
que la surveillance basée dans le Cloud. Vous bénéficiez également d’un écran unique pour
tous vos déploiements et de la possibilité de gérer le cluster à l’aide d’outils tels que Windows
Admin Center, System Center et PowerShell. Vous bénéficiez également d'AKS sur Azure
Stack HCI. Il s’agit d’une implémentation locale de l’orchestrateur AKS, rendez-vous à l'adresse
[Link]

Le logiciel Azure Stack HCI est disponible en téléchargement ici : [Link]

com/products/azure-stack/hci/hci-download/. Cette solution sur site avec des connexions
Cloud hybrides intégrées est facturée dans le cadre de votre abonnement Azure en tant que
service Azure.

Cas d’utilisation d’Azure Stack HCI

Nous allons désormais nous intéresser aux cas d’utilisation d'Azure Stack HCI.

Consolidation et modernisation de datacenters

L’utilisation d’Azure Stack HCI pour actualiser d’anciens hôtes de virtualisation avec des
possibilités de consolidation présente plusieurs avantages potentiels. La solution peut améliorer
l’évolutivité et faciliter la gestion et la sécurité de votre environnement. Elle peut également
réduire l’empreinte et le coût total de possession en remplaçant le stockage SAN hérité. Des
outils et des interfaces unifiés, ainsi qu’un point de support unique, simplifient l’administration
et les opérations des systèmes.

Gestion de l’infrastructure hybride des succursales

La gestion de l’infrastructure hybride peut s'avérer délicate pour les entreprises dotées de
succursales. Lorsque plusieurs emplacements doivent fonctionner sans personnel informatique
dédié, il devient de plus en plus compliqué de synchroniser les services d’identité, d'effectuer les
sauvegardes de données et de déployer des applications. Dans ce cas, les entreprises mettent
souvent plusieurs semaines ou mois à déployer des mises à jour d’applications dans plusieurs
bureaux et infrastructures. Des solutions plus performantes doivent être utilisées pour garantir
un déploiement rapide et facile des changements d’application et d’identité dans les bureaux
distants, tout en assurant la surveillance centralisée des anomalies et des violations.
62 | Modernisation grâce au Cloud hybride et au multicloud

Prenons l’exemple d’une banque internationale comptant 300 bureaux dans le monde entier,
pour lesquels chaque mise à jour mondiale de tous les bureaux nécessite un an. Pour aggraver
le problème, les différents emplacements ne permettent pas de corriger systématiquement
les configurations et d’éviter les risques de sécurité potentiels, tels que les ports ouverts. Les
déploiements d’applications nouveaux et actualisés dans les succursales constituent également
un problème pour toute entreprise qui compte des centaines ou des milliers de sites. Cela
est particulièrement vrai lorsque les sites distants doivent exécuter des applications sur des
serveurs locaux pour des raisons de latence ou de connectivité Internet restreinte.

Pour vous aider à relever ces défis, Azure Stack HCI offre HCI basé sur des serveurs x86
standards avec un calcul, un stockage et une mise en réseau software-defined. À l’aide de
l’intégration Azure Arc intégrée au Windows Admin Center, vous pouvez facilement commencer
à utiliser le Cloud du portail Azure pour gérer votre HCI. C'est en réduisant ou en supprimant le
besoin de personnel informatique local que vous pourrez répondre aux demandes informatiques
en constante évolution des succursales, des magasins et des bureaux extérieurs, en déployant
des applications basées sur des conteneurs en tout lieu et des applications professionnelles
essentielles dans des machines virtuelles hautement disponibles. Azure Monitor vous permet
ensuite d’afficher l’intégrité du système dans ces différents domaines.

Succursales distantes
Azure Stack HCI constitue une solution économique pour moderniser les bureaux distants
et les succursales, notamment les magasins et les sites sur le terrain (des solutions de cluster
à deux serveurs sont actuellement disponibles pour moins de 20 000 USD par emplacement).
Grâce à la résilience imbriquée, les volumes peuvent rester en ligne et accessibles même en cas
de défaillances matérielles multiples et simultanées. La technologie de témoin Cloud permet
d’utiliser Azure comme un briseur de glace léger pour le quorum de cluster. Ainsi, les conditions
par grappes n’engendrent pas le coût d’un troisième hôte. Dans le portail Azure, vous bénéficiez
d’une vue centralisée des déploiements Azure Stack HCI distants.

Bureaux virtuels
Azure Stack HCI offre des performances similaires à une exécution locale pour vos postes
de travail virtuels sur site. Cette solution est idéale si vous souhaitez prendre en charge
la souveraineté des données pour vos utilisateurs, tout en garantissant une faible latence.
 Modernisation grâce au Cloud hybride et au multicloud | 63

Avantages de l’intégration Azure

Azure Stack HCI vous permet de tirer parti des ressources combinées dans le Cloud et sur site
via une infrastructure hybride, avec une surveillance, une sécurité et une sauvegarde Cloud
natives.

Tout d’abord, votre cluster Azure Stack HCI doit être enregistré dans Azure. Vous serez ensuite
en mesure d’utiliser le portail Azure pour :
• La surveillance : vous bénéficiez d'une vue d’ensemble de vos clusters Azure Stack HCI.
Ici, vous pouvez les regrouper par groupe de ressources et les étiqueter. Les nouvelles
fonctions à venir permettront également de créer et de gérer des machines virtuelles
à l'aide du portail.
• Facturation : utilisez votre abonnement Azure pour payer Azure Stack HCI (après
la préversion gratuite).
• Support : le support d’Azure Stack HCI est disponible via un plan de support Direct Azure
standard ou professionnel.

Ces services Azure hybrides supplémentaires sont également proposés à l’abonnement :

• Azure Site Recovery pour la récupération d’urgence en tant que service (DRaaS)
et la haute disponibilité.
• Azure Monitor, offrant une vue centralisée des événements sur vos applications, votre
infrastructure et votre réseau, y compris les analytiques avancées fondées sur l’IA.
• Cloud Witness, pour tirer parti d’Azure en tant que briseur de glace léger pour le quorum
de cluster.
• Azure Backup pour protéger les données en les stockant hors site, en garantissant
également une protection contre le ransomware.
• Azure Update Management pour évaluer et déployer les mises à jour pour les machines
virtuelles Windows hébergées sur Azure et sur site.
• Azure Network Adapter pour utiliser un VPN de point à site pour les connexions entre
vos machines virtuelles Azure et vos ressources locales.
• Azure File Sync pour la synchronisation de votre serveur de fichiers dans le Cloud.

Consultez également le document Connecter Windows Server aux services hybrides Azure :
[Link]
64 | Modernisation grâce au Cloud hybride et au multicloud

Conditions préalables pour adopter Azure Stack HCI

Voici les éléments dont vous aurez besoin pour commencer :
• Un cluster d’au moins deux serveurs sélectionnés dans le catalogue Azure Stack HCI
et votre partenaire matériel Microsoft élu.
• Un abonnement à Azure.
• Une connexion Internet pour les transmissions sortantes HTTPS tous les 30 jours ou plus
fréquemment pour chaque serveur du cluster.

Si vos clusters s’étendent sur plusieurs sites, vous aurez besoin d’au moins une connexion
de 1 Go entre les sites (mais de préférence une connexion RDMA de 25 Go), avec une latence
aller-retour moyenne de 5 ms si vous envisagez d’appliquer une réplication synchrone avec des
écritures exécutées simultanément sur les deux sites.

Si vous souhaitez utiliser le Réseau Software-defined (SDN), planifiez également la création

de machines virtuelles du contrôleur de réseau sur un disque dur virtuel (VHD) pour le
système d’exploitation Azure Stack HCI (pour en savoir plus, consultez la page Planification du
déploiement du contrôleur de réseau : [Link]
network-controller).

Voir aussi :
• Configuration système requise : [Link]
concepts/system-requirements
• Exigences AKS sur Azure Stack HCI (pour AKS sur Azure Stack HCI) : [Link]
[Link]/azure-stack/aks-hci/overview#what-you-need-to-get-started

Partenaires en matériel
En commandant des configurations Azure Stack HCI validées auprès de votre partenaire
Microsoft élu, vous pouvez démarrer sans délai de conception ou de déploiement inutile.
La mise en œuvre et le support sont également disponibles via les partenaires Microsoft à partir
d’un seul point de contact, grâce à des accords de support commun. Parmi les options proposées
figurent l’achat de nœuds validés ou un système intégré avec la pré-installation du système
d’exploitation Azure Stack HCI, ainsi que les extensions des mises à jour de partenaires du pilote
et du micrologiciel.
 Modernisation grâce au Cloud hybride et au multicloud | 65

Options de déploiement
• Systèmes intégrés : achetez des serveurs validés avec une pré-installation d’Azure Stack
HCI auprès d’un partenaire matériel.
• Nœuds validés : achetez des serveurs bare metal validés auprès d’un partenaire matériel,
puis inscrivez-vous au service Azure Stack HCI. Accédez au portail Azure, où vous
pouvez ensuite télécharger le système d’exploitation Azure Stack HCI.
• Matériel recyclé : recyclez votre matériel existant. Pour en savoir plus à ce sujet,
consultez le lien suivant : [Link]
cluster-same-hardware.

Cliquez ici [Link] pour en savoir plus sur

Azure Stack HCI.

Vous pouvez également consulter le catalogue Azure Stack HCI. Il décrit en détail plus de
100 solutions proposées par les partenaires Microsoft. Le catalogue en ligne est disponible ici :
[Link]

Partenaires logiciels
Les partenaires Microsoft développent des logiciels pour développer la plateforme Azure Stack
HCI sans nécessiter le remplacement des outils déjà utilisés par les administrateurs IT. Pour
consulter la liste des ISV en question et leurs applications, consultez ce lien : [Link]
[Link]/azure-stack/hci/concepts/utility-applications.

Gestion des licences, facturation et tarification

La facturation Azure Stack HCI utilise le nombre de cœurs de processeur physique pour calculer
les frais d’abonnement mensuels, au lieu de facturer une licence permanente. Les informations
sur le nombre de cœurs que vous utilisez sont téléchargées et évaluées automatiquement pour
la facturation lorsque vous vous connectez à Azure. Ainsi, et parce que les machines virtuelles
n'engendrent pas de coûts plus élevés, les environnements virtuels plus denses sont associés
à des tarifs plus attractifs.

Outils de gestion
Vous disposez de droits d'administration complets sur le cluster avec Azure Stack HCI. Vous
pouvez ainsi gérer directement :
• Le clustering de basculement : [Link]
clustering/failover-clustering-overview
• Hyper-V sur Windows Server : [Link]
virtualization/hyper-v/hyper-v-on-windows-server
66 | Modernisation grâce au Cloud hybride et au multicloud

• SDN : [Link]
• Storage Spaces Direct : [Link]
spaces/storage-spaces-direct-overview

Vous disposez également des outils de gestion suivants :

• PowerShell : [Link]
• Server Manager : [Link]
manager/server-manager
• System Center : [Link]
• Windows Admin Center : [Link]
windows-admin-center/overview
• D’autres outils non Microsoft tels que 5Nine Manager

Prise en main d'Azure Stack HCI et de Windows Admin Center

Ces sections concernent Azure Stack HCI, version 20H2. Elles supposent que vous avez déjà
configuré un cluster dans votre installation Azure Stack HCI et elles fournissent des instructions
relatives à la connexion au cluster, ainsi qu'à la surveillance des performances du cluster
et du stockage.

Installation de Windows Admin Center

Windows Admin Center est une application déployée localement et basée sur un navigateur
qui permet de gérer Azure Stack HCI. Même si Windows Admin Center peut être installé sur
un serveur en mode Service, il est plus simple de l’installer sur un PC de gestion local en mode
Bureau. En mode Service, les tâches qui nécessitent CredSSP, telles que la création de cluster
et l’installation des mises à jour et des extensions, impliquent l’utilisation d’un compte membre
du groupe Gateway Administrators sur le serveur Windows Admin Center. Pour en savoir plus,
consultez : [Link]
configure/user-access-control#gateway-access-role-definitions.

Ajout et connexion à un cluster Azure Stack HCI

Après avoir installé Windows Admin Center, vous pouvez ajouter un cluster et le gérer à partir
de la page de présentation principale du tableau de bord de Windows Admin Center. Le tableau
de bord affiche également des informations sur l’utilisation de l’UC, de la mémoire et du
stockage, ainsi que des alertes et des informations sur l'intégrité des serveurs, les lecteurs et les
volumes. Les informations sur les performances des clusters, telles que les opérations d’entrée/
sortie par seconde (IOPS) et la latence à l’heure, au jour, à la semaine, au mois ou à l’année, sont
affichées au bas des écrans du tableau de bord.
 Modernisation grâce au Cloud hybride et au multicloud | 67

Surveillance des composants individuels

Le menu Outils situé à gauche du tableau de bord vous permet de consulter chaque composant
du cluster en détail pour afficher les résumés et les inventaires de machines virtuelles,
de serveurs, de volumes, de lecteurs et de commutateurs virtuels. L'outil Surveillance des
performances disponible dans le tableau de bord vous permet d’afficher, de comparer et
d’ajouter des compteurs de performance pour Windows, des applications ou des appareils
en temps réel.

Affichage du tableau de bord du cluster

Pour afficher les informations relatives à l'intégrité et aux performances dans le tableau de bord
du cluster, sélectionnez le nom du cluster dans Toutes les connexions. Sélectionnez ensuite
Tableau de bord dans Outils à gauche de l'écran. Vous accéderez alors aux éléments suivants :
• Latence moyenne du cluster en millisecondes
• Alertes d’événements du cluster
• La liste des éléments suivants :
• Lecteurs de disque disponibles sur le cluster
• Serveurs associés au cluster
• Machines virtuelles exécutées sur le cluster
• Volumes disponibles sur le cluster
• Cluster total :
• Utilisation de l'UC pour le cluster
• IOPS
• Utilisation de la mémoire pour le cluster
• Utilisation du stockage pour le cluster

Pour en savoir plus, consultez ce lien : [Link]

cluster.

Utilisation d’Azure Monitor pour la surveillance et les alertes

Vous pouvez également utiliser Azure Monitor pour collecter des événements et des compteurs
de performance pour effectuer des analyses et créer des rapports, réagir à des conditions
spécifiques et recevoir des notifications par e-mail. En cliquant sur Azure Monitor dans le menu
Outils, vous établirez une connexion directe entre Windows Admin Center et Azure.
68 | Modernisation grâce au Cloud hybride et au multicloud

Collecte des informations de diagnostic

L'onglet Diagnostics du menu Outils vous permet de collecter des informations de dépannage
pour votre cluster. Ces informations peuvent également être demandées par le support
Microsoft si vous demandez de l’aide.

Gestion de machines virtuelles avec Windows Admin Center

Vous pouvez utiliser Windows Admin Center pour créer et gérer vos machines virtuelles
sur Azure Stack HCI (Azure Stack HCI, version 20H2 et Windows Server 2019). Voici les
fonctionnalités disponibles :
• Création d'une machine virtuelle.
• Liste des machines virtuelles sur un serveur ou un cluster.
• Affichage des détails de la machine virtuelle, notamment des informations détaillées
et des graphiques de performances sur la page dédiée à une machine virtuelle donnée.
• Affichage des caractéristiques des machines virtuelles agrégées pour connaître
l’utilisation globale des ressources et les performances de toutes les machines virtuelles
d’un cluster.
• Modification des paramètres de machine virtuelle, notamment la mémoire, les
processeurs, la taille du disque, etc. (sachez que la modification de certains paramètres
requiert l'arrêt des machines virtuelles).

Voici les fonctionnalités supplémentaires proposées :

• Déplacement d’une machine virtuelle vers un autre serveur ou cluster
• Association d'une machine virtuelle à un domaine
• Clonage d'une machine virtuelle
• Importation et exportation d’une machine virtuelle
• Affichage des journaux d’exportation de machine virtuelle
• Protection des machines virtuelles avec Azure Site Recovery (un service optionnel
à valeur ajoutée)

Sachez que Windows Admin Center n'est pas le seul moyen de vous connecter à une machine
virtuelle :
• Via un hôte Hyper-V à l’aide d’une connexion Remote Desktop Protocol (RDP)
• À l'aide de Windows PowerShell
 Modernisation grâce au Cloud hybride et au multicloud | 69

Vous pouvez également apporter des modifications Storage Spaces Direct pour votre cluster
et changer les paramètres généraux du cluster. Voici les paramètres que vous pouvez modifier :
• Témoins de cluster
• Comportement d’arrêt des nœuds
• Configuration et gestion des points d’accès
• Chiffrement du trafic
• Équilibrage de charge de la machine virtuelle

Vous pouvez également surveiller votre cluster Azure HCI via Azure Monitor.

Comparaison entre Azure Stack Hub et Azure Stack HCI

Azure Stack HCI et Azure Stack Hub peuvent tous deux jouer un rôle essentiel dans votre
stratégie hybride et multicloud. Voici un résumé rapide de leurs différences :
• Azure Stack Hub : cette solution vous permet d’exécuter des applications Cloud sur site,
lorsque vous êtes déconnecté ou pour satisfaire à des exigences réglementaires, en tirant
parti de services Azure cohérents.
• Azure Stack HCI : cette solution vous permet d’exécuter des applications virtualisées
sur site, de renforcer et de remplacer l’infrastructure de serveur vieillissante et de vous
connecter à Azure pour bénéficier des services Cloud.

Azure Stack Hub propose des processus innovants, lesquels nécessitent néanmoins de nouvelles
compétences. Cette solution intègre les services Azure dans votre datacenter. La solution Azure
Stack HCI vous permet quant à elle d'utiliser des compétences existantes et des processus
familiers, tout en vous connectant votre datacenter aux services Azure. Il peut également être
utile de comparer les limites d'Azure Stack Hub et d'Azure Stack HCI.

Limites d’Azure Stack Hub :

• Azure Stack hub nécessite au moins 4 nœuds, ainsi que ses propres commutateurs
réseau.
• Azure Stack Hub limite la configurabilité et le jeu de fonctionnalités d’Hyper-V afin
de rester cohérent avec Azure.
• Azure Stack Hub ne vous donne pas accès aux technologies d’infrastructure
sous-jacentes.
70 | Modernisation grâce au Cloud hybride et au multicloud

Limites d’Azure Stack HCI :

• Azure Stack HCI n’offre pas nativement ou n’applique pas la mutualisation.
• Azure Stack HCI n’offre pas de fonctions PaaS sur site.
• Azure Stack HCI ne propose pas d'ensembles d’outils DevOps natifs.
• Azure Stack HCI n'est compatible qu'avec des charges de travail virtualisées : aucune
application ne peut être déployée « à nu ».

Pour obtenir des ressources supplémentaire, consultez [Link]

stack/operator/compare-azure-azure-stack?view=azs-2008.

Résumé
À mesure que les environnements commerciaux évoluent, les applications logicielles s'exécutent
sur différents systèmes sur site, hors site, dans plusieurs Clouds et à la périphérie des réseaux.
Les solutions hybrides et multicloud vous permettent de déployer et de gérer vos applications
si vous créez également un environnement unique et cohérent sur tous les sites de votre
organisation. Ce faisant, vous offrez à vos développeurs un ensemble d’outils unifiés dédiés
à la création d’applications. Vous pouvez facilement déplacer des applications et des données
entre les sites pour garantir l’efficacité et la conformité, tout en offrant à vos utilisateurs une
expérience optimale.

Azure Arc et le portefeuille Azure Stack sont deux composants majeurs de solutions et de
produits hybrides et multicloud d'Azure. Azure Arc offre une gestion unifiée pour déployer des
services Azure et étendre la gestion Azure en tout lieu. Les serveurs compatibles avec Azure Arc
vous permettent d'appliquer la gestion de machine virtuelle Azure native aux machines Windows
et Linux en dehors d’Azure. Grâce à Azure Arc et Kubernetes, vous pouvez exécuter des services
de données Azure spécifiés sur l’infrastructure de votre choix.
En comparaison, Azure Stack intègre les services Azure aux emplacements Cloud et non Cloud,
en vous permettant de créer et d’exécuter des applications hybrides pour diverses charges de
travail de manière cohérente à travers les sites et les environnements. Azure Stack Hub est un
système Cloud natif intégré qui vous permet d’utiliser les services Cloud Azure sur site, tandis
qu’Azure Stack HCI offre HCI qui modernise les datacenters et les hôtes de virtualisation.

Individuellement, ensemble ou en combinaison avec d’autres solutions Microsoft et Azure,

Azure Arc et Azure Stack vous permettent de parer aux difficultés et de tirer le meilleur parti
des opportunités dans différents secteurs, que ce soit la finance, l’administration, la production
industrielle, la distribution, l’énergie, la santé, etc.
 Modernisation grâce au Cloud hybride et au multicloud | 71

Vous pouvez tester des fonctionnalités comme Azure Arc immédiatement, à l’aide du Guide
de démarrage rapide d'Azure Arc sur AKS, AWS Elastic Kubernetes Service, GKE ou dans une
machine virtuelle Azure. Voici quelques exemples des principales étapes à suivre :
1. Installer les outils clients.

2. Créer le contrôleur de données Azure Arc.

3. Créer une instance gérée sur Azure Arc.

4. Créer une base de données Azure pour le groupe de serveurs PostgreSQL Hyperscale sur
Azure Arc.

Pour en savoir plus sur les solutions et produits hybrides et multicloud Azure, ainsi que sur leur
utilisation au sein de votre entreprise ou organisation, consultez ces pages Web Microsoft :
• Solutions hybrides et multicloud Azure : [Link]
cloud-app/
• Architecture hybride et multicloud Azure : [Link]
architecture/browse/?azure_categories=hybrid
• Modèles hybrides et multicloud Azure et documentation des solutions : [Link]
[Link]/hybrid/app-solutions/?view=azs-1910

Nous espérons que ce chapitre vous aura permis d'avancer dans votre parcours hybride et
multicloud Azure. Passons désormais à la planification et à la mise en œuvre de la migration vers
Azure.
 Migration vers le
4
Cloud : planification,
mise en œuvre et
bonnes pratiques
Les clients accélèrent leur parcours vers le Cloud pour optimiser les coûts, améliorer la sécurité
et la résilience, et évoluer en fonction de la demande. L’une des principales raisons pour
lesquelles les organisations migrent vers Azure est la réduction du coût total de possession
(TCO) de leur infrastructure IT. En migrant vers Azure, les entreprises peuvent passer d’un
modèle de dépenses en capital (CapEx) impliquant des engagements fixés à l’avance à un modèle
de dépenses opérationnelles (OpEx) plus flexible et évolutif. En adoptant le modèle OpEx,
les entreprises réduisent les dépenses en ne payant que les ressources et les services qu’elles
consomment.
 Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques | 73

Comme nous le verrons dans ce chapitre, ce n’est que l’un des nombreux avantages que
vous obtiendrez en migrant vers Azure. Tout d’abord, Microsoft fournit un cadre qui guidera
vos conceptions afin de garantir fiabilité, sécurité et haute disponibilité. Nous étudierons
ensuite l’infrastructure sous-jacente d’Azure qui vous permettra de prendre les décisions les
plus judicieuses pour atteindre vos objectifs de migration. Une fois que nous aurons acquis
des connaissances fondamentales sur l’infrastructure Azure, nous discuterons de certains
des scénarios courants de migration des charges de travail et de la façon dont vous pourrez
bénéficier de l’évolutivité du Cloud, tout en optimisant les performances.

Dans ce chapitre, nous allons aborder les thèmes suivants :

• Well-Architected Framework de Microsoft
• Choisir votre infrastructure sous-jacente
• Scénarios de migration de charges de travail
• Bénéficier de l'évolutivité du Cloud et optimiser les performances
• Sauvegarde et récupération d'urgence de qualité professionnelle
• Bonne pratiques et support concernant la migration Azure

Commençons par discuter des bonnes pratiques architecturales en matière de planification,

conception et mise en œuvre de systèmes fiables dans Azure à l’aide de Microsoft Well-
Architected Framework.

Microsoft Azure Well-Architected Framework

Les infrastructures et les applications critiques sont affectées par l'adoption du télétravail.
Alors que certaines organisations ont pu migrer leurs applications vers le Cloud, d’autres ont dû
remanier leur environnement dans le Cloud. Il peut néanmoins être difficile de concevoir et de
déployer une charge de travail dans le Cloud, en particulier si l'organisation dispose de peu de
temps pour garantir la prise en charge de ses clients dans le monde entier.

Une exécution dans le Cloud implique des principes et des considérations de conception
différents de ceux d'une exploitation sur site, notamment la gestion des charges de travail, les
coûts d’infrastructure, la surveillance, la sécurité et les performances. La plupart des tâches de
gestion jusque-là utilisées pour les applications locales ne s’appliquent pas au Cloud.

Si ces considérations relatives aux charges de travail exécutées dans le Cloud ne sont pas
déployées correctement, elles affecteront le coût des services dans Azure et les performances
de l’application.
74 | Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques

Pour vous aider, vous et votre entreprise, à répondre à la complexité de la planification, de

la conception et de la mise en œuvre de systèmes fiables dans Azure, Microsoft a créé Azure
Well-Architected Framework. Cette solution fournit les bonnes pratiques relatives à la création
de solutions dans le Cloud Azure. Ce cadre est conçu pour vous aider à améliorer la qualité des
solutions exécutées dans Azure. Il comporte cinq piliers principaux :
• Optimisation des coûts afin que vous puissiez créer des solutions rentables.
• Excellence opérationnelle pour garantir la continuité des opérations en préservant le
bon fonctionnement de vos systèmes en production avec un temps d’arrêt minimal.
• Efficacité des performances pour pouvoir évoluer à la demande et répondre aux besoins
de l’entreprise lors des pics d’utilisation.
• Fiabilité pour pouvoir se remettre rapidement des pannes potentielles susceptibles
d’affecter la disponibilité de l’application.
• Sécurité pour protéger vos applications et vos données, et répondre rapidement aux
menaces et vulnérabilités potentielles.

Microsoft aide les clients à améliorer la qualité de leurs charges de travail en se basant sur les
normes du secteur. L’infrastructure est au cœur de l’initiative Microsoft Azure Well-Architected.
Elle comprend de la documentation, des architectures de référence et des principes de
conception afin de vous aider à comprendre et à déterminer comment améliorer la conception,
la mise en œuvre et le déploiement de ces charges de travail dans le Cloud.

Microsoft propose également Azure Well-Architected Review, qui est une application Web
répertoriant des questions et des réponses pour vous permettre de mieux comprendre la
conception des charges de travail et d’évaluer les points à améliorer.

Azure Advisor repose également sur les cinq mêmes piliers d'Azure Well-Architected
Framework. Cette solution fournit des recommandations en temps réel concernant toutes les
ressources que vous utilisez dans le Cloud et permet d'améliorer leurs performances.

Nous recommandons le parcours d’apprentissage Microsoft suivant pour la solution Well-

Architected Framework : [Link]
framework/

De nombreuses organisations entament leur migration vers le Cloud sur Azure avec le modèle
d'infrastructure en tant que service (IaaS). La section suivante porte sur les connaissances
fondamentales d'Azure IaaS et décrit les trois principaux services d’Azure. Plus loin dans ce
chapitre, nous examinerons d’autres scénarios courants de migration des charges de travail.
 Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques | 75

Choisir votre infrastructure sous-jacente

Cette section concerne l’infrastructure sous-jacente d’Azure. Un environnement IaaS typique
dans Azure se compose des trois services suivants :
• Calcul
• Mise en réseau
• Stockage

Ces trois services constituent les principaux composants architecturaux d'un environnement
IaaS. Nous allons découvrir chacun de ces principaux services en détail, en commençant par
Azure Compute.

Calcul
Que vous déployiez de nouvelles charges de travail ou migriez des charges de travail existantes
vers le Cloud, Azure Compute vous offre l’infrastructure nécessaire pour exécuter votre charge
de travail.

Voici quelques-unes des principales fonctionnalités d'Azure Compute :

• Azure propose plus de 700 tailles de machines virtuelles (VM), adaptées à presque
tous les types de charges de travail. Il peut notamment s'agir de charges de travail de
développement/test, de charges de travail de production stratégiques ou de scénarios
informatiques d'applications orientées client de haute performance.
• Vous pouvez exécuter vos applications sur Windows Server et sur plusieurs distributions
Linux telles que Red Hat, SUSE, Ubuntu, CentOS, Debian, Oracle Linux et Coreos. En
outre, Microsoft fournit un support co-localisé 24 h/24 et 7 j/7 avec Red Hat et SUSE.
• Azure fournit une infrastructure bare metal spécialement conçue pour exécuter un
nombre croissant de solutions telles que SAP HANA, NetApp ou Cray dans Azure.
• Azure offre une base durable avec des UC et des GPU d’Intel®, AMD et NVIDIA, afin que
vous puissiez obtenir le meilleur rapport prix/performances.
• Vous pouvez exécuter vos applications dans n’importe quelle région Azure disponible.
Vous pouvez également tirer parti de plusieurs régions pour augmenter la résilience
de vos applications à grande échelle.
• Azure propose un large éventail de modèles de tarification, du paiement basé sur votre
consommation aux réservations, comprenant des remises sur 1 ou 3 ans. Cela s’ajoute aux
outils d’optimisation qui proposent des recommandations de redimensionnement et des
conseils afin que vous puissiez tirer le meilleur parti de votre environnement Azure.
76 | Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques

• Si vous avez souscrit des abonnements Windows Server, des licences SQL Server ou des
licences Windows Server avec Software Assurance et Azure Hybrid Benefit, vous pouvez
les réutiliser pour réaliser des économies considérables lorsque vous migrez vos charges
de travail vers Azure. Azure Hybrid Benefit pour Linux vous permet également d'utiliser
vos abonnements logiciels Red Hat et SUSE sur site existants sur Azure.

L’un des scénarios de migration les plus courants pour les clients Azure est peut-être
la migration d’un environnement local existant vers le Cloud impliquant peu ou pas de
changement. Cette approche est souvent désignée sous le terme de réplication (« Lift and
shift ») ou de réhébergement. Nous pouvons tirer parti des technologies de virtualisation pour
faciliter la migration des charges de travail locales existantes vers Azure. Sans aucun doute, la
virtualisation a rationalisé de manière positive le déploiement et la gestion des infrastructures IT
des organisations sur Azure, en partie grâce à des solutions telles que Microsoft Hyper-V
et VMware vSphere. En outre, les administrateurs qui connaissent les caractéristiques et
les comportements des machines virtuelles exécutées sur site peuvent adapter les mêmes
compétences sur Azure.

Le tableau suivant répertorie quelques cas d’utilisation courants et les services Azure Compute
recommandés pour chacun d’entre eux. Vous pouvez utiliser ce tableau pour planifier votre
prochaine stratégie de migration vers le Cloud. Nous avons également inclus des liens vers
chaque service Azure Compute afin que vous puissiez en savoir plus sur eux.

Services de calcul Cas d’utilisation courants

Azure App Service : Pour développer des applications Cloud natives
[Link] Web et mobiles avec une plateforme entièrement
service/ gérée.

Azure Dedicated Host : Déploiement de machines virtuelles Azure sur un

[Link] serveur physique dédié pour isoler les charges de
machines/dedicated-host/ travail afin que celles-ci soient réservées à votre
organisation.

Azure Functions : Vous pouvez accélérer le développement

[Link] d’applications à l’aide d’une architecture pilotée
par les événements et sans serveur sans aucune
configuration supplémentaire.

Azure Container Instances (ACI) : Pour vous aider à exécuter facilement des
[Link] conteneurs dans Azure avec une seule commande.
instances/

Azure Kubernetes Service (AKS) : Pour simplifier le déploiement, la gestion et les

[Link] opérations Kubernetes.
kubernetes-service/
 Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques | 77

Services de calcul Cas d’utilisation courants

Azure Service Fabric : Pour développer des microservices et orchestrer
[Link] les conteneurs à la fois sur Windows et Linux.
fabric/

Azure Batch : Pour accéder à la planification des tâches dans

[Link] le Cloud et à la gestion informatique sur des
machines virtuelles 10x, 100x et 1000x.

Azure Cloud Services : Si vous préférez utiliser une technologie PaaS

[Link] pour déployer des applications Web et Cloud
services/ évolutives, fiables et peu coûteuses.

Machines virtuelles : Si vous avez besoin de configurer rapidement

[Link] des machines virtuelles Linux et Windows et
machines/ de conserver un contrôle complet sur votre
environnement Cloud.

Virtual Machine Scale Sets : Pour mettre à l’échelle automatiquement un grand

[Link] nombre de machines virtuelles à charge équilibrée
machine-scale-sets/ en quelques minutes, en vue de bénéficier d'une
haute disponibilité et des performances basées sur
la demande.

Solution Azure VMware : Si vous souhaitez exécuter vos charges de travail

[Link] VMware en mode natif sur Azure.
vmware/

Tableau 4.1 : services Azure recommandés pour les cas d’utilisation courants

Maintenant que nous avons vu les fonctionnalités d’Azure Compute, examinons la mise en réseau
Azure.

Mise en réseau
La mise en réseau Azure connecte et gère vos charges de travail hybrides et natives du Cloud
en toute sécurité avec des services de mise en réseau à faible latence et Zero Trust. Le concept
de sécurité Zero Trust favorise l’idée que les organisations ne doivent pas automatiquement
accorder leur confiance, que ce soit à l’intérieur ou à l’extérieur de leur périmètre. Elles doivent
plutôt vérifier chaque tentative de connexion à ses systèmes avant d'accorder l'accès.

Le tableau suivant répertorie quelques cas d’utilisation courants et les services de mise en
réseau Azure recommandés. Vous pouvez utiliser ce tableau pour planifier votre prochaine
stratégie de migration vers le Cloud. Nous avons également inclus des liens vers chaque service
de mise en réseau Azure afin que vous puissiez en savoir plus sur eux :
78 | Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques

Services de mise en réseau Cas d’utilisation courants

Azure Bastion : Pour accéder à vos machines virtuelles via des
[Link] protocoles RDP et SSH privés et entièrement
bastion/ gérés.

Réseau virtuel Azure : Pour connecter tout type d'éléments, des

[Link] machines virtuelles aux connexions VPN
network/ entrantes.

Azure ExpressRoute : Si vous devez ajouter une connectivité de réseau

[Link] privé à partir de votre réseau local vers Azure.
expressroute/

Azure VPN Gateway : Pour utiliser Internet afin d'accéder aux réseaux
[Link] virtuels Azure en toute sécurité.
gateway/

Azure Virtual WAN : Pour connecter en toute sécurité les bureaux, les
[Link] points de vente et les sites avec un portail unifié.
wan/

Protection Azure DDoS : Pour protéger vos applications contre les attaques
[Link] DDoS.
protection/

Pare-feu Azure : Vous souhaitez ajouter des fonctionnalités de

[Link] pare-feu natives sans maintenance, tout en
firewall/ profitant d'une haute disponibilité intégrée.

Gestionnaire de pare-feu Azure : Vous recherchez un moyen de gérer la stratégie

[Link] de sécurité réseau et le routage de manière
manager/ centralisée.

Équilibreur de charge Azure : Les connexions entrantes et sortantes, ainsi que

[Link] les demandes transmises aux applications doivent
balancer/ être équilibrées.

Traffic Manager : Vous souhaitez acheminer le trafic entrant pour

[Link] améliorer les performances et la disponibilité.
manager/

Network Watcher : Vous souhaitez surveiller et diagnostiquer les

[Link] problèmes de réseau.
watcher/
 Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques | 79

Services de mise en réseau Cas d’utilisation courants

Pare-feu d’applications Web Azure : Vous souhaitez utiliser un service de pare-feu
[Link] dédié aux applications Web pour améliorer la
application-firewall/ sécurité des applications Web.

Azure Application Gateway : Vous souhaitez utiliser un équilibreur de charge

[Link] de trafic Web pour gérer le trafic vers vos
application-gateway/ applications Web.

Azure DNS : Vous souhaitez garantir des réponses DNS ultra-

[Link] rapides et une disponibilité pour répondre à vos
besoins en matière de domaine.

Azure Private Link : Vous souhaitez fournir un accès privé aux services
[Link] hébergés sur la plateforme Azure.
link/

Azure Front Door : Vous souhaitez fournir un point de livraison

[Link] évolutif et sécurisé pour les applications Web
mondiales et celles qui sont basées sur les
microservices.

