Azure Fondamentale

Télécharger au format pdf ou txt
Télécharger au format pdf ou txt
Vous êtes sur la page 1sur 360

Introduction

Effectué100 XP
• 4 minutes

Azure est une plateforme de cloud computing qui fournit un ensemble de services
toujours plus nombreux pour vous aider à créer des solutions avec lesquelles vous
pourrez atteindre vos objectifs professionnels. Les services Azure sont extrêmement
variés : ils vont de simples services web utilisés pour héberger vos activités dans le
cloud, à des ordinateurs entièrement virtualisés sur lesquels vous exécutez vos
solutions logicielles personnalisées. Azure fournit une myriade de services cloud,
parmi lesquels le stockage étendu, l’hébergement de base de données et la gestion
centralisée des comptes. Azure offre également de nouvelles fonctionnalités telles
que l’intelligence artificielle et l’Internet des objets (IoT).

Dans ce module, est une introduction complète et de bout-à-bout à Azure et ses


fonctionnalités. Il vous permettra d’acquérir une solide base pour effectuer les
parcours d’apprentissage Principes de base d’Azure disponibles.

Quels sont les principes de base d’Azure ?


Les notions de base d’Azure sont une série de six parcours d’apprentissage qui vous
permettent de vous familiariser avec Azure et ses nombreux services et
fonctionnalités.

Que vous soyez intéressé par les principaux services de calcul, de réseau, de stockage
et de base de données d’Azure, en découvrant les meilleures pratiques en matière de
sécurité dans le cloud ou en explorant la pointe de l’IoT et du Machine Learning,
considérez les principes de base d’Azure comme votre guide organisé sur Azure.

Les notions de base d’Azure incluent des exercices interactifs qui vous permettent de
vous familiariser avec Azure. De nombreux exercices fournissent un environnement
Azure temporaire appelé bac à sable (sandbox), qui vous permet d’apprendre
gratuitement et à votre propre rythme.

L’expérience informatique technique n’est pas obligatoire. Toutefois, le fait d’avoir


des connaissances générales vous aidera à tirer le meilleur parti de votre expérience
d’apprentissage.

Pourquoi dois-je prendre les notions de base d’Azure ?


Que vous soyez en train de travailler avec le cloud ou que vous disposiez déjà d’une
expérience dans le cloud et que vous soyez un nouvel utilisateur d’Azure, les notions
de base d’Azure vous fournissent tout ce dont vous avez besoin pour commencer.

Quels que soient vos objectifs, les notions de base d’Azure vous concernent.
Appliquez les principes de base d’Azure si :

• vous avez un intérêt général dans Azure ou dans le cloud,


• vous souhaitez bénéficier d’une certification officielle de la part de
Microsoft,

Préparation pour Exam AZ-900

Les cours de parcours d'apprentissage sur les principes de base d’Azure peuvent vous
aider à préparer l’examen Exam AZ-900: Microsoft Azure Fundamentals. Cet examen
comprend six domaines de connaissances :

Domaine AZ-900

Poids

Description des concepts de cloud

20 à 25 %

Description des principaux services Azure

15 à 20 %

Description des solutions principales et des outils de gestion Azure

10 à 15 %

Description des fonctionnalités de sécurité générale et de sécurité réseau

10 à 15 %

Description des fonctionnalités d’identité, de gouvernance, de confidentialité et de conformité

20 à 25 %

Description des contrats de niveau de service et de gestion des coûts Azure

10 à 15 %

Chaque domaine est mappé à un parcours d’apprentissage dans les notions de base
d’Azure.
Les pourcentages affichés indiquent le poids relatif de chaque zone à l’examen. Plus
le pourcentage est élevé, plus le nombre de questions contenues dans l’examen sera
important. Veillez à consulter la page d’examen pour connaître les compétences
couvertes dans chaque domaine.

Cette formation vous aide à développer une compréhension approfondie d’Azure. Le


fait de disposer d’une expérience pratique renforcera les concepts et vous aidera à
mieux vous préparer pour l’examen ou à appliquer vos compétences au travail.

Objectifs d’apprentissage
À l’issue de ce module, vous pourrez :

• Décrire les concepts de base du cloud computing


• Déterminer si Azure est la solution la plus adaptée à vos besoins métier
• Différencier les méthodes de création d’un abonnement Azure

Prérequis
• Vous devez être familiarisé avec les concepts et la terminologie de base
du domaine informatique.
• Connaître le cloud computing est un plus, mais n’est pas indispensable.

Unité suivante: Qu’est-ce que le cloud computing ?

Qu’est-ce que le cloud computing ?


Effectué100 XP
• 9 minutes

Vous êtes-vous déjà demandé ce qu’est le cloud computing ? Également connu sous
le nom de cloud, il vise à fournir des services informatiques sur Internet. Ces services
incluent les serveurs, le stockage, les bases de données, le réseau, les logiciels,
l’analytique et l’intelligence. Le cloud computing accélère l’innovation, fournit des
ressources flexibles et apporte des économies d’échelle.

Pourquoi le cloud computing est-il généralement


moins cher à l’usage ?
Le cloud computing consiste à fournir des services informatiques sur Internet en
utilisant un modèle tarifaire de type paiement à l’utilisation. En règle générale, vous
ne payez que les services cloud que vous utilisez, ce qui vous permet :

• De réduire vos coûts d’exploitation


• D’exécuter votre infrastructure plus efficacement
• D’adapter vos ressources à mesure que vos besoins métier évoluent

En quelque sorte, le cloud computing est un moyen de louer de la puissance de calcul


et de l’espace de stockage à un centre de données d’une autre société. Vous pouvez
utiliser les ressources cloud de la même façon que les ressources dans votre propre
centre de données. Lorsque vous ne les utilisez plus, vous les rendez. On ne vous
facture que ce que vous utilisez.

Au lieu de conserver en permanence des processeurs et de l’espace de stockage dans


votre centre de données, vous les louez durant la période où vous en avez besoin. Le
fournisseur de cloud s’occupe de la gestion de l’infrastructure sous-jacente à votre
place. Le cloud vous permet de relever rapidement vos plus gros défis métier et de
fournir des solutions de pointe à vos utilisateurs.

Pourquoi migrer vers le cloud ?


Le cloud vous permet d’avancer plus rapidement et d’innover dans des voies qui
étaient jusqu’alors pratiquement impossibles.

Dans notre monde numérique en perpétuelle évolution, deux tendances émergent :

• Les équipes offrent de nouvelles fonctionnalités à leurs utilisateurs en un


temps record.
• Les utilisateurs attendent une expérience de plus en plus riche et
immersive avec leurs appareils et avec les logiciels.

Avant, les versions des logiciels étaient planifiées sur des mois, voire des années.
Aujourd’hui, les équipes publient les fonctionnalités par lots plus petits qui sont
souvent planifiés sur des jours ou des semaines. Certaines équipes fournissent même
des mises à jour logicielles en continu, parfois avec plusieurs versions dans la même
journée.

Pensez à toutes les interactions que vous effectuez avec les appareils que vous ne
pouviez pas effectuer il y a quelques années. Nombre d’appareils peuvent reconnaître
votre visage et répondre à des commandes vocales. La réalité augmentée change la
façon dont vous interagissez avec le monde physique. Même les appareils
domestiques commencent à agir intelligemment. Ce ne sont là que quelques
exemples de technologies qui reposent pour la plupart sur le cloud.

Pour alimenter vos services et offrir des expériences utilisateur novatrices et nouvelles
plus rapidement, le cloud fournit un accès à la demande à :

• Un pool presque illimité de calcul brut, de stockage et de composants


réseau.
• La reconnaissance vocale et autres services cognitifs qui permettent à
votre application de se démarquer.
• Les services d’analytique qui fournissent des données de télémétrie à
partir de vos logiciels et appareils.

Unité suivante: Qu’est-ce qu’Azure ?

Qu’est-ce qu’Azure ?
Effectué100 XP
• 9 minutes

Azure est un ensemble de services cloud en constante évolution qui aide votre
organisation à faire face aux défis actuels et futurs. Azure vous offre la possibilité de
créer, gérer et déployer des applications sur un réseau de dimension mondiale avec
vos outils et frameworks préférés.

Que propose Azure ?


Avec l’aide d’Azure, vous avez tout ce dont vous avez besoin pour créer votre
prochaine grande solution. Le tableau suivant présente plusieurs des avantages
offerts par Azure, pour vous permettre d’inventer au service de vos besoins.

Préparez le futur : l’innovation continue chez Microsoft soutient vos projets de


développement d’aujourd’hui et vos visions de produits de demain.
Développez selon vos conditions : vous avez le choix. Avec l’open source et la prise en
charge de l’ensemble des langages et des frameworks, vous pouvez développer et déployer
comme vous le souhaitez.

Travaillez en hybride et en continu : localement, dans le cloud et en périphérie, nous serons


à vos côtés où que vous soyez. Intégrez et gérez vos environnements avec des outils et des
services conçus pour une solution de cloud hybride.

Faites confiance au cloud : bénéficiez d’une sécurité de bout en bout, assurée par une équipe
d’experts, et d’une conformité proactive approuvée par les entreprises, les administrations et
les start-up.

À quoi me sert Azure ?


Azure fournit plus de 100 services qui vous permettent de tout faire, de l’exécution de
vos applications existantes sur des machines virtuelles à l’exploration de nouveaux
paradigmes logiciels, tels que les bots intelligents et la réalité mixte.

De nombreuses équipes commencent à explorer le cloud en déplaçant leurs


applications existantes vers des machines virtuelles qui s’exécutent dans Azure. La
migration de vos applications existantes vers des machines virtuelles est un bon
début, mais le cloud est bien plus qu’un autre emplacement pour exécuter vos
machines virtuelles.
Par exemple, Azure fournit des services d’intelligence artificielle et d’apprentissage
automatique qui peuvent communiquer de façon naturelle avec vos utilisateurs en
utilisant la vue, l’ouïe et la voix. Il fournit également des solutions de stockage qui
augmentent de manière dynamique pour s’adapter à de grandes quantités de
données. Les services Azure permettent de trouver des solutions inenvisageables sans
la puissance du cloud.

Comment fonctionne Azure ?

Qu’est-ce que le portail Azure ?


Le portail Azure est une console web unifiée qui offre une alternative aux outils en
ligne de commande. Avec le portail Azure, vous pouvez gérer votre abonnement
Azure à l’aide d’une interface utilisateur graphique. Vous pouvez :

• Créez, gérez et supervisez tout ce que vous voulez, de simples


applications web à des déploiements cloud complexes.
• Créez des tableaux de bord personnalisés pour une vue organisée des
ressources.
• Configurez les options d’accessibilité pour une expérience optimale.

Le portail Azure est conçu pour assurer résilience et disponibilité continue. Il


maintient une présence dans chaque centre de données Azure. Cette configuration
rend le portail Azure résilient aux défaillances des centres de données individuels et
évite les ralentissements de réseau du fait de la proximité avec les utilisateurs. Le
portail Azure est mis à jour en permanence et les activités de maintenance ne
nécessitent aucun temps d’arrêt.
Qu’est-ce que la Place de marché Microsoft Azure ?
La Place de marché Azure facilite la mise en relation des utilisateurs avec les
partenaires Microsoft, les éditeurs de logiciels indépendants et les start-up qui
proposent leurs solutions et services optimisés pour Azure. Les clients de la Place de
marché Azure peuvent trouver, essayer, acheter et provisionner des applications et
des services de plusieurs centaines de fournisseurs de services de premier plan.
Toutes les solutions et tous les services sont certifiés pour s’exécuter sur Azure.
Le catalogue de solutions couvre plusieurs catégories sectorielles, telles que les
plateformes de conteneurs open source, les images de machines virtuelles, les bases
de données, les logiciels de création et de déploiement d’applications, les outils de
développement, la détection des menaces et la blockchain. Avec la Place de marché
Azure, vous pouvez provisionner des solutions de bout en bout avec rapidité et
fiabilité, en les hébergeant dans votre propre environnement Azure. Au moment de la
rédaction du présent document, il existait plus de 8 000 références.

La Place de marché Azure s’adresse aux professionnels de l’informatique et aux


développeurs cloud intéressés par les logiciels commerciaux et informatiques. Les
partenaires Microsoft s’en servent également comme point de départ de toutes les
activités de commercialisation conjointes.

Unité suivante: Visite guidée des services Azure

Visite guidée des services Azure


Effectué100 XP
• 11 minutes

Azure peut vous aider à relever les plus gros défis professionnels. Vous apportez vos
conditions, votre créativité et vos outils de développement de logiciels favoris. Azure
vous apporte une infrastructure d’échelle mondiale toujours disponible pour créer
vos applications.

Commençons la visite guidée des principaux services proposés par Azure.

Présentation d’Azure

Services Azure
Voici une vue d’ensemble des services et des fonctionnalités disponibles dans Azure.
Examinons de plus près les catégories les plus utilisées :

• Calcul
• Mise en réseau
• Stockage
• Mobile
• Bases de données
• Web
• Internet des objets (IoT)
• Big Data
• Intelligence artificielle
• DevOps

Calcul

Les services de calcul sont souvent la raison principale pour laquelle les entreprises
choisissent la plateforme Azure. Azure fournit différentes options pour l’hébergement
des applications et services. Voici quelques exemples de services de calcul dans
Azure.

Nom du service

Fonction du service

Machines virtuelles Azure

Machines virtuelles Windows ou Linux hébergées dans Azure.

Azure Virtual Machine Scale Sets

Mise à l’échelle des machines virtuelles Windows ou Linux hébergées dans Azure.

Azure Kubernetes Service

Gestion de cluster pour les machines virtuelles qui exécutent des services conteneurisés.

Azure Service Fabric

Plateforme de systèmes distribués qui s’exécute dans Azure ou localement.

Azure Batch

Service managé pour les applications de calculs complexes et les applications en parallèle.

Azure Container Instances

Applications conteneurisées exécutées sur Azure sans provisionner de serveurs ni de


machines virtuelles.
Azure Functions

Service de calcul serverless basé sur les événements.

Réseau

La liaison des ressources de calcul et l’accès aux applications sont les principales
fonctions du réseau Azure. La fonctionnalité de réseau dans Azure comprend toute
une série d’options pour connecter le monde extérieur aux services et fonctionnalités
dans les centres de données Azure.

Voici quelques exemples de services réseau dans Azure.

Nom du service

Fonction du service

Réseau virtuel Azure

Connecte des machines virtuelles aux connexions de réseau privé virtuel (VPN) entrantes.

Azure Load Balancer

Équilibre les connexions entrantes et sortantes vers les applications ou les points de
terminaison de service.

Azure Application Gateway

Optimise la distribution de batteries de serveurs d’applications tout en améliorant la sécurité


des applications.

Passerelle VPN Azure

Accède aux réseaux virtuels Azure via des passerelles VPN à hautes performances.

Azure DNS

Fournit des réponses DNS ultrarapides et une très haute disponibilité du domaine.

Azure Content Delivery Network

Distribue sur une large bande passante du contenu aux clients partout dans le monde.

Azure DDoS Protection

Protège les applications hébergées sur Azure contre les attaques par déni de service distribué
(DDoS).
Azure Traffic Manager

Distribue le trafic réseau entre différentes régions Azure dans le monde.

Azure ExpressRoute

Se connecte à Azure via des connexions à large bande passante sécurisées et dédiées.

Azure Network Watcher

Supervise et diagnostique les problèmes réseau à l’aide d’une analyse basée sur des scénarios.

Pare-feu Azure

Implémente un pare-feu de haute sécurité et à haute disponibilité avec une scalabilité


illimitée.

Azure Virtual WAN

Crée un réseau WAN unifié qui connecte des sites locaux et distants.

Stockage

Azure fournit quatre grands types de services de stockage.

Nom du service

Fonction du service

Stockage Blob Azure

Service de stockage d’objets très volumineux, comme les fichiers vidéo ou les images bitmap.

Stockage Fichier Azure

Partages de fichiers accessibles et gérables comme un serveur de fichiers.

Stockage File d’attente Azure

Magasin de données utilisé pour mettre en file d’attente et distribuer de manière sécurisée les
messages entre les applications.

Stockage Table Azure

Le Stockage Table est un service qui stocke des données structurées non relationnelles
(également appelées données NoSQL structurées) dans le cloud, en fournissant un magasin de
clés/d’attributs avec une conception sans schéma.

Ces services ont tous plusieurs caractéristiques en commun :


• Durabilité et haute disponibilité assorties de capacités de redondance et
de réplication.
• Sécurisation par chiffrement automatique et contrôle d’accès en
fonction du rôle.
• Scalabilité avec un stockage quasi illimité.
• Managé, maintenance et résolution des problèmes critiques inclus.
• Accessibilité à l’échelon mondial via HTTP ou HTTPS.

Mobile

Avec Azure, les développeurs peuvent créer de façon simple et rapide des services
back-end mobiles pour applications iOS, Android et Windows. Les fonctionnalités qui
auparavant prenaient du temps et accentuaient les risques liés aux projets, comme
l’ajout de la connexion d’entreprise et la connexion à des ressources locales telles que
SAP, Oracle, SQL Server et SharePoint, sont désormais simples à inclure.

Autres fonctionnalités de ce service :

• Synchronisation des données hors connexion.


• Connectivité vers les données locales.
• Diffusion des notifications push.
• Mise à l’échelle automatique en fonction des besoins de l’entreprise.

Bases de données

Azure propose plusieurs services de base de données pour stocker un large éventail
de types de données et de volumes. Par ailleurs, avec la connectivité globale, ces
données sont immédiatement accessibles par les utilisateurs.

Nom du service

Fonction du service

Azure Cosmos DB

Base de données distribuée au niveau mondial qui prend en charge les options de NoSQL.

Azure SQL Database

Base de données relationnelle complètement managée, avec mise à l’échelle automatique,


intelligence intégrale et sécurité robuste.

Azure Database pour MySQL


Base de données relationnelle MySQL complètement managée et scalable avec haute
disponibilité et sécurité.

Azure Database pour PostgreSQL

Base de données relationnelle PostgreSQL complètement managée et scalable avec haute


disponibilité et sécurité.

SQL Server sur les machines virtuelles Azure

Service qui héberge des applications SQL Server d’entreprise dans le cloud.

Azure Synapse Analytics

Entrepôt de données complètement managé avec sécurité intégrale à chaque niveau d’échelle
sans coût supplémentaire.

Azure Database Migration Service

Service qui migre les bases de données dans le cloud sans modifier le code d’application.

Cache Azure pour Redis

Service complètement managé qui met en cache les données statiques et les données
fréquemment utilisées pour réduire la latence des données et des applications.

Azure Database for MariaDB

Base de données relationnelle MariaDB complètement managée et scalable avec haute


disponibilité et sécurité.

Web

Aujourd’hui, dans le monde de l’entreprise, il est indispensable de disposer d’une


grande expérience du web. Azure offre un support de premier ordre pour créer et
héberger des applications web et des services web basés sur HTTP. Les services Azure
suivants sont axés sur l’hébergement web.

Nom du service

Description

Azure App Service

Créez rapidement des applications web performantes basées sur le cloud.

Azure Notification Hubs


Envoyez des notifications Push vers n’importe quelle plateforme à partir d’un backend

Gestion des API Azure

Publiez des API en toute sécurité et à grande échelle pour les développeurs, les partenaires et
les employés.

Recherche cognitive Azure

Déployez ce service de recherche complètement managé.

Fonctionnalité Web Apps d’Azure App Service

Créez et déployez des applications web stratégiques à grande échelle.

Service Azure SignalR

Ajoutez facilement des fonctionnalités web en temps réel.

IoT

Les personnes n’ont jamais eu accès à autant d’informations. Le développement des


assistants numériques personnels a conduit à l’avènement des smartphones, et il
existe maintenant des montres intelligentes, des thermostats intelligents et même
des réfrigérateurs intelligents. Avant, les ordinateurs personnels étaient la norme.
Maintenant, avec Internet, n’importe quel objet connecté peut accéder à des
informations très utiles. Cette possibilité donnée aux appareils de recueillir et de
transmettre des informations à des fins d’analyse de données s’appelle l’IoT.

De nombreux services peuvent faciliter et orienter le développement de solutions IoT


de bout en bout.

Nom du service

Description

IoT Central

Solution IoT SaaS (software as a service) mondiale complètement managée qui facilite la
connexion, la supervision et la gestion à grande échelle des ressources IoT.

Azure IoT Hub

Hub de messagerie qui garantit des communications sécurisées et permet de superviser des
millions d’appareils IoT.

IoT Edge
Service complètement managé qui permet aux modèles d’analyse de données d’être envoyés
(push) directement sur les appareils IoT et ainsi de réagir rapidement aux changements d’état
sans avoir besoin de consulter des modèles IA cloud.

Big Data

Les données affluent dans tous les formats et toutes les tailles. Le Big Data fait
référence à des volumes de données énormes. Les volumes de données générés par
les systèmes météo, les systèmes de communication, la recherche génomique, les
plateformes d’imagerie et les divers autres scénarios se comptent en centaines de
gigaoctets. Face à de tels volumes de données, il est difficile d’en faire l’analyse et de
prendre des décisions. Ces données sont si volumineuses que les formes
traditionnelles de traitement et d’analyse ne sont plus adaptées.

Des technologies de cluster open source ont été développées pour gérer ces
immenses jeux de données. Azure prend en charge un large éventail de technologies
et de services afin de fournir des solutions analytiques et de Big Data.

Nom du service

Description

Azure Synapse Analytics

Exécutez des opérations analytiques à très grande échelle en vous appuyant sur un entrepôt de
données d’entreprise cloud qui tire parti du traitement massivement parallèle pour exécuter
rapidement des requêtes complexes sur des pétaoctets de données.

Azure HDInsight

Traitez d’immenses volumes de données au moyen de clusters managés Hadoop dans le


cloud.

Azure Databricks

Intégrez ce service d’analytique collaboratif basé sur Apache Spark à d’autres services de Big
Data dans Azure.

Intelligence artificielle

Dans le contexte du cloud computing, l’IA s’articule autour d’une large gamme de
services, au cœur de laquelle se trouve le machine learning. Machine Learning est une
technique de science des données qui permet aux ordinateurs d’utiliser des données
existantes afin de prévoir les tendances, les résultats et les comportements futurs.
Avec le Machine Learning, les ordinateurs apprennent sans être explicitement
programmés.
Les prévisions ou prédictions générées par le Machine Learning peuvent rendre les
applications et les appareils plus intelligents. Par exemple, quand vous faites vos
courses en ligne, le Machine Learning peut vous recommander d’autres produits
susceptibles de vous plaire, en tenant compte de ce que vous avez acheté. Quand
vous glissez votre carte de crédit dans un appareil, le Machine Learning compare la
transaction à une base de données de transactions et aide à détecter les fraudes. Et
lorsque votre robot aspirateur nettoie une pièce, le machine learning l’aide à
déterminer si le travail est terminé.

Voici quelques-uns des types de services d’IA et de machine learning les plus
courants dans Azure.

Nom du service

Description

Service Azure Machine Learning

Environnement cloud qui vous permet de développer, entraîner, tester, déployer, gérer et
suivre des modèles Machine Learning. Il est capable de générer et ajuster automatiquement un
modèle. Dans un premier temps, il vous laisse démarrer l’entraînement sur votre ordinateur
local avant d’effectuer un scale-out sur le cloud.

Azure ML Studio

Espace de travail collaboratif visuel dans lequel vous pouvez créer, tester et déployer des
solutions de Machine Learning à l’aide d’algorithmes de Machine Learning prédéfinis et de
modules de traitement des données.

Les services cognitifs constituent un ensemble de produits similaires. Vous pouvez


utiliser ces API prédéfinies dans vos applications pour résoudre des problèmes
complexes.

Nom du service

Description

Vision

Utilisez des algorithmes de traitement d’images destinés à identifier, légender, indexer et


modérer intelligemment les images et les vidéos.

Speech

Convertissez du contenu audio en texte, utilisez la voix pour vérifier ou ajoutez la


reconnaissance de l’orateur à votre application.

Mappage des connaissances


Mappez les informations et les données complexes pour résoudre certaines tâches comme les
recommandations intelligentes et la recherche sémantique.

Recherche Bing

Ajoutez les API Recherche Bing à vos applications et profitez de la possibilité de combiner
des milliards de pages web, d’images, de vidéos et d’actualités en un seul appel d’API.

Traitement du langage naturel

Ils permettent à vos applications de traiter le langage naturel avec des scripts prédéfinis,
d’évaluer les sentiments et d’apprendre à reconnaître ce que veulent les utilisateurs.

DevOps

DevOps réunit les personnes, les processus et les technologies en automatisant la


livraison de logiciels afin d’apporter à vos utilisateurs une valeur continue. Avec Azure
DevOps, vous pouvez créer, générer et publier des pipelines qui assurent une
intégration, une livraison et un déploiement continus de vos applications. Vous
pouvez intégrer des référentiels et des tests d’application, procéder à la supervision
des applications et utiliser des artefacts de build. Vous pouvez aussi utiliser des
éléments de backlog pour le suivi, automatiser le déploiement de l’infrastructure et
intégrer une palette d’outils et de services tiers comme Jenkins et Chef. Toutes ces
fonctions et bien d’autres sont étroitement intégrées à Azure pour permettre des
déploiements cohérents et reproductibles pour vos applications et fournir ainsi des
processus de génération et de mise en production simplifiés.

Nom du service

Description

Azure DevOps

Utilisez des outils de collaboration de développement, tels que des pipelines hautes
performances, des dépôts Git privés et gratuits, des tableaux Kanban configurables ainsi que
des tests de charge automatisés et très complets basés sur le cloud. Anciennement Visual
Studio Team Services.

Azure DevTest Labs

Créez rapidement des environnements Windows et Linux à la demande pour tester ou


présenter des applications directement à partir de pipelines de déploiement.

Unité suivante: Bien démarrer avec les comptes Azure


Pour créer et utiliser des services Azure, vous avez besoin d’un abonnement Azure.
Quand vous suivez des modules Learn, la plupart du temps, un abonnement
temporaire est créé pour vous. Cet abonnement s’exécute dans un environnement
appelé « bac à sable (sandbox) Learn ». Quand vous travaillez avec vos propres
applications et ressources métier, vous devez créer un compte Azure, après quoi un
abonnement sera créé pour vous. Une fois que vous avez créé un compte Azure, vous
êtes libre de créer des abonnements supplémentaires. Par exemple, votre entreprise
peut utiliser un seul compte Azure pour l’ensemble de son activité, mais des
abonnements distincts pour les services de développement, de marketing et de
vente. Une fois que vous avez créé un abonnement Azure, vous pouvez commencer à
créer des ressources Azure dans chaque abonnement.

Si vous débutez avec Azure, vous pouvez demander un compte gratuit sur le site web
Azure qui vous permettra de commencer à explorer Azure sans qu’aucuns frais ne
vous soient facturés. Quand vous êtes prêt, vous pouvez choisir de mettre à niveau
votre compte gratuit. Vous pouvez créer un autre abonnement sur lequel vous sera
facturée l’utilisation de services Azure qui ne sont pas prévus dans le cadre d’un
compte gratuit.
Création d'un compte Azure
Vous pouvez acheter un accès à Azure directement auprès de Microsoft en vous
inscrivant sur le site web Azure ou par l’intermédiaire d’un représentant Microsoft.
Vous pouvez également acheter un accès à Azure par le biais d’un partenaire
Microsoft. Les partenaires fournisseurs de solutions cloud offrent une gamme
complète de solutions cloud managées pour Azure.

Pour plus d’informations sur la façon de créer un compte Azure, consultez le module
d’apprentissage Créer un compte Azure.

Qu’est-ce que le compte Azure gratuit ?


Le compte Azure gratuit comprend :

• L’accès gratuit aux principaux produits Azure pendant 12 mois


• Un crédit à dépenser dans un délai de 30 jours
• L’accès à plus de 25 produits toujours gratuits

Le compte Azure gratuit est parfait pour les nouveaux utilisateurs qui souhaitent
découvrir et explorer Azure. Pour vous inscrire, vous avez besoin d’un numéro de
téléphone, d’une carte de crédit et d’un compte Microsoft ou GitHub. Les
informations de carte de crédit sont utilisées uniquement pour vérifier votre identité.
Aucun service ne vous est facturé tant que vous ne passez pas à un abonnement
payant.

Qu’est-ce que le compte étudiant Azure gratuit ?


Le compte étudiant Azure gratuit inclut :

• Accès gratuit à certains services Azure pendant 12 mois.


• Un crédit à utiliser pendant les 12 premiers mois.
• Accès gratuit à certains outils de développement de logiciels.

Le compte étudiant Azure gratuit est une offre destinée aux étudiants qui inclut un
crédit de 100 $ et des outils de développement gratuits. Vous pouvez également
vous inscrire sans carte de crédit.

Qu’est-ce que le bac à sable Learn ?


La plupart des exercices Learn utilisent une technologie appelée « bac à sable »
(sandbox), qui crée un abonnement temporaire et l’ajoute à votre compte Azure. Cet
abonnement temporaire vous permet de créer des ressources Azure pour la durée
d’un module Learn. Learn nettoie automatiquement les ressources temporaires une
fois que vous avez terminé le module.

Quand vous suivez un module Learn, vous pouvez tout à fait utiliser votre
abonnement personnel pour effectuer les exercices qu’il contient. Toutefois, le bac à
sable est la méthode à privilégier, car il vous permet de créer et de tester
gratuitement des ressources Azure.

Unité suivante: Présentation de l’étude de cas


Présentation de l’étude de cas
Effectué100 XP

• 2 minutes

Tout au long des parcours d’apprentissage Principes de base d’Azure, nous prendrons
comme exemple Tailwind Traders, entreprise commerciale fictive spécialisée dans
l’amélioration de l’habitat. Elle a des points de vente de matériel dans le monde
entier et en ligne.
Tailwind Traders gère un centre de données local qui héberge le site web marchand
de l’entreprise. Le centre de données stocke également l’ensemble des données et
des vidéos de streaming pour ses applications. Le service informatique est en charge
de toutes les tâches de gestion du parc informatique (matériel et logiciels).
Supposons, par exemple, que vous travaillez en tant que spécialiste informatique au
sein du service informatique de l’entreprise. Votre équipe informatique s’occupe des
commandes d’achat de nouveau matériel, installe et configure les logiciels, et déploie
tout ce qui est nécessaire dans le centre de données.

À cause de toutes ces responsabilités de gestion, l’équipe prend du retard dans la


conception des applications et risque de ne pas les livrer à vos clients en temps voulu.
Spécialiste informatique, vous vous rendez compte qu’il serait plus avantageux
d’avoir des serveurs, des stockages, des bases de données et d’autres services qui
soient immédiatement disponibles quand vous développez et déployez des
applications. Vous souhaitez facilement démarrer un nouveau serveur ou ajouter des
services à vos solutions.

Dans les autres unités de ce module d’apprentissage, vous avez vu quelques-uns des
services cloud que Tailwind Traders pourrait utiliser pour faire face aux défis
technologiques qu’elle rencontre. Sachant cela, les services disponibles via Azure
pourraient aider Tailwind Traders à mener ses activités de manière plus efficace.

À mesure que vous progresserez dans les différents modules des parcours
d’apprentissage Principes de base d’Azure, nous analyserons les problèmes
rencontrés par Tailwind Traders. Vous verrez comment résoudre ces problèmes au fur
et à mesure à l’aide des services Azure. Une fois que vous aurez terminé tous les
modules, vous pourrez mettre à profit les connaissances que vous aurez acquises en
résolvant les problèmes hypothétiques de la société fictive Tailwind Traders dans vos
environnements de travail réels.

Unité suivante: Contrôle des connaissances

Introduction
Effectué100 XP
• 2 minutes

Vous travaillez dans le service informatique de Tailwind Traders, qui a décidé de


migrer ses applications et ses données vers Microsoft Azure. Vous savez que le cloud
computing va permettre à votre entreprise d’économiser du temps et de l’argent via
une migration de votre matériel physique local existant vers une solution cloud. Avec
cette nouvelle solution, vous devrez payer seulement pour les ressources et le temps
de traitement que vous utilisez.

Cependant, certains des concepts du cloud computing sont nouveaux pour de


nombreux membres de votre équipe informatique. Ces derniers posent des questions
spécifiques sur ce que peut leur apporter le cloud computing. Par exemple, l’équipe
qui gère le site web de Tailwind Traders souhaite savoir comment Azure améliore la
disponibilité et la scalabilité du site. L’équipe qui gère le déploiement du nouveau
matériel est curieuse de voir comment le cloud computing peut rendre leurs
processus de déploiement plus rapides.

Par ailleurs, votre équipe de développeurs souhaite connaître les différentes options
disponibles lors de la conception de nouvelles applications. Par exemple, existe-t-il
un moyen d’exécuter leurs applications dans une configuration hybride, où une partie
de leur application s’exécute localement et l’autre partie dans le cloud ?

Dans ce module, vous allez découvrir les concepts fondamentaux du cloud


computing, comment Azure implémente ces concepts et comment Tailwind Traders
peut tirer parti de la migration vers un environnement de cloud computing.

Objectifs d’apprentissage
À la fin de ce module, vous pourrez :

• Identifier les avantages et les points à prendre en compte lors de


l’utilisation de services cloud
• Décrire les différences entre les catégories de services cloud
• Décrire les différences entre les types de cloud computing

Prérequis
• Vous devez être familiarisé avec les concepts et la terminologie de base
du domaine informatique.

Unité suivante: Discuter de différents types de


modèles cloud

Discuter de différents types de modèles


cloud
Effectué100 XP
• 5 minutes

Qu’est-ce que les clouds publics, privés et hybrides ?


Il existe trois modèles de déploiement du cloud computing : cloud public, cloud
privé et cloud hybride. Chaque modèle de déploiement a différents aspects que vous
devez prendre en compte quand vous migrez vers le cloud.

Modèle de déploiement

Description
Cloud public

Les services sont fournis via l’Internet public, et accessibles à quiconque souhaite les acheter.
Les ressources cloud, comme les serveurs et l’espace de stockage, sont détenues et gérées par
un fournisseur de services cloud tiers, et sont mises à disposition via Internet.

Cloud privé

Un cloud privé se compose de ressources de calcul utilisées exclusivement par des utilisateurs
d’une entreprise ou d’une organisation. Un cloud privé peut être situé physiquement dans le
centre de données sur site (local) de votre organisation, ou être hébergé par un fournisseur de
services tiers.

Cloud hybride

Un cloud hybride est un environnement de calcul qui combine un cloud public et un cloud
privé en autorisant le partage de données et d’applications entre ceux-ci.

Comparaison entre les modèles cloud

Cloud public

• Aucune dépense en capital pour effectuer un scale-up.


• Les applications peuvent être rapidement configurées et
déprovisionnées.
• Les organisations paient uniquement pour ce qu’ils utilisent.

Cloud privé

• Le matériel doit être acheté pour le démarrage et la maintenance.


• Les organisations disposent d’un contrôle total sur les ressources et la
sécurité.
• Les organisations sont responsables de la maintenance et des mises à
jour du matériel.

Cloud hybride

• Offre la plus grande flexibilité.


• Les organisations déterminent où exécuter leurs applications.
• Les organisations contrôlent la sécurité, la conformité ou les exigences
légales.
Unité suivante: Décrire les avantages et les
considérations du cloud

Décrire les avantages et les


considérations du cloud
Effectué100 XP
• 5 minutes

Quels sont les avantages du cloud computing ?


Un environnement cloud offre plusieurs avantages par rapport à un environnement
physique, dont Tailwind Traders peut bénéficier après sa migration vers Azure.

• Haute disponibilité : Selon le contrat de niveau de service (SLA) que


vous choisissez, vos applications cloud peuvent fournir une expérience
utilisateur continue sans temps d’arrêt apparent, même en cas de
problème.
• Extensibilité : Les applications dans le cloud peuvent être mises à
l’échelle verticalement et horizontalement :
o Effectuez une mise à l’échelle verticale pour augmenter la
capacité de calcul en ajoutant de la RAM ou des processeurs à
une machine virtuelle.
o Une mise à l’échelle horizontale permet d’augmenter la
capacité de calcul en ajoutant des instances de ressources, par
exemple des machines virtuelles à la configuration.
• Élasticité : Vous pouvez configurer les applications cloud pour qu’elles
tirent parti de la mise à l’échelle automatique. Ainsi, elles disposent
toujours des ressources dont elles ont besoin.
• Agilité : Déployez et configurez rapidement les ressources cloud à
mesure que les besoins de votre application évoluent.
• Géodistribution : Vous pouvez déployer les applications et les données
sur des centres de données régionaux dans le monde entier. Ainsi, vos
clients ont la garantie de bénéficier en permanence des meilleures
performances dans leur région.
• Reprise d’activité après sinistre : En tirant parti des services de
sauvegarde cloud, de la réplication des données et de la géodistribution,
vous pouvez déployer vos applications en toute confiance, car vous savez
que vos données sont sécurisées en cas de sinistre.
Dépenses d’investissement et frais d’exploitation
Deux types de dépenses sont à prendre en compte :

• Les dépenses d’investissement (CapEx, Capital Expenditure) sont les


dépenses initiales consacrées à l’infrastructure physique, amortissables au
fil du temps. Le coût initial des dépenses d’investissement a une valeur
qui diminue au fil du temps.
• Les dépenses de fonctionnement (OpEx, Operational
Expenditure) représentent les dépenses courantes liées aux services ou
aux produits, facturées au fil de leur achat. Vous pouvez déduire ces
dépenses au titre de l’année où vous les avez engagées. Il n’y a pas de
coût initial, car vous payez pour un service ou un produit quand vous
l’utilisez.

En d’autres termes, quand Tailwind Traders est propriétaire de son infrastructure, il


achète des équipements qui vont dans ses bilans en tant qu’actifs. Comme il s’agit
d’investissements en capital, les comptables font entrer ces transactions dans la
catégorie des dépenses d’investissement. Au fil du temps, pour tenir compte de la
durée de vie utile limitée des actifs, ces derniers sont dépréciés ou amortis.

En revanche, les services cloud sont classés en dépenses de fonctionnement, en


raison de leur modèle de consommation. Il n’y a pas d’actifs à amortir pour Tailwind
Traders, et son fournisseur de services cloud (Azure) gère les coûts associés à l’achat
et à la durée de vie de l’équipement physique. Les dépenses d’exploitation ont donc
un impact direct sur le bénéfice net, sur le revenu imposable et sur les dépenses
associées dans le bilan.

Pour résumer, les dépenses d’investissement engendrent des coûts financiers initiaux
significatifs ainsi que des dépenses courantes pour la maintenance et le support. En
revanche, les dépenses de fonctionnement étant un modèle basé sur la
consommation, Tailwind Traders est responsable seulement du coût des ressources
informatiques qu’elle utilise.

Le cloud computing est un modèle basé sur la


consommation.
Les fournisseurs de services cloud fonctionnent sur un modèle basé sur la
consommation, ce qui signifie que les utilisateurs finaux paient uniquement pour les
ressources qu’ils utilisent. Quoi qu’ils utilisent, ils paient seulement pour cela.

Ce modèle basé sur la consommation offre de nombreux avantages, notamment :


• Pas de frais initiaux.
• Nul besoin d’acheter et de gérer une infrastructure coûteuse que les
utilisateurs n’exploitent pas toujours au maximum.
• Possibilité de payer pour des ressources supplémentaires quand elles
sont nécessaires.
• Possibilité de cesser de payer pour les ressources qui ne sont plus
nécessaires.

Unité suivante: Décrire les différents services cloud

Décrire les différents services cloud


Effectué100 XP
• 5 minutes

Quels sont les modèles de services cloud ?


Si vous connaissez le cloud computing depuis longtemps, vous avez probablement vu
les acronymes PaaS, IaaS et SaaS pour les différents modèles de service cloud. Ces
modèles définissent les différents niveaux de responsabilité partagée entre un
fournisseur de cloud et un locataire de cloud.

Modèle

Définition

Description

IaaS

Infrastructure-as-a-Service

Ce modèle de service cloud est le plus proche de la gestion de serveurs physiques : un


fournisseur de cloud maintient le matériel à jour, mais il vous revient, en tant que locataire de
cloud, d’assurer la maintenance du système d’exploitation et la configuration du réseau. Par
exemple, les machines virtuelles Azure sont des appareils informatiques virtuels entièrement
opérationnels qui s’exécutent dans les centres de données Microsoft. Un des avantages de ce
modèle de service cloud est le déploiement rapide de nouveaux appareils informatiques. La
configuration d’une nouvelle machine virtuelle est beaucoup plus rapide que l’acquisition,
l’installation et la configuration d’un serveur physique.

PaaS

Plateforme en tant que service


Ce modèle de service cloud est un environnement d’hébergement managé. Le fournisseur de
cloud gère les machines virtuelles et les ressources réseau, et le locataire de cloud déploie ses
applications dans l’environnement d’hébergement managé. Par exemple, Azure App Services
fournit un environnement d’hébergement managé, où les développeurs peuvent charger leurs
applications web, sans avoir à se soucier de la configuration matérielle et logicielle requise.

SaaS

Logiciel en tant que service

Dans ce modèle de service cloud, le fournisseur de cloud gère tous les aspects de
l’environnement d’application, tels que les machines virtuelles, les ressources réseau, le
stockage des données et les applications. Le locataire de cloud doit seulement fournir ses
données à l’application gérée par le fournisseur de cloud. Par exemple, Microsoft Office 365
fournit une version entièrement fonctionnelle de Microsoft Office qui s’exécute dans le cloud.
Il vous suffit de créer votre contenu et Office 365 s’occupe de tout le reste.

L’illustration suivante montre les services qui peuvent s’exécuter dans chacun des
modèles de service cloud.

Nous allons comparer les trois modèles plus en détail dans les sections suivantes.

IaaS

IaaS est la catégorie la plus flexible de services cloud. Elle vise à vous donner le
contrôle total du matériel qui exécute votre application. Avec IaaS, au lieu d’acheter
du matériel, vous le louez.

Avantages

Pas de dépenses d’investissement. Les utilisateurs n’ont pas de coûts initiaux.


Agilité. Les applications peuvent être rendues accessibles rapidement, et
déprovisionnées chaque fois que c’est nécessaire.

Gestion : Le modèle de responsabilité partagée s’applique : l’utilisateur gère et


maintient les services qu’il a provisionnés, et le fournisseur de cloud gère et maintient
l’infrastructure cloud.

Modèle basé sur la consommation. Les organisations paient seulement pour ce


qu’elles utilisent et fonctionnent selon un modèle de dépenses de fonctionnement
(OpEx).

Compétences. Aucune compétence technique approfondie n’est nécessaire pour


déployer, utiliser et tirer parti des avantages d’un cloud public. Les organisations
peuvent utiliser des compétences et de l’expertise du fournisseur de cloud pour
garantir que les charges de travail sont sécurisées et hautement disponibles.

Avantages du cloud. Les organisations peuvent utiliser des compétences et de


l’expertise du fournisseur de cloud pour garantir que les charges de travail sont
sécurisées et hautement disponibles.

Flexibilité. IaaS est le service cloud le plus flexible, car vous avez le contrôle de la
configuration et de la gestion du matériel exécutant votre application.

PaaS

PaaS présente les mêmes avantages et considérations que IaaS, mais a des avantages
supplémentaires dignes d’intérêt.

Avantages

Pas de dépenses d’investissement. Les utilisateurs n’ont pas de coûts initiaux.

Agilité. PaaS est plus agile que IaaS, et les utilisateurs n’ont pas besoin de configurer
des serveurs pour exécuter des applications.

Modèle basé sur la consommation. Les utilisateurs paient seulement pour ce qu’ils
utilisent et fonctionnent selon un modèle de dépenses de fonctionnement.

Compétences. Aucune compétence technique approfondie n’est nécessaire pour


déployer, utiliser et tirer parti des avantages du modèle PaaS.

Avantages du cloud. Les utilisateurs peuvent bénéficier des compétences et de


l’expertise du fournisseur de cloud pour garantir que leurs charges de travail sont
sécurisées et hautement disponibles. Ils peuvent aussi accéder à davantage d’outils
de développement de pointe. Ils peuvent ensuite appliquer ces outils tout au long du
cycle de vie d’une application.

Productivité. Les utilisateurs peuvent se concentrer uniquement sur le


développement d’applications, car fournisseur de cloud réalise l’ensemble de la
gestion de la plateforme. Il est plus facile de travailler avec des équipes distribuées en
tant que services, car l’accès à la plateforme s’effectue via Internet. Vous pouvez
rendre la plateforme disponible dans le monde entier plus facilement.

Inconvénient

Limitations des plateformes. Il peut y avoir certaines limitations à une plateforme


cloud, qui peuvent affecter la façon dont une application s’exécute. Quand vous
évaluez la plateforme PaaS la mieux adaptée à une charge de travail, veillez à prendre
en compte toutes les limitations dans ce domaine.

SaaS

SaaS est un logiciel qui est hébergé et géré de manière centralisée pour vos
utilisateurs ou clients et vous-même. En règle générale, une seule version de
l’application est utilisée pour tous les clients, et elle est concédée sous licence via un
abonnement mensuel ou annuel.

SaaS offre les mêmes avantages que IaaS, mais a aussi des avantages
supplémentaires dignes d’intérêt.

Avantages

Pas de dépenses d’investissement. Les utilisateurs n’ont pas de coûts initiaux.

Agilité. Les utilisateurs peuvent fournir à leurs employés un accès aux dernières
versions des logiciels rapidement et facilement.

Modèle tarifaire de type paiement à l’utilisation. Les utilisateurs paient pour le


logiciel qu’ils utilisent selon un modèle d’abonnement, généralement mensuel ou
annuel, quelle que soit leur utilisation du logiciel.

Compétences. Aucune compétence technique approfondie n’est nécessaire pour


déployer, utiliser et tirer parti des avantages du modèle SaaS.

Flexibilité. Les utilisateurs peuvent accéder aux mêmes données d’application où


qu’ils se trouvent.
Inconvénient

Limitations des logiciels. Il peut y avoir certaines limitations à une application


logicielle, qui peuvent affecter la façon dont les utilisateurs travaillent. Comme vous
utilisez le logiciel tel quel, vous n’avez pas de contrôle direct sur les fonctionnalités.
Quand vous évaluez la plateforme SaaS la mieux adaptée à une charge de travail,
veillez à prendre en compte l’ensemble des besoins métier et des limitations des
logiciels.

Comparaison entre les modèles de service cloud

IaaS

PaaS

SaaS

Le service cloud le plus flexible.

Focus sur le développement de l'application.

Modèle tarifaire de type paiement à l’utilisation.

Vous configurez et gérez le matériel pour votre application.

La gestion de la plateforme est gérée par le fournisseur de cloud.

Les utilisateurs paient pour le logiciel qu’ils utilisent sur la base d’un modèle d’abonnement.

Le graphique suivant illustre les différents niveaux de responsabilité entre un


fournisseur de cloud et un locataire de cloud.
Qu’est-ce que l’informatique Serverless ?
Comme PaaS, l’informatique serverless permet aux développeurs de créer des
applications plus rapidement sans avoir besoin de gérer l’infrastructure. Avec des
applications serverless, le fournisseur de services cloud provisionne, met à l’échelle et
gère automatiquement l’infrastructure nécessaire pour exécuter le code. Les
architectures serverless sont hautement évolutives et sont basées sur les
événements ; elles utilisent des ressources seulement quand une fonction ou un
déclencheur spécifique se produit.

Il est important de noter que les serveurs exécutent toujours le code. Le mot
« serverless » (sans serveur) s’explique par le fait que les tâches associées au
provisionnement et à la gestion de l’infrastructure sont invisibles pour le
développeur. Cette approche permet aux développeurs de plus se concentrer sur la
logique métier et de valoriser l’activité principale de l’entreprise. L’informatique
serverless aide les équipes à accroître leur productivité et à mettre les produits sur le
marché plus rapidement, et elle permet aux organisations de mieux optimiser les
ressources et de rester concentrées sur l’innovation.
Unité suivante: Contrôle des connaissances

Résumé
Effectué100 XP
• 2 minutes

Dans ce module, vous avez découvert comment Tailwind Traders peut tirer parti de
plusieurs fonctionnalités du cloud computing, qui permettront à l’entreprise de
réduire ses coûts informatiques globaux. Vous avez examiné plusieurs des avantages
offerts par le cloud computing, comme la haute disponibilité, la scalabilité et la
distribution géographique. Vous avez comparé les différences entre les dépenses
d’investissement et les dépenses de fonctionnement dans un scénario de cloud
computing. Enfin, vous avez découvert les différentes catégories (IaaS, PaaS, SaaS) et
les types (public, privé et hybride) de cloud computing. Avec ces nouvelles
connaissances, vous pouvez aider Tailwind traders à réussir la migration vers Azure.

Introduction
Effectué100 XP
• 2 minutes

Supposons que vous travailliez en tant que développeur pour une entreprise de
fabrication de matériel prospère, Tailwind Traders. Le directeur informatique de votre
entreprise a récemment décidé d’adopter Azure comme plateforme cloud computing.
Vous êtes actuellement à la planification de la migration. Avant de commencer le
processus de migration, vous décidez d’étudier les concepts et ressources Azure, ainsi
que la terminologie, afin de garantir la réussite de votre migration.

Dans ce module, vous allez découvrir plusieurs composants nécessaires au bon


déploiement des ressources dans Azure.

Objectifs d’apprentissage
Une fois ce module terminé, vous serez en mesure de décrire les avantages et
l’utilisation des éléments suivants :
• Régions Azure, paires de régions et zones de disponibilité
• Ressources Azure, groupes de ressources et Azure Resource Manager
• Abonnements et groupes d’administration Azure

Prérequis
• Vous devez être familiarisé avec les concepts et la terminologie de base
du domaine informatique.
• Connaître le cloud computing est un plus, mais n’est pas indispensable.

Unité suivante: Vue d’ensemble des abonnements,


groupes d’administration et ressources Azure

Vue d’ensemble des abonnements,


groupes d’administration et ressources
Azure
Effectué100 XP
• 2 minutes

Dans le cadre de votre recherche pour Tailwind Traders, vous devez étudier la
structure d’organisation des ressources dans Azure, laquelle comporte quatre
niveaux : les groupes d’administration, les abonnements, les groupes de ressources et
les ressources.

L’image suivante montre la hiérarchie d’organisation verticale pour ces niveaux.


Après avoir vu la hiérarchie d’organisation verticale, nous allons décrire chacun de ces
niveaux de façon ascendante :

• Ressources : les ressources sont des instances de services que vous


créez, comme des machines virtuelles, du stockage ou des bases de
données SQL.
• Groupes de ressources : les ressources sont combinées au sein de
groupes de ressources, qui jouent le rôle d’un conteneur logique dans
lequel des ressources Azure comme des applications web, des bases de
données et des comptes de stockage sont déployées et gérées.
• Abonnements : un abonnement regroupe des comptes d’utilisateur et
les ressources qui ont été créées par ces derniers. Pour chaque
abonnement, il existe des limites ou des quotas sur la quantité de
ressources que vous pouvez créer et utiliser. Les organisations peuvent
utiliser des abonnements pour gérer les coûts et les ressources qui sont
créées par les utilisateurs, les équipes ou les projets.
• Groupes d’administration : Ces groupes vous permettent de gérer
l’accès, la stratégie et la conformité de plusieurs abonnements. Tous les
abonnements dans un groupe d’administration héritent
automatiquement des conditions appliquées à ce groupe
d’administration.

Dans les prochaines unités, vous allez examiner chacun de ces quatre niveaux
organisationnels.

Unité suivante: Régions Azure, zones de disponibilité


et paires de régions

Régions Azure, zones de disponibilité et


paires de régions
Effectué100 XP
• 7 minutes

Dans l’unité précédente, vous avez découvert les ressources et les groupes de
ressources Azure. Les ressources sont créées dans des régions, qui correspondent à
différentes zones géographiques du monde où se trouvent des centres de données
Azure.

Azure se compose de centres de données situés dans le monde entier. Quand vous
tirez parti d’un service ou créez une ressource telle qu’une base de données SQL ou
une machine virtuelle, vous utilisez un équipement physique situé dans un ou
plusieurs de ces zones géographiques. Ces centres de données ne sont pas
directement exposés aux utilisateurs. En effet, Azure les organise au sein de régions.
Comme vous le verrez plus loin dans cette unité, certaines de ces régions proposent
des zones de disponibilité, qui correspondent à différents centres de données Azure
situés à l’intérieur de cette région.

Régions Azure
Une région est une zone géographique qui contient au moins un centre de données,
voire plusieurs centres de données proches les uns des autres et reliés par un réseau
à faible latence. Azure assigne et contrôle intelligemment les ressources au sein de
chaque région pour que les charges de travail soient correctement équilibrées.

Quand vous déployez une ressource dans Azure, vous êtes souvent amené à choisir la
région où vous souhaitez qu’elle soit déployée.

Important
Certains services ou fonctionnalités des machines virtuelles ne sont disponibles que
dans certaines régions, par exemple des tailles de machines virtuelles ou des types de
stockage spécifiques. De même, certains services Azure mondiaux ne vous obligent
pas à sélectionner une région particulière, comme c’est le cas d’Azure Active
Directory, d’Azure Traffic Manager et d’Azure DNS.

Voici quelques exemples de régions : USA Ouest, Canada Centre, Europe Ouest,
Australie Est et Japon Ouest. Voici une vue de toutes les régions disponibles en
juin 2020.
Pourquoi les régions sont-elles importantes ?

Azure couvre plus de régions que tout autre fournisseur de cloud. Ces régions vous
permettent de rapprocher facilement les applications de vos utilisateurs, où qu’ils
soient. Les régions globales offrent une meilleure scalabilité et une meilleure
redondance. Elles préservent également la résidence des données pour vos services.

Régions Azure spéciales

Lors de la création de vos applications, vous pouvez utiliser certaines régions Azure
spécialisées pour répondre à vos besoins de conformité ou de réglementation. Voici
quelques exemples :

• US DoD Centre, US Gov Virginie, US Gov Iowa, etc. : Ces régions sont
des instances physiques et logiques isolées du réseau d’Azure pour les
agences gouvernementales et partenaires du secteur public des États-
Unis. Ces centres de données sont gérés par un personnel autorisé aux
États-Unis et incluent des certifications de conformité supplémentaires.
• Chine Est, Chine Nord, etc. : Ces régions sont disponibles via un
partenariat unique conclu entre Microsoft et 21Vianet, qui stipule que
Microsoft ne gère pas directement les centres de données.

Les régions sont celles que vous utilisez pour identifier la localisation de vos
ressources. Il existe deux autres termes que vous devez également connaître : zones
géographiques et zones de disponibilité.

Zones de disponibilité Azure


Vous souhaitez vérifier que vos services et données sont redondants pour protéger
vos informations en cas de défaillance. Quand vous hébergez votre infrastructure, la
configuration de votre propre redondance nécessite la création d’environnements
matériels en double. Azure peut vous aider à rendre votre application hautement
disponible via des zones de disponibilité.

Qu’est-ce qu’une zone de disponibilité ?

Les zones de disponibilité sont des centres de données physiquement séparés au sein
d’une région Azure. Chaque zone de disponibilité est composée d’un ou de plusieurs
centres de données équipés d’une alimentation, d’un refroidissement et d’un réseau
indépendants. Une zone de disponibilité est configurée pour être une limite
d’isolation. Si une zone de disponibilité tombe en panne, l’autre continue à
fonctionner. Les zones de disponibilité sont connectées via des réseaux en fibre
optique privés très rapides.

Régions prises en charge

Les régions ne prennent pas toutes en charge les zones de disponibilité. Pour obtenir
une liste à jour, consultez Régions prenant en charge les zones de disponibilité dans
Azure.

Utiliser des zones de disponibilité dans vos applications

Vous pouvez utiliser des zones de disponibilité pour exécuter des applications
stratégiques et générer la haute disponibilité dans votre architecture d’applications
par la colocalisation de vos ressources de calcul, de stockage, de réseau et de
données dans une zone, et par la réplication dans d’autres zones. N’oubliez pas qu’il
peut y avoir un coût lié à la duplication de vos services et au transfert de données
entre les zones.

Les zones de disponibilité sont utilisées principalement pour les machines virtuelles,
les disques managés, les équilibreurs de charge et les bases de données SQL. Les
services Azure qui prennent en charge les zones de disponibilité sont classés en trois
catégories :
• Services zonaux : vous épinglez la ressource à une zone spécifique (par
exemple, des machines virtuelles, des disques managés, des adresses IP).
• Services redondants interzones : la plateforme effectue
automatiquement une réplication entre des zones (par exemple, un
stockage redondant interzone, SQL Database).
• Services non régionaux : les services sont toujours disponibles à partir
de zones géographiques Azure et sont résilients aux pannes à l’échelle de
la zone ainsi qu’aux pannes à l’échelle de la région.

Consultez la documentation pour déterminer les éléments de votre architecture que


vous pouvez associer à une zone de disponibilité.

Paires de région Azure


Les zones de disponibilité sont créées à l’aide d’un ou de plusieurs centres de
données. Il y a au moins trois zones au sein d’une région. Il peut arriver qu’un sinistre
grave entraîne une panne assez importante pour affecter deux centres de données.
C’est pourquoi Azure crée également des paires de régions.

Qu’est-ce qu’une paire de régions ?

Chaque région Azure est toujours associée à une autre région au sein de la même
zone géographique (par exemple, États-Unis, Europe ou Asie) à au moins
480 kilomètres de distance. Cette approche permet la réplication des ressources (par
exemple le stockage des machines virtuelles) sur l’ensemble d’une région, aidant ainsi
à réduire la probabilité d’interruptions liées à des événements tels que des
catastrophes naturelles, des troubles civils, des coupures de courant ou des pannes
de réseau physique affectant les deux régions en même temps. Par exemple, si une
région d’une paire est touchée par une catastrophe naturelle, les services basculent
automatiquement vers l’autre région de la paire de régions.

Voici quelques exemples de paires de régions Azure : USA Ouest/USA Est et Asie
Sud-Est/Asie Est.
Dans la mesure où les deux régions sont directement connectées et suffisamment
éloignées pour être isolées de sinistres locaux, vous pouvez les utiliser pour assurer la
redondance des données et la fiabilité des services. Certains services fournissent un
stockage géoredondant automatique à l’aide de paires de régions.

Les paires de régions offrent les avantages supplémentaires suivants :

• En cas de panne importante d’Azure, une région de chaque paire est


prioritaire pour garantir qu’au moins l’une d’entre elles est restaurée
aussi rapidement que possible pour les applications hébergées dans
cette paire de régions.
• Les mises à jour Azure planifiées sont déployées sur les régions jumelées,
à raison d’une région à la fois, pour limiter les interruptions de service et
les risques de panne de l’application.
• Les données continuent de résider dans la même zone géographique
que la région avec laquelle elle est jumelée (sauf Brésil Sud) afin de
répondre aux exigences relatives à la fiscalité et à l’application de la loi.

Un ensemble de centres de données distribués à grande échelle permet à Azure de


proposer une garantie de haute disponibilité.

Unité suivante: Ressources Azure et Azure Resource


Manager
Ressources Azure et Azure Resource
Manager
Effectué100 XP
• 4 minutes

Avant de créer un abonnement pour Tailwind Traders, vous devez être prêt à créer des
ressources et à les stocker dans des groupes de ressources. Dans ces conditions, il est
important de définir les termes suivants :

• Ressource : Élément gérable disponible dans Azure. Les machines virtuelles, les
comptes de stockage, les applications web, les bases de données et les réseaux
virtuels sont des exemples de ressources.
• Groupe de ressources : Conteneur qui contient les ressources associées d’une
solution Azure. Le groupe de ressources comprend des ressources que vous
devez gérer ensemble. Vous déterminez quelles sont les ressources qui
appartiennent à un groupe de ressources en fonction de ce qui convient le mieux
à votre organisation.

Groupes de ressources Azure


Les groupes de ressources sont un composant fondamental de la plateforme Azure. Un groupe
de ressources est un conteneur logique de ressources déployées dans Azure. Ces ressources
sont tous les éléments que vous créez dans un abonnement Azure, comme les machines
virtuelles, les instances Azure Application Gateway et les instances Azure Cosmos DB.
Toutes les ressources doivent se trouver dans un groupe de ressources, toutefois, une
ressource ne peut être membre que d’un seul groupe de ressources à la fois. Vous pouvez
déplacer de nombreuses ressources d’un groupe de ressources à l’autre, mais certains services
présentent des limitations ou exigences spécifiques. Les groupes de ressources ne peuvent pas
être imbriqués. Une ressource peut être provisionnée uniquement s’il existe déjà un groupe de
ressources dans lequel la placer.

Regroupement logique

Les groupes de ressources sont conçus pour vous aider à gérer et organiser vos ressources
Azure. En regroupant les ressources selon leur utilisation, leur type ou leur emplacement dans
un groupe de ressources, vous organisez et structurez l’ensemble des ressources que vous
créez dans Azure. Le regroupement logique est l’aspect qui nous intéresse le plus ici, car nos
ressources sont particulièrement mal organisées.
Cycle de vie

Si vous supprimez un groupe de ressources, toutes les ressources qu’il contient seront
également supprimées. L’organisation des ressources par cycle de vie peut être utile dans des
environnements hors production, afin de pouvoir faire des tests et supprimer les ressources
quand vous avez terminé. L’utilisation de groupes de ressources facilite la suppression en bloc
des ressources.

Autorisation

Les groupes de ressources constituent également une étendue pour l’application des
autorisations de contrôle d’accès en fonction du rôle (RBAC). En appliquant des autorisations
de contrôle d’accès en fonction du rôle (RBAC) à un groupe de ressources, vous facilitez son
administration et en limitez l’accès au strict nécessaire.

Azure Resource Manager


Azure Resource Manager est le service de déploiement et de gestion d’Azure. Il fournit une
couche de gestion qui vous permet de créer, de mettre à jour et de supprimer des ressources
dans votre compte Azure. Vous pouvez utiliser des fonctionnalités de gestion telles que le
contrôle d’accès, les verrous et les étiquettes pour sécuriser et organiser vos ressources après
le déploiement.

Quand un utilisateur envoie une requête à partir d’un outil, d’une API ou d’un kit SDK Azure,
Resource Manager reçoit la requête. Il authentifie et autorise la requête. Resource Manager
envoie la requête au service Azure, qui effectue l’action demandée. Comme toutes les
demandes sont gérées via la même API, vous voyez des résultats cohérents et des capacités
cohérentes dans tous les différents outils.

L’illustration suivante montre le rôle que joue Resource Manager dans le traitement des
requêtes Azure.
Toutes les fonctionnalités qui sont disponibles dans le portail Azure sont également
disponibles via PowerShell, Azure CLI, les API REST et les SDK clients. Les fonctionnalités
initialement publiées par le biais des API seront représentées dans le portail dans les 180 jours
après la publication de la version initiale.

Avantages de l’utilisation de Resource Manager

Avec Resource Manager, vous pouvez :

• Gérer votre infrastructure à l’aide de modèles déclaratifs plutôt que de scripts


Un modèle Resource Manager est un fichier JSON qui définit ce que vous
voulez déployer sur Azure.
• Déployer, gérer et superviser toutes les ressources de votre solution sous forme
de groupe, plutôt qu’individuellement
• Vous pouvez redéployer votre solution tout au long du cycle de vie de
développement en ayant l’assurance que vos ressources seront déployées dans
un état cohérent.
• Définir les dépendances entre les ressources pour qu’elles soient déployées dans
le bon ordre
• Appliquez le contrôle d’accès à tous les services, car le contrôle d’accès en
fonction du rôle (RBAC) est intégré à la plateforme de gestion.
• Appliquer des étiquettes aux ressources pour organiser de manière logique
toutes les ressources de votre abonnement
• Clarifiez la facturation de votre organisation en affichant les coûts d’un groupe
de ressources qui partagent une même étiquette.

Unité suivante: Abonnements et groupes d’administration


Azure
Abonnements et groupes
d’administration Azure
Effectué100 XP
• 6 minutes

Lorsque Tailwind Traders commencera à utiliser Azure, l’une des premières choses à
faire sera de créer au moins un abonnement Azure. Vous l’utiliserez pour créer vos
ressources cloud dans Azure.

Notes

Une ressource Azure est un élément gérable qui est disponible par le biais d’Azure.
Les machines virtuelles, les comptes de stockage, les applications web, les bases de
données et les réseaux virtuels sont tous des exemples de ressources.

Abonnements Azure
L’utilisation d’Azure nécessite un abonnement Azure. Un abonnement vous donne un
accès authentifié et autorisé aux produits et services Azure. Il vous permet également
de provisionner des ressources. Un abonnement Azure est une unité logique de
services Azure qui établit une liaison avec un compte Azure, lequel est une identité
dans Azure Active Directory (Azure AD) ou dans un annuaire approuvé par Azure AD.

Un compte peut avoir un ou plusieurs abonnements ayant des modèles de


facturation différents et auxquels vous appliquez des stratégies de gestion des accès
différentes. Vous pouvez utiliser des abonnements Azure pour définir des limites
autour de produits, de services et de ressources Azure. Vous pouvez utiliser deux
types de limites d’abonnement :
• Limites de facturation : Ce type d’abonnement détermine la façon dont
l’utilisation d’Azure est facturée à un compte Azure. Vous pouvez créer
plusieurs abonnements en fonction des conditions de facturation. Azure
génère des factures et des rapports de facturation distincts pour chaque
abonnement afin que vous puissiez organiser et gérer les coûts.
• Limites de contrôle d’accès : Azure applique des stratégies de gestion
des accès au niveau de l’abonnement, ce qui vous permet de créer des
abonnements distincts pour les différentes structures organisationnelles.
Par exemple, dans une entreprise, vous avez différents services auxquels
vous appliquez des stratégies d’abonnement Azure distinctes. Ce modèle
de facturation vous permet de gérer et de contrôler l’accès aux
ressources provisionnées par les utilisateurs dans les différents
abonnements.

Créer des abonnements Azure supplémentaires

Vous avez la possibilité de créer des abonnements supplémentaires pour gérer les
ressources ou la facturation selon vos besoins. Par exemple, vous pouvez choisir de
créer des abonnements supplémentaires pour une facturation séparée :

• Environnements : dans le cadre de la gestion de vos ressources, vous


pouvez choisir de créer plusieurs abonnements afin de configurer des
environnements séparés pour le développement et le test, pour des
raisons de sécurité ou pour isoler les données conformément à des
stratégies de conformité. Cette conception est particulièrement utile, car
le contrôle d’accès aux ressources s’effectue au niveau de l’abonnement.
• Structures organisationnelles : vous pouvez créer des abonnements qui
reflètent vos différentes structures organisationnelles. Par exemple, vous
pouvez limiter l’accès d’une équipe aux ressources peu coûteuses, mais
autoriser le service informatique à accéder à l’ensemble des ressources.
Cette conception vous permet de gérer et contrôler l’accès aux
ressources provisionnées par les utilisateurs au sein de chaque
abonnement.
• Facturation : vous pouvez également créer des abonnements
supplémentaires pour vos besoins de facturation. Les coûts sont
initialement agrégés au niveau de l’abonnement, mais vous pouvez créer
plusieurs abonnements pour gérer et suivre les coûts de la manière qui
vous convient le mieux. Par exemple, créez un abonnement dédié à vos
charges de travail de production et un autre abonnement réservé à vos
charges de travail de développement et de test.

Vous pouvez également avoir besoin d’abonnements supplémentaires pour respecter


des :
• Limites d’abonnement : les abonnements font l’objet de certaines
limites strictes. Par exemple, le nombre maximal de circuits Azure
ExpressRoute par abonnement est de 10. Vous devez tenir compte de ces
limites quand vous créez des abonnements sur votre compte. Si ces
limites ne peuvent pas être respectées dans des scénarios particuliers,
vous avez la possibilité de créer des abonnements supplémentaires.

Personnaliser la facturation selon vos besoins

Si vous avez plusieurs abonnements, vous pouvez les organiser en postes de facture.
Chaque poste de facture est une ligne de facture qui indique les frais facturés pour le
mois. Par exemple, il est possible d’avoir une facture unique pour toute votre
organisation, mais d’organiser les frais par service, équipe ou projet.

Pour répondre à vos besoins, vous pouvez configurer plusieurs factures au sein du
même compte de facturation. Pour cela, vous créez des profils de facturation
supplémentaires. Chaque profil de facturation a une facture mensuelle et un mode de
paiement qui lui sont associés.

Le diagramme suivant présente une vue d’ensemble du système de facturation. Si


vous êtes déjà inscrit à Azure ou si votre organisation a souscrit un Contrat Entreprise,
vous pouvez configurer votre facturation différemment.

Groupes d’administration Azure


Si votre organisation a un grand nombre d’abonnements, vous pouvez avoir besoin
d’un moyen de gérer efficacement l’accès, les stratégies et la conformité de ces
abonnements. Les groupes d’administration Azure offrent un niveau d’étendue au-
dessus des abonnements. Vous organisez les abonnements en conteneurs appelés
groupes d’administration et vous appliquez vos conditions de gouvernance aux
groupes d’administration. Tous les abonnements d’un groupe d’administration
héritent automatiquement des conditions appliquées à ce groupe d’administration.
Les groupes d’administration vous permettent une gestion de qualité professionnelle
à grande échelle, quel que soit le type de vos abonnements. Tous les abonnements
d’un même groupe d’administration doivent approuver le même locataire Azure AD.

Par exemple, vous pouvez appliquer des stratégies à un groupe d’administration qui
limite le nombre de régions disponibles pour la création des machines virtuelles. Une
telle stratégie s’appliquerait alors à tous les groupes d’administration, abonnements
et ressources sous ce groupe d’administration en autorisant uniquement la création
de machines virtuelles dans une région donnée.

Hiérarchie des groupes d’administration et des abonnements

Vous pouvez créer une structure flexible de groupes d’administration et


d’abonnements pour organiser vos ressources dans une hiérarchie à des fins de
stratégie unifiée et de gestion de l’accès. Le diagramme suivant montre un exemple
de création d’une hiérarchie pour la gouvernance à l’aide des groupes
d’administration.

Vous pouvez créer une hiérarchie qui applique une stratégie. Par exemple, vous
pouvez limiter la localisation des machines virtuelles à la région USA Ouest dans un
groupe nommé Production. Cette stratégie hérite de tous les abonnements EA qui
proviennent de ce groupe d’administration, et s’applique à toutes les machines
virtuelles de ces abonnements. Cette stratégie de sécurité ne peut pas être modifiée
par le propriétaire de la ressource ou de l’abonnement, ce qui permet une
gouvernance améliorée.

Il existe un autre scénario d’utilisation des groupes d’administration : fournir un accès


utilisateur à plusieurs abonnements. En déplaçant plusieurs abonnements dans ce
groupe d’administration, vous pouvez créer une affectation de contrôle d’accès en
fonction du rôle (RBAC) dans le groupe d’administration, qui héritera de l’accès à tous
les abonnements. Une affectation sur le groupe d’administration peut autoriser les
utilisateurs à accéder à tout ce dont ils ont besoin, au lieu de créer un script RBAC sur
différents abonnements.

Faits importants sur les groupes d’administration

• 10 000 groupes d’administration peuvent être pris en charge dans un


seul annuaire.
• Une arborescence de groupes d’administration peut prendre en charge
jusqu’à six niveaux de profondeur. Cette limite n’inclut pas le niveau
Racine ni le niveau de l’abonnement.
• Chaque groupe d’administration et chaque abonnement ne peut avoir
qu’un seul parent.
• Chaque groupe d’administration peut avoir de nombreux enfants.
• Dans chaque annuaire, tous les abonnements et groupes
d’administration sont dans une même hiérarchie.

Unité suivante: Contrôle des connaissances

Résumé
Effectué100 XP
• 2 minutes

Dans ce module, vous avez découvert les concepts et la terminologie de plusieurs des
principaux composants de l’architecture d’Azure. À présent, vous connaissez les
principes fondamentaux de l’architecture Azure dont vous aurez besoin pour que
Tailwind Traders réussisse sa migration vers le cloud.

Vous avez appris à décrire les avantages et l’utilisation des éléments suivants :

• Abonnements et groupes d’administration Azure


• Ressources Azure, groupes de ressources et Azure Resource Manager
• Régions Azure, paires de régions et zones de disponibilité

EIntroduction
Effectué100 XP
• 2 minutes

Imaginez que vous travaillez en tant que responsable du développement chez


Tailwind Traders, une société spécialisée dans la fabrication de matériel. L’équipe de
direction vous signale que le site web de la société a du mal à répondre aux
demandes des applications. L’équipe souhaite que vous recherchiez une solution. Les
serveurs web front-end fonctionnent presque à pleine capacité pendant les pics
d’activité de la journée, et vous devez rapidement mettre en place une solution. Mais
il reste un problème. Vous n’avez aucun serveur libre pour effectuer un scale-out de
votre application.

Vous pourriez demander l’achat d’un nouvel équipement, mais le budget de votre
service est restreint. Vous souhaitez faire bonne impression auprès de la direction,
mais vous ignorez combien de serveurs sont nécessaires pour ce projet et vous ne
souhaitez pas acheter plus de matériel qu’il n’en faut. Même si vous pouviez vous
procurer plusieurs serveurs, vous devriez consacrer beaucoup de temps à les
configurer et à installer les logiciels nécessaires.

Dans l’idéal, vous obtiendriez les ressources dont vous avez besoin pour effectuer le
travail sans trop d’administration, et vous les configureriez pour atteindre votre
objectif. En outre, vous ne payeriez que pour les ressources de calcul dont vous avez
besoin pendant que vous les utilisez.

Ce scénario correspond exactement à ce que vous pouvez faire avec Azure. Vous
pouvez créer des ressources de calcul, les configurer pour effectuer le travail
nécessaire et payer uniquement ce que vous utilisez.

Objectifs d’apprentissage
À l’issue de ce module, vous pourrez décrire les avantages et le mode d’utilisation des
éléments suivants :
• Machines virtuelles Azure
• Azure App Service
• Azure Container Instances
• Azure Kubernetes Service
• Azure Functions
• Azure Virtual Desktop

Prérequis
• Vous devez être familiarisé avec les concepts et la terminologie de base
du domaine informatique.
• Connaître le cloud computing est un plus, mais n’est pas indispensable.

Unité suivante: Vue d’ensemble d’Azure Compute


Services savoir plus

Introduction
Effectué100 XP
• 2 minutes

Imaginez que vous travaillez en tant que responsable du développement chez


Tailwind Traders, une société spécialisée dans la fabrication de matériel. L’équipe de
direction vous signale que le site web de la société a du mal à répondre aux
demandes des applications. L’équipe souhaite que vous recherchiez une solution. Les
serveurs web front-end fonctionnent presque à pleine capacité pendant les pics
d’activité de la journée, et vous devez rapidement mettre en place une solution. Mais
il reste un problème. Vous n’avez aucun serveur libre pour effectuer un scale-out de
votre application.

Vous pourriez demander l’achat d’un nouvel équipement, mais le budget de votre
service est restreint. Vous souhaitez faire bonne impression auprès de la direction,
mais vous ignorez combien de serveurs sont nécessaires pour ce projet et vous ne
souhaitez pas acheter plus de matériel qu’il n’en faut. Même si vous pouviez vous
procurer plusieurs serveurs, vous devriez consacrer beaucoup de temps à les
configurer et à installer les logiciels nécessaires.

Dans l’idéal, vous obtiendriez les ressources dont vous avez besoin pour effectuer le
travail sans trop d’administration, et vous les configureriez pour atteindre votre
objectif. En outre, vous ne payeriez que pour les ressources de calcul dont vous avez
besoin pendant que vous les utilisez.

Ce scénario correspond exactement à ce que vous pouvez faire avec Azure. Vous
pouvez créer des ressources de calcul, les configurer pour effectuer le travail
nécessaire et payer uniquement ce que vous utilisez.

Objectifs d’apprentissage
À l’issue de ce module, vous pourrez décrire les avantages et le mode d’utilisation des
éléments suivants :

• Machines virtuelles Azure


• Azure App Service
• Azure Container Instances
• Azure Kubernetes Service
• Azure Functions
• Azure Virtual Desktop

Prérequis
• Vous devez être familiarisé avec les concepts et la terminologie de base
du domaine informatique.
• Connaître le cloud computing est un plus, mais n’est pas indispensable.

Unité suivante: Vue d’ensemble d’Azure Compute


Services

Vue d’ensemble d’Azure Compute


Services
Effectué100 XP
• 4 minutes
Calcul Azure est un service de calcul à la demande pour l’exécution d’applications
basées sur le cloud. Cette famille de services fournit des ressources informatiques
telles que des disques, des processeurs, de la mémoire, des ressources réseau et des
systèmes d’exploitation. Les ressources sont disponibles à la demande et peuvent
généralement être mises à disposition en quelques minutes ou secondes. Vous payez
uniquement pour les ressources que vous utilisez et pour le temps où vous les
utilisez.

Azure prend en charge un large éventail de solutions informatiques pour les tâches
de développement et de test, l’exécution d’applications ainsi que l’extension de votre
centre de données. Le service prend en charge Linux, Windows Server, SQL Server,
Oracle, IBM et SAP. Azure dispose également de nombreux services qui peuvent
exécuter des machines virtuelles. Chaque service fournit différentes options en
fonction de vos besoins. Voici quelques-uns des services les plus importants :

• Machines virtuelles Azure


• Azure Container Instances
• Azure App Service
• Azure Functions (ou informatique serverless)

Machines virtuelles

Les machines virtuelles sont des émulations logicielles d’ordinateurs physiques. Elles incluent
un processeur virtuel, une mémoire, un stockage et des ressources réseau. Elles hébergent un
système d’exploitation, et vous pouvez y installer et exécuter des logiciels de la même façon
que sur un ordinateur physique. Avec un client Bureau à distance, vous pouvez utiliser et
contrôler la machine virtuelle comme si vous étiez assis devant elle.

Avec Machines virtuelles Azure, vous pouvez créer et utiliser des machines virtuelles dans le
cloud. Les machines virtuelles fournissent une infrastructure en tant que service (IaaS) et
peuvent être utilisées de différentes façons. Quand vous avez besoin d’un contrôle total du
système d’exploitation et de l’environnement, les machines virtuelles constituent un choix
idéal. Vous pouvez personnaliser tous les logiciels exécutés sur la machine virtuelle, comme
vous le feriez sur un ordinateur physique. C’est particulièrement utile quand vous exécutez
des logiciels personnalisés ou des configurations d’hébergement personnalisées.

Groupes de machines virtuelles identiques

Les groupes de machines virtuelles identiques sont une ressource de calcul Azure qui vous
permet de déployer et gérer un groupe de machines virtuelles identiques. Toutes les machines
virtuelles étant configurées de la même façon, les groupes de machines virtuelles identiques
sont conçus pour prendre en charge une véritable mise à l’échelle automatique. Aucun
préprovisionnement de machine virtuelle n’est nécessaire. Pour cette raison, il est plus facile
de créer des services à grande échelle ciblant le Big Compute, le Big Data et les charges de
travail conteneurisées. Quand la demande augmente, davantage d’instances de machine
virtuelle peuvent être ajoutées. Quand la demande baisse, des instances de machine virtuelle
peuvent être supprimées. Le processus peut être manuel, automatisé ou une combinaison des
deux.

Conteneurs et Kubernetes

Container Instances et Azure Kubernetes Service sont des ressources de calcul Azure que
vous pouvez utiliser pour déployer et gérer des conteneurs. Les conteneurs sont des
environnements applicatifs légers et virtualisés. Ils sont conçus pour pouvoir être créés
rapidement, scaled-out et arrêtés de façon dynamique. Vous pouvez exécuter plusieurs
instances d’une application conteneurisée sur une seule machine hôte.
App Service

Avec Azure App Service, vous pouvez rapidement créer, déployer et mettre à l’échelle des
applications API, web et mobiles d’entreprise s’exécutant sur n’importe quelle plateforme.
Vous pouvez répondre à des exigences strictes aux niveaux des performances, de la
scalabilité, de la sécurité et la conformité tout en utilisant une plateforme complètement
managée pour effectuer la maintenance de l’infrastructure. App Service est une offre PaaS
(Platform as a Service).

Fonctions

Les fonctions sont idéales quand vous vous préoccupez uniquement du code exécutant votre
service et non de la plateforme ou de l’infrastructure sous-jacente. Cette solution est
couramment utilisée quand vous avez besoin d’effectuer un travail en réponse à un événement
(souvent via une requête REST), un minuteur ou un message d’un autre service Azure, et que
ce travail peut être effectué rapidement, en quelques secondes ou moins.

Unité suivante: Déterminer quand utiliser le service


Machines virtuelles Azure

Déterminer quand utiliser le service


Machines virtuelles Azure
Effectué100 XP
• 8 minutes

L’une des solutions possibles à l’absence de serveurs physiques chez Tailwind Traders
consiste à utiliser des machines virtuelles.

Avec Machines virtuelles Azure, vous pouvez créer et utiliser des machines virtuelles dans le
cloud. Les machines virtuelles fournissent une infrastructure IaaS (infrastructure as a service)
sous la forme d’un serveur virtualisé, et peuvent être utilisées de nombreuses façons. Vous
pouvez personnaliser tous les logiciels exécutés sur la machine virtuelle, comme vous le
feriez sur un ordinateur physique. Les machines virtuelles constituent un choix idéal quand
vous devez :
• Avoir un contrôle total sur le système d’exploitation.
• Exécuter des logiciels personnalisés.
• Utiliser des configurations d’hébergement personnalisées.

Une machine virtuelle Azure vous donne la flexibilité de la virtualisation en vous évitant
d’acheter et de maintenir le matériel physique qui exécute la machine virtuelle. Vous devez
quand même effectuer la configuration, la mise à jour et la maintenance des logiciels qui
s’exécutent sur la machine virtuelle.

Vous pouvez créer et provisionner une machine virtuelle en quelques minutes quand
vous sélectionnez une image de machine virtuelle préconfigurée. La sélection d’une
image est l’une des décisions les plus importantes à prendre lorsque vous créez une
machine virtuelle. Une image est un modèle utilisé pour créer une machine virtuelle.
Ces modèles comprennent déjà un système d’exploitation et souvent d’autres
logiciels, comme des outils de développement ou des environnements
d’hébergement web.

Exemples de cas d’utilisation de machines virtuelles

• Pendant le test et le développement. Les machines virtuelles offrent un


moyen simple et rapide de créer différentes configurations de système
d’exploitation et d’application. Le personnel chargé des tests et du
développement peut ensuite facilement supprimer les machines virtuelles
quand il n’en a plus besoin.
• Pendant l’exécution d’applications dans le cloud. La possibilité
d’exécuter certaines applications dans le cloud public, par opposition à la
création d’une infrastructure traditionnelle pour les exécuter, peut
apporter des avantages économiques substantiels. Par exemple, une
application peut avoir besoin de gérer les fluctuations de la demande.
Arrêter des machines virtuelles lorsque vous n’en avez pas besoin ou les
démarrer rapidement pour répondre à une augmentation soudaine de la
demande signifie que vous payez uniquement pour les ressources que
vous utilisez.
• Pendant l’extension de votre centre de données dans le cloud. Une
organisation peut étendre les fonctionnalités de son propre réseau local
en créant un réseau virtuel dans Azure et en ajoutant des machines
virtuelles à ce réseau virtuel. Des applications telles que SharePoint
peuvent ensuite s’exécuter sur une machine virtuelle Azure au lieu de
s’exécuter localement. Cette configuration permet de procéder à un
déploiement plus simple ou moins onéreux que dans un environnement
local.
• Pendant une reprise d’activité après sinistre. Tout comme avec
l’exécution de certains types d’applications dans le cloud et l’extension
d’un réseau local dans le cloud, vous pouvez faire des économies
significatives en utilisant une approche IaaS pour la reprise d’activité
après sinistre. En cas de panne du centre de données principal, vous
pouvez créer des machines virtuelles s’exécutant sur Azure pour exécuter
vos applications critiques, puis les arrêter quand le centre de données
principal redevient opérationnel.

Migrer vers le cloud avec des machines virtuelles


Les machines virtuelles constituent également un excellent choix quand vous passez
d’un serveur physique au cloud (également appelé « lift-and-shift »). Vous pouvez
créer une image du serveur physique et l’héberger dans une machine virtuelle avec
peu ou pas de changements. Tout comme pour un serveur physique local, vous devez
assurer la maintenance de la machine virtuelle. Vous mettez à jour le système
d’exploitation installé et les logiciels qu’il exécute.

Mettre à l’échelle des machines virtuelles dans Azure


Vous pouvez exécuter des machines virtuelles uniques à des fins de test, de
développement ou de tâches mineures, ou regrouper des machines virtuelles afin de
fournir une haute disponibilité, une scalabilité et une redondance. Quels que soient
vos besoins en temps d’activité, Azure propose plusieurs fonctionnalités susceptibles
d’y répondre. Ces fonctionnalités sont les suivantes :

• Groupes identiques de machines virtuelles


• Azure Batch

Que sont les groupes de machines virtuelles identiques ?


Les groupes de machines virtuelles identiques vous permettent de créer et de gérer
un groupe de machines virtuelles identiques à charge équilibrée. Imaginez que vous
gérez un site web permettant aux scientifiques de charger des images d’astronomie à
traiter. Si vous avez dupliqué la machine virtuelle, vous avez normalement besoin
d’un service supplémentaire pour router les demandes entre plusieurs instances du
site web. Les groupes de machines virtuelles identiques peuvent faire ce travail pour
vous.

Les groupes identiques vous permettent de gérer, configurer et mettre à jour de


manière centralisée un grand nombre de machines virtuelles, en quelques minutes,
pour vous offrir des applications à haute disponibilité. Le nombre d’instances de
machine virtuelle peut augmenter ou diminuer automatiquement en fonction d’une
demande ou d’un calendrier défini. Avec les groupes identiques de machines
virtuelles, vous pouvez créer des services à grande échelle pour des zones telles que
le calcul, Big Data et des charges de travail de conteneur.

Présentation d’Azure Batch

Azure Batch permet d’effectuer des travaux par lots de calcul parallèle et HPC (calcul
haute performance) à grande échelle. Ce service permet de mettre à l’échelle des
dizaines, des centaines ou des milliers de machines virtuelles.

Quand vous êtes prêt à exécuter un travail, Batch :

• Démarre un pool de machines virtuelles de calcul pour vous.


• Installe des applications et des données intermédiaires.
• Exécute les travaux avec autant de tâches que vous avez.
• Identifie les défaillances.
• Remet en file d’attente le travail.
• Effectue un scale-down du pool quand le travail prend fin.

Il peut vous arriver d’avoir besoin d’une puissance de calcul brute ou de niveau
superordinateur. Azure fournit ces fonctionnalités.

Unité suivante: Déterminer quand utiliser Azure App


ServDéterminer quand utiliser Azure App
Service
Effectué100 XP
• 3 minutes
Dans vos recherches pour Tailwind Traders, vous avez examiné différentes façons de
virtualiser votre application. Il existe une autre solution qui consiste à déployer les sites web
front-end de votre application sur Azure App Service, ce qui permet de répondre plus
facilement aux demandes des applications.

App Service vous permet de créer et d’héberger des applications web, des tâches en arrière-
plan, des back-ends mobiles et des API RESTful dans le langage de programmation de votre
choix, sans devoir gérer l’infrastructure. Il offre une mise à l’échelle automatique et une haute
disponibilité. App Service prend en charge Windows et Linux, et permet des déploiements
automatisés à partir de GitHub, Azure DevOps ou n’importe quel dépôt Git pour prendre en
charge un modèle de déploiement continu.

Cet environnement PaaS vous permet de vous concentrer sur le site web et la logique d’API,
tandis qu’Azure gère l’infrastructure pour exécuter et mettre à l’échelle vos applications.

Coûts d’Azure App Service


Vous payez pour les ressources de calcul Azure que votre application utilise lors du traitement
des requêtes en fonction du plan App Service que vous choisissez. Le plan App Service
détermine la quantité de matériel dédiée à votre hôte. Par exemple, le plan détermine s’il
s’agit de matériel dédié ou partagé, et de la quantité de mémoire réservée pour lui. Il existe
même un niveau gratuit que vous pouvez utiliser pour héberger de petits sites à faible trafic.

Types de services d’application


Avec App Service, vous pouvez héberger les styles de service d’application les plus courants
tels que :

• Applications web
• Applications API
• WebJobs
• Applications mobiles

App Service gère la plupart des décisions d’infrastructure auxquelles vous faites face lors de
l’hébergement d’applications accessibles sur le web :

• Le déploiement et la gestion sont intégrés à la plateforme.


• Les points de terminaison peuvent être sécurisés.
• Les sites peuvent être mis à l’échelle rapidement afin de gérer des charges de
trafic élevées.
• L’équilibrage de charge intégré et Traffic Manager offrent une haute
disponibilité.

Tous ces styles d’application sont hébergés dans la même infrastructure et partagent ces
avantages. De par sa flexibilité, App Service est le choix idéal pour héberger des applications
orientées web.

Applications web

App Service offre une prise en charge complète de l’hébergement d’applications web avec
ASP.NET, ASP.NET Core, Java, Ruby, Node.js, PHP ou Python. Vous pouvez choisir un
système d’exploitation hôte Windows ou Linux.

Applications API

Comme dans l’hébergement d’un site web, vous pouvez générer des API web REST en
utilisant le langage et l’infrastructure de votre choix. Vous disposez d’une prise en charge
complète de Swagger, et vous pouvez empaqueter et publier votre API sur la Place de marché
Azure. Les applications produites peuvent être consommées à partir de n’importe quel client
HTTP ou HTTPS.

WebJobs

Vous pouvez utiliser la fonctionnalité WebJobs pour exécuter un programme (.exe, Java,
PHP, Python ou Node.js) ou un script (.cmd, .bat, PowerShell ou Bash) dans le même
contexte qu’une application web, une application API ou une application mobile. Ils peuvent
être planifiés ou exécutés par un déclencheur. Les tâches web sont souvent utilisées pour
exécuter des tâches en arrière-plan dans le cadre de votre logique d’application.

Applications mobiles

Utilisez la fonctionnalité Mobile Apps d’App Service pour créer rapidement un back-end pour
les applications iOS et Android. En quelques clics dans le portail Azure, vous pouvez :

• Stocker les données d’application mobile dans une base de données SQL basée
sur le cloud.
• Authentifier les clients par rapport à des fournisseurs de réseaux sociaux
courants comme MSA, Google, Twitter et Facebook.
• Envoyer des notifications Push.
• Exécuter une logique de back-end personnalisée en C# ou Node.js.

Du côté de l’application mobile, vous disposez de la prise en charge des SDK pour les
applications natives iOS et Android, Xamarin et React.

Unité suivante: Déterminer quand utiliser Azure


Container Instances ou Azure Kubernetes Service

Déterminer quand utiliser Azure


Container Instances ou Azure
Kubernetes Service
Effectué100 XP
• 12 minutes

Même si les machines virtuelles sont un excellent moyen de réduire les coûts
comparé aux investissements nécessaires pour le matériel physique, elles restent
limitées à un seul système d’exploitation par machine virtuelle. Les conteneurs
constituent un excellent choix si vous souhaitez exécuter plusieurs instances d’une
application sur une même machine hôte.

Qu’est-ce que les conteneurs ?


Les conteneurs constituent un environnement de virtualisation. Tout comme plusieurs
machines virtuelles peuvent s’exécuter sur un seul hôte physique, vous pouvez
exécuter plusieurs conteneurs sur un seul hôte physique ou virtuel. Contrairement
aux machines virtuelles, vous ne gérez pas le système d’exploitation d’un conteneur.
Les machines virtuelles sont semblables à une instance de système d’exploitation à
laquelle vous pouvez vous connecter et que vous pouvez gérer, mais les conteneurs
sont légers et conçus pour être créés, faire l’objet de scale-out et être arrêtés de
manière dynamique. Bien qu’il soit possible de créer et de déployer des machines
virtuelles à mesure que la demande des applications augmente, les conteneurs sont
conçus pour vous permettre de répondre aux variations de la demande. Avec les
conteneurs, vous pouvez redémarrer rapidement en cas de plantage ou d’interruption
matérielle. L’un des moteurs de conteneur les plus connus est Docker, qui est pris en
charge par Azure.
Comparer les machines virtuelles aux conteneurs
La vidéo suivante met en évidence plusieurs différences importantes entre les
machines virtuelles et les conteneurs.

Gérer les conteneurs


Vous pouvez gérer les conteneurs via un orchestrateur de conteneurs, qui peut
effectuer le démarrage, l’arrêt et le scale-out des instances d’application selon les
besoins. Il existe deux façons de gérer les conteneurs Docker et Microsoft dans
Azure : Azure Container Instances et Azure Kubernetes Service (AKS).

Azure Container Instances

Azure Container Instances propose la façon la plus rapide et la plus simple d’exécuter un
conteneur dans Azure, sans avoir à gérer les machines virtuelles ou à adopter de services
supplémentaires. Il s’agit d’une offre PaaS (Platform as a Service) qui vous permet de charger
vos conteneurs, et qui les exécute à votre place.

Azure Kubernetes Service

La tâche d’automatisation et de gestion d’un grand nombre de conteneurs et de leur


interaction porte le nom d’orchestration. Azure Kubernetes Service est un service
d’orchestration complet pour les conteneurs avec des architectures distribuées et de grands
volumes de conteneurs.

Qu’est-ce que Kubernetes ?

La vidéo suivante présente des informations importantes sur l’orchestration des


conteneurs Kubernetes.

Utiliser des conteneurs dans vos solutions


Les conteneurs sont souvent utilisés pour créer des solutions utilisant une architecture
de microservices. C’est dans cette architecture que vous divisez vos solutions en
structures plus petites et indépendantes. Par exemple, vous pourrez diviser un site
web en trois conteneurs : un qui héberge votre serveur front-end, un autre qui
héberge votre back-end et un troisième destiné au stockage. Ce fractionnement vous
permet de séparer des parties de votre application en sections logiques qui peuvent
être gérées, mises à l’échelle ou mises à jour séparément.

Imaginez que le back-end de votre site web a atteint sa capacité, mais que le front-
end et le stockage ne sont pas sollicités à l’extrême. Vous pouvez :

• Mettre à l’échelle le back-end séparément pour améliorer les


performances.
• Décider d’utiliser un autre service de stockage.
• Remplacer le conteneur de stockage sans affecter le reste de
l’application.

Qu’est-ce qu’un microservice ?

La vidéo suivante présente des détails importants sur les microservices.

Unité suivante: Déterminer quand utiliser Azure


Functions

Déterminer quand utiliser Azure


Functions
Effectué100 XP
• 10 minutes

Après avoir consulté plusieurs de vos collègues développeurs chez Tailwind Traders,
vous avez déterminé qu’une partie de la logique de votre application est pilotée par
les événements. En d’autres termes, pendant un laps de temps important, votre
application attend une entrée particulière avant d’effectuer tout traitement. Afin de
réduire vos coûts, vous ne devez pas payer pour la durée d’attente d’entrée de votre
application. Dans cet esprit, vous avez décidé d’examiner Azure Functions pour voir
ce qu’il peut apporter.

L’informatique serverless fait abstraction des serveurs, de l’infrastructure et des systèmes


d’exploitation. Avec l’informatique serverless, Azure gère l’infrastructure serveur ainsi que
l’allocation et désallocation des ressources en fonction de la demande. L’infrastructure ne
relève pas de votre responsabilité. La mise à l’échelle et les performances sont gérées
automatiquement. Vous êtes facturé uniquement pour les ressources que vous utilisez. Il n’est
même pas nécessaire de réserver de la capacité.

L’informatique serverless comprend l’abstraction des serveurs, une mise à l’échelle


basée sur les événements et la microfacturation :

• Abstraction des serveurs : L’informatique Serverless fait abstraction de


vos serveurs d’exécution. Vous ne réservez jamais explicitement des
instances de serveur. La plateforme gère cela pour vous. Chaque
exécution de fonction peut s’exécuter sur une instance de calcul
différente. Ce contexte d’exécution est transparent pour le code. Avec
une architecture serverless, vous déployez votre code, qui s’exécute alors
avec une haute disponibilité.
• Mise à l’échelle basée sur les événements : L’informatique Serverless
est un excellent choix pour les charges de travail qui répondent à des
événements entrants. Les événements incluent des déclencheurs par :
o Minuteries, par exemple si une fonction doit s’exécuter tous les
jours à 10:00 UTC.
o HTTP, par exemple les scénarios d’API et webhook.
o Files d’attente, par exemple avec le traitement des commandes.
o Et bien plus.

Au lieu d’écrire une application entière, le développeur crée une fonction


qui contient à la fois le code et les métadonnées sur ses déclencheurs et
ses liaisons. La plateforme planifie automatiquement la fonction pour
qu’elle s’exécute et mette à l’échelle le nombre d’instances de calcul
selon le débit d’événements entrants. Les déclencheurs définissent
comment une fonction est appelée. Les liaisons offrent un moyen
déclaratif de se connecter à des services à partir du code.
• Microfacturation : L’informatique classique facture pour un bloc de
temps, par exemple en cas de paiement d’un tarif mensuel ou annuel
pour l’hébergement de sites web. Cette méthode de facturation est
pratique, mais n’est pas toujours rentable. Même si le site web d’un client
n’enregistre qu’un seul accès par jour, celui-ci paie quand même une
journée entière de disponibilité. Avec l’informatique Serverless, il paie
uniquement pour le temps d’exécution de son code. Si aucune exécution
de fonction active n’a lieu, rien n’est facturé. Par exemple, si le code
s’exécute une fois par jour pendant deux minutes, une seule exécution et
deux minutes de temps de calcul sont facturées.

Informatique Serverless dans Azure

Azure propose deux implémentations de calcul serverless :

• Azure Functions : les fonctions peuvent exécuter du code dans presque


n’importe quel langage moderne.
• Azure Logic Apps : Les applications logiques sont conçues dans un
concepteur web et peuvent exécuter une logique déclenchée par des
services Azure sans écrire de code.

Azure Functions
Azure Functions est le choix idéal lorsque vous vous préoccupez uniquement du code
exécutant votre service, mais pas de la plateforme ou de l’infrastructure sous-jacente.
Les fonctions sont couramment utilisées quand vous avez besoin d’effectuer un
travail en réponse à un événement (souvent par le biais d’une requête REST), un
minuteur ou un message d’un autre service Azure, et que ce travail peut être effectué
rapidement, en quelques secondes ou moins.

Les fonctions sont automatiquement mises à l’échelle en fonction de la demande, et


constituent donc un choix idéal lorsque la demande est variable. Par exemple, vous
pouvez recevoir des messages d’une solution IoT utilisée pour superviser un parc de
véhicules de livraison. Vous recevrez probablement plus de données pendant les
heures ouvrables.

Avec une approche basée sur des machines virtuelles, des frais vous seraient facturés
même lorsque la machine virtuelle est inactive. Avec les fonctions, Azure exécute
votre code lorsqu’il est déclenché et libère automatiquement les ressources lorsque la
fonction est terminée. Dans ce modèle, vous êtes facturé uniquement pour le temps
processeur utilisé pendant l’exécution de votre fonction.
Les fonctions peuvent être sans état ou avec état. Lorsqu’elles sont sans état (ce qui
est le cas par défaut), elles se comportent comme si elles étaient redémarrées chaque
fois qu’elles répondent à un événement. Lorsqu’elles sont avec état (elles sont alors
appelées « Durable Functions »), un contexte est transmis via la fonction pour
effectuer le suivi de l’activité précédente.

Les fonctions sont un composant clé de l’informatique serverless. Il s’agit également


d’une plateforme de calcul générale permettant d’exécuter n’importe quel type de
code. Si les besoins de l’application du développeur changent, vous pouvez déployer
le projet dans un environnement qui n’est pas serverless. Cette flexibilité vous permet
de gérer la mise à l’échelle, d’exécuter sur des réseaux virtuels et même d’isoler
complètement les fonctions.

Azure Logic Apps


Les applications logiques sont similaires aux fonctions. Toutes deux vous permettent
de déclencher une logique basée sur un événement. Alors que les fonctions
exécutent du code, les applications logiques exécutent des workflows conçus pour
automatiser des scénarios métier et créés à partir de blocs de logique prédéfinis.

Chaque workflow d’application logique Azure commence par un déclencheur, qui


s’active quand un événement spécifique se produit ou quand de nouvelles données
disponibles répondent à des critères spécifiques. De nombreux déclencheurs incluent
des fonctionnalités de planification élémentaires qui permettent aux développeurs de
spécifier la fréquence d’exécution des charges de travail. Chaque fois que le
déclencheur s’active, le moteur Logic Apps crée une instance d’application logique
qui exécute les actions du workflow. Ces actions peuvent également inclure des
conversions de données et des contrôles de flux, comme des instructions
conditionnelles, des instructions de basculement, des boucles et la création de
branches.

Vous créez des workflows d’application logique à l’aide d’un concepteur visuel dans
le portail Azure ou dans Visual Studio. Les workflows sont conservés sous forme d’un
fichier JSON avec un schéma de workflow connu.

Azure fournit plus de 200 connecteurs et blocs de traitement différents pour interagir
avec divers services. Ces ressources incluent les applications d’entreprise les plus
populaires. Vous pouvez également créer des connecteurs personnalisés et définir les
étapes du workflow si le service avec lequel vous devez interagir n’est pas couvert.
Vous utilisez ensuite le concepteur visuel pour lier les connecteurs et les blocs. Vous
transmettez des données par le biais du workflow pour effectuer un traitement
personnalisé, souvent sans écrire de code.
Supposez par exemple qu’un ticket arrive dans Zendesk. Vous pouvez :

• Détecter l’intention du message avec des services cognitifs.


• Créer un élément dans SharePoint pour suivre le problème.
• Ajouter le client à votre système CRM Dynamics 365 s’il ne figure pas
encore dans votre base de données.
• Envoyer un courrier électronique de suivi pour accuser réception de la
demande.

Toutes ces actions peuvent être conçues dans un concepteur visuel, ce qui permet de
voir facilement le workflow logique. Pour cette raison, il est idéal pour un rôle
d’analyste d’entreprise.

Functions et Logic Apps


Functions et Logic Apps peuvent créer des orchestrations complexes. Une
orchestration est une collection de fonctions ou d’étapes exécutées pour accomplir
une tâche complexe.

• Avec Functions, vous écrivez du code pour effectuer chaque étape.


• Avec Logic Apps, vous utilisez une GUI (interface graphique utilisateur)
pour définir les actions et leurs relations.

Vous pouvez mélanger et associer les services lorsque vous créez une orchestration,
en appelant des fonctions à partir d’applications logiques et inversement. Il existe
certaines différences entre ces deux solutions.