Azure CDN : Vous souhaitez accélérer la livraison du contenu

[Link] en bande large aux clients internationaux.

Azure Internet Analyzer (version préliminaire) : Vous souhaitez tester la façon dont les
[Link] performances seront affectées par les
analyzer/ modifications de l’infrastructure de réseau.

Tableau 4.2 : services Azure recommandés pour les cas d’utilisation courants

Le stockage est un autre élément clé de l’infrastructure Azure et sera abordé dans la section
suivante.

Stockage
De nos jours, les données générées par les entreprises augmentent rapidement. Les
organisations recherchent les meilleures solutions de stockage disponibles. Azure offre
une myriade de services de stockage aux entreprises afin qu'elles puissent répondre à leurs
exigences de coût et de performances :
• Azure Disk Storage
• Azure Files
• Azure Blob Storage
• Azure Data Lake Storage
• Fichiers NetApp Azure
80 | Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques

Étudions de plus près chacune des offres de stockage proposées par Azure.

Azure Disk Storage

Azure Disk Storage est conçu pour être utilisé avec les machines virtuelles Azure. Cette solution
offre des performances élevées, ainsi qu’un stockage de blocs hautement durable pour vos
applications stratégiques et professionnelles.

Voici quelques-uns des principaux avantages et des principales fonctions d'Azure Disk Storage :
• Stockage économique :
• Optimise les coûts et garantit le stockage précis dont vous avez besoin pour vos
charges de travail, tout en proposant une gamme d’options de disque à divers
niveaux de prix et de caractéristiques de performances.
• Migrez les applications Windows et Linux en cluster ou à haute disponibilité
de manière rentable vers le Cloud avec des disques partagés.
• Résilience inégalée :
• Azure offre une garantie de disponibilité pour toutes les machines virtuelles
à instance unique utilisant Azure Disk Storage.
• Azure Disk Storage offre une durabilité de qualité professionnelle avec un taux
d’échec annualisé de 0 %.
• Évolutivité et hautes performances :
• Adaptez dynamiquement les performances avec Azure Ultra Disk Storage et
bénéficiez d'IOPS et d'un débit élevés avec une latence inférieure à la milliseconde.
• Adaptez les performances à la demande avec des niveaux de performance et
des fonctionnalités d’agrandissement intégrées pour répondre aux exigences
de l’entreprise.
• Sécurité intégrée :
• Protégez vos données à l'aide du chiffrement automatique et des clés gérées par
Microsoft ou vos propres clés personnalisées.
• Limitez l’exportation et l’importation de disques de manière à restreindre ces
opérations à l'intérieur de votre réseau virtuel privé grâce à la prise en charge
d'Azure Private Link.

Quatre types d’options de stockage de disque sont disponibles et parfaitement adaptées à vos
besoins en termes de coûts et de performances :
• Ultra Disk Storage
• Premium SSD
• SSD standard
• HDD standard
 Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques | 81

Les charges de travail gourmandes en données et impliquant de nombreuses transactions

peuvent tirer parti des performances élevées et de la faible latence d'Azure ultra Disk Storage.
Voici quelques exemples de ces types de charges de travail : SAP HANA, les bases de données
de haut niveau telles que SQL Server et Oracle, ainsi que les bases de données NoSQL comme
MongoDB et Cassandra.

Pour en savoir plus sur chacune de ces options de stockage de disque, consultez [Link]
[Link]/azure/virtual-machines/disks-types.

Azure Files
Azure Files est un service de partage de fichiers Cloud entièrement géré, sans serveur et
sécurisé. Vous pouvez accéder à des fichiers partagés sur Azure Files à l’aide de protocoles NFS
et SMB standard. Cette solution peut également servir de stockage partagé persistant dédié aux
conteneurs, tout en offrant une intégration étroite avec AKS. Si vous recherchez une expérience
hybride multiplateforme, sachez que les partages de fichiers Azure peuvent être montés
simultanément par Azure ou sur site, que vous soyez sous Windows, Linux ou macOS via Azure
File Sync.

Pour en savoir plus sur Azure Files, consultez [Link]

storage-files-introduction.

Azure Blob Storage

Azure Blob Storage offre un stockage hautement évolutif, disponible et sécurisé. La sécurité
des données est assurée à l’aide du chiffrement au repos et de la protection avancée contre les
menaces. L'accès aux données est quant à lui protégé par Azure Active Directory (Azure AD),
le contrôle d’accès en fonction du rôle (RBAC) et le contrôle de niveau réseau.

Cette solution est idéale pour les types de charges de travail suivants :
• Applications Cloud natives et mobiles
• Calcul haute performance
• Charges de travail de Machine Learning
• Archives de stockage
82 | Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques

Voici quelques-uns des principaux avantages et des principales fonctions d'Azure Blob Storage :
• Prise en charge complète du développement d’applications Cloud natives :
• Offre l'évolutivité et la sécurité requises par les applications Cloud natives.
• Prend en charge Azure Functions et de nombreuses infrastructures de
développement populaires, comme .NET, Python, Java et [Link].
• Stockage de pétaoctets de données :
• Archivez les données rarement consultées de la manière la plus rentable.
• Remplacez les anciennes bandes magnétiques par Azure Blob Storage et atténuez
le besoin de migrer sur plusieurs générations de matériel.
• Mise à l'échelle pour profiter du calcul haute performance (HPC) :
• Capable de répondre aux exigences de haut débit des applications HPC.
• Mise à l’échelle de milliards d’appareils IoT :
• Fournit le stockage pour collecter des points de données issus de milliards
d’appareils IoT.
Pour en savoir plus sur Azure Blob Storage, consultez [Link]
storage/blobs/storage-blobs-overview.

Azure Data Lake Storage

Azure Data Lake Storage offre une solution de data lake hautement évolutive et rentable
pour l’analyse du Big Data. La solution est optimisée pour les charges de travail analytiques.
Compatible avec Azure Synapse Analytics et Power BI, elle fournit une plateforme de stockage
unique dédiée à l’ingestion, au traitement et à la visualisation.

Elle est rentable car elle permet d’effectuer la mise à l’échelle du stockage et du calcul de
manière indépendante (un avantage qui n'est pas proposé avec les data lakes sur site). Azure
Data Lake Storage Gen2 vous permet également d’optimiser les coûts à l’aide de stratégies de
gestion du cycle de vie automatisées, tout en proposant un redimensionnant automatique en
fonction de l’utilisation.

La solution offre le niveau de sécurité offert par Azure Blob Storage, y compris le chiffrement
au repos et la protection avancée contre les menaces. Comme Azure Blob Storage, l’accès aux
données peut être protégé à l’aide d'Azure AD, de RBAC et du contrôle de niveau réseau.

Pour en savoir plus sur Azure Data Lake Storage, consultez [Link]
storage/blobs/data-lake-storage-introduction.
 Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques | 83

Fichiers NetApp Azure

Il peut être difficile d’exécuter des charges de travail comportant des fichiers à hautes
performances et sensibles à la latence dans le Cloud. Les Fichiers NetApp Azure facilitent la
migration et l'exécution d'applications complexes basées sur des fichiers sans modification de
code pour l'équipe métier (LOB) et les professionnels du stockage. Les Fichiers NetApp Azure
sont un service Azure entièrement géré alimenté par la technologie de stockage de pointe
proposée par NetApp. Cette solution est largement utilisée comme service de stockage de
fichiers partagé sous-jacent dans divers scénarios, notamment :
• Migration (réplication) des applications Linux et Windows conforme aux spécifications
POSIX
• SAP HANA
• Bases de données
• Infrastructure et applications HPC
• Applications Web d’entreprise

Pour en savoir plus sur les Fichiers NetApp Azure, consultez [Link]
azure-netapp-files/.

C'est ainsi que s'achève notre présentation rapide de l'infrastructure Azure et de ses principaux
services, à savoir le calcul, la mise en réseau et le stockage. La section suivante porte sur
certains scénarios courants de migration des charges de travail.

Scénarios de migration de charges de travail

La section précédente nous a permis de comprendre l’infrastructure sous-jacente d’Azure de
manière générale. Nous allons continuer en nous servant de ces connaissances pour discuter
des scénarios courants de migration des charges de travail :
• Charges de travail Windows Server et Linux
• SQL Server
• Conteneurs
• Charges de travail VMware
• Charges de travail SAP
• HPC

Commençons par nous intéresser aux charges de travail Windows Server et Linux.
84 | Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques

Charges de travail Windows Server et Linux

Microsoft recommande d'utiliser le hub d’outils et de services Azure Migrate pour migrer des
machines virtuelles Windows Server et Linux sur site vers Azure. Azure Migrate fournit un hub
central dédié à la découverte, à l’évaluation et à la migration vers Azure. L'outil Server Migration
disponible dans Azure Migrate est spécifiquement conçu pour migrer des serveurs vers Azure.
Voici quelques-uns des principaux avantages et des principales fonctions d'Azure Migrate :
• Vous pouvez effectuer votre migration sur différents environnements et scénarios,
notamment les serveurs locaux, les machines virtuelles, les bases de données, les
applications Web et les bureaux virtuels.
• Vous pouvez utiliser des fonctionnalités complètes de découverte, d’évaluation
et de migration à l’aide d’outils Azure intégrés, ainsi que d’outils tiers de votre choix.
• Vous disposez d’une visibilité complète sur la progression de votre migration grâce
au tableau de bord.
• Vous pouvez migrer efficacement avec des outils de migration rapide et de réplication
sans frais supplémentaires (inclus dans le cadre de votre abonnement Azure).

Une fois que vous avez migré vos machines virtuelles vers Azure, vous devez activer Azure
Automanage pour simplifier les tâches de gestion informatique routinières et répétitives.
Azure Automanage permet aux administrateurs IT de gérer et d’automatiser leurs opérations
quotidiennes et d’effectuer la gestion du cycle de vie sur les serveurs Windows et Linux à l’aide
d’une interface de type pointer-cliquer.

Azure Automanage fonctionne avec n’importe quelle machine virtuelle Windows Server ou Linux
existante sur Azure. Cette solution met en œuvre automatiquement les bonnes pratiques de
gestion de machines virtuelles, telles que celles qui sont définies dans le cadre d’adoption de
Microsoft Cloud. Azure Automanage élimine le besoin de découverte de service, d’inscription
et de configuration des machines virtuelles. Azure Automanage permet par exemple aux clients
de mettre en œuvre les bonnes pratiques de sécurité en simplifiant l'application d'un système
d'exploitation de base à des machines virtuelles conformément à la configuration de référence
de Microsoft. Des services tels qu’Azure Security Center sont automatiquement intégrés selon
le profil de configuration choisi par le client. Si la configuration de la machine virtuelle diverge
des bonnes pratiques appliquées, Azure Automanage détecte et reconfigure automatiquement
la machine virtuelle comme souhaité initialement.

Pour en savoir plus sur Azure Migrate, consultez [Link]

migrate-services-overview.

Pour en savoir plus sur Azure Automanage, consultez [Link]

azure-automanage.

Pour en savoir plus sur Azure Security Center, consultez [Link]

security-center/.

Pour en savoir plus sur le cadre d’adoption de Microsoft Cloud, consultez [Link]
[Link]/azure/cloud-adoption-framework/.
 Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques | 85

SQL Server
Azure SQL est une famille de produits sécurisés, gérés et intelligents, qui reposent sur le
moteur de base de données SQL Server familier dans le Cloud Azure. La plateforme de données
de Microsoft utilise la technologie SQL Server et la rend disponible dans une grande variété
d’environnements. Cela concerne le Cloud public et les environnements de Cloud privé (qui
peuvent être hébergés par des tiers), ainsi que les machines physiques sur site. Par conséquent,
les destinations Azure SQL offrent une expérience cohérente avec SQL Server sur site. Vous
pouvez ainsi utiliser vos compétences, outils, langages et infrastructures préférés sur Azure
avec vos applications. Vous pouvez migrer vos applications facilement à l’aide d’Azure Migrate
et continuer à utiliser les ressources que vous connaissez.

Le tableau suivant décrit en détail chaque offre Azure SQL et son objectif, afin que vous puissiez
prendre une décision éclairée en fonction de vos besoins :

Azure SQL Database Cas d’utilisation courant

Offre Azure SQL Prise en charge d'une application Cloud moderne sur un service de base de
données intelligent et entièrement géré comprenant des fonctions informatiques
sans serveur.
Azure SQL Managed Migration d’une application locale existante vers Azure nécessitant une parité des
Instance fonctionnalités de 100 % avec un moteur de base de données SQL Server à part
entière. Cette solution vous soulage de la gestion des mises à niveau ou de la
maintenance de SQL Server après la migration de votre application sur Azure.

SQL Server sur des Réplication aisée des charges de travail SQL Server existantes, tout en conservant
machines virtuelles une compatibilité SQL Server de 100 % et un accès au niveau du système
Azure d’exploitation. Cette solution vous permet d'exercer un contrôle complet sur le
serveur de base de données, ainsi que sur le système d’exploitation sous-jacent
sur lequel il s’exécute.

Tableau 4.3 : offres Azure SQL et cas d’utilisation courants

Nous allons étudier en détail chacune de ces offres Azure SQL.

Azure SQL Database
Azure SQL Database est une offre Azure de Plateforme en tant que service (PaaS). Il s'agit
d'un moteur de base de données SQL Server entièrement géré, hébergé sur Azure. Azure SQL
Database est basé sur la dernière version stable de SQL Server Enterprise Edition. Il s’agit d’une
solution idéale pour les entreprises qui recherchent des applications Cloud dotées de fonctions
SQL Server à jour et stables, tout en réduisant les exigences de délais de développement et
de marketing.
Azure SQL Database vous permet de procéder au dimensionnent nécessaire sans interruption.
La solution fournit également des fonctions supplémentaires qui ne sont pas disponibles dans
SQL Server, notamment la haute disponibilité, l’intelligence et la gestion intégrées.
86 | Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques

Azure SQL Managed Instance

Azure SQL managed Instance est une offre PaaS Azure similaire à une instance du moteur de
base de données Microsoft SQL Server. Elle est idéale pour migrer des applications sur site vers
Azure avec peu ou pas de modifications de base de données. Azure SQL Managed Instance offre
tous les avantages PaaS d’Azure SQL Database, tout en intégrant également des fonctionnalités
qui n’étaient auparavant disponibles que dans SQL Server sur les machines virtuelles Azure
(sujet que nous aborderons dans la section suivante), notamment un réseau virtuel natif et une
compatibilité de près de 100 % avec SQL Server sur site.

SQL Server sur les machines virtuelles Azure

SQL Server sur les machines virtuelles Azure est une offre Azure d'infrastructure en tant
que service (IaaS) qui vous permet d’exécuter SQL Server au sein d’une machine virtuelle dans
Azure. SQL Server sur les machines virtuelles Azure est idéal pour la migration d’une base de
données locale existante à l’aide d'une approche de réplication vers Azure, avec peu ou pas de
modifications de base de données. SQL Server sur les machines virtuelles Azure vous offre un
contrôle administratif complet sur l’instance SQL Server et sur le système d’exploitation sous-
jacent exécuté sur la machine virtuelle Azure. Ce contrôle total implique néanmoins que vous
soyez responsable de la mise à niveau, de la maintenance et de la sauvegarde de votre logiciel
sur la machine virtuelle. Cela ne posera pas de problème si votre organisation dispose déjà de
ressources IT dédiées à la gestion des machines virtuelles.

Voici quelques autres avantages offerts par SQL Server sur les machines virtuelles Azure :
• Vous pouvez installer et héberger SQL Server sur Azure, que ce soit sur une machine
virtuelle Windows Server ou Linux.
• Toutes les dernières versions et éditions de SQL Server peuvent être installées dans une
machine virtuelle Azure.
• Vous pouvez utiliser une licence existante pour votre SQL Server sur une machine
virtuelle Azure ou configurer une image de machine virtuelle SQL Server pré-intégrée
qui comprend déjà une licence SQL Server. C’est également le cas pour les offres PaaS via
Azure Hybrid Benefit.
• SQL Server sur les machines virtuelles Azure vous permet de créer un système
hautement personnalisable qui répond aux besoins de votre application en termes de
performances et de disponibilité.
• Vous pouvez utiliser SQL Server sur les machines virtuelles Azure pour créer rapidement
un environnement en vue de concevoir et de tester des applications SQL Server
traditionnelles.

Pour conclure cette section, nous allons examiner les principales différences entre ces trois
offres de base de données Azure.
 Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques | 87

Principales différences entre Azure SQL Database, Azure SQL Managed

Instance et SQL Server sur les machines virtuelles Azure
La différence la plus importante entre ces trois offres de base de données Azure réside dans le
fait que SQL Server sur les machines virtuelles Azure vous permet d’exercer un contrôle total
sur le moteur de base de données. Les deux solutions SQL Databaseet SQL et SQL Managed sont
basées sur PaaS. Vous n'avez donc pas à gérer vos propres mises à niveau ou sauvegardes pour
SQL Database et SQL Managed Instances. D’autre part, SQL Server sur les machines virtuelles
Azure est basé sur IaaS. Vous n'avez donc pas à gérer vos propres mises à niveau du système
d’exploitation, du logiciel de base de données et les sauvegardes. Vous devez choisir l’offre de
base de données Azure appropriée en fonction de vos besoins en matière de migration.

Les conteneurs sont une autre technologie qui a été largement adoptée par de nombreuses
organisations.

Conteneurs
Les conteneurs ont gagné en popularité car ils vous permettent de déplacer facilement vos
applications d’un environnement à un autre sans aucune modification de votre application.
Azure offre plusieurs options de conteneurs, notamment :
• Azure Kubernetes Service (AKS)
• Azure Container Instance (ACI)
• Web App pour conteneurs

ACI vous permet de créer un conteneur isolé pour les petites applications qui ne nécessitent pas
d’orchestration de conteneurs complète. Ces instances présentent un délai de démarrage rapide
et peuvent tirer parti du réseau virtuel Azure et des adresses IP publiques. ACI est idéal pour les
applications de proof of concept (PoC).

Pour en savoir plus sur ACI, consultez [Link]

instances/.

AKS simplifie le processus de déploiement d’un cluster Kubernetes géré dans Azure. Étant donné
que la responsabilité de la gestion est souvent déléguée à Azure, la complexité et la charge
opérationnelle de la gestion d’un cluster Kubernetes sont réduites.

Azure gère les maîtres Kubernetes et traite pour votre compte les tâches critiques telles que la
maintenance et la surveillance de l’intégrité. Ainsi, vous n’avez qu’à gérer les nœuds agents. En
outre, vous ne payer que les nœuds agents et non les maîtres de vos clusters. En effet, AKS est
un service Kubernetes géré et est par conséquent gratuit. Si vous souhaitez créer un cluster
AKS, vous pouvez le faire dans le portail Azure. Vous pouvez également utiliser Azure CLI ou
diverses options de déploiement basées sur des modèles, telles que les modèles Azure Resource
Manager (ARM) et Terraform.
88 | Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques

Tous les nœuds sont déployés et configurés pour vous lors du déploiement d’un cluster AKS, le
maître et les agents. Pendant le déploiement, vous pouvez également configurer des fonctions
supplémentaires, comme l’intégration Azure AD, la mise en réseau avancée et la surveillance.
AKS prend également en charge les conteneurs Windows Server.

Pour en savoir plus sur AKS, consultez [Link]

kubernetes.

Web App pour conteneurs vous permet de déployer et d'exécuter facilement des applications
en conteneurs sous Windows et Linux. La solution offre une mise à l'échelle automatique et un
équilibrage de charge intégrés. Vous pouvez automatiser votre processus d'intégration et de
déploiement continus (CI/CD ) avec GitHub, Azure Container Registry et Docker Hub. Vous
pouvez également configurer la mise à l’échelle automatique pour répondre à la demande de
vos charges de travail. Vous pouvez par exemple configurer des règles de mise à l’échelle pour
réduire les coûts pendant les heures creuses.

Pour en savoir plus sur Web App pour conteneurs, consultez [Link]

services/app-service/containers/.

Charges de travail VMware

Azure VMware Solution vous permet de déplacer facilement les charges de travail VMware de
vos environnements locaux vers Azure. Cette solution vous permet de continuer à gérer vos
environnements VMware existants avec les outils que vous connaissez lors de l’exécution de vos
charges de travail VMware en mode natif sur Azure.

Pour en savoir plus sur Azure VMware Solution, consultez [Link]

services/azure-vmware/.

Une autre approche appliquée à la migration des charges de travail VMware vers Azure consiste
à utiliser l'outil Azure Migrate: Server Migration. Deux méthodes vous permettent de migrer
vos machines virtuelles VMware vers Azure :
1. Migration sans agent

2. Migration basée sur un agent

Nous allons mettre en évidence les étapes impliquées dans chacune de ces méthodes de
migration ci-dessous et fournir les liens vers des ressources contenant des instructions de
migration détaillées.
 Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques | 89

Migration sans agent

Voici un aperçu des étapes impliquées dans une migration sans agent :

1. Configurer l'appareil Azure Migrate.

2. Répliquer les machines virtuelles.

3. Suivre et surveiller l’état de la migration.

4. Exécuter une migration test.

5. Migrer les machines virtuelles.

6. Effectuer la migration.

Pour en savoir plus sur la migration sans agent, consultez : [Link]

migrate/tutorial-migrate-vmware

Migration basée sur un agent

Voici un aperçu des étapes impliquées dans une migration basée sur un agent :

1. Préparer Azure afin de garantir la compatibilité avec Azure Migrate :

a. Créer un projet Azure Migrate.

b. Vérifier les autorisations de compte Azure.

c. Configurer un réseau qui accueillera les machines virtuelles Azure après la migration.

2. Préparer la migration basée sur un agent :

a. Configurer un compte VMware. Cette étape permet à Azure Migrate de découvrir des
machines pour la migration, de façon à ce que l’agent de service Mobility puisse être
installé sur les machines que vous souhaitez migrer.

b. Préparer une machine qui agira comme appareil de réplication.

c. Ajouter l'outil Azure Migrate: Server Migration.

3. Configurer l’appareil de réplication.

4. Répliquer les machines virtuelles.

5. Vérifier que tout fonctionne comme prévu, exécuter une migration test.

6. Effectuer une migration complète vers Azure.

90 | Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques

Pour en savoir plus sur la migration basée sur un agent, consultez : [Link]
azure/migrate/tutorial-migrate-vmware-agent

Les entreprises exécutant des charges de travail SAP sont susceptibles d'être intéressées par une
migration vers Azure. Nous discuterons de ce sujet dans la prochaine section.

Charges de travail SAP

Azure est optimisé pour les charges de travail SAP et vous pouvez facilement migrer la plupart
des systèmes SAP NetWeaver et S/4HANA existants vers Azure. Azure est extrêmement évolutif
et peut mettre en service des machines virtuelles comptant plus de 200 CPU et des téraoctets
de mémoire. Azure propose également HANA Large Instances (HLI) pour les charges de travail
les plus exigeantes. Les HLI sont basés sur du matériel physique dédié dans un datacenter Azure
exécutant Intel Optane, qui est une offre Cloud unique.
Pour déployer correctement vos charges de travail SAP dans Azure IaaS, vous devez comprendre
les différences entre les offres des fournisseurs d’hébergement traditionnels et Azure IaaS. Un
fournisseur d’hébergement traditionnel adapte l’infrastructure (par exemple, le type de serveur,
le stockage et le réseau) à la charge de travail qu’un client souhaite héberger. Dans le cas d'Azure
IaaS, il incombe au client d’identifier les exigences relatives à la charge de travail et de choisir les
machines virtuelles, le stockage et les composants réseau Azure appropriés pour le déploiement.
Tenez compte des éléments suivants pour garantir la réussite de la migration :
• Quels types de machines virtuelles Azure répondront aux besoins de votre charge de
travail SAP ?
• Quels services de base de données Azure peuvent fournir la prise en charge requise par
vos charges de travail SAP ?
• Vous devez comprendre les différents débits SAP offerts en prenant en charge les types
de machines virtuelles Azure et les références HLI.

Il est également nécessaire de comparer les ressources Azure IaaS et les limitations de bande
passante à la consommation réelle des ressources équivalentes sur site. À ce titre, vous devez
connaître les diverses fonctionnalités des machines virtuelles Azure et HLI prises en charge avec
SAP concernant :
• La mémoire et les ressources processeurs
• Le stockage IOPS et le débit
• La bande passante et la latence réseau

Pour en savoir plus sur la migration SAP vers Azure, consultez : [Link]
solutions/sap/migration/
 Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques | 91

Pour découvrir comment Microsoft a migré ses propres applications SAP vers Azure et d’autres
scénarios SAP sur Azure, consultez : [Link]
your-trusted-path-to-innovation-in-the-cloud

Les entreprises qui exécutent des tâches informatiques complexes et nécessitant beaucoup de
processus requièrent souvent des ressources HPC. Nous étudierons en détail les offres HPC
pour Azure dans la section suivante.

Calcul haute performance

À mesure que les entreprises acquièrent des volumes de données plus importants et des méthodes
plus sophistiquées pour les traiter, le HPC prend de l'ampleur. Ces derniers temps, un nombre
croissant d’entreprises réalisent à quel point les solutions HPC leur permettent de réinventer et
de transformer leurs activités. Toutefois, bon nombre de ces organisations ne connaissent pas
le HPC. Elles ne possèdent donc pas de clusters matériels existants ou d’autres investissements
dans le matériel HPC, qu'elles pourraient utiliser pour se lancer. C’est dans cette situation qu’Azure
HPC peut offrir sa plus grande valeur. Azure HPC vous permet de développer et d’héberger des
applications et des expériences novatrices sans déployer d'infrastructure sur site.

Voici quelques exemples de différents secteurs d’activité et de leur utilisation de l'HPC :

Secteurs Pourquoi utilisent-ils l'HPC ?

Finance Modélisation des risques, prévention des fraudes
Ingénierie Mécanique des fluides numérique (CFD), analyse par éléments finis (FEA),
conception électronique automatisée (EDA), simulation en ingénierie
chimique, développement de véhicules autonomes

Sciences de la vie Séquençage génomique, épissage d'ADN, biologie moléculaire,

développement pharmaceutique

Sciences de la terre Modélisation météorologique (WRF), traitement sismique, modélisation

de réservoirs

Industrie Construction de véhicules numériques, industrie 4.0, maintenance prédictive,

jumeaux numériques

Tableau 4.4 : utilisation de l'HPC dans différents secteurs

Azure vous permet d’exécuter des charges de travail HPC de qualité professionnelle dans le
Cloud, en supprimant les coûts et les risques associés à l’investissement dans la planification, le
déploiement et la gestion de vos propres clusters HPC sur site. Un système HPC Azure permet
de configurer dynamiquement les ressources en fonction des besoins et de les arrêter lorsque
la demande chute. Azure facilite la coordination d’une tâche HPC sur de nombreuses machines
virtuelles et prend en charge une grande variété de tailles de machines virtuelles, de types de
processus et d’options de stockage communes aux exigences de données HPC.
92 | Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques

Azure propose plusieurs technologies pour répondre à vos demandes HPC :

• Machines virtuelles série H : machines virtuelles basées sur CPU avec une
interconnexion haute performance
• Machines virtuelles série N : machines virtuelles basées sur GPU et d'autres
accélérateurs avec une interconnexion haute performance
• Supercalculateur Cray : options conçues pour les environnements dédiés et entièrement
gérés
• Azure Cycle Cloud : pour la mise à l’échelle des environnements et des clusters
• Azure HPC Cache : pour la synchronisation du Big Data sur/hors site
• Azure Batch : pour la mise à l’échelle des tâches d’application

Parmi les ISV à la pointe du secteur exécutés sur Azure figurent, Ansys, Altair et Willis Towers
Watson. Étudions chaque offre Azure HPC d’un peu plus près.

Remarque
Linux est le système d’exploitation le plus couramment utilisé pour les charges de travail
HPC. Azure prend donc entièrement en charge Linux comme système d’exploitation par
défaut pour les machines virtuelles HPC.

Machines virtuelles Azure série H

Les machines virtuelles série H sont optimisées pour les applications HPC nécessitant une
largeur de bande de mémoire et une évolutivité très élevées, par exemple :
• Chimie numérique
• Conception électronique automatisée
• Analyse par éléments fin
• Dynamique des fluides
• Simulation de transfert de chaleur
• Simulation quantique
• Rendu
• Simulation de réservoir
• Analyse des risques
• Traitement sismique
• Spark
• Modélisation météorologique

La série H prend également en charge des interconnexions extrêmement rapides avec RDMA
InfiniBand. Elle est donc parfaitement capable d'exécuter des charges de travail étroitement
couplées qui nécessitent une communication importante entre les serveurs pendant le traitement.
 Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques | 93

Pour en savoir plus sur les instances HPC de machines virtuelles Azure, consultez [Link]
[Link]/pricing/details/virtual-machines/series/.

Machines virtuelles Azure série N

Les machines virtuelles série N prennent en charge une grande variété de GPU et conviennent
aux charges de travail gourmandes en calcul et en graphiques, notamment :
• Deep learning
• Visualisation à distance haut de gamme
• Analyse prévisionnelle

Ces machines virtuelles prennent également en charge des interconnexions extrêmement

rapides avec RDMA InfiniBand. Elles sont donc parfaitement capables d'exécuter des charges de
travail étroitement couplées qui nécessitent une communication importante entre les serveurs
pendant le traitement.

Pour en savoir plus sur les machines virtuelles série N, consultez [Link]
pricing/details/virtual-machines/series/.

Supercalculateur Cray
Cray dans Azure fournit un superordinateur dédié et entièrement géré sur votre réseau virtuel.
Microsoft et Cray se sont associés pour vous offrir des performances, une évolutivité et une
élasticité exceptionnelles, capables de gérer les charges de travail HPC les plus exigeantes. Vous
pouvez désormais obtenir votre propre supercalculateur Cray fourni en tant que service géré et
l’exécuter avec d'autres services Azure pour alimenter vos charges de travail Big Compute.

Pour en savoir plus sur Cray dans Azure, consultez [Link]

high-performance-computing/cray/.

Azure CycleCloud
Azure CycleCloud est un outil d’entreprise dédié à la gestion et à l’orchestration des
environnements HPC sur Azure. Il est destiné aux administrateurs HPC qui souhaitent déployer
un environnement HPC à l’aide d’un planificateur particulier. La solution prête à l'emploi Azure
CycleCloud prend en charge de nombreux planificateurs HPC largement utilisés, notamment :
• Grid Engine
• HTCondor
• PBS Professional
• Platform LSF
• Slurm Workload Manager
94 | Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques

Azure CycleCloud permet aux administrateurs HTC d'effectuer les opérations suivantes :
• Mettre à l’échelle automatiquement l’infrastructure pour exécuter des tâches
efficacement à n’importe quelle échelle.
• Créer et monter différents types de systèmes de fichiers vers les nœuds de cluster de
calcul pour prendre en charge les charges de travail HPC.
• Fournir une infrastructure pour les systèmes HPC.

Il est intéressant de noter qu’Azure CycleCloud et Azure Batch sont des produits connexes.
Nous étudierons Azure Batch plus loin dans cette section.

Pour en savoir plus sur Azure CycleCloud, consultez [Link]

cyclecloud/overview.

Azure HPC Cache

Azure HPC Cache confère l’évolutivité du Cloud computing à votre charge de travail existante
en mettant en cache des fichiers dans Azure et contribuant à améliorer la vitesse d’accès à vos
données pour les tâches HPC. Vous pouvez même utiliser Azure HPC Cache pour accéder à
vos données sur l’ensemble des liaisons WAN, notamment dans l'environnement de stockage
connecté au réseau (NAS) de votre datacenter local. Nous discuterons en détail d’Azure HPC
Cache plus loin dans ce chapitre.
Pour en savoir plus sur Azure HPC Cache, consultez [Link]
hpc-cache/.

Azure Batch
Azure Batch est un service conçu pour les tâches à grande échelle parallèles et nécessitant
beaucoup de ressources système sur Azure. Contrairement aux machines virtuelles HPC et
Microsoft HPC Pack, Azure Batch est un service géré. Vous fournissez des données et des
applications, et vous spécifiez s’il faut les exécuter sur Linux ou Windows, le nombre de
machines à utiliser et les règles applicables à la mise à l’échelle automatique. Azure Batch gère la
mise à disposition de la capacité de calcul et optimise la manière dont le travail est effectué en
parallèle. Vous ne payez que pour le calcul sous-jacent, la mise en réseau et le stockage que vous
utilisez. Le service de planification et de gestion Azure Batch est gratuit.

Azure Batch est un service idéal pour les charges de travail volumineuses, telles que la
modélisation des risques financiers, le rendu 3D, le transcodage multimédia et l’analyse de
séquences génétiques. Azure Batch peut être assimilé à une couche de service flexible de
gestion et de planification sur la plateforme Azure. Même si vous pouvez mettre en service
des milliers de machines virtuelles pour traiter des charges de travail volumineuses sans l’aide
d’Azure Batch, vous devrez néanmoins gérer toutes les planifications de milliers de machines
virtuelles, et distribuer le travail en fonction de la capacité disponible vous-même.

Pour en savoir plus sur Azure Batch, consultez la page [Link]

batch/batch-technical-overview.
 Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques | 95

Les services HPC d’Azure mettent les techniques HPC à votre disposition et vous permettent
d’effectuer de nouvelles tâches. Nous avons exploré les solutions disponibles sur Azure pour
les charges de travail HPC : Azure Batch, machines virtuelles HPC et Microsoft HPC Pack. Vous
pouvez désormais choisir l'option la plus adaptée à vos charges de travail HPC.

C'est ainsi que s'achève notre présentation des scénarios courants de migration des charges de
travail. La section suivante explique comment bénéficier de l'évolutivité du Cloud et optimiser
les performances dans Azure.

Bénéficier de l'évolutivité du Cloud et optimiser les

performances
Nous allons examiner comment bénéficier de l'évolutivité du Cloud et optimiser les
performances une fois votre charge de travail migrée vers Azure. Nous allons commencer
par étudier la fonction de dimensionnement d'Azure et comment réaliser cet objectif à l'aide
de la mise à l’échelle automatique. Nous discuterons ensuite des options disponibles pour
l’optimisation des performances de calcul et de stockage.

Mise à l’échelle automatique Azure

La mise à l’échelle automatique permet à un système d’ajuster les ressources nécessaires pour
répondre à la demande variable des utilisateurs tout en contrôlant les coûts associés à ces
ressources. Vous pouvez utiliser la mise à l’échelle automatique avec de nombreux services
Azure, tels que Virtual Machine Scale Sets d'Azure. La mise à l’échelle automatique vous oblige à
configurer des règles de mise à l’échelle automatique qui régissent les conditions dans lesquelles
les ressources doivent être ajoutées ou supprimées.

Imaginons que vous gériez un magasin spécialisé en ligne. Pendant la période de fêtes, votre site
Web est susceptible de connaître une augmentation du trafic à court terme. Ces pics peuvent
survenir à tout moment. Il est donc difficile de prévoir ces pics potentiels dans le trafic. En raison
du caractère imprévisible de ces événements, la mise à l’échelle manuelle ne peut être appliquée et
il serait extrêmement coûteux de conserver les ressources de votre site Web en permanence pour
palier aux pics soudains. C'est précisément dans cette situation que la mise à l’échelle automatique
Azure s'avère utile. La solution s’adapte automatiquement à vos ressources en fonction de vos
règles de mise à l’échelle automatique configurées, afin que vous ayez l'esprit tranquille.

Dans le même ordre d’idées, nous devons également examiner les considérations relatives aux
performances de calcul et de stockage.

Considérations relatives aux performances de calcul et de stockage

Comme vous le savez, nous avons discuté des différents services Azure dédiés au calcul et au
stockage dans la section Choisir votre infrastructure sous-jacente de ce chapitre. Azure Virtual
Machine Scale Sets est un service qui offre à la fois des performances élevées et une haute
disponibilité en matière de calcul et peut être utilisé à la place d'ensembles de disponibilité.
Azure ultra Disk offre les performances les plus élevées en matière de stockage avec la latence
96 | Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques

la plus faible. Cette section décrit en détail chacun de ces deux services, ainsi que leurs
performances en matière de calcul et de stockage.