Fonctions

Logic Apps

État

Normalement sans état, mais Durable Functions fournit un état.

Avec état.

Développement

Orienté code (impératif).

Orienté concepteur (déclaratif).

Connectivité
Environ une douzaine de types de liaisons intégrés. Écrire du code pour les liaisons
personnalisées.

Grande collection de connecteurs. Enterprise Integration Pack pour les scénarios B2B. Créer
des connecteurs personnalisés.

Actions

Chaque activité est une fonction Azure. Écrire du code pour les fonctions d’activité.

Grande collection d’actions prédéfinies.

Surveillance

Azure Application Insights.

Portail Azure, Log Analytics.

Gestion

API REST, Visual Studio.

Portail Azure, API REST, PowerShell, Visual Studio.

Contexte d’exécution

Exécution possible localement ou dans le cloud.

Exécution uniquement dans le cloud.

Unité suivante: Déterminer quand utiliser Azure


Virtual Desktop

Déterminer quand utiliser Azure Virtual


Desktop
Effectué100 XP
• 9 minutes

En plus des défis auxquels la société Tailwind Traders est confrontée avec la mise à
l’échelle d’applications, votre responsable vous a demandé de constituer une
nouvelle équipe de développement à base de télétravailleurs.
En principe, si vous souhaitez réussir cette tâche, vous devez configurer plusieurs
nouveaux ordinateurs avec tous les outils de développement nécessaires pour votre
nouvelle équipe. Vous devez ensuite les expédier aux développeurs respectifs. Le
temps nécessaire pour mettre en place, configurer et expédier chacun de ces
ordinateurs serait coûteux. De plus, tous vos nouveaux développeurs ont leurs
propres appareils informatiques qui exécutent un mélange de systèmes d’exploitation
Windows, Android et macOS.

Vous souhaitez trouver un moyen d’accélérer le processus de déploiement pour vos


télétravailleurs. Vous souhaitez également limiter au minimum vos coûts de gestion.
Dans cet esprit, vous voulez voir comment Azure Virtual Desktop peut aider votre
organisation.

Qu’est-ce qu’Azure Virtual Desktop ?


Azure Virtual Desktop est un service de virtualisation des postes de travail et des
applications qui s'exécute dans le cloud. Il permet à vos utilisateurs d’utiliser une
version cloud de Windows à partir de n’importe quel emplacement. Azure Virtual
Desktop fonctionne sur des appareils Windows, Mac, iOS, Android et Linux. Il
fonctionne avec les applications que vous pouvez utiliser pour accéder aux
applications et aux bureaux à distance. Vous pouvez aussi utiliser la plupart des
navigateurs modernes pour accéder aux expériences utilisateur hébergées par Azure
Virtual Desktop.

La vidéo suivante vous donne une vue d’ensemble d’Azure Virtual Desktop.

Pourquoi utiliser Azure Virtual Desktop ?

Offrir la meilleure expérience utilisateur

Les utilisateurs peuvent se connecter à Azure Virtual Desktop à partir de n’importe


quel appareil par le biais d’Internet. Ils doivent se servir d’un client Azure Virtual
Desktop pour se connecter aux bureaux et applications Windows publiés. Ce client
peut être une application native sur l’appareil utilisé, ou le client web HTML5 d’Azure
Virtual Desktop.

Vous pouvez vérifier que les machines virtuelles de l’hôte de la session s’exécutent à
proximité d’applications et de services qui se connectent à votre centre de données
ou au cloud. Ainsi, les utilisateurs restent productifs et ne sont pas confrontés à des
temps de chargement trop longs.
La connexion des utilisateurs à Azure Virtual Desktop est rapide, car les profils
utilisateur sont conteneurisés à l’aide de FSLogix. Au moment de la connexion, le
conteneur de profils utilisateurs est attaché dynamiquement à l’environnement
informatique. Le profil utilisateur est immédiatement disponible et apparaît dans le
système exactement comme un profil utilisateur natif.

Vous pouvez fournir une expérience individualisée via des bureaux personnels
(persistants). Par exemple, vous pouvez être amené à fournir des bureaux à distance
personnels pour les membres d’une équipe d’ingénierie. Ces derniers peuvent alors
ajouter ou supprimer des programmes sans impacter les autres utilisateurs du bureau
à distance.

Améliorer la sécurité

Azure Virtual Desktop fournit une gestion centralisée de la sécurité pour les bureaux
des utilisateurs par le biais d’Azure AD (Azure Active Directory). Vous pouvez activer
l’authentification multifacteur pour sécuriser les connexions des utilisateurs. Vous
pouvez également sécuriser l’accès aux données en affectant de manière précise des
contrôles d’accès en fonction du rôle (RBAC) aux utilisateurs.

Avec Azure Virtual Desktop, les données et les applications sont séparées du matériel
local. À la place, Azure Virtual Desktop les exécute sur un serveur distant. Le risque
d’oublier des données confidentielles sur un appareil personnel est réduit.

Les sessions utilisateur sont isolées dans des environnements monosession et


multisession.

Azure Virtual Desktop améliore également la sécurité à l’aide de la technologie de


connexion inversée. Ce type de connexion est plus sécurisé que le protocole RDP
(Remote Desktop Protocol). Nous n’ouvrons pas de ports entrants sur les machines
virtuelles de l’hôte de la session.

Quelles sont les fonctionnalités clés d’Azure Virtual


Desktop ?

Gestion simplifiée

Azure Virtual Desktop étant un service Azure, il sera familier pour les administrateurs
Azure. Vous utilisez Azure AD et RBAC pour gérer l’accès aux ressources. Avec Azure,
vous disposez également d’outils pour automatiser les déploiements de machines
virtuelles, gérer les mises à jour de machines virtuelles et fournir une reprise d’activité
après sinistre. Comme pour les autres services Azure, Azure Virtual Desktop utilise
Azure Monitor pour la supervision et les alertes. Cette normalisation permet aux
administrateurs d’identifier les problèmes par le biais d’une interface unique.

Gestion du niveau de performance

Azure Virtual Desktop vous permet d’équilibrer la charge des utilisateurs sur vos
pools d’hôtes de machines virtuelles. Les pools d’hôtes sont des regroupements de
machines virtuelles dont la même configuration est affectée à plusieurs utilisateurs.
Pour un niveau de performance optimal, vous pouvez configurer l’équilibrage de
charge afin qu’il se produise quand les utilisateurs se connectent (mode largeur).
Avec le mode largeur, les utilisateurs sont alloués de manière séquentielle dans le
pool d’hôtes de votre charge de travail. Si vous souhaitez réduire les coûts, vous
pouvez configurer vos machines virtuelles pour un équilibrage de charge en mode
largeur, qui permet d’allouer entièrement les utilisateurs sur une machine virtuelle
avant de passer à la suivante. Azure Virtual Desktop fournit des outils pour
provisionner automatiquement des machines virtuelles supplémentaires quand la
demande entrante dépasse un seuil spécifique.

Déploiement de Windows 10 multisession

Azure Virtual Desktop vous permet d’utiliser Windows 10 Entreprise multisession, le


seul système d’exploitation basé sur le client Windows qui permet à plusieurs
utilisateurs d’accéder simultanément à la même machine virtuelle. Azure Virtual
Desktop offre également une expérience plus cohérente grâce à une prise en charge
plus étendue des applications en comparaison des systèmes d’exploitation Windows
Server.

Comment réduire les coûts avec Azure Virtual


Desktop ?

Apportez vos propres licences

Azure Virtual Desktop est disponible sans frais supplémentaires si vous disposez
d’une licence Microsoft 365 éligible. Payez uniquement pour les ressources Azure
utilisées par Azure Virtual Desktop.

• Grâce à votre licence Windows ou Microsoft 365 éligible, bénéficiez des


applications et des bureaux Windows 10 Entreprise et Windows 7
Entreprise sans frais supplémentaires.
• Si vous êtes un client éligible disposant de licences d’accès client aux
services Bureau à distance Microsoft, les bureaux et applications des
Services Bureau à distance Windows Server sont disponibles sans frais
supplémentaires.

Faites des économies sur les coûts de calcul

Souscrivez pour un an ou trois ans au service Azure Reserved Virtual Machine


Instances afin d’effectuer jusqu’à 72 % d’économies par rapport au tarif du paiement
à l’utilisation. Vous pouvez payer une réservation à l’avance ou tous les mois. Des
réservations permettent de bénéficier d’une remise sur la facturation et n’ont aucune
incidence sur l’état de runtime de vos ressources.

Unité suivante: Contrôle des connaissances


Résumé
Effectué100 XP

• 1 minute

Dans ce module, vous avez découvert comment vous pouviez aider la société
Tailwind Traders à résoudre les problèmes de forte demande auxquels sont
confrontées ses applications. Pour ce faire, vous avez eu recours aux services de
virtualisation Azure tels que Machines virtuelles Azure, Azure Container Instances et
Azure Kubernetes Service. Vous avez également appris à utiliser :

• Azure App Service pour créer vos front-ends de site web.


• Azure Functions pour créer une logique d’application pilotée par les
événements qui s’exécute uniquement lorsque vous en avez besoin.
• Azure Virtual Desktop pour fournir rapidement un système d’exploitation et un
environnement logiciel personnalisés à vos télétravailleurs.

Introduction
Effectué100 XP
• 2 minutes

Supposons que votre entreprise, Tailwind Traders, ait migré certaines applications
dans le cloud et qu’elle conçoive de nouvelles applications. Les serveurs qui
hébergent les données client et produit de Tailwind Traders se trouvent dans la
Silicon Valley. Votre entreprise comporte également plusieurs filiales situées dans
différentes régions géographiques. Dans le cadre de votre stratégie de migration, elle
doit déterminer la bonne approche pour configurer son infrastructure réseau.
Pour aider à réduire les coûts, vous persuadez votre équipe de déplacer votre site
web et plusieurs de vos autres ressources en réseau vers le cloud. En tenant compte
de cela, vous devez fournir à chacune de ses filiales un accès sécurisé aux données
d’entreprise privées. Vous souhaitez savoir comment Azure peut vous aider à gérer
plus efficacement votre réseau. Comme cela a été dit, la gestion des réseaux sur
Azure n’est pas complètement différente de la gestion des réseaux locaux.

Dans ce module, vous allez découvrir les différentes options réseau d’Azure ainsi que
les scénarios pour lesquels elles sont le mieux adaptées.

Objectifs d’apprentissage
À l’issue de ce module, vous pourrez :

• Décrire les principales ressources réseau disponibles dans Azure


• Décrire les avantages et l’utilisation du Réseau virtuel Azure, de la
passerelle VPN Azure et d’Azure ExpressRoute

Prérequis
• Vous devez connaître les concepts et la terminologie de base des
réseaux.
• Connaître le cloud computing est un plus, mais n’est pas indispensable.

Unité suivante: Concepts de base des réseaux virtuels


Azure
Concepts de base des réseaux virtuels Azure
Effectué100 XP

• 8 minutes

Tailwind Traders dispose d’un centre de données local que vous prévoyez de
conserver, mais vous voulez décharger les pics de trafic avec des machines virtuelles
hébergées dans Azure. Vous souhaitez conserver votre schéma d’adressage IP et vos
appliances réseau existants, tout en assurant la sécurité des transferts de données.

Le Réseau virtuel Azure peut vous aider à atteindre vos objectifs en matière de
réseaux virtuels.

Présentation de la mise en réseau virtuelle Azure

Les réseaux virtuels Azure permettent à des ressources Azure (par exemple, des
machines virtuelles, des applications web et des bases de données) de communiquer
entre elles, avec des utilisateurs sur Internet et avec des ordinateurs clients locaux.
Vous pouvez considérer un réseau Azure comme un ensemble de ressources
établissant un lien avec d’autres ressources Azure.

Les réseaux virtuels Azure fournissent les principales fonctionnalités réseau suivantes :

• L’isolement et la segmentation
• Les communications Internet
• Communiquer entre des ressources Azure
• Communiquer avec des ressources locales
• Router le trafic
• Filtrer le trafic
• Connecter des réseaux virtuels

Configurations réseau pour les machines virtuelles

Isolement et segmentation

Le Réseau virtuel permet de créer plusieurs réseaux virtuels isolés. Lorsque vous
configurez un réseau virtuel, vous définissez un espace d’adressage IP privé, à l’aide
de plages d’adresses IP publiques ou privées. Vous pouvez diviser cet espace
d’adressage IP en sous-réseaux et allouer une partie de l’espace d’adressage défini à
chaque sous-réseau nommé.

Un service de résolution de noms est intégré à Azure. Vous avez également la


possibilité de configurer le réseau virtuel de sorte qu’il utilise un serveur DNS interne
ou externe.

Communications Internet

Une machine virtuelle dans Azure peut se connecter à internet par défaut. Vous
pouvez activer les connexions entrantes en provenance d’Internet en définissant une
adresse IP publique ou un équilibreur de charge public. Pour la gestion des machines
virtuelles, vous pouvez vous connecter avec Azure CLI, le protocole RDP (Remote
Desktop Protocol) ou le protocole SSH (Secure Shell).

Communiquer entre des ressources Azure

Vous voudrez permettre aux ressources Azure de communiquer entre elles en toute
sécurité. Il existe pour cela deux méthodes :

• Réseaux virtuels Les réseaux virtuels peuvent non seulement connecter des
machines virtuelles, mais également d’autres ressources Azure comme App
Service Environment pour Power Apps, Azure Kubernetes Service et les groupes
de machines virtuelles identiques Azure.
• Points de terminaison de service Vous pouvez utiliser des points de
terminaison de service pour établir une connexion à d’autres types de
ressources Azure, comme des comptes de stockage et des bases de données
Azure SQL. Cette approche permet de lier plusieurs ressources Azure à des
réseaux virtuels et ainsi d’améliorer la sécurité et d’assurer un routage optimal
entre les ressources.

La communication avec des ressources locales

Les réseaux virtuels Azure vous permettent de lier des ressources ensemble dans
votre environnement local et au sein de votre abonnement Azure. En effet, vous
pouvez créer un réseau qui couvre à la fois à vos environnements locaux et vos
environnements cloud. Il existe trois mécanismes vous permettant d’assurer cette
connectivité :

• Réseaux privés virtuels point à site Une connexion de réseau privé virtuel
(VPN) type part d’un ordinateur extérieur à votre organisation pour atteindre
votre réseau d’entreprise. Dans ce cas, l’ordinateur client établit une connexion
VPN chiffrée pour connecter cet ordinateur au réseau virtuel Azure.
• Réseaux privés virtuels de site à site Un VPN de site à site lie votre appareil
ou passerelle VPN local à la passerelle VPN Azure sur un réseau virtuel. En
pratique, les appareils dans Azure peuvent apparaître comme étant sur le réseau
local. La connexion est chiffrée et fonctionne sur Internet.
• Azure ExpressRoute Pour les environnements où vous avez besoin d’une
bande passante plus grande et de niveaux de sécurité encore plus élevés, Azure
ExpressRoute est la meilleure approche. ExpressRoute offre une connectivité
privée dédiée vers Azure qui ne passe pas par Internet. (Vous en apprendrez
davantage sur ExpressRoute dans une unité distincte plus loin dans ce module.)
Router le trafic réseau

Par défaut, Azure achemine le trafic entre les sous-réseaux sur tous les réseaux
virtuels connectés, les réseaux locaux et Internet. Il est également possible de
contrôler le routage et de remplacer ces paramètres :

• Tables de routage Une table de routage vous permet de définir des règles
concernant la direction du trafic. Vous pouvez créer des tables de routage
personnalisées qui contrôlent la façon dont les paquets sont routés entre les
sous-réseaux.
• Border Gateway Protocol Le protocole BGP (Border Gateway Protocol)
fonctionne avec des passerelles VPN Azure ou ExpressRoute pour propager des
itinéraires BGP locaux sur des réseaux virtuels Azure.

Filtrer le trafic réseau

Les réseaux virtuels Azure vous permettent de filtrer le trafic entre des sous-réseaux à
l’aide des approches suivantes :

• Groupes de sécurité réseau Un groupe de sécurité réseau est une ressource


Azure pouvant contenir plusieurs règles de sécurité d’entrée et de sortie. Vous
pouvez définir ces règles pour autoriser ou bloquer le trafic, à partir de facteurs
tels que l’adresse IP source et de destination, le port et le protocole.
• Appliances virtuelles réseau Une appliance virtuelle réseau est une machine
virtuelle spécialisée qui peut être comparée à une appliance réseau renforcée.
Une appliance virtuelle réseau remplit une fonction réseau particulière, comme
exécuter un pare-feu ou effectuer une optimisation WAN (réseau étendu).

Connecter des réseaux virtuels

Il est possible de lier des réseaux virtuels ensemble grâce au peering de réseaux
virtuels. Le peering permet de faire communiquer les ressources de chaque réseau
virtuel entre-elles. Ces réseaux virtuels peuvent être situés dans des régions
distinctes, ce qui permet de créer un réseau d’interconnexion global par le biais
d’Azure.

UDR signifie routage défini par l’utilisateur. Le routage UDR est une mise à jour
importante des réseaux virtuels Azure, car il permet aux administrateurs réseau de
contrôler les tables de routage entre les sous-réseaux d’un réseau ainsi qu’entre les
réseaux virtuels. Ainsi, le flux du trafic réseau est mieux contrôlé.
Unité suivante: Paramètres d’un réseau virtuel Azure

Paramètres d’un réseau virtuel Azure


Effectué100 XP
• 7 minutes

Il est possible de créer et de configurer des instances Réseau virtuel Azure avec le
Portail Azure, Azure PowerShell sur un ordinateur local ou Azure Cloud Shell.

Créer un réseau virtuel

Quand vous créez un réseau virtuel Azure, vous configurez un certain nombre de
paramètres de base. Vous aurez la possibilité de configurer des paramètres avancés,
comme plusieurs sous-réseaux, la protection contre le déni de service distribué
(DDoS) et les points de terminaison de service.
Vous allez configurer les paramètres suivants pour un réseau virtuel de base :

• Nom réseau Le nom réseau doit être unique au sein de votre


abonnement, mais pas nécessairement globalement unique. Choisissez
un nom descriptif facile à mémoriser et à identifier parmi les autres
réseaux virtuels.
• Espace d’adressage Lorsque vous configurez un réseau virtuel, vous
définissez l’espace d’adressage interne au format CIDR (Classless
Interdomain Routing). Cet espace d’adressage doit être unique au sein de
votre abonnement et de tous les autres réseaux auxquels vous vous
connectez. Supposons que vous choisissez l’espace d’adressage
10.0.0.0/24 pour votre premier réseau virtuel. Les adresses définies dans
cet espace d’adressage sont comprises entre 10.0.0.1 et 10.0.0.254. Vous
créez ensuite un deuxième réseau virtuel et vous choisissez un espace
d’adressage de 10.0.0.0/8. Les adresses de cet espace d’adressage sont
comprises entre 10.0.0.1 et 10.255.255.254. Certaines adresses se
chevauchent. Elles ne peuvent pas être utilisées pour les deux réseaux
virtuels. Il est toutefois possible d’utiliser 10.0.0.0/16, avec les adresses
comprises entre 10.0.0.1 et 10.0.255.254, et 10.1.0.0/16, avec les adresses
comprises entre 10.1.0.1 et 10.1.255.254. Vous pouvez affecter ces
espaces d’adressage à vos réseaux virtuels, car ils ne présentent aucun
chevauchement d’adresses.

Notes

Il sera possible d’ajouter des espaces d’adressage après avoir créé le


réseau virtuel.

• Abonnement Cette option s’applique uniquement si vous avez plusieurs


abonnements entre lesquels choisir.
• Groupe de ressources Comme toutes les autres ressources Azure, un
réseau virtuel doit exister dans un groupe de ressources. Vous pouvez
sélectionner un groupe de ressources existant ou en créer un.
• Emplacement Sélectionnez l’emplacement où vous souhaitez placer le
réseau virtuel.
• Sous-réseau Au sein de chaque plage d’adresses de réseau virtuel, vous
pouvez créer un ou plusieurs sous-réseaux qui partitionnement l’espace
d’adressage du réseau virtuel. Le routage entre les sous-réseaux
dépendra alors des itinéraires de trafic par défaut. Vous pouvez
également définir des itinéraires personnalisés. Vous pouvez également
définir un sous-réseau englobant toute la plage d’adresses du réseau
virtuel.

Notes

Le nom d’un sous-réseau doit commencer par une lettre ou un chiffre et


se terminer par une lettre, un chiffre ou un trait de soulignement. Il ne
peut contenir que des lettres, des chiffres, des traits de soulignement, des
points et des traits d’union.

• Protection DDoS Vous pouvez sélectionner une protection DDoS De


base ou Standard. La protection DDoS Standard est un service premium.
Pour plus d’informations sur la protection DDoS Standard, consultez Vue
d’ensemble de la protection DDoS Standard Azure.
• Points de terminaison de service C’est ici que sont activés les points de
terminaison de service. Vous sélectionnez ensuite dans la liste les points
de terminaison de service Azure que vous souhaitez activer. Les options
incluent Azure Cosmos DB, Azure Service Bus, Key Vault et d’autres.

Une fois ces paramètres configurés, sélectionnez Créer.

Définir des paramètres supplémentaires

Une fois le réseau virtuel créé, vous pouvez définir d’autres paramètres. Il s’agit
notamment des paramètres suivants :

• Groupe de sécurité réseau Les groupes de sécurité réseau possèdent


des règles de sécurité vous permettant de filtrer le type de trafic réseau
qui peut circuler vers et depuis les interfaces réseau et les sous-réseaux
de réseau virtuel. Le groupe de sécurité réseau est créé séparément.
Ensuite, associez-le au réseau virtuel.
• Table de routage Azure crée automatiquement une table de routage
pour chaque sous-réseau au sein d’un réseau virtuel Azure et y ajoute les
itinéraires par défaut du système. Vous pouvez ajouter des tables de
routage personnalisées pour modifier le trafic entre les réseaux virtuels.

Vous pouvez également modifier les points de terminaison de service.


Configurer des réseaux virtuels

Une fois le réseau virtuel créé, vous pouvez modifier des paramètres supplémentaires
dans le volet Réseau virtuel du Portail Azure. Sinon, vous pouvez utiliser des
commandes PowerShell ou des commandes dans Cloud Shell pour effectuer des
modifications.
Vous pouvez ensuite vérifier et modifier des paramètres dans d’autres sous-volets. Il
s’agit notamment des paramètres suivants :

• Espaces d’adressage : ajouter d’autres espaces d’adressage à la


définition initiale.
• Appareils connectés : utiliser le réseau virtuel pour connecter des
ordinateurs.
• Sous-réseaux : ajouter des sous-réseaux supplémentaires.
• Peerings : lier des réseaux virtuels dans des dispositions de peering.

Vous pouvez également surveiller et dépanner les réseaux virtuels, ou bien créer un
script d’automatisation pour générer le réseau virtuel actuel.

Les réseaux virtuels sont des mécanismes puissants et hautement configurables pour
connecter des entités dans Azure. Vous pouvez connecter des ressources Azure entre
elles, ou bien les connecter à des ressources locales. Vous pouvez isoler, filtrer et
acheminer votre trafic réseau. Azure vous permet d’accroître la sécurité là où vous en
avez besoin.

Unité suivante: Concepts de base de la passerelle


VPN Azure

Concepts de base de la passerelle VPN


Azure
Effectué100 XP
• 10 minutes

Les réseaux VPN utilisent un tunnel chiffré dans un autre réseau. Ils sont
généralement déployés pour connecter plusieurs réseaux privés approuvés via un
réseau non approuvé (en général l’Internet public). Le trafic est chiffré lors de son
déplacement sur le réseau non approuvé pour empêcher les écoutes clandestines ou
autres attaques.

Pour notre scénario Tailwind Traders, les réseaux privés virtuels peuvent permettre
aux succursales de partager des informations sensibles entre différents endroits. Par
exemple, supposons que vos bureaux de la région Côte est de l’Amérique du Nord
doivent accéder aux données client privées de votre entreprise, qui sont stockées sur
des serveurs situés physiquement dans la région Côte ouest. Un réseau privé virtuel
qui connecte vos bureaux de la côte Est à vos serveurs de la côte Ouest permet à
votre entreprise d’accéder de façon sécurisée à vos données clients privées.
Passerelles VPN
Une passerelle VPN est un type de passerelle de réseau virtuel. Les instances
Passerelle VPN Azure sont déployées dans des instances Réseau virtuel Azure et
assurent la connectivité suivante :

• Connecter des centres de données locaux à des réseaux virtuels par le


biais d’une connexion site à site
• Connecter des appareils individuels à des réseaux virtuels par le biais
d’une connexion point à site
• Connecter des réseaux virtuels à d’autres réseaux virtuels par le biais
d’une connexion réseau à réseau

Toutes les données transférées sont chiffrées dans un tunnel privé quand elles
transitent par Internet. Il n’est possible de déployer qu’une seule passerelle VPN dans
chaque réseau virtuel, mais vous pouvez utiliser une même passerelle pour vous
connecter à plusieurs emplacements, notamment d’autres réseaux virtuels ou des
centres de données locaux.

Pour déployer une passerelle VPN, il faut spécifier le type de VPN : basé sur une
stratégie ou basé sur un itinéraire. La principale différence entre ces deux types de
VPN est la façon dont est spécifié le trafic à chiffrer. Dans Azure, les deux types de
passerelles VPN utilisent une clé prépartagée comme seule méthode
d’authentification. Les deux types s’appuient également sur le protocole IKE (Internet
Key Exchange) version 1 ou version 2, et le protocole IPSec (Internet Protocol
Security). IKE permet de configurer une association de sécurité (un accord de
chiffrement) entre deux points de terminaison. Cette association est ensuite transmise
à la suite IPSec, qui chiffre et déchiffre les paquets de données encapsulés dans le
tunnel VPN.

VPN basés sur une stratégie

Les passerelles VPN basées sur une stratégie spécifient de manière statique l’adresse
IP des paquets qui doivent être chiffrés via chaque tunnel. Ce type d’appareil évalue
chaque paquet de données par rapport à ces jeux d’adresses IP pour choisir le tunnel
à partir duquel le paquet sera envoyé.

Les principales fonctionnalités des passerelles VPN basées sur une stratégie dans
Azure sont les suivantes :

• Prise en charge d’IKEv1 uniquement.


• Utilisation du routage statique, où les combinaisons de préfixes d’adresse
des deux réseaux contrôlent comment le trafic est chiffré et déchiffré via
le tunnel VPN. La source et la destination des réseaux par tunnel sont
déclarées dans la stratégie et n’ont pas besoin d’être déclarées dans des
tables de routage.
• Les VPN basés sur une stratégie doivent être utilisés dans des scénarios
spécifiques qui en ont besoin, par exemple pour la compatibilité avec les
appareils VPN locaux hérités.

VPN basés sur une route

Si la définition des adresses IP qui se trouvent derrière chaque tunnel est trop lourde,
vous pouvez utiliser des passerelles basées sur l’itinéraire. Avec les passerelles basées
sur un itinéraire, les tunnels IPsec sont modélisés sous forme d’interface réseau ou
d’interface de tunnel virtuel. Le routage IP (avec des itinéraires statiques ou des
protocoles de routage dynamique) détermine quelle interface de tunnel utiliser pour
envoyer chaque paquet. Les VPN basés sur une route sont la méthode de connexion
par défaut des appareils locaux. Ils sont plus résilients en cas de changement de
topologie, par exemple la création de sous-réseaux.

Utilisez une passerelle VPN basée sur une route si vous avez besoin des types de
connectivité suivants :

• Connexion entre réseaux virtuels


• Connexions point à site
• Connexions multisites
• Coexistence avec une passerelle Azure ExpressRoute

Voici les principales fonctionnalités des passerelles VPN basées sur un itinéraire dans
Azure :

• Prise en charge d’IKEv2


• Utilisation de sélecteurs de trafic universels (génériques)
• Peuvent utiliser le routage dynamique, où les tables de routage/transfert
dirigent le trafic vers différents tunnels IPSec. Dans ce cas, les réseaux
source et de destination ne sont pas définis de manière statique, car ils se
trouvent dans des VPN basés sur une stratégie, voire dans des VPN basés
sur un itinéraire avec routage statique. Les paquets de données sont
chiffrés en fonction de tables de routage réseau créées dynamiquement
selon des protocoles de routage comme le protocole BGP (Border
Gateway Protocol).

Tailles de passerelle VPN


Les fonctionnalités de votre passerelle VPN sont déterminées par la référence SKU ou
la taille que vous déployez. Le tableau suivant présente les principales fonctionnalités
de chacune des références SKU disponibles.

SKU Tunnels site à site/réseau à Test d’évaluation du débit Prise en charg


réseau d’agrégat Protocol)
De base [Voir la Maximum : 10 100 Mbits/s Non pris en cha
remarque]
VpnGw1/Az Maximum : 30 650 Mbits/s Pris en charge
VpnGw2/Az Maximum : 30 1 Gbit/s Pris en charge
VpnGw3/Az Maximum : 30 1,25 Gbits/s Pris en charge
Notes

Une passerelle VPN De base ne doit être utilisée que pour les charges de travail
dev/test. Par ailleurs, il n’est pas possible d’effectuer ultérieurement la migration
d’une référence SKU De base vers la référence SKU VpnGW1/2/3/Az sans avoir à
supprimer la passerelle, puis à la redéployer.

Déploiement de passerelles VPN


Pour pouvoir déployer une passerelle VPN, vous avez besoin de ressources Azure et
locales.

Ressources Azure nécessaires

Vous avez besoin des ressources Azure suivantes pour pouvoir déployer une
passerelle VPN opérationnelle :

• Réseau virtuel. Déployez un réseau virtuel avec suffisamment d’espace


d’adressage pour le sous-réseau supplémentaire dont vous avez besoin
pour la passerelle VPN. L’espace d’adressage de ce réseau virtuel ne doit
pas chevaucher le réseau local auquel vous allez vous connecter. Il n’est
possible de déployer qu’une seule passerelle VPN au sein d’un réseau
virtuel.
• GatewaySubnet. Déployez un sous-réseau appelé GatewaySubnet pour la
passerelle VPN. Utilisez au moins un masque d’adresses /27 pour être sûr
d’avoir suffisamment d’adresses IP dans le sous-réseau en cas de
croissance. Vous ne pouvez pas utiliser ce sous-réseau pour d’autres
services.
• Adresse IP publique. Si vous utilisez une passerelle non compatible avec
les zones, créez une adresse IP publique sous la référence SKU De base.
Cette adresse fournit une adresse IP routable publique comme cible pour
votre appareil VPN local. Cette adresse IP est dynamique, mais elle ne
change pas, sauf si vous supprimez et recréez la passerelle VPN.
• Passerelle de réseau local. Créez une passerelle de réseau local pour
définir la configuration du réseau local (par exemple, où et à quoi se
connecte la passerelle VPN). Cette configuration inclut l’adresse IPv4
publique de l’appareil VPN local et les réseaux routables locaux. Ces
informations sont utilisées par la passerelle VPN pour router les paquets
qui sont destinés aux réseaux locaux via le tunnel IPSec.
• Passerelle de réseau virtuel. Créez la passerelle de réseau virtuel pour
router le trafic entre le réseau virtuel et le centre de données local ou
d’autres réseaux virtuels. La passerelle de réseau virtuel peut être une
passerelle VPN ou ExpressRoute, mais cette unité aborde seulement les
passerelles de réseau virtuel de type VPN. (Vous en apprendrez
davantage sur ExpressRoute dans une unité distincte plus loin dans ce
module.)
• Connexion. Créez une ressource de connexion permettant d’établir une
connexion logique entre la passerelle VPN et la passerelle de réseau
local.
o La connexion est établie sur l’adresse IPv4 de l’appareil VPN
local, comme défini par la passerelle de réseau local.
o La connexion est établie à partir de la passerelle de réseau
virtuel et son adresse IP publique associée.

Vous pouvez créer plusieurs connexions.

Le diagramme suivant illustre cette combinaison de ressources et leurs relations, afin


de vous aider à mieux comprendre ce dont vous avez besoin pour déployer une
passerelle VPN.
Ressources locales nécessaires

Pour connecter votre centre de données à une passerelle VPN, vous avez besoin des
ressources locales suivantes :

• Un appareil VPN qui prend en charge les passerelles VPN basées sur une
route ou une stratégie
• Une adresse IPv4 publique (routable sur Internet)

Scénarios de haute disponibilité


Il existe plusieurs façons de vérifier que vous avez une configuration à tolérance de
pannes.

Actif/passif

Par défaut, les passerelles VPN sont déployées comme deux instances dans une
configuration de type actif/passif, même si vous ne voyez qu’une ressource de
passerelle VPN dans Azure. Quand une maintenance planifiée ou une interruption
non planifiée affecte l’instance active, l’instance de secours prend automatiquement
en charge les connexions sans intervention de l’utilisateur. Les connexions sont
interrompues pendant ce basculement, mais sont généralement restaurées au bout
de quelques secondes pour la maintenance planifiée et de 90 secondes pour les
interruptions non planifiées.

Actif/actif

Avec la prise en charge du protocole de routage BGP, vous pouvez également


déployer des passerelles VPN dans une configuration de type actif/actif. Dans cette
configuration, vous attribuez une adresse IP publique unique à chaque instance.
Ensuite, vous créez des tunnels distincts à partir de l’appareil local pour chaque
adresse IP. Vous pouvez étendre la haute disponibilité en déployant un appareil VPN
local supplémentaire.

Basculement ExpressRoute

Il existe une autre possibilité de haute disponibilité, qui consiste à configurer une
passerelle VPN comme un chemin de basculement sécurisé pour les connexions
ExpressRoute. Les circuits ExpressRoute sont résilients par nature. Cependant, ils ne
sont pas immunisés contre les problèmes physiques des câbles assurant la
connectivité, ni contre les pannes qui affectent tout l’emplacement ExpressRoute.
Dans les scénarios de haute disponibilité, lorsqu’il existe un risque associé à une
défaillance d’un circuit ExpressRoute, vous pouvez également provisionner une
passerelle VPN qui utilise Internet comme autre mode de connectivité. De cette
façon, vous pouvez faire en sorte de toujours maintenir une connexion aux réseaux
virtuels.

Passerelles redondantes interzones

Dans les régions qui prennent en charge les zones de disponibilité, les
passerelles VPN et ExpressRoute peuvent être déployées dans une configuration
redondante interzone. Cette configuration offre aux passerelles de réseau virtuel
résilience, scalabilité ainsi qu’une plus grande disponibilité. Le fait de déployer des
passerelles dans les zones de disponibilité Azure permet de séparer les passerelles
physiquement et logiquement au sein d’une région, tout en empêchant la
connectivité réseau locale à Azure d’échouer au niveau des zones. Ces passerelles ont
besoin de différentes références SKU et utilisent des adresses IP publiques Standard
au lieu d’adresses IP publiques De base.

Unité suivante: Concepts de base d’Azure


ExpressRoute

Concepts de base d’Azure ExpressRoute


Effectué100 XP
• 5 minutes

ExpressRoute vous permet d’étendre vos réseaux locaux dans le cloud Microsoft via
une connexion privée avec l’aide d’un fournisseur de connectivité. Avec ExpressRoute,
vous pouvez établir des connexions aux services de cloud computing Microsoft,
comme Microsoft Azure et Microsoft 365.

La connectivité peut provenir d’un réseau universel (IP VPN), d’un réseau Ethernet
point à point ou d’une interconnexion virtuelle via un fournisseur de connectivité
dans un centre de colocalisation. Les connexions ExpressRoute ne passent pas par
l’Internet public. Elles offrent ainsi une meilleure fiabilité, des vitesses supérieures, des
latences cohérentes et une plus grande sécurité que les connexions classiques sur
Internet. Pour plus d’informations sur la connexion de votre réseau à Microsoft à
l’aide d’ExpressRoute, consultez Modèles de connectivité ExpressRoute.
Dans le cadre de votre travail à Tailwind Traders, vous devez comprendre ce qu’est
Azure ExpressRoute et comment il s’intègre aux réseaux locaux et aux réseaux Azure.
Dans cette unité, vous allez découvrir les avantages offerts par ExpressRoute par
rapport à d’autres options de connectivité site à site. Vous verrez ainsi si
ExpressRoute peut fournir à votre entreprise les meilleur niveau de performance
réseau possible.

Tout au long de cette unité, nous allons nous concentrer sur deux couches différentes
du modèle OSI (Open Systems Interconnection) :

• Couche 2 (L2, Layer 2) : couche de liaison de données, qui assure la


communication de nœud à nœud entre deux nœuds sur le même réseau.
• Couche 3 (L3, Layer 3) : couche réseau, qui fournit l’adressage et le
routage entre les nœuds sur un réseau à plusieurs nœuds.

Fonctionnalités et avantages ExpressRoute


L’utilisation d’ExpressRoute comme service de connexion entre Azure et les réseaux
locaux présente plusieurs avantages.

• Connectivité de couche 3 entre votre réseau local et le cloud de


Microsoft via un fournisseur de connectivité. La connectivité peut
provenir d'un réseau universel (IPVPN), d’une connexion Ethernet point à
point, ou d’une interconnexion virtuelle via un échange Ethernet.
• Connectivité aux services de cloud de Microsoft dans toutes les régions
de la zone géopolitique.
• Connectivité globale aux services de Microsoft dans toutes les régions
grâce au module complémentaire ExpressRoute premium.
• Routage dynamique entre votre réseau et Microsoft via le protocole de
routage dynamique standard (BGP).
• Redondance intégrée dans chaque emplacement de peering pour une
plus grande fiabilité.
• SLAde disponibilité de la connexion.
• Support de la qualité de service pour Skype Entreprise.

Connectivité de couche 3

ExpressRoute fournit une connectivité de couche 3 (au niveau de l’adresse) entre


votre réseau local et le cloud Microsoft par le biais de partenaires de connectivité. Ces
connexions peuvent provenir d’un réseau point à point ou Any-To-Any. Il peut
également s’agir de connexions croisées virtuelles établies via un échange.

Redondance intégrée

Chaque fournisseur de connectivité utilise des appareils redondants pour garantir la


haute disponibilité des connexions établies avec Microsoft. Vous pouvez configurer
plusieurs circuits pour compléter cette fonctionnalité. Toutes les connexions
redondantes sont configurées avec une connectivité de couche 3 pour respecter les
contrats de niveau de service.

Connectivité aux services de cloud Microsoft

ExpressRoute permet un accès direct aux services suivants dans toutes les régions :

• Microsoft Office 365


• Microsoft Dynamics 365
• Les services de calcul Azure comme les machines virtuelles Azure
• Les services cloud Azure comme Azure Cosmos DB et Stockage Azure

Office 365 a été créé pour être accessible de manière fiable et sécurisée via Internet.
C’est pourquoi nous recommandons d’utiliser ExpressRoute dans des scénarios
spécifiques. La section « En savoir plus » à la fin de ce module contient un lien sur
l’utilisation d’ExpressRoute pour accéder à Office 365.

Connectivité locale avec ExpressRoute Global Reach

Vous pouvez activer ExpressRoute Global Reach pour échanger des données entre
vos sites locaux en connectant vos circuits ExpressRoute. Supposons que vous
disposez d’un centre de données privé en Californie, connecté à ExpressRoute dans la
Silicon Valley. Vous disposez d’un autre centre de centres privé au Texas connecté à
ExpressRoute à Dallas. Avec le service Global Reach d’ExpressRoute vous permet de
connecter vos centres de centres privés via deux circuits ExpressRoute. Votre trafic
entre vos centres de données transitera via le réseau Microsoft.

Routage dynamique

ExpressRoute utilise le protocole de routage BGP (Border Gateway Protocol). Le


protocole BGP est utilisé pour échanger des routes entre les réseaux locaux et les
ressources exécutées dans Azure. Ce protocole active le routage dynamique entre
votre réseau local et les services qui s’exécutent dans le cloud Microsoft.

Modèles de connectivité ExpressRoute


ExpressRoute prend en charge trois modèles que vous pouvez utiliser pour connecter
votre réseau local au cloud Microsoft :

• Colocation CloudExchange
• Connexions Ethernet point à point
• Connexion universelle

Colocalisation au niveau d’un échange cloud

Les fournisseurs colocalisés peuvent normalement proposer des connexions de


couche 2 et de couche 3 entre votre infrastructure, qui peut se trouver dans
l’emplacement de colocalisation, et le cloud Microsoft. Par exemple, si votre centre de
données est colocalisé dans un échange de cloud tel qu’un fournisseur de services
Internet (ISP), vous pouvez demander une connexion croisée virtuelle au cloud
Microsoft.

Connexions Ethernet point à point

Les connexions point à point fournissent une connectivité de couche 2 et de couche 3


entre votre site local et Azure. Vous pouvez connecter vos bureaux ou centres de
données à Azure à l’aide de liaisons point à point. Par exemple, si vous avez un centre
de données local, vous pouvez utiliser une liaison Ethernet point à point pour vous
connecter à Microsoft.

Réseaux universels

Avec une connectivité Any-To-Any, vous pouvez intégrer votre réseau étendu (WAN)
à Azure en établissant des connexions avec vos bureaux et centres de données. Azure
utilise votre connexion WAN pour fournir une connexion similaire à celle que vous
auriez entre votre centre de données et les filiales.

Avec les connexions universelles, tous les fournisseurs WAN offrent une connectivité
de couche 3. Par exemple, si vous utilisez déjà MPLS (Multiprotocol Label Switching)
pour vous connecter à vos filiales ou à d’autres sites de votre organisation, une
connexion ExpressRoute à Microsoft se comporte comme n’importe quel autre
emplacement de votre réseau WAN privé.

Considérations relatives à la sécurité


Avec ExpressRoute, vos données ne transitent pas via l’Internet public et ne sont donc
pas exposées aux risques potentiels associés aux communications Internet.
ExpressRoute est une connexion privée entre votre infrastructure locale et votre
infrastructure Azure. Même si vous disposez d’une connexion ExpressRoute, les
requêtes DNS, la vérification de la liste de révocation des certificats et les demandes
de réseau de diffusion de contenu sont quand même envoyées via l’Internet public.

Unité suivante: Contrôle des connaissances

Résumé
Effectué100 XP
• 2 minutes
Dans ce module, vous avez découvert les principales ressources réseau disponibles
dans Azure par le biais du scénario Tailwind Traders. Vous avez pris connaissance des
avantages et de l’utilisation du Réseau virtuel Azure, de la passerelle VPN Azure et
d’Azure ExpressRoute.

Vous pouvez maintenant appliquer ces informations pour aider votre entreprise à
utiliser les ressources réseau d’Azure afin de configurer son infrastructure réseau.

En savoir plus

Introduction
Effectué100 XP
• 2 minutes

Supposons que votre entreprise, Tailwind Traders, dispose d’un certain nombre de brochures
produit, de feuilles de données, d’images de produits et autres fichiers relatifs au marketing,
aux ventes et au support. Auparavant, votre entreprise hébergeait ces fichiers sur des serveurs
web autonomes au sein de votre centre de données.

Votre entreprise est maintenant en train d’effectuer la migration de ses applications vers le
cloud, et votre équipe de développement est en train de concevoir de nouvelles applications.
Votre directeur technique souhaite effectuer la migration de tous vos fichiers relatifs au
marketing, aux ventes et au support vers le cloud afin de tirer parti de la distribution
géographique de vos fichiers. Cette migration permet aussi de réduire le nombre de serveurs
physiques que votre entreprise gère dans votre centre de données. Dans le cadre de votre
stratégie de migration, vous devez déterminer l’approche la mieux adaptée à votre
infrastructure de stockage basée sur le cloud.

Dans ce module, vous découvrirez les différentes options de stockage Azure, ainsi que les
scénarios pour lesquels elles sont le mieux adaptées.

Notes

Le Stockage Azure est différent des services de base de données Azure.

Objectifs d’apprentissage
Une fois ce module terminé, vous serez en mesure de décrire les avantages et l’utilisation des
éléments suivants :

• Stockage Blob Azure


• Stockage sur disque Azure
• Stockage Fichier Azure
• Niveaux d’accès aux objets blob Azure

Prérequis
• Vous devez être familiarisé avec les concepts et la terminologie de base du
domaine informatique.

Unité suivante: Notions de base sur les comptes Stockage


Azure

Notions de base sur les comptes


Stockage Azure
Effectué100 XP
• 4 minutes

Le directeur technique de votre entreprise, Tailwind Traders, a chargé votre équipe de


migrer tous vos fichiers sur le cloud. Votre équipe a choisi Stockage Azure, un service
que vous pouvez utiliser pour stocker des fichiers, des messages, des tables et
d’autres types d’informations. Les clients tels que les sites web, les applications
mobiles, les applications de bureau et de nombreux autres types de solutions
personnalisées peuvent lire et écrire des données dans le Stockage Azure. Stockage
Azure est également utilisé par les machines virtuelles IaaS, ainsi que par les services
cloud PaaS.

La vidéo suivante présente les différents services qui devraient être disponibles avec
Stockage Azure.

Pour utiliser Stockage Azure, la première étape consiste à créer un compte de


stockage Azure afin d’y stocker vos objets de données. Vous pouvez créer un compte
Stockage Azure avec le portail Azure, PowerShell ou Azure CLI.
Votre compte de stockage contient tous vos objets de données Stockage Azure :
objets blob, fichiers et disques.

Notes
Les machines virtuelles Azure utilisent Stockage sur disque Azure pour stocker des
disques virtuels. Toutefois, vous ne pouvez pas utiliser Stockage sur disque Azure
pour stocker un disque en dehors d’une machine virtuelle.

Un compte de stockage fournit un espace de noms unique pour vos données


Stockage Azure, qui est accessible partout dans le monde via les protocoles HTTP ou
HTTPS. Dans ce compte, les données sont sécurisées, hautement disponibles,
durables et hautement scalables.

Pour plus d’informations, consultez la rubrique Création d’un compte de stockage .

Unité suivante: Notions de base du stockage sur


disque

Notions de base du stockage sur disque


Effectué100 XP
• 4 minutes

Stockage sur disque fournit des disques pour les machines virtuelles Azure. Les applications
et autres services peuvent accéder à ces disques et les utiliser de la même manière qu’en local.
Stockage sur disque permet de stocker les données de manière persistante et d’y accéder à
partir d’un disque dur virtuel attaché.
Il existe différentes tailles et différents niveaux de performances pour les disques (des
disques SSD aux disques durs mécaniques traditionnels). Vous pouvez vous servir de
disques SSD et HDD Standard pour les charges de travail moins critiques, de disques
SDD Premium pour les applications de production critiques, et de disques Ultra pour
les charges de travail qui consomment beaucoup de données, par exemple SAP
HANA, les bases de données de niveau supérieur et les charges de travail avec un
grand nombre de transactions. Azure a toujours offert une durabilité de classe
Entreprise pour les disques infrastructure as a service (Iaas), avec un taux de
défaillance annuel inégalé dans le secteur de zéro %.

L’illustration suivante montre une machine virtuelle Azure utilisant des disques
distincts pour stocker des données différentes.

Unité suivante: Notions de base du stockage Blob


Azure
Notions de base du stockage Blob
Azure
Effectué100 XP
• 4 minutes

Le Stockage Blob Azure est la solution de stockage d’objets pour le cloud. Cela permet de
stocker de grandes quantités de données, telles que des données texte ou binaires. Stockage
Blob Azure est non structuré, ce qui signifie qu’il n’existe aucune restriction sur les types des
données qu’il peut contenir. Le Stockage Blob peut gérer des milliers de chargements
simultanés, des quantités énormes de données vidéo, des fichiers journaux à croissance
constante, et est accessible depuis n’importe quel emplacement disposant d’une connexion
Internet.

Les objets blob ne se limitent pas aux formats de fichiers usuels. Un objet blob peut
contenir plusieurs gigaoctets de données binaires diffusées en continu depuis un
instrument scientifique, un message chiffré pour une autre application ou des
données dans un format personnalisé pour une application que vous développez. Un
des avantages de Stockage Blob par rapport à Stockage sur disque est que les
développeurs n’ont pas à penser aux disques ni à les gérer : les données sont
chargées comme objets blob et Azure prend en charge les besoins en stockage
physique.

Le Stockage Blob est idéal pour ce qui suit :

• Mise à disposition d’images ou de documents directement dans un


navigateur.
• Stockage de fichiers pour un accès distribué.
• Diffusion en continu de vidéo et d’audio.
• Stockage de données pour la sauvegarde et la restauration, la
récupération d’urgence et l’archivage.
• Stockage des données pour l’analyse par un service local ou hébergé par
Azure.
• Stockage jusqu’à 8 To de données pour les machines virtuelles.

Vous stockez les objets blob dans des conteneurs, qui vous permettent d’organiser
vos objets blob en fonction des besoins de votre entreprise.

Le diagramme suivant illustre la façon dont vous pouvez utiliser les comptes, les
conteneurs et les objets Blob Azure.

Unité suivante: Notions de base d’Azure Files

Notions de base d’Azure Files


Effectué100 XP
• 4 minutes

Azure Files offre des partages de fichiers complètement managés dans le cloud, accessibles
via les protocoles Server Message Block et Network File System (préversion) standard. Les
partages de fichiers Azure peuvent être montés simultanément via des déploiements cloud ou
locaux de Windows, Linux et macOS. Les applications exécutées dans les machines virtuelles
ou services cloud Azure peuvent monter un partage de stockage de fichiers pour accéder à des
données de fichiers, tout comme une application de bureau peut monter un partage SMB
classique. Un nombre illimité de machines virtuelles ou de rôles Azure peuvent monter le
partage de stockage de fichiers et y accéder simultanément. Voici quelques exemples de
scénarios d’usage classiques : partage de fichiers, de données de diagnostic ou de données
d’application partout dans le monde.
Utilisez Azure Files dans les cas suivants :

• Par exemple, de nombreuses applications locales utilisent les partages de


fichiers. Azure Files permet de migrer plus facilement les applications qui
partagent des données vers Azure. Si vous montez le partage de fichiers
Azure sur la même lettre de lecteur que celle utilisée par l’application
locale, la partie de votre application qui accède au partage de fichiers
doit fonctionner avec peu ou pas de modifications.
• Stockez les fichiers de configuration sur un partage de fichiers et
accédez-y à partir de plusieurs machines virtuelles. Les outils et utilitaires
utilisés par plusieurs développeurs d’un groupe peuvent être stockés sur
un partage de fichiers, en veillant à ce que chacun puisse les trouver et à
ce qu’ils utilisent la même version.
• Écrivez des données dans un partage de fichiers, puis traitez ou analysez
les données ultérieurement. Par exemple, vous pouvez faire cela avec les
journaux de diagnostic, les métriques et les vidages sur incident.

L’illustration suivante montre Azure Files, qui permet de partager des données entre
deux emplacements géographiques. Azure Files garantit que les données sont
chiffrées au repos, et le protocole SMB garantit que les données sont chiffrées en
transit.
Contrairement aux fichiers présents sur un partage de fichiers d’entreprise, Azure Files
vous permet d’accéder aux fichiers de n’importe où dans le monde à l’aide d’une URL
pointant vers ces fichiers. Vous pouvez également utiliser des jetons de signature
d’accès partagé (SAS) pour autoriser l’accès à une ressource privée pour une durée
spécifique.

Voici un exemple d’URI de SAS de service, montrant l’URI de la ressource et le jeton


de la SAS :

Unité suivante: Comprendre les niveaux d’accès au


blob
Comprendre les niveaux d’accès au blob
Effectué100 XP

• 4 minutes

Les données stockées dans le cloud peuvent croître à un rythme exponentiel. Pour gérer les
coûts liés à vos besoins de stockage en pleine expansion, il est utile d’organiser vos données
selon des attributs tels que la fréquence d’accès et la période de rétention prévue. Les données
stockées dans le cloud peuvent être différentes selon le mode de génération, de traitement et
d’accès tout au long de leur durée de vie. Certaines données sont activement sollicitées et
modifiées tout au long de leur durée de vie. Certaines sont fréquemment sollicitées au début
de leur durée de vie, puis les accès se raréfient considérablement à mesure qu’elles deviennent
plus anciennes. D’autres sont inactives dans le cloud dès le départ et sont peu, voire pas
sollicitées après avoir été stockées. Pour répondre à ces différents besoins d’accès, Azure
fournit plusieurs niveaux d’accès, que vous pouvez utiliser pour équilibrer vos coûts de
stockage en fonction de vos besoins d’accès.

Stockage Azure offre différents niveaux d’accès pour votre stockage d’objets blob, ce
qui vous permet de stocker les données d’objet de la manière la plus économique.
Les niveaux d’accès disponibles incluent les suivants :

• Niveau d’accès chaud : Optimisé pour le stockage de données fréquemment


consultées (par exemple, les images de votre site web).
• Niveau d’accès froid : Optimisé pour le stockage de données rarement
sollicitées et stockées pendant au moins 30 jours (par exemple, les factures pour
vos clients).
• Niveau d’accès archive : Approprié pour le stockage de données rarement
sollicitées et stockées pendant au moins 180 jours, sous des conditions de
latence flexibles (par exemple, les sauvegardes à long terme).

Les considérations suivantes s’appliquent aux différents niveaux de stockage :

• Seuls les niveaux d’accès chaud et froid peuvent être définis au niveau du
compte. Le niveau d’accès archive n’est pas disponible au niveau du compte.
• Les niveaux chaud, froid et archive peuvent être définis au niveau de l’objet blob
durant ou après le chargement.
• Les données du niveau d’accès froid peuvent tolérer une disponibilité
légèrement inférieure, mais nécessitent toujours des caractéristiques de
durabilité élevée, de latence de récupération et de débit similaires à celles des
données chaudes. Concernant les données froides, un contrat de niveau de
service (SLA) de disponibilité légèrement inférieure et des coûts d’accès
supérieurs comparés aux données chaudes sont des compromis acceptables
pour des coûts de stockage plus faibles.
• Le stockage Archive stocke des données hors connexion et offre les coûts de
stockage les plus bas, mais également les coûts de réhydratation et d’accès aux
données les plus élevés.

L’illustration suivante montre le choix entre les niveaux d’accès Chaud et Froid dans
un compte de stockage universel.

Unité suivante: Contrôle des connaissances

Récapitulatif
Effectué100 XP
• 2 minutes
Dans ce module, vous avez vu que le Stockage Azure peut fournir à votre entreprise
diverses options pour le stockage de vos données. Par exemple, vous avez vu que la
première étape, lorsque vous utilisez le Stockage Azure, est de créer un compte de
stockage. Une fois cette opération effectuée, Azure vous propose plusieurs options
pour stocker vos données :

• Stockage Blob Azure


• Stockage sur disque Azure
• Stockage Fichier Azure

De plus, Azure fournit plusieurs niveaux d’accès que vous pouvez utiliser pour
équilibrer vos coûts de stockage en fonction de vos besoins métier.

Introduction
Effectué100 XP
• 2 minutes

Du fait des nombreuses acquisitions réalisées au cours de la dernière décennie,


Tailwind Traders utilise diverses technologies analytiques et de base de données.
Alors que l’entreprise amorce la migration des charges de travail de données
existantes et le déploiement de nouvelles charges de travail de données vers Azure,
elle doit déterminer quelle technologie Azure est la plus adaptée pour chaque charge
de travail. Le directeur technique de la société vous a demandé de rechercher les
différentes options de base de données disponibles. Cette recherche permet à votre
entreprise de choisir les options appropriées pour chacun de vos scénarios de
données.

Les applications actuelles doivent être hautement réactives et toujours en ligne. Pour
obtenir une faible latence et une haute disponibilité, les instances de ces applications
doivent être déployées dans des centres de données qui sont proches des
utilisateurs. Les applications doivent répondre en temps réel à des changements
importants d’utilisation aux heures de pointe, stocker des volumes croissants de
données et rendre ces données disponibles aux utilisateurs en quelques
millisecondes. Pour aider votre entreprise à atteindre ses objectifs, les services de
base de données d’Azure sont distribués dans le monde entier, et Azure prend en
charge la plupart des bases de données et des API standard du secteur.
La vidéo suivante fournit une brève présentation de plusieurs services de base de
données qui sont disponibles sur Azure.

Dans ce module, vous allez découvrir quelques-uns des principaux services de base
de données disponibles dans Azure, et vous allez analyser certaines des raisons pour
lesquelles chacun de ces services peut être le bon choix pour répondre à vos besoins
en termes de données.

Objectifs d’apprentissage
Une fois ce module terminé, vous serez en mesure de décrire les avantages et
l’utilisation des éléments suivants :

• Azure Cosmos DB
• Azure SQL Database
• Azure SQL Managed Instance
• Azure Database pour MySQL
• Azure Database pour PostgreSQL
• Azure Synapse Analytics
• Azure HDInsight
• Azure Databricks
• Service Analytique Azure Data Lake

Prérequis
• Vous devez être familiarisé avec les concepts et la terminologie de base
du domaine informatique.
• Vous devez connaître la terminologie et les concepts élémentaires des
bases de données.

Unité suivante: Explorer Azure Cosmos DB

Explorer Azure Cosmos DB


Effectué100 XP
• 4 minutes

Au fil des années, Tailwind Traders a acquis plusieurs petites entreprises. Dans chacune
d’elles, les équipes de développeurs utilisaient différents services de base de données et
diverses API pour traiter les données. Un plan à long terme peut consister à déplacer toutes les
données disparates vers un service de base de données commun. Pour l’instant cependant,
vous aimeriez permettre à chacune de ces équipes de travailler avec un environnement où
elles peuvent utiliser leurs compétences existantes. Heureusement pour vous, Azure Cosmos
DB est là pour vous aider.

Azure Cosmos DB est un service de base de données multimodèle distribué à


l’échelle mondiale. Vous pouvez faire évoluer de façon flexible et indépendante le
débit et le stockage dans un nombre illimité de régions Azure à travers le monde.
Vous pouvez tirer parti d’un accès aux données rapide de moins de dix millisecondes
en utilisant une des nombreuses API répandues. Azure Cosmos DB offre des contrats
SLA complets pour garantir le débit, la latence, la disponibilité et la cohérence.

Azure Cosmos DB prend en charge les données sans schéma, ce qui vous permet de
créer des applications « Always On » très réactives pour pouvoir exploiter des
données en perpétuelle évolution. Vous pouvez utiliser cette fonctionnalité pour
stocker des données qui sont mises à jour et gérées par des utilisateurs du monde
entier.

Par exemple, Tailwind Traders fournit un portail de formation public qui est utilisé par
des clients dans le monde entier pour découvrir les différents outils créés par Tailwind
Traders. Les développeurs de Tailwind Traders gèrent et mettent à jour les données.
L’illustration suivante montre un exemple de base de données Azure Cosmos DB où
sont stockées des données pour le site web du portail de formation de Tailwind
Traders.
Azure Cosmos DB est flexible. Au niveau minimal, Azure Cosmos DB stocke les
données dans un format ARS (atom-record-sequence). Les données sont ensuite
extraites et projetées en tant qu’API, ce que vous spécifiez quand vous créez votre
base de données. Les options possibles incluent SQL, MongoDB, Cassandra, Tables et
Gremlin. Grâce à ce niveau de flexibilité, quand vous migrez les bases de données de
votre entreprise vers Azure Cosmos DB, vos développeurs peuvent choisir d’utiliser
l’API avec laquelle ils sont le plus à l’aise.

Unité suivante: Explorer Azure SQL Database

Explorer Azure SQL Database


Effectué100 XP
• 4 minutes

Azure SQL Database est une base de données relationnelle qui s’appuie sur la dernière
version stable du moteur de base de données Microsoft SQL Server. SQL Database est une
base de données hautes performances, fiable, complètement managée et sécurisée. Vous
pouvez l’utiliser pour créer des applications et des sites web pilotés par les données dans le
langage de programmation de votre choix, sans avoir à gérer l’infrastructure.
Fonctionnalités
Azure SQL Database est un moteur de base de données PaaS (Platform as a service).
Il gère la plupart des fonctions de gestion de base de données, comme la mise à
niveau, la mise à jour corrective, les sauvegardes et la supervision, sans intervention
de l’utilisateur. SQL Database offre une disponibilité de 99,99 %. Les fonctionnalités
PaaS intégrées dans SQL Database vous permettent de vous concentrer sur les
activités d’administration et d’optimisation de base de données spécifiques du
domaine, qui sont critiques pour votre activité. SQL Database est un service
complètement managé qui intègre une haute disponibilité, des sauvegardes et
d’autres opérations de maintenance courantes. Microsoft gère toutes les mises à jour
du code SQL et du code du système d’exploitation. Vous n’avez pas à vous soucier de
la gestion de l’infrastructure sous-jacente.

Vous pouvez créer une couche de stockage de données à haute disponibilité et à


hautes performances pour les applications et les solutions dans Azure. SQL Database
peut être le meilleur choix pour diverses applications cloud modernes car il vous
permet de traiter à la fois des données relationnelles et des structures
non relationnelles, comme des graphiques, des données JSON, des données spatiales
et des données XML.

Vous pouvez utiliser des fonctionnalités avancées de traitement des requêtes, comme
les technologies en mémoire à hautes performances et le traitement intelligent des
requêtes. En fait, les fonctionnalités les plus récentes de SQL Server sont publiées tout
d’abord dans SQL Database, puis dans SQL Server proprement dit. Vous obtenez les
fonctionnalités de SQL Server les plus récentes, sans devoir procéder aux mises à jour
ou aux mises à niveau, testées sur des millions de bases de données.

Migration
Tailwind Traders utilise actuellement plusieurs serveurs locaux exécutant SQL Server,
sur lesquels sont stockées les données pour votre site web public (par exemple les
données client, l’historique des commandes et catalogues de produits). Vos serveurs
locaux exécutant SQL Server fournissent également un stockage de données pour
votre site web du portail de formation interne uniquement. Tailwind Traders utilise le
site web pour les supports de formation des nouveaux employés (comme les
manuels, les informations de certification et les transcriptions des formations).
L’illustration suivante montre les types de données que votre entreprise peut stocker
le site web du portail de formation Azure SQL Database.

Vous pouvez migrer vos bases de données SQL Server existantes avec un temps
d’arrêt minimal en utilisant Azure Database Migration Service. L’Assistant Migration
de données Microsoft peut générer des rapports d’évaluation contenant des
suggestions destinées à vous guider dans les changements à apporter avant
d’effectuer une migration. Une fois que vous avez terminé l’évaluation et les
corrections nécessaires, vous êtes prêt à commencer le processus de migration. Azure
Database Migration Service effectue toutes les étapes nécessaires. Il vous suffit de
changer la chaîne de connexion dans vos applications.

Unité suivante: Exercice - Créer une base de données


SQL
Tailwind Traders a choisi Azure SQL Database pour une partie de sa migration. Vous
avez été chargé de créer la base de données.
Dans cet exercice, vous créez une base de données SQL dans Azure, puis vous
interrogez les données dans cette base de données.

Tâche 1 : Créer la base de données


Dans cette tâche, vous créez une base de données SQL basée sur l’exemple de base
de données AdventureWorksLT.

1. Connectez-vous au portail Azure.


2. Sélectionnez Créer une ressourceBases de donnéesBase de données
SQL. Le volet Créer une base de données SQL Database s’affiche.
3. Entrez les valeurs suivantes pour chaque paramètre.

Paramètre Valeur
Détails du projet
Abonnement Abonnement Concierge
Groupe de ressources [nom du groupe de ressources de bac
Détails de la base de données
Nom de la base de données db1
Serveur Sélectionnez Créer

4. Le volet Créer un serveur de base de données SQL s’affiche.


5. Entrez les valeurs suivantes pour chaque paramètre.

Paramètre Value
Détails du serveur
Nom du serveur sqlservernnnn (remplacer nnnn par des lettres et de
Location (États-Unis) USA Est
Authentification
Méthode d'authentification Utiliser l’authentification SQL
Connexion d’administrateur du serveur sqluser
Mot de passe Pa$$w0rd1234

6. Sélectionnez OK.
7. Renseignez les champs restants dans Créer une base de données
SQL en utilisant les valeurs suivantes.

Paramètre Value
Voulez-vous utiliser un pool élastique SQL ? Non (par défaut)
Calcul + stockage Usage général (p
Redondance du stockage de sauvegarde
Redondance du stockage de sauvegarde Stockage de sauv

8.
9. Sélectionnez Suivant : Réseau et configurez les paramètres suivants
(acceptez les valeurs par défaut pour les champs non spécifiés).

Paramètre Valeur
Connectivité réseau
Méthode de connexion Point de terminaison public

10.
11. Sélectionnez Suivant : Sécurité et pour Activer Azure Defender pour
SQL, choisissez Pas maintenant. Laissez les paramètres restants par
défaut (non configurés).

12. Sélectionnez Suivant : Paramètres supplémentaires, puis configurez les


paramètres suivants.

Paramètre Valeur
Source de données
Données existantes Exemple
Classement de base de données
Classement SQL_Latin1_General_CP1_CI_AS

13.
14. Sélectionnez Vérifier + créer pour valider les entrées de configuration.
15. Sélectionnez Créer pour déployer le serveur et la base de données. La
création du serveur et le déploiement de l’exemple de base de données
peuvent prendre entre 2 et 5 minutes environ. Le volet de déploiement
montre l’état, avec les mises à jour pour chaque ressource créée.
16. Une fois le déploiement effectué, sélectionnez Accéder à la ressource.
Le volet Vue d’ensemble de la base de données SQL db1 montre les
éléments essentiels de la base de données nouvellement déployée.
17. Dans la barre de commandes, sélectionnez Définir le pare-feu du
serveur. La page Paramètres de pare-feu s’affiche.
18. Affectez à Autoriser les services et les ressources Azure à accéder à ce
serveur la valeur Oui en laissant les autres paramètres par défaut.
19. Dans la barre de commandes, sélectionnez Enregistrer pour mettre à
jour les paramètres de pare-feu, puis fermez le volet Paramètres du pare-
feu.

Tâche 2 : Tester la base de données


Dans cette tâche, vous configurez le serveur et vous exécutez une requête SQL.

1. Dans le menu des ressources Azure, sélectionnez Toutes les ressources.


Recherchez et sélectionnez le Type de ressource Base de données SQL,
puis vérifiez que votre nouvelle base de données a été créée. Vous
devrez probablement actualiser la page.

2. Sélectionnez db1, la base de données SQL que vous avez créée.


3. Dans le menu Base de données SQL, sélectionnez Éditeur de requête
(préversion) . Le volet Éditeur de requête (préversion) apparaît.

4. Connectez-vous en tant que sqluser avec le mot de


passe Pa$$w0rd1234.

Vous ne pourrez pas vous connecter, car votre adresse IP doit être
activée dans une règle de pare-feu.

5. Dans le menu de l’Éditeur de requête, sélectionnez Vue d’ensemble (vos


modifications seront perdues) et, dans la barre de commandes,
sélectionnez Définir le pare-feu du serveur. La page Paramètres de
pare-feu s’affiche.
6. Dans la section Adresse IP du client, votre adresse IP s’affiche (vérifiez
qu’il s’agit de la même adresse IP de client que dans l’erreur que vous
avez reçue dans l’étape précédente).
7. Dans la barre de commandes, sélectionnez Ajouter une adresse IP
cliente. Cette opération ajoute un Nom de la règle qui contient votre
adresse IP dans les deux champs Adresse IP de début et Adresse IP de
fin.
8. Dans la barre de commandes, sélectionnez Enregistrer pour enregistrer
cette règle de pare-feu.

9. Sélectionnez votre base de données db1 dans la barre en haut de la page


pour revenir à votre base de données SQL, puis sélectionnez Éditeur de
requête (préversion) dans le menu. page de connexion.
10. Reconnectez-vous en tant que sqluser avec le mot de
passe Pa$$w0rd1234. Cette fois, la connexion doit réussir normalement.
Le déploiement de la nouvelle règle de pare-feu peut prendre quelques
minutes. Si vous obtenez encore une erreur, vérifiez l’adresse IP cliente
dans l’erreur et revenez dans les Paramètres du pare-feu pour ajouter
l’adresse IP cliente appropriée.
11. Une fois que vous êtes connecté, le volet Requête apparaît. Entrez la
requête SQL suivante dans le volet de l’éditeur.

SQLCopier
SELECT TOP 20 pc.Name as CategoryName, p.name as ProductName
FROM SalesLT.ProductCategory pc
JOIN SalesLT.Product p
ON pc.productcategoryid = p.productcategoryid;

12. Sélectionnez Exécuter, puis passez en revue les résultats de la requête


dans le volet Résultats. La requête doit s’exécuter correctement.

Félicitations ! Vous avez créé une base de données SQL dans Azure et interrogé avec
succès les données dans cette base de données.

Unité suivante: Explorer Azure Database pour MySQL

Explorer Azure Database pour MySQL


Effectué100 XP
• 4 minutes

Tailwind Traders gère actuellement plusieurs sites web locaux qui utilisent la pile LAMP
(Linux, Apache, MySQL, PHP). Dans le cadre de la planification de votre stratégie de
migration, les différentes équipes de Tailwind Traders ont étudié les offres de service
disponibles dans Azure. Vous avez déjà découvert que la fonctionnalité Web Apps d’Azure
App Service fournit des fonctionnalités intégrées pour créer des applications web qui utilisent
PHP sur un serveur Linux exécutant Apache. Vous avez été chargé de déterminer si les
exigences de la base de données pour l’équipe de développement web continueront d’être
assurées après la migration vers Azure.
Azure Database pour MySQL est un service de base de données relationnelle dans le
cloud, qui est basé sur le moteur de base de données MySQL Community Edition,
versions 5.6, 5.7 et 8.0. Avec ce service, vous bénéficiez d’un contrat de niveau de
service Azure garantissant une disponibilité de 99,99 %, basé sur un réseau mondial
de centres de données gérés par Microsoft. Votre application est donc opérationnelle
24 heures sur 24, 7 jours sur 7. Avec chaque serveur Azure Database pour MySQL,
vous tirez parti de la sécurité intégrée, d’une tolérance en cas de panne et de la
protection des données que vous seriez de toute manière contraint d’acheter ou de
concevoir, de créer et de gérer. Avec Azure Database pour MySQL, vous pouvez
utiliser la limite de restauration dans le temps pour récupérer un serveur à un état
antérieur, jusqu’à 35 jours.

Azure Database pour MySQL offre :

• Une haute disponibilité intégrée sans coût supplémentaire ;


• Des performances prévisibles et des prix avec paiement à l’utilisation
inclus.
• Mise à l’échelle en fonction des besoins, en quelques secondes.
• Capacité à protéger les données sensibles au repos et en mouvement.
• Sauvegardes automatiques.
• Une sécurité et une conformité de classe Entreprise.

Ces fonctionnalités ne nécessitent presque aucune administration, et toutes sont


fournies sans coût supplémentaire. Elles vous permettent de vous concentrer sur le
développement rapide de vos applications et d’accélérer leur mise sur le marché, au
lieu de passer du temps à gérer des machines virtuelles et leur infrastructure. De plus,
vous pouvez migrer vos bases de données MySQL existantes avec un temps d’arrêt
minimal en utilisant Azure Database Migration Service. Une fois la migration
terminée, vous pouvez continuer à développer votre application avec les outils open
source et la plateforme de votre choix. Vous n’avez pas besoin d’acquérir de
nouvelles compétences.
Azure Database pour MySQL fournit plusieurs niveaux de service, qui offrent chacun
des performances et des capacités différentes pour assurer la prise en charge de
toutes sortes de charges de travail de base de données, qu’elles soient légères ou
lourdes. Vous pouvez créer votre première application sur une petite base de
données pour un faible coût mensuel, puis adapter l’échelle aux besoins de votre
solution. L’évolutivité dynamique permet de répondre en toute transparence à
l’évolution rapide des besoins en ressources de votre base de données. Vous payez
uniquement pour les ressources dont vous avez besoin et seulement quand vous en
avez besoin.

Unité suivante: Explorer Azure Database pour


PostgreSQL

Explorer Azure Database pour


PostgreSQL
Effectué100 XP
• 4 minutes
Dans le cadre de sa stratégie globale des données, Tailwind Traders utilise PostgreSQL depuis
plusieurs années. Vous et votre équipe connaissez probablement déjà les avantages de
PostgreSQL. Vous effectuez une migration en partie pour utiliser Azure Database pour
PostgreSQL, mais vous souhaitez vous assurer que vous aurez les mêmes avantages que sur
votre serveur local avant de passer au cloud.

Azure Database pour PostgreSQL est un service de base de données relationnelle


dans le cloud. Le logiciel serveur est basé sur la version de communauté du moteur
de base de données PostgreSQL open source. Votre connaissance des outils et votre
expertise de PostgreSQL sont applicables quand vous utilisez Azure Database pour
PostgreSQL.

En outre, Azure Database pour PostgreSQL offre les avantages suivants :

• Haute disponibilité intégrée par rapport aux ressources locales. Aucune


configuration, aucune réplication ni aucun coût supplémentaires ne sont
requis pour garantir la disponibilité continue de vos applications.
• Tarification simple et flexible. Vous bénéficiez de performances
prévisibles selon un choix de niveau de tarification sélectionné qui inclut
la mise à jour corrective des logiciels, des sauvegardes automatiques, la
surveillance et la sécurité.
• Scale-up ou scale-down selon les besoins, en quelques secondes. Vous
pouvez faire évoluer le calcul ou le stockage indépendamment en
fonction des besoins pour vous assurer d’adapter votre service à
l’utilisation.
• Sauvegardes automatiques et restauration à un point dans le temps
ajustables jusqu’à 35 jours.
• Sécurité et conformité de niveau entreprise pour protéger les données
sensibles au repos et en mouvement. Cette sécurité couvre le chiffrement
des données sur disque, et le chiffrement SSL des communications entre
le client et le serveur.

Azure Database pour PostgreSQL est disponible dans deux options de


déploiement : Serveur unique et Hyperscale (Citus).
Serveur unique

L’option de déploiement Serveur unique offre :

• Une haute disponibilité intégrée sans coût supplémentaire (SLA de


99,99 %).
• Des performances prévisibles et des prix avec paiement à l’utilisation
inclus.
• Une mise à l’échelle verticale en fonction des besoins, en quelques
secondes.
• La supervision et des alertes pour évaluer votre serveur.
• Une sécurité et une conformité de classe Entreprise.
• Capacité à protéger les données sensibles au repos et en mouvement.
• Des sauvegardes automatiques et une restauration à un point dans le
temps jusqu’à 35 jours ;

Toutes ces fonctionnalités ne nécessitent presque aucune administration, et toutes


sont fournies sans coût supplémentaire. Vous pouvez vous concentrer sur le
développement rapide de vos applications et accélérer leur mise sur le marché, au
lieu de passer du temps à gérer des machines virtuelles et leur infrastructure. Vous
pouvez également continuer à développer votre application avec les outils open
source et la plateforme de votre choix sans avoir besoin d’acquérir de nouvelles
compétences.

L’option de déploiement Serveur unique offre trois niveaux tarifaires : De base, Usage
général et À mémoire optimisée. Chaque niveau offre des fonctionnalités de
ressources différentes pour prendre en charge vos charges de travail de base de
données. Vous pouvez créer votre première application sur une petite base de
données pour un faible coût mensuel, puis adapter l’échelle aux besoins de votre
solution. L’évolutivité dynamique permet de répondre en toute transparence à
l’évolution rapide des besoins en ressources de votre base de données. Vous payez
uniquement pour les ressources dont vous avez besoin et seulement quand vous en
avez besoin.

Hyperscale (Citus)

L’option Hyperscale (Citus) met à l’échelle horizontalement les requêtes sur plusieurs
machines en utilisant le partitionnement. Son moteur de requête parallélise les
requêtes SQL entrantes sur ces serveurs afin de générer des réponses plus rapides sur
les jeux de données volumineux. Elle s’adresse aux applications qui nécessitent des
performances et une mise à l’échelle plus importantes, généralement des charges de
travail qui approchent ou dépassent déjà 100 Go de données.
L’option de déploiement Hyperscale (Citus) prend en charge les applications
multilocataires, l’analytique opérationnelle en temps réel et les charges de travail
transactionnelles à débit élevé. Les applications générées pour PostgreSQL peuvent
exécuter des requêtes distribuées sur Hyperscale (Citus) avec des bibliothèques de
connexions standard et des modifications minimes.

Unité suivante: Explorer Azure SQL Managed


Instance

Explorer Azure SQL Managed Instance


Effectué100 XP
• 4 minutes

Azure SQL Managed Instance est un service de données cloud évolutif qui offre la
compatibilité la plus large avec le moteur de base de données SQL Server, avec tous les
avantages d’une plateforme PaaS entièrement managée. Selon votre scénario, Azure SQL
Managed Instance peut offrir davantage d’options pour vos besoins en base de données.

Fonctionnalités
Comme Azure SQL Database, Azure SQL Managed Instance est un moteur de base de
données PaaS (Platform as a service), ce qui signifie que votre entreprise pourra tirer
parti des meilleures fonctionnalités d’un déplacement de vos données vers le cloud
dans un environnement entièrement managé. Par exemple, votre entreprise n’aura
plus besoin d’acheter et de gérer du matériel onéreux, et vous n’aurez pas à faire face
au travail supplémentaire de gestion de votre infrastructure locale. En revanche, votre
entreprise va bénéficier des fonctionnalités de provisionnement rapide et de mise à
l’échelle des services d’Azure ainsi que des mises à niveau des versions et des mises à
jour correctives automatisées. En outre, vous êtes assuré que vos données sont
toujours présentes quand vous en avez besoin grâce à des fonctionnalités de haute
disponibilité intégrées et à un contrat de niveau de service (SLA) garantissant une
disponibilité de 99,99 %. Vous pouvez aussi protéger vos données avec des
sauvegardes automatisées et une période de conservation des sauvegardes
configurable.

Azure SQL Database et Azure SQL Managed Instance offrent beaucoup de


fonctionnalités identiques ; Azure SQL Managed Instance offre cependant plusieurs
options qui peuvent ne pas être disponibles pour Azure SQL Database. Par exemple,
Tailwind Traders utilise actuellement plusieurs serveurs locaux exécutant SQL Server,
et ils souhaitent migrer leurs bases de données existantes vers une base de données
SQL qui s’exécute dans le Cloud. Cependant, plusieurs de leurs bases de données
utilisent des caractères cyrilliques pour le classement. Dans ce scénario, Tailwind
Traders doit migrer ses bases de données vers Azure SQL Managed Instance, car
Azure SQL Database utilise seulement le classement par
défaut SQL_Latin1_General_CP1_CI_AS sur le serveur.

Notes

Pour obtenir une liste détaillée des différences entre Azure SQL Database et Azure
SQL Managed Instance, consultez Comparaison des fonctionnalités : Azure SQL
Database et Azure SQL Managed Instance.

Migration
Azure SQL Managed Instance facilite la migration de vos données locales sur SQL
Server vers le cloud avec Azure Database Migration Service (DMS), ou avec la
sauvegarde et la restauration natives. Une fois que vous avez découvert toutes les
fonctionnalités utilisées par votre entreprise, vous devez évaluer les instances de SQL
Server locales que vous pouvez migrer vers Azure SQL Managed Instance pour voir
s’il y a des problèmes bloquants. Une fois que vous avez résolu les éventuels
problèmes, vous pouvez migrer vos données, puis basculer de votre SQL Server local
vers votre instance Azure SQL Managed Instance en changeant la chaîne de
connexion dans vos applications.
Notes

Pour obtenir une description détaillée du processus de migration, consultez Guide de


migration : SQL Server vers SQL Managed Instance

Unité suivante: Explorer l’analytique et le Big Data

Explorer l’analytique et le Big Data


Effectué100 XP
• 4 minutes

Il y a plusieurs années, Tailwind Traders a déployé un nouveau système de suivi GPS


pour tous ses véhicules de livraison. Le nouveau système fournit des données de suivi
en temps réel à votre centre de données principal. Votre directeur technique souhaite
que votre équipe examine plusieurs années de données de suivi afin de déterminer
les tendances. Par exemple, une tendance importante peut être un pic dans les
livraisons autour des fêtes de fin d’année qui nécessiterait l’embauche de personnel
supplémentaire. En demandant une analyse approfondie des données de suivi que
vous avez enregistrées, votre directeur technique cherche à prédire les moments où
des changements seront nécessaires et à prendre de façon proactive les mesures
adaptées pour bien gérer les pics d’activité.

Les données se présentent dans de multiples types de formulaires et de formats. Le


Big Data fait référence à des volumes de données énormes. Dans ce scénario Tailwind
Traders, diverses données sont collectées des capteurs GPS, y compris des
informations de localisation, des données de systèmes météorologiques et de
nombreuses autres sources qui produisent d’énormes quantités de données. Toutes
ces données deviennent de plus en plus difficiles à exploiter efficacement et à servir
de base pour prendre des décisions. Face à de tels gros volumes, les formes
traditionnelles de traitement et d’analyse ne sont plus adaptées.

Des technologies de cluster open source ont été développées au fil du temps pour
tenter de gérer ces grands jeux de données. Microsoft Azure prend en charge un
large éventail de technologies et de services pour fournir des solutions de Big Data et
d’analytique, notamment Azure Synapse Analytics, Azure HDInsight, Azure Databricks
et Azure Data Lake Analytics.

Azure Synapse Analytics

Azure Synapse Analytics (anciennement Azure SQL Data Warehouse) est un service
d’analytique illimité qui réunit l’entreposage de données d’entreprise et l’analytique Big Data.
Vous pouvez interroger les données selon vos conditions, en utilisant des ressources
serverless ou provisionnées à grande échelle. Vous bénéficiez d’une expérience unifiée pour
ingérer, préparer, gérer et délivrer des données pour les besoins immédiats en décisionnel et
en machine learning.

Azure HDInsight

Azure HDInsight est un service d’analytique open source entièrement managé pour les
entreprises. Ce service cloud permet de traiter de gros volumes de données de façon plus
simple, plus rapide et plus économique. Vous pouvez exécuter des frameworks open source
répandus et créer différents types de clusters comme Apache Spark, Apache Hadoop, Apache
Kafka, Apache HBase, Apache Storm et Machine Learning Services. HDInsight convient
également dans un grand nombre de scénarios, comme l’ETL (extraction, transformation et
chargement), l’entreposage de données, le machine learning et l’IoT.

Azure Databricks

Azure Databricks vous aide à extraire des insights de toutes vos données et à créer des
solutions d’intelligence artificielle. Vous pouvez configurer votre environnement Apache
Spark en quelques minutes, puis le mettre à l’échelle automatiquement et travailler en
collaboration sur des projets partagés dans un espace de travail interactif. Azure Databricks
prend en charge Python, Scala, R, Java et SQL, ainsi que des infrastructures et bibliothèques
de science des données comme TensorFlow, PyTorch et scikit-learn.

Service Analytique Azure Data Lake

Azure Data Lake Analytics est un service de travaux analytiques à la demande qui simplifie le
Big Data. Au lieu de déployer, de configurer et d’optimiser le matériel, vous écrivez des
requêtes pour transformer vos données et en extraire des informations pertinentes. Le service
d’analyse peut traiter les travaux instantanément, quelle qu’en soit l’échelle, en définissant le
compteur sur la puissance requise. Vous payez seulement pour vos travaux quand ils sont en
cours d’exécution, ce qui le rend plus rentable.

Unité suivante: Contrôle des connaissances


Résumé
Effectué100 XP
• 2 minutes

Dans ce module, vous avez découvert comment aider Tailwind Traders à migrer ses
charges de travail de base de données vers Microsoft Azure. Vous avez vu comment
Azure SQL Database, Azure Database pour MySQL et Azure Database pour
PostgreSQL peuvent permettre à votre entreprise de migrer des bases de données
SQL Server, MySQL et PostgreSQL existantes vers le cloud. Vous pouvez même le
faire en préservant les compétences en administration des bases de données et en
développement de votre entreprise.

Vous avez également vu comment Azure Cosmos DB fonctionne avec différentes API
répandues, notamment SQL, MongoDB, Cassandra, Tables et Gremlin. Vous pouvez
les utiliser pour migrer vos données vers le cloud, et conserver ou améliorer les
compétences de vos développeurs. Vous avez également découvert comment utiliser
les services d’analytique et de Big Data comme Azure Synapse Analytics, Azure
HDInsight, Azure Databricks et Azure Data Lake Analytics pour analyser de gros
volumes de données.

Introduction
Effectué100 XP
• 1 minute

L’Internet des objets (IoT) établit un pont entre les mondes physique et numérique en
permettant à des appareils dotés de capteurs et d’une connexion Internet de
communiquer avec des systèmes basés sur le cloud par le biais d’Internet.

La société Tailwind Traders voit de nombreuses opportunités d’utiliser les services


Azure IoT dans diverses facettes de ses opérations, du développement de nouveaux
produits à la logistique jusqu’aux points de vente et à la logistique.

Dans ce module, vous allez aider Tailwind Traders à sélectionner l’offre de service
Azure IoT appropriée pour son scénario d’entreprise. En évaluant les services selon un
ensemble de critères de décision, vous allez découvrir ce que font les différents
services, leur spécificité ou leur complémentarité et quand les utiliser.
Objectifs d’apprentissage
À l’issue de ce module, vous pourrez :

• Choisir le service Azure IoT qui répond le mieux à votre scénario


d’entreprise.

Prérequis
• Connaissance des concepts et de la terminologie de base du domaine
informatique
• Une certain connaissance du cloud computing est un plus, mais n’est pas
indispensable.

Unité suivante: Identifier les choix de produits

Identifier les choix de produits


Effectué100 XP
• 7 minutes

IoT permet aux appareils de collecter et de transmettre des informations pour analyse
des données. Les appareils intelligents sont équipés de capteurs qui collectent les
données. Voici quelques capteurs courants capables de mesurer les attributs du
monde physique :

• Capteurs environnementaux de capture des niveaux de température et


d’humidité.
• Scanneurs de codes-barres, de codes QR ou de reconnaissance optique
de caractères (OCR).
• Capteurs de géolocalisation et de proximité.
• Capteurs de lumière, de couleurs et infrarouges.
• Capteurs acoustiques et ultrasoniques.
• Capteurs de mouvement et de contact.
• Accéléromètres et capteurs d’inclinaison.
• Capteurs détectant la fumée, le gaz et l’alcool.
• Capteurs d’erreur permettant de détecter un problème avec l’appareil.
• Capteurs mécaniques de détection d’anomalies et de déformations.
• Capteurs de débit, de niveau et de pression pour mesurer les gaz et les
liquides.
À l’aide des services Azure IoT, des appareils équipés de tels capteurs et capables de
se connecter à Internet peuvent envoyer un message contenant des relevés à un
point de terminaison spécifique dans Azure. Les données de ce message sont alors
collectées, agrégées et susceptibles d’être converties en rapports et en alertes. Tous
les appareils peuvent également être mis à jour avec un nouveau microprogramme
pour résoudre des problèmes ou bénéficier de nouvelles fonctionnalités. Pour cela,
des mises à jour logicielles sont envoyées à chaque appareil à partir des services
Azure IoT.

Supposons que votre entreprise fabrique et fait fonctionner des distributeurs


automatiques réfrigérés intelligents. Quels types d’informations souhaitez-vous
surveiller ? Vous souhaiterez peut-être vérifier que :

• Chaque distributeur fonctionne sans erreur.


• Les distributeurs n’ont pas été compromis.
• Les systèmes de réfrigération des machines gardent leur contenu dans
une certaine plage de températures.
• Vous êtes averti quand l’inventaire d’un produit arrive à un certain
niveau, ce qui vous permet de réapprovisionner les distributeurs.

Si le matériel de vos distributeurs automatiques peut collecter et envoyer ces


informations dans un message standard, les messages envoyés par chaque machine
peuvent être reçus, stockés, organisés et affichés à l’aide des services Azure IoT.

Les données collectées à partir de ces appareils peuvent être combinées avec les
services Azure AI pour vous aider à prédire :

• Quand les distributeurs ont besoin d’une maintenance proactive.


• Quand les stocks doivent être reconstitués et quand de nouveaux
produits doivent être commandés auprès de fournisseurs.

De nombreux services peuvent faciliter et orienter le développement de solutions IoT


de bout en bout.

Azure IoT Hub


Azure IoT Hub est un service managé, hébergé dans le cloud et qui agit en tant que
hub central de messages pour la communication bidirectionnelle entre votre
application IoT et les appareils gérés. Vous pouvez utiliser Azure IoT Hub pour créer
des solutions IoT avec des communications fiables et sécurisées entre des millions
d’appareils IoT et un back-end de solutions hébergées dans le cloud. Vous pouvez
connecter quasiment tout appareil à votre hub IoT.
Le service IoT Hub prend en charge les communications de l’appareil au cloud et du
cloud à l’appareil. Il prend également en charge plusieurs modèles de messagerie tels
que la télémétrie appareil-à-cloud, le chargement de fichiers à partir d’ppareils et les
méthodes de demande-réponse pour contrôler vos appareils à partir du cloud.
Quand un hub IoT reçoit un message d’un appareil, il peut router ce message vers
d’autres services Azure.

D’un point de vue cloud-à-appareil, IoT Hub prend en charge les activités
de commande et contrôle. Autrement dit, vous pouvez contrôler à distance vos
appareils connectés en mode manuel ou automatisé. Vous pouvez ainsi demander à
l’appareil d’ouvrir des vannes, définir des températures cibles, redémarrer des
appareils bloqués, etc.

Le monitoring IoT Hub vous aide à préserver l’intégrité de votre solution en


effectuant le suivi d’événements tels que la création d’appareils, les échecs des
appareils et les connexions d’appareils.

Azure IoT Central


Azure IoT Central s’appuie sur IoT Hub et ajoute un tableau de bord vous permettant
de vous connecter à vos appareils IoT, de les surveiller et de les gérer. L’interface
utilisateur visuelle permet de connecter rapidement de nouveaux appareils et de
surveiller aisément leur envoi de messages de télémétrie ou d’erreur. Vous pouvez
surveiller les performances globales collectivement sur tous les appareils et
configurer des alertes pour envoyer des notifications quand un appareil spécifique
nécessite une maintenance. Enfin, vous pouvez pousser des mises à jour de
microprogramme vers l’appareil.

Pour vous permettre d’être rapidement opérationnel, IoT Central fournit des modèles
de démarrage pour des scénarios courants dans différents secteurs tels que la vente
au détail, l’énergie, la santé et l’administration. Vous personnalisez ensuite les
modèles de démarrage de conception directement dans l’interface utilisateur en
choisissant parmi les thèmes existants ou en créant votre propre thème personnalisé,
en définissant le logo, etc. IoT Central vous permet d’adapter les modèles de
démarrage aux données spécifiques envoyées par vos appareils, aux rapports que
vous souhaitez consulter et aux alertes que vous souhaitez envoyer.
Vous pouvez utiliser l’interface utilisateur pour contrôler vos appareils à distance.
Cette fonctionnalité vous permet d’envoyer (push) une mise à jour logicielle ou de
modifier une propriété de l’appareil. Vous pouvez ajuster la température souhaitée
pour l’un ou l’ensemble de vos distributeurs automatiques réfrigérés, directement à
partir d’IoT Central.

Un élément essentiel d’IoT Central est l’utilisation de modèles d’appareil. Un modèle


d’appareil vous permet de connecter un appareil sans aucun codage côté service. IoT
Central utilise ces modèles pour créer les tableaux de bord, les alertes, etc. Les
développeurs d’appareils doivent encore créer du code à exécuter sur les appareils et
ce code doit correspondre aux spécifications des modèles d’appareil.

Azure Sphere
Azure Sphere crée une solution IoT hautement sécurisée de bout en bout pour les
clients, qui englobe tout, du matériel et du système d’exploitation de l’appareil,
jusqu’à la méthode sécurisée d’envoi de messages de l’appareil au hub de messages.
Azure Sphere intègre des fonctionnalités de communication et de sécurité pour les
appareils connectés à Internet.

Azure Sphere se compose de trois parties :

• La première partie, qui correspond au microcontrôleur (MCU) Azure


Sphere, est chargée de traiter le système d’exploitation et les signaux des
capteurs attachés. L’image suivante représente l’unité MCU du kit de
développement Azure Sphere MT3620 de Seeed, l’un des différents kits
de démarrage disponibles pour le prototypage et le développement
d’applications Azure Sphere.
• La deuxième partie est un système d’exploitation Linux personnalisé qui
gère la communication avec le service de sécurité et peut exécuter les
logiciels du fournisseur.
• La troisième partie est le service de sécurité Azure Sphere, également
appelé AS3. Sa tâche consiste à s’assurer que l’appareil n’a pas été
compromis de manière malveillante. Quand l’appareil tente de se
connecter à Azure, il doit d’abord s’authentifier (appareil par appareil) à
l’aide d’une authentification basée sur les certificats. S’il s’authentifie
correctement, AS3 vérifie que l’appareil n’a pas été falsifié. Une fois qu’il a
établi un canal de communication sécurisé, AS3 envoie (push) à l’appareil
n’importe quelle mise à jour logicielle développée par le client
(approuvée) ou par le système d’exploitation.

Une fois que le système Azure Sphere a validé l’authenticité de l’appareil et l’a
authentifié, l’appareil peut interagir avec d’autres services Azure IoT, en envoyant des
informations de télémétrie ou d’erreur.

Unité suivante: Analyser les critères de décision

Analyser les critères de décision


Effectué100 XP
• 3 minutes

Dans cette unité, nous allons analyser les critères utilisés par les experts quand ils
décident du service IoT à utiliser pour des besoins métier spécifiques. La
compréhension de ces critères peut également vous aider à mieux comprendre les
différences subtiles entre les différents produits.

Est-il essentiel de s’assurer que l’appareil ne soit pas


compromis ?
Pas dans tous les cas. Les fabricants et les clients préfèrent ne pas avoir leurs
appareils compromis et utilisés à des fins néfastes. Toutefois, dans certains cas, il est
plus important de garantir l’intégrité que dans d’autres. Par exemple, un distributeur
automatique de billets comparé à une machine à laver. Lorsque la sécurité est un
facteur essentiel de la conception d’un produit, la meilleure option est Azure Sphere,
qui offre une solution complète de bout en bout pour les appareils IoT.
Comme nous l’avons vu dans l’unité précédente, Azure Sphere garantit un canal
sécurisé de communication entre l’appareil et Azure en contrôlant tout, du matériel
jusqu’au processus d’authentification, en passant par le système d’exploitation. Cela
garantit que l’intégrité de l’appareil n’est pas compromise. Une fois qu’un canal
sécurisé est établi, des messages peuvent être reçus de l’appareil en toute sécurité, et
des messages ou des mises à jour logicielles peuvent être envoyés à distance à
l’appareil.

Un tableau de bord est-il nécessaire pour la création


de rapports et la gestion ?
La décision que vous devez prendre ensuite concerne le niveau de services que votre
solution IoT doit garantir. Si vous souhaitez simplement vous connecter à vos
appareils distants pour recevoir des données de télémétrie et envoyer (push)
occasionnellement des mises à jour, et que vous n’avez pas besoin de fonctionnalités
de création de rapports, vous préférerez peut-être implémenter Azure IoT Hub. Vos
programmeurs peuvent toujours créer un ensemble personnalisé d’outils et de
rapports de gestion à l’aide de l’API RESTful d’IoT Hub.

Toutefois, si vous souhaitez disposer d’une interface utilisateur personnalisable


prédéfinie qui vous permet d’afficher et de contrôler vos appareils à distance, vous
préférerez peut-être commencer par IoT Central. Avec cette solution, vous pouvez
contrôler un seul appareil ou tous les appareils à la fois, et vous pouvez configurer
des alertes pour certaines conditions, par exemple la défaillance d’un appareil.

IoT Central s’intègre avec de nombreux produits Azure différents, dont IoT Hub, pour
créer un tableau de bord avec des rapports et des fonctionnalités de gestion. Ce
tableau de bord est basé sur des modèles de démarrage pour des scénarios courants
industriels et d’utilisation. Vous pouvez utiliser le tableau de bord généré par le
modèle de démarrage, en l’état, ou le personnaliser en fonction de vos besoins. Vous
pouvez avoir plusieurs tableaux de bord ciblant un large éventail d’utilisateurs.

Unité suivante: Utiliser IoT Hub

Utiliser IoT Hub


Effectué100 XP
• 4 minutes
L’équipe de direction de Tailwind Traders a décidé de s’associer à un concepteur
d’appliances de pointe pour créer une marque haut de gamme exclusive qui promet
un contrat de service de maintenance préemptive. Cette fonctionnalité unique
différencie les appliances de Tailwind Traders sur un marché compétitif très
encombré. Elle rend également la marque lucrative en introduisant un abonnement
annuel. Pour créer une image de marque forte, les appliances envoient des
informations de télémétrie à un emplacement centralisé où les données peuvent être
analysées et où la maintenance peut être planifiée.

Les appareils ne nécessitent pas de contrôle à distance. Ils envoient simplement leurs
données de télémétrie pour analyse et maintenance proactive.

Comme Tailwind Traders a déjà un logiciel en place pour gérer les demandes de
maintenance d’appliances, l’entreprise souhaite intégrer toutes ces fonctionnalités
dans ce système existant.

Quel service choisir ?


Nous allons appliquer les critères de décision mentionnés dans l’unité précédente.

Premièrement, est-il essentiel de s’assurer que l’appareil ou, dans ce cas, chaque
appliance, n’est pas compromis ? Il est préférable que les appareils ne soient pas
compromis, mais cela n’est pas essentiel. Le pire qui est susceptible de se produire
est qu’un hacker lise la température actuelle du réfrigérateur du client ou le nombre
de cycles de lavage effectués par la machine à laver.

Même si le client appelle et signale un comportement étrange avec son appliance, un


technicien peut réinitialiser ou remplacer le microcontrôleur. Cela ne justifie
probablement pas la dépense supplémentaire ou les ressources d’ingénierie qui
peuvent être nécessaires à l’utilisation d’Azure Sphere.

Deuxième critère de décision : un tableau de bord est-il nécessaire pour la création


de rapports et la gestion ? Dans ce cas, non. Tailwind Traders souhaite intégrer les
données de télémétrie et toutes les autres fonctionnalités dans un système de
demande de maintenance existant. Dans ce cas, Azure IoT Central n’est pas
obligatoire.

Ainsi, conformément aux réponses apportées aux critères de décision, Azure IoT Hub
est le meilleur choix pour ce scénario.

Pourquoi ne pas utiliser Azure IoT Central ?


Azure IoT Central fournit un tableau de bord qui permet aux entreprises de gérer les
appareils IoT individuellement et de manière agrégée, d’afficher des rapports et de
configurer des notifications d’erreur par le biais d’une interface graphique utilisateur.
Toutefois, dans ce scénario, Tailwind Traders souhaite intégrer les données de
télémétrie collectées et d’autres fonctionnalités d’analyse dans une application
logicielle existante. En outre, les appliances de l’entreprise collectent des données par
le biais de capteurs et n’ont pas besoin de mettre à jour à distance de paramètres ni
de logiciels. L’entreprise n’a donc pas besoin d’Azure IoT Central.

Pourquoi ne pas utiliser Azure Sphere ?


Azure Sphere fournit une solution complète pour des scénarios où la sécurité est
essentielle. Dans ce scénario, la sécurité est préférable, mais elle n’est pas essentielle.
Les appliances ne peuvent pas être mises à jour avec de nouveaux logiciels à
distance. Les capteurs signalent uniquement les données d’utilisation. Azure Sphere
n’est donc pas nécessaire.

Utiliser IoT Central


Effectué100 XP
• 4 minutes

Tailwind Traders est propriétaire d’un parc de véhicules de livraison pour le transport
des produits des entrepôts jusqu’aux centres de distribution et des centres de
distribution jusqu’aux magasins et aux domiciles des clients. L’entreprise recherche
une solution logistique complète qui accepte les données envoyées d’un ordinateur
embarqué dans un véhicule et les convertisse en informations exploitables.

En outre, la cargaison peut être assortie de capteurs d’un fournisseur tiers pour
collecter et surveiller les conditions environnantes. Ces capteurs peuvent collecter des
informations telles que la température, le taux d’humidité, l’inclinaison, les chocs, la
lumière et la localisation d’une cargaison.

Voici quelques objectifs de ce système logistique :

• Supervision de la cargaison à l’aide d’un suivi et d’un traçage en temps


réel
• Intégrité de la cargaison à l’aide d’une supervision en temps réel des
conditions ambiantes
• Sécurité de la cargaison en lien avec le vol, la perte ou les dommages
• Délimitation géographique, optimisation des itinéraires, gestion des
flottes et analytique des véhicules
• Prévisions concernant le départ et l’arrivée de la cargaison
La société préférerait une solution préconçue pour collecter les données des capteurs
et des ordinateurs embarqués dans les véhicules, et fournir une interface graphique
utilisateur qui présente des rapports sur la cargaison et les véhicules.

Quel service choisir ?


Une fois encore, appliquez les critères de décision que vous avez appris
précédemment.

Premièrement, est-il essentiel de s’assurer que l’appareil ou, dans ce cas, chaque
appliance, n’est pas compromis ? Dans l’idéal, chaque capteur ou ordinateur
embarqué doit être insensible aux interférences. Toutefois, la sécurité n’a pas été
mentionnée comme un élément essentiel à ce stade. Les capteurs et les ordinateurs
embarqués sont fabriqués par un fournisseur tiers et, à moins qu’elle souhaite
fabriquer ses propres appareils (ce qui n’est pas le cas), Tailwind Traders est obligée
d’utiliser le matériel déjà disponible.

Deuxièmement, Tailwind Traders a-t-elle besoin d’un tableau de bord pour la création
de rapports et la gestion ? Oui, un tableau de bord est exigé pour la création de
rapports et la gestion.

Conformément aux réponses apportées aux critères de décision, Azure IoT Central
constitue le meilleur choix pour ce scénario. Le modèle de démarrage de logistique
connectée fournit un tableau de bord prêt à l’emploi qui répond à la plupart de ces
exigences. Ce tableau de bord est préconfiguré pour présenter l’activité des
opérations logistiques critiques. De ce fait, il peut être nécessaire de le reconfigurer
pour supprimer les passerelles de transport maritime, mais la fonctionnalité de
passerelle de livraison par camions correspond quasiment à ce dont Tailwind Traders
a besoin.

Pourquoi ne pas utiliser IoT Hub ?


Si la société Tailwind Traders utilisait IoT Central, la société utiliserait en fait un hub
IoT préconfiguré pour ses besoins spécifiques par le modèle de démarrage de
logistique connectée. Sinon, elle aurait besoin d’effectuer beaucoup de
développement personnalisé pour élaborer ses propres tableaux de bord et systèmes
de gestion basés sur le cloud en plus d’Azure IoT Hub.

Pourquoi ne pas utiliser Azure Sphere ?