Considération relative aux performances de calcul : Virtual Machine

Scale Sets
Virtual Machine Scale Sets vous permet de créer et de gérer un groupe diversifié de
machines virtuelles à charge équilibrée et de dimensionner automatiquement le nombre
de machines virtuelles en fonction de la demande et de l’utilisation réelles, ou selon un
programme personnalisé que vous avez établi. Et surtout, vous n’avez pas besoin de configurer
manuellement chaque machine virtuelle individuellement.
En catimini, Virtual Machine Scale Sets utilise un équilibreur de charge pour distribuer les
requêtes sur les instances de machines virtuelles et une sonde d’intégrité pour déterminer la
disponibilité de chaque instance. Voici le processus :
1. Virtual Machine Scale Sets utilise la sonde d’intégrité pour envoyer un ping à l’instance.

2. Si l’instance répond, Virtual Machine Scale Set détermine que l’instance est toujours
disponible.

3. Si le ping échoue ou expire, Virtual Machine Scale Set détermine que l’instance est
indisponible et arrête de lui envoyer des requêtes.

Virtual Machine Scale Sets prend en charge des machines virtuelles Linux et Windows dans Azure
et vous permet de gérer, de configurer et de mettre à jour un groupe hétérogène de machines
virtuelles de manière centralisée. Le nombre de machines virtuelles exécutées dans le VMSS
augmente proportionnellement à la demande. Inversement, à mesure que la demande diminue, les
machines virtuelles excédentaires peuvent être arrêtées. Une limite de 1 000 machines virtuelles
exécutées sur un seul Virtual Machine Scale Set est appliquée par zone de disponibilité.
Si vous traitez des charges de travail volumineuses dont la demande varie et est imprévisible,
Virtual Machine Scale Sets constitue une solution idéale. Vous pouvez exercer un contrôle total
sur les machines virtuelles individuelles au sein de votre VMSS, tout en garantissant une haute
disponibilité à grande échelle avec le mode d’orchestration flexible. Vous pouvez modifier la
taille des machines virtuelles sans redéployer votre VMSS ou mélanger des machines virtuelles
Azure Spot avec des machines virtuelles dont le paiement est basé sur votre consommation
dans le même VMSS pour optimiser vos coûts. Vous pouvez également gérer des machines
virtuelles et des Virtual Machine Scale Sets à l’aide des mêmes API et accélérer vos déploiements
en définissant des domaines d’erreur lors du processus de création de machine virtuelle.

Pour en savoir plus sur Azure Virtual Machine Scale Sets, consultez la page [Link]
[Link]/services/virtual-machine-scale-sets/.

Après avoir discuté du calcul, passons désormais aux options de stockage disponibles pour les
charges de travail HPC.
 Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques | 97

Considération relative à la mise en cache de fichiers haute performance :

Azure HPC Cache
Comme nous l’avons vu précédemment, Azure HPC Cache accélère l’accès à vos données pour
les tâches HPC en mettant en cache des fichiers dans Azure. Le portail Azure vous permet de
facilement lancer et surveiller Azure HPC Cache. Même si vous modifiez la cible de stockage au
niveau du back-end, l’accès client reste simple, car les nouveaux conteneurs d’objets blob ou le
stockage NFS existant peuvent être intégrés à l’espace de noms agrégé d'Azure HPC Cache.

Pour en savoir plus, regardez une courte vidéo sur Azure HPC Cache à l’adresse [Link]
[Link]/resources/videos/hpc-cache-overview/.

Considération relative au stockage sensible à la latence : Fichiers NetApp

Azure
Fichiers NetApp Azure est un service de stockage de fichiers de classe entreprise qui vous
permet de choisir les niveaux de service et de performance souhaités. Ce service offre par
défaut haute disponibilité et hautes performances, tout en prenant en charge tous les types de
charges de travail. Le service vous permet de configurer des instantanés à la demande, ainsi que
de gérer des stratégies (actuellement en version préliminaire) qui planifient des instantanés de
volume automatiques.
Les Fichiers NetApp Azure facilitent la migration et l'exécution d'applications complexes basées
sur des fichiers sans modification de code pour l'équipe métier LOB et les professionnels du
stockage. Il s’agit d'un service de stockage de fichiers partagés performant qui prend en charge
un large éventail de scénarios, y compris la migration des applications Linux et Windows
conforme aux spécifications POSIX (réplication), des applications Web d’entreprise, des bases de
données, des applications SAP HANA, ainsi que des applications et de l'infrastructure HPC.

Considération relative aux performances de stockage : Azure Ultra Disks

Comme nous l’avons mentionné plus haut dans ce chapitre, si votre machine virtuelle Azure requiert
les performances, le débit et l'IOPS les plus élevés avec la latence la plus faible, Azure Ultra Disk
s'avère être la solution la plus appropriée. Azure Ultra Disk offre des performances d'exception aux
mêmes niveaux de disponibilité que les offres de disque existantes. L’un des principaux avantages
d’Azure Ultra Disk réside dans le fait que vous pouvez ajuster dynamiquement les performances SSD
en fonction de votre charge de travail sans avoir à redémarrer vos machines virtuelles Azure. Cette
caractéristique est donc idéale pour les charges de travail volumineuses susceptibles de traiter de
nombreuses transactions, telles que SAP HANA, SQL Server et Oracle.

Pour en savoir plus sur Azure Ultra Disks, consultez la page [Link]
virtual-machines/disks-enable-ultra-ssd.

La section suivante porte sur la continuité de service et la récupération d’urgence, et explique

comment réaliser ces objectifs à l’aide d'outils Azure appropriés.
98 | Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques

Sauvegarde et récupération d'urgence de qualité

professionnelle
Au moment de la rédaction du présent document, et principalement en raison de la pandémie,
les organisations de toutes tailles ont choisi de migrer leurs opérations vers Microsoft Azure,
afin de sécuriser le travail à distance et d’améliorer l’efficacité opérationnelle. En outre, les
organisations qui migrent vers Azure peuvent réduire considérablement leurs dépenses de
CapEx, car très peu ou aucune infrastructure n'est acquise lors de l'investissement initial pour
déployer les charges de travail dans le Cloud public. Il est néanmoins important de concevoir
une infrastructure fiable capable de gérer vos données et vos applications afin qu’elles soient
toujours disponibles et accessibles.

Afin de protéger vos données et vos applications critiques contre tout échec potentiel, il est
important de toujours copier vos données et de garantir un accès sécurisé à ces sauvegardes
pour assurer la continuité de service. Azure Backup vous permet de sauvegarder vos données et
de les restaurer dans Azure.

Azure Backup
L’exécution de sauvegardes dans le Cloud permet aux entreprises de réduire leurs coûts et
d'améliorer la cohérence de la gestion du stockage. Azure Backup est conçu pour sauvegarder et
restaurer vos données dans le Cloud.

Même si Azure effectue au moins trois copies de vos données et les stocke à l’aide du stockage
Azure, il est essentiel de conserver une sauvegarde et d’améliorer vos conditions de sécurité en
assurant une protection contre les corruptions, les suppressions accidentelles ou le ransomware.

Dans la mesure où Azure Backup est un service entièrement géré et intégré à Azure, vous
pouvez effectuer des sauvegardes de données sur site ou dans le Cloud et les restaurer lors
d'une période spécifique pour garantir la continuité de service.

Azure Backup ne nécessite pas de configurer une infrastructure. Cette solution est donc facile
à utiliser et permet de réduire le coût de possession. Azure Backup fournit une intégration
native avec différentes charges de travail qui s’exécutent sur Azure, telles que les machines
virtuelles Azure, les bases de données comme SQL Server sur les machines virtuelles, ou
Azure PostgreSQL, SAP et les fichiers Azure. Il n’est donc pas nécessaire de configurer une
infrastructure pour effectuer des sauvegardes.

Comment les données sont-elles stockées par Azure Backup ? En catimini, Azure Backup utilise
principalement Azure Blob Storage pour stocker vos sauvegardes et garantir la fiabilité, car
vous disposez d'une variété d’options de redondance pour vos sauvegardes, comme le stockage
localement redondant (LRS), le stockage géo-redondant (GRS), le stockage géo-redondant
avec accès en lecture (RA-GRS) ou le stockage redondant interzone (ZRS). La solution Azure
Backup améliore la sécurité, car elle exécute des fonctionnalités de chiffrement pour sécuriser
les données en transit et au repos. Elle propose également des fonctions comme le contrôle
d’accès en fonction du rôle, ainsi que la suppression logicielle des données de sauvegarde jusqu’à
14 jours sans frais supplémentaires.
 Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques | 99

À mesure que les données des organisations augmentent proportionnellement aux charges de
travail sur plusieurs abonnements Azure, les régions Azure et même les locataires, il est essentiel
de préserver la sécurité et la conformité des données et des ressources. Par conséquent, les
fonctions de gouvernance deviennent importantes pour surveiller et appliquer les normes de
gouvernance sur les sauvegardes.

Pour connaître les conseils et les bonnes pratiques appliqués à Azure Backup, consultez la page
[Link]

Backup Center est une nouvelle fonctionnalité de gestion centralisée native qui permet de
surveiller, d’exploiter, de gouverner et d’obtenir des informations sur vos sauvegardes sur
l’ensemble de vos domaines de sauvegarde. Vous pouvez gérer toutes les sources de données et
les instances de sauvegarde sur l’ensemble de vos coffres. Vous pouvez également sélectionner
une source de données spécifique pour obtenir plus de détails sur la sauvegarde. Backup Center
vous permet d'initier des restaurations de vos données et d'ajouter des stratégies, ainsi que des
coffres, comme illustré à la figure 4.1 :

Figure 4.1 : page dédiée à Backup Center

100 | Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques

Backup Center vous permet d'intégrer des fonctions de gouvernance telles que les stratégies
Azure qui permettent aux entreprises d’auditer et de déployer des stratégies pour atteindre
l'état d’objectif de sauvegarde souhaité. Vous pouvez ensuite utiliser la conformité de sauvegarde
pour déterminer si votre organisation adhère à ces stratégies.

Maintenant que nous avons examiné le fonctionnement d'Azure Backup, passons à la capacité de
récupération, qui est également essentielle pour garantir la fiabilité des systèmes. Découvrons
comment Azure peut vous aider à améliorer les processus de basculement et de récupération à
l'aide d'Azure Site Recovery.

Azure Site Recovery

En tant qu’entreprise, vous devez garantir la continuité de service et réduire les temps d’arrêt
en cas de sinistre. La planification de la continuité de service et de la récupération d’urgence
nécessite l’adoption d’un mécanisme permettant de garantir la sécurité et la résilience de vos
charges de travail et de vos données lors de pannes prévues ou imprévues.

Azure Site Recovery (ASR) permet de préserver le fonctionnement de vos applications et de

vos charges de travail lors de pannes prévues ou imprévues. ASR peut répliquer les charges
de travail qui s’exécutent sur site ou sur des machines virtuelles, avant de les restaurer dans
un emplacement différent. Ainsi, si une panne survient sur votre site principal, vous aurez la
possibilité de répliquer vos charges de travail dans un emplacement secondaire et de garantir
la continuité de service. Une fois que votre site principal est opérationnel, vous pouvez alors
effectuer une restauration vers celui-ci.

Grâce à ce type de mécanisme de récupération d’urgence, ASR contribue à réduire les coûts
d’infrastructure en éliminant la nécessité de créer ou d'entretenir un datacenter secondaire
coûteux. De plus, vous payez uniquement les ressources de calcul lorsque les machines
virtuelles sont mises en service, c'est-à-dire au moment du basculement réel.

La solution est par ailleurs simple à déployer et à gérer. Une interface graphique de type
pointer-cliquer est dédiée à la configuration de la réplication et la réalisation d’opérations en
cours, notamment les exercices de récupération d'urgence sans impact. Ainsi, l’intégralité du
plan de récupération d’urgence peut être testée en basculant vers un site secondaire, sans
affecter le site de production. Enfin, vous disposez également d'une intégration harmonieuse
avec d’autres services Azure.
Prenons l’exemple d’une organisation qui souhaite mettre en œuvre un scénario de récupération
d’urgence pour ses applications exécutées sur des machines virtuelles Azure. Lors de l’activation
d'ASR pour une machine virtuelle, ASR nécessite l’installation d’une extension sur la machine
virtuelle. Cette extension est le service Site Recovery Mobility, comme illustré à la figure 4.2 :
 Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques | 101

Figure 4.2: Azure Site Recovery

Remarque
Le service Site Recovery Mobility doit être installé sur la machine virtuelle qui doit être
répliquée. Si vous envisagez d’activer ASR sur une appliance virtuelle réseau (NVA)
Azure, nous vous conseillons vivement de vérifier si l’extension peut être installée, car de
nombreuses NVA disposent d’un système d’exploitation fermé, qui ne permet pas d'activer
ASR sur ces machines virtuelles.

Lors du processus de réplication, les écritures de disque de machine virtuelle sont envoyées à un
compte de stockage mis en cache dans la région source, et les données sont envoyées depuis le
compte de stockage mis en cache vers la région cible ou la région secondaire. À ce stade, Azure
établit des points de récupération à partir des données répliquées.

Lors de l’exécution d’un basculement pour la machine virtuelle, le point de récupération est
utilisé par ASR pour restaurer la machine virtuelle dans la région cible.
102 | Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques

Voici les conditions requises pour utiliser ASR sur vos machines virtuelles :
• Créer un coffre Recovery Services pour stocker les données qui seront copiées et les
informations de configuration relatives aux machines virtuelles. Il est recommandé que
l'abonnement présente au moins un rôle de contributeur.
• Activer la réplication et configurer les paramètres source et cible lors de l’exécution
d’un basculement. Toutes les ressources, y compris les machines virtuelles et les
composants de mise en réseau, sont créées dans la région cible.
• Préparer les machines virtuelles afin de garantir la connectivité sortante et vérifier que
les certificats racine soient installés sur les machines virtuelles.
• Exécuter un test de basculement. Nous recommandons d’utiliser un réseau hors
production pour réaliser les tests afin d’éviter tout impact sur les ressources du réseau
de production.

Notez que l’accès aux comptes de stockage utilisés par les coffres ASR n’est autorisé que via
Azure Backup. C'est ainsi que vous pourrez améliorer la sécurité et protéger vos données.

Notre discussion sur la continuité de service et la récupération d’urgence s'achève ici. La section
finale porte sur quelques ressources utiles, qui vous guideront dans votre parcours de migration
vers le Cloud dans Azure.

Bonne pratiques et support concernant la migration Azure

Vous pouvez parcourir les ressources suivantes pour obtenir de la documentation, des tutoriels
et bien plus encore, en fonction de vos besoins.

La documentation officielle Azure

La documentation officielle Azure fournit une multitude d’informations sur la façon de démarrer,
l’architecture et la conception de vos applications dans le Cloud, la documentation sur tous les
produits Azure, des tutoriels et bien plus encore : [Link]

Azure Migrate
Découvrez comment utiliser Azure Migrate pour découvrir, évaluer et migrer votre
infrastructure, vos données et vos applications sur site vers Azure : [Link]
azure/migrate/migrate-services-overview.

Programme de migration Azure

Découvrez comment le programme de migration Azure permet d'accélérer votre
parcours de migration vers le Cloud à l’aide des bonnes pratiques, de ressources et de conseils :
[Link]
 Migration vers le Cloud : planification, mise en œuvre et bonnes pratiques | 103

Centre des architectures Azure

Découvrez comment concevoir des applications sur Azure, de manière à ce qu'elles soient
sécurisées, résilientes, évolutives et hautement disponibles en suivant les pratiques éprouvées
du secteur : [Link]

Azure App Service
Découvrez comment utiliser Azure App Service grâce à des démarrages rapides, des tutoriels et
des exemples : [Link]

Azure SQL Database

Découvrez la gamme Azure SQL des produits de moteur de base de données SQL Server dans le
Cloud : [Link]

Formation gratuite avec Microsoft Learn

Afin d'aider les équipes à acquérir et à développer leurs compétences Azure, Microsoft
Learn offre une plateforme de formation gratuite dédiée à l'acquisition de compétences et
certifications grâce à un apprentissage interactif en ligne : [Link]

Contacter un commercial Azure

Discutez avec l’équipe de spécialistes Microsoft et découvrez comment Microsoft peut vous
aider à migrer vers Azure : [Link]
app-migration-contact-sales/.

Résumé
Tout au long de ce chapitre, nous avons examiné la façon dont vous pouvez planifier, concevoir
et mettre en œuvre des systèmes fiables dans le Cloud. Nous avons passé en revue l'initiative
Microsoft Azure Well-Architected et la façon dont elle peut vous aider à adopter les bonnes
pratiques pour améliorer la qualité des charges de travail exécutées dans le Cloud. Nous avons
ensuite étudié en détail l’infrastructure sous-jacente d’Azure, en vous fournissant toutes
les informations nécessaires pour déterminer la meilleure façon d'atteindre vos objectifs de
migration. Nous avons également parlé des scénarios courants de migration de charges de
travail et comment bénéficier de l'évolutivité du Cloud, tout en optimisant les performances sur
Azure.

Enfin, nous avons découvert comment ASR et Azure Backup vous permettent d'adopter
rapidement le travail à distance, en garantissant la continuité de service lors d’un basculement et
l’accès à vos données de manière sécurisée.

Le chapitre suivant porte sur l'amélioration des conditions de sécurité lors de l'adoption du
travail à distance.
 Faciliter le travail
5
à distance en toute
sécurité avec Azure
AD et Azure Virtual
Desktop
Dans le chapitre précédent, nous avons appris que la transition vers le Cloud ne consiste pas
uniquement à déplacer des ressources sur site vers le Cloud, il s'agit d'un parcours qui implique
d’améliorer l’évolutivité, la sécurité et la productivité basée dans le Cloud pour faciliter la
collaboration à distance en tout lieu.
Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 105

Ce chapitre couvre les problèmes d’infrastructure courants auxquels les organisations sont
confrontées lorsqu’elles tentent d'adopter le travail à distance. Il explique également comment
les composants d’infrastructure de base Azure, tels que la mise en réseau, l’identité, la sécurité,
le calcul et le stockage, peuvent faciliter la mise en place d'un espace de travail numérique
moderne. Ce chapitre traite des sujets suivants :
• Déployer en toute sécurité l’infrastructure de travail à distance
• Gérer l’accès via Azure Active Directory
• Faciliter la connectivité à distance
• Sécuriser et gérer le trafic vers vos charges de travail
• Donner plus de possibilités aux collaborateurs à distance grâce à Azure Virtual Desktop

Nous allons commencer par discuter des notions de base du déploiement du travail à distance
avec Azure.

Déployer en toute sécurité l’infrastructure de travail à distance

Le travail à distance s'est avéré être une transition indispensable pour la plupart des
organisations au cours de la dernière année. Il a posé plusieurs défis aux personnes qui
travaillaient au sein des bureaux d’entreprise à temps plein.

Faciliter le travail à domicile est essentiel pour aider les personnes à rester connectées au sein
d’une organisation, tout en favorisant la communication avec les partenaires et les clients dans
un monde hybride. Les entreprises sont confrontées à une tendance perturbatrice : le travail
hybride.

Bien que certains soient déjà retournés au bureau, les entreprises sont susceptibles d'autoriser
leurs collaborateurs de travailler à distance dans un avenir proche. Le travail hybride pourrait
être la nouvelle norme à l'avenir.

Il s’agit de notre principal défi, nous devons préparer nos infrastructures de façon à ce que les
appareils personnels et domestiques puissent accéder à nos réseaux d’entreprise. Microsoft
Azure offre la flexibilité et les contrôles nécessaires pour faciliter cette intégration en toute
sécurité.

Les sections suivantes portent sur certains des services les plus récents disponibles dans Azure
pour déployer en toute sécurité l’infrastructure de travail à distance à l’aide d’Azure Active
Directory, des services de mise en réseau et d'Azure Virtual Desktop.

Commençons par l’un des piliers fondamentaux, Azure Active Directory.

106 | Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop

Azure Active Directory

Azure Active Directory (Azure AD) vous permet non seulement de faciliter le travail à distance
tout en permettant aux utilisateurs d’accéder en toute sécurité aux applications dont ils ont
besoin en étant à l’extérieur du réseau de l’entreprise.

Il est important d’établir des identités solidement fondées dans le Cloud. Azure AD est le
composant clé qui facilite le travail à distance. Azure AD est une offre basée dans le Cloud de
Microsoft qui fournit des fonctionnalités de gestion des identités et des accès. Azure AD peut
ainsi s’étendre sur différents environnements, en permettant aux collaborateurs d’accéder à des
ressources qui peuvent être localisées dans leur datacenter local actuel ou leurs applications
basées dans le Cloud.
Azure AD est le plus grand service d’identité basé dans le Cloud au monde. Cette solution
est utilisée par plus de 200 000 organisations et traite plus de 30 milliards de demandes
d’authentification quotidiennes. Azure AD vous permet également de détecter les menaces de
sécurité et d'y remédier. Le processus d'intégration constitue l'un des principaux défis posés aux
entreprises qui souhaitent utiliser des services de gestion des identités.

Jetons un coup d’œil aux composants et aux configurations clés qui permettent de sécuriser
l’accès aux applications. Avant de passer en revue les fonctionnalités d’Azure AD qui facilitent le
travail à distance, il est important de comprendre qu’Azure AD est un service basé dans le Cloud,
dédié à la gestion des identités et des accès. Il convient donc à différents types d’utilisateurs,
notamment :
• Les administrateurs IT qui souhaitent contrôler l’accès aux applications tout en
protégeant les identités des utilisateurs et les informations d’identification pour
répondre aux exigences de gouvernance.
• Les développeurs d’applications qui utilisent les fonctionnalités et l’intégration d’Azure
AD avec les API d’Azure AD pour offrir des expériences d’application personnalisées.
• Les personnes abonnées à plusieurs services tels que Microsoft 365, Dynamics 365 ou
Microsoft Azure.

Les points suivant doivent être pris en compte lors de l'adoption d’Azure AD.
Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 107

Préparer votre environnement

Avant d’effectuer n’importe quel déploiement pour Azure AD, nous devons vérifier que nous
disposons du modèle de licence approprié qui nous permettra de configurer correctement
Azure AD avec les fonctionnalités nécessaires pour notre organisation. Voici les trois principaux
niveaux de licences Azure AD :
• Azure AD Free
• Azure AD Premium P1
• Azure AD Premium P2

Azure AD Free est le premier niveau qui offre quelques fonctionnalités de base, telles que la
gestion des utilisateurs et des groupes, la synchronisation de répertoires sur site, le changement
de mot de passe en libre-service pour les utilisateurs Cloud et l’authentification unique sur des
plateformes Cloud, comme Azure, Microsoft 365 et des solutions SaaS tierces, comme le montre
la figure 5.1 :

Figure 5.1 : Azure AD
108 | Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop

Si vous souhaitez permettre aux utilisateurs de votre organisation d’accéder à des ressources
sur site et dans le Cloud, Azure AD Premium P1 peut répondre aux principaux besoins de votre
entreprise. Ce niveau prend en charge les groupes dynamiques et la gestion de groupes en libre-
service. Compatible avec Microsoft Identity Manager et des fonctionnalités de réécriture dans
le Cloud, il permet à vos utilisateurs locaux d’effectuer une réinitialisation de mot de passe en
libre-service, comme illustré à la figure 5.2 :

Figure 5.2 : environnement hybride Azure AD

Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 109

Azure AD Premium P2 est le niveau idéal si votre entreprise souhaite tirer parti de
fonctionnalités de sécurité avancées, telles que les stratégies d’accès basées sur les risques
fondées sur Azure AD Identity Protection, qui peut détecter les activités malveillantes à l’aide
d’algorithmes de Machine Learning à l’échelle du Cloud, comme illustré à la figure 5.3 :

Figure 5.3 : accès conditionnel Azure AD

Lorsque votre organisation s'inscrit à un service Microsoft tel qu’Azure, Microsoft Intune
ou Microsoft 365, elle a droit à une instance de service Azure AD dédiée appelée locataire.
Un locataire représente une organisation.

Vous pouvez tirer parti de la création de votre locataire Azure AD à l’aide du portail Azure, dans
lequel vous pouvez configurer et effectuer toutes les tâches administratives liées à Azure AD.
En outre, vous pouvez utiliser l’API Microsoft Graph pour accéder aux ressources Azure AD.

Maintenant que nous avons passé en revue les différents scénarios et modèles de licences
disponibles pour Azure AD, nous allons aborder la configuration du déploiement réel du
locataire Azure AD.
110 | Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop

Configuration d’Azure AD et d’environnements hybrides

Même si vous connaissez déjà la plupart des fonctionnalités Active Directory Domain Services
(AD DS), il est important de souligner qu’Azure AD et AD DS présentent des similitudes et des
différences. Il est intéressant de les passer en revue pour mieux comprendre la portée de chaque
produit. Le tableau suivant résume quelques-unes des principales différences :

Fonction Active Directory Domain Azure Active Directory

Services (AD DS) (Azure AD)
Utilisateurs Vous pouvez créer des utilisateurs Vous pouvez étendre votre infrastructure
de la mise internes ou utiliser un système de mise d’identité d’organisation au Cloud via Azure AD
en service en service. Connect pour synchroniser les identités.

Activation Vous pouvez créer des utilisateurs Azure AD prend en charge des identités externes
des identités externes manuellement en tant via Azure AD B2B, notamment les identités de
externes qu’utilisateurs réguliers dans une compte local, d'entreprise ou social, afin de
forêt AD externe dédiée. garantir l'authentification unique sur vos
applications et API.

Informations Vous pouvez gérer les informations Azure AD s’étend sur le Cloud et sur site et
d’identification d’identification reposant sur des mots améliore considérablement la sécurité à l’aide de
de passe, l’authentification des certifi- l'authentification multifacteur et des technologies
cats et l’authentification de carte à puce. sans mot de passe, comme FIDO2.

Infrastructure Active Directory peut activer les Azure AD est le plan de contrôle qui permet
composants d’infrastructure sur site tels d'accéder aux applications, et vous pouvez
que DNS, DHCP, IPSec, WiFi, NPS contrôler les utilisateurs qui doivent ou ne doivent
et l'accès VPN. pas avoir accès aux applications dans les
conditions requises.

Applications Les applications locales utilisent LDAP, Azure AD permet aux télétravailleurs
héritées NTLM et Kerberos ou l’authentification d’accéder à des applications locales à l’aide
basée sur l’en-tête pour contrôler d’agents de proxy d’application Azure AD
l’accès des utilisateurs. exécutés sur site.

Bureaux Vous pouvez joindre les appareils Vous pouvez utiliser Azure AD pour joindre les
Windows Windows et les gérer à l’aide de la appareils Windows et tirer parti de l’accès
stratégie de groupe et de System conditionnel pour appliquer les contrôles d’accès
Center Configuration Manager. appropriés et les stratégies organisationnelles.

Serveurs Les fonctionnalités de gestion des Vous pouvez utiliser Azure AD DS pour gérer vos
Windows serveurs Windows sur site peuvent machines Windows Server sur Azure.
inclure une stratégie de groupe ou
d’autres solutions de gestion.

Tableau 5.1 : comparaison entre AD DS et Azure AD

Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 111

Les identités gérées Azure AD peuvent être utilisées si votre organisation exécute des charges
de travail Linux et doit fournir un accès sécurisé à ces ressources et une communication avec
celles-ci.

Pour commencer à travailler avec Azure AD, vous devez utiliser un locataire, qui représente
généralement une organisation. Vous pouvez commencer à travailler avec un locataire existant
ou créer un nouveau locataire Azure AD.

Lorsque vous créez un abonnement Azure, celui-ci entretiendra une relation d’approbation avec
Azure AD pour authentifier les utilisateurs, les services et les appareils. Votre organisation peut
souscrire à plusieurs abonnements Azure, établir une relation d’approbation avec une instance
Azure AD et tirer parti d’un principe de sécurité pour fournir l’accès aux ressources sécurisées
par le locataire Azure AD.

En fonction des types d’utilisateurs authentifiés par votre application, deux principaux types
d’environnements peuvent être créés :
• Comptes Azure AD (ou comptes Microsoft)
• Comptes Azure AD B2C

Les comptes Azure AD, ou les comptes Microsoft, peuvent être des comptes [Link] et
[Link] ou des comptes professionnels ou scolaires. Les comptes Azure AD B2C se réfèrent
à l’utilisation de comptes locaux ou sociaux, comme votre identité sociale pour Facebook ou
Twitter, ainsi que d'autres identités, pour obtenir un accès unique à vos applications et API.
112 | Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop

Création de votre locataire Azure AD

Les locataires Azure AD peuvent être créés à l'aide du portail Azure. Une fois que votre
abonnement Azure est prêt à l’emploi, l’étape suivante consiste à accéder au portail Azure,
puis à sélectionner l'option Azure Active Directory, comme illustré à la figure 5.4 :

Figure 5.4 : Azure AD dans le portail Azure

Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 113

Accédez à la page de présentation, puis cliquez sur Créer un locataire,

comme illustré à la figure 5.5 :

Figure 5.5 : créer un locataire

Accédez ensuite au volet Bases et choisissez le type de locataire que vous souhaitez créer.
Sélectionnez Azure Active Directory ou Azure Active Directory (B2C), comme illustré
à la figure 5.6 :

Figure 5.6 : type de locataire Azure AD

114 | Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop

Dans le volet Configuration, vous pouvez fournir un nom à l’organisation et au nom de domaine
initial que vous souhaitez utiliser, comme illustré à la figure 5.7 :

Figure 5.7 : configuration d'Azure AD

Azure va ensuite valider votre déploiement. Une fois l’opération terminée, cliquez sur Créer ,
comme illustré à la figure 5.8 :

Figure 5.8 : création du locataire Azure AD

Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 115

Une notification devrait s'afficher dans le portail Azure concernant la création du locataire
Azure AD, comme illustré ici :

Figure 5.9 : création des locataires en cours

Votre nouveau locataire Azure AD devrait être prêt en quelques minutes. La notification
s'affichera dans le portail Azure, comme illustré à la figure 5.10 :

Figure 5.10 : création du locataire Azure AD

Cliquez sur la notification afin d'être redirigé vers votre nouvelle page de locataire, comme
illustré à la figure 5.11 :

Figure 5.11 : locataire Azure AD

116 | Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop

Il est recommandé d’utiliser Azure AD Connect pour réaliser une intégration d’identité hybride
dans les environnements hybrides. Cette solution fournit en effet les fonctions nécessaires pour
synchroniser les utilisateurs sur site avec Azure AD, tout en permettant aux utilisateurs d’utiliser
le même mot de passe sur site et dans le Cloud, sans nécessiter l’infrastructure supplémentaire
d’un environnement fédéré.

Bien que la fédération soit une configuration facultative, Azure AD Connect peut être utile
pour les configurations hybrides qui utilisent une infrastructure Active Directory Federation
Services (AD FS) locale.

Préparation de l’infrastructure pour Azure Virtual Desktop

Azure Virtual Desktop facilite l'adoption du travail hybride au sein de votre organisation et offre
la flexibilité nécessaire pour mettre à l’échelle les ressources d’infrastructure selon les besoins.

Bien qu’il existe différentes façons de déployer une infrastructure distante, Azure vous fournit
désormais une fonction de mise en route pour installer et configurer rapidement Azure Virtual
Desktop sur votre déploiement, notamment pour les abonnements avec ou sans les modèles
Azure AD DS et ARM.

Que votre organisation ait déjà installé d’Active Directory sur site ou qu’elle commence avec
Azure AD, elle peut adopter le travail hybride grâce à Azure Virtual Desktop. Examinons
comment tirer parti de la nouvelle fonction de mise en route pour déployer Azure Virtual
Desktop sans AD DS.

Conditions préalables au déploiement d'Azure Virtual Desktop

La fonction de mise en route est disponible sur le portail Azure pour déployer Azure Virtual
Desktop sans AD DS.

Les éléments suivants sont nécessaires pour déployer Azure Virtual Desktop :
• Un abonnement Azure actif avec un locataire Azure AD
• Un compte disposant des autorisations d’administrateur global sur Azure AD
• Un compte disposant des autorisations de propriétaire sur l’abonnement

Charge de travail
En coulisses, la fonction de mise en route exécute un assistant et effectue une série de
validations si vous disposez d’un abonnement actif avec des autorisations d’administrateur
global valides, des autorisations appropriées de propriétaire, en présence ou en l'absence d'une
configuration Azure AD DS.

Elle effectuera ensuite la création d’un principal de service AD Azure et du groupe

d’administrateurs AAD DC.
Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 117

Elle validera également les comptes à créer, puis configurera les ressources telles que le réseau
virtuel, les groupes de sécurité réseau, le groupe d’utilisateurs Azure Virtual Desktop et les
composants supplémentaires nécessaires au fonctionnement d'Azure Virtual Desktop, tels que le
compte de stockage des profils FSLogix et les pools d'hôtes.

Déployer Azure Virtual Desktop

Vous pouvez suivre ces étapes pour déployer Azure Virtual Desktop :

1. Accédez au portail Azure et après vous être connecté à votre recherche d’abonnement
pour Azure Virtual Desktop dans la barre de recherche située en haut, comme illustré à la
figure 5.12 :

Figure 5.12 : Azure Virtual Desktop

2. Un nouvel onglet est disponible et appelé Mise en route, comme indiqué à la figure 5.13.
Sélectionnez cette option, puis cliquez sur le bouton Démarrer :

Figure 5.13 : création d'Azure Virtual Desktop

118 | Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop

3. L'assistant de mise en route s'affiche pour la configuration initiale. Dans l'onglet Bases,
renseignez les informations relatives au groupe de ressources, à l'emplacement , aux
informations d’identification de l'utilisateur Azure et aux informations d’identification
de l'administrateur de domaine, comme illustré à la figure 5,14.
• Vous pouvez utiliser un groupe de ressources existant ou en créer un.
• Vous pouvez sélectionner une configuration existante ou un abonnement vide pour
le fournisseur d’identité. Si vous sélectionnez l’option de configuration existante,
c'est que vous avez déjà configuré AD DS.
• Choisissez l’emplacement où Azure Virtual Desktop sera déployé.
• Indiquez le nom d’utilisateur principal (UPN) complet de l’administrateur Azure
Active Directory, qui dispose des autorisations nécessaires pour déployer des
ressources et accorder des autorisations.
• Saisissez l’UPN d'un nouvel utilisateur Active Directory qui sera créé et accordez
des autorisations pour associer des machines à votre nouveau domaine.
Cliquez sur Suivant : machines virtuelles pour accéder à l’onglet suivant :

Figure 5.14 : assistant de mise en route

Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 119

4. L'onglet Machines virtuelles simplifie vraiment la définition de votre infrastructure à

déployer. Vous pouvez commencer par autoriser les utilisateurs à partager cette machine
virtuelle. Vous pouvez créer un déploiement unique ou multi-session, comme illustré à la
figure 5.15.

Figure 5.15 : configuration utilisateur

5. Vous devez désormais sélectionner l'image de la machine virtuelle ou vous pouvez toujours
opter pour une image personnalisée ou sélectionner un disque dur virtuel dans un blob de
stockage. Les différentes options d’image disponibles s'affichent afin que vous puissiez en
sélectionner une, comme illustré dans la figure 5.16 :

Figure 5.16 : configuration de l'image

120 | Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop

6. Vous allez ensuite définir la taille de la machine virtuelle , le préfixe du nom de la machine
virtuelle et le nombre de machines virtuelles à déployer, comme illustré à la figure 5.17 :

Figure 5.17 : configuration de machine virtuelle

7. Si vous le souhaitez, vous pouvez lier des modèles ARM en cliquant sur la case à cocher
Associer un modèle Azure, qui affichera deux nouveaux champs supplémentaires. Vous
pouvez saisir l'URL du fichier de modèle ARM et l’URL d’un fichier de paramètres, comme
illustré à la figure 5.18. Nous n'associerons pas de modèle ARM dans cette démonstration.

Figure 5.18 : associer un modèle Azure

8. Dans l'onglet Affectations, vous allez créer un utilisateur de test, comme illustré à la
figure 5.19. Une fois que vous avez configuré les détails, sélectionnez l'option Examiner +
créer pour valider le déploiement, puis sélectionnez Créer.

Figure 5.19 : création d’un compte d'utilisateur de test

Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 121

9. La figure 5.20 illustre le déploiement complet d'Azure Virtual Desktop :

Figure 5.20 : déploiement Azure Virtual Desktop

10. Vous remarquerez que l’assistant a créé plusieurs groupes de ressources avec différents
préfixes : avd, -deployment et -prerequisite, comme le montre la figure 5.21 :

Figure 5.21 : Azure Virtual Desktop – groupes de ressources

122 | Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop

Le groupe de ressources az-virtual-desktop-avd dans ce cas, contient l’environnement

Azure Virtual Desktop, y compris les disques du système d’exploitation, les machines
virtuelles, les interfaces réseau, les groupes d’applications, l’identité gérée, le pool d'hôtes et
un espace de travail, comme illustré à la figure 5.22 :

Figure 5.22 : Azure Virtual Desktop – groupes de ressources -avd

Le groupe az-virtual-desktop-deployment contient les artefacts de déploiement,

notamment le compte d'automatisation et les procédures opérationnelles, comme illustré à
la figure 5.23 :
Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 123

Figure 5.23 : Azure Virtual Desktop – groupes de ressources -deployment

Enfin, le groupe az-virtual-desktop-prerequisite contient des composants tels que les

services de domaine Azure AD, le réseau virtuel, les interfaces réseau, l’adresse IP publique
et l’équilibreur de charge Azure, comme illustré à la figure 5.24 :

Figure 5.24 : Azure Virtual Desktop – groupes de ressources -prerequisite

124 | Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop

Si vous avez besoin d’étendre votre environnement, vous pouvez créer un pool d'hôtes ou
développer votre pool d'hôtes existant.

Étapes permettant de déployer les machines virtuelles associées à

Azure AD dans Azure Virtual Desktop
Intéressons-nous désormais au déploiement des machines virtuelles associées à Azure Active
Directory dans Azure Virtual Desktop.

Vous pouvez étendre le pool d'hôtes existant ou en créer un. Nous allons étendre notre pool
d'hôtes. Pour ce faire, accédez au volet Azure Virtual Desktop, sélectionnez Pools d'hôtes, puis
cliquez sur l'onglet Machines virtuelles. L’option permettant d'associer la machine virtuelle à
Azure AD s'affiche.

Figure 5.25 : extension d’un pool d'hôtes existant

Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 125

Vous serez dirigé vers un assistant qui vous permettra d'ajouter des machines virtuelles de la
même manière que vous créerez une machine virtuelle. La configuration de base de la machine
virtuelle est illustrée à la figure 5.26 :

Figure 5.26 : ajout de machines virtuelles à un pool d'hôtes

126 | Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop

Dans l’onglet suivant, vous allez configurer les propriétés des machines virtuelles
supplémentaires, comme le montre la figure 5.27 :

Figure 5.27 : configuration de machines virtuelles

Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 127

Vous devrez saisir un nom d’utilisateur local pour le compte administrateur de la machine
virtuelle. Un compte administrateur local portant ce nom sera créé sur chaque machine
virtuelle. Vous pouvez supprimer l’administrateur ou réinitialiser le mot de passe après la
configuration initiale de la machine virtuelle.

Figure 5.28 : configuration du réseau et de la sécurité

128 | Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop

Une fois la validation terminée, vous pouvez procéder à la création.

Figure 5.29 : ajout de nouvelles machines virtuelles à un pool d'hôtes

Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 129

Le déploiement s'achèvera au bout de quelques minutes. Vos nouvelles machines virtuelles

figureront désormais dans le pool d'hôtes :

Figure 5.30 : présentation du déploiement

Selon votre cas d’utilisation, vous pouvez tirer parti des modèles ARM pour créer l’infrastructure
de votre déploiement Azure Virtual Desktop.

Modèles ARM
Les modèles Azure Resource Manager (ARM) sont utilisés pour simplifier la création de
votre environnement Cloud. Le modèle ARM illustré à la figure 5.31 vous aidera à déployer une
machine virtuelle avec Active Directory et Azure AD Connect :

Figure 5.31 : composants de modèle ARM

130 | Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop

Ce modèle ARM mettra en service les ressources suivantes :

• Un réseau virtuel
• Un sous-réseau
• Un groupe de sécurité réseau (NSG) :
• Autorise le trafic AD, autorise le trafic entrant Remote Desktop Protocol (RDP) et
limite l'accès de la zone démilitarisée (DMZ)
• Un DNS configuré pour pointer vers le contrôleur de domaine
• Une machine virtuelle :
• AD DS est installé et configuré.
• Les utilisateurs de test sont créés dans le domaine.
• Azure AD Connect est installé et prêt à être configuré.
• Une adresse IP publique a été attribuée à l’administration à distance via RDP

Une fois le modèle ARM déployé, l’état sera modifié à Terminé. À ce stade, le contrôleur de
domaine est prêt pour la connectivité RDP.

Remarque
Vous pouvez également essayer différents modèles ARM en fonction de vos besoins et les
extraire des modèles Azure Quickstart, notamment :

zones HA 2 DC du nouveau domaine Active Directory : [Link]

quickstart-templates/tree/master/application-workloads/active-directory/active-directory-
new-domain-ha-2-dc-zones

active-directory-new-domain-module-use: [Link]
templates/tree/master/application-workloads/active-directory/active-directory-new-domain-
module-use

active-directory-new-domain: [Link]
master/application-workloads/active-directory/active-directory-new-domain

Nous pouvons désormais configurer Azure AD Connect avec AD DS. Vous pouvez vous connecter
à la machine virtuelle Azure récemment configurée pour installer Azure AD Connect à l’aide de
ce lien : [Link]
Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 131

Configuration d’Azure AD Connect avec AD DS

Comme nous l’avons mentionné précédemment, Azure AD Connect vous permettra d'intégrer
les identités hybrides à l'aide de fonctionnalités dédiées à la synchronisation des utilisateurs sur
site.

La prochaine étape du processus consiste à se connecter au contrôleur de domaine et à

configurer Azure AD Connect. Si votre entreprise dispose d’une topologie à forêt unique, vous
pouvez utiliser les paramètres express.

Pour en savoir plus sur l’installation d’Azure AD Connect, consultez la page :[Link]

[Link]/azure/active-directory/hybrid/how-to-connect-install-custom.

La figure suivante illustre l’assistant Azure AD Connect :

Figure 5.32 : assistant Azure AD Connect

Nous avons étudié Azure AD Connect avec AD DS et découvert comment le synchroniser avec
Azure AD. Une fois qu'Azure AD a été correctement configuré au sein de votre organisation, il est
important de protéger les identités des collaborateurs à l'aide de mécanismes d’authentification
plus puissants et de minimiser les attaques potentielles d’identité.
132 | Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop

Protéger votre infrastructure d'identité

De nos jours, les mots de passe ne sont plus assez forts et la plupart des attaques exploitent
cette vulnérabilité, ainsi que les violations de données, dont la plupart concernent
le hameçonnage. Il est important de protéger vos identités à l'aide de mécanismes
d’authentification plus puissants. L'authentification multifacteur (MFA) d'Azure AD est l’un
d’entre eux. Étudions-le en détail.

Authentification-multifacteur Azure AD
Une authentification forte à l’aide d’Azure AD peut prévenir jusqu’à 99,9 % des attaques
d’identité. À mesure que vous élaborez votre stratégie pour sécuriser vos informations
d’identification, vous devez déployer les méthodes les plus sûres, exploitables et rentables
pour votre organisation et vos utilisateurs. La prise en charge de la MFA est l’un des principaux
avantages de l’utilisation d’Azure AD et nécessite l’utilisation d’au moins deux méthodes de
vérification. Ainsi, Azure AD MFA permet de sécuriser l’accès aux données et aux applications.
Les fonctionnalités d’Azure AD MFA sont disponibles et fonctionnent sous licence de différentes
façons. Pour en savoir plus, consultez la documentation disponible ici : [Link]
com/azure/active-directory/authentication/howto-mfa-mfasettings.

Azure AD MFA nécessite au moins deux des méthodes d’authentification suivantes :

• Un élément que vous connaissez : un nom d’utilisateur et un mot de passe sont la
manière la plus courante de fournir des informations d’identification.
• Un élément dont vous disposez : il peut s’agir d’un appareil de confiance tel que votre
téléphone ou une clé matérielle.
• Un élément vous concernant : comme une empreinte digitale ou une analyse faciale.

En tant qu’administrateur, il est possible de définir les formes d’authentification secondaire qui
seront utilisées.
Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 133

Azure AD Identity Protection

La mise en œuvre d’une stratégie de sécurité des risques utilisateur à l’aide d’Azure AD Identity
Protection vous permet d'identifier les risques potentiels et de prendre des mesures manuelles
pour chacun d’eux si nécessaire. Vous pouvez identifier différents types de détection des risques
et, en tant qu’administrateur, vous pouvez utiliser des rapports clés pour vos enquêtes. L'édition
Azure AD Premium P2 ou un abonnement EMS E5 est nécessaire pour utiliser Azure AD Identity
Protection.
Deux stratégies de risque principales peuvent être activées dans Azure AD : la stratégie liée aux
risques de connexion et la stratégie liée aux risques utilisateur. Bien que les deux stratégies
automatisent la réponse à la détection des risques dans votre environnement, il est intéressant
de comprendre leur différence :
• Une stratégie liée aux risques de connexion est une réponse automatisée que vous
pouvez configurer pour un niveau de risque de connexion spécifique et bloquer l’accès
aux ressources. L'utilisateur est ainsi contraint de passer par la MFA pour prouver
son identité afin d’accéder à une ressource spécifique. Lors de la configuration d’une
stratégie liée aux risques de connexion, vous devez définir les utilisateurs et les groupes
concernés.
• D’autre part, un administrateur IT peut personnaliser l’expérience de connexion en
fonction des connexions risquées précédentes de l’utilisateur à l'aide d'une stratégie
liée aux risques utilisateur. Une stratégie liée aux risques utilisateur est également
une réponse automatisée qui corrige les utilisateurs lorsqu’ils répondent à un niveau
de risque spécifique ou qu’il existe une forte probabilité que leurs informations
d’identification aient été compromises. Cette stratégie vous permet de bloquer l’accès
aux ressources ou de demander à l’utilisateur de réinitialiser son mot de passe pour
protéger son identité.

Voici une référence qui vous permet de configurer les stratégies de risque : [Link]
[Link]/azure/active-directory/identity-protection/howto-identity-protection-
configure-risk-policies.

Privileged Identity Management

Privileged Identity Management (PIM) est utile pour les organisations qui migrent vers le
Cloud (si ce n’est déjà fait) et souhaitent minimiser les risques, en particulier lorsqu’il s’agit
de comptes privilégiés affectés à des rôles dans l’organisation. Nous faisons ici référence aux
comptes susceptibles d'accéder à de nombreuses ressources et données.
134 | Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop

PIM est un service d'Azure AD qui vous permet de réduire ces risques en appliquant l'accès Juste
à temps (JIT) et l’accès strictement nécessaire (JEA) pour ces comptes.

PIM force les administrateurs de l’organisation qui ont besoin d’utiliser des privilèges
administratifs à élever leur niveau de privilège afin de les utiliser, de sorte qu’ils doivent être
approuvés pour activer les règles privilégiées et appliquer la MFA.

Voici la procédure à suivre pour configurer PIM pour votre organisation : [Link]
com/azure/active-directory/privileged-identity-management/pim-security-wizard.

Proxy d’application Azure AD

L’expérience de sécurité proposée par Azure AD vous offre un guichet unique pour toutes les
fonctionnalités de sécurité d’identité. À l’aide du proxy d'application Azure AD, vous pouvez
activer l’accès des collaborateurs distants aux ressources sur site. Ainsi, le proxy d'application
Azure AD vous permet de publier des applications sur site auprès d'utilisateurs en dehors du
réseau de l’entreprise, tout en étendant les fonctionnalités d’Azure AD sous forme de point de
gestion central pour toutes les applications de l’entreprise.
Cette méthode vous offre plusieurs avantages, notamment la MFA et l’accès conditionnel. Plus
important encore, les limitations des solutions traditionnelles telles que les VPN sont évitées,
car il n’est pas nécessaire d’ouvrir l’accès à l’ensemble du réseau. Le proxy d'application Azure AD
vous permet de contrôler les ressources qui doivent être accessibles et fonctionne sur de
nombreux appareils, y compris les appareils mobiles et de bureau.

Une entreprise peut disposer d’un réseau d’entreprise avec plusieurs applications entre les
services au sein de la zone démilitarisée avec plusieurs segments, ainsi que des utilisateurs en
dehors du réseau qui doivent accéder à ces ressources dans le réseau de l’entreprise.

Afin d’activer le proxy d’application Azure AD, vous devez d’abord installer des agents locaux
dans le réseau, qui sont appelés connecteurs.

Ces connecteurs sont des agents qui sont exécutés sur une machine Windows Server dans votre
réseau d’entreprise. Ils sont responsables de la communication entre votre application locale et
le proxy d’application Azure AD.

Les connecteurs peuvent également être intégrés à Active Directory sur site en fonction du
mécanisme d’authentification unique dont vous avez besoin. Il est important de noter que le
proxy d’application Azure AD nécessite la licence Azure AD Premium P1 ou P2 :
Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 135

Figure 5.33 : charge de travail du proxy d’application Azure AD

La charge de travail du proxy d’application Azure AD, comme illustrée dans la figure 5.33 est la
suivante :

1. Votre organisation peut exécuter une application accessible au public à l'aide d'un point de
terminaison qui peut être une URL.

2. Les utilisateurs externes peuvent se connecter à l’application à l’aide de cette URL.

3. Les utilisateurs externes seront redirigés vers un service Cloud. Le fournisseur d’identité,
qui est Azure AD, authentifiera l’utilisateur à l’aide de la MFA, de l’accès conditionnel ou de
toute autre méthode.

4. Une fois l'utilisateur authentifié, Azure AD enverra le jeton sur son appareil client.

5. Azure AD enverra ensuite le jeton au service du proxy d’application Azure AD, et l’utilisateur

sera redirigé vers l’application locale à l’aide du connecteur du proxy d’application.

6. Le connecteur du proxy d’application Azure AD effectuera une authentification

supplémentaire pour le compte de l’utilisateur si l’authentification unique a été configurée.

7. Enfin, le connecteur envoie la requête à l’application locale, et la réponse est renvoyée à

l’utilisateur via le connecteur et le service de proxy d’application Azure AD.

Comme vous pouvez le voir, le proxy d’application Azure AD peut être utilisé pour vos
applications locales qui doivent être accessibles depuis l’extérieur du réseau de l’entreprise.
136 | Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop

Accès conditionnel Azure AD

Pour faciliter le travail à distance des utilisateurs qui tentent d’accéder à des applications à la
fois sur site et dans le Cloud, les administrateurs doivent s’assurer que les bonnes personnes
obtiennent les autorisations appropriées pour accéder aux ressources. L’accès conditionnel est
une fonctionnalité Premium d’Azure AD qui répond à ces défis en fournissant un mécanisme
permettant de contrôler l’accès aux ressources en fonction des stratégies.

L’accès conditionnel Azure AD permet aux administrateurs de facilement protéger les ressources
de leur entreprise et d'appliquer les contrôles d’accès appropriés grâce à des stratégies
qui peuvent être configurées en fonction de certains signaux courants, tels que l’appareil,
l’application, l’emplacement IP, l'utilisateur et l’appartenance à un groupe.

Voici des exemples de l’accès conditionnel Azure AD :

• Emplacement : les utilisateurs qui accèdent à une ressource lorsqu’ils sont à l'extérieur
du réseau de l’entreprise sont obligés d’utiliser la MFA.
• Plateforme d’appareils : définissez une stratégie pour chaque plateforme d’appareils qui
bloque l’accès. Vous pouvez par exemple autoriser uniquement les appareils iOS et non
les appareils Android.
• Applications Cloud : nécessite que les applications qui utilisent des informations
sensibles soient bloquées si Azure AD détecte une connexion risquée.

Ainsi s'achève notre analyse détaillée d’Azure AD. Passons désormais aux autres méthodes
offertes par Azure pour garantir la connectivité à distance.

Faciliter la connectivité à distance

Le réseau virtuel Azure est un bloc constitutif fondamental en matière de connectivité. Il permet
en effet d'étendre votre connectivité à Azure et d'offrir la meilleure expérience d’application
et de connectivité à travers l’organisation, auprès des partenaires et des clients. Azure offre
une variété de fonctionnalités de mise en réseau qui garantissent la connectivité et facilitent le
travail à distance en toute sécurité.

Ces fonctionnalités de mise en réseau comprennent plusieurs services de mise en réseau Azure.
Trois principaux services facilitent le travail à distance : Azure Virtual WAN, Azure VPN et
ExpressRoute.
Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 137

Azure Virtual WAN

Azure Virtual WAN fournit une infrastructure unifiée pour la sécurité réseau et des
fonctionnalités de routage qui vous permettent de vous connecter et ce, sur différentes régions.
Il vous permet également de déployer des appliances virtuelles réseau (NVA) Azure à l’intérieur
d’un hub WAN virtuel.

Un hub WAN virtuel est fondamentalement un réseau virtuel où vous pouvez déployer des
passerelles intégrées à ExpressRoute et aux NVA. Afin de faciliter le travail à distance, vous
pouvez utiliser les fonctionnalités d’Azure Virtual WAN pour offrir une meilleure expérience de
connectivité aux utilisateurs distants. Cette solution peut connecter plusieurs branches via des
VPN de site à site et des utilisateurs distants via des VPN de point à site.

Azure Virtual WAN vous permet de développer la connectivité avec plusieurs hubs afin d'obtenir
un hub entièrement maillé qui vous permet de bénéficier d'une approche de connectivité
sans contrainte. De cette façon, vous pouvez connecter un utilisateur distant à Azure tout en
interconnectant un point de terminaison ExpressRoute ou une branche derrière un VPN de site
à site.

Il est important de souligner que chaque Azure Virtual WAN est associé à un routeur qui
contrôle les itinéraires avec toutes les autres passerelles du hub. Des fonctionnalités de transit
de réseau à réseau associées à une capacité d'agrégation maximale de 50 Gbit/s sont également
assurées.

Azure Virtual WAN est livré avec des fonctionnalités de sécurité intégrées. Vous pouvez déployer
un hub par région et configurer plusieurs pare-feux, qui peuvent être gérés par Azure Firewall
Manager. De cette façon, vous pouvez utiliser Azure Firewall Manager pour travailler à travers
les abonnements, les régions et les déploiements, et créer des stratégies pour sécuriser tout le
trafic passant par le réseau.

De nos jours, la plupart des entreprises comptent sur les partenaires et les fournisseurs pour
assurer ces fonctionnalités de mise en réseau à l’aide de matériel ou d’appareils virtuels. Ces
éléments peuvent être migrés vers Azure, car vous avez la possibilité de déployer un NVA via
Azure Marketplace et de l’intégrer au Hub Virtual WAN. En outre, des fonctionnalités BGP sont
intégrées pour exécuter le routage en transit sur plusieurs réseaux et itinéraires d’échange qui
informent les appareils sur site et les passerelles VPN Azure s’ils sont accessibles ou non :
138 | Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop

Figure 5.34 : mise en réseau Azure

Vous pouvez configurer plusieurs réseaux virtuels dans Azure dans plusieurs régions, en
fournissant aux travailleurs à distance une connexion VPN de point à site ou une connexion
de site à site pour votre connexion de passerelle VPN depuis votre réseau local vers le réseau
virtuel. Cela est illustré à Figure 5.34.

Azure VPN
Une passerelle VPN Azure vous permet d’envoyer du trafic chiffré sur les sites locaux et les
réseaux virtuels Azure sur Internet ou entre d’autres réseaux virtuels. Plusieurs connexions
peuvent être disponibles sur la même passerelle VPN. Toutefois, une seule connexion VPN est
assurée par réseau virtuel.

Avant de configurer un type spécifique de passerelle VPN, nous devons comprendre les
configurations disponibles pour les connexions de passerelle VPN et déterminer celle qui
convient le mieux à votre entreprise. Azure propose plusieurs topologies de connexion
répondant aux besoins de votre entreprise : site à site (S2S), multisite, point à site (P2S) et
ExpressRoute.

Discutons de chacune d'entre elles.

Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 139

Site à site et multisite

La passerelle VPN de site à site est la mieux adaptée à votre entreprise si vous souhaitez
réaliser des configurations hybrides entre votre emplacement local et les réseaux virtuels.
Une connexion S2S est une connexion sur un tunnel VPN IPsec/IKE (IKEv1 ou IKEv2). Par
conséquent, pour déployer ce type de connexion, vous aurez besoin d’un appareil VPN situé
dans votre datacenter local et d’une adresse IP publique qui lui est attribuée. La figure suivante
illustre le schéma de connectivité VPN S2S :

Figure 5.35 : VPN de site à site

Si votre organisation dispose de plusieurs emplacements sur site, il est possible de connecter
des branches au même réseau virtuel à l’aide d’une approche de connexion multisite via un
VPN dépendant de l’itinéraire. Sachez que les réseaux virtuels ne peuvent avoir qu’une seule
passerelle VPN ; toutes les connexions qui traversent la même passerelle VPN partageront la
bande passante disponible :

Figure 5.36 : VPN multisite

140 | Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop

Vous pouvez également configurer une connexion de réseau à réseau et la combiner avec une
configuration multisite, comme le montre la figure 5.17. Vous pouvez établir une connectivité
avec plusieurs réseaux virtuels au sein d'abonnements, de régions et de modèles de déploiement
similaires ou différents.

VPN de point à site

Si vous souhaitez accorder aux utilisateurs distants un accès aux ressources dans Azure, vous
pouvez utiliser les connexions de passerelle VPN P2S. Dans ce mode de déploiement, il n’est pas
nécessaire de disposer d'un appareil VPN sur site. La connexion est en effet établie directement
à partir de l’appareil client, comme le montre la figure 5.37 :

Figure 5.37 : VPN de point à site

Ce type de connexion est rentable si vous souhaitez permettre à quelques utilisateurs distants
d’accéder aux ressources dans le Cloud via un réseau virtuel.
Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 141

ExpressRoute
Comme on l’entend très souvent sur le terrain, ExpressRoute est votre câble Ethernet vers
Azure. Cette solution fournit une connectivité entre votre emplacement local et Azure à
l’aide d’une connexion privée via un partenaire connu sous le nom de fournisseur d'accès.
ExpressRoute offre une connectivité de couche 3, qui prend en charge les connexions réseau
sans contrainte, les connexions Ethernet point à point ou une connexion virtuelle.

En fonction des besoins de votre entreprise et du fournisseur de connectivité, vous pouvez

choisir la méthode de connectivité au Cloud. Quatre façons vous permettent de créer une
connexion :
• Colocation de Cloud Exchange : si votre datacenter est colocalisé dans une installation
avec un échange Cloud, vous pouvez tirer parti des connexions croisées de couche 2 ou
des connexions croisées gérées de couche 3 via l’échange Ethernet du fournisseur pour
connecter votre infrastructure et Azure.
• Connexion Ethernet point à point : ce modèle vous permet de connecter votre
datacenter à Azure via des fournisseurs Ethernet qui proposent des connexions de
couche 2 ou des connexions gérées de couche 3. Vous pouvez donc établir votre
connexion privée à l’aide de liaisons Ethernet point à point.
• Connexion sans contrainte (IPVPN) : vous pouvez activer la connectivité WAN entre
Azure et les succursales ou les datacenters, généralement proposée en tant que
connectivité gérée de couche 3.
• ExpressRoute Direct : vous pouvez vous connecter au réseau mondial de Microsoft
et bénéficier d'une connectivité active/active à grande échelle pour couvrir différents
besoins, tels que l’assimilation massive de données dans les services Azure ou l’isolation
de la connectivité.

Les circuits ExpressRoute, illustrés dans la figure 5.38, offrent une large gamme de bande
passante, allant de 50 Mbits/s à 10 Gbits/s, ainsi qu'une mise à l’échelle dynamique sans
interruption :
142 | Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop

Figure 5.38 : ExpressRoute

En outre, il est possible d’établir simultanément un circuit ExpressRoute et une connexion S2S.
Même s'ils peuvent coexister, ils nécessitent deux passerelles de réseau virtuel destinées au
même réseau virtuel, l’une utilisant le type de passerelle VPN et l’autre le type de passerelle
ExpressRoute.

Maintenant que vos connexions ont été établies vers Azure, étudions comment vous pouvez
sécuriser et gérer le trafic vers vos applications basées dans le Cloud.

Sécuriser et gérer le trafic vers vos charges de travail

La sécurité est une responsabilité partagée entre Microsoft, les partenaires et les clients. Azure
assure des contrôles et des services de sécurité pour protéger les identités, le réseau et les
ressources de données.

Dans la section précédente, Azure Active Directory , nous avons examiné comment tirer parti des
fonctionnalités d’identité et de gestion proposées par Azure AD pour garantir un accès sécurisé
aux données et aux ressources. La protection de l’infrastructure et des charges de travail lors
des accès à distance quotidiens est une tâche cruciale. Microsoft fournit des solutions de qualité
professionnelle pour sécuriser le trafic vers vos applications, qu’elles soient exécutées via Azure
ou à partir d’un emplacement sur site.
Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 143

Azure vous permet de protéger votre infrastructure Cloud en appliquant des contrôles
de sécurité réseau pour gérer le trafic, en configurant des règles d’accès, en étendant
la connectivité à vos ressources locales et en protégeant votre réseau virtuel.

L’un des principaux services que vous pouvez utiliser pour protéger les applications Web
est le Pare-feu d’applications web Azure (WAF), illustré à la figure 5.39 :

Figure 5.39 : Azure WAF

Azure WAF est conforme à diverses normes de conformité, y compris, mais sans s’y limiter,
PCI-DSS, HIPAA, SOC, ISO et CDSA. La liste complète des offres de conformité est disponible
ici : [Link]
144 | Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop

Application Gateway avec WAF

Votre organisation peut exécuter des applications dans le Cloud ou sur site et ces charges de
travail sont susceptibles d'être destinées à des utilisateurs distants. Application Gateway est
un composant clé de plateforme en tant que service (PaaS) qui peut s'avérer utile dans cette
situation. Il s’agit d’un contrôleur de fourniture d’application (ADC) léger qui assure la prise
en charge de la terminaison SSL, de l’affinité de session et du routage basé sur le contenu. Cet
ensemble de fonctionnalités confère au service Application Gateway une grande flexibilité. Il
peut être déployé, avec Azure WAF ou Azure Front Door, afin d’améliorer les capacités de mise
à l’échelle et de protéger vos applications sur site ou dans le Cloud contre les OWASP et d’autres
vulnérabilités, sans nécessiter de configurations supplémentaires.

Application Gateway et Azure WAF sont des services PaaS gérés. Vous économisez ainsi
du temps, tout en offrant une protection appropriée à vos applications. C'est Azure qui prend
en charge l’infrastructure sous-jacente, comme illustré dans la figure suivante :

Figure 5.40 : Azure Application Gateway et Azure WAF

Voici les avantages clés offerts par Azure WAF :

• Protection préconfigurée contre les 10 principales attaques de type OWASP.
• Protection robotique
• Moteur de règles personnalisées (géo-filtrage, restriction IP, filtrage de paramètres
HTTP et limite de taille).
• Journaux et métriques dédiés à la détection et aux alertes.
Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 145

Un autre cas d’utilisation commun est l’intégration avec Azure Front Door, qui fournit un
service d’accélération et de livraison d’applications dans le monde entier dans Azure, en plus de
l’équilibrage de charge régional pour les applications Web.

L’un des principaux avantages offerts par l'association d'Azure Front Door et d'Azure WAF est
la possibilité de détecter et de prévenir les attaques contre vos applications Web avant qu’elles
n’atteignent le réseau virtuel. Vous pouvez arrêter les attaques malveillantes à proximité des
sources avant qu’elles ne pénètrent votre réseau virtuel et créer des limites de débit ou des
seuils de requête pour protéger vos applications d'une éventuelle surcharge. La figure 5.41
illustre le processus en question :

Figure 5.41 : Azure Front Door et Azure WAF

Vous pouvez ainsi publier et sécuriser vos applications Web, qu’elles soient hébergées sur site ou
dans le Cloud.
146 | Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop

Pare-feu Azure
Le pare-feu Azure est le prochain contrôle de sécurité du périmètre que votre organisation peut
utiliser pour protéger vos ressources réseau virtuelles. Le pare-feu Azure vous permet de créer,
de mettre en œuvre et de connecter des applications et des stratégies de connectivité réseau
de la couche 3 à la couche 7, issues du modèle OSI et couvrant les abonnements et les réseaux
virtuels.

Le pare-feu Azure est essentiel lors de la mise en œuvre du travail à distance, car il peut
protéger vos déploiements d’infrastructure Azure Virtual Desktop sur Azure, tout en fournissant
des renseignements sur les menaces, afin que les utilisateurs distants puissent accéder
correctement à leurs bureaux virtuels. Il est recommandé d'utiliser des noms de domaine
complets (FQDN) avec Azure Virtual Desktop pour simplifier l’accès. Le pare-feu Azure offre une
intégration simplifiée avec Azure Virtual Desktop, en appliquant des fonctionnalités de filtrage
sur le trafic sortant, comme illustré à la figure 5.42 :

Figure 5.42 : pare-feu Azure

Il est important de noter que le pare-feu Azure est un service entièrement géré basé dans le
Cloud et qu'Azure prend en charge l’infrastructure sous-jacente.
Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 147

Azure Load Balancer et équilibrage de charge inter-régions

Très souvent, les entreprises ont du mal à exécuter leurs charges de travail basées dans le
Cloud lors d'une augmentation du trafic vers les applications et souhaitent offrir une meilleure
expérience client. Azure fournit des fonctionnalités d’équilibrage de charge intégrées pour les
ressources Cloud, afin que vous puissiez créer des applications Web hautement disponibles et
évolutives.

Azure Load Balancer est le composant principal qui garantit la haute disponibilité, comme le
montre la figure 5.43. Cette solution fonctionne à la couche 4 du modèle OSI et représente un
point de contact unique pour les clients. Azure Load Balancer est optimisé pour les charges de
travail Cloud et distribue le trafic entrant vers des instances de pool back-end.

Azure Load Balancer peut être ouvert au public, de sorte qu’il peut équilibrer les charges du
trafic Internet vers vos applications exécutées dans Azure. Il peut également être interne, et
dans ce cas, les adresses IP privées sont nécessaires uniquement sur le côté frontal :

Figure 5.43 : Azure Load Balancer

148 | Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop

Deux principaux profils d’équilibreur de charge Azure sont proposés : le basique et le standard.
Auparavant, vous ne pouviez ajouter des interfaces réseau associées à des machines virtuelles ou
à des virtual machine scale sets uniquement dans le pool back-end d’un équilibreur de charge.
Toutefois, en raison des améliorations récentes qui permettent d’équilibrer les charges entre les
adresses IP, vous pouvez désormais équilibrer les charges des ressources exécutées dans Azure
via des adresses IPv4 ou IPv6 privées grâce au profil standard, qui étend la capacité d’équilibrage
de charge entre les conteneurs.

Auparavant, Azure Load Balancer était capable d'équilibrer les charges uniquement dans une
région donnée. Vous pouvez maintenant utiliser Azure Load Balancer pour équilibrer les charges
entre plusieurs régions pour distribuer le trafic entrant et prendre en charge des scénarios de
haute disponibilité géo-redondants :

Figure 5.44 : équilibreur de charge inter-régions

Des fonctionnalités interrégionales peuvent par ailleurs être ajoutées à une solution
d’équilibrage de charge existante. La possibilité d’utiliser une configuration IP frontale statique
constitue un énorme avantage.

Azure Bastion et accès Juste à temps (JIT)

Parfois, les organisations doivent accorder un accès à distance aux ressources dans Azure et
souhaitent fournir un moyen sécurisé de se connecter à ces ressources sans nécessiter de
connexion VPN, ni d'affectation d'adresses IP publiques à une machine virtuelle.

Azure Bastion vous permet de gérer vos ressources en toute sécurité, en fournissant une
connectivité RDP/SSH aux machines virtuelles déployées au sein d’un réseau virtuel, sans
nécessiter d'adresses IP publiques directement à partir du portail Azure :
Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 149

Figure 5.45 : Azure Bastion

Azure Bastion est une solution gérée et un VMSS est déployé au sein de votre réseau virtuel
dans le back-end,. Ainsi, les utilisateurs distants peuvent se connecter via RDP/SSH sans aucune
exposition aux adresses IP publiques. Par conséquent, la solution peut également évoluer selon
les besoins en fonction du nombre de sessions simultanées.

En plus des fonctionnalités de protection et de connectivité, Azure Security Center peut être
utilisé pour mettre en œuvre l’accès JIT. Ce dernier vous permet de verrouiller le trafic entrant
vers vos machines virtuelles afin de réduire l’exposition aux attaques et d’auditer facilement
l’accès à la machine virtuelle.

L’accès JIT peut également être utilisé avec le pare-feu Azure pour réduire l’exposition aux
attaques volumétriques du réseau en créant des stratégies qui définissent les ports que vous
souhaitez protéger, par exemple, la durée pendant laquelle ils doivent rester ouverts, et filtrer
les adresses IP qui peuvent accéder à la machine virtuelle.

Maintenant que nous avons discuté des principaux services qui permettent à votre organisation
de mieux sécuriser et gérer le trafic vers vos applications, jetons un coup d’œil au dernier
élément : faciliter le travail à distance grâce à l’infrastructure Azure Virtual Desktop.
150 | Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop

Faciliter le travail à distance à l'aide d'Azure Virtual Desktop

Dans l'environnement actuel, nous avons tous modifié nos méthodes de collaboration avec
nos collègues, nos partenaires et nos clients. Les entreprises de toutes tailles ont investi dans
l’adoption d’outils de collaboration capables de faciliter le travail à distance et de fournir la
meilleure expérience possible aux collaborateurs afin qu'ils puissent communiquer lorsque les
activités sont perturbées, tout en améliorent leur productivité.

Virtual Desktop Infrastructure (VDI) est une solution de virtualisation qui fournit un
environnement de bureau aux utilisateurs distants, similaire à leur ordinateur local. Azure
Virtual Desktop facilite le travail à distance tout en offrant la meilleure expérience possible pour
maintenir l’infrastructure sous-jacente. Cette solution peut par ailleurs être créée en quelques
minutes.

Azure Virtual Desktop prend en charge une variété de systèmes d’exploitation, notamment
Windows 10 et Windows 11 Enterprise, Windows 10 et Windows 11 Enterprise multi-session,
Windows 7 Entreprise et Windows Server 2012 R2, 2016 et 2019. Selon les besoins de votre
entreprise, vous pouvez utiliser un modèle de licence spécifique tel que Microsoft 365 E3, E5,
A3, A5 ou F3 ; Business Premium ; Windows E3, E5, A3 ou A5 ; ou des licences d’accès client RDS.
La figure 5.46 illustre le fonctionnement d'Azure Virtual Desktop :

Figure 5.46 : Architecture Azure Virtual Desktop

Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 151

• À gauche, les points de terminaison se trouvent généralement dans le réseau local et

peuvent étendre la connectivité via une connexion S2S ou ExpressRoute. Azure AD
Connect peut également intégrer les services AD DS sur site à Azure AD.
• Votre organisation peut gérer AD DS, Azure AD, les abonnements Azure, les réseaux virtuels,
le stockage, ainsi que les pools d’hôtes et les espaces de travail d'Azure Virtual Desktop.
• Microsoft gère le plan de contrôle Azure Virtual Desktop, qui s'occupe à son tour
des composants de l’accès Web, de la passerelle, du broker, des diagnostics et de
l’extensibilité, tels que les API REST.

Pour que votre organisation puisse utiliser Azure Virtual Desktop, Azure AD, une instance
Windows Server Active Directory synchronisée avec Azure AD et un abonnement Azure sont
nécessaires. Les machines virtuelles d'Azure Virtual Desktop peuvent être associées au domaine
standard ou associées à Azure AD dans un environnement hybride.

La nouvelle expérience basée sur ARM d'Azure Virtual Desktop facilite la gestion de votre
environnement. Elle inclut une nouvelle interface utilisateur de surveillance intégrée à Log
Analytics et une interface utilisateur de gestion via le portail Azure. Elle vous permet également
de gérer votre environnement à l’aide du module Azure PowerShell pour Azure Virtual Desktop.