Azure Sphere fournit une solution complète pour des scénarios où la sécurité est
essentielle. Dans ce scénario, la sécurité est idéale, mais ne constitue pas une priorité
essentielle. Bien qu’Azure Sphere offre une solution de bout en bout qui inclut le
matériel, Tailwind Traders utilise le matériel d’un fournisseur tiers. Ainsi, dans ce
scénario, Azure Sphere n’est pas nécessaire.

Unité suivante: Utiliser Azure Sphere

Utiliser Azure Sphere


Effectué100 XP
• 4 minutes

Tailwind Traders souhaite mettre en œuvre une solution de points de vente sans
contact à libre-service. Ces terminaux à libre-service doivent être, avant tout,
sécurisés. Chaque terminal doit être insensible à tout code malveillant susceptible de
créer des transactions frauduleuses, d’obliger l’entreprise à désactiver ses systèmes
pendant une période de ventes soutenues ou d’envoyer des données
transactionnelles à une organisation d’espionnage. Les terminaux doivent également
signaler des informations vitales sur l’état d’intégrité de la société et permettre des
mises à jour sécurisées de ses logiciels à distance.

Après avoir passé en revue de nombreuses solutions possibles dans le cadre d’un
processus d’appel d’offres, Tailwind Traders décide qu’elle a besoin de fonctionnalités
que les fournisseurs doivent encore mettre en œuvre. Au lieu d’utiliser une solution
existante, la société décide de faire appel à une société d’ingénierie de pointe
spécialisée dans les solutions IoT. Cette approche permet à la société d’élaborer un
terminal sécurisé de façon unique, qui lui fournit une future plateforme de vente au
détail.

Bien que la société se concentre principalement sur le terminal lui-même, Tailwind


Traders se rend compte qu’elle souhaite une solution qui puisse l’aider à comprendre
toutes les données qui seront générées par ces terminaux dans tous ses magasins.
Elle souhaite également un moyen simple d’envoyer (push) les mises à jour logicielles
à ses terminaux.

Quel service choisir ?


Là encore, appliquez les critères de décision comme vous l’avez déjà fait.
Premièrement, est-il essentiel de s’assurer que l’appareil ou, dans ce cas, chaque
terminal de point de vente, n’est pas compromis ? Absolument. La sécurité des
appareils constitue l’exigence principale.

Ensuite, Tailwind Traders a-t-elle besoin d’un tableau de bord pour la création de
rapports et la gestion ? Oui, l’entreprise exige un tableau de bord de gestion et de
création de rapports.

Ainsi, conformément aux réponses apportées aux critères de décision, l’entreprise


d’ingénierie IoT créera une plateforme en s’appuyant sur Azure IoT Central et Azure
Sphere. Même si aucun modèle de démarrage spécifique ne soit disponible dans
Azure IoT Central pour ce scénario, il est aisé d’en adapter un pour prendre en charge
les types de rapports que la société souhaite voir et les opérations de gestion qu’elle
souhaite effectuer.

Pourquoi ne pas choisir IoT Hub ?


En fait, en utilisant IoT Central, Tailwind Traders utiliserait également Azure IoT Hub
en arrière-plan.

Unité suivante: Contrôle des connaissances

Introduction
Effectué100 XP
• 1 minute

L’intelligence artificielle (IA) est une catégorie de traitement informatique qui adapte
et améliore sa capacité de prise de décision au fil du temps en fonction de ses succès
et de ses échecs. Microsoft Azure offre plusieurs solutions d’intelligence artificielle à
choisir en fonction du problème que vous essayez de résoudre.

Tailwind Traders, une société traditionnelle de vente au détail en magasins qui a


connu une croissance explosive de ses ventes en ligne, est confrontée à des défis
passionnants, car elle cherche à améliorer ses opérations d’e-commerce et le
fonctionnement de ses services. Les services d’IA de Microsoft peuvent être une
bonne solution pour une des nouvelles initiatives de l’entreprise, mais Tailwind
Traders a besoin d’aide pour mieux comprendre quel produit est la meilleure option
pour chaque scénario.

Dans ce module, vous allez découvrir les divers services d’IA de Microsoft et vous
allez analyser les critères de décision que les experts utilisent pour sélectionner le
service approprié pour un scénario donné.

Objectifs d’apprentissage
À l’issue de ce module, vous pourrez :

• Choisir les services d’IA Azure qui répondent le mieux aux défis propres à
votre entreprise.

Prérequis
• Connaissance du concept des interfaces de programmation d’applications,
ou API. Les programmeurs utilisent des API pour interagir avec les
fonctionnalités contenues dans les bibliothèques de codes.
• Connaissance des concepts supplémentaires suivants :
o API web : API accessible à partir des serveurs qui acceptent les
demandes via HTTP.
o Point de terminaison d’API web : emplacement de la
bibliothèque de codes.
o API REST : conception du style d’URL utilisé pour exposer les
fonctionnalités de l’API.

Unité suivante: Identifier les choix de produits

Identifier les choix de produits


Effectué100 XP
• 5 minutes

L’IA est une classification très large de traitement informatique qui permet à un
système logiciel de percevoir son environnement et d’effectuer des actions qui
maximisent ses chances d’atteindre ses objectifs. Un des objectifs de l’IA est de créer
un système logiciel capable de s’adapter ou d’apprendre quelque chose par lui-
même sans être explicitement programmé pour cela.

Il existe deux approches de base de l’IA. La première consiste à utiliser un système


de deep learning (apprentissage profond) qui est modélisé sur le réseau neuronal du
cerveau humain, ce qui lui permet de découvrir, d’apprendre et de s’améliorer via son
expérience.

La deuxième approche est le machine learning, une technique de science des


données qui utilise des données existantes pour entraîner un modèle, le tester, puis
appliquer ce modèle à de nouvelles données afin de prévoir des comportements, des
tendances et des résultats futurs.

Les prévisions ou prédictions générées par le Machine Learning peuvent rendre les
applications et les appareils plus intelligents. Par exemple, quand vous effectuez des
achats en ligne, le machine learning alimente des systèmes de recommandation de
produits, qui proposent des produits supplémentaires en fonction de ce que vous
avez acheté et de ce qu’ont acheté d’autres acheteurs qui ont acheté des articles
similaires par le passé.

Le machine learning est également utilisé pour détecter les fraudes par carte de
crédit via l’analyse de chaque nouvelle transaction et en utilisant ce qu’il a appris de
l’analyse de millions de transactions frauduleuses.

Pratiquement tous les appareils ou systèmes logiciels qui collectent des données
textuelles, visuelles et audio pourraient alimenter un modèle de machine learning, qui
rend cet appareil ou ce système logiciel plus intelligent quant à son fonctionnement
dans le futur.

Choix de produits Azure


Globalement, il existe trois offres majeures de produits de Microsoft, chacune ayant
été conçue pour un public et un cas d’utilisation spécifiques. Chaque option offre un
ensemble varié d’outils, de services et d’API de programmation. Dans ce module,
nous ne présenterons que succinctement les fonctionnalités incluses dans les options.

Azure Machine Learning

Azure Machine Learning est une plateforme permettant d’effectuer des prédictions.
Elle comprend des outils et des services qui vous permettent de vous connecter à des
données pour entraîner et tester des modèles pour en trouver un qui prédit le plus
précisément un résultat futur. Après avoir exécuté des expériences pour tester le
modèle, vous pouvez le déployer et l’utiliser en temps réel via un point de
terminaison d’API web.

Avec Azure Machine Learning, vous pouvez :

• Créer un processus qui définit comment obtenir des données, comment


gérer les données manquantes ou incorrectes, comment fractionner les
données en un jeu d’entraînement ou un jeu de test, et mettre les
données à la disposition du processus d’entraînement.
• Entraîner et évaluer des modèles prédictifs en utilisant des outils et des
langages de programmation familiers aux scientifiques des données.
• Créer des pipelines qui définissent où et quand exécuter les expériences
de calcul intensif nécessaires pour attribuer des scores aux algorithmes
en fonction des données d’entraînement et de test.
• Déployer l’algorithme le plus performant sous forme d’API sur un point
de terminaison pour qu’il puisse être consommé en temps réel par
d’autres applications.

Choisissez Azure Machine Learning quand vos scientifiques des données ont besoin
d’un contrôle total sur la conception et l’entraînement d’un algorithme avec vos
propres données. La vidéo suivante décrit la procédure de base à suivre pour
configurer un système de Machine Learning.

Azure Cognitive Services

Azure Cognitive Services fournit des modèles de machine learning prédéfinis qui
permettent aux applications de voir, d’entendre, de parler, de comprendre et même
de commencer à raisonner. Utilisez Azure Cognitive Services pour résoudre des
problèmes généraux, tels que l’analyse de texte pour y rechercher l’expression de
sentiments, ou l’analyse d’images pour reconnaître des objets ou des visages. Pour
utiliser ces services, vous n’avez pas besoin de connaissances spéciales en matière de
Machine Learning ou de science des données. Les développeurs accèdent à Azure
Cognitive Services via des API et peuvent facilement inclure ces fonctionnalités avec
seulement quelques lignes de code.

Alors qu’Azure Machine Learning nécessite d’apporter vos propres données et


d’entraîner les modèles sur ces données, Azure Cognitive Services fournit dans la
plupart des cas des modèles pré-entraînés qui vous permettent d’importer vos
données en direct pour en tirer des prédictions.

Azure Cognitive Services comprend les catégories suivantes :


• Services de langage : Ils permettent à vos applications de traiter le
langage naturel avec des scripts prédéfinis, d’évaluer les sentiments et
d’apprendre à reconnaître ce que veulent les utilisateurs.
• Services Speech : Ils convertissent un discours parlé en texte, et du texte
en un discours parlé à consonance naturelle. Traduisez d’une langue à
une autre, et activez la vérification et la reconnaissance de l’orateur.
• Services de vision : Ils ajoutent des fonctionnalités de reconnaissance et
d’identification lors de l’analyse d’images, de vidéos et d’autres contenus
visuels.
• Services de décision : Ils ajoutent des recommandations personnalisées
pour chaque utilisateur, qui s’améliorent automatiquement à chaque
utilisation. Ils modèrent le contenu pour surveiller et supprimer du
contenu choquant ou potentiellement dangereux, et détectent les
anomalies dans vos données de série chronologique.

Azure Bot Service

Azure Bot Service et Bot Framework sont des plateformes permettant de créer des
agents virtuels qui comprennent et répondent à des questions de la même façon
qu’un humain. Azure Bot Service est un peu différent d’Azure Machine Learning et
d’Azure Cognitive Services en ce qu’il a un cas d’usage spécifique. À savoir, il crée un
agent virtuel capable de communiquer intelligemment avec les humains. En arrière-
plan, le bot que vous créez utilise d’autres services Azure, comme Azure Cognitive
Services, pour comprendre ce que leurs homologues humains demandent.

Les bots peuvent être utilisés pour transférer des tâches simples et répétitives,
comme effectuer une réservation pour un dîner ou collecter des informations de
profil, à des systèmes automatisés qui peuvent ne plus nécessiter d’intervention
humaine directe. Les utilisateurs discutent avec un bot via du texte écrit, des cartes
interactives et la parole. Une interaction avec un bot peut se composer d’une
question-réponse rapide, ou il peut s’agir d’une conversation plus sophistiquée
fournissant un accès à des services de manière plus intelligente.

Unité suivante: Analyser les critères de décision

Analyser les critères de décision


Effectué100 XP
• 4 minutes
Dans cette unité, vous allez analyser les critères que les experts utilisent pour choisir
un service d’IA pour un besoin spécifique de l’entreprise. La compréhension de ces
critères peut également vous aider à mieux comprendre les différences subtiles entre
les produits.

Créez-vous un agent virtuel qui s’interface avec des


humains via le langage naturel ?
Utilisez Azure Bot Service quand vous devez créer un agent virtuel pour interagir avec
des humains en langage naturel. Azure Bot Service intègre des sources de
connaissances, le traitement en langage naturel et les facteurs de forme pour
favoriser les interactions entre les différents canaux.

Les solutions Azure Bot Service s’appuient généralement sur d’autres services d’IA
pour des choses comme la compréhension du langage naturel ou même la traduction
pour fournir des réponses dans la langue préférée du client.

Avant de commencer à créer une expérience de conversation personnalisée avec Bot


Service, il peut être judicieux de rechercher des solutions prédéfinies et sans code qui
couvrent des scénarios courants. Par exemple, vous pouvez utiliser QnA Maker,
disponible sur la Place de marché Azure, pour créer, entraîner et publier un bot
sophistiqué capable d’utiliser des pages de FAQ, des sites web de support technique,
des manuels de produit, des documents SharePoint ou du contenu éditorial via une
interface utilisateur facile à utiliser ou via des API REST.

De même, Power Virtual Agents s’intègre à Microsoft Power Platform pour vous
permettre d’utiliser des centaines de connecteurs prédéfinis pour l’entrée de
données. Vous pouvez étendre Power Virtual Agents en créant des workflows
personnalisés avec Power Automate et, si vous estimez que l’expérience prête à
l’emploi est trop restrictive, vous pouvez générer des interactions plus complexes
avec Microsoft Bot Framework.

Avez-vous besoin d’un service capable de


comprendre le contenu et la signification d’images
ou de contenus vidéo ou audio, ou capable de
traduire du texte dans une autre langue ?
Utilisez Azure Cognitive Services quand il s’agit de tâches à usage général, comme
effectuer une reconnaissance vocale, intégrer à la recherche ou identifier les objets
dans une image. Azure Cognitive Services est à usage général, ce qui signifie que de
nombreux types de clients peuvent tirer parti du travail que Microsoft a déjà effectué
pour entraîner et tester ces modèles, et les offrir à grande échelle à moindre coût.

Avez-vous besoin de prédire le comportement des


utilisateurs ou de fournir des recommandations
personnalisées aux utilisateurs dans votre
application ?
Le service Personalizer d’Azure Cognitive Services surveille les actions de vos
utilisateurs dans une application. Vous pouvez l’utiliser pour prédire leur
comportement et fournir des expériences pertinentes dès lors qu’il identifie des
modèles d’utilisation. Là encore, vous pouvez capturer et stocker le comportement
des utilisateurs, et créer votre propre solution Azure Machine Learning personnalisée
pour faire cela, mais cette approche nécessiterait un travail et des dépenses
considérables.

Votre application va-t-elle prédire des résultats


futurs en fonction de données d’historique privées ?
Choisissez Azure Machine Learning quand vous avez besoin d’analyser des données
pour prédire des résultats futurs. Par exemple, supposons que vous devez analyser
des années de transactions financières pour découvrir de nouveaux modèles qui
pourraient vous aider à créer de nouveaux produits et services pour les clients de
votre entreprise, puis à proposer ces nouveaux services lors des appels au service
client. Quand vous travaillez avec des données propriétaires, vous avez probablement
besoin de créer un modèle Machine Learning adapté et personnalisé.

Avez-vous besoin de créer un modèle en utilisant vos


propres données ou d’effectuer une tâche différente
de celles listées ci-dessus ?
Utilisez Azure Machine Learning pour une flexibilité maximale. Les scientifiques des
données et les ingénieurs en IA peuvent utiliser les outils qu’ils connaissent bien ainsi
que les données que vous fournissez pour développer des modèles de deep learning
et de machine learning optimisés pour vos besoins spécifiques.
Unité suivante: Utiliser Machine Learning pour des
systèmes d’aide à la décision

Utiliser Machine Learning pour des


systèmes d’aide à la décision
Effectué100 XP
• 3 minutes

Le site web d’e-commerce de Tailwind Traders permet aux clients de parcourir et


d’acheter des articles qui peuvent être livrés ou récupérés au point de vente le plus
proche de leur localisation.

Les membres de l’équipe Marketing sont convaincus qu’il peuvent augmenter les
ventes de façon spectaculaire en suggérant des produits en complément des articles
présents dans le panier de l’acheteur au moment de la commande. Ils pourraient
coder en dur ces suggestions, mais ils estiment qu’une approche plus naturelle serait
d’utiliser les données des ventes des années antérieures ainsi que les nouvelles
tendances d’achats pour décider des produits à montrer à l’acheteur. En outre, les
suggestions pourraient être influencées par la disponibilité des produits, la rentabilité
des produits et d’autres facteurs.

Les experts en science des données de l’équipe Marketing ont déjà effectué une
analyse initiale du domaine du problème et ils ont déterminé que le prototypage du
plan pouvait prendre plusieurs mois et le déploiement peut-être une année.

Quel service devez-vous choisir ?


Appliquons les critères de décision que vous avez découverts dans l’unité précédente
pour trouver l’option appropriée.

D’abord, est-ce que Tailwind Traders crée un agent virtuel qui s’interface avec des
humains via le langage naturel ? Non, ce n’est pas le cas et Azure Bot Service n’est
donc pas un bon candidat pour ce scénario.

Ensuite, Tailwind Traders a-t-il besoin d’un service capable de comprendre le contenu
et la signification d’images, de vidéos ou d’audios, ou de traduire du texte dans une
autre langue ? Non, ce n’est pas le cas, de sorte que les services Cognitive Services
adaptés à cela n’aideront pas l’entreprise.

Enfin, Tailwind Traders a-t-il besoin de prédire le comportement des utilisateurs ou


de fournir des recommandations personnalisées aux utilisateurs ? Oui, c’est le cas.
Cependant, la création de recommandations basées sur le comportement de
l’utilisateur n’est qu’une partie des spécifications. Tailwind Traders doit créer un
modèle complexe qui incorpore des données de l’historique des ventes, des données
sur les tendances des ventes, le stock, etc. Il est possible que le service Personalizer
d’Azure Cognitive Services puisse jouer un rôle, mais il ne peut pas gérer seul le
projet dans toute son ampleur.

Quatrièmement, l’application de Tailwind Traders va-t-elle prédire des résultats futurs


en fonction de données d’historique privées ? Oui, et c’est pourquoi dans ce scénario,
Azure Machine Learning est probablement le meilleur choix.

La réussite de ce travail dépend principalement de la capacité du modèle à


sélectionner précisément les bons produits complémentaires à suggérer à l’acheteur.
Comme le modèle doit être ajusté et optimisé au fil du temps, un modèle prêt à
l’emploi ne suffirait probablement pas.

Enfin, il semble que l’équipe Marketing emploie déjà des experts en science des
données et qu’elle veut engager un travail d’au moins une année pour créer, tester et
peaufiner les modèles à utiliser.

Utiliser Cognitive Services pour


l’analyse des données
Effectué100 XP
• 3 minutes

La première génération du site web d’e-commerce de Tailwind Traders était


disponible uniquement en anglais. Toutefois, lorsque l’équipe Marketing a
commandité une étude démographique liée aux emplacements de ses points de
vente, elle a découvert qu’en moyenne, seuls 80 % des clients potentiels parlent
anglais. Dans certains quartiers, ce nombre descend jusqu’à 50 %. L’équipe voit l’ajout
de plusieurs langues comme une formidable opportunité de proposer des produits à
des clients non anglophones avec la même expérience d’e-commerce en ligne que
pour les clients anglophones.

Quel service devez-vous choisir ?


Comme dans l’unité précédente, appliquez les critères de décision que vous avez
appris précédemment pour déterminer l’option appropriée.

D’abord, est-ce que Tailwind Traders crée un agent virtuel qui s’interface avec des
humains via le langage naturel ? Non, ce n’est pas le cas et Azure Bot Service n’est
donc pas un bon candidat pour ce scénario. Cependant, si la société Tailwind Traders
devait implémenter un agent de service client, elle pourrait envisager d’utiliser l’API
Translator pour fournir une traduction en temps réel afin d’aider les clients qui ne
parlent pas anglais.

Ensuite, Tailwind Traders a-t-il besoin d’un service capable de comprendre le contenu
et la signification d’images, de vidéos ou d’audios, ou de traduire du texte dans une
autre langue ? Oui, c’est le cas. La traduction d’un contenu textuel d’une langue à une
autre est une tâche à usage général que vous pouvez simplifier en utilisant le service
Translator d’Azure Cognitive Services. Ce service est facile à intégrer dans vos
applications, sites web, outils et solutions. Il vous permet d’ajouter des expériences
utilisateur multilingues dans plus de 60 langues et peut être utilisé sur n’importe
quelle plateforme matérielle avec un système d’exploitation quelconque pour la
traduction de texte en texte.

Azure Cognitive Services est probablement la meilleure option pour ce scénario, mais
nous allons continuer à appliquer les critères de décision pour en être sûrs.

Enfin, Tailwind Traders a-t-il besoin de prédire le comportement des utilisateurs ou


de fournir des recommandations personnalisées aux utilisateurs ? Non, ce n’est pas le
cas et le service Personalizer d’Azure Cognitive Services n’est pas un bon candidat
pour ce scénario.

Enfin, l’application de Tailwind Traders aura-t-elle besoin de prédire des résultats


futurs en fonction de données d’historique privées ? Non. Bien qu’il soit possible de
créer un modèle Machine Learning pour la traduction multilingue, il serait coûteux et
fastidieux pour la société Tailwind Traders d’essayer de créer par elle-même des
modèles de traduction. L’équipe ne dispose pas des compétences en deep learning ni
des données linguistiques nécessaires à l’entraînement des modèles.

Maintenant que vous avez examiné tous les critères des experts, vous pouvez
sélectionner en toute confiance Cognitive Services comme le meilleur choix de

Utiliser Bot Service pour des


expériences de conversation
interactives
Effectué100 XP
• 3 minutes

L’équipe du service clientèle demandait depuis longtemps un agent virtuel pour


traiter la plupart des questions qui lui sont posées. Quelle que soit la qualité des
réponses aux questions les plus fréquemment posées sur le site web, les acheteurs
sont impatients et perçoivent qu’un contact via une fenêtre de conversation leur fait
gagner du temps.

L’équipe souhaite que les acheteurs aient l’impression d’interagir avec un être
humain. Quand il apparaît clairement que l’agent virtuel ne peut pas fournir de
réponse, la session de conversation doit être transférée à un humain.

La fourniture d’un agent virtuel réduirait le temps nécessaire pour que tous les
acheteurs reçoivent des réponses. L’agent virtuel pourrait répondre à la plupart des
questions, ce qui permettrait aux agents humains du service client d’apporter leur
assistance pour des questions plus difficiles ou des problèmes plus compliqués liés
aux comptes.

Quel service devez-vous choisir ?


Là encore, appliquez les critères de décision que vous connaissez déjà bien pour
trouver le produit approprié.

D’abord, est-ce que Tailwind Traders crée un agent virtuel qui s’interface avec des
humains via le langage naturel ? Oui, c’est le cas. Azure Bot Service doit être utilisé
dans ce scénario pour implémenter une expérience de conversation avec un agent
virtuel. Bot Service peut bénéficier des informations fournies dans la page des
questions fréquentes (FAQ) du site web, ainsi que des milliers de sessions de
conversation qui ont été enregistrées entre des acheteurs et les représentants du
service client. Les superviseurs du service client peuvent tester et ajuster les réponses
pour continuer à affiner l’expérience de conversation.

Même si vous avez probablement trouvé la meilleure option pour ce scénario,


continuez à appliquer les critères de décision pour voir si d’autres options sont
susceptibles de fonctionner.

Ensuite, Tailwind Traders a-t-il besoin d’un service capable de comprendre le contenu
et la signification d’images, de vidéos ou d’audios, ou de traduire du texte dans une
autre langue ? Probablement, oui. Dans ce scénario, Azure Cognitive Services pourrait
être utilisé avec Bot Service pour générer la solution. Pour accélérer l’implémentation,
les développeurs pourraient explorer l’utilisation de solutions prédéfinies comme
QnA Maker (qui fait partie de Cognitive Services) ou Power Virtual Agents. En outre,
toute solution Azure Bot implémenterait probablement plusieurs services Azure
Cognitive Services, comme LUIS (Language Understanding) et éventuellement
Translator, pour traduire de la langue de l’acheteur vers l’anglais et inversement.
Enfin, Tailwind Traders a-t-il besoin de prédire le comportement des utilisateurs ou
de fournir des recommandations personnalisées aux utilisateurs ? Non, ce n’est pas le
cas. Le service Personalizer d’Azure Cognitive Services n’est pas un bon candidat pour
ce scénario.

Enfin, l’application de Tailwind Traders aura-t-elle besoin de prédire des résultats


futurs en fonction de données d’historique privées ? Non. La société Tailwind
Traders possède des données d’historique pour alimenter un modèle, qui
permettraient d’utiliser Azure Machine Learning pour créer une solution de
conversation, mais un autre choix est déjà adapté à l’expérience du chatbot.

produit pour ce scénario.

Récapitulatif
Effectué100 XP
• 1 minute

L’objectif de ce module était d’aider la société Tailwind Traders à explorer plusieurs


offres de services d’IA d’Azure qu’elle pourra appliquer pour différentes opportunités
commerciales.

Vous avez identifié plusieurs choix de produits et leurs fonctionnalités, notamment


Azure Bot Service, Azure Cognitive Services et Azure Machine Learning. Vous avez
analysé certains critères de décision qui vous aident à préférer un choix à un autre en
fonction du scénario. Vous avez ensuite appliqué ces critères de décision à trois
initiatives de Tailwind Traders pour aider l’entreprise à trouver le meilleur choix de
services pour chaque scénario.

Sans services d’IA, Tailwind Traders consacrerait plus de temps et d’efforts aux tâches
manuelles, répondrait plus lentement aux clients, offrirait des recommandations de
produits peu intéressantes et ne pourrait pas apporter pleinement son assistance à
des clients non anglophones.

L’IA est une technologie capable de transformer chaque activité d’une entreprise.
Cette transformation a comme seules limites la créativité et l’imagination de
l’organisation.

En savoir plus
Vous pouvez accéder à davantage d’informations sur les produits et services traités
dans ce module :
• Pour obtenir la liste exhaustive des services disponibles dans Azure
Cognitive Services, consultez Présentation d’Azure Cognitive Services.
• Le service Personalizer de Cognitive Services a été mentionné comme
solution possible pour un des scénarios. Pour plus d’informations,
consultez Personalizer - Cognitive Services.
• Azure Language Understanding (LUIS) a été mentionné comme moyen
d’interagir avec Bot Service en utilisant le langage naturel. Pour plus
d’informations, consultez Azure Language Understanding.
• QnA Maker a été mentionné comme solution d’assistant virtuel
prépackagée disponible sur la Place de marché Azure. Pour plus
d’informations, consultez QnA Maker

L’informatique serverless est un terme utilisé pour décrire un environnement


d’exécution configuré et géré automatiquement. Il vous suffit de spécifier ce qui doit
se produire en écrivant du code ou en connectant et en configurant des composants
dans un éditeur visuel. Indiquez ensuite les actions qui déclenchent vos
fonctionnalités, comme un minuteur ou une requête HTTP. Mieux encore, vous
n’aurez jamais à craindre les pannes : votre code peut être instantanément mis à
l’échelle pour répondre à la demande. Vous payez uniquement l’utilisation réelle de
votre code.

Tailwind Traders, magasin traditionnel, rencontre un grand succès avec la vente


en ligne. Plusieurs possibilités s’offrent à lui pour améliorer son site web d’e-
commerce. Par exemple, il souhaite fournir en ligne et en temps réel des informations
plus précises sur les stocks aux clients qui veulent venir dans son magasin local pour
acheter un article. L’entreprise veut également proposer un nouveau programme de
fidélisation de la clientèle pour répondre de manière plus proactive aux clients qui
ont eu une expérience négative.

Tailwind Traders se doute que l’informatique serverless peut l’aider à offrir ces
services, mais a besoin d’aide pour identifier les solutions Azure adaptées à ses
scénarios métier.

Dans ce module, vous allez découvrir deux solutions d’informatique serverless sur
Azure : Azure Functions et Azure Logic Apps. Vous apprendrez également à les
distinguer et saurez quand choisir l’une ou l’autre.

Objectifs d’apprentissage
À l’issue de ce module, vous pourrez :

• Choisir la technologie d’informatique serverless la mieux adaptée à votre


scénario métier.
Prérequis
• Compréhension du concept d’orchestration et des workflows
• Compréhension des interfaces de programmation d’applications (API)
• Connaissance générale des produits Microsoft pertinents, notamment
Dynamics 365 et Office 365
Analyser les critères de décision
Effectué100 XP

• 5 minutes

Avec deux options serverless viables, il peut être difficile de savoir quelle est la
meilleure pour la tâche. Dans cette unité, nous allons analyser les critères employés
par les experts quand ils choisissent un service serverless à utiliser pour un besoin
métier spécifique. Comprendre ces critères peut également vous aider à mieux saisir
les différences subtiles entre les produits.

Avez-vous besoin d’effectuer une orchestration sur des API connues ?

Comme nous l’avons vu précédemment, Azure Logic Apps a été conçu dans la
perspective de l’orchestration, depuis le configurateur visuel basé sur le web jusqu’au
modèle de tarification. Il excelle quand il s’agit de connecter un large éventail de
services disparates par le biais de leur API pour transmettre et traiter des données à
travers les nombreuses étapes d’un workflow.

Il est possible de créer le même workflow à l’aide d’Azure Functions, mais il peut se
révéler très long de chercher quelles API appeler et comment. Azure Logic Apps a
déjà modularisé ces appels d’API pour que vous n’ayez que quelques informations à
indiquer ; les détails de l’appel des API nécessaires sont éliminés.

Avez-vous besoin d’exécuter des algorithmes personnalisés ou d’effectuer une


analyse des données et des recherches de données spécialisées ?

Avec Azure Functions, vous pouvez exploiter toute l’expressivité d’un langage de
programmation dans un format compact. Cela vous permet de créer de façon concise
des algorithmes complexes, ou des opérations de recherche et d’analyse de données.
Vous êtes chargé de la maintenance du code, de la gestion des exceptions de
manière résiliente, etc.

Même si Azure Logic Apps offre la possibilité d’exécuter une logique (boucles,
décisions, etc.), l’implémentation d’un algorithme complexe pour une orchestration à
forte composante logique risque d’être plus détaillée et chargée visuellement.
Avez-vous déjà des tâches automatisées écrites dans un langage de
programmation impératif ?

Si votre orchestration ou votre logique métier est déjà exprimée en C#, en Java, en
Python ou dans un autre langage de programmation courant, il peut se révéler plus
facile de porter votre code dans le corps d’une application de fonction Azure
Functions que de la recréer à l’aide d’Azure Logic Apps.

Préférez-vous un workflow visuel (environnement déclaratif) ou l’écriture de


code (environnement impératif) ?

Au bout du compte, votre choix revient à vous demander si


vous préférez travailler dans un environnement déclaratif ou
dans un environnement impératif. Les développeurs qui ont des
compétences dans un langage de programmation impératif
préféreront peut-être envisager l’automatisation et
l’orchestration dans un esprit impératif. Les professionnels de
l’informatique et les analystes d’entreprise, eux, choisiront
probablement de travailler dans un environnement ne

nécessitant que peu ou pUtiliser Azure Functions


Effectué100 XP
• 3 minutes

Les données concernant chacun des produits vendus chez Tailwind Traders sont
regroupées sous la forme d’un message JSON et envoyées à un hub d’événements.
Ce dernier distribue le message aux abonnés, ce qui permet d’avertir différents
systèmes.

Tailwind Traders veut mettre à niveau son site d’e-commerce de façon à inclure le
suivi des stocks en temps réel. Actuellement, le site web met à jour la disponibilité
des produits toutes les nuits à 2 h. Un service Windows écrit en C# contient toute la
logique nécessaire pour effectuer les opérations suivantes :

• Récupérer les messages


• Analyser le message JSON
• Effectuer une recherche sur plusieurs bases de données pour trouver des
informations supplémentaires sur les produits
• Éventuellement, envoyer des notifications au service d’achat pour lui
permettre de recommander des produits lorsque la quantité descend au-
dessous d’un certain niveau

Le service Windows s’exécute sur une machine virtuelle hébergée sur Azure.

La plupart du temps, ce système fonctionne correctement. Toutefois, certains


produits sont très demandés, et d’autres sont conservés en faibles quantités dans
chaque magasin. Plusieurs fois par jour, des clients qui se rendent au magasin pour
passer prendre un article constatent qu’il n’est plus en stock.

Au lieu d’exécuter l’algorithme chaque nuit, l’entreprise souhaite lancer le programme


de mise à jour des stocks à chaque achat de produit.

Quel service choisir ?


Étant donné que l’équipe de développeurs de Tailwind Traders a déjà écrit la logique
en C# , il serait judicieux de copier le code C# concerné à partir du service Windows
pour le porter dans une fonction Azure. Les développeurs lient la fonction à un
déclencheur chaque fois qu’un nouveau message s’affiche dans une file d’attente
spécifique.

Pourquoi ne pas choisir Azure Logic Apps ?


Il est possible d’implémenter la même logique dans Azure Logic Apps. Toutefois,
l’équipe a déjà consacré du temps à créer le service en C#. Elle peut donc utiliser le
même code dans une fonction Azure.

as de codage (déclaratif), plus visuel.

Utiliser Azure Logic Apps


Effectué100 XP
• 2 minutes

Après un achat, Tailwind Traders envoie à ses clients une invitation à participer à une
enquête de satisfaction client de façon aléatoire. Actuellement, les résultats de
satisfaction client sont agrégés et représentés dans un graphique. Leur moyenne est
également calculée. Toutefois, le service clientèle y voit la possibilité de contacter de
manière proactive les clients qui donnent des scores faibles et laissent des
commentaires indiquant un sentiment négatif.
Dans l’idéal, les scores de satisfaction client négatifs déclencheraient un workflow de
fidélisation de la clientèle. Tout d’abord, une analyse des sentiments serait générée à
partir des commentaires libres. Ensuite, un e-mail d’excuses serait envoyé au client
avec un code promo, et le message serait adressé à l’équipe du service clientèle
Dynamics 365 pour lui permettre de planifier un e-mail de suivi.

Malheureusement, aucun développeur Tailwind Traders n’est disponible pour ce


projet. Toutefois, l’équipe du service clientèle travaille avec plusieurs professionnels
du cloud et de l’informatique qui pourraient peut-être créer une solution.

Quel service choisir ?


Dans ce scénario, Azure Logic Apps est probablement la meilleure solution. Un
professionnel du cloud ou de l’informatique pourrait utiliser des connecteurs
existants : le connecteur Cognitive Services pour effectuer une analyse des
sentiments, le connecteur Office 365 Outlook pour envoyer un e-mail et le
connecteur du service clientèle Dynamics 365 pour créer un enregistrement et un e-
mail de suivi.

Étant donné que le service Azure Logic Apps ne demande que peu ou pas de codage,
aucun développeur n’est nécessaire. Un professionnel du cloud ou de l’informatique
doit pouvoir générer et prendre en charge ce workflow.

Pourquoi ne pas choisir Azure Functions ?


Même s’il est possible de créer la totalité de cette solution à l’aide d’Azure Functions,
cette approche peut se révéler difficile si aucun développeur de logiciels ne peut être
mobilisé pour ce projet.

Il s’agit d’un scénario idéal pour Azure Logic Apps. Les connecteurs existent déjà pour
chacune des étapes décrites dans le workflow. Quelques opérations de recherche, de
développement et de test seraient nécessaires pour permettre à un développeur de
créer une solution qui utilise tous ces systèmes logiciels disparates.

Résumé
Effectué100 XP
• 1 minute

Dans ce module, nous voulions aider Tailwind Traders à choisir la bonne technologie
informatique serverless pour ses scénarios métier.
Quand l’entreprise a souhaité créer une solution qui extrayait la logique du code à
partir d’un service Windows C# existant, nous l’avons aidée à choisir Azure Functions.

Quand elle a souhaité orchestrer un workflow permettant d’améliorer la fidélisation


de la clientèle après une expérience d’achat négative, nous l’avons aidée à choisir
Azure Logic Apps.

Dans les deux cas, nous avons remarqué qu’il serait possible de choisir l’autre service
d’informatique serverless. Toutefois, nous avons essayé d’aider l’entreprise à prendre
en compte les critères de décision que nous avons décrits et à choisir le service
adapté au scénario.

Sans l’informatique serverless, Tailwind Traders serait obligée de configurer et de


gérer sa propre infrastructure informatique dans ces scénarios métier. L’équipe aurait
à effectuer un monitoring précis des services pour déterminer si une mise à l’échelle
est nécessaire. Elle perdrait probablement de l’argent dans le processus, en dédiant
trop ou trop peu de ressources informatiques à la solution.

De plus, elle aurait peut-être à concevoir, à écrire, à tester et à gérer du code


personnalisé pour obtenir des résultats similaires.

En aidant l’entreprise Tailwind Traders à sélectionner les solutions d’informatique


serverless appropriées, nous lui avons permis de déployer de nouvelles
fonctionnalités qui ont contribué à améliorer la satisfaction de la clientèle vis-à-vis de
sa plateforme d’e-commerce.

Introduction
Effectué100 XP
• 1 minute

Les pratiques de développement de logiciel modernes sont assurées par des outils
qui couvrent pratiquement tous les aspects du cycle de vie du développement de
logiciel. Microsoft a créé un ensemble complet d’outils qui permettent aux
organisations d’implémenter des pratiques DevOps, de développer des solutions et
de faire des économies lors de ces opérations. Dans ce module, vous allez apprendre
à choisir les bons outils pour appliquer ces pratiques.

Tailwind Traders a essayé divers outils et processus de développement de logiciel.


Cependant, jusqu’à présent, il n’y a eu aucun engagement au niveau de l’organisation
pour passer à DevOps. De même, aucun effort planifié coordonné pour standardiser
un ensemble d’outils et de processus de base n’a été fourni. Plusieurs nouvelles
initiatives dans l’entreprise accentuent le besoin d’une gestion et d’un déploiement
agiles, reproductibles et fiables des systèmes logiciels. Tailwind Traders pense que
l’adoption des outils et pratiques DevOps est essentielle au futur succès de
l’entreprise.

Dans ce module, vous allez découvrir les différents outils de processus de


développement de logiciel proposés par Microsoft. Vous allez explorer les critères
que les experts utilisent pour faire leurs choix.

À la fin de ce module, vous serez en mesure de choisir les outils et services de


processus de développement de logiciel qui correspondent le mieux aux objectifs et
aux pratiques de votre organisation.

Objectifs d’apprentissage
À l’issue de ce module, vous pourrez :

• Choisir les outils et les services de processus de développement de


logiciel les mieux adaptés pour traiter des scénarios métier spécifiques.

Prérequis
• Une expérience dans le développement ou les opérations est un plus,
mais n’est pas indispensable.
• Une connaissance du concept de DevOps et de son rôle plus grand dans
l’organisation, ses objectifs, ses résultats, et plus encore.
• Pour faciliter la compréhension de la valeur des outils décrits dans ce
module, une connaissance de concepts comme les suivants :
o Cycle de vie du développement de logiciel
o Gestion du code source et gestion de versions
o Les différentes formes de test
o Intégration continue et livraison continue (CI/CD)
o Déploiement continu
o Infrastructure as code

Unité suivante: Comprendre vos choix de produits

Comprendre vos choix de produits


Effectué100 XP
• 4 minutes
Les développeurs de logiciels et les professionnels des opérations s’efforcent de créer
des systèmes logiciels fonctionnels qui répondent aux besoins de l’organisation.
Toutefois, il arrive que leurs objectifs à court terme soient à contre-courant, ce qui
peut se traduire par des problèmes techniques, des retards et des temps d’arrêt.

DevOps est un concept qui allie théories et pratiques pour aider les équipes
techniques dans la mesure où elles travaillent pour des objectifs communs. Pour
parvenir à cette synchronisation, les organisations utilisent des pratiques et des
processus qui automatisent le développement, la maintenance et le déploiement
continus des systèmes logiciels. Le but est d’accélérer la publication des changements
logiciels, de garantir la déployabilité continue du système et d’être sûr que tous les
changements atteignent un niveau de qualité élevé.

Quand les pratiques et les processus DevOps sont correctement implémentés, ils
touchent presque tous les aspects de l’entreprise et le cycle de vie du développement
de logiciel, notamment la planification, la gestion de projet et la collaboration des
développeurs de logiciels et des équipes d’exploitation et d’assurance qualité. Les
outils automatisent et appliquent la plupart des pratiques et processus, ce qui les
rend à la fois difficiles et inutiles à remplacer.

DevOps demande un changement total de mentalité. Les organisations ne peuvent


pas simplement installer des outils logiciels ou adopter des services et espérer
bénéficier de tous les avantages promis par DevOps.

Dans ce module, nous allons nous concentrer sur les outils Microsoft permettant
d’atteindre certains des objectifs de DevOps. Les organisations qui ne sont pas prêtes
à adopter toute la puissance de DevOps peuvent soutenir les équipes techniques
dans leurs activités de développement cloud. Si vous souhaitez en savoir plus sur
DevOps en général, Microsoft Learn offre plusieurs parcours d’apprentissage et
modules qui peuvent vous aider.

Les outils Microsoft permettent la gestion du code source, l’intégration continue et la


livraison continue (CI/CD), et automatisent la création d’environnements de test. Ces
outils semblent avoir des fonctionnalités en commun, c’est pourquoi dans ce module
vous découvrirez les options des produits et quand choisir un produit plutôt qu’un
autre.

Options de produit
Globalement, il existe trois principales offres, chacune étant destinée à un public et à
un cas d’usage précis, qui présentent une variété d’outils, de services, d’API
programmatiques et plus encore.
Azure DevOps Services

Azure DevOps Services est une suite de services qui traitent chaque phase du cycle
de vie de développement de logiciel.

• Azure Repos est un dépôt de code source centralisé où les développeurs


de logiciels, les ingénieurs DevOps et les professionnels de la
documentation peuvent publier leur code à des fins de revue et de
collaboration.
• Azure Boards est une suite de gestion de projet en continu qui
comprend des tableaux kanban, la création de rapports et le suivi d’idées
et de travaux, depuis les épopées générales jusqu’aux éléments de travail
et aux problèmes.
• Azure Pipelines est un outil d’automatisation de pipelines CI/CD.
• Azure Artifacts est un dépôt qui héberge des artefacts, comme du code
source compilé, pouvant être absorbés comme étapes de pipeline de test
ou de déploiement.
• Azure Test Plans est un outil de test automatisé qui peut être utilisé
dans un pipeline CI/CD pour garantir la qualité avant la publication d’un
logiciel.

Azure DevOps est un outil abouti comportant de nombreuses fonctionnalités qui a


commencé comme logiciel serveur local et qui a évolué pour devenir une offre SaaS
(Software as a Service) de Microsoft.

GitHub et GitHub Actions

GitHub est sans doute le dépôt de code le plus connu au monde pour les logiciels
open source. Git est un outil de gestion du code source décentralisé, et GitHub est
une version hébergée de Git qui fait office de dépôt distant principal. GitHub s’appuie
sur Git afin de fournir des services associés pour coordonner le travail, signaler les
problèmes et en discuter, fournir de la documentation, et plus encore. Il offre les
fonctionnalités suivantes :

• Il partage un dépôt de code source partagé, notamment des outils qui


permettent aux développeurs d’effectuer des revues du code en ajoutant
des commentaires et des questions dans une vue web du code source
avant de pouvoir les fusionner dans la base de code principale.
• Il facilite la gestion de projet, notamment les tableaux kanban.
• Il prend en charge le signalement, la discussion et le suivi des problèmes.
• Il propose des outils d’automatisation de pipeline CI/CD.
• Il comprend un Wiki pour la documentation collaborative.
• Il peut être exécuté à partir du cloud ou localement.
Plus intéressant pour ce module, GitHub Actions permet d’automatiser les workflows
avec des déclencheurs pour de nombreux événements de cycle de vie.
L’automatisation d’une chaîne d’outils CI/CD en est un exemple.

Une chaîne d’outils est une combinaison d’outils logiciels qui facilitent la livraison, le
développement et la gestion d’applications logicielles tout au long du cycle de vie du
développement d’un système. La sortie d’un outil dans la chaîne d’outils est l’entrée
de l’outil suivant dans la chaîne d’outils. Les fonctions des outils standard vont de
l’exécution de mises à jour de dépendances automatisées à la génération et à la
configuration du logiciel, à la remise des artefacts de build dans différents
emplacements, à des tests, etc.

Avec de telles similitudes entre de nombreuses fonctionnalités GitHub et Azure


DevOps, vous pouvez vous demander quel produit choisir pour votre organisation.
Malheureusement, la réponse peut ne pas être simple.

Même si Azure DevOps et GitHub autorisent tous deux des dépôts de code publics et
privés, GitHub a une longue histoire avec les dépôts publics et est approuvé par des
dizaines de milliers de propriétaires de projets open source. GitHub est un outil plus
léger qu’Azure DevOps et est axé sur les développeurs individuels qui contribuent au
code open source. Azure DevOps, en revanche, est davantage axé sur le
développement en entreprise avec des outils de planification et de gestion de projet
plus lourds et un contrôle d’accès plus précis.

Notes

Vos choix ne se limitent pas à Azure DevOps Services ou à GitHub et GitHub Actions.
Dans la pratique, vous pouvez combiner ces services si nécessaire. Par exemple, vous
pouvez utiliser des dépôts GitHub avec Azure Boards pour le suivi des éléments de
travail.

Azure DevTest Labs

Azure DevTest Labs offre un moyen automatisé de gérer le processus de génération,


de configuration et de destruction des machines virtuelles qui contiennent les builds
de vos projets logiciels. Les développeurs et les testeurs peuvent ainsi effectuer des
tests dans plusieurs environnements et builds. Et cette fonctionnalité n’est pas limitée
aux machines virtuelles. Tout ce que vous pouvez déployer dans Azure via un modèle
ARM peut être provisionné via DevTest Labs. Le provisionnement d’environnements
lab précréés avec leurs configurations et outils nécessaires déjà installés est un
énorme gain de temps pour les professionnels de l’assurance qualité et les
développeurs.
Supposons que vous deviez tester une nouvelle fonctionnalité sur une version
antérieure d’un système d’exploitation. Azure DevTest Labs peut tout configurer
automatiquement sur demande. Une fois le test terminé, DevTest Labs peut arrêter et
déprovisionner la machine virtuelle, ce qui permet de faire des économies quand elle
n’est pas utilisée. Pour maîtriser les coûts, l’équipe de gestion peut limiter le nombre
de labos pouvant être créés, leur durée d’exécution, etc.

Unité suivante: Analyser les critères de décision

Analyser les critères de décision


Effectué100 XP
• 4 minutes

Dans cette unité, vous allez analyser les critères que les experts utilisent quand ils
choisissent des outils ou services DevOps pour répondre à des besoins métier
spécifiques. La compréhension de ces critères peut également vous aider à mieux
comprendre les différences subtiles entre les produits.

Avez-vous besoin d’automatiser et de gérer la création de labos de


test ?

Si votre objectif est d’automatiser la création et la gestion d’un environnement de


labo de test, vous devez choisir Azure DevTest Labs. Parmi les trois outils et services
que nous avons décrits, il s’agit du seul qui propose cette fonctionnalité.

Toutefois, vous pouvez automatiser le provisionnement de nouveaux labos dans une


chaîne d’outils à l’aide d’Azure Pipelines ou de GitHub Actions.

Est-ce que vous créez des logiciels open source ?

Même si Azure DevOps peut publier des dépôts de code publics, GitHub est, depuis
longtemps, l’hôte préféré pour les logiciels open source. Si vous générez un logiciel
open source, vous choisirez probablement GitHub pour aucune autre raison que sa
visibilité et l’approbation générale que lui donne la communauté du développement
open source.

Les autres critères de décision sont spécifiques au choix entre Azure DevOps ou
GitHub.

Notes
Vos choix ne se limitent pas à Azure DevOps Services ou à GitHub et GitHub Actions.
Dans la pratique, vous pouvez combiner ces services si nécessaire. Par exemple, vous
pouvez utiliser des dépôts GitHub avec Azure Boards pour le suivi des éléments de
travail.

Concernant la gestion du code source et les outils DevOps, de quel niveau de


précision avez-vous besoin pour les autorisations ?

GitHub fonctionne sur un modèle simple d’autorisations de lecture/écriture pour


chaque fonctionnalité. Par contre, Azure DevOps dispose d’un ensemble
d’autorisations beaucoup plus précis qui permet aux organisations de déterminer qui
peut effectuer la plupart des opérations sur l’ensemble des outils.

Concernant la gestion du code source et les outils DevOps, quel niveau de


sophistication doivent avoir votre gestion de projet et la création de rapports ?

Même si GitHub comporte des éléments de travail, des problèmes et un tableau


kanban, la gestion de projet et la création de rapports sont des domaines où Azure
DevOps excelle. Azure DevOps est extrêmement personnalisable, ce qui permet à un
administrateur d’ajouter des champs personnalisés pour capturer les métadonnées et
d’autres informations en plus de chaque élément de travail. En revanche, la
fonctionnalité Problèmes GitHub utilise des étiquettes comme principale méthode
pour aider une équipe à classifier les problèmes.

Concernant la gestion du code source et les outils DevOps, de quel niveau


d’intégration à des outils tiers avez-vous besoin ?

Même si nous ne faisons aucune recommandation spécifique concernant les outils


tiers, il est important que vous compreniez les investissements existants de votre
organisation dans les outils et services, et que vous évaluiez la façon dont ces
dépendances peuvent avoir une incidence sur votre choix. Il est probable que la
plupart des fournisseurs qui créent des outils DevOps créent des hooks ou des API
qu’Azure Pipelines et GitHub Actions peuvent tous les deux utiliser. Même dans ce
cas, cela vaut certainement la peine de confirmer que cette hypothèse est vraie.

Utiliser Azure DevOps pour gérer le


cycle de vie du développement
d’application
Effectué100 XP
• 3 minutes

L’équipe de développement de logiciel de Tailwind Traders travaille sur de nombreux


projets différents, à la fois pour un usage interne et externe. L’équipe doit donner aux
dirigeants et sponsors des projets des rapports de niveau exécutif, notamment des
graphiques d’avancement, suivre la progression par rapport aux épopées et suivre les
informations personnalisées qui sont spécifiques à Tailwind Traders dans chaque
élément de travail et rapport de bogue.

À mesure que Tailwind Traders se développe et embauche des sous-traitants et des


fournisseurs externes pour le travail à court terme, l’équipe de direction veut garantir
que ces personnes ont accès uniquement aux informations dont elles ont besoin pour
effectuer leur travail.

Quels services choisir ?

Appliquons les critères de décision que vous avez découverts dans le cadre de l’unité
précédente pour opérer le bon choix.

Premièrement, est-ce que Tailwind Traders a besoin d’automatiser et de gérer la


création de labo de test ? Non. Dans ce scénario, Azure DevTest Labs n’est donc pas
un bon candidat, car il n’est pas destiné à ce cas d’utilisation spécifique.

Deuxièmement, est-ce que Tailwind Traders crée des logiciels open source ? Même si
ce n’est pas précisément mentionné, Tailwind Traders crée des systèmes internes et
externes, comme leur système de e-commerce, qui n’est pas open source. Donc, ce
point n’est pas un élément d’appréciation dans ce scénario.

Troisièmement, de quel niveau de précision a besoin Tailwind Traders pour les


autorisations ? Nous avons précédemment indiqué que Tailwind Traders engagera
des employés et des fournisseurs temporaires pour le travail à court terme, ce qui fait
que l’exigence d’autorisations précises constitue un élément d’appréciation important
pour la direction. Compte tenu de la description que nous avons faite dans l’unité
précédente, cette fonctionnalité ferait d’Azure DevOps un excellent choix. En utilisant
Azure DevOps, les administrateurs de Tailwind Traders disposeraient aussi d’un
ensemble plus performant d’options permettant de contrôler les autorisations dans
l’intégralité du portefeuille de travaux.