L’expérience basée sur ARM fournit également un meilleur contrôle d’accès administrateur, car
elle exploite le contrôle d'accès en fonction du rôle (RBAC) d'Azure avec des rôles personnalisés
intégrés. Vous pouvez également publier des applications et gérer l’accès via les groupes
d’utilisateurs Azure AD et les utilisateurs individuels. En outre, vous pouvez désormais spécifier
la géographie souhaitée pour le stockage.

Le diagramme suivant offre un aperçu général de l’architecture d'Azure Virtual Desktop :

Figure 5.47 : structure d'Azure Virtual Desktop

152 | Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop

Grâce au portail Azure, vous bénéficiez d’une expérience de gestion fluide pour votre
déploiement Azure Virtual Desktop, en disposant notamment de pools d’hôtes, de groupes
d’applications, d'espaces de travail et d'utilisateurs :

Figure 5.48 : gestion d'Azure Virtual Desktop via le portail Azure

Vous pouvez utiliser des fonctionnalités ARM pour configurer Azure Virtual Desktop. Vous devez
enregistrer le fournisseur de ressources [Link], puis créer les
pools hôtes selon vos besoins, en indiquant notamment les détails de la machine virtuelle et
en définissant les paramètres du réseau virtuel Azure. Vous pouvez ensuite créer des groupes
d’applications et ajouter des utilisateurs Azure AD ou des groupes d’utilisateurs. Enfin, vous
pouvez configurer votre espace de travail Azure Virtual Desktop, avant d'installer le client Azure
Virtual Desktop pour Windows sur l’appareil client.

Microsoft Learn propose un parcours d'apprentissage qui explique comment mettre en œuvre
des bureaux et des applications à distance à partir d’Azure grâce à Azure Virtual Desktop :
[Link]

Vous pouvez également tirer parti des modèles ARM pour automatiser le processus de
déploiement de votre environnement Azure Virtual Desktop : [Link]
RDS-Templates/.
Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 153

Composants pouvant être gérés à l'aide d'Azure Virtual Desktop

Le tableau suivant compare les ressources que Microsoft gère dans Azure Virtual Desktop et
celles que vous pouvez prendre en charge :

Géré par

Composant Microsoft Clients

Accès web

Gateway

Broker pour les connexions

Diagnostics

Composants d’extensibilité

Réseau virtuel Azure

Azure AD

AD DS

Hôtes de session Azure Virtual Desktop

Espace de travail d’Azure Virtual Desktop

Tableau 5.2 : responsabilités en matière de gestion des ressources

Voici les composants gérés par Microsoft :

• Accès Web : grâce à ce service, les utilisateurs peuvent accéder à leurs bureaux à l’aide
d’un navigateur Web compatible HTML5.
• Gateway : ce service permet aux utilisateurs distants d’établir une connexion avec les
applications et les bureaux d'Azure Virtual Desktop à partir de n’importe quel appareil
capable d’exécuter le client Azure Virtual Desktop.
• Broker pour les connexions : ce service gère les connexions utilisateur et fournit des
fonctionnalités d’équilibrage de charge.
• Diagnostics : il s’agit d’un agrégateur basé sur les événements qui identifie les
défaillances potentielles des composants.
• Composants d’extensibilité : ce service inclut des outils tiers et des extensions
supplémentaires compatibles avec Azure Virtual Desktop.
154 | Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop

Voici les composants que vous gérez :

• Réseaux virtuels Azure : vous pouvez configurer la topologie du réseau selon vos besoins
pour fournir un accès aux bureaux et aux applications en fonction des stratégies de votre
organisation.
• Azure AD : bien qu’il s’agisse d’une condition préalable à l’utilisation d'Azure Virtual
Desktop, vous pouvez gérer les fonctionnalités d’intégration et de sécurité d’Azure AD
pour garantir la conformité de votre environnement.
• AD DS : il s’agit d’une condition préalable à l’utilisation d'Azure Virtual Desktop qui inclut
la synchronisation avec Azure AD. Vous pouvez également tirer parti d’Azure AD Connect
pour associer AD DS à Azure AD.
• Hôtes de session Azure Virtual Desktop : vous pouvez utiliser divers systèmes
d’exploitation, y compris Windows 10 et Windows 11 Enterprise, Windows 10 et
Windows 11 Enterprise multi-session, Windows 7 Enterprise, Windows Server 2012 R2,
2016 et 2019, mais aussi des images Windows personnalisées.
• Espace de travail d'Azure Virtual Desktop : il s’agit d’un espace de travail dédié à la
gestion et à la publication des ressources du pool hôte.

Dimensionnement de votre environnement Azure Virtual Desktop

Auparavant, le dimensionnement de votre environnement Azure Virtual Desktop était un
peu compliqué en raison du manque de conseils basiques. Vous pouvez désormais utiliser
l’estimateur d’expérience Azure Virtual Desktop, un outil qui vous permet de déterminer la taille
d'environnement adaptée pour répondre aux besoins de votre entreprise.

L’estimateur d’expérience Azure Virtual Desktop est disponible à l’adresse [Link]

[Link]/services/virtual-desktop/assessment/.
Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 155

Vous pourrez consulter un tableau indiquant la région présentant le temps aller-retour le plus
faible à partir de votre emplacement actuel. Il vous fournira également une référence pour
déterminer la taille de machines virtuelles et de services réseau nécessaires à votre mise en
œuvre :

Temps de trajet
Région Azure* aller-retour (ms)
Est des États-Unis 2 15

Est des États-Unis 20

Centre-Nord des États-Unis 41

Centre Sud des États-Unis 41

Centre du Canada 43

Centre des États-Unis 47

Est du Canada 54

Centre Ouest des États-Unis 62

Tableau 5.3 : temps aller-retour pour différentes régions Azure

En fonction de votre emplacement actuel, vous pouvez définir une région préférée pour
optimiser l'expérience utilisateur. Gardez à l’esprit qu’il existe des composants supplémentaires
susceptibles d’affecter votre déploiement, tels que les conditions de réseau, les appareils
d'utilisateur et la configuration des machines virtuelles.

Instructions réseau
Comme nous l’avons déjà mentionné, les composants de mise en réseau sont essentiels pour
faciliter le travail à distance. La bande passante est l’une des principales mesures à prendre
en compte lors du dimensionnement de votre environnement, car elle affectera l’expérience
utilisateur. Le tableau suivant illustre certaines recommandations basées sur différents types
de charges de travail [Link]
services/network-guidance :

Type de charge de travail Bande passante recommandée

Légère 1.5 Mbps
Moyenne 3 Mbps
Élevée 5 Mbps
Puissante 15 Mbps

Tableau 5.4 : bande passante recommandée pour différents types de charges de travail

156 | Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop

La résolution d’affichage est un autre facteur de forme avec la bande passante. Le tableau
suivant montre la bande passante recommandée pour garantir une expérience utilisateur
optimale :

Résolution d’affichage type à 30 ips Bande passante recommandée

Environ 1024 × 768 px 1.5 Mbps
Environ 1280 × 720 px 3 Mbps
Environ 1920 × 1080 px 5 Mbps
Environ 3840 × 2160 px (4K) 15 Mbps
Tableau 5.5 : bande passante recommandée pour les différentes résolutions d’affichage à 30 ips

Microsoft fournit des exemples de différents types de charges de travail pour dimensionner
correctement les machines virtuelles dont vous avez besoin pour votre environnement Azure
Virtual Desktop :

Type de charge Exemples

de travail d’utilisateurs Exemples d’applications
Légère Utilisateurs effectuant Applications d’entrée de base de données, interfaces
des tâches de saisie de ligne de commande
de données basiques
Moyenne Consultants et Applications d’entrée de base de données, interfaces de
analystes du marché ligne de commande, Microsoft Word, pages Web statiques

Élevée Ingénieurs logiciels, Applications d’entrée de base de données, interfaces de ligne

créateurs de contenu de commande, Microsoft Word, pages Web statiques, Micro-
soft Outlook, Microsoft PowerPoint, pages Web dynamiques

Power Concepteurs Applications d’entrée de base de données, interfaces de ligne

graphiques, de commande, Microsoft Word, pages Web statiques, Microsoft
modeleurs 3D, Outlook, Microsoft PowerPoint, pages Web dynamiques, Adobe
chercheurs en Photoshop, Adobe Illustrator, design informatique (CAD),
Machine Learning fabrication assistée par ordinateur (CAM)

Tableau 5.6 : exemples de différents types de charges de travail

En outre, le nombre d'utilisateurs accédant simultanément à la même application est un exemple

de métrique qui doit être pris en compte concernant les charges de travail. Cela dit, vous pouvez
tenir compte des recommandations destinées à plusieurs sessions ou à une session unique en
fonction des besoins de votre entreprise.
Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 157

Microsoft fournit une taille de machine virtuelle en fonction du nombre maximal d’utilisateurs
suggérés par l'unité centrale virtuelle (vCPU) et des exemples d’instances Azure qui
correspondent à la configuration minimale de machine virtuelle :

Type de Maximum d’utilisa- Minimum de stockage Exemple Profil de stockage du

charge de
teurs par vCPU vCPU/RAM/OS d'instances Azure conteneur minimum
travail
2 vCPU, 8 Go de RAM,
Légère 6 D2s_v3, F2s_v2 30 Go
16 Go de stockage

4 vCPU, 16 Go de RAM,
Moyenne 4 D4s_v3, F4s_v2 30 Go
32 Go de stockage

4 vCPU, 16 Go de RAM,
Élevée 2 D4s_v3, F4s_v2 30 Go
32 Go de stockage

6 vCPU, 56 Go de RAM, D4s_v3, F4s_v2,

Puissante 1 30 Go
340 Go de stockage NV6

Tableau 5.7 :Recommandations pour une multi-session

En tant que recommandation générale, il est judicieux d’utiliser des disques SSD Premium
pour les charges de travail critiques et d’opter pour des GPU si vous envisagez d’exécuter des
programmes graphiques exigeants sur vos machines virtuelles.

Gestion des profils utilisateur à l'aide d'Azure Files et des Fichiers

NetApp
Même si Azure propose un large éventail de solutions de stockage, les conteneurs de
profil FSLogix sont l’une des solutions de profil utilisateur recommandées pour un service
Azure Virtual Desktop. Ils sont conçus pour les profils itinérants dans des environnements
informatiques distants non persistants.

Lorsqu'un utilisateur se connecte, un conteneur de profil utilisateur est associé de manière

dynamique à l’environnement informatique. Vous pouvez également créer des conteneurs de
profil à l’aide des Fichiers NetApp Azure pour configurer rapidement des volumes SMB pour
Azure Virtual Desktop.
158 | Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop

Le tableau suivant compare les différentes solutions disponibles pour les profils utilisateur de
conteneur de profil FSLogix d'Azure Virtual Desktop :

Fonctions Azure Files Fichiers NetApp Azure Storage Spaces Direct

Cas Usage général Ultra-performance ou Multiplateforme
d’utilisation migration de NetApp
sur site

Service de Oui, solution Azure Oui, solution Azure native Non, auto-géré
plateforme native

Disponibilité Toutes les régions Certaines régions Toutes les régions

régionale

Redondance Localement redondant/ Localement redondant Localement redondant/redondant

redondant interzone/ interzone/géo-redondant
géo-redondant

Niveaux et Standard Standard HDD standard : jusqu’à 500 IOPS

performances Premium jusqu’à Premium de limite par disque
100 000 IOPS par Ultra SSD standard : jusqu’à 4 000 IOPS
action avec 5 Gbit/s Jusqu’à 320 000 (16 000) de limite par disque
par action à une IOPS/s avec 4,5 Gbit/s par SSD Premium : jusqu’à 20 000
latence d’environ volume à une latence IOPS de limite par disque
3 ms d’environ 1 ms Nous recommandons les disques
Premium pour Storage Spaces
Direct
Capacités 100 Tio par action 100 Tio par volume, jusqu’à Maximum 32 Tio par disque
12,5 Pio par abonnement

Infrastructure Taille de partage Pool de capacité minimale Deux machines virtuelles sur
requise minimale 1 Gio 4 Tio, taille de volume Azure IaaS (+ Cloud Witness) ou
minimale 100 Gio au moins trois machines virtuelles
sans les coûts des disques

Protocoles SMB 2.1/3. et NFSv3, NFSv 4.1 (version NFSv3, NFSv4.1, SMB 3.1
REST préliminaire), SMB 3.x/2.x

Tableau 5.8 : profils utilisateur de conteneur de profil FSLogix d'Azure Virtual Desktop

Pour consulter les détails de la disponibilité régionale des Fichiers NetApp Azure et d’autres
produits, consultez la page [Link]

Le tableau suivant compare les solutions des offres de stockage Azure dédiées à Azure Virtual
Desktop, qui sont prises en charge sur Azure avec des profils utilisateur de conteneur de profil
FSLogix :
Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 159

Fonctions Azure Files Fichiers NetApp Azure Storage Spaces Direct

Accès Cloud, sur site et hybride Cloud, sur site Cloud, sur site
(synchronisation avec (via ExpressRoute)
le fichier Azure)

Sauvegarde Intégration d’instantanés Instantanés de fichiers Intégration d’instantanés

de sauvegarde Azure NetApp Azure de sauvegarde Azure

Sécurité Tous les certificates1 ISO terminé Tous les certificates1

et conformité pris en charge par Azure pris en charge par Azure

Intégration Azure Active Directory Azure AD DS et Native Prise en charge uniquement

Azure Active et Azure AD DS2 Active Directory3 de Native Active Directory ou
Directory d'Azure AD DS

Tableau 5.9 : solutions des offres de stockage Azure dédiées à Azure Virtual Desktop

Voici quelques liens utiles pour en savoir plus :

1. Offres de conformité Microsoft : [Link]

offering-home

2. Intégration d'Azure Files à AD : [Link]

files-active-directory-overview

3. Intégration des Fichiers NetApp Azure à AD : [Link]

netapp-files/azure-netapp-files-faqs#does-azure-netapp-files-support-azure-active-
directory

Azure Monitor pour Azure Virtual Desktop

Il est important que vous minimisiez le risque de défaillances dans l’environnement Azure Virtual
Desktop. Azure fournit une intégration native avec Azure Monitor pour identifier rapidement les
problèmes à l’aide d’un tableau de bord unique.

Vous pouvez consulter les journaux d’activité suivants :

• Activités de gestion
• Connexions
• Inscription des hôtes
• Erreurs
• Points de contrôle

Afin de surveiller votre environnement Azure Virtual Desktop, vous devez créer un espace de
travail Log Analytics via le portail Azure ou PowerShell, puis connecter les machines virtuelles à
Azure Monitor.
160 | Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop

Une fois que vous avez intégré votre environnement Azure Virtual Desktop à Log Analytics, vous
serez en mesure d’exécuter des requêtes personnalisées à l’aide du langage de requête Kusto
(KQL) pour analyser l’intégrité de votre environnement Azure Virtual Desktop. Voici un cas
d’utilisation simple : déterminer la durée de session par utilisateur, comme illustré dans le code
suivant :

let Events = WVDConnections | where UserName == "userupn" ;

Events
| where State == "Connected"
| project CorrelationId , UserName, ResourceAlias , StartTime=TimeGenerated
| join (Events
| where State == "Completed"
| project EndTime=TimeGenerated, CorrelationId)
on CorrelationId
| project Duration = EndTime - StartTime, ResourceAlias
| sort by Duration asc

Dans ce code, nous utilisons une déclaration let pour l'instance Event appelée WVDConnections
et des tables de filtrage pour les lignes qui correspondent aux utilisateurs avec un état
connected. Appliquons ensuite la bonne pratique qui consiste à utiliser project pour
sélectionner uniquement les colonnes dont nous avons besoin avant d’effectuer le join. Nous
tirons les événements avec le premier EventType et avec le deuxième EventType, avant de lier
les deux ensembles sur CorrelationId.
Nous renommerons ensuite la colonne timestamp et trierons les résultats dans l’ordre croissant.

Vous pouvez utiliser des classeurs Azure Monitor pour créer des visualisations personnalisées
de vos performances Azure Virtual Desktop. Un exemple de classeur Azure Virtual Desktop est
disponible ici : [Link]
[Link].

Intégrations avec des partenaires Azure Virtual Desktop

Les partenaires Microsoft sont essentiels pour tirer le meilleur parti des capacités de travail à
distance d’une entreprise. Il existe des intégrations avec des partenaires Azure Virtual Desktop
avec Citrix et VMware.

Citrix a étendu ses offres d'applications et de bureaux virtuels à Azure, qui peuvent être
consommées en tant que service géré et disponible via Azure Marketplace. Il s’agit d’une
combinaison de nouvelles technologies et de nouveaux droits. Ce service prend en charge
une expérience Windows 10 et Windows 11 multi-session et, si vous disposez de la licence RDS
appropriée, vous pouvez utiliser Windows Server. Il prend également en charge les expériences
persistantes et non persistantes de session unique ou multi-session.
Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop | 161

Pour en savoir plus sur les applications et les bureaux virtuels sur Azure, consultez la page :
[Link]
azure/.

VMware est un fournisseur Azure Virtual Desktop approuvé qui simplifie le déploiement des
environnements Azure Virtual Desktop hybrides grâce à son plan de contrôle Horizon pour
exécuter une interface de gestion unique pour les déploiements sur site et basés dans le Cloud.

Les clients peuvent utiliser Windows 10 et Windows 11 multi-session. La plateforme est

disponible via la licence Horizon Universal, qui permet de déployer VMware horizon sur
n’importe quelle plateforme prise en charge :
• Pour en savoir plus sur VMware Horizon Cloud sur Microsoft Azure, consultez la page :
[Link]
• Quickstart Guide to Azure Virtual Desktop (Guide de démarrage rapide d'Azure Virtual
Desktop) :[Link]
virtual-desktop/
• Guide de migration Azure Virtual Desktop pour les services Bureau à distance : https://
[Link]/resources/windows-virtual-desktop-migration-guide-for-remote-
desktop-services/

Résumé
Dans ce chapitre, nous avons examiné les défis communs liés à l’infrastructure auxquels les
organisations sont confrontées lorsqu’elles tentent de faciliter le travail à distance. Nous
avons également découvert comment Azure AD peut aider votre organisation à protéger les
identités et les ressources des collaborateurs. Vous avez également appris comment utiliser
les composants de mise en réseau Azure pour garantir la connectivité et sécuriser l’accès
aux charges de travail de votre entreprise, à la fois sur site et dans le Cloud. Enfin, nous
avons examiné comment optimiser l'expérience utilisateur grâce à Azure Virtual Desktop,
tout en passant en revue les conseils sur le dimensionnement et la configuration de votre
environnement.

Le chapitre suivant vous fournira une référence de sécurité et des recommandations sur
l'utilisation des services de sécurité disponibles pour votre organisation, afin que vous puissiez
appliquer des cadres de contrôle de sécurité standard à vos déploiements Azure, ainsi que la
gouvernance à toutes vos ressources.
 Notions de base
6
sur la sécurité pour
lutter contre la
cybercriminalité
Ce chapitre vous aidera à comprendre les notions de base de la sécurité Azure, tout en vous
guidant à travers les services de sécurité disponibles. Nous étudierons comment utiliser les
services Microsoft pour adopter une stratégie Zero Trust au sein de votre organisation, ainsi que
les solutions disponibles pour protéger vos charges de travail et vos ressources, tout en améliorant
vos conditions de sécurité. Dans ce chapitre, nous allons aborder les éléments suivants :
• Renforcer la sécurité des travailleurs à distance
• Obtenir de la visibilité sur l’ensemble de votre infrastructure à l’aide d'Azure Security
Center
• Garantir une protection avancée contre les menaces pour vos environnements hybrides
et multicloud avec Azure Defender
• Sécuriser votre réseau
• Moderniser les opérations de sécurité avec Azure Sentinel
• Une expérience SecOps unifiée
 Notions de base sur la sécurité pour lutter contre la cybercriminalité | 163

Avant d’explorer les services que vous pouvez utiliser pour protéger vos environnements, il est
important de comprendre comment mettre en œuvre efficacement les pratiques de sécurité
pour protéger vos environnements, qu’ils soient sur site ou dans le Cloud. Commençons par
aborder les principaux défis auxquels nous sommes confrontés aujourd’hui et comment vous
pouvez élaborer une stratégie de sécurité efficace pour votre organisation.

Renforcer la sécurité des travailleurs à distance

En plus d'affecter les entreprises de tailles et de marchés verticaux différents, la COVID-19 a
favorisé la cybercriminalité. La crainte associée à cette pandémie a permis aux cybercriminels
de tirer parti de compétences et de motivations permettant d'imiter des sources de confiance et
des organisations nationales de santé à l’aide de diverses tactiques et techniques.

La mise en œuvre du travail à distance s'est avérée délicate, en particulier pour les organisations
qui étaient habituées à fournir un accès aux applications locales uniquement au sein de leur
réseau d’entreprise. La sécurité est une responsabilité partagée entre Microsoft et ses clients.
Dans le monde d’aujourd’hui, une violation de sécurité peut engendrer des dommages de
plusieurs millions de dollars.

En cette période de pandémie, les organisations de toutes tailles ont dû adopter de nouveaux
systèmes et contrôles pour sécuriser l’accès aux ressources sur site et dans le Cloud.

Excellence des opérations de sécurité

Étant donné que le travail à distance est susceptible de perdurer et de concerner de nombreux
collaborateurs, il est nécessaire d’établir des environnements de travail hybrides. L’application
de principes Zero Trust peut aider les entreprises à offrir à leurs collaborateurs un accès aux
ressources nécessaires, qu'elles se trouvent dans leur datacenter privé ou dans le Cloud.

Une approche Zero Trust implique une vérification et une surveillance constantes de l’accès à
l'ensemble des services, applications et connexions réseau de l’entreprise. En d’autres termes,
« Aucune confiance, vérification continue ».

En adoptant un modèle de sécurité Zero Trust, les entreprises peuvent délaisser les réseaux
privés virtuels traditionnels pour accéder aux applications héritées en migrant celles-ci vers
Microsoft Azure.

Les applications Cloud sont accessibles via Internet, tout comme les applications qui ne sont pas
en mesure de migrer complètement vers Azure. Celles-ci peuvent être publiées à l'aide du proxy
d’application Azure Active Directory (Azure AD), comme nous l’avons vu au chapitre 5, Faciliter
le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop.
164 | Notions de base sur la sécurité pour lutter contre la cybercriminalité

Les collaborateurs pourront accéder aux applications qu’ils utilisent quotidiennement via Azure
Virtual Desktop de manière plus sécurisée. En effet, les déplacements vers d’autres ressources
seront limités. Cette approche donne à votre organisation la possibilité d’appliquer une stratégie
de sécurité axée sur le Cloud, tout en offrant aux collaborateurs l’accès aux applications
nécessaires en temps opportun, avec les niveaux d’accès appropriés.

Microsoft fournit une référence de sécurité pour protéger les personnes, les appareils, les
infrastructures et les données contre les vulnérabilités grâce à des solutions de sécurité basées
sur les identités. Par conséquent, Microsoft renforce les produits et les services afin d’identifier
et de traiter les vulnérabilités rapidement et efficacement. Deux plateformes de base vous
permettent d'appliquer les bonnes pratiques en matière de stratégie de sécurité :
• Security Engineering Portal
• Microsoft Security Response Center

Microsoft améliore continuellement sa protection des services et des données grâce à des
pratiques de gestion opérationnelle et d’atténuation des menaces. Vous pouvez utiliser Security
Engineering Portal pour en savoir plus sur les pratiques de sécurité appliquées par Microsoft
pour sécuriser les applications et les services.

Vous pouvez également utiliser Microsoft Security Response Center (MSRC) pour protéger
vos systèmes et gérer les risques liés à la sécurité. Le portail MSRC affiche les dernières mises
à jour de sécurité et les détails sur la gamme de produits, la gravité et l’impact des vulnérabilités.
Il vous permet également d'accéder aux mises à jour de sécurité qui peuvent être appliquées
à votre système et de les télécharger.

Cyber Defense Operations Center

Microsoft Cyber Defense Operations Center réalise une détection des intrusions et répond aux
compromis et aux attaques, afin de vous aider à mieux sécuriser la main-d’œuvre à distance.
Il protège l’infrastructure Cloud, les services, les produits et les appareils utilisés par les clients,
ainsi que les ressources internes de Microsoft, au-delà du périmètre de sécurité traditionnel.

Le Microsoft Cyber Defense Operations Center regroupe des experts en sécurité au sein de
l’entreprise pour aider à protéger, à détecter et à réagir 24 h/24, 7 j/7 aux menaces de sécurité
à l’encontre de l'infrastructure IT et des ressources mondiales de Microsoft.

L’approche de Microsoft en matière de cybersécurité vise à protéger, à détecter et à répondre

aux menaces de cybersécurité. Sur la base de ces trois piliers, expliqués dans les sections
suivantes, Microsoft peut fournir un cadre utile pour les stratégies et les fonctionnalités de
sécurité.
 Notions de base sur la sécurité pour lutter contre la cybercriminalité | 165

Protection
Microsoft s’engage à protéger les ressources de traitement utilisées par les clients et les
collaborateurs afin de garantir la résilience de l’infrastructure et des services Cloud. Les
tactiques de protection de Microsoft s’appuient sur neuf grandes catégories :
• La surveillance et les contrôles de l’environnement physique, tels que l’accès physique
aux datacenters, la vérification et l’approbation de l’accès au périmètre des installations, à
l’intérieur des bâtiments et à l'étage du datacenter.
• Les composants réseau Software-defined qui protègent l'infrastructure Cloud contre
les intrusions et les attaques, notamment les attaques distribuées de déni de service
(DDoS).
• Les contrôles d’identité et de gestion avec l’authentification multifacteur afin de garantir
la protection des ressources et des données critiques.
• L’utilisation des privilèges just-enough-administration (JEA) et just-in-time (JIT) pour
garantir un accès adéquat aux ressources.
• La gestion de la configuration et une bonne hygiène, gérées par des logiciels anti-
programme malveillant et des mises à jour système.
• L'identification et le développement de signatures associées à un programme malveillant
déployées dans l'infrastructure Microsoft à des fins de détection et de défense avancées.
• Le renforcement de l’ensemble des applications, des services en ligne et des produits via
Security Development Lifecycle (SDL) de Microsoft.
• La réduction de la surface d’attaque en limitant les services.
• La prise de mesures appropriées pour protéger les données classifiées, assurer le
chiffrement en transit et au repos, et appliquer le principe d’accès du moindre privilège.

Détection
Bien que Microsoft continue d’investir dans ces couches de protection, les cybercriminels
cherchent toujours des moyens de les exploiter. Aucun environnement n'est entièrement
protégé, car les systèmes peuvent tomber en panne et les collaborateurs peuvent commettre
des erreurs. Par conséquent, Microsoft a adopté un concept Assumer la violation pour garantir
la détection rapide des compromis et la mise en œuvre de mesures appropriées.

Les tactiques de détection de Microsoft s’appuient sur six grandes catégories :

• Surveillance du réseau et des environnements physiques
• Signalement des activités anormales en fonction des analyses d’identité et
comportementale
• Outils de Machine Learning pour identifier les irrégularités
• Identification d'activités anormales à l’aide d’outils et de processus d’analyse
• Efficacité accrue grâce à des processus de logiciels automatisés
• Détermination des processus de correction et de réponse aux anomalies sur les systèmes
166 | Notions de base sur la sécurité pour lutter contre la cybercriminalité

Intervention
L’accélération du triage, de l’atténuation et de la récupération fait partie intégrante de
l’engagement de Microsoft à fournir des informations utiles et exploitables grâce à des systèmes
de réponse automatisés. L’objectif principal consiste à sécuriser les vulnérabilités, atténuer les
attaques et répondre aux événements de cybersécurité.
Les tactiques de réponse de Microsoft s’appuient sur les six principales catégories suivantes :
• Signaler les événements nécessitant une intervention grâce à des systèmes de réponse
automatisés
• Réagir rapidement en fournissant un processus de réponse aux incidents bien défini,
documenté et évolutif à la disposition de tous les intervenants
• Savoir faire des équipes Microsoft pour garantir une compréhension approfondie des
plateformes, des services et des applications fonctionnant dans les datacenters Cloud
pour traiter les incidents
• Déterminer la portée des incidents via des recherches à l’échelle de l’entreprise, à la fois
sur les données et systèmes Cloud et locaux
• Une meilleure compréhension des incidents grâce à une analyse détaillée après violation
• Un temps de réponse et de récupération rapides grâce aux outils logiciels de sécurité et
à l’automatisation

Les organisations peuvent tirer des enseignements du Microsoft Cyber Defense operations
Center et adopter les bonnes pratiques pour sécuriser leurs environnements et améliorer leurs
conditions de sécurité, tout en utilisant des solutions et des intégrations disponibles dans
Microsoft Intelligent Security Association.

Microsoft Intelligent Security Association

Microsoft Intelligent Security Association (MISA) est un écosystème de fournisseurs de
logiciels indépendants provenant de l’ensemble du secteur de la cybersécurité, dont l’objectif
ultime consiste à améliorer la sécurité d’une organisation en partageant son savoir-faire et en
intégrant ses solutions, afin de mieux se défendre contre les menaces incessantes.
Voici les avantages de l’adhésion MISA :
• Les produits de sécurité Microsoft pour étendre l’éventail de solutions
• Une stratégie de commercialisation pour profiter des opportunités de co-marketing
• La relation avec les clients
• L'accès aux équipes de produits pour différencier vos solutions

MISA fournit des conseils et des ressources pour développer des applications, des charges de
travail et l’intégration avec la gestion de la sécurité Microsoft, la protection contre les menaces,
la protection des informations, ainsi que les solutions de gestion des identités et des accès,
afin que vous puissiez créer des solutions de sécurité connectées en prenant en charge des
scénarios multi-produits.
 Notions de base sur la sécurité pour lutter contre la cybercriminalité | 167

Les membres MISA sont indiqués à l’URL suivante : [Link]

misapartnercatalog.

Dans cette section, nous avons étudié comment Microsoft garantit l’excellence des opérations
de sécurité en indiquant les tactiques qui doivent être appliquées pour protéger, détecter
et répondre aux menaces de sécurité potentielles.

Afin d’améliorer vos conditions de sécurité, il est important d’obtenir une visibilité sur l’ensemble
de votre environnement et d’utiliser des mécanismes pour prévenir les menaces de sécurité.
La section suivante décrit les fonctionnalités clés et l'utilisation de Security Center.

Obtenir de la visibilité sur l’ensemble de votre infrastructure

à l’aide d'Azure Security Center
Une visibilité unifiée de votre environnement est essentielle pour surveiller vos conditions
de sécurité, détecter les menaces et y répondre rapidement. Security Center propose les
mécanismes nécessaires pour surveiller vos environnements et réagir de manière proactive aux
menaces de sécurité.

Si vous accédez au portail Azure et que vous recherchez Security Center, ce service s'affiche
au sein de votre abonnement, comme illustré à la figure 6.1 :

Figure 6.1 : aperçu d’Azure Security Center

168 | Notions de base sur la sécurité pour lutter contre la cybercriminalité

La page Security Center affiche une présentation des conditions de sécurité des ressources
au sein de votre abonnement, ainsi que des recommandations pour renforcer la sécurité de ces
ressources :
1. Secure score : il s'agit du cœur des fonctionnalités de gestion des conditions de sécurité
Cloud d'Azure Security Center. Il s’agit d’une mesure de l’état actuel des recommandations
de sécurité pour toutes les ressources. Il est calculé à l'aide du rapport entre vos ressources
saines et vos ressources totales et la pondération de l'importance de certaines des
recommandations de sécurité par rapport aux autres. Plus le score est élevé, plus le niveau
de risque identifié est faible.

2. Conformité réglementaire : fournit des informations sur le niveau de votre conformité par
rapport aux différentes normes réglementaires et sectorielles que vous avez appliquées à vos
abonnements. Azure Defender doit être activé pour surveiller votre score de conformité.

3. Azure Defender : il s’agit de la plateforme de protection intégrée de la charge de travail dans

le Cloud de Security Center. Accédez à Azure Defender depuis Security Center et protégez
vos charges de travail hybrides et multicloud exécutées sur des serveurs, SQL, le stockage,
des conteneurs et l’Internet des objets. Defender fait partie de la solution de détection
et de réponse étendue (XDR) de Microsoft.

4. Firewall Manager : l’intégration d’Azure Firewall Manager dans le tableau de bord principal
d’Azure Security Center permet aux clients de vérifier l’état de la couverture du pare-feu sur
tous les réseaux et de gérer de manière centralisée les stratégies du pare-feu Azure.

Gestion des conditions de sécurité et multicloud

Grâce à l’adoption rapide de services Cloud auprès de plusieurs fournisseurs de Cloud, les
entreprises sont en mesure de rationaliser les opérations, de faciliter le travail à distance et
d’améliorer la productivité des collaborateurs. L’utilisation d’applications Cloud sur plusieurs
plateformes Cloud introduit de nouveaux risques et menaces.

La gestion du niveau de sécurité du Cloud (CSPM) est un terme utilisé pour traiter les attributs
clés qu’une solution de sécurité doit inclure pour fournir la visibilité et les fonctionnalités
nécessaires pour vous aider à comprendre votre environnement. Elle vous permet également
de déterminer comment optimiser la sécurité, que ce soit dans le Cloud ou sur site.

Grâce à Azure Secure Score, Security Center vous permet d'améliorer vos conditions de sécurité
et de réduire le risque de compromettre vos ressources. Cette approche s’étend au-delà des
options IaaS ou PaaS, et s’applique également au modèle SaaS. En effet, le rapport sur l’impact
économique global d’Azure Security Center indique qu’Azure Security Center peut réduire le
risque des violations de sécurité de 25 %.

Pour en savoir plus sur l’étude TEI, consultez l’URL suivante : [Link]
[Link]/cms/api/am/binary/RWxD0n
 Notions de base sur la sécurité pour lutter contre la cybercriminalité | 169

La plateforme de sécurité Cloud de Microsoft peut améliorer la configuration de la sécurité de

votre infrastructure Cloud, tout en détectant et en protégeant vos environnements dans Azure,
sur site et sur d’autres Clouds.

Les organisations qui ont adopté une approche multicloud sont désormais en mesure
d’améliorer facilement leurs conditions de sécurité, grâce au système de gestion de la sécurité
de l’infrastructure unifiée proposé par Microsoft à l'aide de Security Center. Ce service
permet de renforcer le niveau de sécurité de vos ressources Cloud et sur site, tout en offrant
une protection contre les menaces et une analyse approfondie. Security Center vous permet
d'évaluer en permanence l’état de sécurité de vos ressources, notamment celles qui s’exécutent
dans d’autres Clouds et dans des datacenters locaux.

Security Center vous fournit les outils nécessaires pour sécuriser vos services et protéger
votre réseau. Vous pouvez activer Security Center dans votre abonnement Azure et utiliser
les fonctionnalités étendues de détection et de réponse pour activer la protection contre les
menaces des environnements qui s’exécutent dans Azure, sur site et dans d’autres Clouds.

La plupart des entreprises qui migrent vers Azure transfèrent généralement les applications
qui disposent de certains contrôles de sécurité existants dans le Cloud pour protéger ces
charges de travail. En réalité, les menaces qui pèsent sur le Cloud diffèrent des menaces
sur site. Par conséquent, Security Center fournit un outil Cloud natif qui permet d’identifier
les vulnérabilités potentielles de vos ressources, tout en formulant des recommandations
pour remédier à ces vulnérabilités.
Plusieurs stratégies, tactiques et outils permettent de sécuriser vos environnements hybrides
et multicloud. Voici une stratégie pour sécuriser votre environnement multicloud en quatre
étapes :

Figure 6.2 : quatre phases pour sécuriser votre environnement multicloud

170 | Notions de base sur la sécurité pour lutter contre la cybercriminalité

Phase 1 : identification de l’état du niveau de sécurité de votre organisation

Il est important de comprendre et d’évaluer l’état de vos ressources et leur utilisation réelle.
Pour ce faire, vous pouvez utiliser Cloud Discovery afin d'analyser le trafic passant par votre
réseau. Ce processus d’identification d'anomalies peut être réalisé grâce au Machine Learning,
un moteur de détection d’anomalies ou des stratégies personnalisées qui se concentrent
principalement sur les processus de découverte et d’investigation.

Phase 2 : détection des comportements suspects sur les charges de travail

Il est recommandé d’utiliser des outils de surveillance dans le Cloud afin de pouvoir tirer des
enseignements des alertes, de paramétrer les détections d’activité pour identifier les véritables
compromis et d’améliorer le processus de traitement des volumes importants de détections
de faux positifs. Vous pouvez suivre certaines recommandations spécifiques, telles que la
configuration des plages d’adresses IP, le réglage de la sensibilité d’utilisation et des alertes
de surveillance, ainsi que les stratégies de détection des anomalies.
Phase 3 : évaluer et corriger les configurations inappropriées et l’état de la conformité

Security Center peut évaluer toutes les ressources d’un abonnement donné et formuler
des recommandations pour l’ensemble de l’environnement. Lorsque vous sélectionnez une
recommandation spécifique, Security Center vous redirige vers la page des détails de la
recommandation, contenant des informations supplémentaires et des instructions pour
remédier au problème identifié.

Si votre organisation adopte une approche multicloud et utilise Amazon Web Services (AWS)
ou Google Cloud Platform (GCP), elle peut explorer les détails de sécurité de la configuration
pour AWS. Lorsque vous connectez votre AWS à Azure Security Center, vous pouvez consulter
les recommandations AWS dans Security Center, afin d'adopter une approche multicloud.

Phase 4 : automatiser la protection et l’application des stratégies pour les ressources Cloud

Cette phase est axée sur la protection de vos ressources Cloud contre les fuites de données en
temps réel grâce à l’application des stratégies de contrôle et d’accès aux ressources. Vous serez
ainsi protégé contre l’exfiltration de données et le chargement de fichiers malveillants sur vos
plateformes Cloud.

Il est possible de créer une stratégie de session qui bloque le chargement des fichiers mal
étiquetés et configure les stratégies garantissant la création d'étiquettes appropriées. De
cette façon, vous garantissez que les données enregistrées dans le Cloud sont soumises aux
autorisations appropriées.
 Notions de base sur la sécurité pour lutter contre la cybercriminalité | 171

Architecture d'Azure Security Center
Dans la mesure où Security Center est nativement intégré à Azure, vous pouvez surveiller
presque toutes les ressources qui font partie de votre environnement et les protéger sans
déploiement supplémentaire. Comme nous l’avons mentionné précédemment, Security Center
peut protéger les serveurs non Azure et prendre en charge les serveurs Windows et Linux via
l’installation de l’agent Security Center, comme illustré à la figure 6.3 :

Figure 6.3 : architecture d'Azure Security Center et d'Azure Sentinel

L’agent collecte tous les événements de sécurité, qui sont ensuite corrélés dans le moteur
d’analyse de sécurité afin de formuler des recommandations personnalisées basées sur vos
stratégies de sécurité définies. Les stratégies de sécurité sont basées sur les initiatives de
stratégie créées dans Azure Policy et peuvent être utilisées pour définir la configuration
souhaitée de vos charges de travail. Elles vous permettent donc de respecter les exigences
de sécurité de votre organisation ou de toute réglementation spécifique.
Security Center comprend trois stratégies de sécurité principales :
• Stratégies par défaut intégrées : les stratégies sont automatiquement attribuées lorsque
vous activez Security Center. Elles font partie d’une initiative intégrée et peuvent être
personnalisées par la suite.
• Stratégies personnalisées : vous pouvez utiliser des stratégies de sécurité
personnalisées et ajouter vos propres initiatives personnalisées pour recevoir des
recommandations si votre environnement ne respecte pas les stratégies que vous
créez. Vous pouvez configurer une initiative personnalisée à l'aide de Security Center,
sélectionner l’abonnement ou le groupe de gestion auquel vous souhaitez l'ajouter en
définissant les paramètres associés.
• Stratégies de conformité réglementaire : vous aurez accès à un tableau de bord de
conformité indiquant l’état de toutes les évaluations au sein de votre environnement,
afin d'améliorer votre conformité réglementaire.
172 | Notions de base sur la sécurité pour lutter contre la cybercriminalité

Azure Security Benchmark

La sécurité est un effort commun entre Microsoft, votre organisation et vos clients. Nous devons
garantir la sécurité des charges de travail, qu’elles résident sur site ou dans le Cloud. Afin de
vous aider à améliorer la sécurité de vos charges de travail, données et services exécutés dans
le Cloud, Microsoft fournit des bases de référence de sécurité pour Azure, afin que vous vous
concentriez sur les zones de contrôle centrées sur le Cloud et appliquiez des conseils et des
bonnes pratiques pour renforcer la sécurité grâce à Azure Security Benchmark (ASB).
ASB se concentre principalement sur les zones de contrôle centrées sur le Cloud. De cette façon,
vous pouvez suivre les recommandations et les conseils associés au cadre d’adoption du Cloud,
Azure Well-Architected Framework et les bonnes pratiques de Microsoft en matière de sécurité.

Il est important de comprendre le contexte et la terminologie utilisés dans les lignes de base de
la sécurité Azure. Nous allons donc passer en revue certains termes :
• Contrôle : il s’agit d’une description d’une fonctionnalité ou d’une activité, non spécifique
à une technologie, qui doit être traitée. Par exemple, la protection des données est un
contrôle de sécurité qui contient des actions spécifiques qui doivent être traitées afin de
garantir la protection de vos données.
• Évaluation : contient des recommandations de sécurité pour une technologie spécifique
et peut être catégorisée par le contrôle auquel elle appartient. Par exemple, ASB
comprend des recommandations de sécurité spécifiques à Azure.
• Référence : il s’agit de la mise en œuvre des critères de sécurité des services Azure.
Par exemple, une entreprise peut activer les fonctions de sécurité Azure SQL en suivant
la référence de sécurité Azure SQL.

Si votre organisation vient de souscrire à Azure et recherche des recommandations pour

sécuriser les déploiements et améliorer les conditions de sécurité des environnements existants,
ou tente de répondre aux exigences réglementaires des clients fortement réglementés, ASB est
la solution idéale pour commencer. Elle comprend des outils, ainsi que des contrôles de suivi
et de sécurité, tout en respectant des critères de sécurité bien connus, tels que ceux décrits
par la version de contrôles 7.1 du Center for Internet Security (CIS) et le National Institute
of Standards and Technology (NIST) SP800-53.

ASB peut vous aider à sécuriser les services que vous utilisez dans Azure grâce à un ensemble
de recommandations de sécurité qui incluent les éléments suivants :
• Contrôles de sécurité : il s’agit de recommandations que vous pouvez appliquer au sein
de vos locataire et services Azure.
• Lignes de base de service : celles-ci peuvent être appliquées aux services Azure pour
obtenir des recommandations sur la configuration de la sécurité à l'aide d'un service
spécifique.
 Notions de base sur la sécurité pour lutter contre la cybercriminalité | 173

Pour mettre en œuvre ASB, vous pouvez commencer par planifier votre mise en œuvre et valider
les contrôles d’entreprise et les lignes de base spécifiques au service susceptibles de mieux
répondre aux besoins de votre entreprise. Vous pouvez ensuite surveiller votre conformité
à l’aide du tableau de bord de conformité réglementaire de Security Center. Enfin, mettez en
place des garde-fous pour garantir la conformité grâce aux plans Azure et à la stratégie Azure.
ASB inclut les domaines de contrôle suivants :
• Sécurité du réseau
• Gestion des identités
• Accès privilégié
• Protection des données
• Gestion des ressources
• Journalisation et détection des menaces
• Réponse à un incident
• Gestion de la situation et des vulnérabilités
• Sécurité des points de terminaison
• Sauvegarde et récupération
• Gouvernance et stratégie

ASB est la stratégie de sécurité appliquée par défaut par Azure Security Center et vous permet
d'étendre la richesse des recommandations de sécurité dans Azure. Par conséquent, Azure
Secure Score reflétera un ensemble de recommandations beaucoup plus étendu et couvrira un
ensemble plus large de ressources Azure.
En outre, tous les nouveaux clients d'Azure Security Center bénéficient désormais de l'ensemble
des contrôles d’ASB dans le tableau de bord de conformité, y compris le niveau gratuit d'Azure
Security Center, ainsi que les clients Azure Defender existants. Les clients peuvent comparer
leur conformité aux contrôles de référence dans la vue de conformité, tout en consultant
l’impact détaillé sur Secure Score. En privilégiant la correction des recommandations de sécurité
à l’aide de mesures Secure Score, les clients peuvent obtenir un Secure Score plus élevé, tout
en réalisant leurs objectifs de conformité en même temps.

Vous pouvez consulter les dernières mises à jour du fichier de mappage de base de sécurité
Security Center dans le référentiel GitHub suivant : [Link]
SecurityBenchmarks/.
174 | Notions de base sur la sécurité pour lutter contre la cybercriminalité

Garantir une protection avancée contre les menaces pour vos

environnements hybrides et multicloud avec Azure Defender
Suite à l'essor du télétravail au cours des derniers mois, les entreprises ont réalisé qu'il était
essentiel de doter leurs collaborateurs de plusieurs types d’appareils afin qu'ils puissent accéder
aux ressources de l’entreprise. Il est donc important d’ajuster les stratégies de sécurité pour
faciliter le travail à distance et protéger vos données. Comme nous l’avons mentionné dans
la section précédente, Security Center peut améliorer votre gestion du niveau de sécurité
du Cloud (CSPM) et fournir des fonctionnalités de protection des charges de travail dans
le Cloud (CWP).

Vous pouvez utiliser Security Center gratuitement avec n’importe quel abonnement. Cette
solution comprend la détection des configurations de sécurité inappropriées dans vos
ressources Azure, Secure Score pour améliorer votre environnement Cloud hybride et
l’activation d’Azure Defender pour garantir une protection avancée de vos charges de travail
hybrides Azure.

Azure Defender est intégré au même service Cloud natif que Security Center et fournit des
fonctions de sécurité supplémentaires, telles que les alertes de sécurité et la protection avancée
contre les menaces.

Azure Defender inclut la prise en charge native des services Azure comme les machines
virtuelles, les bases de données SQL, le stockage, les conteneurs, les applications Web, les
réseaux et les serveurs non Azure hébergés sur site ou dans d’autres Clouds, tels qu'AWS et GCP.

Pour étendre la protection du Cloud hybride à vos bases de données SQL et à vos serveurs
exécutés dans d’autres Clouds ou sur site, il est judicieux d’utiliser Azure Arc et Azure Defender.
Les détails de la couverture des ressources et des tarifs sont disponibles sur le site suivant :
[Link]
 Notions de base sur la sécurité pour lutter contre la cybercriminalité | 175

Tableau de bord d'Azure Defender

Si vous accédez au portail Azure et recherchez Security Center, dans Security Center,
le tableau de bord Azure Defender est disponible comme l'illustre la figure 6.4 :

Figure 6.4 : tableau de bord Azure Security Defender

Le tableau de bord Azure Defender indique la couverture globale de vos ressources, les alertes
de sécurité, la protection avancée et les informations sur vos ressources les plus exposées aux
attaques, ainsi que les alertes de vulnérabilité des machines virtuelles :
176 | Notions de base sur la sécurité pour lutter contre la cybercriminalité

Figure 6.5 : tableau de bord Azure Defender

Jetons un coup d’œil aux fonctionnalités offertes par Azure Defender en matière de serveurs,
SQL, de stockage et de registres de conteneurs.

Azure Defender pour les serveurs

Azure Defender est intégré à Azure Monitor pour protéger les machines basées sur Windows.
Bien que Security Center signale les alertes et les suggestions de correction, Azure Defender
recueille des enregistrements d’audit auprès des machines, y compris les machines Linux via
auditd, une infrastructure d’audit Linux commune qui réside dans le noyau.
 Notions de base sur la sécurité pour lutter contre la cybercriminalité | 177

Votre organisation peut exploiter Azure Defender pour les serveurs de plusieurs façons,
notamment des fonctionnalités de détection et de protection contre les menaces :
• Intégration à Microsoft Defender pour point de terminaison, qui permet de déclencher
une alerte indiquée dans Security Center lorsqu'une menace est détectée.
• Utilisation du scanner de vulnérabilité Qualys, que nous aborderons en détail
prochainement.
• L’accès JIT peut être utilisé pour verrouiller le trafic entrant vers vos machines virtuelles,
en réduisant l’exposition aux attaques.
• Modification de la surveillance ou de la surveillance de l’intégrité des fichiers, afin
d'examiner les fichiers et les registres d’un système d’exploitation donné, d’applications
et les changements de taille de fichier, les listes de contrôle d’accès et le hachage
du contenu susceptibles d’indiquer une attaque.
• Vous pouvez utiliser des contrôles d’application adaptatifs pour créer une solution
intelligente et automatisée conçue pour établir une liste autorisée d’applications qui
peuvent s’exécuter sur vos machines et obtenir des alertes de sécurité si des applications
sont exécutées en n'étant pas définies comme sûres.
• La consolidation du réseau adaptative vous permet d'améliorer vos conditions de
sécurité grâce à la consolidation du groupe de sécurité réseau (NSG).
• Security Center peut évaluer vos conteneurs et comparer les configurations avec le test
d'évaluation Docker du Center for Internet Security (CIS).
• Vous pouvez utiliser la détection d’attaques sans fichier et obtenir des alertes de
sécurité détaillées avec des descriptions et des métadonnées.
• Les alertes auditd et l’intégration à Log Analytics peuvent être utilisées pour collecter
des enregistrements enrichis qui peuvent être agrégés en événements.

Azure Defender pour SQL

Azure Defender pour SQL peut être utilisé pour protéger vos charges de travail contre les
attaques par injection de SQL, l’accès anormal aux bases de données et les modèles de requête,
ainsi que les activités suspectes. Cette solution peut être utilisée pour les services reposant sur
le PaaS et l'IaaS. En d’autres termes, elle offre les deux portées suivantes :
• Serveurs de base de données SQL : il s’agit notamment d’Azure SQL Database, d’Azure
SQL Managed Instances et des pools SQL dédiés dans Azure Synapse.
• Serveurs SQL sur les machines : ce service étend la protection des serveurs SQL basés
sur Azure, mais également d’autres environnements basés dans le Cloud et sur site, tels
que SQL Server sur les machines virtuelles Azure, SQL Server sur site exécuté sur des
machines Windows et Azure Arc compatible avec SQL Server.
178 | Notions de base sur la sécurité pour lutter contre la cybercriminalité

Azure Defender pour le stockage

Nous devons déterminer si les fichiers téléchargés par les travailleurs à distance qui accèdent aux
applications dans le Cloud sont suspects. Grâce à Azure Defender pour le stockage, nous pouvons
utiliser l’analyse de réputation de hachage et déclencher des alertes en cas d'activités suspectes
ou de comportements anormaux, ou si des logiciels malveillants potentiels sont téléchargés.

Azure Defender pour le stockage affiche une alerte et peut envoyer un e-mail au propriétaire
du stockage pour que celui-ci approuve la suppression de ces fichiers.

Azure Defender pour les registres de conteneurs

Azure Container Registry vous permet de créer, de stocker et de gérer vos images et artefacts
de conteneur dans un service Docker Registry privé et géré.

Vous pouvez analyser les vulnérabilités dans vos images de conteneur avec Azure Defender et
examiner les résultats (classés par gravité) dans la liste des recommandations de sécurité de
Security Center.

Les images peuvent être numérisées en trois phases différentes : sur push, les images
récemment extraites et lors de l’importation. Ces images sont extraites du registre, puis
exécutées dans un environnement de test isolé avec le scanneur Qualys. Security Center
présentera ensuite les résultats.

Analyseurs de vulnérabilité Qualys

Azure Defender comprend trois analyseurs Qualys : l’un pour les machines, l’autre pour les
registres de conteneurs et l’autre pour SQL. Les analyseurs Qualys, comme illustré à la figure 6.6,
sont intégrés à Security Center et surveillent vos machines à l’aide d’une extension installée sur
la ressource réelle. Le service Cloud de Qualys réalise ensuite une évaluation de la vulnérabilité
et envoie ses conclusions à Security Center :

Figure 6.6 : analyseur de vulnérabilité Azure Security Center

 Notions de base sur la sécurité pour lutter contre la cybercriminalité | 179

L'analyseur de vulnérabilité fonctionne comme suit :

1. Une fois qu'Azure Defender est activé pour votre abonnement, vous pouvez suivre la
recommandation l’évaluation de la vulnérabilité doit être activée sur les machines virtuelles
pour déployer l’extension d'analyseur de vulnérabilité intégrée.

2. Une fois l’extension installée, l’agent recueille les informations de sécurité nécessaires,
notamment la version du système d’exploitation, les ports ouverts, les logiciels installés, les
variables d’environnement et les métadonnées associées aux fichiers. Une analyse se produit
toutes les 4 heures, et toutes les données sont envoyées au service Cloud de Qualys afin
d'être analysées.

3. Qualys analyse les informations et établit les résultats par machine. Ces résultats sont
envoyés à Security Center.

4. Vous pouvez ensuite examiner les vulnérabilités de la machine sur la page des
recommandations de Security Center.

Il est possible d'analyser des machines non Azure en les connectant à Security Center à l'aide
d'Azure Arc, avant de déployer l’extension comme suit : vous pouvez utiliser les scripts de
correction Azure Resource Manager (ARM), PowerShell, Azure Logic Apps ou l’API REST pour
les déploiements importants.

Alertes
Étant donné que Security Center peut être utilisé pour protéger vos ressources déployées sur
Azure, d’autres Clouds et sur site, il peut générer plusieurs types d’alertes déclenchées par des
détections avancées proposées par Azure Defender.

Ces alertes de sécurité sont générées si des menaces sont détectées sur n’importe quelle
ressource. Security Center vous fournit une vue unique sur une campagne d’attaque qui contient
les incidents. Un incident de sécurité est un ensemble d’alertes associées.
180 | Notions de base sur la sécurité pour lutter contre la cybercriminalité

Vous serez en mesure d’inspecter les alertes de sécurité et d’examiner les détails plus pertinents,
comme l'illustre la figure 6.7 :

Figure 6.7 : détails sur les alertes de sécurité

À mesure que votre environnement se développe, il est probable que les alertes affichées dans
Security Center augmentent. Vous aurez donc besoin d’exercer un meilleur contrôle sur vos
alertes de sécurité, en les hiérarchisant en conséquence. Security Center attribue à ces alertes
de sécurité quatre catégories de gravité :
• Informationnel : ce type d'alerte est consultable si vous explorez en détail un incident de
sécurité composé d’un certain nombre d’alertes.
• Faible : ce type d’alertes peut indiquer une attaque bloquée ou un faux positif à faible
impact.
• Moyen : ces alertes indiquent qu’une ressource peut être compromise en raison d’une
activité suspecte. Il peut par exemple s'agir d'une connexion à partir d’un emplacement
anormal.
• Élevé : une alerte élevée indique qu’il y a une forte probabilité que votre ressource soit
compromise. Vous devez donc intervenir immédiatement.
 Notions de base sur la sécurité pour lutter contre la cybercriminalité | 181

Security Center vous permet d’exporter des alertes de différentes façons. Vous pouvez
télécharger un rapport CSV sur le tableau de bord d’alerte, configurer l’exportation continue
ou utiliser un connecteur SIEM (tel qu’Azure Sentinel) pour diffuser des alertes de sécurité.

Bien qu’Azure Defender puisse vous aider à protéger et à corriger les vulnérabilités potentielles,
il est également important de mettre en œuvre les bonnes pratiques concernant la configuration
des ressources qui sont essentielles pour vos charges de travail, telles que les ressources réseau.

Bonnes pratiques concernant la sécurité du réseau

Dans la section précédente de ce chapitre, Excellence des opérations de sécurité, nous avons
expliqué le principe Zero Trust. Ce principe suppose que les violations sont inévitables et que,
par conséquent, nous devons appliquer les contrôles appropriés pour vérifier chaque requête.
La gestion des identités joue un rôle essentiel à cet égard.

Le modèle Zero Trust présente trois objectifs principaux pour sécuriser votre réseau :
• Préparation à la gestion des attaques
• Réduction de la surface d’attaque et de l’étendue des dommages
• Renforcement de votre empreinte Cloud, notamment les ressources et les configurations
qui font partie de votre environnement, afin de réduire les risques de compromis

Si votre organisation a mis en œuvre le travail à distance et un cadre Zero Trust end-to-end, elle
doit appliquer quelques bonnes pratiques afin d’atteindre ces objectifs :
• Segmentation du réseau
• Protection contre les menaces
• Chiffrement

Regardons de plus près chacun d'entre eux.

Segmentation du réseau
La protection de votre réseau d’entreprise est une priorité absolue. Cette tâche s'avère
néanmoins plus difficile que jamais, car le travail à distance redéfinit le périmètre de sécurité.
Il n’est plus défini par les emplacements physiques d’une organisation, et s’étend maintenant
à tous les points de terminaison qui accèdent aux données et aux services de l’entreprise. Par
conséquent, le recours aux pare-feux traditionnels et aux VPN ne suffit pas pour protéger ce
nouveau domaine numérique.
On sait qu’aucune architecture unique ne peut être conçue pour les entreprises. En effet, chaque
organisation présente des besoins professionnels différents. Une approche Zero Trust permet
de garantir une sécurité optimale pour vos collaborateurs à distance, sans compromettre
l’expérience de l’application.
182 | Notions de base sur la sécurité pour lutter contre la cybercriminalité

Les entreprises traditionnelles utilisaient auparavant des contrôles réseau traditionnels pour
sécuriser le périmètre de leur entreprise. Les réseaux traditionnels ont généralement peu de
périmètres de sécurité réseau et un réseau plat et ouvert. Les pirates peuvent ainsi se déplacer
rapidement sur l’ensemble du réseau. Les réseaux Zero Trust sont entièrement distribués via la
micro-segmentation. La segmentation du réseau granulaire supprime la confiance placée dans
le réseau, en minimisant considérablement les mouvements latéraux et l’exfiltration de données.
Les réseaux Zero Trust utilisent la protection contre les menaces basée sur le Machine
Learning et le filtrage basé sur le contexte, lesquels peuvent contrecarrer les attaques les plus
sophistiquées. L'ensemble du trafic n’est pas correctement chiffré dans les réseaux traditionnels.
Ceux-ci sont ainsi plus sensibles aux attaques de l’homme du milieu, à l'espionnage et au
détournement de session. Dans les réseaux Zero Trust, tout le trafic est chiffré à l’aide des
normes du secteur pour garantir la confidentialité des données en transit.
Le principal objectif est de dépasser les limites d’un réseau centralisé en adoptant à la place
une segmentation plus complète et distribuée à l’aide de micro-périmètres. De cette façon, les
applications peuvent être partitionnées sur plusieurs réseaux virtuels Azure et connectées via
un modèle en étoile. En outre, il est recommandé de déployer le pare-feu Azure dans le réseau
virtuel hub pour inspecter tout le trafic.

Pour prendre en charge cette approche, Microsoft Azure fournit plusieurs composants de mise
en réseau Cloud natifs pour faciliter le travail à distance et atténuer les problèmes de réseau.
Les organisations utilisent des NVA tierces disponibles via Microsoft Azure Marketplace pour
fournir une connectivité critique dans les environnements multicloud et sur site.

Protection contre les menaces

Les applications Cloud exposées à Internet sont plus vulnérables aux attaques. Nous devons
donc analyser tout le trafic qui les traverse. La protection contre les menaces implique
d’atténuer les menaces d’attaques connues et inconnues.

Les attaques inconnues sont principalement des menaces qui ne correspondent à aucune
signature connue. Les attaques connues, dans la plupart des cas, présentent une signature
spécifique, que nous comparons à chaque requête.

Les services disponibles dans Azure, tels que le Pare-feu d’application Web (WAF), peuvent être
utilisés pour protéger le trafic HTTP(S). Il est possible d’utiliser Azure WAF avec Azure Front
Door ou Azure Application Gateway, tandis que le pare-feu Azure peut être employé pour le
filtrage basé sur les renseignements sur les menaces au niveau de la couche 4 du modèle OSI.
 Notions de base sur la sécurité pour lutter contre la cybercriminalité | 183

Chiffrement
Azure vous permet de protéger les données sensibles. Il prend en charge plusieurs domaines
de chiffrement, notamment les données au repos, en transit, ainsi que la gestion des secrets.
Le chiffrement des données au repos peut s’appliquer aux ressources de stockage persistantes,
telles que le stockage de disque ou de fichiers. Il est disponible pour les services sur SaaS, PaaS
et IaaS.

Grâce au chiffrement côté serveur, vous pouvez utiliser des clés gérées par le service ou par le
client à l’aide de Key Vault ou du matériel contrôlé par le client. Le chiffrement côté client inclut
les données gérées par une application exécutée sur site ou hors d’Azure, ainsi que les données
chiffrées lorsqu’elles sont reçues par Azure.

Une approche Zero Trust implique le chiffrement de l'ensemble du trafic, de l’utilisateur vers
l’application. Nous pouvons atteindre cet objectif à l'aide d'Azure Front Door pour appliquer
le trafic HTTPS aux applications exposées à Internet et utiliser des services de mise en réseau
et des fonctions telles que la passerelle VPN (P2S ou S2S).

En outre, si vous accordez l’accès aux ressources dans Azure via des machines virtuelles, vous
pouvez sécuriser la communication à l’aide d’Azure Bastion, comme indiqué au chapitre 5,
Faciliter le travail à distance en toute sécurité avec Azure AD et Azure Virtual Desktop.

Maintenant que nous avons examiné les bonnes pratiques pour sécuriser votre réseau et votre
trafic sur l’ensemble de votre environnement, il est également important de mettre en œuvre
un mécanisme pour extraire des informations à partir des ressources de votre environnement
et d'analyser de manière proactive les menaces potentielles.

Moderniser les opérations de sécurité avec Azure Sentinel,

une solution SIEM Cloud native
Les organisations qui adoptent le travail à distance ont besoin d’une solution pour surveiller et
obtenir des informations plus détaillées de leur environnement, qu’il réside dans le Cloud ou sur
site.

Azure Sentinel est un service d'informations de sécurité et gestion des événements (SIEM)
Cloud natif, qui vous permet de simplifier la collecte de données à partir de plusieurs sources
de données, notamment les environnements locaux et multicloud, à l'aide de connecteurs
intégrés. Il vous permet ensuite d'analyser de manière proactive les menaces potentielles
et de simplifier les opérations de sécurité.

Azure Sentinel établit une corrélation entre les journaux et les signaux de sécurité de toutes
les sources à travers vos applications, services, infrastructure, réseaux et utilisateurs. Azure
Sentinel peut identifier les attaques en fonction de vos données et les placer sur une carte afin
que vous puissiez analyser tout le trafic.
184 | Notions de base sur la sécurité pour lutter contre la cybercriminalité

Tout d’abord, vous devez connecter vos ressources, qui peuvent inclure des composants de mise
en réseau, des applications et des sources de données. Azure Sentinel fournit une large gamme
de connecteurs pour extraire les données, y compris les services Microsoft, tels que Microsoft
365 Defender, Azure AD, Microsoft Defender pour Identity (anciennement Azure ATP), Microsoft
Cloud App Security et les alertes Azure Defender provenant de Security Center, comme
le montre la figure 6.8 :

Figure 6.8 : connecteurs de données Azure Sentinel

Azure Sentinel vous permet également de choisir des solutions tierces ou de créer vos propres
connecteurs personnalisés. En effet, la solution prend en charge le format d’événement
commun, syslog et l’API REST pour connecter vos sources de données. Toutes les données
collectées sont stockées dans un espace de travail Log Analytics, qui est un conteneur où les
données sont collectées et agrégées. Vous pouvez sélectionner un espace de travail Log
Analytics spécifique lorsque vous activez Azure Sentinel sur votre abonnement.
Une fois que vous avez connecté vos ressources, vous pouvez sélectionner un classeur
spécifique qui fournit un canevas pour l’analyse des données et permet de créer des rapports
visuels personnalisés dans le portail Azure. Vous pouvez créer vos propres classeurs en fonction
des besoins de votre entreprise, en réunissant les données provenant de plusieurs sources dans
un seul rapport, avec des visualisations personnalisées.
 Notions de base sur la sécurité pour lutter contre la cybercriminalité | 185

Le tableau de bord Azure Sentinel, illustré à la figure 6.9, vous donne une présentation générale
des conditions de sécurité de votre organisation, car il inclut les événements et les alertes au fil
du temps, les incidents par état et les événements malveillants potentiels :

Figure 6.9 : tableau de bord Azure Sentinel

Explorons d’autres fonctions offertes par Azure Sentinel : détection et repérage des menaces,
enquête et réponse aux incidents, et gestion de plusieurs locataires.

Activer la détection et le repérage des menaces

Diffusez les indicateurs de menaces que votre organisation utilise sur Azure Sentinel pour
améliorer votre analyse de sécurité et repérez les menaces de sécurité à travers les sources de
données de votre organisation, qu’elles résident dans Azure, dans d’autres Clouds ou sur site.

Azure Sentinel assure une fonctionnalité de repérage, illustrée à la figure 6.10, qui inclut des
requêtes intégrées, capables de filtrer les fournisseurs ou les sources de données pour aider
vos analystes de sécurité à identifier les problèmes rapidement dans les données que vous
possédez déjà. Chaque requête fournit une description détaillée du cas d’utilisation et peut être
personnalisée selon vos besoins :
186 | Notions de base sur la sécurité pour lutter contre la cybercriminalité

Figure 6.10 : repérage Azure Sentinel

Les requêtes sont basées sur le langage de requête Kusto et entièrement intégrées à Azure
Monitor. Une fois que vous avez personnalisé une requête qui fournit des informations
précieuses sur les attaques potentielles, vous pouvez l’enregistrer, puis utiliser des blocs-notes
pour exécuter des campagnes de repérage automatisées.

Enquête et réponse aux incidents

Azure Sentinel vous permet de consulter les opérations d’incident au fil du temps. Les
incidents sont créés en fonction de règles d’analyse et comprennent des preuves pertinentes
des enquêtes. Ils peuvent donc contenir plusieurs alertes. Si les analystes de votre entreprise
souhaitent enquêter sur les incidents, Azure Sentinel fournit des fonctionnalités de gestion
d'incidents accessibles via la page Incident. Vous pouvez examiner le nombre d’incidents
ouverts, en cours ou fermés :
 Notions de base sur la sécurité pour lutter contre la cybercriminalité | 187

Figure 6.11 : propriétés et filtres des tableaux d’incidents d’Azure Sentinel

Vous pouvez explorer chaque incident en détail et afficher l’horodatage, ainsi que l’état et la
gravité de l’incident. Il est également possible d’utiliser le graphique d’enquête, qui fournit une
carte indicative des entités liées à l’alerte et les ressources qui lui sont associées.

L’objectif consiste néanmoins à répondre à une alerte de sécurité et à automatiser les réponses
à ces alertes de sécurité autant que possible. Les playbooks de sécurité Azure peuvent vous
aider à orchestrer et automatiser votre réponse. Ces playbooks de sécurité sont basés sur
Azure Logic Apps et peuvent améliorer la façon dont vous répondez à une alerte de sécurité.

Lorsque vous recevez une alerte de sécurité, vous pouvez exécuter un playbook manuellement
ou automatiser votre playbook de sécurité. Pour exécuter manuellement un playbook de
sécurité, accédez à la page Incidents et, dans l'onglet Alertes, configurez le playbook que vous
souhaitez exécuter dans la liste des playbooks disponibles.

La réponse automatisée implique la configuration d’un déclencheur à partir de l’alerte de

sécurité. Vous pouvez configurer l’action de déclenchement d’un playbook de sécurité lorsqu’une
correspondance est trouvée sur votre alerte de sécurité.

Gérer plusieurs locataires/environnements à plusieurs locataires

Le fait d’utiliser Azure Sentinel pour moderniser vos opérations de sécurité offre un avantage
considérable : l’extensibilité pour gérer les ressources Azure Sentinel de vos clients à partir
de votre propre locataire Azure. Vous n'avez donc pas à vous connecter à votre locataire client.
Ce concept de multilocataire est vraiment utile pour les organisations qui fournissent des
services de sécurité gérés à d’autres organisations ou clients.

Cette capacité de gérer plusieurs locataires dans Azure Sentinel à partir de votre propre
locataire Azure est facilitée par Azure Lighthouse, qui propose des fonctionnalités de
gestion mutualisée et améliore la gouvernance entre les ressources et les locataires. Si votre
organisation fournit des services gérés à plusieurs clients, vous pouvez utiliser des outils
de gestion plus complets, déléguer la gestion des ressources, afficher des informations
interlocataires sur le portail Azure, utiliser des modèles ARM pour intégrer des clients,
effectuer des tâches de gestion et fournir des services gérés à l’aide d’Azure Marketplace.
188 | Notions de base sur la sécurité pour lutter contre la cybercriminalité

Sur la base des profils et marchés verticaux, les entreprises doivent respecter des exigences
réglementaires qui formulent des recommandations sur les contrôles de sécurité qui doivent
être adoptés, tels que PCI-DSS, NIST, ISO27001, etc.

Il peut être difficile de respecter ces obligations de conformité réglementaire dans un

environnement Cloud ou hybride. La section finale porte sur les fonctions dédiées au respect
de ces normes organisationnelles, disponibles dans Azure.

Une expérience SecOps unifiée

À mesure que les organisations déploient des applications Cloud et fournissent un accès aux
télétravailleurs, le maintien de la cohérence, afin de garantir la conformité du Cloud, d'éviter
les configurations inappropriées, de réduire le risque d’attaques potentielles et d'assurer la
gouvernance à l’échelle de l’organisation peut s'avérer extrêmement difficile.

Vous pouvez appliquer des normes organisationnelles pour évaluer la conformité à grande
échelle à l’aide de la stratégie Azure, ainsi que la conformité en analysant les propriétés de vos
ressources à l’aide de définitions de stratégies. La stratégie Azure fournit un tableau de bord de
conformité qui peut être utilisé pour afficher des détails plus granulaires par ressource ou par
stratégie, afin de garantir la conformité de vos ressources. Vous pouvez également définir des
initiatives Azure, qui regroupent des définitions de stratégie Azure, pour vous aider à atteindre
vos objectifs et simplifier la gestion de vos stratégies :

Figure 6.12 : conformité des stratégies

 Notions de base sur la sécurité pour lutter contre la cybercriminalité | 189

Dans ce contexte, votre entreprise peut utiliser une nouvelle fonctionnalité proposée par la
stratégie Azure appelée Conformité réglementaire en version préliminaire au moment de la
rédaction du présent document. Cette fonction fournit des définitions d’initiative intégrées, afin
de vous aider à gérer les domaines des contrôles et de conformité. Ainsi, vous pouvez identifier
les domaines de conformité qui doivent être pris en charge, que ce soit par votre organisation,
Microsoft ou un domaine de conformité partagé.
La page Conformité contient un nouvel onglet, intitulé Contrôles, qui vous permet d'appliquer
le filtre Domaine de conformité et de vérifier les détails par ligne :

Figure 6.13 : page Contrôles dans la stratégie

En utilisant la conformité réglementaire dans la stratégie Azure, votre entreprise peut garantir
la conformité requise pour répondre aux besoins de votre entreprise. La page Conformité
vous permettra de déterminer à qui incombe la responsabilité d'un domaine de conformité
donné : Microsoft, le client, ou s’il s’agit d’une responsabilité partagée. Vous pouvez afficher
les détails supplémentaires des résultats de l’audit si le contrôle que vous examinez relève
de la responsabilité de Microsoft.