Quatrièmement, est-ce que Tailwind Traders a besoin d’une solution de gestion de


projet et de rapports sophistiquée ? Oui, des fonctionnalités solides de gestion de
projet et de rapports constituent l’un des principaux points à prendre en compte. Là
encore, en raison du niveau de personnalisation des éléments de travail et de rapport
que l’équipe de gestion veut, Azure DevOps est probablement un bon choix.
Cinquièmement, est-ce que Tailwind Traders a besoin d’une intégration étroite avec
tous les outils DevOps tiers ? L’intégration des outils n’était pas listée comme point
principal pour ce scénario. Comme vous l’avez appris dans l’unité précédente, la
plupart des outils DevOps tiers s’intègrent à la fois à Azure DevOps et à GitHub. De ce
fait, l’équipe trouvera probablement les outils dont elle a besoin.

Utiliser GitHub pour contribuer aux


logiciels open source
Effectué100 XP
• 3 minutes

Tailwind Traders espère publier une API qui permettrait à des tiers d’intégrer leurs
propres inventaires d’éléments nouveaux et utilisés. Cette approche permettrait à
Tailwind Traders d’offrir une plus grande variété de produits directement à partir de
son site d’e-commerce.

Même si l’implémentation interne de l’API est une source fermée, Tailwind Traders
veut créer un ensemble d’exemples qui appellent l’API pour effectuer diverses
actions. L’équipe a besoin d’une plateforme pour partager des exemples de code,
collecter les commentaires sur l’API, autoriser les contributeurs à signaler des
problèmes et créer une communauté autour des demandes de fonctionnalités.

Quel service devez-vous choisir ?

Appliquez les critères de décision que vous avez découverts précédemment pour
faire le bon choix.

Premièrement, est-ce que Tailwind Traders a besoin d’automatiser et de gérer la


création de labo de test ? Non. Dans ce scénario, Azure DevTest Labs n’est pas un
bon candidat, car il n’est pas conçu pour ce cas d’utilisation.

Deuxièmement, est-ce que Tailwind Traders crée des logiciels open source ? Oui.
Comme nous l’avons noté dans une unité précédente, les développeurs sont habitués
à voir ce type de contenu disponible sur GitHub. Avec GitHub, les développeurs
Tailwind Traders peuvent publier leur code, accepter les contributions de la
communauté pour améliorer les exemples de code, accepter les commentaires et les
rapports de bogues, et plus encore. Comme ce scénario implique du code
open source, GitHub est un excellent candidat.

Troisièmement, de quel niveau de précision a besoin l’équipe Tailwind Traders pour


affecter des autorisations ? Même si ce n’est pas mentionné explicitement, le fait que
l’entreprise Tailwind Traders acceptera les contributions de la communauté, qu’elle
émettra des rapports et qu’elle tentera généralement de créer une communauté de
développeurs autour de ses exemples d’API, ses besoins en autorisations sont
basiques : les utilisateurs peuvent consulter uniquement ou consulter et écrire. C’est
une autre raison pour laquelle GitHub serait un bon candidat pour ce scénario.

Quatrièmement, est-ce que Tailwind Traders a besoin d’une solution de gestion de


projet et de rapports sophistiquée ? Là encore, en raison de la nature de ce projet,
l’équipe ne demande pas une solution de gestion de projet et une solution de
rapports sophistiquée. Dans ce scénario, la force d’Azure DevOps Services n’est pas
nécessaire.

Cinquièmement, est-ce que Tailwind Traders a besoin d’une intégration étroite avec
tous les outils DevOps tiers ? L’intégration d’outils n’était pas listée comme élément
d’appréciation principal pour ce scénario. Elle n’avantage ni ne désavantage donc
aucun des outils.

GitHub est le meilleur choix pour ce scénario. Même si vous pourriez utiliser Azure
DevOps pour rendre le dépôt public, certaines des autres fonctionnalités qui
impliquent la participation de la communauté de développement, comme les
commentaires ou les rapports de bogues, seraient moins accessibles.

Quel service devez-vous choisir ?

Encore une fois, commencez par appliquer les critères de décision que vous avez
découverts précédemment pour trouver le produit approprié.

Premièrement, est-ce que Tailwind Traders a besoin d’automatiser et de gérer la


création de labo de test ? Oui. Cela ressemble à un travail pour Azure DevTest Labs,
car celui-ci peut faire tout ce que l’équipe doit accomplir dans ce scénario.

Nous pourrions continuer à évaluer les critères de décision, mais ni Azure DevOps ni
GitHub n’est nécessaire pour ce scénario. N’oubliez pas qu’Azure DevOps ou GitHub
peut être utilisé pour créer des versions de produits qui peuvent être
automatiquement incluses dans toute machine virtuelle que vous créez à des fins de
test.

Résumé
Effectué100 XP
• 1 minute

Dans ce module, l’objectif était d’aider Tailwind Traders à choisir la meilleure solution
DevOps pour un ensemble de critères concernant différents besoins de
développement et de test de logiciels.
Nous avons identifié différents choix et fonctionnalités de produit, notamment Azure
DevOps Services, GitHub (dont GitHub Actions) et Azure DevTest Labs. Nous avons
analysé les critères permettant de privilégier une option plutôt qu’une autre pour
chaque scénario. Nous avons ensuite appliqué ces critères à trois défis distincts chez
Tailwind Traders, en aidant l’équipe à déterminer le meilleur choix de service pour les
différents scénarios.

Sans les services et outils de développement de logiciel de Microsoft, l’équipe de


Tailwind Traders peut avoir des difficultés à bénéficier des avantages de pratiques
DevOps comme l’intégration continue et livraison continue (CI/CD), la gestion du
code source et la gestion des éléments de travail.

Les pratiques et les processus DevOps ont changé le paysage du développement de


logiciel, en permettant d’accélérer le développement de logiciel et en améliorant la
déployabilité et la qualité des systèmes logiciels. Microsoft offre une multitude
d’outils qui peuvent permettre aux organisations d’implémenter les pratiques
DevOps, d’améliorer la collaboration entre les équipes techniques et obtenir de
celles-ci des résultats plus cohérents.

Introduction
Effectué100 XP
• 1 minute

Grâce aux outils de gestion Azure, les administrateurs, les développeurs et les
responsables peuvent interagir avec l’environnement cloud pour effectuer des tâches
telles que les suivantes :

• déploiement des dizaines ou de centaines de ressources à la fois ;


• configuration de services individuels par programmation ;
• affichage de rapports enrichis sur l’utilisation, l’intégrité, les coûts et bien
plus encore.

Microsoft Azure propose une série d’outils de gestion parmi lesquels vous pouvez
choisir en fonction de la situation.

Tailwind Traders, détaillant classique ayant pignon sur rue, connaît aujourd’hui une
croissance explosive de ses ventes de produits en ligne. L’entreprise doit une grande
partie de son succès à sa capacité à gérer rapidement et efficacement son
environnement cloud. Au début de son parcours cloud, Tailwind Traders devait
choisir les outils de gestion appropriés pour ses besoins.

Ce module présente la panoplie des outils de gestion Azure et les critères de décision
sur lesquels les experts se basent pour sélectionner les outils appropriés pour leurs
scénarios spécifiques.
Objectifs d’apprentissage
À l’issue de ce module, vous pourrez :

• Choisissez les outils de gestion Azure qui répondent le mieux aux besoins
techniques et aux défis de votre organisation.

Prérequis
• Connaissance des concepts et de la terminologie de base du domaine
informatique
• Une certain connaissance du cloud computing est un plus, mais n’est pas
indispensable

Identifier les choix de produits


Effectué100 XP
• 5 minutes

D’un point de vue général, il existe deux grandes catégories d’outils de gestion : les
outils visuels et les outils basés sur du code.

Les outils visuels offrent un accès complet et convivial à toutes les fonctionnalités
d’Azure. Toutefois, les outils visuels peuvent s’avérer moins utiles si vous tentez de
configurer un déploiement conséquent de ressources avec diverses interdépendances
et options de configuration.

Si vous tentez d’installer et de configurer rapidement des ressources Azure, il est


généralement préférable d’opter pour un outil basé sur du code. Même s’il faut un
certain temps pour comprendre les commandes et les paramètres appropriés au
début, après les avoir entrés, vous pouvez les enregistrer dans des fichiers et les
réutiliser si nécessaire. De même, vous pouvez stocker le code qui exécute
l’installation et la configuration, en contrôler les versions et le gérer en même temps
que le code source de l’application dans un outil de gestion de code source tel que
Git. Cette approche de la gestion des ressources matérielles et cloud, que les
développeurs adoptent quand ils écrivent du code d’application, est
appelée infrastructure en tant que code.

Il existe deux approches de l’infrastructure en tant que code : le code impératif et le


code déclaratif. Le code impératif détaille chaque étape à accomplir pour obtenir un
résultat souhaité. À l’inverse, le code déclaratif détaille uniquement un résultat
souhaité, et permet à un interpréteur de décider comment atteindre au mieux ce
résultat. Cette distinction est importante, car les outils basés sur du code déclaratif
peuvent fournir une approche plus robuste pour déployer des dizaines voire des
centaines de ressources simultanément et de manière fiable.

Options de votre produit


Microsoft propose plusieurs outils et services permettant de gérer votre
environnement cloud. Chacun d’eux est destiné à des scénarios et utilisateurs
spécifiques. La vidéo suivante décrit certaines de ces options.

Le portail Azure

Le portail Azure, une interface utilisateur basée sur le web, vous permet d’accéder à
pratiquement toutes les fonctionnalités d’Azure. Le portail Azure offre une interface
graphique utilisateur conviviale, permettant d’afficher tous les services que vous
utilisez, de créer des services, de configurer vos services et d’afficher des rapports. Le
portail Azure est la première expérience d’Azure pour la plupart des utilisateurs.
Toutefois, à mesure que votre utilisation d’Azure augmente, vous opterez
probablement pour une approche centrée sur le code plus reproductible pour gérer
vos ressources Azure.

Azure mobile app

Azure mobile app fournit un accès iOS et Android à vos ressources Azure lorsque
vous n’êtes pas devant votre poste de travail. Cette application vous permet
d’effectuer les opérations suivantes :

• surveiller l’intégrité et l’état de vos ressources Azure ;


• rechercher des alertes, diagnostiquer et résoudre rapidement des
problèmes, et redémarrer une application web ou une machine virtuelle ;
• exécuter les commandes Azure CLI ou Azure PowerShell pour gérer vos
ressources Azure.

Azure PowerShell

Azure PowerShell est un interpréteur de commandes permettant aux développeurs et


aux professionnels du DevOps et de l’informatique d’exécuter des commandes
appelées cmdlets (prononcer commandelettes). Ces commandes appellent l’API REST
Azure pour effectuer toutes les tâches de gestion possibles dans Azure. Les cmdlets
peuvent être exécutées isolément ou combinées dans un fichier de script et
exécutées ensemble pour orchestrer les opérations suivantes :
• configuration, désactivation et maintenance de routine d’une ressource
ou de plusieurs ressources connectées ;
• déploiement d’une infrastructure entière, pouvant contenir des dizaines
ou des centaines de ressources, à partir d’un code impératif.

La capture des commandes d’un script rend le processus répétable et automatisé.

Azure PowerShell est disponible pour Windows, Linux et Mac, et accessible dans un
navigateur web via Azure Cloud Shell.

Depuis des années, Windows PowerShell aide des organisations informatiques


utilisant Windows à automatiser un grand nombre de leurs opérations locales. Ces
organisations ont ainsi pu créer un vaste catalogue de scripts et de cmdlets
personnalisés, et acquérir une expertise en la matière.

L’interface Azure CLI

L’interface de ligne de commande Azure CLI est un programme exécutable avec


lequel un développeur, un professionnel du DevOps ou un professionnel de
l’informatique peut exécuter des commandes dans Bash. Ces commandes appellent
l’API REST Azure pour effectuer toutes les tâches de gestion possibles dans Azure.
Vous pouvez exécuter les commandes séparément ou les combiner dans un script et
les exécuter ensemble pour effectuer des tâches de configuration, de désactivation et
de maintenance de routine d’une ressource ou d’un environnement entier.

À maints égards, l’interface de ligne de commande Azure est quasiment identique à


Azure PowerShell dans ce qu’elle permet de faire. Toutes deux s’exécutent sur
Windows, Linux et Mac, et sont accessibles dans un navigateur web via le service
Cloud Shell. La principale différence réside dans la syntaxe utilisée. Si vous maîtrisez
déjà PowerShell ou Bash, vous pouvez utiliser l’outil de votre choix.

Modèles ARM

Bien qu’il soit possible d’écrire du code impératif dans Azure PowerShell ou dans
Azure CLI afin de configurer et de désactiver une ressource Azure ou d’orchestrer une
infrastructure comprenant des centaines de ressources, il existe une meilleure façon
d’implémenter cette fonctionnalité.

Les modèles Azure Resource Manager (modèles ARM) vous permettent de décrire les
ressources que vous souhaitez utiliser dans un format JSON déclaratif. L’avantage est
que le modèle ARM entier est vérifié avant toute exécution de code pour s’assurer
que les ressources seront correctement créées et connectées. Le modèle orchestre
ensuite la création de ces ressources en parallèle. Autrement dit, si vous avez besoin
de 50 instances de la même ressource, toutes les 50 instances sont créées en même
temps.

En définitive, les développeurs et les professionnels du DevOps ou de l’informatique


doivent seulement définir la configuration et l’état souhaités de chaque ressource du
modèle ARM, lequel se charge du reste. Les modèles peuvent même exécuter des
scripts PowerShell et Bash avant ou après l’installation de la ressource.

Analyser les critères de décision


Effectué100 XP
• 3 minutes

Dans cette unité, vous allez analyser les critères que les experts utilisent pour
déterminer les outils de gestion Azure à utiliser pour répondre aux besoins de leur
entreprise. La compréhension de ces critères peut vous aider à mieux comprendre les
différences subtiles entre les produits.

Avez-vous besoin d’effectuer des actions ponctuelles de gestion,


d’administration ou de création de rapports ?

Azure PowerShell et Azure CLI sont des outils de gestion qui vous permettent
d’obtenir rapidement l’adresse IP d’une machine virtuelle que vous avez déployée, de
redémarrer une machine virtuelle ou de mettre à l’échelle une application. Vous
pouvez garder des scripts personnalisés pour ces deux outils à portée de main sur
votre disque dur local pour certaines opérations que vous devez effectuer à plusieurs
reprises.

Par opposition à Azure CLI et PowerShell, les modèles Azure Resource Manager
(modèles ARM) définissent l’infrastructure requise dans votre application pour les
déploiements reproductibles. Même si les modèles ARM ne sont pas destinés à des
scénarios ponctuels, il est possible de les utiliser à cet effet. Toutefois, pour les
scénarios ponctuels, vous préférerez peut-être des outils plus agiles comme
PowerShell, des scripts Azure CLI ou le portail Azure.

N’oubliez pas que les modèles ARM peuvent inclure à la fois des scripts PowerShell
et/ou Azure CLI, ce qui vous donne la possibilité d’utiliser des scripts pour des tâches
qui peuvent ne pas être possibles avec le modèle ARM lui-même. La capacité à
combiner des outils de gestion Azure permet de choisir le ou les outils appropriés
pour vos besoins spécifiques.

Le portail Azure peut effectuer la plupart des actions de gestion et administratives,


voire la totalité. Si vous découvrez Azure et/ou si vous n’avez que rarement besoin de
configurer et de gérer des ressources (ou si vous préférez une interface visuelle pour
l’affichage des rapports), il est logique que vous recouriez à la présentation visuelle
qu’offre le portail Azure.

En revanche, si vous êtes exercez un rôle d’administration ou de gestion du cloud, il


est moins efficace de vous reposer uniquement sur une analyse visuelle et quelques
clics. Pour trouver rapidement les paramètres et les informations que vous souhaitez
utiliser, Azure CLI ou PowerShell offre la plus grande flexibilité pour les tâches
reproductibles.

Le dernier outil de gestion à voir est Azure mobile app, accessible via un téléphone
ou une tablette iOS ou Android. Cette solution étant complète, elle constitue
probablement le meilleur choix lorsque vous n’avez pas d’ordinateur portable sous la
main et devez afficher et trier des problèmes sur le champ.

Avez-vous besoin d’un moyen de configurer de façon répétée une ou


plusieurs ressources et de garantir que toutes les dépendances seront
créées dans le bon ordre ?

Les modèles ARM définissent les exigences d’infrastructure de votre application pour
un déploiement reproductible qui est effectué de manière cohérente. Une étape de
validation garantit la possibilité de créer toutes les ressources en parallèle dans
l’ordre approprié en fonction des dépendances, et leur caractère idempotent.

En revanche, il est tout à fait possible d’utiliser PowerShell ou Azure CLI afin de
configurer toutes les ressources en vue d’un déploiement. Toutefois, ces outils
n’impliquent pas d’étape de validation. Si un script rencontre une erreur, il n’est pas
possible de restaurer facilement les ressources de dépendance, les déploiements se
produisent de façon séquentielle et seules certaines opérations sont idempotentes.

Lorsque vous écrivez des scripts, est-ce dans le contexte de


l’administration de Windows ou de Linux ?

Si vous ou vos administrateurs cloud êtes chargés de l’administration de Windows,


vous préférerez probablement PowerShell. Si vous ou vos administrateurs cloud êtes
chargés de l’administration de Linux, vous préférerez probablement Azure CLI. Dans
la pratique, vous pouvez utiliser les deux pour effectuer la plupart des tâches
d’administration ponctuelles.
Utiliser le portail Azure pour
comprendre et gérer visuellement votre
environnement cloud
Effectué100 XP
• 3 minutes

Tailwind Traders utilise abondamment Azure dans l’ensemble de son organisation.


Pour s’assurer que les équipes technique et de direction sont parfaitement informées
des dépenses cloud de l’organisation, le directeur des opérations cloud va
commencer à organiser des réunions hebdomadaires avec le directeur financier pour
discuter de ces dépenses.

Si les conversations peuvent être d’ordre général au début, il est possible que les
directeurs souhaitent obtenir plus d’informations sur la façon dont les ressources
Azure sont utilisées. Dans l’idéal, ils devraient être capables de voir les données, mais
également d’exécuter des rapports personnalisés en temps réel. Quel outil peuvent-
ils utiliser pendant la réunion ?

Quel service choisir ?


Appliquons les critères de décision que vous avez découverts dans le cadre de l’unité
précédente pour opérer le bon choix.

Tout d’abord, dans ce scénario, l’équipe de Tailwind Traders a-t-elle besoin


d’effectuer des opérations ponctuelles de gestion, d’administration ou de création de
rapports ? Oui, et étant donné la nécessité d’afficher les données et de créer des
rapports personnalisés pendant la réunion, le portail Azure constitue le meilleur choix.
Les participants à la réunion peuvent rapidement trouver des réponses aux questions
qu’ils se posent en utilisant une multitude d’options de création de rapports.

Les deux critères de décision suivants ne s’appliquent pas à ce scénario, car le


directeur des opérations cloud et le directeur financier ne vont ni déployer ni
configurer de ressources.

Le portail Azure est l’option la mieux adaptée à ce scénario.


Utiliser Azure PowerShell pour
accomplir des tâches d’administration
ponctuelles
Effectué100 XP
• 3 minutes

Tailwind Traders fait appel à des informaticiens qui possèdent des compétences
nombreuses et variées. Une équipe de développeurs et d’administrateurs se charge
de créer et de gérer une collection d’applications intranet qui sont vitales pour
l’organisation. Les membres de l’équipe disposent d’un bagage solide en matière de
développement et d’administration réseau dans Windows.

L’équipe a déplacé ses applications vers le cloud, et a désormais besoin d’un moyen
d’effectuer des tâches de test, de gestion et d’administration ponctuelles dans son
environnement intranet. Elle a rapidement compris que la gestion d’Azure à partir du
portail prenait trop de temps et n’était pas reproductible. Quel outil l’organisation
doit-elle utiliser pour les tâches ponctuelles ?

Quel service choisir ?


Comme vous l’avez fait dans l’unité précédente, appliquez les critères de décision que
vous avez appris précédemment pour déterminer l’option appropriée.

Tout d’abord, dans ce scénario, l’équipe de Tailwind Traders a-t-elle besoin


d’effectuer des opérations ponctuelles de gestion, d’administration ou de création de
rapports ? Oui. Cependant l’équipe sait déjà qu’elle ne souhaite pas s’appuyer sur le
portail Azure pour ces actions ponctuelles. Par conséquent, Azure PowerShell et
Azure CLI constituent de bons choix. Nous verrons plus précisément quel outil
l’équipe devrait utiliser dans un moment.

Ensuite, dans ce scénario, l’équipe de Tailwind Traders a-t-elle besoin d’un moyen
répétable et fiable de déployer l’ensemble de son infrastructure ? Non, pas dans ce
scénario. Par conséquent, les modèles Azure Resource Manager (modèles ARM) ne
constituent pas le bon choix.

Lorsque l’équipe de Tailwind Traders écrit des scripts, est-ce dans le contexte de
l’administration de Windows ou de Linux ? Cette équipe dispose d’un bagage en
matière d’administration de Windows. Il serait probablement plus facile d’utiliser
Azure PowerShell, car cet outil permet d’utiliser la syntaxe la plus commode pour
effectuer des tâches d’administration ponctuelles.
Azure PowerShell est l’option la mieux adaptée à ce scénario.

Utiliser Azure CLI pour effectuer des


tâches d’administration ponctuelles
Effectué100 XP
• 3 minutes

Comme nous l’avons vu dans l’unité précédente, l’équipe de Tailwind Traders fait
appel à des techniciens détenteurs de compétences nombreuses et variées. La tâche
principale de l’équipe de DevOps est de veiller à ce que des systèmes externes tels
que le site d’e-commerce de l’entreprise reste opérationnel. Cette équipe a l’habitude
d’utiliser Linux pour ses tâches d’administration. Elle doit souvent effectuer des tâches
d’administration liées à l’intégrité de l’environnement cloud. Elle a rapidement réalisé
que la gestion d’Azure à partir du portail prend prenait trop de temps et n’était pas
reproductible. Quel outil l’équipe doit-elle utiliser pour des tâches ponctuelles ?

Quel service choisir ?


Une fois encore, appliquez les critères de décision que vous avez appris
précédemment pour déterminer l’option appropriée.

Étant donné que ce scénario est presque identique à celui de l’unité précédente, nous
pouvons ignorer les deux premiers critères. En d’autres termes, vous pouvez éliminer
rapidement les modèles Azure Resource Manager (modèles ARM) et le portail Azure
en tant qu’options viables pour ce scénario. Passons donc au troisième critère de
décision.

Dans ce scénario, le choix de l’option la mieux adaptée doit être guidé par
l’expérience de l’équipe. Étant donné que cette équipe dispose d’un bagage en
matière d’administration de Linux, elle sera probablement plus à l’aide avec
l’utilisation d’Azure CLI. Azure CLI permet à l’équipe d’utiliser l’interpréteur de
commandes Bash et sa syntaxe pour effectuer des tâches d’administration
ponctuelles.

Azure CLI est l’option la mieux adaptée à ce scénario.

Utiliser Azure mobile app pour gérer


Azure en déplacement
Effectué100 XP
• 2 minutes
L’équipe de Tailwind Traders constate des pics de trafic d’e-commerce coïncidant
avec les weekends et les jours fériés. Au cours des premières années d’existence de la
société, pendant ces périodes importantes, les responsables des systèmes critiques
devaient se réunir dans les locaux du directeur des opérations cloud. Aujourd’hui
cependant, Tailwind Traders a solidement implémenté la plupart des systèmes
critiques. Le directeur a donc assoupli cette règle afin de permettre aux employés de
passer ces périodes avec leur famille. Existe-t-il un produit pouvant faciliter la prise en
charge de ce scénario ?

Quel service choisir ?


Passons en revue nos critères de décision.

Tout d’abord, l’équipe de Tailwind Traders a-t-elle besoin d’effectuer des opérations
ponctuelles de gestion, d’administration ou de création de rapports ? Oui. La vraie
question est : « Comment ? ». Dans ce cas, une solution pour téléphone ou tablette
pourrait aider les employés clés à surveiller l’intégrité de l’environnement cloud
quand ils sont absents du bureau. L’Azure mobile app est probablement un bon
compromis, car elle permet aux employés de s’éloigner du travail tout en continuant
à accomplir des tâches de gestion et d’administration ponctuelles essentielles.

Dans ce scénario, nous pouvons ignorer le reste des critères de décision. Azure
mobile app est l’option à choisir.

Utiliser des modèles ARM pour


déployer une infrastructure cloud
entière
Effectué100 XP
• 3 minutes

Tailwind Traders souhaite rendre opérationnels ses déploiements cloud. L’entreprise a


besoin d’un moyen reproductible et fiable de mettre à l’échelle ses opérations
pendant les périodes de pic de ventes. Étant donné que vous allez choisir un
processus pour mettre à l’échelle votre environnement de production, vous devez
vous assurer que le service que vous choisissez :

• Est efficace et capable de créer de nombreuses ressources en parallèle.


• Crée toutes les dépendances dans le bon ordre.
• Ne va pas cesser de fonctionner pendant le provisionnement de
l’infrastructure nécessaire.
Quel service choisir ?
Examinons à nouveau les critères de décision.

Tout d’abord, dans ce scénario, l’équipe de Tailwind Traders a-t-elle besoin


d’effectuer des opérations ponctuelles de gestion, d’administration ou de création de
rapports ? Cette fois, nous ne cherchons pas à prendre en charge des tâches de
gestion ou d’administration uniques ou ponctuelles. Nous recherchons une
technologie permettant d’automatiser le déploiement d’une infrastructure entière si
nécessaire.

Deuxièmement, Tailwind Traders a-t-elle besoin d’un moyen répétable et fiable de


déployer l’ensemble de son infrastructure ? Oui, c’est exactement ce dont l’entreprise
a besoin. Nos critères de décision nous conduisent à choisir des modèles Azure
Resource Manager (modèles ARM) pour ce scénario.

Vous pourriez utiliser Azure PowerShell ou Azure CLI, mais ces technologies de script
présentent des limitations significatives en ce qui concerne le déploiement de
l’infrastructure. Les modèles ARM permettent de contourner ces limitations.

Le troisième critère de décision suppose que vous devez écrire un script en code
impératif. Toutefois, lorsque vous utilisez des modèles ARM, vous définissez votre
infrastructure de façon déclarative en code JSON. Dans certains cas, il se peut que
vous ayez besoin de code impératif pour des tâches de configuration ou de
nettoyage. Vous pouvez alors déclencher l’exécution de scripts en utilisant Azure
PowerShell ou Azure CLI pour effectuer ces tâches.

Dans ce cas, des modèles ARM constituent le bon choix.

Résumé
Effectué100 XP
• 1 minute

L’objectif de ce module était d’aider Tailwind Traders à choisir les outils de gestion
cloud de Microsoft appropriés pour ses divers besoins techniques.

Nous avons identifié une série d’options de produit et leurs fonctionnalités, dont le
portail Azure, Azure mobile app, Azure PowerShell, Azure CLI et les modèles Azure
Resource Manager (modèles ARM).

Nous avons analysé des critères de décision pour privilégier une option par rapport à
une autre dans des scénarios spécifiques.
Nous avons ensuite appliqué ces critères de décision à trois initiatives de Tailwind
Traders différentes, contribuant ainsi à aider l’entreprise à trouver la meilleure option
de service pour chaque scénario.

À défaut d’une suite complète d’outils de gestion, l’entreprise serait sérieusement


limitée dans la façon d’interagir avec Azure. Heureusement, Azure offre une
combinaison puissante d’outils de gestion visuelle, d’outils de script impératifs et
d’outils déclaratifs d’infrastructure en tant que code.

Introduction
Effectué100 XP
• 2 minutes

Les systèmes logiciels modernes qui s’exécutent dans le cloud sont complexes. De ce
fait, il est difficile de déterminer l’intégrité et le niveau de performance de
l’environnement d’hébergement d’applications dans toutes ses couches de services.
Heureusement, Microsoft propose plusieurs solutions qui vous aident à réagir
rapidement aux pannes, à effectuer des recherches sur les problèmes intermittents, à
optimiser votre utilisation et à gérer les temps d’arrêt planifiés de façon proactive.

Tailwind Traders, détaillant classique ayant pignon sur rue, connaît aujourd’hui une
croissance explosive de ses ventes de produits en ligne. L’entreprise cherche à
renforcer et à opérationnaliser le contrôle de son environnement cloud. Entre
l’optimisation des dépenses cloud et de sa posture de sécurité, le suivi des problèmes
intermittents et l’anticipation des pannes à venir, elle a plusieurs défis à relever.
Cependant, elle a besoin d’être conseillée pour choisir le produit adapté à chacun de
ces scénarios.

Dans ce module, vous allez découvrir les diverses solutions de supervision de


Microsoft et analyser les critères de décision utilisés par les experts pour sélectionner
le service approprié dans un cas de figure spécifique.

Objectifs d’apprentissage
À l’issue de ce module, vous pourrez :

• Choisir le service de supervision cloud qui répond le mieux aux besoins


de votre entreprise.

Prérequis
• Connaissance des concepts et de la terminologie de base du domaine
informatique
• Une certain connaissance du cloud computing est un plus, mais n’est pas
indispensable.

Identification des produits possibles


Effectué100 XP
• 4 minutes

Toutes les entreprises qui utilisent le cloud font face à des interrogations et à des
préoccupations élémentaires.

• Notre utilisation du cloud est-elle convenable ? Pouvons-nous tirer


davantage de nos dépenses cloud ?
• Avons-nous besoin de dépenser autant ?
• Nos systèmes sont-ils bien sécurisés ?
• Quel est le degré de résilience de nos ressources ? En cas de panne
régionale, pourrions-nous basculer vers une autre région ?
• Comment pouvons-nous diagnostiquer et résoudre les problèmes qui se
produisent de façon intermittente ?
• Comment pouvons-nous identifier rapidement la cause d’une panne ?
• Comment savoir quand auront lieu les temps d’arrêt planifiés ?

Heureusement, vous pouvez utiliser une combinaison de solutions de supervision sur


Azure pour en tirer les avantages suivants :

• Recevez des réponses, des insights et des alertes pour veiller à ce que
votre utilisation du cloud soit bien optimisée.
• Déterminez la cause racine des problèmes non planifiés.
• Anticipez les interruptions planifiées.

Produits possibles
Globalement, il existe trois principales offres de supervision Azure. Chacune est
destinée à une audience et à un cas d’usage précis et propose un large éventail
d’outils, de services, d’API programmatiques, etc.

Azure Advisor

Azure Advisor évalue vos ressources Azure et émet des recommandations pour vous
aider à améliorer la fiabilité, la sécurité et le niveau de performance, à atteindre
l’excellence opérationnelle et à réduire les coûts. Advisor a été conçu pour vous faire
gagner du temps dans l’optimisation du cloud. Le service de recommandation
suggère des actions que vous pouvez entreprendre immédiatement, reporter ou
ignorer.

Les recommandations sont disponibles sur le Portail Azure et par le biais de l’API.
Vous pouvez configurer des notifications pour être averti en cas de nouvelles
recommandations.

Quand vous êtes dans le portail Azure, le tableau de bord Advisor présente des
recommandations personnalisées pour tous vos abonnements. Vous pouvez utiliser
des filtres pour sélectionner des recommandations spécifiques relatives à des
abonnements, groupes de ressources ou services. Les suggestions sont divisées en
cinq catégories :

• Fiabilité : assurer et améliorer la continuité des applications vitales pour


votre entreprise.
• Sécurité : détecter les menaces et vulnérabilités pouvant conduire à des
violations de la sécurité.
• Performances : augmenter la rapidité d’exécution de vos applications.
• Coût : optimiser et réduire vos dépenses Azure globales.
• Excellence opérationnelle : pour suivre les meilleures pratiques en
matière d’efficacité des processus et des workflows, de gestion des
ressources et de déploiement.

Azure Monitor

Azure Monitor est une plateforme destinée à collecter, à analyser, à visualiser et


éventuellement à exploiter des données de métriques et de journalisation issues de
l’ensemble de votre environnement (Azure et local).

Le diagramme suivant illustre l’exhaustivité d’Azure Monitor.


• À gauche figure la liste des sources de données de journalisation et de
métriques qui peuvent être collectées au niveau de chacune des couches
de votre architecture d’applications, de l’application jusqu’au système
d’exploitation et au réseau.
• Au centre, il apparaît que les données de journalisation et de métriques
sont stockées dans des référentiels centraux.
• À droite, les données sont utilisées de différentes façons. Il est possible
de voir le niveau de performance historique et en temps réel de chaque
couche de l’architecture ou bien des informations agrégées et détaillées.
Les données sont affichées à différents niveaux, pour différents publics.
Vous pouvez afficher des rapports généraux dans le tableau de bord
Azure Monitor ou créer des vues personnalisées à l’aide de requêtes
Power BI et Kusto.

Par ailleurs, les données peuvent servir à réagir à des événements critiques en temps
réel, à travers les alertes adressées aux équipes par SMS, e-mail, etc. Il est également
possible de définir des seuils pour déclencher la fonctionnalité de mise à l’échelle
automatique de façon à répondre à la demande au moyen d’un scale-up ou d’un
scale-down.

Certains produits à succès comme Azure Application Insights (service permettant


d’envoyer les informations de télémétrie à Azure à partir du code source de
l’application) utilisent Azure Monitor en arrière-plan. Avec Application Insights, vos
développeurs d’applications peuvent tirer parti de la puissante plateforme d’analyse
de données proposée dans Azure Monitor pour dégager des insights approfondis sur
les opérations d’une application et diagnostiquer les erreurs sans avoir à attendre que
les utilisateurs les signalent.

Azure Service Health

Azure Service Health offre une vue personnalisée de l’intégrité des services, régions et
ressources Azure dont vous dépendez. Le site web status.azure.com présente
seulement les principaux problèmes qui affectent de nombreux clients Azure. Il ne
brosse donc pas un tableau complet. Azure Service Health, à l’inverse, affiche à la fois
les problèmes majeurs et les petits problèmes localisés que vous rencontrez. Même si
les problèmes qui touchent le service sont rares, il est important de se parer à
l’imprévu. Vous pouvez configurer des alertes pour faire le tri entre les pannes et les
opérations de maintenance planifiées. Après une panne, Service Health fournit des
rapports d’incident officiels appelés « analyses des causes racines ». Vous pouvez les
partager avec les parties prenantes.

Service Health vous aide à garder un œil sur plusieurs types d’événements :
• Les problèmes de service sont des problèmes liés à Azure (par exemple,
des pannes) qui vous affectent sur le moment. Vous pouvez explorer au
niveau du détail les services, régions et mises à jour (apportées par vos
équipes d’ingénierie) concernés et trouver des moyens de partager et de
suivre les dernières informations.
• Les événements de maintenance planifiée peuvent affecter votre
disponibilité. Vous pouvez explorer au niveau du détail les services et
régions, et voir l’impact d’un événement ainsi que les mesures à prendre.
La plupart de ces événements sont sans effets et ne sont pas affichés ici.
Dans les rares cas où un redémarrage est nécessaire, Service Health vous
permet de choisir à quel moment effectuer la maintenance afin de
réduire le temps d’arrêt.
• Les avis d’intégrité sont des problèmes qui vous obligent à agir pour
éviter une interruption du service, avec notamment le retrait de services
et des changements cassants. Les avis d’intégrité sont annoncés bien à
l’avance pour vous permettre de prévoir.

Analyser les critères de décision


Effectué100 XP

• 3 minutes

Dans cette unité, vous allez analyser les critères utilisés par les experts pour choisir un
service de monitoring Azure dans le cadre d’un besoin spécifique de l’entreprise.
Familiarisez-vous avec ces critères pour mieux évaluer les différences subtiles entre
les produits.

Avez-vous besoin d’analyser la manière dont vous utilisez Azure pour réduire les
coûts, améliorer la résilience ou durcir votre sécurité ?

Choisissez Azure Advisor si vous êtes à la recherche d’une analyse de vos ressources
déployées. Azure Advisor analyse la configuration et l’utilisation de vos ressources et
vous propose des suggestions qui s’appuient sur les meilleures pratiques des experts
pour optimiser la fiabilité, la sécurité, le niveau de performance, les coûts et les
opérations.

Souhaitez-vous superviser les services Azure ou votre utilisation d’Azure ?

Si vous souhaitez surveiller Azure proprement dit, en particulier les services et les
régions dont vous dépendez, choisissez Azure Service Health. Vous y trouverez l’état
actuel des services Azure sur lesquels vous vous appuyez, les interruptions planifiées
et les services qui seront désactivés. Vous pourrez configurer des alertes de façon à
rester au fait des incidents et des temps d’arrêt à venir sans avoir à consulter
régulièrement le tableau de bord.

Si en revanche vous voulez assurer le suivi du niveau de performance ou des


problèmes liés à vos instances de machines virtuelles ou de conteneurs, à vos bases
de données, à vos applications, etc., accédez à Azure Monitor et créez des rapports et
des notifications pour mieux comprendre le fonctionnement de vos services et
diagnostiquer les problèmes liés à votre utilisation d’Azure.

Avez-vous besoin de mesurer des événements personnalisés en même temps que les
autres métriques d’utilisation ?

Choisissez Azure Monitor si vous souhaitez mesurer des événements personnalisés en


même temps que les autres données de télémétrie collectées. Les événements
personnalisés (par exemple, les événements ajoutés dans le code source de vos
applications logicielles) peuvent vous aider à identifier et à diagnostiquer le
comportement de votre application.

Vous avez besoin de configurer des alertes pour être informé des pannes ou du
déploiement imminent de nouvelles instances via la mise à l’échelle automatique ?

Là encore, Azure Monitor est le choix qui s’impose pour configurer des alertes
portant sur les événements clés liés à vos ressources en particulier.

Utiliser Azure Advisor


Effectué100 XP
• 3 minutes

Tailwind Traders souhaite optimiser ses dépenses cloud. Par ailleurs, l’organisation se
préoccupe des violations de la sécurité dans la mesure où elle stocke des données
client et des données d’achat historiques dans des bases de données cloud.
Maintenant que son expertise cloud se développe, elle souhaite mieux comprendre
son utilisation du cloud et les meilleures pratiques. Elle veut également déterminer
avec précision sur quels points elle peut facilement rationnaliser ses dépenses cloud
et ses procédures de sécurité.

Quel service choisir ?


Appliquons les critères de décision que vous avez découverts dans le cadre de l’unité
précédente pour opérer le bon choix.
Premièrement, dans ce scénario, Tailwind Traders a-t-elle besoin d’analyser son
utilisation d’Azure à des fins d’optimisation ? Oui. Consciente de dépenser
potentiellement trop et soucieuse de ses pratiques de sécurité, elle souhaite faire
analyser son utilisation du cloud par rapport aux meilleures pratiques du secteur. Par
conséquent, Azure Advisor est le choix idéal pour ce scénario.

Vous avez peut-être trouvé le produit adéquat. Cela étant, poursuivons quand même
notre évaluation des critères de décision dans ce scénario.

Deuxièmement, dans ce scénario, Tailwind Traders souhaite-t-elle superviser


l’intégrité des services Azure qui affectent tous les clients ou les ressources déployées
dans Azure ? Les opérations n’ont pas d’importance dans ce scénario. Pourtant, Azure
Advisor analyse et fournit des recommandations pour parvenir à l’excellence
opérationnelle.

Troisièmement, dans ce scénario, Tailwind Traders souhaite-t-elle mesurer des


événements personnalisés en même temps que les autres métriques d’utilisation ?
Non, la mesure d’événements personnalisés ne fait pas partie des exigences
formulées ni des points pris en compte dans ce scénario.

Quatrièmement, dans ce scénario, Tailwind Traders souhaite-t-elle configurer des


alertes pour les pannes ou le déploiement imminent de nouvelles instances via la
mise à l’échelle automatique ? Là encore, les opérations n’ont pas d’importance dans
ce scénario. Pourtant, Azure Advisor analyse et fournit des recommandations pour
parvenir à l’excellence opérationnelle.

Azure Advisor est le produit qu’il faut à Tailwind Traders pour mieux comprendre et
optimiser à la fois ses dépenses cloud et sa posture de sécurité cloud. Il peut aussi lui
être utile par rapport à d’autres aspects de son utilisation du cloud.

Utiliser Azure Monitor


Effectué100 XP
• 3 minutes

Le site web d’e-commerce de Tailwind Traders rencontre des erreurs intermittentes


dont la cause reste floue. Compte tenu de leur nature, l’équipe soupçonne qu’il
s’agisse d’un problème de base de données ou de mise en cache. Dans quelles
circonstances les erreurs se produisent-elles ? Se produisent-elles uniquement aux
heures de pointe ? Quel est l’état de l’instance Azure SQL de l’équipe ? Quel est l’état
de son serveur de mise en cache Redis ? Comment peut-elle remonter la trace des
problèmes jusqu’à leur cause racine ?
Quel service choisir ?
Comme dans l’unité précédente, appliquez les critères de décision que vous avez
appris pour trouver l’option adaptée.

Premièrement, dans ce scénario, Tailwind Traders a-t-elle besoin d’une analyse de


son utilisation d’Azure à des fins d’optimisation ? Non. L’optimisation n’est pas
l’objectif de l’équipe dans ce scénario. Azure Advisor ne constitue donc pas un bon
candidat.

Deuxièmement, dans ce scénario, Tailwind Traders souhaite-t-elle superviser


l’intégrité des services Azure qui affectent tous les clients ou les ressources déployées
dans Azure ? Sachant que ce problème se produit de façon intermittente, il est peu
probable qu’il affecte l’ensemble d’une région ou d’un service Azure. Il existe plus
vraisemblablement un problème de logique quelque part dans le code du site web
d’e-commerce, ou un problème d’une autre nature qui provoque des défaillances de
base de données ou des verrous de mise en cache. Dans ce scénario, l’équipe
pourrait utiliser Azure Monitor pour identifier avec précision une session utilisateur
spécifique et examiner le niveau de performance de chaque service impliqué dans le
problème.

Troisièmement, dans ce scénario, Tailwind Traders souhaite-t-elle mesurer des


événements personnalisés en même temps que les autres métriques d’utilisation ?
Oui. Les développeurs de logiciels peuvent envoyer des informations supplémentaires
sur l’état de l’application web avec Application Insights pour faciliter l’identification
de la cause racine du problème. Application Insights s’appuie sur la plateforme Azure
Monitor pour stocker les informations sur les événements personnalisés.

Quatrièmement, dans ce scénario, Tailwind Traders souhaite-t-elle configurer des


alertes en cas de panne ou de déploiement imminent de nouvelles instances dans le
cadre de la mise à l’échelle automatique ? Non. Leur objectif n’est pas de définir des
alertes dans ce scénario.

Azure Monitor est le meilleur choix possible pour aider Tailwind Traders à remonter la
trace de ce problème intermittent. Grâce à la multitude d’outils dont elle disposera,
l’équipe pourra obtenir des insights sur le niveau de performance global de
l’application et analyser de manière approfondie les problèmes spécifiques.

Utiliser Azure Service Health


Effectué100 XP
• 3 minutes
Tailwind Traders cherche à opérationnaliser son environnement cloud. Plus
précisément, l’équipe chargée des opérations cloud veut informer à l’avance les
parties prenantes des temps d’arrêt planifiés. Elle souhaite également que ses
architectes de solution soient prévenus des intentions de Microsoft d’éteindre des
services de façon à pouvoir remanier ses produits logiciels en conséquence.

En cas de panne, l’équipe doit pouvoir déterminer rapidement si le problème touche


uniquement ses services ou s’il s’agit d’une interruption de service qui affecte de
nombreux clients Azure. Elle souhaite aussi fournir aux principales parties prenantes
des rapports expliquant notamment comment et pourquoi l’incident s’est produit.

Quel service choisir ?


Là encore, appliquez les critères de décision que vous avez appris pour trouver le
produit adapté.

Premièrement, dans ce scénario, Tailwind Traders a-t-elle besoin d’analyser son


utilisation d’Azure à des fins d’optimisation ? Non. Azure Advisor ne constitue donc
pas un bon candidat pour ce scénario.

Deuxièmement, dans ce scénario, Tailwind Traders souhaite-t-elle superviser


l’intégrité des services Azure qui affectent tous les clients ou les ressources déployées
dans Azure ? Dans ce scénario, la condition à remplir est de rester informé des temps
d’arrêt planifiés. Par ailleurs, l’équipe souhaite capturer les rapports d’incident
officiels. C’est pour cette raison qu’Azure Service Health est le candidat à privilégier
pour ce scénario.

Même s’il est probable que vous choisissiez Azure Service Health, poursuivons notre
évaluation des critères de décision restants.

Troisièmement, dans ce scénario, Tailwind Traders souhaite-t-elle mesurer des


événements personnalisés en même temps que les autres métriques d’utilisation ?
Non, la mesure d’événements personnalisés ne fait pas partie des exigences
formulées ni des points pris en compte dans ce scénario.

Quatrièmement, dans ce scénario, Tailwind Traders souhaite-t-elle configurer des


alertes pour les pannes ou le déploiement imminent de nouvelles instances via la
mise à l’échelle automatique ? Si la configuration d’alertes en cas de panne fait partie
des conditions à remplir dans ce scénario, il n’est pas nécessaire de créer des alertes
pour d’autres événements comme la mise à l’échelle automatique. Utilisez Azure
Service Health pour configurer des alertes propres aux pannes Azure qui ont une
incidence sur tous les clients Azure. Choisissez Azure Monitor pour configurer des
alertes en cas de panne ou autres événements qui affectent uniquement vos
ressources.

Dans ce scénario, Azure Service Health est le bon choix.

Résumé
Effectué100 XP
• 1 minute

L’objectif de ce module était d’aider Tailwind Traders à explorer plusieurs offres de


services de supervision d’Azure à appliquer à différents scénarios métier.

Nous avons identifié trois produits possibles ainsi que leurs fonctionnalités : Azure
Advisor, Azure Monitor et Azure Service Health. Nous avons analysé des critères de
décision permettant de privilégier une option par rapport à une autre dans certains
scénarios. Nous avons ensuite appliqué ces critères aux trois problématiques
auxquelles faisait face Tailwind Traders, en l’aidant à trouver le service le mieux
adapté au scénario.

Sans les services de supervision, Tailwind Traders dépenserait plus d’argent dans son
environnement cloud ; elle ne connaîtrait pas sa posture de sécurité cloud ; elle aurait
des difficultés à identifier avec précision les problèmes de sa logique d’application ;
elle ne saurait pas anticiper de façon proactive les pannes ni fournir des rapports de
panne formels aux parties prenantes.

Les services de supervision Azure proposent un ensemble complet de fonctionnalités


destinées à améliorer les opérations cloud de l’entreprise.

Introduction
Effectué100 XP
• 1 minute

Dans ce module, vous allez découvrir certains des outils de sécurité qui peuvent vous
aider à sécuriser votre infrastructure et vos données quand vous travaillez dans le
cloud.

La sécurité est un petit mot pour un concept significatif. Il y a tellement de facteurs à


prendre en compte pour protéger vos applications et vos données. Comment Azure
vous aide-t-il à protéger les charges de travail que vous exécutez dans le cloud et
dans votre centre de données local ?

À la rencontre de Tailwind Traders


Tailwind Traders est une société fictive de vente au détail de produits
d’aménagement de la maison. Elle a des points de vente de matériel dans le monde
entier et en ligne.

L’entreprise Tailwind Traders est spécialisée dans la compétitivité prix, des livraisons
rapides et dispose d’une gamme d’articles étendue. Elle envisage le recours aux
technologies cloud dans le but d’optimiser ses activités commerciales et de soutenir
la croissance sur les nouveaux marchés. En migrant vers le cloud, l’entreprise espère
proposer une expérience d’achat plus aboutie et ainsi se démarquer de la
concurrence.

Comment Tailwind Traders opère-t-elle de manière


sécurisée dans le cloud et dans le centre de données ?
Tailwind Traders exécute une combinaison de charges de travail sur Azure et dans
son centre de données.

L’entreprise doit garantir que tous ses systèmes sont conformes à un niveau de
sécurité minimal et que ses informations sont protégées contre les attaques. Elle a
également besoin d’un moyen de collecter et de traiter les événements de sécurité
sur l’ensemble de son patrimoine numérique.

Examinons comment Tailwind Traders peut utiliser certains outils et fonctionnalités


dans Azure dans le cadre de sa stratégie de sécurité globale.

Objectifs d’apprentissage
À l’issue de ce module, vous pourrez :

• Renforcer votre posture de sécurité et vous protéger contre les menaces


à l’aide d’Azure Security Center
• Collecter et exploiter les données de sécurité de nombreuses sources
différentes à l’aide d’Azure Sentinel
• Stocker des informations sensibles telles que des mots de passe et des
clés de chiffrement de manière sécurisée dans Azure Key Vault et y
accéder
• Gérer des serveurs physiques dédiés afin d’héberger vos machines
virtuelles Azure pour Windows et Linux à l’aide d’Azure Dedicated Host

Prérequis
• Vous devez être familiarisé avec les concepts et la terminologie de base
du domaine informatique.
• Connaître le cloud computing est un plus, mais n’est pas indispensable.

Se protéger contre les menaces de


sécurité à l’aide d’Azure Security Center
Effectué100 XP
• 6 minutes

Tailwind Traders élargit son utilisation des services Azure. L’entreprise dispose
toujours de charges de travail locales avec des procédures métiers et de bonnes
pratiques en matière de configuration de la sécurité. Comment s’assure-t-elle que
tous ses systèmes sont conformes à un niveau de sécurité minimal et que ses
informations sont protégées contre les attaques ?

De nombreux services Azure incluent des fonctionnalités de sécurité intégrées. Des


outils sur Azure peuvent également aider Tailwind Traders pour cette exigence.
Commençons par examiner Azure Security Center.

Qu’est-ce qu’Azure Security Center ?


Azure Security Center est un service de supervision qui fournit une visibilité de votre
posture de sécurité sur l’ensemble de vos services, à la fois sur Azure et localement.
Le terme posture de sécurité fait référence aux stratégies et aux contrôles de
cybersécurité ainsi qu’à la manière dont vous pouvez prédire, prévenir les menaces
de sécurité et répondre à ces dernières.

Security Center peut :

• Superviser les paramètres de sécurité dans les charges de travail locales


et dans le cloud.
• Appliquer automatiquement les paramètres de sécurité requis aux
nouvelles ressources au fur et à mesure qu’elles sont en ligne.
• Fournir des recommandations de sécurité basées sur vos configurations,
ressources et réseaux actuels.
• Superviser en permanence vos ressources et effectuer des évaluations de
la sécurité automatiques pour identifier les vulnérabilités potentielles
avant que celles-ci ne soient éventuellement exploitées.
• Utiliser le machine learning pour détecter et bloquer l’installation de
logiciels malveillants sur vos machines virtuelles et les autres ressources.
Vous pouvez également utiliser des contrôles d’application
adaptatifs pour définir des règles qui listent les applications autorisées
afin que seules les applications que vous autorisez puissent s’exécuter.
• Détecter et analyser les attaques entrantes potentielles et examiner les
menaces et toute activité après violation de la sécurité pouvant s’être
produite.
• Contrôler l’accès juste-à-temps aux ports réseau. Cela permet de réduire
la surface d’attaque en veillant à ce que le réseau n’autorise que le trafic
strictement nécessaire au moment où vous en avez besoin.