Résumé
L'adoption du travail à distance complique les opérations de sécurité, en raison de
l'augmentation importante du nombre de points de terminaison et d'environnements qui doivent
être surveillés et protégés. Grâce à l’adoption d’une stratégie Zero Trust, nous pouvons réduire
le risque d’attaques potentielles et de compromis.
190 | Notions de base sur la sécurité pour lutter contre la cybercriminalité

Dans ce chapitre, nous avons examiné certains des services de base proposés par Microsoft pour
vous aider à adopter une stratégie Zero Trust au sein de votre organisation et à répondre aux
menaces rapidement et intelligemment.
Nous avons examiné comment vous pouvez responsabiliser vos équipes chargées des opérations
de sécurité en leur permettant de devancer leurs concurrents à l’aide d’Azure Sentinel, une
solution SIEM Cloud native. Nous avons également vu comment utiliser Azure Security Center
pour surveiller presque toutes les ressources de votre environnement et les protéger sans
déploiement supplémentaire. Nous avons ensuite expliqué comment utiliser Azure Defender
pour protéger vos charges de travail, qu’elles résident dans le Cloud ou sur site.
Le chapitre suivant explique comment optimiser les coûts du Cloud à l’aide d’outils disponibles
dans votre abonnement Azure pour suivre l’utilisation des ressources, gérer les coûts dans tous
vos environnements et mettre en œuvre des stratégies de gouvernance pour optimiser la gestion
des coûts.
 Offres, support,
7
ressources et conseils
pour optimiser les
coûts dans Azure
Dans le chapitre précédent, vous avez vu les notions de base de la protection de vos applications
contre la cybercriminalité. Nous allons maintenant aborder les différentes offres Azure et le
support Microsoft pour optimiser les coûts, divers outils qui peuvent être utilisés pour réduire
les coûts et des conseils en matière de gestion.
À mesure que les entreprises entament leur parcours vers le Cloud, elles doivent notamment
apprendre à optimiser leurs coûts. Du point de vue des clients, la prévision des coûts peut être
basée sur la réduction de l’empreinte de leur datacenter, les modèles de tarification OPEX,
la productivité du personnel et d’autres facteurs.
Dans ce chapitre, nous allons aborder les éléments suivants :
• Comprendre et prévoir les coûts
• Stratégies visant à optimiser les coûts

Vous devez commencer par comprendre et planifier les coûts imputés à votre organisation.
192 | Offres, support, ressources et conseils pour optimiser les coûts dans Azure

Comprendre et prévoir les coûts

Les organisations doivent effectuer une analyse en temps opportun de leur facture Azure pour
surveiller les coûts et réduire les frais généraux nécessaires à la gestion de leurs ressources IT.
Des outils comme Azure Cost Management and Billing et Azure Advisor vous permettent
d'analyser, de gérer et d'optimiser vos charges de travail. Avant de jeter un coup d’œil à ces outils
et aux avantages qu’ils offrent, nous devons comprendre les facteurs les plus essentiels à la
prévision des coûts dans une infrastructure Cloud.

Modèle économique Cloud

Les entreprises doivent comprendre le modèle économique Cloud afin de prévoir leurs coûts
et d'optimiser leur investissement dans le Cloud. Les entreprises doivent déterminer le retour
sur investissement (ROI) prévu lorsqu'elles migrent leurs charges de travail sur site vers le
Cloud ou transfèrent d’autres charges de travail vers Azure. En premier lieu, vous devez évaluer
le coût d’exécution de votre datacenter actuel. Il s'agit notamment des coûts d'exploitation,
de maintenance, des frais opérationnels, et les charges de licences logicielles. Vous devez
également déterminer le coût de la migration de vos opérations IT vers le Cloud.

Pour résumer le modèle économique Cloud, votre organisation doit se concentrer sur la formule
en huit points suivante :

1. Réduire l’empreinte du datacenter en rationalisant les opérations.

2. Mettre l'accent sur l’utilisation des avantages du Cloud à la demande dans le cadre d’un
modèle de dépenses opérationnelles.

3. Augmenter la productivité en libérant le personnel des tâches de maintenance.

4. Garantir la pérennité des activités.

5. Explorer les options d’évolutivité et fournir des ressources quand elles sont nécessaires.

6. Répondre aux normes de sécurité et de conformité.

7. Utiliser une infrastructure Cloud à haute disponibilité pour garantir la continuité de service.

8. Optimiser les coûts liés aux charges de travail et à l’utilisation.

Azure propose des solutions pour vous aider à atteindre tous ces objectifs, que nous allons
aborder dans les sections suivantes.
 Offres, support, ressources et conseils pour optimiser les coûts dans Azure | 193

Outils de gestion des coûts

Azure propose un large éventail d’outils qui offrent une expérience de développement et
d’exploitation exceptionnelle, tout en vous permettant de comprendre le coût des ressources
utilisées dans Azure. Toutes les solutions de gestion des coûts abordées dans ce chapitre ont un
impact commercial si elles sont utilisées correctement. Jetons un coup d’œil à la liste des outils
disponibles dans Azure.

Azure Cost Management and Billing

Azure Cost Management and Billing offre un ensemble complet de fonctionnalités de gestion
des coûts dans le Cloud et une vue unique et unifiée de tous vos Clouds. Cette solution vous
permet d'accroître la responsabilisation organisationnelle et de gérer vos dépenses Cloud en
toute confiance. Le service Cost Management and Billing vous permet de vérifier les portées de
facturation, d'étudier en détail la gestion des coûts, d’examiner vos groupes de gestion, tout en
diagnostiquant et en résolvant les problèmes :

Figure 7.1 : page Cost Management + Billing

Les groupes de gestion permettent de regrouper les abonnements et les coûts. Bien que ce
chapitre ne porte pas sur les groupes de gestion, il est intéressant de noter qu’ils constituent
toujours une ressource Azure utile pour gérer vos abonnements.
194 | Offres, support, ressources et conseils pour optimiser les coûts dans Azure

Les organisations doivent adopter une approche unique pour fournir un accès à la gestion des
coûts aux utilisateurs qui ne travaillent pas au service des finances de l’organisation. Des solutions
permettent aux équipes chargées des opérations et du développement de votre organisation de
consulter ces structures de coûts. Les tableaux de bord et les API Power BI peuvent être utilisés
pour extraire des rapports et créer des tableaux de bord uniques et ordonnés pour accéder
aux informations sur les coûts. Pour en savoir plus à ce sujet, consultez la page : [Link]
[Link]/power-bi/connect-data/desktop-connect-azure-cost-management. En plus
de Power BI, Azure garantit une intégration à des applications personnalisées, ainsi que des
applications SaaS comme CRM pour assimiler et utiliser vos données.

Comme nous l’avons mentionné, les groupes de gestion peuvent vous aider à mieux visualiser
les coûts. Vous pouvez par ailleurs utiliser des balises pour attribuer les codes budgétaires au
sein d’une organisation. La capture d’écran suivante montre comment les coûts peuvent être
visualisés en fonction des services :

Figure 7.2 : coûts regroupés par service

Avec Azure, votre entreprise peut facilement gérer les coûts des environnements de Cloud
hybride (Azure et AWS, par exemple) à partir d’un seul emplacement, en obtenant les meilleures
informations à partir des données des deux Clouds.
 Offres, support, ressources et conseils pour optimiser les coûts dans Azure | 195

Jetons un coup d’œil à la section Cost Management pour le modèle de paiement basé sur votre
consommation (un modèle de tarification que nous aborderons plus loin dans le chapitre) :

Figure 7.3 : section Cost Management

Comme vous pouvez le voir, la section Cost Management vous permet d’analyser les coûts, de
créer des alertes de coûts, d’affecter des budgets et d’obtenir des recommandations de conseiller.
Lorsque vous cliquez sur Analyse de coûts, vous obtenez une répartition des ressources au sein de
la portée du groupe de ressources, telles que les magasins de données ou les comptes sans serveur.
196 | Offres, support, ressources et conseils pour optimiser les coûts dans Azure

Vous pouvez également définir des alertes de coûts, lesquelles sont un excellent outil pour
surveiller les dépenses excessives sur les environnements hors production, en définissant un
seuil, puis en recevant des alertes. Les alertes peuvent être utilisées conjointement avec les
budgets, comme illustré dans la capture d’écran suivante :

Figure 7.4 : alertes relatives au seuil budgétaire

Les budgets et les alertes sont extrêmement utiles aux organisations, une fois que celles-ci ont
visualisé leurs dépenses actuelles. Vous devez surveiller et analyser votre facture Azure pour
garantir l'absence de frais ou d’infrastructure cachés. Cette étape est généralement essentielle
pour les environnements hors production, où les processus sont un peu moins surveillés que
ceux de la production.

Lorsqu’une alerte est déclenchée, vous devez étudier les coûts pour isoler les causes et
déterminer si une action doit être entreprise. Vous pouvez par exemple réviser vos budgets ou
appliquer des contrôles supplémentaires de la stratégie Azure. L’affectation de budgets permet
également de contrôler les coûts des différents projets de vos équipes et unités commerciales.

Pour en savoir plus sur la stratégie Azure et son rôle important dans la gouvernance, consultez
la page [Link]

Pour en savoir plus sur les fonctionnalités d'Azure Cost Management and Billing, consultez la
page [Link]
overview.
 Offres, support, ressources et conseils pour optimiser les coûts dans Azure | 197

Calculatrice de tarifs Azure

La calculatrice de tarifs Azure est un outil gratuit qui peut être utilisé pour obtenir des
estimations de coûts en temps réel des services d’abonnement. Vous pouvez personnaliser
votre vue des estimations à l’aide d’un tableau de bord central. La calculatrice de tarifs peut être
associée à d’autres utilitaires, tels que la calculatrice du coût total de possession (TCO) Azure,
qui vous permet d'optimiser les coûts. Nous pouvons créer des estimations et les enregistrer sur
nos comptes, ou les partager avec les parties concernées.
Les régions Azure peuvent parfois affecter le coût des ressources dans Azure. Il est donc
utile d’utiliser la calculatrice de tarifs Azure pour prédire les coûts avant de sélectionner une
ressource :

Figure 7.5 : la calculatrice de tarifs Azure

La calculatrice de tarifs Azure est disponible ici : [Link]

calculator/.
198 | Offres, support, ressources et conseils pour optimiser les coûts dans Azure

La prise en compte de l'infrastructure en fonction des ressources que les entreprises souhaitent
utiliser pour obtenir une estimation appropriée peut compromettre l'utilisation de la calculatrice
de tarifs. Vous devez toujours tenir compte de l’intégralité de l’infrastructure réseau nécessaire
pour déployer vos applications dans le Cloud.

Prenons l'exemple d'une organisation possédant deux machines virtuelles, l’une exécutant
un site Web et l'autre les services sous-jacents à ce site Web, et qui souhaite migrer ces
deux machines virtuelles vers le Cloud. Elle entre alors les deux machines virtuelles dans la
calculatrice de tarifs et obtient leur coût mensuel moyen.

Dans ce scénario, l'entreprise doit examiner l’utilisation des machines virtuelles pour les
dimensionner correctement dans Azure. Un grand nombre d’organisations allouent de manière
excessive les machines nécessaires à l’expansion future. Toutefois, le Cloud permet de mettre
les ressources à l'échelle quand vous le souhaitez, de sorte que vous n’avez pas besoin de les
surdimensionner. L’organisation a également ignoré les routeurs et les pare-feux et n’a pas pris
en compte les groupes de machines virtuelles identiques, ni la protection de son infrastructure
en cas de défaillance d'une machine virtuelle. Comme vous pouvez le voir, il est essentiel
d'établir un plan minutieux.

Calculatrice du coût total de possession

Lorsque les entreprises souhaitent obtenir une vision plus globale de la migration de leurs
solutions Azure, elles peuvent utiliser la calculatrice de coût total de possession. Cette dernière
fournit des informations détaillées sur la migration des charges de travail sur site vers le Cloud
et sur les mesures appropriées pour faciliter la transition.

Pour en savoir plus sur cette calculatrice, consultez la page [Link]

pricing/tco/calculator/.

Azure Migrate
Azure Migrate est un autre outil qui peut faciliter la migration de vos ressources sur site vers le
Cloud. Azure Migrate offre un écran unique et centralisé pour évaluer et migrer les serveurs, les
infrastructures, les applications et les données sur site vers le Cloud. Cette solution offre aux
organisations un large éventail d’outils et d’options pour faciliter le processus d’évaluation et de
migration de ces différentes ressources et charges de travail vers Azure.

Pour en savoir plus sur l’utilisation d’Azure Migrate, consultez la page [Link]
com/azure/migrate/migrate-services-overview.
 Offres, support, ressources et conseils pour optimiser les coûts dans Azure | 199

Choisir le modèle de tarification approprié

Outre les outils, il est tout aussi important de comprendre les différents modèles de tarification
offerts par Azure pour mieux prévoir vos ressources et leurs coûts. Azure propose deux modèles
de tarification standard pour les services :
• Le modèle de paiement à l'utilisation, également connu sous le nom de modèle basé sur
la consommation
• Le modèle à prix fixe

La plupart des ressources Azure, telles que les modèles PaaS ou sans serveur, utiliseront
le modèle basé sur la consommation. Parmi les modèles de tarification fixe, figurent Azure
Reserved Virtual Machine Instances (RIs) ou les réservations Azure plus larges.

Le modèle à prix fixe est plus prévisible, tandis que le modèle basé sur la consommation
peut être variable. Vous devez donc tenir compte des exigences de l’entreprise lorsque vous
en choisissez un. Les sections suivantes abordent en détail ces deux modèles.

Modèle basé sur la consommation

Le modèle basé sur la consommation, ou le paiement à l’utilisation, présente une structure basée
sur l’utilisation. Ainsi, vous payez ce que vous utilisez et aucun coût mensuel ou fixe n'est facturé
pour les ressources. Il peut par exemple s'agir d'une application de fonction, où vous payeriez
un dollar pour un million d’utilisations de l’application.

Même si ce modèle de paiement à l’utilisation vous permet de contrôler les coûts, il est
également susceptible de les augmenter. Cela concerne notamment CosmosDB, qui est basé
sur l’utilisation ou les unités de requête et peut devenir très coûteux à la fin de la journée,
en fonction du nombre de requêtes exécutées.

Vous pouvez utiliser des modèles architecturaux tels que le nivellement de charge basique
et la mise à l’échelle automatique des services, afin de garantir des niveaux de performances
minimaux fixes. Si vous avez besoin de fortes montées en charge, vous pouvez utiliser un patron
de limitation pour préserver la qualité du service sous charge.

Modèle à prix fixe

En adoptant un modèle à prix fixe, vous payez une ressource, qu’elle soit utilisée ou non.
Outre les réservations Azure et spécifiquement les RI, que nous avons déjà mentionné, il peut
s'agir d'un plan App Service dans Azure. Lorsque vous sélectionnez un type de ressource, vous
encourez un coût mensuel, et quel que soit le nombre de personnes qui utilisent l’application,
ce coût vous est toujours facturé. Même si ce modèle de coûts aide les entreprises à prédire plus
précisément leurs dépenses dans Azure, il peut également constituer un problème en fonction
de l’utilisation.
200 | Offres, support, ressources et conseils pour optimiser les coûts dans Azure

Les organisations achètent des instances réservées lorsqu’elles envisagent d'utiliser fortement
leurs machines virtuelles pour leurs applications. En contrepartie du coût fixe des ressources,
Azure peut leur proposer des tarifs réduits. Lors de votre première migration vers le Cloud, il se
peut que vous ignoriez l’utilisation de vos ressources. Il peut donc être préférable de remédier
à cette lacune avant d'adopter des RI, en fonction de vos charges de travail.

Il existe un compromis entre l’évolutivité et la prévisibilité lors de la structuration des coûts, et la

plupart des organisations optent pour une approche mixte des deux modèles de tarification.

Pour en savoir plus sur les modèles de tarification, consultez la page [Link]
com/azure/architecture/framework/cost/design-price.

Maintenant que nous avons étudié comment Azure peut vous aider à évaluer et à contrôler vos
coûts, intéressons-nous à l’optimisation de ces coûts.

Optimiser vos coûts

L’optimisation des coûts consiste à réduire les coûts de vos ressources en identifiant le
gaspillage, les ressources mal gérées et les ressources de taille appropriée, mais aussi en
réservant les capacités. La gestion des coûts étant l’un des cinq principes de la gouvernance du
Cloud, il est important de trouver le moyen d’établir un plan de dépenses et un budget pour vos
ressources Cloud. Vous devrez également utiliser la surveillance et les alertes pour appliquer ces
budgets et détecter les anomalies issues des pratiques de développement. Le cadre d’adoption
du Cloud proposé par Microsoft prodigue des conseils à ce sujet et détaille les outils, les bonnes
pratiques et la documentation qui garantissent la réussite des entreprises dans le Cloud. Pour en
savoir plus, consultez la page [Link]

La surveillance de vos charges de travail lors d'un débit de pointe permet d'estimer les coûts et
de modifier les modèles de tarification dont nous avons parlé précédemment. Par exemple, si
l’utilisation est élevée tout le temps, un modèle de paiement à l’utilisation sera moins efficace
pour estimer les coûts de base. Par conséquent, le modèle basé sur la consommation ne permet
pas toujours de réaliser des économies, même s'il offre de la flexibilité.

Comme nous l’avons déjà souligné, la meilleure optimisation des coûts consiste à élaborer un
plan. Vous devez donc utiliser les outils à disposition, des calculatrices de tarifs aux check-lists,
pour établir vos politiques, vos budgets et vos contrôles afin de limiter les dépenses sur
vos solutions. Azure Well-Architected Framework constitue une excellente solution pour
commencer à créer ces stratégies, en plus d'être une excellente source d’informations. Elle
est disponible à l’adresse [Link]
Nous avons abordé la solution Azure Well-Architected Framework au chapitre 4, Migration vers
le Cloud : planification, mise en œuvre et bonnes pratiques.
 Offres, support, ressources et conseils pour optimiser les coûts dans Azure | 201

À mesure que nous commencerons à explorer les options d’optimisation proposées par Azure
dans les prochaines sections, vous devez garder à l’esprit qu’il ne s’agit pas seulement de
déplacer une charge de travail vers Azure, mais aussi tous ces composants. Lorsqu'elles migrent
vers le Cloud, de nombreuses entreprises délaissent certains des coûts de l’infrastructure
sous-jacente associés.

Azure Advisor
Il s'agit de l’un des services utiles proposés par Azure Cost Management. Azure Advisor
analyse la configuration et l’utilisation de vos ressources, en proposant des offres et des
recommandations personnalisées, afin que vous puissiez optimiser la rentabilité, la sécurité
et les performances de vos ressources. Cette solution permet par exemple d'identifier les
ressources inutilisées ou celles qui sont restées inactives pendant longtemps, notamment les
ressources correctement dimensionnées comme SQL.
Pour en savoir plus sur Azure Advisor, consultez la page [Link]
advisor/advisor-overview.

Il est important de souligner que vous devez dimensionner correctement vos ressources dans
le Cloud. La plupart des organisations achètent l’infrastructure interne à l'excès, uniquement
en prévision d'une croissance future. Lorsque vous migrez vers Azure, vous pouvez effectuer
une mise à l’échelle horizontale et verticale, de sorte que vous pouvez ajouter des ressources
supplémentaires si votre machine en a besoin. Vous pouvez également utiliser une approche
hybride, grâce à laquelle vous n’avez pas à déplacer toutes vos charges de travail vers le Cloud.
Vous pouvez déplacer les éléments de la charge de travail qui requièrent des performances
ou une évolutivité accrues au niveau de l’instance.

Azure Hybrid Benefit

Azure Hybrid Benefit est un avantage en matière de licence qui réduit considérablement les
coûts liés à l’exécution de vos charges de travail dans le Cloud. Cette solution vous permet
d’utiliser des licences Windows ou SQL Server sur site compatibles avec Assure Software ainsi
que des abonnements Red Hat et SUSE Linux sur Azure. Ce type d’avantages peut réduire les
coûts de 40 % ou plus. Vous bénéficiez par ailleurs de trois années supplémentaires de mises
à jour de sécurité gratuites lorsque vous migrez vos charges de travail Windows Server ou SQL
Server 2008 et 2008 R2 vers Azure.

Les économies découlant de l'utilisation d'une licence hybride Windows ou SQL Server sont l'un
des principaux objectifs de Microsoft concernant le modèle Hybrid Benefit. Celles-ci s'élèvent
à près de 85 % sur le coût d’une instance gérée. Ces avantages peuvent également s’appliquer
aux systèmes d’exploitation de machines virtuelles. La figure 7.6 montre quelques économies
de coûts potentielles découlant des RI et d'Azure Hybrid Benefit :
202 | Offres, support, ressources et conseils pour optimiser les coûts dans Azure

Figure 7.6 : économies de coûts potentielles

Il est recommandé d’utiliser la calculatrice Hybrid Benefit pour déterminer les économies
globales réalisées à l’aide du modèle hybride, disponible à l’adresse [Link]
com//pricing/hybrid-benefit/#calculator.

Réservations Azure
Les réservations Azure peuvent vous aider à économiser de l’argent lorsque vous vous engagez
à payer vos ressources sur un ou trois ans. Ces engagements permettent d’économiser jusqu’à
72 % par rapport aux tarifs de paiement basé sur la consommation, car il s’agit d’un contrat
à temps relatif à l'utilisation de ces ressources que vous payez à l’avance. Vous devez opter
pour les réservations si vous avez conçu des plans d’application à long terme, et si ceux-ci
correspondent aux délais. Ils ne s'appliquent qu’à des ressources spécifiques dans Azure, telles
que les machines virtuelles.

Pour en savoir plus sur les réservations, consultez les liens suivants :
• [Link]
• [Link]
compute-costs-reservations
• [Link]
 Offres, support, ressources et conseils pour optimiser les coûts dans Azure | 203

Machines virtuelles Spot

Les machines virtuelles Spot vous permettent d’utiliser la capacité de calcul Azure inutilisée en
bénéficiant de réductions considérables. Il y a toutefois un inconvénient : Azure rejettera votre
machine virtuelle Spot s'il a besoin de la capacité. Les machines virtuelles Spot sont donc bien
adaptées aux charges de travail qui peuvent être interrompues, telles que le traitement par lots,
les environnements hors production, l’analyse de Big Data et les applications sans état basées
sur les conteneurs et à grande échelle. La capacité disponible varie d’une région à l’autre, en
fonction de l’heure de la journée ou de la taille de la charge de travail. Ces machines virtuelles
ne présentent donc pas de SLA. Vous pouvez afficher l’historique des tarifs et le taux d’éviction
des machines virtuelles Spot que vous sélectionnez dans le portail Azure.

Si vous souhaitez en savoir plus sur l’utilisation des machines virtuelles Spot, consultez la page
[Link]

Prix de développement/test
Azure DevTest permet aux développeurs de créer des machines virtuelles ou d’autres ressources
PaaS qui ne requièrent pas d'approbation rapide. Cette solution permet aux équipes de créer
des environnements hors production pour tester rapidement des applications. Ainsi, les
entreprises peuvent établir un budget cohérent sur ces ressources hors production ou zones
d'environnement de test. Elle vous permet également de définir des programmes de démarrage
et d'arrêt automatique pour les machines virtuelles, afin de réduire les coûts et d'élaborer des
stratégies qui empêchent l'utilisation de ressources plus importantes.

Pour en savoir plus sur l’utilisation d’Azure DevTest, consultez la page [Link]
com/azure/devtest-labs/devtest-lab-overview.

Check-list d’optimisation
Compte tenu de ce que nous avons appris dans ce chapitre, voici quelques méthodes pour
optimiser vos coûts dans Azure, applicables dès aujourd’hui :

1. Dimensionnez correctement vos ressources inutilisées, car elles peuvent évoluer

horizontalement et verticalement dans le Cloud.

2. Désactivez vos ressources inutilisées quand elles ne sont pas nécessaires. Cette tâche peut
être effectuée à l'aide de scripts d’automatisation.

3. Tirez parti des modèles hybrides dans le Cloud, en transférant uniquement les charges de
travail nécessaires vers le Cloud. Pour en savoir plus, consultez la page [Link]
com/azure/cost-management-billing/costs/tutorial-acm-opt-recommendations.

4. Réservez des instances pour les ressources de machine virtuelle volumineuses qui seront
utilisées pendant une longue période de temps dans le Cloud.
204 | Offres, support, ressources et conseils pour optimiser les coûts dans Azure

5. Configurez des budgets, répartissez les coûts entre les différents groupes et recevez des
alertes lorsque vous vous approchez de ces budgets.

6. Configurez des environnements Azure DevTest pour le développement et les tests avant
de publier vos charges de travail publiques.

7. Explorez d’autres services Azure tels que les services PaaS, SaaS ou sans serveur pour
optimiser votre approche du Cloud et contrôler les coûts.

8. Rentabilisez vos charges de travail en suivant les recommandations issues des bonnes
pratiques d'Azure Advisor.

9. Examinez l’architecture de vos charges de travail à l’aide de l'évaluation Microsoft Azure

Well-Architected Review et de la documentation de conception pour déterminer comment
optimiser les coûts.

10. Profitez des offres Azure et des conditions de licence telles qu’Azure Hybrid Benefit, en
payant à l’avance les charges de travail prévisibles avec les réservations, Azure Spot Virtual
Machines et la tarification de développement/test Azure. Pour en savoir plus sur les offres
Azure, consultez la page [Link]

Résumé
Comme vous l’avez vu, il est judicieux d'établir une gestion des coûts et des garde-fous à l’échelle
de l’organisation pour décharger les équipes afin qu’elles puissent se concentrer sur l'innovation.
Il peut être fastidieux d'équilibrer les performances et la résilience des charges de travail,
tout en contrôlant les coûts dans le Cloud. Par ailleurs, vous ne devez pas miser votre réussite
commerciale sur les coûts qui vous sont imputés.

Dans ce chapitre, nous avons expliqué comment optimiser les coûts, qu'il s'agisse du
dimensionnement approprié ou de l'automatisation des ressources inutilisées, afin d'établir des
budgets et des alertes permettant à vos équipes de surveiller les dépenses.

Il existe une différence de coût distincte entre les datacenters sur site et la virtualisation de ces
datacenters dans le Cloud avec Azure. Nous avons passé en revue quelques-unes des façons
d’aborder ces coûts et modèles de coûts dans Azure. Nous avons évoqué les avantages uniques
offerts par Azure, notamment les modèles hybrides qui permettent d'étendre les charges de
travail qui ne doivent pas être entièrement exécutée dans le Cloud. Nous avons également
découvert les outils qui permettent de gérer et d’optimiser les coûts.
 Offres, support, ressources et conseils pour optimiser les coûts dans Azure | 205

En bref, voici les points à retenir :

• Choisissez les services de calcul Azure adaptés à vos besoins
• Dimensionnez correctement vos ressources
• Désactivez les ressources qui ne sont pas utilisées
• Configurez la mise à l’échelle automatique
• Réservez des instances
• Utilisez Azure Hybrid Benefit
• Établissez des budgets pour différentes équipes et projets

Nous ne devons pas déterminer l'utilisation d'Azure en fonction des coûts, mais plutôt tenir
compte de ces éléments qui affectent le chiffre d’affaires.
 Conclusion
8
Merci d’avoir consulté la quatrième édition du guide de stratégie et de mise en œuvre Azure.
Tout au long des différents chapitres, nous avons expliqué comment initier votre parcours dans
le Cloud Azure, utiliser Microsoft Azure Well-Architected Framework et adopter les bonnes
pratiques pour améliorer la qualité de vos charges de travail dans le Cloud. Nombreux sont
les scénarios possibles pour exécuter vos charges de travail sur Azure, en vue de répondre
aux besoins de votre entreprise en matière de solutions. Nous avons appris à quel point il est
important d’utiliser les principes de conception et d'établir une planification lors de la migration
des ressources vers Azure.

Nous espérons que ce guide end-to-end vous a permis de mieux comprendre les dernières
technologies et innovations Azure, les avantages qu'elles offrent à votre entreprise
et l’infrastructure de votre stratégie d’adoption d’Azure.
 Conclusion | 207

Ressources
Voici quelques ressources utiles qui vous permettront de progresser dans votre parcours
de migration Azure :
• Suivez un tutoriel gratuit sur les notions de base d'Azure avec des exercices pratiques :
[Link]
• Créez un compte Azure gratuit et découvrez les services d'infrastructure proposés par
Azure : [Link]
• Découvrez le cadre d’adoption du Cloud pour en savoir plus sur la migration vers
le Cloud : [Link]

Glossaire
• Taux d’échec annualisé (AFR) : la probabilité estimée de l'échec d’un appareil ou d’un
composant au cours d’une année d’utilisation complète.
• Modernisation des applications : la modernisation d’une ressource IT existante
impliquant soit la refactorisation, soit la ré-architecture, ou les deux. Les objectifs de la
modernisation des applications consistent souvent à générer des coûts et des efficacités
opérationnelles dans le Cloud.
• Zone de disponibilité : une zone isolée des pannes au sein d'une région Azure, qui
garantit une alimentation, un refroidissement et un fonctionnement réseau en continu.
• Authentification-multifacteur Azure AD (MFA) : un type d’authentification dans lequel
les utilisateurs sont invités à vérifier leur identité à l’aide d’une forme d’identification
supplémentaire, telle qu’une empreinte digitale ou un code sur leur téléphone mobile.
• Azure Arc : vous permet d’afficher et de gérer les ressources de calcul, qu’elles soient sur
site, sur des Clouds proposés par plusieurs fournisseurs ou distribuées à la périphérie
du réseau, via l’interface de gestion Azure et le modèle d’exploitation.
• Agent Azure Connected Machine : un progiciel qui vous permet de gérer des machines
Linux et Windows, qu’elles soient hébergées en dehors d’Azure, dans des environnements
multicloud ou sur site.
• Azure Disk Storage : stockage de blocs haute performance et hautement durable conçu
pour être utilisé avec les machines virtuelles Azure.
• Azure DevOps : Azure repose entièrement sur l’automatisation et la mise à l’échelle.
Vous pouvez tirer parti d’Azure DevOps pour déployer votre code et votre infrastructure
dans Azure afin de maintenir un processus de déploiement stable et cohérent.
• Gouvernance Azure : la gouvernance Azure est un ensemble de garde-fous qui aident
les organisations à respecter les stratégies de sécurité et de conformité Azure. La
gouvernance d’Azure permet de garantir l'alignement des objectifs de toutes les parties,
en veillant à ce que ces dernières comprennent leurs responsabilités dans leur parcours
vers Azure.
208 | Conclusion

• Infrastructure Azure en tant que service (IaaS) : ensemble de fonctionnalités de calcul,

de stockage et d’application fournies en tant que service par Microsoft pour exécuter
vos charges de travail dans le Cloud. Azure IaaS offre la sécurité et la mise à l'échelle
instantanée de votre infrastructure pour gérer et exploiter vos charges de travail en tout
lieu, tout en réduisant les coûts.
• Calculatrice de tarifs Azure : l’outil que vous utilisez pour estimer les coûts
d’infrastructure avant de procéder à la conception.
• Azure Private Link : un service Azure qui fournit une connectivité privée entre un réseau
virtuel et la plateforme Azure en tant que service (PaaS), et les services des clients ou
des partenaires Microsoft.
• Azure Resource Manager (ARM) : les ressources sont configurées dans Azure via
un portail, ou à l'aide d'un programme. Les modèles ARM, lorsqu’ils sont intégrés aux
pipelines Azure, peuvent vous aider à réaliser une intégration et un déploiement
continus (CI/CD).
• Azure Security Center : un outil visant à améliorer vos conditions de sécurité. Il permet
de protéger vos charges de travail, qu’elles résident sur Azure, sur site ou dans d’autres
Clouds.
• Azure Sentinel : un service SIEM Cloud natif bénéficiant de l’intelligence artificielle
intégrée pour l’analyse de données qui élimine le coût et la complexité d'une vue
centralisée et quasi en temps réel des menaces actives dans votre environnement.
• Azure Stack HCI : un service Azure qui garantit un environnement cohérent pour vos
charges de travail Linux et Windows via une infrastructure software-defined. Cette
infrastructure hyperconvergente est idéale pour les environnements hybrides sur site.
• Analyse des coûts : l’analyse des coûts est un outil utile qui vous permet de garder le
contrôle sur vos dépenses d’infrastructure. Vous pouvez tirer parti de la surveillance
et des alertes en vue d'optimiser la productivité et la rentabilité.
• Cybersécurité : un terme couramment utilisé pour désigner les mesures prises
en prévision d'une attaque sur l’infrastructure de datacenter.
• Edge Computing : une connexion permanente à Internet n'est pas toujours nécessaire.
L'Edge computing vous permet de créer des solutions sans nécessiter de connectivité
permanente.
• Chiffrement : une méthode d’encodage d'informations. Les principaux éléments du
chiffrement sont gérés par Azure, y compris le chiffrement au repos et en transit, ainsi
que la gestion des clés.
• ExpressRoute : un service disponible dans Azure pour créer une connexion privée
entre les datacenters et l’infrastructure Azure, généralement dans un environnement
co-localisé.
• Performances minimales fixes : vous devez établir des performances minimales pour
dimensionner correctement votre infrastructure dans Azure. Vous pourrez ainsi définir
le nombre minimal de ressources nécessaires à l’exécution de votre application, afin
de déterminer la mise à l’échelle appropriée.
 Conclusion | 209

• Haute disponibilité : la caractéristique d’un système ou d’un réseau à assurer la

continuité opérationnelle sur une période donnée, tout en évitant les temps d’arrêt.
• Cloud hybride : tout ne doit pas forcément migrer vers le Cloud. Les solutions hybrides
permettent de concevoir des applications sans transférer complètement vos charges
de travail vers le Cloud.
• Licence hybride : les licences hybrides vous permettent d'exploiter une licence sur site
ou pré-achetée dans Azure en vue de faciliter la gestion des coûts. Elles sont utiles aux
entreprises qui profitent de tarifs spéciaux sur des ressources sur site.
• Infrastructure en tant que code (IaC) : l'IaC est ce qu’un modèle ARM génère pour
garantir la cohérence du déploiement de l’infrastructure.
• Multicloud : une taille ne correspond pas à tous les fournisseurs de Cloud. Une approche
multicloud permet aux entreprises de déployer leurs actifs, applications et ressources
Cloud sur différents fournisseurs de Cloud. Les modèles multicloud sont utilisés afin
de maintenir des niveaux élevés de disponibilité pour les applications stratégiques.
• Stratégie multicloud : que ce soit pour la conformité du conseil d’administration ou
d’entreprise, les stratégies multicloud permettent aux organisations de traiter un certain
nombre de problèmes. Elles permettent notamment d'éviter les tarifs bloqués d’un
fournisseur de Cloud, de concevoir un plan de récupération d’urgence résilient ou de
gérer habilement des réglementations gouvernementales en matière de stockage de
données. Quel que soit le besoin ou le souhait, ces stratégies permettent aux entreprises
d’utiliser plusieurs fournisseurs de Cloud.
• PaaS (plateforme en tant que service) : confère les avantages de l'infrastructure en
tant que service (IaaS) et peut également inclure des services middleware, de gestion
de bases de données, d'orchestrateurs de conteneurs et de business intelligence (BI).
Les solutions PaaS incluent souvent des composants d’application précodés, tels que les
fonctions de sécurité, les services d’annuaire et les fonctions de charge de travail.
• Authentification sans mot de passe : toute méthode utilisée pour vérifier l’identité
d’un utilisateur sans que celui-ci ne fournisse un mot de passe, comme l’utilisation de
gestes biométriques, notamment les empreintes digitales ou les codes PIN spécifiques
à l’appareil.
• Cloud privé : ressources de Cloud computing utilisées par une seule organisation et
non accessibles au public. L’organisation hébergeant le cloud privé est responsable de
la gestion et de la maintenance de l’infrastructure sur laquelle le modèle de ressources
Cloud s’exécute.
• Résilience : la capacité d’un réseau ou d’un système à se rétablir après une défaillance,
tout en conservant des niveaux d’opérabilité adéquats face aux erreurs, aux menaces
et à d'autres difficultés.
• Sans serveur : un modèle d’exécution de Cloud computing dans lequel les ressources
de calcul sont allouées à la demande par le fournisseur de Cloud des clients. Les
environnements d’applications sans serveur, les fonctions sans serveur et les Kubernetes
sans serveur sont des exemples de ressources informatiques sans serveur disponibles
dans Azure.
210 | Conclusion

• Contrat de niveau de service (SLA) : définit le niveau de service que vous attendez
d’un fournisseur. Dans ce cas, le SLA décrit les engagements de Microsoft en termes
de disponibilité et de connectivité.
• Responsabilité partagée : lors de la migration vers le Cloud, vous devez apprendre
une nouvelle responsabilité partagée pour votre infrastructure dans le code. Il est bon
de comprendre et de connaître les limites de vos responsabilités, ainsi que celles du
fournisseur de Cloud.
• Service Site Recovery Mobility : l’agent du service Mobility collecte les écritures de
données sur la machine, puis les transmet au serveur de traitement Site Recovery.
• Azure Spot Virtual Machines (machines virtuelles Spot) : les machines virtuelles Spot
sont un service Azure qui vous permet d’acheter une capacité de calcul Azure (machine
virtuelle) inutilisée pour vos charges de travail interruptibles en bénéficiant de remises
importantes par rapport aux tarifs basés sur la consommation. Il est important de noter
qu’Azure peut supprimer des machines virtuelles Spot lorsque la capacité sous-jacente
est nécessaire.
• Locataire : un terme généralement utilisé pour représenter une organisation dans
Azure AD.
• Chiffrement transparent des données (TDE) : le TDE est la façon dont les référentiels
de données sont chiffrés au repos par défaut dans Azure.
• Azure Virtual Desktop : un système dédié à la virtualisation d’applications et de postes
de travail qui s’exécute sur Azure.
• Principes Zero trust : comprend le modèle de sécurité qui permet aux utilisateurs de
travailler de façon plus sécurisée. Cela concerne l’authentification et l’autorisation, les
contrôles pour limiter l’accès aux ressources et la prédiction des violations. En d’autres
termes, Aucune confiance, vérification continue.
 >
Index

À propos de

Tous les principaux mots-clés utilisés dans ce livre sont classés par ordre alphabétique dans
cette section. Chacun est accompagné du numéro de page de l’endroit où il apparaît.
A Altair : 92 démarrage
Amazon : 44-45, 170 automatique : 203
accès : 2-3, 5, 9, 11, 19,
AMD : 75 disponibilité : 30, 34,
22-23, 25, 27, 31, 36,
analyse de données : 186 38-41, 49, 55, 63, 73-74,
38-39, 58, 60, 69,
Android : 136 80, 85-86, 95-97, 147,
77, 81-82, 94, 96, 98,
anti-programme 154, 158, 207, 209
102-103, 105-106,
malveillant : 165 avd : 121
108-109, 111, 130, 132-136,
antivirus : 25 AWS : 41, 44-46, 71,
140, 142-143, 146, 148-151,
API : 14, 34, 43, 51, 53, 170, 174, 194
153-154, 161, 163-166,
109, 168, 179, 184 azdata : 41, 43
168, 170, 173-174, 177,
APM : 21 Azure : 1-14, 16-77, 79-118,
183, 188, 194, 201
app-service : 88, 103 120-124, 129-138,
accessible : 62, 97, 134
Arc : 6, 29-41, 43-46, 62, 140-164, 167-179,
activer : 134
70-71, 174, 177, 179, 207 181-194, 196-210
Actif : 41, 51, 81, 105-106,
architecte : 33, 102 azure-defender : 174
110, 112-113, 116, 118,
archives : 81 azure-devops : 12
124, 129-130, 134,
ARM : 10-19, 25-28, azure-docs : 53
141-142, 151, 163, 208
33, 45-46, 87, 116, géré par Azure : 47
Adaptateur : 63
120, 129-130, 152, AzureMonitor : 160
adresse : 57, 59, 74-75,
179, 187, 208-209 Natif Azure : 45-46
105, 123, 130, 139, 164,
ARO : 45 azure-stack : 47, 52,
166, 168-170, 209
artefacts : 11, 122, 178 54-61, 64-65, 67, 70
Administrateur : 22, 61-62,
ASB : 172-173
65-68, 116, 127, 151
AD : 21
ASDK : 54, 57-58
ASF-Training : 51
B
avancé : 31-32, 38, 63,
ASR : 100-103 back-end : 53
81-82, 88, 109, 162,
ressource : 24, 173, 207 backlog : 11
165, 174-175, 179
ATP : 184 Sauvegarde : 38-41, 61, 63,
avantage : 1, 9, 20, 38-40,
attributs : 168 73, 97-100, 102-103, 173
75, 91, 109, 203-204
audit : 21, 23, 25, 36, 48, Équilibreur de charge :
Advisor : 21, 74, 192,
100, 149, 176, 189 118, 121-122, 415-416
195, 201, 204
authentifier : 111, 135 bande passante : 2, 90,
abordable : 62
autorisation : 22, 210 92, 139, 141, 155-156
AFR : 207
Automanage : 84 base : 84, 161, 164,
agent : 36-37, 42, 87, 89,
automatisé : 16, 33-35, 172-173, 200
171, 179, 207, 210
39, 82, 133, 165-166, Bastion : 148-149, 183
sans agent : 88-89
177, 186-187 Référence : 172-173, 177, 192
agile : 8-9, 12
autonome : 47 BGP : 137
IA : 7, 9, 32, 47, 49, 208
mise à l’échelle BI : 82, 194, 209
fondé sur l’IA : 63
automatique : 88, bidirectionnel : 53
AKCM : 35
94-95, 199, 205 binaire : 168
AKS : 35, 45-46, 61,
biométrie : 209
64, 71, 81, 87-88
Blob : 41, 53, 79, 81-82, cloud : 1-7, 9-10, 12, 19-23, configuration : 12, 14, 16,
96, 98, 119, 160 26-27, 29-33, 35, 33-36, 54-55, 84, 102,
blog : 28, 50 39, 41, 44-45, 47-53, 109, 114, 116, 119-120, 125,
Plans : 23-25, 27, 173 57-58, 61-63, 69-70, 130, 140, 148, 155, 157, 161,
succursales : 47, 72-77, 80-81, 83-85, 165, 169-172, 181, 187, 201
61-62, 137, 141 90-92, 94-95, 97-98, connecter : 5, 21-22, 31,
répartition : 49, 195 102-104, 106-108, 36-37, 39-40, 43-44,
intégré : 22-23, 61, 80, 116, 129, 133, 135-136, 56-57, 65, 68-69, 77,
84-85, 88, 137, 147, 151, 140-141, 143-145, 147, 161, 116, 129-131, 135, 137,
171, 183, 185, 189, 208 163-166, 168-170, 172, 139, 141, 148-149, 151,
stratégique : 5, 80 174, 178-179, 181-184, 188, 154, 159, 170, 184, 187
190-194, 198, 200-201, connectivité : 30, 40-43,
C 203-204, 206-210
centré sur le Cloud : 172
48, 60, 62, 102, 105,
130, 136-137, 139-141,
CaC : 34 CloudExchange : 141 143, 146, 148-149, 151,
Cache : 92, 94, 96-97, 101 cloud natif : 31-33, 47, 161, 182, 208, 210
cadences : 38 70, 77, 81-82, 169, 174, consommation : 4, 90
CapEx : 9, 72, 97 182-183, 190, 208 conteneur : 38, 41-43,
capital :5, 72, 192 cluster : 35, 39, 45-46, 45, 87-88, 157-158,
Cassandra : 81 53, 60-69, 87-88, 94 176, 178, 184, 209
catégories : 2, 71, cms : 168 contenu : 56, 177
165-166, 180 conforme au CNFC : 34 continu : 9, 11, 35, 39,
CD : 11-12, 14, 50, 88, 208 validation : 202 41, 50, 88, 181, 208
CDSA : 143 complexité : 30, 47, contrôle : 3, 5-6, 11, 19,
Center : 21, 28, 36, 61-62, 74, 87, 208 21-23, 25, 27, 30-36, 57,
66-68, 74, 84, 99-100, conformité : 5, 23-25, 81-82, 86-87, 96, 98,
103, 149, 162, 164, 27, 33-36, 40, 42, 106, 134, 136, 146, 151,
166-181, 184, 190, 208 47-48, 70, 100, 143, 161, 170, 172-173, 177,
CentOS : 75 159, 168, 170-171, 173, 180, 189, 199, 204, 208
check-list : 203 188-189, 192, 207, 209 coordonner : 91
CI : 11-12, 14, 50, 88, 208 Informatique : 91-92 CorrelationId : 160
circuit : 142 computing : 2-7, 29-31, CosmosDB : 199
CIS : 172, 177 47, 75, 81-82, 91, coût : 1, 5, 9, 23, 26-27,
Citrix : 160 94, 157, 208-210 61-62, 72-74, 79-80,
Citus : 40 simultané : 149 84, 98, 190-202,
CLI : 8, 34, 38, 41, 43, 87 Conditionnel : 22, 204, 207-208
client : 21, 71, 96, 135, 109, 134-136 Rentabiliser : 204
140, 150, 152-153 confidentiel : 182 COVID- : 163
Clonage : 68 UC : 2, 66-67, 90, 157
Cray : 75, 92-93
informations défauts : 11, 49 46, 51-61, 63-67, 70-71,
d’identification : défendre : 166 74, 81-84, 88-90, 94,
106, 118, 132-133 définir : 22, 24, 119-120, 132, 97, 99, 102-103, 131-134,
CredSSP : 66 136, 149, 171, 188, 209 143, 152, 155, 159, 194,
CRM : 4, 194 définitions : 23-25, 188-189 196, 198, 200-203, 207
connexion : 141 déléguer : 57, 187 domaine : 37, 68, 110, 114,
multiplateforme : 81 supprimer : 98, 127, 178 118, 123, 130-131, 146, 189
multi-produits : 166 livrer : 1, 4, 11, 52, 152, 192 pilote : 58-59, 64
interlocataire : 187 démilitarisé : 130 dynamique : 108, 141
CSPM : 168, 174 dépendances : 8, 14, 16, 36
CSV : 181
client : 18, 21, 35, 49,
déploiement : 7, 9-10,
12-18, 25, 30-31, 33-36,
E
52-53, 84, 90, 147, 38-40, 43-46, 48, 50, Edge computing : 31
166, 187, 189, 191 52, 54-58, 64-65, 87-88, EKS : 45-46
CWP : 174 90, 107, 109, 114, 116, élastique : 38-40, 45-46, 71
Cyber : 164, 166 119-122, 129, 140, 152, 155, collaborateur : 49, 168
cybercriminalité : 161, 171, 190, 207-209 EMS : 133
162-163, 191 détecter : 21, 106, 109, 145, activer : 22, 32, 34, 37,
cybersécurité : 164, 164-165, 167, 169, 200 52, 57, 63, 70, 84, 89,
166, 208 développeur : 6, 11, 193 97, 100-102, 104-106,
CycleCloud : 93-94 appareil : 30, 36-37, 53, 116, 134, 136-137, 141,
132, 135-136, 139-140, 148-150, 160-161, 163,
D 152-153, 207
DevOps : 8-12, 14, 17, 27,
166, 168-169, 171-172,
174, 182-185, 209
démons : 36 32-35, 48, 50-51, 70, 207 encodage : 208
tableau de bord : 21, DevTest : 203-204 Confère : 209
39, 66-67, 84, 159, Diagnostics : 68, 151, 153 point de terminaison :
168, 171, 173, 175-176, numérique : 31, 38, 135, 137, 173, 177, 181
181, 185, 188, 197 48, 105, 181 EndTime : 160
base de données : 14, Répertoire : 41, 51, 81, appliquer : 24, 70, 98, 146,
33-34, 38-40, 49, 71, 105-107, 110, 112-113, 161, 170, 173, 183, 188, 200
85-87, 90, 103, 177, 209 116, 118, 124, 129-130, entreprise : 1, 35, 50,
datacenter : 4-5, 9, 29-30, 134, 142, 151, 163, 209 71, 83, 85, 93, 97,
41, 46, 48, 51, 61, 69, 90, Disque : 56, 64, 150, 154, 166, 173
94, 100, 106, 139, 141, 67-68, 79-81, 95, Erreurs : 159, 165
163, 165, 191-192, 208 97, 101, 183, 207 remontée : 58
DC : 117, 130 divergence : 35 Ethernet : 141
DDoS : 165 DLL : 8 Événement : 50, 52-53,
Debian : 75 DMZ : 130, 134 55, 62, 67, 160, 183-184
déclarative : 12 DNS : 130 event-hubs : 53
découplé : 14, 16 Docker : 45, 88, 177-178 EventType : 160
défaut : 17-18, 54, 92, docs : 9, 12, 16-18, 25, express : 58-59, 131, 151
97, 171, 173, 210 27-28, 32, 36-37, 43,
ExpressRoute : 5, GCP : 44, 46, 170, 174 hôte : 2, 4, 8, 58-59, 62,
136-138, 141-142, 208 géo-filtrage : 144 68, 86, 90-91, 117,
extension : 19, 25, 31, 33, 36, géo-redondant : 98, 148 122, 124-125, 128-129,
40, 48, 100-101, 178-179 Git : 11, 35 151-152, 154, 159
github : 35, 43, 46, 51, 53, hpc-cache : 94
F 88, 130, 152, 160, 173
GitOps : 35, 45
Série H : 92
HTCondor : 93
restauration GKE : 45-46, 71 HTML : 153
automatique : 100 gouvernance : 3, 10-11, HTTP: 144, 182
basculement : 65, 100-103 22-25, 27, 31, 33-34, Hubs : 50, 52-53, 55, 137
failover-clustering : 65 49, 98, 100, 106, 161, hybride : 1, 4-7, 9-10, 29-33,
Isolée des pannes : 207 173, 187-188, 190, 35-36, 46-51, 53, 61, 63,
fédération : 51, 116 196, 200, 207 69-71, 76-77, 81, 86, 105,
terrain : 30, 42, 58, 62, 141 compatible GPU : 35 108, 110, 116, 131, 139, 151,
champs : 120 Grafana : 43 161-163, 168-169, 174, 188,
empreinte : 132, 207 Graphique : 23, 26-27, 194, 201-205, 208-209
Pare-feu : 137, 143, 36, 51, 109, 187 hyperconvergé : 31,
146, 149, 168, 182 Réseau : 93 47, 50, 208
micrologiciel : 58-59, 64 groupes : 20, 22-25, 27, Hyperscale : 33-34,
flexibilité : 5, 30, 35-36, 51, 53, 57, 108, 37, 40-41, 46, 71
105, 116, 200 117, 121-122, 133, 151-152, Hyper-V : 31, 47,
empreinte : 61, 181, 191-192 164, 193-194, 203 65, 68-69, 76
prévisions : 191-192 GRS : 98
forefront : 9, 20
I
détaillée : 166
fps : 156
H IaaS : 2-3, 7, 50, 53-54,
FQDN : 37 HANA : 75, 81, 83, 90, 97 74-75, 86, 90, 168,
FQDN : 146 codé en dur : 19 183, 208-209
infrastructure : 2, 9, 73-74, matériel : 4, 51, 56, IaC : 11, 14, 16, 209
84, 137, 164, 172, 176, 58-62, 64-65, 82, IAM : 22
181, 200, 206-207 90-91, 132, 137, 183 identifier : 90, 133, 153,
front-end : 147-148 HCI : 31-32, 34-35, 37, 159, 164, 169-170, 183
FS : 51, 56, 116 47, 49, 60-70, 208 identité : 3, 11, 19, 21-22,
FSLogix : 117, 157-158 HDD : 80 27, 31, 51, 61, 105-106,
fondamental : 11, 19, Helm : 35 108-109, 111, 116, 118, 122,
54, 105, 136 hiérarchies : 25 131-135, 142, 165-166,
haute disponibilité : 173, 181, 184, 207, 209
G 80, 148, 192
HIPAA : 143
impact : 1, 8, 39, 48, 50,
73-74, 102, 150, 155,
passerelle : 47, 66, 138-140, à domicile : 174 164, 168, 173, 180, 193
142, 144, 151, 153, 182-183 homogène : 31 mise en œuvre : 15, 33,
Gbit/s : 137, 141
 71, 84, 103, 149, 163, IPsec : 139 licence : 12, 65, 86, 134,
173, 181, 190, 203 IPVPN : 141 160-161, 201, 209
importer : 54, 80, 178 ITOps : 32-33 gestion des licences :
entrant : 147-149, 177 5, 65, 107, 109, 150,
incident : 166, 173,
179-180, 185-187
J 192, 201, 204, 209
cycle de vie : 58, 82, 84, 165
index : 63 Java : 82 lien : 14, 16, 28, 59-60, 65,
indexation : 36 JSON : 12-14, 18, 23-24, 160 67, 80, 120, 130, 208
indicateurs : 185 Juste à temps : 148, 165 Linux : 33, 35-36, 44, 61,
InfiniBand : 92-93 70, 75-76, 81, 83-84, 86,
infrastructure : 1-12, 14, 16,
19, 21, 25, 27, 31-32, 34,
K 88, 92, 94, 96-97, 111, 171,
176-177, 201, 207-208
37-40, 50, 56, 60-61, noyau : 176 à charge équilibrée : 96
63, 69-70, 72-76, 79, 83, clé : 16, 33-34, 53-54, connexion : 22, 117, 173
90-91, 94-95, 97-98, 100, 56, 72, 75, 79-80, 82, Logique : 179, 187
102-103, 105, 116, 119, 84, 86-87, 105-106, Faible latence : 47, 77
141-144, 129, 132, 149-150, 132-133, 144-145, 155,
146, 164-165, 162, 167, 169,
183, 192, 196, 198, 207-210
160, 167-168, 183, 208
clés : 53, 80, 183
M
instance : 6, 30, 34, 37, Kibana : 43 machine : 7, 9, 12, 17,
39-40, 45-46, 51, 53, 71, KQL : 160 32, 35-37, 45, 49, 75,
86-87, 96, 109, 111, 136, Kubeadm : 46 81, 89, 95-96, 109,
149, 151, 160, 172, 201 kubectl : 41 119-120, 124-125, 127,
intégrer : 21, 45, 53, Kubernetes : 29-30, 129-130, 134, 148-149,
100, 137, 151 32-35, 37-40, 43, 45-46, 152, 157, 165, 170, 179,
Intel : 75, 90 55, 70-71, 87, 210 182, 199, 201, 207, 210
interconnexion : 92 Kusto : 26, 160, 186 défaillances : 50
interface : 8, 84, 161, 207 malveillant : 109,
internet : 2, 4, 7-8, 41-42,
48-50, 57, 60, 62,
L 145, 170, 185
logiciel malveillant : 165, 178
64, 138, 147, 163, 172, latence : 7, 30, 48-49, gérer : 2-3, 7-9, 12, 22, 24,
177, 182-183, 208 62, 64, 66-67, 26, 30, 32-33, 35-36, 39,
intrusion : 164 80-81, 90, 95, 97 49, 51-53, 55, 57, 61-63,
Intune : 109 dernier : 9, 38, 40, 54, 65-68, 70, 73, 84, 87-88,
inventaires : 67 85-86, 164, 173, 206 96-97, 99-100, 142-143,
investissement : 23, 97, 192 hérité : 7, 22, 34, 49-50, 148-149, 151, 153-154,
factures : 26 61, 163, 169 164, 168, 178, 187, 190,
IOPS : 66-67, 80, 90, 97 juridique : 204 192-194, 204, 207-209
iOS : 136 exploiter : 2, 27, 40, 48-49, Manager : 10, 16, 18-19,
IoT : 7, 9, 32, 45, 47, 49, 52, 63, 76, 87, 109, 111, 21, 33, 39, 41-43, 55,
53, 55, 82, 168 116, 129, 141-142, 152, 66, 87, 93, 108, 129,
IP : 53, 87, 147-149 154, 161, 207-209 137, 168, 179, 208
Marketplace : 52, 55, surveiller : 2, 21-22, NoSQL : 81
137, 160, 182, 187 35-36, 38-39, 42-43, Série N : 92-93
optimiser : 5, 23, 50, 45, 49, 51-52, 62-63, NSG : 130, 177
73, 95, 103, 192 67, 69, 89, 96, 98-99 NuGet : 11
mécanisme : 25, 55, 159-160, 167-168, 171, NVA : 101, 137
100, 134, 136, 183 173, 176, 178, 183, 186, NVIDIA : 75
abonnement : 136, 166 190, 192, 196, 204
mémoire : 2, 43,
66-68, 90, 92
monolithique : 14-15
monter : 94
O
métriques : 68, 144, 155, 173 MSDN : 58 objets : 18
MFA : 132-136, 207 multicloud : 6-7, 29-33, hors ligne : 7, 21, 30
microservices : 18, 46, 69-71, 162, 168-170, décharger : 20
34, 48-49 174, 182-183, 207, 209 heures creuses : 88
microsoft : 1-4, 6-7, 9-10, 12, Multifacteur : 22, hors site : 29, 31-32, 70, 92
16-19, 21, 25, 27-28, 32, 132, 165, 207 hors site : 63
36-38, 40, 42-44, 46-47, multi-locataire : 50, 52, 187 intégration : 44-45, 106
50-61, 63-68, 70-71, MySQL : 52-53, 55 en ligne : 62, 65,
73-76, 81-91, 93-97, 99, 95, 103, 165
102-103, 105-109, 111,
130-134, 141-143, 150-169,
N sur site : 2, 4-6, 8-9, 20-22,
29-34, 37-38, 42, 45-50,
172, 174, 177, 182, 184, espace de noms : 96 53, 61-63, 69-70, 73,
189, 191, 194, 196-198, native : 8, 10, 35-36, 76, 81-82, 84-86, 88,
200-204, 206-208, 210 44-45, 48, 63, 70, 90-91, 98, 100, 102,
middleware : 209 86, 98-99, 159, 174 104, 106-108, 116, 131,
migrer : 1, 8-9, 26, 35, 40, cloud natif : 48 134-145, 151, 161, 163, 166,
72-73, 76, 80, 82-85, accéder : 167, 175 168-169, 172, 174, 177, 179,
88-90, 97, 102-103, imbriqué : 14-17, 62 182-183, 185, 190, 192,
163, 169, 198, 200 NetApp : 75, 79, 83, 198, 201, 204, 207-209
configurations 97, 157-159 sur site : 4
inappropriées : NetWeaver : 90 OpenShift : 45
35, 170, 174, 188 mise en réseau : 2, 12, 31, exploitation : 1, 36-37,
stratégique : 48-49, 75, 209 47, 54, 57, 62, 64-65, 50-51, 59, 64-65, 73,
atténuer : 39, 49, 166, 182 75, 77, 83, 88, 94, 102, 84, 87, 101, 150, 154,
Mobilité : 89, 100-101, 210 105, 136-138, 155, 161, 166, 177, 179, 201, 207
modèle : 3, 5, 7, 9, 51, 72, 165, 182-184, 207 opération : 22, 50, 74, 190
107, 141, 146-147, 150, NFS : 81, 96 OpEx : 9, 72, 191
163, 181-182, 192, 195, NIST : 172, 188 Optane : 90
199-202, 207, 209-210 nœuds : 35, 45, 64-65, optimiser : 17, 21, 23, 26,
modernisation : 8, 69, 87-88, 94 31, 49-50, 72, 82, 96,
47-48, 61, 207 non Azure : 35-36, 190-192, 201, 203-204
module : 151 171, 174, 179 Oracle : 75, 81, 97
MongoDB : 81 non cloud : 30, 32-33, 70 orchestration : 39, 87, 96
orchestrateur : 61 périmètre : 146, 164-165, 181 PowerShell : 8, 12-13,
organisations : 2-4, 6-7, Périmètres : 77, 182 34, 52, 55-57, 61, 66,
9, 19-20, 26, 32, 35, 41, période : 98, 203, 209 68, 151, 159, 179
72-74, 76-77, 79, 85, 87, 91, périodique : 56 pré-intégré : 86
97-98, 100, 105-106, 133, périodes : 7 pré-codé : 209
137, 147-148, 150, 161, 163, permanent : 48-49 prédire : 197, 199
166, 168-169, 174, 181-183, autorisation : 26 blocage de prix : 209
187-188, 191-192, 194, 196, pétaoctets : 82 principal : 100, 108, 201
198-201, 203-204, 207, 209 hameçonnage : 132 principal : 111, 117-118,
système d'exploitation : pipeline: 9, 16 143, 181
8, 86, 92, 122 changer : 103. principe : 165, 181
panne : 37, 100 plan : 2, 7, 11, 63-64, hiérarchiser : 180
sortant : 64, 102, 146 71, 76-77, 90, 95, privé : 4-7, 33, 43, 47, 50,
point de vente : 49 100-101, 103, 107, 57, 80, 85, 141, 147-148,
outlook : 111 157, 198-200, 209 163, 178, 208-209
acheter à l'excès : 201 plateforme : 1-2, 4, 9, 16, privilèges : 134, 165
OWASP : 144 20, 31, 33, 40-41, 44, proactif : 36, 208
48, 50, 52-53, 65, 82, processus : 91
P 85, 93-94, 103, 136, 144,
161, 168-170, 208-209
propriété : 19
Protocole : 68, 130
PaaS : 2-3, 7-8, 50, stratégies : 22-25, 35-36, mise en service : 2,
52-53, 55, 70, 85-86, 42, 82, 97, 99-100, 109, 38-39, 41, 94, 127, 138
144, 168, 183, 199, 133, 136-137, 146, 149, Proxy : 134-135, 163
203-204, 208-209 154, 168, 170-171, 174, public : 4-7, 33-34, 37, 39,
package : 59-60, 207 188, 190, 200, 203, 207 41, 53, 85, 87, 97, 123,
parallèle : 35, 94 pools : 2, 117, 124, 130, 139, 147-149, 204
paramètre : 13, 151-152, 177 Python : 82
17-18, 120, 144 portail : 8, 10, 12, 19, 21,
mot de passe : 19,
21-22, 107-108, 116,
33-35, 37-39, 41-42, 52,
54-55, 57-58, 62-63, 65,
Q
127, 132-133, 209 87, 96, 109, 112, 115-117, Qualys : 177-179
correctifs : 38, 40 148, 151-152, 159, 164, 167, Quantum : 92
chemin : 32, 65, 74, 152 175, 184, 187, 203, 208 requêtes : 26, 38, 160,
modèles : 18, 25, 33, portefeuille : 29, 70 185-186, 199
71, 177, 199 Postgres : 41 File d'attente : 42, 53
PCI-DSS : 143, 188 PostgreSQL : 33-34, Démarrage rapide :
pdf : 55 37, 40, 46, 71, 98 52, 130, 161
performances : 21, 32, conditions : 9, 21, 98,
36, 39, 49-50, 62,
66-68, 73-74, 79-81,
103, 162, 164, 166-170,
172-174, 177, 185, 208
R
86, 93, 95-97, 103, 160, power-bi : 194 RA-GRS : 98
199, 201, 204, 209 plage : 2, 6, 13, 20, 33, 39,
 51, 75, 80, 97, 141, 157, 90, 118 121-123, 129, secteurs : 49, 70
184, 193, 198, 209 133, 136, 152, 178-180, sécuriser : 5, 10, 18, 21, 27,
ransomware : 63, 98 187-188, 174, 190, 193, 32-33, 35, 49, 53, 81,
RBAC : 25-26, 35-36, 38, 195, 199-201, 208-209 85, 97-98, 103-104, 111,
41, 56, 81-82, 151 restaurer : 38-40, 132, 136-137, 142, 145,
RDMA : 64, 92-93 98, 100-101 148-149, 161, 163-164, 166,
lecture seule : 41 réutilisation : 16 168-169, 172-174, 182-183
temps réel : 32, 38, basé sur les risques : 109 sécurité : 1, 7-9, 19-25, 28,
49, 74, 197, 208 robuste : 35, 48 31-34, 36, 38, 41, 53, 59,
récupération : 6, 61, 63, restaurations : 35 61-63, 72-74, 77, 80-82,
68, 73, 97, 100-102, déploiements : 62 84, 98, 102-106, 109, 111,
166, 173, 209-210 basé sur un itinéraire : 139 117, 127, 130, 133-134,
redéployer : 8, 54, 58 routeur : 137 137, 142-143, 146, 149,
redondant : 37, 98, 207 RWxD : 168 154, 161-185, 187-190,
Refactorisation : 7-8, 207 192, 201, 207-210
région : 37, 41-42, 75,
101-102, 137, 148,
S SecurityBenchmarks : 173
security-center : 28, 32, 84
155, 203, 207 SaaS : 2-3, 7, 107, 168, segmentation : 181-182
Registre : 36, 38, 183, 194, 204 auto-hébergé : 39
42-43, 88, 178 SAN : 47, 61 capteurs : 7, 30
réglementaire : 5-6, 30, SAP : 75, 81, 83, Sentinel : 162, 171, 181,
42, 47-49, 69, 159, 90-91, 97-98 183-187, 190, 208
168, 171-173, 188-189 évolutivité : 4-5, 8, 30, 34, séquence : 94
réhébergement : 76 37-38, 61, 80, 82, 92-94, séries : 50, 93, 116
fiabilité : 4, 73-74, 98 104, 192, 200-201 Serveur : 5, 13, 33-34,
remédier : 106, 170, 181 évolutif : 33, 47, 50, 72, 36, 39-40, 43-44, 53,
à distance : 1, 5, 30, 46-48, 81-82, 90, 103, 147, 166 59, 63-66, 68-69, 71,
50, 57, 61-62, 68, 93, 97, mise à l'échelle : 23, 33-34, 75-76, 81, 83-90, 97-98,
103-106, 116, 130, 134, 38, 41, 82, 88, 92, 95, 103, 134, 150-151 154,
136-138, 140, 142, 144, 141, 144, 207, 209 160, 177, 201, 210,
146, 148-150, 152-153, analyser : 132, 178-179, 182 sans serveur : 2, 7, 48,
155, 157, 160-164, 168, planifier : 16, 96-97 81, 195, 199, 204, 210
174, 178, 181-183, 188-189 schéma : 13, 23, 139 session : 144, 154,
répliquer : 89, 100 portée : 16, 25, 110, 195 160, 170, 182
répliqué : 101 SDL : 165 configuration : 25, 38, 118
réplication : 64, 89, 100-102 SDN : 64-65 partitionnement : 38
référentiels : 20, 35, 210 fluide : 31, 80, 100, 152 SharePoint : 52
Réserver : 203, 205 SecOps : 162, 188 Shell : 57
résilient : 100, 103, 209 section : 3, 13-14, 19, répliquer : 39, 76,
ressource : 2, 6, 10, 13, 30, 32, 34, 45-46, 58, 83-84, 86, 97
15-16, 18-21, 25-27, 33, 74-75, 79, 83, 86, 90-91, arrêt : 69, 203
35-37, 39, 41-44, 50-53, 94-95, 97, 102, 142, SIEM : 181, 183, 190, 208
55-57, 60, 63, 68, 87, 167, 174, 181, 188, 195 signaux : 37, 136, 183
hôte unique : 58 structure : 13-15, 17, seuil : 196
Site : 41-42, 50, 59, 63, 24-25, 28, 151, 199 limitation : 199
68, 100-101, 174, 210 sous-réseau : 130 niveau : 14, 107-109, 173
Site à site : 5, 137-139 abonnement : 22-23, 25, 38, temps : 7, 9, 18-19, 22, 40,
Références : 90 61, 63-65, 84, 102, 111-112, 42, 48-49, 54, 59, 64, 67,
SLA : 203, 210 116-118, 133, 151, 167-171, 73, 85, 87, 95, 97, 100,
PME : 81, 157 174, 179, 184, 190, 197 133, 137, 142, 144, 155-156,
logiciel : 2, 4, 11, 29, 36, sous-ensemble : 54 166, 170, 173, 185-186,
51-53, 58-61, 65, 70, filiales : 6 189, 198, 200-203, 209
76, 86-87, 165-166, Suite : 12 TimeGenerated : 160
179, 192, 201, 207 SUSE : 75-76, 201 horodatage : 160, 187
solution : 6-7, 21, 30, commutateurs : 67, 69 outil : 11-12, 67, 84, 88-89,
32-33, 47, 50-53, 60-61, Synapse : 82, 177 93, 154, 169, 196-198, 208
82, 88, 96, 148-150, synchroniser : 21, 63, 81, 151 Kit de ressources : 27
166, 168, 177, 206 Syslog : 184 topologie : 131, 154
source : 11-12, 21, 33-35, Haut niveau : 81, 97
53, 56, 99, 101-102, 200
couvrant : 33
T suivi : 7, 36, 50, 172
compromis : 200
Spark : 92 cible : 6, 16, 96, 101-102 trafic : 69, 95, 105, 130,
dépense : 7, 208 Fiscal : 5 137-138, 142-143, 146-149,
lancer : 45 Coût total de possession : 170, 177, 182-183
Spot : 96, 203-204, 210 72, 197-198 transcodage : 94
SQL : 13-14, 33-34, 37, TDE : 210 transit : 98, 137, 165,
39-40, 43-44, 46 52-53, techniques : 34, 95, 163 182-183, 208
55, 76, 81, 83, 85-87, technologies : 2, 5, 7, 9, transmissions : 64
97-98, 103, 168, 172, 32, 69, 76, 92, 206 déclencher : 125, 178, 187
174, 176-178, 201 modèle : 12-19, 27-28, 37, dépannage : 57, 68
SSD : 80, 97, 157 45-46, 120, 129-130, 209 réglage : 170
SSH : 148-149 locataire : 21-22, 35, 51, tunnel : 5, 139
SSL : 42-43, 144 109, 111-116, 172, 187, 210 Twitter : 111
normes : 18, 35, 63, 80, locataires : 4, 51-53, type : 4, 7, 17, 20, 41-42,
105, 148, 151, 161, 199 98, 185, 187 59-60, 75, 90, 113,
statique : 148 tendance : 105 138-140, 142, 199, 207
stockage : 2, 22, 31-32, 35, teraoctets : 90
41, 43, 47, 50, 52-54, 56,
61-62, 65-67, 69, 75,
Terraform : 44-45, 87
test : 11, 16, 54-55, 75,
U
79-83, 90-91, 94-98, 86, 89, 102, 120, Ubuntu : 75
101-102 105, 117, 119, 130, 203-204 Interface : 4, 14, 100, 151
151, 157-159, 168, 174, tiers : 4, 8, 84-85, 107, unifié : 31-32, 34-35,
176, 178, 183, 207-209 153, 182, 184 37-38, 50, 61, 70, 137,
stratégique : 23 menace : 20-21, 31, 81-82, 162, 167, 169, 188, 193
rationaliser : 2, 168 146, 162, 166, 169, mise à jour : 18, 34, 36,
173-174, 177, 181-182, 185 54, 58-60, 62-64, 96
mise à niveau : 34, 59 VPN : 5, 57, 63, 136-140, Zone : 96, 130, 207
UPN : 118 142, 148, 183 redondant interzone : 98
URL : 14, 43, 57, 120, vSphere : 44, 76 ZRS : 98
135, 167-168 vulnérabilités : 74, 144, 164,
utilisateurs : 17, 22, 29, 31, 166, 169, 178-179, 181
41, 43, 51-52, 54-57, 62,
70, 95, 106-108, 111, 116,
119, 130-137, 140, 144,
W
146, 149-153, 156-157, WAF : 143-145, 182
160, 183, 194, 207, 210 WAN : 94, 136-137, 141
basé sur l'utilisation : 199 web : 4, 44, 50, 52-53, 57,
71, 74, 83-84, 87-88,
V 97, 143, 145, 147, 151,
153, 170, 174, 182
Vagrant : 44 Windows : 33, 35-36, 44,
variables : 13, 17-18, 28, 179 59, 61-63, 65-68, 70,
Vault : 53-54, 102, 183 75-76, 80-81, 83-84,
vCPU : 157 86, 88, 94, 96-97, 134,
VDI : 150 150-152, 154, 160-161,
fournisseur : 58-59, 171, 177, 201, 207-208
207, 209-210 workbook : 160, 184
Disque dur virtuel : 64, 119 charge de travail : 94,
Virtuel : 5, 7, 12-13, 17, 25, 30, 116, 135, 209
33, 53, 57, 62, 64-65, 67, main d'œuvre : 73, 164
75, 80, 84, 86-87, 92-93, charge de travail : 2,
95-96, 98, 101, 104-105, 73-75, 83, 88, 90, 93,
116-130, 136-143, 145-146, 95, 97, 103, 155-156,
148-161, 163-164, 174-175, 168, 174, 192, 201, 203
177, 179, 182-183, 199, espace de travail : 36, 105,
203-204, 207-208, 210 122, 152, 154, 159, 184
Machines virtuelles : WVDConnections : 160
9, 81, 93, 97, 203
visualisation : 82, 93
Machine virtuelle : 8,
X
34-35, 43-45, 50, XDR : 168
52-53, 60, 68-71, 75, 84,
86, 90-91, 93, 96-97,
100-101, 198, 201, 203
Z
VMware : 44-45, 76, zéro pourcent : 80
83, 88-89, 160-161 zero-touch : 34