Cette brève vidéo explique comment Security Center peut vous aider à renforcer la
sécurité de vos réseaux, à sécuriser et superviser vos ressources cloud et à améliorer
votre posture de sécurité globale.

Comprendre votre posture de sécurité


Tailwind Traders peut utiliser Security Center pour obtenir une analyse détaillée des
différents composants de son environnement. Les ressources de l’entreprise étant
analysées par rapport aux contrôles de sécurité de toutes les stratégies de
gouvernance qu’elle a affectées, elle peut avoir un aperçu de sa conformité
réglementaire globale du point de vue de la sécurité à partir d’un emplacement
unique.

Consultez l’exemple suivant illustrant ce que vous pouvez voir dans Azure
Security Center.
Supposons que Tailwind Traders doit se conformer à la norme PCI DSS (Payment
Card Industry Data Security Standard). Ce rapport indique que la société dispose de
ressources qu’elle doit améliorer.

Dans la section Hygiène de sécurité des ressources, Tailwind Traders peut voir
l’intégrité de ses ressources du point de vue de la sécurité. Pour vous aider à
hiérarchiser les actions de correction, les recommandations sont classées en trois
niveaux de gravité : faible, moyenne et élevée. Voici un exemple.
Qu’est-ce que le degré de sécurisation ?

Le degré de sécurisation est une mesure de la posture de sécurité d’une organisation.

Le degré de sécurisation est basé sur des contrôles de sécurité ou des groupes de
recommandations de sécurité associées. Votre degré est basé sur le pourcentage de
contrôles de sécurité auxquels vous satisfaites. Plus le nombre de contrôles de
sécurité auxquels vous satisfaites est grand, plus le degré que vous obtenez est élevé.
Votre degré s’améliore quand vous traitez toutes les recommandations pour une
même ressource dans un contrôle.

Voici un exemple du portail Azure présentant un degré de 57 % ou 34 points sur 60.

En suivant les recommandations relatives au degré de sécurisation, vous pouvez


protéger votre organisation contre les menaces. À partir d’un tableau de bord
centralisé dans Azure Security Center, les organisations peuvent superviser et traiter
la sécurité de leurs ressources Azure, telles que les identités, les données, les
applications, les appareils et l’infrastructure.

Le degré de sécurisation vous aide à :

• Créer un rapport sur l’état actuel de la posture de sécurité de votre


organisation
• Améliorer votre posture de sécurité en fournissant une détectabilité, une
visibilité, des conseils et un contrôle
• Effectuer une comparaison avec des tests d’évaluation et établir des
indicateurs de performance clés (KPI)

Vous protéger contre les menaces


Security Center comprend des fonctionnalités de défense de cloud avancée pour les
machines virtuelles, la sécurité du réseau et l’intégrité des fichiers. Jetons un coup
d’œil sur la façon dont certaines de ces fonctionnalités s’appliquent à Tailwind
Traders.

• Accès juste-à-temps aux machines virtuelles Tailwind Traders va


configurer l’accès juste-à-temps aux machines virtuelles. Cet accès
bloque par défaut le trafic sur des ports réseau spécifiques des machines
virtuelles, mais autorise le trafic pendant une période spécifiée quand un
administrateur le demande et l’approuve.
• Contrôles d’application adaptatifs Tailwind Traders peut contrôler les
applications qui sont autorisées à s’exécuter sur ses machines virtuelles.
En arrière-plan, Security Center utilise le machine learning pour examiner
les processus en cours d’exécution sur une machine virtuelle. Il crée des
règles d’exception pour chaque groupe de ressources contenant les
machines virtuelles et fournit des recommandations. Ce processus fournit
des alertes qui l’informent des applications non autorisées s’exécutant
sur ses machines virtuelles.
• Durcissement de réseau adaptatif Security Center peut superviser les
modèles de trafic Internet des machines virtuelles et comparer ces
modèles avec les paramètres de groupe de sécurité réseau (NSG) actuels
de l’entreprise. Security Center peut alors formuler des recommandations
indiquant si les groupes de sécurité réseau doivent être verrouillés
davantage et fournir des étapes de correction.
• Monitoring de l’intégrité des fichiers Tailwind Traders peut également
configurer le monitoring des modifications apportées aux fichiers
importants sur Windows et Linux, des paramètres du Registre, des
applications et d’autres aspects susceptibles d’indiquer une attaque de
sécurité.
Répondre à des alertes de sécurité
Tailwind Traders peut utiliser Security Center pour obtenir une vue centralisée de
toutes les alertes de sécurité. L’entreprise peut alors ignorer les fausses alertes, les
analyser plus en détail, corriger manuellement des alertes, ou utiliser une réponse
automatisée avec une automatisation de workflow.

L’automatisation de workflow utilise des connecteurs Security Center et Azure Logic


Apps. L’application logique peut être déclenchée par une alerte de détection des
menaces ou par une recommandation de Security Center, filtrée par nom ou par
gravité. Vous pouvez ensuite configurer l’application logique pour qu’elle exécute
une action, comme l’envoi d’un e-mail ou la publication d’un message sur un canal
Microsoft Teams.

Détecter les menaces de sécurité, et y


répondre, à l’aide d’Azure Sentinel
Effectué100 XP
• 4 minutes

La gestion de la sécurité à grande échelle peut tirer parti d’un système SIEM (Security
Information and Event Management) dédié. Un système SIEM agrège les données de
sécurité provenant de nombreuses sources différentes (sous réserve que ces sources
prennent en charge un format de journalisation standard ouvert). Ce système fournit
également des fonctionnalités pour la détection des menaces et la réponse à celles-
ci.

Azure Sentinel est le système SIEM cloud de Microsoft. Il s’appuie sur l’analyse des
menaces et l’analytique de sécurité de Microsoft.

Fonctionnalités d’Azure Sentinel


Azure Sentinel vous permet d’effectuer les opérations suivantes :

• Collecter les données cloud à grande échelle Collectez des données


auprès de l’ensemble des utilisateurs, des appareils, des applications et
de l’infrastructure en local et dans plusieurs clouds.
• Détecter les menaces non détectées Réduisez au minimum les faux
positifs en utilisant l’analytique et le renseignement sur les menaces
fournis par Microsoft.
• Investiguer les menaces en utilisant l’intelligence artificielle Examinez
les activités suspectes à grande échelle en profitant des années
d’expérience de Microsoft en matière de cybersécurité.
• Répondre aux incidents rapidement Utilisez l’orchestration et
l’automatisation intégrées des tâches courantes.

Connecter vos sources de données


Tailwind Traders décide d’explorer les fonctionnalités d’Azure Sentinel. Tout d’abord,
l’entreprise identifie et connecte ses sources de données.

Azure Sentinel prend en charge un certain nombre de sources de données, qu’il peut
analyser à la recherche d’événements de sécurité. Ces connexions sont gérées par des
API et des formats de journal standard ou des connecteurs intégrés.

• Connecter les solutions Microsoft Les connecteurs offrent une


intégration en temps réel pour les services tels que les solutions
Protection Microsoft contre les menaces, les sources Microsoft 365 (y
compris Office 365), Azure Active Directory et le pare-feu Windows
Defender.
• Connecter d’autres services et solutions Les connecteurs sont
disponibles pour des services et des solutions courants non-Microsoft,
notamment AWS CloudTrail, Citrix Analytics (Security), Sophos XG
Firewall, VMware Carbon Black Cloud et Okta SSO.
• Connecter des sources de données standard du secteur Azure Sentinel
prend en charge les données d’autres sources qui utilisent le standard de
messagerie CEF (Common Event Format), Syslog ou l’API REST.

Détecter les menaces


Tailwind Traders doit être averti en cas de problème. L’entreprise décide d’utiliser à la
fois l’analytique intégrée et des règles personnalisées pour détecter les menaces.

L’analytique intégrée utilise des modèles conçus par des analystes et des experts en
sécurité de l’équipe de Microsoft en fonction de menaces connues, de vecteurs
d’attaque courants et de chaînes d’escalade d’activités suspectes. Ces modèles
peuvent être personnalisés et explorer l’environnement à la recherche de toute
activité qui semble suspecte. Il existe des modèles qui utilisent une analytique
comportementale du Machine Learning basée sur les algorithmes propriétaires de
Microsoft.
L’analytique personnalisée désigne les règles que vous créez pour rechercher des
critères spécifiques dans votre environnement. Vous pouvez afficher un aperçu du
nombre de résultats que la requête génèrerait (en fonction des événements de
journal passés) et définir une planification pour la requête à exécuter. Vous pouvez
également définir un seuil d’alerte.

Examiner et répondre
Quand Azure Sentinel détecte des événements suspects, Tailwind Traders peut
examiner des incidents (groupe d’alertes associées) ou des alertes spécifiques. Avec le
graphe d’investigation, l’entreprise peut passer en revue les informations des entités
directement connectées à l’alerte et voir les requêtes d’exploration courantes pour
guider son investigation.

Voici un exemple qui montre à quoi ressemble un graphe d’investigation dans


Azure Sentinel.
Elle utilise également des classeurs Azure Monitor pour automatiser les réponses aux
menaces. Par exemple, elle peut définir une alerte qui recherche des adresses IP
malveillantes qui accèdent au réseau et créer un classeur qui effectue les étapes
suivantes :

1. Quand l’alerte est déclenchée, ouvrir un ticket dans le système de gestion


de tickets informatique.
2. Envoyer un message au canal des opérations de sécurité dans Microsoft
Teams ou Slack pour s’assurer que les analystes de la sécurité aient
connaissance de l’incident.
3. Envoyer toutes les informations de l’alerte à l’administrateur réseau
senior et à l’administrateur de la sécurité. L’e-mail comprend deux cases
d’option utilisateur : Bloquer ou Ignorer.
Quand un administrateur choisit Bloquer, l’adresse IP est bloquée dans le pare-feu et
l’utilisateur est désactivé dans Azure Active Directory. Quand un administrateur
choisit Ignorer, l’alerte est fermée dans Azure Sentinel et l’incident est fermé dans le
système de gestion de tickets informatique.

Le classeur continue à s’exécuter après la réception d’une réponse de la part des


administrateurs.

Les classeurs peuvent être exécutés manuellement ou automatiquement quand une


règle déclenche une alerte.

Stocker et gérer des secrets à l’aide


d’Azure Key Vault
Effectué100 XP
• 3 minutes

Quand Tailwind Traders crée ses charges de travail dans le cloud, les informations
sensibles telles que des mots de passe, les clés de chiffrement et les certificats
doivent être gérées avec prudence. Ces informations sont indispensables au
fonctionnement d’une application, mais elles pourraient permettre à une personne
non autorisée d’accéder aux données d’application.

Azure Key Vault est un service cloud centralisé conçu pour le stockage des secrets
d’une application, à un emplacement central unique. Il fournit un accès sécurisé aux
informations sensibles au travers de fonctionnalités de contrôle d’accès et de
journalisation.

Que peut faire Azure Key Vault ?


Azure Key Vault peut vous aider à :

• Gérer les secrets Vous pouvez stocker de façon sécurisée et contrôler


étroitement l’accès aux jetons, mots de passe, certificats, clés API et
autres secrets.
• Gérer les clés de chiffrement Vous pouvez utiliser Key Vault comme
solution de gestion des clés. Key Vault simplifie la création et le contrôle
des clés de chiffrement qui sont utilisées pour chiffrer vos données.
• Gérer les certificats SSL/TLS Key Vault vous permet de provisionner,
gérer et déployer vos certificats SSL/TLS (Secure Sockets Layer/Transport
Layer Security) publics et privés pour vos ressources Azure et vos
ressources internes.
• Stocker les secrets protégés par des modules de sécurité matériels
(HSM) Ces secrets et clés peuvent être protégés soit par logiciel, soit par
des modules HSM FIPS 140-2 de niveau 2 validés.

Voici un exemple qui illustre un certificat utilisé à des fins de test dans Key Vault.

Vous ajouterez un secret à Key Vault plus loin dans ce module.

Quels sont les avantages d’Azure Key Vault ?


Les avantages de l’utilisation de Key Vault sont les suivants :

• Secrets d’application centralisés La centralisation du stockage de vos


secrets d’application vous permet de contrôler leur distribution et réduit
les risques de fuite accidentelle des secrets.
• Secrets et clés stockés de façon sécurisée Azure utilise des modules
HSM, des longueurs de clé et algorithmes standard. L’accès à Key Vault
nécessite une authentification et une autorisation appropriées.
• Supervision des accès et contrôle d’accès Key Vault vous permet de
superviser et de contrôler l’accès aux secrets de vos applications.
• Administration simplifiée des secrets d’application Key Vault facilite
l’inscription et le renouvellement des certificats auprès des autorités de
certification publiques. Vous pouvez aussi effectuer un scale-up et
répliquer du contenu dans plusieurs régions et utiliser des outils de
gestion de certificats standard.
• Intégration à d’autres services Azure Vous pouvez intégrer Key Vault
dans des comptes de stockage, des registres de conteneurs, des hubs
d’événements et de nombreux autres services Azure. Ces services
peuvent ensuite référencer de façon sécurisée les secrets stockés dans le
coffre de clés.

Exercice : Gérer un mot de passe dans


Azure Key Vault
Effectué100 XP
• 5 minutes
Bac à sable activé. Temps restant :
26 min

Vous avez utilisé 2 bacs à sable sur la limite de 10 disponible aujourd’hui. D’autres
bacs à sable seront disponibles demain.

Dans cet exercice, vous ajoutez un mot de passe à Azure Key Vault. Un mot de passe
est un exemple d’informations sensibles que vous devez protéger. Vous devez
ensuite lire le mot de passe à partir d’Azure Key Vault pour vérifier qu’il est accessible.

Dans la pratique, il existe plusieurs façons d’ajouter des secrets à Key Vault et d’y en
lire. Vous pouvez utiliser le portail Azure, l’interface de ligne de commande Azure ou
Azure PowerShell. À l’aide de votre langage de programmation préféré, vos
applications peuvent également accéder de façon sécurisée aux secrets dont elles ont
besoin.

Ici, vous créez un secret dans Key Vault à l’aide du portail Azure. Vous accédez
ensuite au secret à partir du portail et à partir de l’interface de ligne de commande
Azure dans Azure Cloud Shell.

Azure CLI est un moyen d’utiliser des ressources Azure à partir de la ligne de
commande ou de scripts. Cloud Shell est un shell dans un navigateur qui permet de
gérer et de développer des ressources Azure. Vous pouvez considérer que Cloud
Shell est une console interactive qui s’exécute dans le cloud.

Création d’un coffre de clés


1. Accédez au portail Azure.
2. Dans le menu du portail Azure ou dans la page Accueil,
sous Services Azure, sélectionnez Créer une ressource. Le volet Créer
une ressource apparaît.
3. Dans la barre de recherche, entrez Key Vault, puis sélectionnez Key
Vault dans les résultats. Le volet Coffre de clés s’affiche.
4. Sélectionnez Create (Créer). Le volet Créer un coffre de clés s’affiche.
5. Sous l’onglet Informations de base, entrez les valeurs suivantes pour
chaque paramètre.

Notes

Remplacez NNN par une série de nombres. Le nom de votre coffre de


clés est ainsi unique.

Paramètre

Valeur

Détails du projet

Abonnement

Abonnement Concierge

Groupe de ressources

learn-c2db1e44-9b4b-4113-9b2b-5e7f563403fb

Détails de l’instance

Nom du coffre de clés

my-keyvault-NNN où NNN est un identificateur unique

Acceptez les paramètres restants avec leurs valeurs par défaut.

6. Sélectionnez Vérifier + créer, et après avoir passé la validation,


sélectionnez Créer.

Attendez la fin correcte du déploiement.


7. Sélectionnez Accéder à la ressource.
8. Prenez note de certains détails concernant votre coffre de clés.

Par exemple, le champ URI du coffre indique l’URI que votre application
peut utiliser pour accéder à votre coffre à partir de l’API REST.

Voici un exemple de coffre de clés appelé my-keyvault-321 :


9. Si vous le souhaitez, vous pouvez examiner certaines autres
fonctionnalités dans le volet du menu de gauche, sous Paramètres.

Bien qu’ils soient initialement vides, vous y trouverez des emplacements


où vous pouvez stocker des clés, des secrets et des certificats.

Notes

Votre abonnement Azure est le seul autorisé à accéder à ce coffre.


Sous Paramètres, la fonctionnalité Stratégies d’accès vous permet de
configurer l’accès au coffre.

Ajouter un mot de passe au coffre de clés


1. Dans le volet du menu de gauche, sous Paramètres,
sélectionnez Secrets. Le volet de votre coffre de clés s’affiche.
2. Dans la barre de menus supérieure, sélectionnez Générer/importer. Le
volet Créer un secret s’affiche.
3. Renseignez chaque champ avec les valeurs suivantes.

Paramètre

Valeur

Options de chargement

Manuel

Nom

MyPassword

Value

hVFkk96

Acceptez les paramètres restants avec leurs valeurs par défaut. Notez que
vous pouvez spécifier des propriétés comme la date d’activation et la
date d’expiration. Vous pouvez également désactiver l’accès au secret.

4. Sélectionnez Create (Créer).


Afficher le mot de passe
Ici, vous accédez au mot de passe à partir de Key Vault deux fois. Vous y accédez
d’abord à partir du portail Azure. Vous y accédez ensuite à partir de l’interface Azure
CLI.

1. À partir du volet Key Vault/Secrets, sélectionnez MyPassword. Le


volet MyPassword/Versions s’affiche. Vous voyez que la version actuelle
est activée.

2. Sélectionnez la version actuelle. Le volet Version du secret s’affiche.

Sous Identificateur de secret, vous voyez un URI que vous pouvez


désormais utiliser avec les applications pour accéder au secret. N’oubliez
pas que seules les applications autorisées peuvent accéder à ce secret.

3. Sélectionnez Afficher la valeur du secret. La valeur unique de cette


version du mot de passe apparaît.

4. À partir de Cloud Shell, exécutez cette commande.

Notes

Remplacez my-keyvault-NNN par le nom que vous avez utilisé


précédemment.

Azure CLICopier
az keyvault secret show \
--name MyPassword \
--vault-name my-keyvault-NNN \
--query value \
--output tsv

Vous voyez le mot de passe dans la sortie.

SortieCopier
hVFkk96

Beau travail ! À ce stade, vous disposez d’un coffre de clés contenant un secret de
mot de passe qui est stocké de manière sécurisée pour une utilisation avec vos
applications.
Nettoyage
Le bac à sable nettoie automatiquement vos ressources une fois que vous avez
terminé ce module.

Lorsque vous travaillez dans votre propre abonnement, il est judicieux à la fin d’un
projet de déterminer si vous avez encore besoin des ressources que vous avez créées.
Les ressources laissées en cours d’exécution peuvent vous coûter de l’argent. Vous
pouvez supprimer les ressources individuellement ou supprimer le groupe de
ressources pour supprimer l’ensemble des ressources.

Héberger vos machines virtuelles Azure


sur des serveurs physiques dédiés à
l’aide d’Azure Dedicated Host
Effectué100 XP
• 2 minutes

Sur Azure, les machines virtuelles s’exécutent sur du matériel partagé géré par
Microsoft. Bien que le matériel sous-jacent soit partagé, vos charges de travail de
machine virtuelle sont isolées des charges de travail exécutées par les autres clients
Azure.

Certaines organisations doivent respecter la conformité réglementaire qui exige


qu’elles soient le seul client qui utilise la machine physique sur laquelle sont
hébergées leurs machines virtuelles. Azure Dedicated Host fournit des serveurs
physiques dédiés afin d’héberger vos machines virtuelles Azure pour Windows et
Linux.

Voici un diagramme qui montre comment les machines virtuelles sont liées à des
hôtes dédiés et des groupes hôtes. Un hôte dédié est mappé à un serveur physique
dans un centre de centres Azure. Un groupe hôte est une collection d’hôtes dédiés.
Quels sont les avantages d’Azure Dedicated Host ?
Azure Dedicated Host :

• Vous offre une visibilité et un contrôle sur l’infrastructure de serveur qui


exécute vos machines virtuelles Azure.
• Aide à répondre aux exigences de conformité en déployant vos charges
de travail sur un serveur isolé
• Vous permet de choisir le nombre de processeurs, les fonctionnalités de
serveur, la série de machines virtuelles et les tailles de machines virtuelles
dans le même hôte

Considérations relatives à la disponibilité de


Dedicated Host
Une fois qu’un hôte dédié a été provisionné, Azure l’attribue au serveur physique
dans le centre de données de Microsoft.

Pour une haute disponibilité, vous pouvez provisionner plusieurs hôtes dans
un groupe hôte et déployer vos machines virtuelles sur ce groupe. Les machines
virtuelles sur les hôtes dédiés peuvent également tirer parti du contrôle de
maintenance. Cette fonctionnalité qui vous permet de contrôler le moment où les
mises à jour de maintenance ordinaires se produisent, dans une fenêtre mobile de
35 jours.

Considérations relatives aux tarifs


Vous êtes facturé pour chaque hôte dédié, indépendamment du nombre de
machines virtuelles que vous y déployez. Le prix de l’hôte est basé sur la famille de
machines virtuelles, le type (taille matérielle) et la région.

Les licences logicielles, le stockage et l’utilisation du réseau sont facturés séparément


de l’hôte et des machines virtuelles. Pour plus d’informations, consultez
Consultez Tarification des hôtes dédiés Azure.

Récapitulatif
Effectué100 XP
• 2 minutes

Tailwind Traders est confrontée à un certain nombre de défis de sécurité. Das le


monde numérique d’aujourd’hui, ses besoins ne sont pas uniques.

Azure fournit des outils et des services qui peuvent vous aider à détecter les
événements de sécurité importants et réagir à ces derniers. Il fournit également des
moyens de sécuriser vos données, ce qui peut empêcher des incidents de sécurité de
se produire, pour commencer.

Dans ce module, vous avez découvert les services Azure liés à la sécurité. Voici un
résumé :

• Azure Security Center fournit une visibilité de votre posture de sécurité


sur l’ensemble de vos services, à la fois sur Azure et localement.
• Azure Sentinel agrège les données de sécurité provenant de nombreuses
sources différentes et fournit des fonctionnalités supplémentaires pour la
détection des menaces et la réponse à celles-ci.
• Azure Key Vault stocke les secrets de vos applications, tels que les mots
de passe, les clés de chiffrement et les certificats, à un emplacement
central unique.
• Azure Dedicated Host fournit des serveurs physiques dédiés afin
d’héberger vos machines virtuelles Azure pour Windows et Linux.

En savoir plus
Voici d’autres ressources pour vous aider à aller plus loin.

Azure Security Center


Suivez le module Résoudre les menaces avec Azure Security Center pour utiliser les
fonctionnalités d’alerte d’Azure Security Center afin de surveiller les menaces et d’y
répondre.

Consultez ensuite le Guide Planification et opérations pour optimiser votre utilisation


de Security Center en fonction des exigences de sécurité et du modèle de gestion
cloud de votre organisation.

Azure Sentinel

Le module Concevoir une stratégie de surveillance holistique sur Azure s’attarde sur
la façon dont Azure Sentinel peut vous aider à superviser les menaces de sécurité au
sein de votre organisation et à y répondre.

Découvrez également comment connecter des sources de données à Azure Sentinel.

Azure Key Vault

Bénéficiez d’une expérience pratique supplémentaire d’Azure Key Vault en suivant les
modules Gérer les secrets dans vos applications serveur avec Azure Key
Vault et Configurer et gérer des secrets dans Azure Key Vault.

Introduction
Effectué100 XP
• 1 minute

Chaque application et chaque service, qu’ils soient locaux ou dans le cloud, doivent
être conçus en tenant compte de la sécurité. Les risques sont trop importants. Par
exemple, une attaque par déni de service peut empêcher les clients d’accéder à votre
site web ou vos services, et bloquer ainsi votre activité professionnelle. L’image de
votre site web peut s’en trouver dégradée, ce qui peut porter atteinte à votre
notoriété. Pire encore, une violation des données peut mettre à bas une confiance
durement construite, tout en provoquant d’importants dommages personnels et
financiers.

À la rencontre de Tailwind Traders


Tailwind Traders est une société fictive de vente au détail de produits
d’aménagement de la maison. Elle a des points de vente de matériel dans le monde
entier et en ligne.
L’entreprise Tailwind Traders est spécialisée dans la compétitivité prix, des livraisons
rapides et dispose d’une gamme d’articles étendue. Elle envisage le recours aux
technologies cloud dans le but d’optimiser ses activités commerciales et de soutenir
la croissance sur les nouveaux marchés. En migrant vers le cloud, l’entreprise espère
proposer une expérience d’achat plus aboutie et ainsi se démarquer de la
concurrence.

Comment la société Tailwind Traders sécurisera-t-elle


ses réseaux ?
Pour migrer vers le cloud, la société Tailwind Traders doit évaluer ses besoins en
matière de sécurité avant de déployer une seule ligne de code en production.

La sécurité doit être prise en compte dans chaque couche des applications de
l’entreprise (des serveurs physiques jusqu’aux données d’application), mais certains
facteurs se rapportent spécifiquement à la configuration réseau et au trafic réseau
des charges de travail basées sur le cloud.

Dans ce module, vous allez vous concentrer sur les fonctionnalités de sécurité réseau
dans Azure et passer en revue la façon dont elles vous aident à sécuriser vos
solutions dans le cloud, en fonction des besoins de votre entreprise.

Objectifs d’apprentissage
À l’issue de ce module, vous pourrez :

• Identifiez les couches qui composent une stratégie de défense en


profondeur.
• Expliquer comment le pare-feu Azure vous permet de contrôler le trafic
autorisé sur le réseau.
• Configurer les groupes de sécurité réseau pour filtrer le trafic réseau à
destination et en provenance des ressources Azure dans un réseau virtuel
Microsoft Azure.
• Expliquer comment Azure DDoS Protection aide à protéger vos
ressources Azure contre les attaques DDoS.
Prérequis
• Vous devez être familiarisé avec les concepts et la terminologie de base
du domaine informatique.
• Connaître le cloud computing est un plus, mais n’est pas indispensable.

Unité suivante: Qu’est-ce que la défense en


profondeur ?

Qu’est-ce que la défense en


profondeur ?
Effectué100 XP
• 6 minutes

Tailwind Traders exécute actuellement ses charges de travail localement, dans son
centre de données. L’exécution locale signifie que la société est responsable de tous
les aspects de la sécurité, de l’accès physique aux bâtiments jusqu’à la façon dont les
données entrent et sortent du réseau. L’entreprise veut pouvoir comparer sa stratégie
de défense en profondeur actuelle à ce qu’elle serait dans le cadre d’une exécution
dans le cloud.

L’objectif de la défense en profondeur est de protéger les informations et d’empêcher


qu’elles soient volées par des personnes non autorisées à y accéder.

Une stratégie de défense en profondeur utilise une série de mécanismes pour ralentir
la progression d’une attaque visant à acquérir un accès non autorisé aux données.

Couches de la défense en profondeur


Vous pouvez visualiser la défense en profondeur comme un ensemble de couches, les
données à sécuriser se trouvant au centre.
Chaque couche fournit une protection de sorte que si une couche fait l’objet d’une
violation, la couche suivante est déjà en place pour éviter que l’exposition ne
s’aggrave. Cette approche supprime toute dépendance à une couche unique de
protection. Elle ralentit une attaque et fournit des données de télémétrie sur les
alertes, sur lesquelles les équipes de sécurité peuvent agir, automatiquement ou
manuellement.

Voici une brève présentation du rôle de chaque couche :

• La couche Sécurité physique constitue la première ligne de défense pour


protéger le matériel informatique dans le centre de données.
• La couche Identités et accès contrôle l’accès à l’infrastructure et au
contrôle des modifications.
• La couche Périmètre utilise une protection contre le déni de service
distribué (DDoS) pour filtrer les attaques à grande échelle avant qu’elles
provoquent un déni de service pour les utilisateurs.
• La couche Réseau limite les communications entre les ressources via la
segmentation et les contrôles d’accès.
• La couche Calcul sécurise l’accès aux machines virtuelles.
• La couche Application garantit que les applications sont sécurisées et
exemptes de vulnérabilités de sécurité.
• La couche Données contrôle l’accès aux données commerciales et client
que vous devez protéger.

Ces couches fournissent une trame qui vous aidera à prendre des décisions en
matière de configuration de la sécurité dans toutes les couches de vos applications.

Azure fournit des outils et des fonctionnalités de sécurité à chaque niveau du concept
de défense en profondeur. Examinons de plus près chaque couche :
Sécurité physique

La sécurisation physique de l’accès aux bâtiments et le contrôle de l’accès au matériel


informatique dans le centre de données constituent la première ligne de défense.

La sécurité physique apporte une protection physique contre l’accès aux ressources. Elle
garantit que les autres couches ne peuvent pas être contournées et que la perte ou le vol sont
gérés correctement. Microsoft utilise divers mécanismes de sécurité physiques dans ses
centres de données cloud.

Identité et accès

Dans cette couche, il est important de :

• Contrôler l’accès à l’infrastructure et contrôler les modifications.


• Utiliser l’authentification unique (SSO) et l’authentification multifacteur.
• Auditer les événements et les modifications.
La couche Identité et accès a pour but de garantir que les identités soient sécurisées, que
l’accès accordé corresponde au strict nécessaire et que les modifications et les événements de
connexion soient consignés.

Périmètre

Dans cette couche, il est important de :

• Utiliser une protection DDoS pour filtrer les attaques à grande échelle avant
qu’elles n’affectent la disponibilité d’un système pour les utilisateurs finaux.
• Utiliser des pare-feu de périmètre pour identifier les attaques malveillantes
contre votre réseau et vous en alerter.

Dans le périmètre du réseau, il s’agit de protéger vos ressources contre les attaques basées sur
le réseau. Pour que votre réseau reste sécurisé, vous devez identifier ces attaques, réduire leur
impact à néant et créer des alertes quand elles se produisent.

Réseau
Dans cette couche, il est important de :

• Limiter la communication entre ressources.


• Refuser par défaut.
• Limiter l’accès Internet entrant et limiter l’accès sortant en fonction des besoins.
• Implémenter une connectivité sécurisée dans les réseaux locaux.

Au niveau de cette couche, le but principal est de limiter la connectivité réseau de toutes vos
ressources pour autoriser uniquement ce qui est nécessaire. En limitant cette communication,
vous réduisez le risque qu’une attaque se propage à d’autres systèmes de votre réseau.

Calcul

Dans cette couche, il est important de :

• Sécuriser l’accès aux machines virtuelles.


• Implémenter une protection de point de terminaison sur les appareils et faire en
sorte que les systèmes soient constamment corrigés et actualisés.

Les logiciels malveillants, les systèmes non corrigés et les systèmes mal sécurisés exposent
votre environnement aux attaques. Cette couche a pour fonction principale de sécuriser vos
ressources de calcul et de vous permettre de mettre en place les contrôles appropriés pour
limiter au maximum les problèmes de sécurité.
Application

Dans cette couche, il est important de :

• Garantir que les applications sont sécurisées et sans vulnérabilités.


• Stocker les secrets des applications sensibles dans un support de stockage
sécurisé.
• Intégrer la sécurité dans la conception tout au long du développement
d’application.

L’intégration de la sécurité dans le cycle de vie du développement d’application permet de


réduire le nombre de vulnérabilités introduites dans le code. Chaque équipe de développement
doit s’assurer que ses applications sont sécurisées par défaut.

Données

Dans presque tous les cas, les attaquants sont intéressés par les données :
• Stockées dans une base de données.
• Stockées sur disque dans des machines virtuelles.
• Stockées dans des applications SaaS (Software as a Service), telles
qu’Office 365.
• Gérées via le stockage cloud.

Il incombe aux personnes qui stockent les données et en contrôlent l’accès de vérifier qu’elles
sont bien sécurisées. Des réglementations dictent souvent la mise en place de contrôles et de
processus pour garantir la confidentialité, l’intégrité et la disponibilité des données.

État de la sécurité
Votre posture de sécurité est la capacité de votre organisation à se protéger contre les
menaces de sécurité et à y répondre. Les principes courants utilisés pour définir une
posture de sécurité sont la confidentialité, l’intégrité et la disponibilité, rassemblées
sous le nom de CIA (Confidentiality, Integrity, Availability).

• Confidentialité

Le principe des privilèges minimum consiste à limiter l’accès aux


informations aux seuls utilisateurs auxquels l’accès a été explicitement
accordé, et seulement au niveau dont ils ont besoin pour effectuer leur
travail. Ces informations incluent la protection des mots de passe
utilisateur, du contenu des e-mails et des niveaux d’accès aux
applications et à l’infrastructure sous-jacente.

• Intégrité

Prévention des modifications non autorisées des informations :

o Au repos : lorsqu’elles sont stockées.


o En transit : lorsqu’elles sont transférées d’un emplacement à un
autre, y compris d’un ordinateur local vers le cloud.

Une approche couramment utilisée dans la transmission de données est


que l’expéditeur crée une empreinte unique des données à l’aide d’un
algorithme de hachage unidirectionnel. Le hachage est envoyé au
destinataire avec les données. Le destinataire recalcule le hachage des
données et le compare à la version d’origine pour vérifier que les
données n’ont pas été perdues ni modifiées en transit.

• Disponibilité

Veillez à ce que les services fonctionnent et soient accessibles


uniquement aux utilisateurs autorisés. Les attaques par déni de
service sont conçues pour dégrader la disponibilité d’un système, ce qui
affecte ses utilisateurs.

Protéger des réseaux virtuels à l’aide du


pare-feu Azure
Effectué100 XP
• 5 minutes

Un pare-feu est un périphérique de sécurité réseau qui surveille le trafic réseau


entrant et sortant, et qui décide s’il faut autoriser ou bloquer le trafic spécifique en
fonction d’un ensemble défini de règles de sécurité. Vous pouvez créer des règles de
pare-feu qui spécifient des plages d’adresses IP. Seuls les clients disposant
d’adresses IP à partir de ces plages sont autorisés à accéder au serveur de
destination. Les règles de pare-feu peuvent également inclure des informations de
port et de protocole réseau spécifiques.

Tailwind Traders exécute actuellement des appliances de pare-feu, qui combinent du


matériel et des logiciels pour protéger son réseau local. Ces appliances de pare-feu
nécessitent des frais de licence mensuels et exigent que le personnel informatique
effectue une maintenance de routine. Comme Tailwind Traders migre vers le cloud, le
responsable informatique veut savoir quels services Azure peuvent protéger les
réseaux cloud et les réseaux locaux de la société.

Dans cette partie, vous explorez le pare-feu Azure.

Qu’est-ce que le pare-feu Azure ?


Le pare-feu Azure est un service de sécurité réseau managé, basé sur le cloud, qui
protège les ressources dans vos réseaux virtuels Azure. Un réseau virtuel est similaire
à un réseau traditionnel que vous utiliseriez dans votre propre centre de données. Il
s’agit d’un bloc de construction fondamental pour votre réseau privé qui permet aux
machines virtuelles et autres ressources de calcul de communiquer en toute sécurité
entre elles, via Internet et sur les réseaux locaux.

Voici un diagramme illustrant une implémentation de base du pare-feu Azure :


Le pare-feu Azure est un pare-feu avec état. Un pare-feu avec état analyse le contexte
complet d’une connexion réseau, et non pas seulement un paquet individuel de trafic
réseau. Le pare-feu Azure offre la haute disponibilité et l’évolutivité sans limite du
cloud.

Le pare-feu Azure fournit un emplacement central pour créer, appliquer et journaliser


les stratégies de connectivité réseau et d’application entre les abonnements et les
réseaux virtuels. Le pare-feu Azure utilise une adresse IP publique statique (qui ne
change pas) pour vos ressources de réseau virtuel, ce qui permet aux pare-feux
extérieurs d’identifier le trafic provenant de votre réseau virtuel. Le service est intégré
à Azure Monitor pour activer la journalisation et l’analyse.

Le pare-feu Azure offre de nombreuses fonctionnalités, y compris :

• Une haute disponibilité intégrée.


• La scalabilité illimitée du cloud.
• Des règles de filtrage entrant et sortant.
• Une prise en charge de DNAT (Destination Network Address Translation).
• Journalisation d’Azure Monitor.

En général, vous déployez le pare-feu Azure sur un réseau virtuel central pour
contrôler l’accès réseau général.

Cette brève vidéo explique comment le Pare-feu Azure supervise le trafic réseau
entrant et sortant en fonction d’un ensemble défini de règles de sécurité. Elle indique
également comment se positionne le Pare-feu Azure par rapport aux appliances de
pare-feu classiques.

Que puis-je configurer avec le pare-feu Azure ?


Avec le Pare-feu Azure, vous pouvez configurer les éléments suivants :
• Règles d’application qui définissent des noms de domaine complets
(FQDN) accessibles depuis un sous-réseau.
• Règles réseau qui définissent l’adresse source, le protocole, le port de
destination et l’adresse de destination.
• Règles de traduction d’adresses réseau (NAT) qui définissent les
adresses IP et les ports de destination pour traduire les demandes
entrantes.

Azure Application Gateway fournit également un pare-feu, appelé pare-feu


d’application web (WAF). Le pare-feu d’application web fournit une protection
entrante centralisée pour vos applications web contre les attaques et les
vulnérabilités courantes. Azure Front Door et Azure Content Delivery
Network fournissent également les services

Protéger contre les attaques DDoS à


l’aide d’Azure DDoS Protection
Effectué100 XP
• 3 minutes

Toute grande entreprise peut être la cible d’une attaque réseau à grande échelle.
Tailwind Traders ne fait pas exception. Les attaquants peuvent saturer votre réseau
pour faire une déclaration ou simplement par défi. Comme la société Tailwind Traders
migre vers le cloud, elle souhaite comprendre comment Azure peut l’aider à
empêcher les attaques par déni de service distribué (DDoS) et d’autres attaques.

Dans cette partie, vous allez découvrir comment Azure DDoS Protection (niveau de
service Standard) aide à protéger vos ressources Azure contre les attaques DDoS.
Tout d’abord, nous allons définir ce qu’est une attaque DDoS.

Que sont les attaques DDoS ?


Une attaque par déni de service distribué tente de saturer et d’épuiser les ressources
d’une application, afin de ralentir l’application ou de l’empêcher de répondre aux
utilisateurs légitimes. Les attaques DDoS peuvent cibler n’importe quelle ressource
publiquement accessible via Internet, y compris des sites web.

Qu’est-ce qu’Azure DDoS Protection ?


Azure DDoS Protection (Standard) aide à protéger vos ressources Azure contre les
attaques DDoS.
En associant DDoS Protection avec les pratiques recommandées de conception
d’application, vous renforcez votre défense contre les attaques DDoS. DDoS
Protection met à profit les capacités d’échelle et l’élasticité du réseau mondial de
Microsoft pour implémenter l’atténuation DDoS dans chaque région Azure. Le service
DDoS Protection protège vos applications Azure en analysant et en abandonnant le
trafic DDoS en périphérie du réseau Azure avant même que le trafic affecte la
disponibilité de votre service.

Ce schéma montre le trafic réseau qui circule dans Azure et provient à la fois de
clients et d’un attaquant :

DDoS Protection identifie la tentative de l’attaquant de submerger le réseau et


bloque le trafic de cet attaquant, garantissant que ce trafic n’atteindra jamais les
ressources Azure. Le trafic légitime des clients continue d’être acheminé dans Azure
sans interruption de service.

DDoS Protection peut également vous aider à gérer votre consommation dans le
cloud. Lorsque vous exécutez localement des ressources, vous avez un nombre fixe
de ressources de calcul. Mais dans le cloud, l’informatique élastique signifie que vous
pouvez effectuer automatiquement un scale-out de votre déploiement pour répondre
à la demande. Une attaque DDoS conçue intelligemment peut vous amener à
augmenter votre allocation de ressources, ce qui entraîne des dépenses inutiles. Le
service DDoS Protection standard permet de garantir que la charge réseau que vous
traitez reflète l’utilisation du client. Vous pouvez également recevoir un crédit pour
tous les coûts accumulés pour les ressources ayant fait l’objet d’un scale-out au cours
d’une attaque DDoS.

Quels niveaux de service sont-ils disponibles pour


DDoS Protection ?
DDoS Protection offre les niveaux de service suivants :
• De base

Le niveau de service De base est activé automatiquement et gratuitement


dans le cadre de l’abonnement Azure.

La supervision permanente du trafic et l’atténuation en temps réel des


attaques courantes au niveau du réseau fournissent les mêmes défenses
que celles utilisées par les services en ligne de Microsoft. Le niveau de
service De base garantit que l’infrastructure Azure elle-même n’est pas
affectée lors d’une attaque DDoS à grande échelle.

Le réseau mondial d’Azure est utilisé pour distribuer et atténuer le trafic


d’attaque dans les régions Azure.

• Standard

Le niveau de service Standard fournit des fonctionnalités d’atténuation


supplémentaires conçues spécifiquement pour les ressources de réseau
virtuel Azure. DDoS Protection Standard est relativement facile à activer
et ne nécessite aucun changement dans vos applications.

Le niveau Standard fournit une surveillance constante du trafic et une


atténuation en temps réel des attaques courantes au niveau du réseau. Il
fournit les mêmes défenses que celles utilisées par les services en ligne
de Microsoft.

Les stratégies de protection sont paramétrées par le biais d’algorithmes


de surveillance du trafic et d’apprentissage automatique dédiés. Elles
sont appliquées aux adresses IP publiques qui sont associées aux
ressources déployées sur des réseaux virtuels, comme Azure Load
Balancer et Application Gateway.

Le réseau mondial d’Azure est utilisé pour distribuer et atténuer le trafic


d’attaque dans les régions Azure.

Quels types d’attaques DDoS Protection contribue-t-


il à empêcher ?
Le niveau de service Standard contribue à empêcher les attaques suivantes :

• Attaques volumétriques
L’objectif de ces attaques est de submerger la couche réseau avec une
grande quantité de trafic apparemment légitime.

• Attaques de protocole

Ces attaques rendent une cible inaccessible en exploitant une faille dans
la pile de protocole des couches 3 et 4.

• Attaques de la couche Ressource (couche Application) (uniquement


avec le pare-feu d’applications web)

Ces attaques ciblent les paquets d’application web pour interrompre la


transmission des données entre des hôtes. Vous avez besoin d’un pare-
feu d’applications web (WAF) pour vous protéger contre les attaques L7.
DDoS Protection Standard protège le WAF contre les attaques
volumétriques et de protocole.

Filtrer le trafic réseau à l’aide de


groupes de sécurité réseau
Effectué100 XP
• 2 minutes

Le pare-feu Azure et Azure DDoS Protection peuvent aider à contrôler le trafic


provenant de sources externes, mais Tailwind Traders souhaite également
comprendre comment protéger ses réseaux internes sur Azure. Cela conférera à
l’entreprise une couche supplémentaire de défense contre les attaques.

Dans cette partie, vous examinez les groupes de sécurité réseau (NSG).

Que sont les groupes de sécurité réseau ?


Un groupe de sécurité réseau vous permet de filtrer le trafic réseau à destination et
en provenance des ressources Azure dans un réseau virtuel Azure. Vous pouvez
considérer les groupes de sécurité réseau comme un pare-feu interne. Un groupe de
sécurité réseau peut contenir plusieurs règles de sécurité entrantes et sortantes avec
lesquelles vous filtrez le trafic échangé avec les ressources par adresse IP source et de
destination, port et protocole.

Comment spécifier des règles NSG ?


Un groupe de sécurité réseau peut contenir autant de règles que nécessaires, dans
les limites de l’abonnement Azure. Chaque règle spécifie les propriétés suivantes :

Property Description
Nom Nom unique du groupe de sécurité réseau.
Priority Nombre compris entre 100 et 4096. Les règles sont traitées par ordre de priorité, les nomb
traités avant les nombres plus élevés.
Source ou Adresse IP individuelle ou plage d’adresses IP, balise de service ou groupe de sécurité d’a
destination
Protocole TCP, UDP ou n’importe lequel.
Direction Indique si la règle s’applique au trafic entrant ou sortant.
Plage de ports Port individuel ou plage de ports.
Action Autoriser ou Refuser.

Lorsque vous créez un groupe de sécurité réseau, Azure crée une série de règles par
défaut pour fournir un niveau de sécurité de base. Vous ne pouvez pas supprimer les
règles par défaut, mais vous pouvez les remplacer en créant de nouvelles règles avec
des priorités plus élevées.

Unité suivante: Exercice – Configurer l’accès réseau à


une machine virtuelle à l’aide d’un groupe de
sécurité réseau

Exercice – Configurer l’accès réseau à


une machine virtuelle à l’aide d’un
groupe de sécurité réseau
Effectué100 XP
• 10 minutes
Bac à sable activé. Temps restant :
37 min

Vous avez utilisé 3 bacs à sable sur la limite de 10 disponible aujourd’hui. D’autres
bacs à sable seront disponibles demain.

Dans cet exercice, vous configurez l’accès réseau à une machine virtuelle s’exécutant
sur Azure.

Vous commencez par créer une machine virtuelle Linux et installer Nginx, un serveur
web populaire, sur cette machine virtuelle. Pour rendre votre serveur web accessible,
vous devez créer une règle de groupe de sécurité réseau (NSG) qui autorise l’accès
entrant sur le port 80 (HTTP).

Il existe de nombreuses façons de créer et gérer des machines virtuelles, y compris


leurs paramètres réseau. Par exemple, vous pouvez utiliser le portail Azure, Azure CLI,
Azure PowerShell ou un modèle Azure Resource Manager (ARM).

Ici, vous allez utiliser Azure CLI. Azure CLI vous permet de vous connecter à Azure et
d’exécuter des commandes d’administration sur les ressources Azure. Comme avec
les autres interfaces de ligne de commande, vous pouvez exécuter des commandes
directement à partir d’un terminal ou vous pouvez ajouter des commandes à un
script Bash ou à un script PowerShell. Azure CLI s’exécute sur Windows, macOS ou
Linux.

Ici, vous accédez à Azure CLI à partir d’Azure Cloud Shell. Azure Cloud Shell est un
interpréteur de commandes basé sur un navigateur qui permet de gérer et
développer des ressources Azure. Vous pouvez considérer que Cloud Shell est une
console interactive qui s’exécute dans le cloud.

Si vous débutez avec Azure CLI ou Cloud Shell, suivez simplement la procédure.

Créer une machine virtuelle Linux et installer Nginx


Utilisez les commandes Azure CLI suivantes pour créer une machine virtuelle Linux et
installer Nginx. Une fois votre machine virtuelle créée, vous utiliserez l’extension
Script personnalisé pour installer Nginx. L’extension de script personnalisé est un
moyen simple de télécharger et d’exécuter des scripts sur des machines virtuelles
Azure. C’est l’une des nombreuses possibilités de configuration du système une fois
que votre machine virtuelle est opérationnelle.

1. Dans Cloud Shell, exécutez la commande az vm create suivante pour


créer une machine virtuelle Linux :

Azure CLICopier
az vm create \
--resource-group learn-7b715275-8f40-4ff7-8ecf-bf55bf962fb0 \
--name my-vm \
--image UbuntuLTS \
--admin-username azureuser \
--generate-ssh-keys

La création de la machine virtuelle prendra quelques instants.

Vous nommez la machine virtuelle my-vm. Vous utilisez ce nom pour


faire référence à la machine virtuelle dans les étapes ultérieures.
2. Exécutez la commande az vm extension set suivante pour configurer
Nginx sur votre machine virtuelle :

Azure CLICopier
az vm extension set \
--resource-group learn-7b715275-8f40-4ff7-8ecf-bf55bf962fb0 \
--vm-name my-vm \
--name customScript \
--publisher Microsoft.Azure.Extensions \
--version 2.1 \
--settings
'{"fileUris":["https://raw.githubusercontent.com/MicrosoftDocs/mslearn
-welcome-to-azure/master/configure-nginx.sh"]}' \
--protected-settings '{"commandToExecute": "./configure-nginx.sh"}'

Cette commande utilise l’extension Script personnalisé pour exécuter un


script Bash sur votre machine virtuelle. Le script est stocké sur GitHub.

Pendant l’exécution de la commande, vous pouvez examiner le script


Bash sous un onglet distinct du navigateur.

Pour récapituler, le script :

0. Exécute apt-get update pour télécharger les informations les


plus récentes sur le package à partir d’Internet. Cette étape
permet de s’assurer que la commande suivante peut localiser la
dernière version du package Nginx.
1. Installe Nginx.
2. Définit la page d’accueil, /var/www/html/index.html, pour
afficher un message d’accueil comprenant le nom d’hôte de
votre machine virtuelle.

Accéder à votre serveur web


Dans cette procédure, vous obtenez l’adresse IP de votre machine virtuelle et tentez
d’accéder à la page d’accueil de votre serveur web.

1. Exécutez la commande az vm list-ip-addresses suivante pour obtenir


l’adresse IP de votre machine virtuelle et stocker le résultat sous la forme
d’une variable Bash :

Azure CLICopier
IPADDRESS="$(az vm list-ip-addresses \
--resource-group learn-7b715275-8f40-4ff7-8ecf-bf55bf962fb0 \
--name my-vm \
--query "[].virtualMachine.network.publicIpAddresses[*].ipAddress" \
--output tsv)"
2. Exécutez la commande curl suivante pour télécharger la page d’accueil :

BashCopier
curl --connect-timeout 5 http://$IPADDRESS

L’argument --connect-timeout spécifie d’attendre cinq secondes que la


connexion se produise.

Après cinq secondes, vous voyez un message d’erreur indiquant que le


délai de connexion a expiré :

SortieCopier
curl: (28) Connection timed out after 5001 milliseconds

Ce message signifie que la machine virtuelle n’était pas accessible dans le


délai imparti.

3. En guise d’étape facultative, essayez d’accéder au serveur web à partir


d’un navigateur :
0. Exécutez la commande ci-dessous pour afficher l’adresse IP de
votre machine virtuelle dans la console :

BashCopier
echo $IPADDRESS

Vous voyez une adresse IP, par exemple 23.102.42.235.

1. Copiez l’adresse IP que vous voyez dans le presse-papiers.


2. Ouvrez un nouvel onglet de navigateur et accédez à votre
serveur web.

Après quelques instants, vous voyez que la connexion n’a pas


lieu. Si vous attendez l’expiration du délai du navigateur, vous
obtenez un résultat semblable à celui-ci :
Ne fermez pas tout de suite cet onglet de navigateur.

Lister les règles de groupe de sécurité réseau


actuelles
Votre serveur web n’était pas accessible. Pour en déterminer la raison, nous allons
examiner vos règles actuelles de groupe de sécurité réseau.

1. Exécutez la commande az network nsg list suivante pour lister les


groupes de sécurité réseau associés à votre machine virtuelle :

Azure CLICopier
az network nsg list \
--resource-group learn-7b715275-8f40-4ff7-8ecf-bf55bf962fb0 \
--query '[].name' \
--output tsv

Vous voyez ceci :

SortieCopier
my-vmNSG

Chaque machine virtuelle sur Azure est associée à au moins un groupe


de sécurité réseau. Dans ce cas, Azure a créé pour vous un groupe de
sécurité réseau appelé my-vmNSG.
2. Exécutez la commande az network nsg rule list suivante pour lister les
règles associées au groupe de sécurité réseau nommé az network nsg
rule list :

Azure CLICopier
az network nsg rule list \
--resource-group learn-7b715275-8f40-4ff7-8ecf-bf55bf962fb0 \
--nsg-name my-vmNSG

Vous voyez un grand bloc de texte au format JSON dans la sortie. À


l’étape suivante, vous exécuterez une commande similaire qui facilitera la
lecture de cette sortie.

3. Exécutez la commande az network nsg rule list une deuxième fois.

Cette fois, utilisez l’argument --query pour récupérer uniquement le nom,


la priorité, les ports affectés et l’accès (--query ou Refuser) pour chaque
règle.

L’argument --output formate la sortie sous forme de table pour en


faciliter la lecture.

Azure CLICopier
az network nsg rule list \
--resource-group learn-7b715275-8f40-4ff7-8ecf-bf55bf962fb0 \
--nsg-name my-vmNSG \
--query '[].{Name:name, Priority:priority,
Port:destinationPortRange, Access:access}' \
--output table

Vous voyez ceci :

SortieCopier
Name Priority Port Access
----------------- ---------- ------ --------
default-allow-ssh 1000 22 Allow

Vous voyez la règle par défaut, default-allow-ssh. Cette règle autorise les
connexions entrantes via le port 22 (SSH). SSH (Secure Shell) est un
protocole utilisé sur Linux pour permettre aux administrateurs d’accéder
à distance au système.

La priorité de cette règle est 1000. Les règles sont traitées par ordre de
priorité, les nombres inférieurs étant traités avant les nombres plus
élevés.

Par défaut, le groupe de sécurité réseau d’une machine virtuelle Linux autorise l’accès
au réseau uniquement via le port 22. Cela permet aux administrateurs d’accéder au
système. Vous devez également autoriser les connexions entrantes sur le port 80,
autorisant l’accès via HTTP.

Créer la règle de sécurité du réseau


Ici, vous créez une règle de sécurité de réseau qui autorise l’accès entrant sur le
port 80 (HTTP).

1. Exécutez la commande az network nsg rule create suivante pour créer


une règle appelée az network nsg rule create qui autorise l’accès entrant
sur le port 80 :

Azure CLICopier
az network nsg rule create \
--resource-group learn-7b715275-8f40-4ff7-8ecf-bf55bf962fb0 \
--nsg-name my-vmNSG \
--name allow-http \
--protocol tcp \
--priority 100 \
--destination-port-ranges 80 \
--access Allow

À des fins d’apprentissage, définissez ici la priorité sur 100. Dans ce cas, la
priorité n’a pas d’importance. Vous devriez prendre en compte la priorité
si vous aviez des plages de ports superposées.

2. Pour vérifier la configuration, exécutez az network nsg rule list pour


afficher la liste mise à jour des règles :

Azure CLICopier
az network nsg rule list \
--resource-group learn-7b715275-8f40-4ff7-8ecf-bf55bf962fb0 \
--nsg-name my-vmNSG \
--query '[].{Name:name, Priority:priority,
Port:destinationPortRange, Access:access}' \
--output table

Vous voyez la règle default-allow-ssh et votre nouvelle règle, allow-http :

SortieCopier
Name Priority Port Access
----------------- ---------- ------ --------
default-allow-ssh 1000 22 Allow
allow-http 100 80 Allow

Accéder de nouveau à votre serveur web


Maintenant que vous avez configuré l’accès réseau au port 80, nous allons essayer
d’accéder une deuxième fois au serveur web.

1. Exécutez la même commande curl que vous avez exécutée


précédemment :

BashCopier
curl --connect-timeout 5 http://$IPADDRESS

Vous voyez ceci :

HTMLCopier
<html><body><h2>Welcome to Azure! My name is my-vm.</h2></body></html>
Notes

Il peut y avoir un léger délai entre l’ajout des règles et l’ouverture des
ports.

2. Une étape facultative consiste à actualiser l’onglet de votre navigateur


pour pointer vers votre serveur web.

Vous voyez ceci :

Nettoyage
Le bac à sable nettoie automatiquement vos ressources une fois que vous avez
terminé ce module.

Lorsque vous travaillez dans votre propre abonnement, il est judicieux à la fin d’un
projet de déterminer si vous avez encore besoin des ressources que vous avez créées.
Les ressources laissées en cours d’exécution peuvent vous coûter de l’argent. Vous
pouvez supprimer les ressources une par une ou supprimer le groupe de ressources.

Beau travail. Dans la pratique, vous pouvez créer un groupe de sécurité réseau
autonome incluant les règles d’accès réseau entrantes et sortantes dont vous avez
besoin. Si vous avez plusieurs machines virtuelles qui remplissent le même objectif,
vous pouvez affecter ce groupe de sécurité réseau à chaque machine virtuelle au
moment de sa création. Cette technique vous permet de contrôler l’accès réseau à
plusieurs machines virtuelles sous un seul ensemble central de règles.

Résumé
Effectué100 XP
• 1 minute

Dans ce module, vous avez découvert certaines façons de sécuriser le trafic réseau, à
la fois sur Azure et dans votre centre de données local.

La défense en profondeur est le thème de substitution. Réfléchissez à la sécurité


comme à une préoccupation multicouche, à vecteurs multiples. Les menaces
proviennent d’emplacements auxquels nous ne pensons pas et peuvent survenir avec
une force étonnante.

La société Tailwind Trader dispose désormais de quelques outils et services qu’elle


pourra utiliser pour sécuriser ses réseaux. Voici un résumé :

• Le pare-feu Azure est un service de sécurité réseau managé, basé sur le


cloud, qui protège les ressources dans les réseaux virtuels Azure.
• Un réseau virtuel Azure est similaire à un réseau traditionnel que vous
utiliseriez dans votre propre centre de données. Il permet aux machines
virtuelles et à d’autres ressources de calcul de communiquer de manière
sécurisée entre elles, via Internet et sur les réseaux locaux.
• Un groupe de sécurité réseau (NSG) vous permet de filtrer le trafic réseau
à destination et en provenance des ressources Azure au sein d’un réseau
virtuel.
• Azure DDoS Protection aide à protéger les ressources Azure contre les
attaques DDoS.
Parcours d’apprentissage : Principes de base d’Azure
Ce module fait partie du parcours d’apprentissage Principes de base d’Azure –
Quatrième partie : Description des fonctionnalités de sécurité générale et de sécurité
réseau, qui est l’un des six parcours d’apprentissage des principes de base d’Azure.

Voici les parcours d’apprentissage de cette série :

• Principes de base d’Azure - Première partie : Description des principaux


concepts Azure
• Principes de base d’Azure - Deuxième partie : Description des principaux
services Azure
• Principes de base d’Azure - Troisième partie : Description des solutions
principales et des outils de gestion Azure
• Principes de base d’Azure - Quatrième partie : Description des
fonctionnalités de sécurité générale et de sécurité réseau
• Principes de base d’Azure - Cinquième partie : Description des
fonctionnalités d’identité, de gouvernance, de confidentialité et de
conformité
• Principes de base d’Azure - Sixième partie : Description des contrats de
niveau de service et de gestion des coûts Azure

Introduction
Effectué100 XP
• 1 minute

Par le passé, la protection de l’accès aux systèmes et aux données reposait sur le
périmètre du réseau local et des contrôles d’accès physiques.

Face au développement du télétravail, à l’expansion des stratégies BYOD (Bring Your


Own Device), des applications mobiles et des applications cloud, une grande
proportion de ces points d’accès se trouvent désormais en dehors des réseaux
physiques de l’entreprise.

L’identité est devenue la nouvelle limite de sécurité primordiale. Pour assurer le


contrôle de vos données, il est essentiel de pouvoir prouver de façon fiable qu’un
individu est un utilisateur légitime de votre système, avec un niveau d’accès
approprié. Cette couche d’identité fait désormais l’objet d’attaques plus fréquentes
que le réseau.

À la rencontre de Tailwind Traders


Tailwind Traders est une société fictive de vente au détail de produits
d’aménagement de la maison. Elle a des points de vente de matériel dans le monde
entier et en ligne.

L’entreprise Tailwind Traders est spécialisée dans la compétitivité prix, des livraisons
rapides et dispose d’une gamme d’articles étendue. Elle envisage le recours aux
technologies cloud dans le but d’optimiser ses activités commerciales et de soutenir
la croissance sur les nouveaux marchés. En migrant vers le cloud, l’entreprise espère
proposer une expérience d’achat plus aboutie et ainsi se démarquer de la
concurrence.

Comment l’entreprise Tailwind Traders sécurise-t-elle


l’accès à ses applications cloud ?
Les employés itinérants sont de plus en plus nombreux chez Tailwind Traders, tout
comme les applications que l’entreprise exécute dans le cloud.

Les employés en magasin du monde entier sont équipés de tablettes à partir


desquelles ils peuvent créer des commandes pour les clients, suivre les calendriers de
livraisons et organiser leurs plannings de travail.

Les livreurs peuvent utiliser leurs propres appareils mobiles pour accéder aux
applications de planification et de logistique. Certains livreurs sont des employés
permanents de Tailwind Traders ; d’autres ont des missions de courte durée.

L’entreprise Tailwind Traders utilise Active Directory pour sécuriser son


environnement local. Elle doit s’assurer que seuls les employés peuvent se connecter
et accéder aux applications métier de l’entreprise. Tailwind Traders doit aussi veiller à
ce que son personnel temporaire puisse accéder à ces applications seulement pour la
durée de leur contrat.

En quoi Azure Active Directory (Azure AD) peut-il aider Tailwind Traders à sécuriser
de façon cohérente toutes ses applications, que leur accès se fasse à partir de
l’intranet de l’entreprise ou de réseaux publics ?
Objectifs d’apprentissage
À l’issue de ce module, vous pourrez :

• Expliquer la différence entre l’authentification et l’autorisation.


• Décrire comment Azure AD permet de gérer les identités et les accès.
• Expliquer le rôle joué par l’authentification unique (SSO),
l’authentification multifacteur et l’accès conditionnel dans gestion des
identités utilisateur.

Prérequis
• Vous devez être familiarisé avec les concepts et la terminologie de base
du domaine informatique.
• Connaître le cloud computing est un plus, mais n’est pas indispensable.
Comparaison de l’authentification et de l’autorisation
Effectué100 XP

• 2 minutes

Pour rappel, Tailwind Traders doit s’assurer que seuls les employés peuvent se
connecter et accéder à ses applications métier.

Tailwind Traders doit aussi veiller à ce que les employés ne puissent accéder
uniquement aux applications autorisées. Par exemple, tous les employés peuvent
accéder aux logiciels d’inventaire et de tarifs, mais seuls les responsables de magasins
peuvent accéder à la paie et à certains logiciels de comptabilité.

L’authentification (AuthN) et l’autorisation (AuthZ) sont deux concepts fondamentaux


que vous devez bien comprendre quand on parle d’accès et d’identité.

L’authentification et l’autorisation prennent toutes les deux en charge tous les autres
événements, qui se succèdent dans le processus d’identité et d’accès.

Penchons-nous brièvement sur chacune d’elles.

Qu’est-ce que l’authentification ?

L’authentification est le processus qui consiste à établir l’identité d’un utilisateur ou


d’un service voulant accéder à une ressource. Le fait de demander à une partie des
informations d’identification légitimes fait partie de ce processus qui jette les bases
de la création d’un principal de sécurité à des fins de contrôle d’identité et d’accès. Il
détermine si l’utilisateur est bien celui qu’il prétend être.
Qu’est-ce que l’autorisation ?

Si l’authentification a pour but d’attester l’identité de l’utilisateur, l’autorisation est le


processus qui vise à établir le niveau d’accès dont dispose un utilisateur ou un service
authentifié. Elle détermine les données auxquelles ils ont accès et l’utilisation qu’ils
peuvent en faire.

De quelle façon sont liées l’authentification et l’autorisation ?

Voici un diagramme qui montre la relation qui existe entre l’authentification et


l’autorisation :

La carte d’identification correspond aux informations d’identification dont dispose


l’utilisateur pour prouver son identité (nous aborderons en détail les types
d’informations d’identification plus loin dans ce module). Une fois l’utilisateur
authentifié, l’autorisation définit les types d’applications, de ressources et de données
auxquelles l’utilisateur peut accéder.

Qu’est-ce qu’Azure Active Directory ?


Effectué100 XP
• 5 minutes

Dans cette partie, vous allez découvrir comment Azure Active Directory (Azure AD)
fournit des services d’identité qui permettent à vos utilisateurs de se connecter et
d’accéder aux applications cloud de Microsoft et à celles que vous développez. Vous
découvrirez aussi comment Azure AD prend en charge l’authentification unique
(SSO).

L’entreprise Tailwind Traders utilise déjà Active Directory pour sécuriser ses
environnements locaux. L’entreprise ne souhaite pas contraindre ses utilisateurs à
mémoriser différents noms d’utilisateur et mots de passe pour accéder aux
applications et aux données dans le cloud. Peut-elle intégrer son instance Active
Directory existante aux services d’identité cloud pour créer une expérience fluide
pour ses utilisateurs ?

Pour commencer, voyons ce qui différencie Azure AD et Active Directory.

Quelle est la différence entre Azure AD et Active


Directory ?
Si Active Directory est proche d’Azure AD, il existe cependant des différences
notables entre les deux.

Microsoft a introduit Active Directory dans Windows 2000 pour permettre aux
organisations de gérer plusieurs systèmes et composants d’infrastructure locale avec
une seule identité par utilisateur.

Pour les environnements locaux, Active Directory sur Windows Server propose un
service de gestion des identités et des accès qui est géré par votre propre
organisation. Azure AD est le service cloud de Microsoft qui gère les identités et les
accès. Avec Azure AD, vous contrôlez les comptes d’identité, mais Microsoft assure la
disponibilité du service à l’échelon mondial. Si vous avez déjà utilisé Active Directory,
vous ne serez pas désorienté par Azure AD.

Quand vous sécurisez les identités en local avec Active Directory, Microsoft ne
supervise pas les tentatives de connexion. Lorsque vous connectez Active Directory à
Azure AD, Microsoft peut détecter les tentatives de connexion suspectes et ainsi
renforcer votre protection sans coûts supplémentaires. Par exemple, Azure AD peut
détecter les tentatives de connexion en provenance de localisations inattendues ou
d’appareils inconnus.

Qui utilise Azure AD ?


Azure AD s’adresse aux publics suivants :

• Administrateurs informatiques

Les administrateurs peuvent utiliser Azure AD pour contrôler l’accès aux


applications et aux ressources en fonction de leurs exigences
opérationnelles.

• Développeurs d’applications
Les développeurs peuvent utiliser Azure AD pour ajouter des
fonctionnalités aux applications qu’ils créent selon une approche basée
sur les standards. Ils peuvent ainsi ajouter la fonctionnalité SSO à une
application ou permettre à une application d’utiliser les informations
d’identification existantes d’un utilisateur.

• Utilisateurs

Les utilisateurs peuvent gérer leurs identités. Par exemple, la


réinitialisation de mot de passe en libre-service permet aux utilisateurs de
changer ou réinitialiser leur mot de passe sans l’intervention d’un
administrateur informatique ou du support technique.

• Abonnés aux services en ligne

Les abonnés Microsoft 365, Microsoft Office 365, Azure et Microsoft


Dynamics CRM Online utilisent déjà Azure AD.

Un locataire est une représentation d’une organisation. Un locataire se


distingue généralement des autres locataires et possède sa propre
identité.

Chaque locataire Microsoft 365, Office 365, Azure et Dynamics CRM


Online est automatiquement un locataire Azure AD.

Voici une capture d’écran montrant ce qu’un administrateur informatique peut voir
dans le portail Azure lorsqu’il utilise Active Directory :
Quels sont les services que propose Azure AD ?
Azure AD fournit les services suivants :

• Authentification

Ce processus inclut la vérification de l’identité avant d’accéder aux


applications et aux ressources, ainsi que des fonctionnalités comme la
réinitialisation de mot de passe en libre-service, l’authentification
multifacteur, une liste de mots de passe interdits personnalisée, et des
services de verrouillage intelligent.

• Authentification unique

Avec l’authentification unique, vous n’avez qu’un seul nom d’utilisateur et


un seul mot de passe à retenir pour accéder à plusieurs applications. Une
même identité est liée à un utilisateur, ce qui simplifie le modèle de
sécurité. Quand un utilisateur change de rôle ou quitte l’organisation, les
modifications d’accès s’appliquent à cette identité, ce qui réduit
considérablement le travail nécessaire pour changer ou désactiver les
comptes.

• Gestion des applications

Vous pouvez gérer vos applications cloud et locales à l’aide d’Azure AD.
Certaines fonctionnalités comme le proxy d’application, les applications
SaaS, le portail Mes applications (également appelé Volet d’accès) et
l’authentification unique offrent une meilleure expérience utilisateur.

• Gestion des appareils

En plus des comptes individuels des personnes, Azure AD prend en


charge l’inscription des appareils. L’inscription permet de gérer les
appareils avec des outils comme Microsoft Intune. Il est également
possible d’appliquer des stratégies d’accès conditionnel basées sur les
appareils pour limiter les tentatives d’accès aux seuls appareils connus,
quel que soit le compte d’utilisateur qui en fait la demande.

Quels types de ressources est-il possible de sécuriser


avec Azure AD ?
Azure AD permet aux utilisateurs d’accéder aussi bien aux ressources externes qu’aux
ressources internes.

Les ressources externes peuvent inclure Microsoft Office 365, le portail Azure et des
milliers d’autres applications SaaS (Software as a Service).

Les ressources internes peuvent inclure les applications présentes sur le réseau et
l’intranet de votre entreprise, ainsi que toutes les applications cloud développées au
sein de votre organisation.

Qu’est-ce que l’authentification unique ?


L’authentification unique permet à un utilisateur de se connecter une fois et d’utiliser
ces informations d’identification pour accéder à plusieurs ressources et applications
auprès de différents fournisseurs.

Plus il y a d’identités, plus il y a de mots de passe à mémoriser et à changer. Les


stratégies de mot de passe peuvent varier parmi les applications. À mesure que les
exigences de complexité s’affermissent, les utilisateurs ont de plus en plus de
difficultés à mémoriser les mots de passe. Plus le nombre de mots de passe que
l’utilisateur doit gérer est important, plus le risque d’un incident de sécurité lié aux
informations d’identification est grand.

Songez au processus qu’implique la gestion de toutes ces identités. C’est une charge
supplémentaire pour le support technique qui doit alors gérer les verrouillages de
compte et les demandes de réinitialisation de mot de passe. Quand un utilisateur
quitte une organisation, il faut pouvoir retrouver toutes ces identités et les désactiver,
ce qui n’est pas toujours facile. Si une identité est oubliée, elle peut autoriser un accès
alors qu’elle aurait dû être éliminée.

Avec l’authentification unique, vous n’avez besoin de mémoriser qu’un seul ID et un


seul mot de passe. L’accès aux applications est accordé à une identité unique liée à
un utilisateur, ce qui simplifie le modèle de sécurité. Quand un utilisateur change de
rôle ou quitte l’organisation, l’accès est lié à une identité unique. Cette modification
réduit considérablement le travail nécessaire pour changer ou désactiver les comptes.
L’authentification unique permet aux utilisateurs de gérer plus facilement leurs
identités et vos capacités de sécurité s’en trouvent renforcées.

À la fin de ce module, vous trouverez des ressources sur la façon d’activer


l’authentification unique via Azure AD.

Comment connecter Active Directory à Azure AD ?


En connectant Active Directory à Azure AD, vous pouvez proposer une expérience
d’identité cohérente à vos utilisateurs.

Il existe plusieurs façons de connecter votre installation Active Directory existante à


Azure AD. La méthode probablement la plus courante consiste à utiliser Azure AD
Connect.

Azure AD Connect synchronise les identités utilisateur entre l’installation locale Active
Directory et Azure AD. Azure AD Connect synchronise les modifications entre les deux
systèmes d’identité, ce qui vous permet d’utiliser certaines fonctionnalités comme
l’authentification unique (SSO), l’authentification multifacteur, et la réinitialisation de
mot de passe en libre-service dans les deux systèmes. La réinitialisation de mot de
passe en libre-service empêche les utilisateurs d’utiliser des mots de passe connus
pour être compromis.

Voici un diagramme qui montre comment Azure AD Connect prend place entre
l’environnement local Active Directory et Azure AD :
En intégrant son instance Active Directory existante à Azure AD, Tailwind Traders crée
un modèle d’accès cohérent à l’échelle de l’organisation. Il devient ainsi plus simple
de se connecter à différentes applications, de gérer les modifications apportées aux
identités utilisateur et au contrôle, et de superviser et bloquer les tentatives d’accès
inhabituelles.

En quoi consistent l’authentification


multifacteur et l’accès conditionnel ?
Effectué100 XP
• 4 minutes

Tailwind Traders autorise les livreurs à utiliser leurs propres appareils mobiles pour
accéder aux applications de planification et de logistique. Certains livreurs sont des
employés permanents de Tailwind Traders ; d’autres ont des missions de courte
durée. Comment le service informatique peut-il s’assurer qu’une tentative d’accès
émane bien d’un employé légitime de Tailwind Traders ?

Dans cette partie, vous allez découvrir deux processus qui permettent de sécuriser
l’authentification : Azure AD Multi-Factor Authentication et l’accès conditionnel. Pour
commencer, voyons brièvement en quoi consiste l’authentification multifacteur en
général.

Qu’est-ce que l’authentification multifacteur ?


L’authentification multifacteur est un processus par lequel l’utilisateur est invité à
fournir une autre forme d’identification pendant la connexion. Il peut s’agir d’entrer
un code sur le téléphone portable ou de fournir une analyse d’empreinte digitale.
Réfléchissez à la façon dont vous vous connectez aux sites web, à la messagerie ou
aux services de jeux en ligne. Outre votre nom d’utilisateur et votre mot de passe,
vous est-il déjà arrivé d’avoir à entrer un code qui vous a été envoyé sur votre
téléphone ? Si c’est le cas, vous avez utilisé l’authentification multifacteur pour vous
connecter.

L’authentification multifacteur renforce la sécurité de vos identités en exigeant au


moins deux éléments pour une authentification complète.

Ces éléments se répartissent en trois catégories :

• Quelque chose que l’utilisateur sait

Il peut s’agir d’une adresse e-mail et d’un mot de passe.

• Quelque chose que l’utilisateur a

Il peut s’agir d’un code envoyé sur le téléphone mobile de l’utilisateur.

• Quelque chose que l’utilisateur est

En général, il s’agit d’une propriété biométrique qui peut prendre la


forme d’une analyse faciale ou d’empreinte digitale qui est utilisée sur de
nombreux appareils mobiles.

L’authentification multifacteur renforce la sécurité des identités en limitant l’impact


de l’exposition des informations d’identification (par exemple, noms d’utilisateurs et
mots passe subtilisés). Si l’authentification multifacteur est activée, un attaquant qui
connaît le mot de passe d’un utilisateur doit aussi disposer de son téléphone ou de
son empreinte digitale pour s’authentifier complètement.

Comparons l’authentification multifacteur et l’authentification à facteur unique. Avec


l’authentification à facteur unique, un attaquant n’a besoin que d’un nom d’utilisateur
et d’un mot de passe pour s’authentifier. L’authentification multifacteur devrait être
activée chaque fois que cela est possible, car elle apporte d’énormes avantages en
termes de sécurité.
Qu’est-ce qu’Azure AD Multi-Factor Authentication ?
Azure AD Multi-Factor Authentication est un service Microsoft qui offre des
fonctionnalités d’authentification multifacteur. Azure AD Multi-Factor Authentication
permet aux utilisateurs de choisir une autre forme d’authentification pendant la
connexion, par exemple un appel téléphonique ou une notification d’application
mobile.

Voici les services qui proposent les fonctionnalités d’Azure AD Multi-Factor


Authentication :

• Azure Active Directory

Azure Active Directory Free permet aux administrateurs ayant le niveau


d’accès Administrateur général d’activer Azure AD Multi-Factor
Authentication via l’application Microsoft Authenticator, un appel
téléphonique ou un code SMS. Vous pouvez également mettre en œuvre
Azure AD Multi-Factor Authentication pour tous les utilisateurs via
l’application Microsoft Authenticator uniquement, en activant
les paramètres de sécurité par défaut de votre locataire Azure AD.

Azure Active Directory Premium (licences P1 ou P2) permet une


configuration complète et précise d’Azure AD Multi-Factor
Authentication via des stratégies d’accès conditionnel (comme indiqué
ci-dessous).

• Authentification multifacteur pour Office 365

Une partie des fonctionnalités d’Azure AD Multi-Factor Authentication


est intégrée à votre abonnement Office 365.

Pour plus d’informations sur les licences et les fonctionnalités d’Azure AD Multi-
Factor Authentication, consultez Versions disponibles d’Azure AD Multi-Factor
Authentication.

Qu’est-ce que l’accès conditionnel ?


L’accès conditionnel est un outil dont se sert Azure Active Directory pour autoriser
(ou refuser) l’accès aux ressources en fonction de signaux d’identité. Par signaux, il
faut entendre l’identité de l’utilisateur, sa localisation et l’appareil à partir duquel il
demande l’accès.
Pour les administrateurs informatiques, l’accès conditionnel offre les avantages
suivants :

• Il permet aux utilisateurs d’être productifs en tout lieu et à tout moment.


• Il protège les ressources de l’organisation.

L’accès conditionnel offre aussi une expérience d’authentification multifacteur plus


granulaire pour les utilisateurs. En effet, ils n’ont pas forcément besoin de fournir un
deuxième facteur d’authentification si leur localisation est connue. En revanche, si
leurs signaux de connexion sont inhabituels ou que leur localisation est inattendue,
un deuxième facteur d’authentification peut leur être demandé.

Pendant la connexion, l’accès conditionnel recueille les signaux de l’utilisateur, prend


une décision en fonction de ces signaux, puis met en œuvre cette décision en
autorisant ou refusant la demande d’accès ou en demandant une réponse
d’authentification multifacteur.

Voici un diagramme qui illustre ce processus :


Ici, le signal peut être la localisation de l’utilisateur, l’appareil ou l’application à
laquelle l’utilisateur tente d’accéder.

Sur la base de ces signaux, la décision peut être d’accorder un accès total si
l’utilisateur se connecte à partir de sa localisation habituelle. Si l’utilisateur se
connecte à partir d’une localisation inhabituelle ou signalée comme étant hautement
risquée, l’accès peut être bloqué entièrement ou éventuellement accordé après que
l’utilisateur a fourni une deuxième forme d’authentification.

La mise en œuvre est l’action qui exécute la décision. Par exemple, autoriser l’accès
ou demander à l’utilisateur de fournir une deuxième forme d’authentification.

Quand utiliser l’accès conditionnel ?

L’accès conditionnel est utile dans les cas suivants :

• Exiger l’authentification multifacteur pour accéder à une application.

Vous pouvez imposer l’authentification multifacteur à tous les utilisateurs


ou uniquement à certains d’entre eux, comme les administrateurs.

Vous pouvez aussi décider d’appliquer l’authentification multifacteur aux


accès émanant de tous les réseaux ou seulement des réseaux non
approuvés.

• Vous devez autoriser l’accès aux services uniquement à partir


d’applications clientes approuvées.

Par exemple, vous pouvez souhaiter autoriser les utilisateurs à accéder


aux services Office 365 à partir d’un appareil mobile, à condition qu’ils
utilisent des applications clientes approuvées, comme l’application
Outlook Mobile.

• Vous devez exiger des utilisateurs qu’ils accèdent à votre application à


partir d’appareils gérés uniquement.

Un appareil géré est un appareil qui répond à vos standards de sécurité


et de conformité.

• Vous devez bloquer l’accès aux sources non approuvées, par exemple
aux localisations inconnues ou inattendues.

La fonctionnalité d’accès conditionnel est fournie avec un outil What If, qui vous aide
à planifier vos stratégies d’accès conditionnel et à résoudre les problèmes y afférents.
Vous pouvez utiliser cet outil pour modéliser vos stratégies d’accès conditionnel à
partir des tentatives de connexion récentes de vos utilisateurs pour déterminer
l’impact qu’elles auraient eu si elles avaient été activées. L’outil What If vous permet
de tester vos stratégies d’accès conditionnel avant de les implémenter.

Où est-ce que l’accès conditionnel est disponible ?

Pour utiliser l’accès conditionnel, vous avez besoin d’une licence Azure AD
Premium P1 ou P2. Si vous disposez d’une licence Microsoft 365 Business Premium,
vous avez également accès aux fonctionnalités d’accès conditionnel.

Récapitulatif
Effectué100 XP
• 2 minutes

L’entreprise Tailwind Traders doit s’assurer que seuls ses employés peuvent accéder à
l’ensemble grandissant d’applications cloud dont elle dispose, quels que soient le lieu
et l’appareil utilisé.

Pendant l’élaboration de son plan, Tailwind Traders apprend que :

• L’authentification (Authn) établit l’identité de l’utilisateur.


• L’autorisation (Authz) établit le niveau d’accès d’un utilisateur authentifié.
• L’authentification unique (SSO) permet à un utilisateur de se connecter
une fois et d’utiliser ces informations d’identification pour accéder à
plusieurs ressources et applications.
• Azure Active Directory (Azure AD) est un service de gestion des identités
et des accès basée sur le cloud. Azure AD permet à une organisation de
contrôler l’accès aux applications et aux ressources en fonction de ses
exigences opérationnelles.
• Azure AD Multi-Factor Authentication renforce la sécurité des identités
en imposant au moins deux éléments pour une authentification
complète. En général, l’authentification multifacteur peut inclure une
procédure demandant à l’utilisateur quelque chose qu’il connaît, quelque
chose qu’il a, et quelque chose qui l’identifie.
• L’accès conditionnel est un outil dont se sert Azure AD pour autoriser ou
refuser l’accès aux ressources en fonction de signaux d’identité comme la
localisation de l’utilisateur.

Les équipes de développement de logiciels et d’administration informatique vont


donc pouvoir commencer à remplacer leurs systèmes d’authentification existants par
ceux qui font appel à plusieurs facteurs et qui donnent accès à plusieurs applications.
En savoir plus
Voici d’autres ressources pour vous aider à aller plus loin :

• Comparer Active Directory à Azure Active Directory


• Azure Active Directory
• Qu’est-ce que l’authentification unique ?
• Authentification unique transparente Azure Active Directory
• Qu’est-ce qu’Azure AD Connect ?
• Authentification multifacteur Azure AD
• Accès conditionnel Azure AD

Introduction
Effectué100 XP
• 2 minutes

Le terme gouvernance décrit le processus général qui vise à établir des règles et des
stratégies, puis à veiller à ce que ces règles et stratégies soient appliquées.

Exécutée dans le cloud, une bonne stratégie de gouvernance vous aide à garder le
contrôle sur les applications et les ressources que vous y gérez. Garder le contrôle sur
votre environnement vous permet de garantir la conformité aux normes suivantes :

• Normes du secteur, comme PCI DSS.


• Normes de l’entreprise ou de l’organisation, comme la vérification du
chiffrement des données réseau.

La gouvernance est le plus bénéfique dans les contextes suivants :

• Vous avez plusieurs équipes d’ingénieurs qui travaillent dans Azure.


• Vous avez plusieurs abonnements à gérer.
• Vous avez des exigences réglementaires qui doivent être appliquées.
• Vous avez des normes qui doivent être suivies pour toutes les ressources
cloud.

À la rencontre de Tailwind Traders


Tailwind Traders est une société fictive de vente au détail de produits
d’aménagement de la maison. Elle a des points de vente de matériel dans le monde
entier et en ligne.
L’entreprise Tailwind Traders est spécialisée dans la compétitivité prix, des livraisons
rapides et dispose d’une gamme d’articles étendue. Elle envisage le recours aux
technologies cloud dans le but d’optimiser ses activités commerciales et de soutenir
la croissance sur les nouveaux marchés. En migrant vers le cloud, l’entreprise espère
proposer une expérience d’achat plus aboutie et ainsi se démarquer de la
concurrence.

Comment l’entreprise Tailwind Traders va-t-elle


améliorer l’agilité tout en gardant le contrôle ?
Tailwind Traders poursuit sa migration vers le cloud. Pour son centre de données
existant, les équipes de développement et de test doivent soumettre des tickets de
support pour demander l’accès aux machines virtuelles, au stockage et aux
composants réseau. Le personnel informatique peut passer entre deux semaines et
deux mois à acheter, provisionner et configurer ces composants.

En travaillant dans le cloud, vous avez finalement accès immédiatement aux


composants de calcul, de stockage et réseau. De nombreux types de groupes et
d’utilisateurs, notamment des équipes de développement, de test, d’exploitation et
de sécurité, disposent potentiellement d’accès direct aux ressources cloud.

À l’avenir, Tailwind Traders pourrait appliquer des processus similaires pour empêcher
les équipes de créer ou configurer directement des ressources sur Azure, à l’instar de
son approche existante en vertu de laquelle le service informatique central
approvisionne l’infrastructure. Mais la société sait que ces restrictions réduisent
l’agilité de l’équipe et sa capacité à innover. Comment l’entreprise peut-elle soutenir
l’innovation tout en gardant le contrôle ?

Dans ce module, vous allez aider l’entreprise à découvrir des moyens d’appliquer des
normes tout en permettant aux équipes de créer et de gérer les ressources cloud
dont elles ont besoin.

Objectifs d’apprentissage
À l’issue de ce module, vous pourrez :
• Prendre des décisions organisationnelles sur votre environnement cloud
à l’aide du Cloud Adoption Framework pour Azure.
• Définir qui peut accéder aux ressources cloud à l’aide du contrôle d’accès
en fonction du rôle Azure.
• Appliquer un verrou de ressource pour empêcher la suppression
accidentelle de vos ressources Azure.
• Appliquer des balises à vos ressources Azure pour vous aider à en décrire
l’objectif.
• Contrôler et auditer la manière dont vos ressources sont créées à l’aide
d’Azure Policy.
• Activer la gouvernance à grande échelle sur plusieurs abonnements
Azure à l’aide d’Azure Blueprints.

Contrôler l’accès aux ressources cloud à


l’aide du contrôle d’accès en fonction
du rôle Azure
Effectué100 XP
• 4 minutes

Si vous avez plusieurs équipes d’informaticiens et d’ingénieurs, comment pouvez-


vous contrôler l’accès qu’elles ont aux ressources de votre environnement cloud ?
C’est une bonne pratique de sécurité que d’accorder aux utilisateurs uniquement les
droits dont ils ont besoin pour effectuer leur travail, et uniquement pour les
ressources qui les concernent.

Au lieu de définir les besoins d’accès particuliers de chaque personne, puis de les
mettre à jour quand des ressources sont créées, Azure vous permet de contrôler
l’accès par le biais du contrôle d’accès en fonction du rôle Azure (RBAC Azure).

Azure propose des rôles intégrés qui décrivent les règles d’accès courantes des
ressources cloud. Vous pouvez également définir vos propres rôles. Chaque rôle a un
ensemble d’autorisations d’accès associé qui lui sont propres. Quand vous attribuez
un ou plusieurs rôles à des personnes ou des groupes, ils reçoivent toutes les
autorisations d’accès associées.

Comment le contrôle d’accès en fonction du rôle est-


il appliqué aux ressources ?
Le contrôle d’accès en fonction du rôle s’applique à une étendue, à savoir une
ressource ou un ensemble de ressources à laquelle ou auquel cet accès s’applique.
Voici un diagramme montrant la relation entre les rôles et les étendues.

Les étendues incluent :

• Un groupe d’administration (collection de plusieurs abonnements).


• Un abonnement unique.
• Un groupe de ressources.
• Une ressource unique.

Les observateurs, les utilisateurs gérant des ressources, les administrateurs et


les processus automatisés illustrent les genres d’utilisateurs ou de comptes
généralement attribués à chacun des différents rôles.

Quand vous accordez l’accès à une étendue parente, ces autorisations sont héritées
par toutes les étendues enfants. Par exemple :

• Quand vous attribuez le rôle Propriétaire à un utilisateur au niveau de


l’étendue du groupe d’administration, cet utilisateur peut gérer tout le
contenu de tous les abonnements au sein du groupe d’administration.
• Quand vous attribuez le rôle Lecteur à un groupe au niveau de l’étendue
de l’abonnement, les membres de ce groupe peuvent voir tous les
groupes de ressources et toutes les ressources au sein de l’abonnement.
• Lorsque vous attribuez le rôle Contributeur à une application au niveau
de l’étendue du groupe de ressources, l’application peut gérer les
ressources de tous les types au sein de ce groupe de ressources, mais pas
les autres groupes de ressources au sein de l’abonnement.

Quand dois-je utiliser RBAC Azure ?


Utilisez RBAC Azure quand vous avez besoin de :
• Permettre à un utilisateur de gérer les machines virtuelles d’un
abonnement, et à un autre de gérer les réseaux virtuels.
• Permettre à un groupe d’administrateurs de bases de données de gérer
les bases de données SQL d’un abonnement
• Permettre à un utilisateur de gérer toutes les ressources d’un groupe de
ressources (machines virtuelles, sites web, sous-réseaux, etc.)
• Permettre à une application d’accéder à toutes les ressources d’un
groupe de ressources.

Et ce n’est que quelques exemples. Vous trouverez la liste complète des rôles intégrés
à la fin de ce module.

Comment RBAC Azure est-il appliqué ?


RBAC Azure s’applique à toute action lancée sur une ressource Azure qui passe par
Azure Resource Manager. Resource Manager est un service de gestion qui propose
un moyen d’organiser et de sécuriser vos ressources cloud.

Pour accéder à Resource Manager, vous utilisez généralement le portail Azure, Azure
Cloud Shell, Azure PowerShell et Azure CLI. Un RBAC Azure n’applique pas
d’autorisations d’accès au niveau de l’application ou des données. La sécurité de
l’application doit être gérée par votre application.

RBAC utilise un modèle d’autorisation. Quand un rôle vous est attribué, un RBAC
vous permet d’effectuer certaines actions telles que lire, écrire ou supprimer. Si une
attribution de rôle vous accorde des autorisations de lecture sur un groupe de
ressources et qu’une autre attribution de rôle vous accorde des autorisations
d’écriture sur le même groupe de ressources, vous disposez d’autorisations de lecture
et d’écriture sur ce groupe de ressources.

À qui s’applique RBAC Azure ?


Vous pouvez appliquer RBAC Azure à une personne particulière ou à un groupe. Vous
pouvez également appliquer un RBAC Azure à d’autres types d’identité spéciaux,
comme des principaux de service et des identités managées. Ces types d’identités
sont utilisés par les applications et services pour automatiser l’accès aux ressources
Azure.

Les équipes suivantes de Tailwind Traders ont un intérêt dans son environnement
informatique global :
• Administrateurs informatiques Cette équipe a la propriété ultime des
ressources informatiques, à la fois locales et dans le cloud. L’équipe a
besoin d’un contrôle total sur toutes les ressources.
• Sauvegarde et reprise d’activité après sinistre Cette équipe est
responsable de la gestion de l’intégrité des sauvegardes régulières et de
l’appel de toutes les éventuelles récupérations des données ou du
système.
• Coûts et facturation Les personnes de cette équipe suivent et reportent
les dépenses en informatique. Elles gèrent également les budgets
internes de l’organisation.
• Opérations de sécurité Cette équipe surveille et traite tous les incidents
de sécurité liés à l’informatique. L’équipe a besoin d’un accès permanent
aux fichiers journaux et aux alertes de sécurité.

Comment puis-je faire pour gérer les autorisations


RBAC Azure ?
Vous gérez les autorisations d’accès dans le volet Contrôle d’accès (IAM) du portail
Azure. Ce volet montre qui a accès à chaque étendue et les rôles qui s’appliquent.
Vous pouvez également accorder ou supprimer des accès à partir de ce volet.

La capture d’écran suivante montre un exemple de volet Contrôle d’accès


(IAM) pour un groupe de ressources. Dans cet exemple, Alain Charon s’est vu
attribuer le rôle Opérateur de sauvegarde pour ce groupe de ressources.

Exercice - Protéger un compte de


stockage contre une suppression
accidentelle à l’aide d’un verrou de
ressource
Effectué100 XP
• 8 minutes

Dans cet exercice, vous voyez comment les verrous de ressource permettent d’éviter
la suppression accidentelle de vos ressources Azure.

Pour cela, vous créez un groupe de ressources à partir du portail Azure. Imaginez un
groupe de ressources comme un conteneur pour des ressources Azure associées.
Ensuite, vous ajoutez un verrou à votre groupe de ressources, et vérifiez que vous ne
pouvez pas supprimer celui-ci.

Vous ajoutez ensuite un compte de stockage à votre groupe de ressources et vous


constatez que le verrou du groupe de ressources parent empêche la suppression du
compte de stockage. Un compte de stockage est un conteneur qui regroupe un
ensemble de services de stockage Azure.

Important

Vous devez disposer de votre propre abonnement Azure pour effectuer les exercices
de ce module. Si vous n’avez pas d’abonnement Azure, vous pouvez quand même
poursuivre.

Créer le groupe de ressources


Ici, vous créez un groupe de ressources nommé my-test-rg.

1. Accédez au portail Azure et connectez-vous.


2. En haut de la page, sélectionnez Groupes de ressources.
3. Sélectionnez +Nouveau. La page Créer un groupe de
ressources s’affiche.
4. Sous l’onglet Informations de base, renseignez les champs suivants.

Paramètre

Valeur

Détails du projet

Abonnement
votre abonnement Azure

Resource group

my-test-rg

Détails de la ressource

Région

(États-Unis) USA Est

Vous pouvez également sélectionner une région plus proche de vous.

5. Sélectionnez Examiner + créer, puis sélectionnez Créer.

Ajouter un verrou au groupe de ressources


Ajoutez un verrou de ressource au groupe de ressources. Pour ce faire :

1. Dans le portail Azure, sélectionnez votre groupe de ressources, my-test-


rg.
2. Sous Paramètres, sélectionnez Verrous, puis Ajouter.

3. Renseignez ces champs.

Paramètre
Valeur

Nom du verrou

rg-delete-lock

Type de verrou

Supprimer

4. Sélectionnez OK. Vous constatez que le verrou de ressource est appliqué


à votre groupe de ressources.

Vérifier que le groupe de ressources est protégé


contre la suppression
Ici, vous vérifiez la protection en essayant de supprimer le groupe de ressources.

1. En haut de la page, sélectionnez my-test-rg pour accéder à la page de


présentation de votre groupe de ressources.

2. Sélectionnez Supprimer le groupe de ressources.

3. À l’invite, entrez my-test-rg, puis sélectionnez OK. Vous voyez un


message qui vous indique que le groupe de ressources est verrouillé et
qu’il n’est pas possible de le supprimer.

Protéger un compte de stockage contre une


suppression accidentelle
Ici, vous ajoutez un compte de stockage à votre groupe de ressources, et constatez
que le verrou du groupe de ressources parent empêche la suppression du compte de
stockage. Pour ce faire :

1. Dans le portail Azure, en haut de la page, sélectionnez Accueil pour


revenir à la page de démarrage.
2. Sélectionnez Comptes de stockage. Sélectionnez + Nouveau. La
page Créer un compte de stockage s’affiche.
3. Sous l’onglet Informations de base, renseignez les champs suivants.

Notes

Remplacez NNN par une série de numéros. Ces numéros vous


permettent de vous assurer que le nom de votre compte de stockage est
unique.

Paramètre

Valeur

Détails du projet

Abonnement

votre abonnement Azure

Resource group

my-test-rg

Détails de l’instance

Nom du compte de stockage

mysaNNN

Emplacement

(États-Unis) USA Est

Performances

Standard

Type de compte
StorageV2 (v2 universel)

Réplication

Stockage localement redondant (LRS)

Comme avant, vous pouvez aussi sélectionner une région plus proche de
vous.

4. Sélectionnez Examiner + créer, puis sélectionnez Créer. Le déploiement


peut prendre quelques minutes.
5. Sélectionnez Accéder à la ressource.
6. En haut de la page, sélectionnez Supprimer.

Vous voyez un message qui vous indique que la ressource ou son parent
sont verrouillés et qu’il n’est pas possible de les supprimer. Voici un
exemple montrant le message d’erreur concernant un compte de
stockage nommé mysa1234.

Même si vous n’avez pas créé de verrou spécifique pour le compte de stockage, le
verrou que vous avez créé pour le groupe de ressources parent vous empêche de
supprimer la ressource. En d’autres termes, le compte de stockage hérite du verrou
de son groupe de ressources parent.

Supprimer le groupe de ressources et le compte de


stockage
Vous n’avez plus besoin de votre groupe de ressources ni de votre compte de
stockage. Ici, vous supprimez les deux.

Quand vous supprimez un groupe de ressources, vous supprimez également ses


ressources enfants, comme le compte de stockage que vous avez créé
précédemment.

Pour supprimer le groupe de ressources, vous devez d’abord supprimer le verrou de


ressource.

1. Dans le portail Azure, sélectionnez Accueil > Groupes de


ressources > my-test-rg pour accéder à votre groupe de ressources.
2. Sous Paramètres, sélectionnez Verrous.
3. Recherchez rg-delete-lock et sélectionnez Supprimer sur cette même
ligne.
4. Sélectionnez Vue d’ensemble, puis Supprimer le groupe de
ressources.
5. À l’invite, entrez my-test-rg, puis sélectionnez OK. L’opération de
suppression peut prendre quelques instants.
6. Une fois l’opération terminée, sélectionnez Accueil > Groupes de
ressources. Vous constatez que le groupe de ressources my-test-
rg n’existe plus dans votre compte. Votre compte de stockage est
également supprimé.

Beau travail. Vous pouvez maintenant appliquer des verrous de ressource pour éviter
la suppression accidentelle de vos ressources Azure.

Organiser vos ressources Azure à l’aide


de balises
Effectué100 XP
• 3 minutes

À mesure que votre utilisation du cloud augmente, il est de plus en plus important de
rester organisé. Une bonne stratégie d’organisation vous aide à comprendre votre
utilisation du cloud et peut vous aider à gérer les coûts.

Par exemple, à mesure que Tailwind Traders prototype de nouvelles façons de


déployer ses applications sur Azure, elle a besoin d’un moyen pour marquer ses
environnements de test afin de pouvoir identifier et supprimer facilement des
ressources dans ces environnements dès qu’elles ne sont plus nécessaires.

Une façon d’organiser des ressources associées consiste à les placer dans leurs
propres abonnements. Vous pouvez également utiliser des groupes de ressources
pour gérer des ressources associées. Les balises de ressource constituent une autre
façon d’organiser les ressources. Les balises fournissent des informations
supplémentaires, ou métadonnées, sur vos ressources. Ces métadonnées s’avèrent
utiles dans les domaines suivants :

• Gestion des ressources Les étiquettes vous permettent de localiser des


ressources associées à des charges de travail, des environnements, des
divisions et des propriétaires spécifiques et d’agir en conséquence.
• Gestion et optimisation des coûts Les étiquettes vous permettent de
regrouper des ressources afin d’établir des rapports sur les coûts,
d’allouer des centres de coûts internes, de suivre des budgets et de
prévoir une estimation des coûts.
• Gestion des opérations Les étiquettes vous permettent de regrouper les
ressources en fonction de l’importance de leur disponibilité pour votre
entreprise. Ce regroupement vous aide à formuler des contrats de niveau
de service (SLA). Un contrat SLA est une garantie de durée de bon
fonctionnement ou de performances entre vos utilisateurs et vous.
• Sécurité Les étiquettes vous permettent de classifier les données en
fonction de leur niveau de sécurité, comme public ou confidentiel.
• Gouvernance et conformité réglementaire Les étiquettes vous
permettent d’identifier les ressources conformes aux exigences de
gouvernance ou de conformité réglementaire, comme la norme
ISO 27001. Elles peuvent également s’intégrer dans vos efforts en matière
d’application de normes. Par exemple, vous pouvez exiger que toutes les
ressources soient balisées avec un nom de propriétaire ou de service.
• Optimisation et automatisation des charges de travail Les étiquettes
peuvent vous aider à visualiser toutes les ressources qui participent à des
déploiements complexes. Par exemple, vous pouvez baliser une ressource
avec le nom associé de sa charge de travail ou de son application, puis
utiliser un logiciel comme Azure DevOps pour effectuer des tâches
automatisées sur ces ressources.

Comment faire pour gérer des balises de ressource ?


Vous pouvez ajouter, modifier ou supprimer des balises de ressource à l’aide de
PowerShell, d’Azure CLI, de modèles Azure Resource Manager, de l’API REST ou du
portail Azure.

Vous pouvez également gérer les balises à l’aide d’Azure Policy. Par exemple, vous
pouvez appliquer des balises à un groupe de ressources, sans qu’elles soient
automatiquement appliquées aux ressources comprises dans celui-ci. Vous pouvez
utiliser Azure Policy pour veiller à ce qu’une ressource hérite des mêmes balises que
son groupe de ressources parent. Vous en apprendrez davantage sur Azure Policy
plus loin dans ce module.

Vous pouvez également utiliser Azure Policy pour appliquer des règles et des
conventions de balisage. Par exemple, vous pouvez exiger que certaines balises
soient ajoutées aux nouvelles ressources au fur et à mesure de leur provisionnement.
Vous pouvez également définir des règles qui réappliquent les balises qui ont été
supprimées.

Exemple de structure de balisage


Une balise de ressource comprend un nom et une valeur. Vous pouvez attribuer une
ou plusieurs balises à chaque ressource Azure.

Après examen de ses besoins métier, Tailwind Traders décide d’utiliser les balises
suivantes :

Nom

Valeur

AppName

Nom de l’application dont la ressource fait partie.

CostCenter

Code du centre de coûts interne.

Propriétaire

Nom du propriétaire responsable de la ressource.

Environment

Nom d’environnement, comme « Prod », « Dev » ou « Test ».

Impact

Importance de la ressource pour les opérations métier, par exemple « Stratégique », « Impact
élevé » ou « Impact faible ».

Voici un exemple montrant ces balises appliquées à une machine virtuelle pendant
l’approvisionnement.

L’équipe de Tailwind Traders peut exécuter des requêtes, par exemple, à partir de
PowerShell ou d’Azure CLI, pour répertorier toutes les ressources contenant ces
balises.
N’oubliez pas que vous n’avez pas besoin de décréter qu’une balise spécifique doit
être présente sur toutes vos ressources. Par exemple, vous pouvez décider que seules
les ressources stratégiques ont la balise Impact. Toutes les ressources non balisées
ne sont alors pas considérées comme stratégiques.

Contrôler et auditer vos ressources à


l’aide d’Azure Policy
Effectué100 XP
• 5 minutes

Dans un exercice précédent de ce module, vous avez identifié vos besoins métier et
de gouvernance. Comment garantir que vos ressources restent conformes ? Pouvez-
vous être alerté si la configuration d’une ressource a changé ?

Azure Policy est un service Azure qui vous permet de créer, attribuer et gérer des
stratégies qui contrôlent ou auditent vos ressources. Ces stratégies appliquent des
règles différentes sur toutes vos configurations de ressources afin que ces
configurations restent conformes aux standards de l’entreprise.

Comment le service Azure Policy définit-il des


stratégies ?
Azure Policy vous permet de définir à la fois des stratégies individuelles et
des groupes de stratégies associées, appelées initiatives. Azure Policy évalue vos
ressources et met en évidence celles qui ne sont pas conformes aux stratégies que
vous avez créées. Azure Policy vous permet également d’empêcher la création de
ressources non conformes.

Azure Policy est fourni avec des définitions de stratégie et d’initiative intégrées pour
le stockage, le réseau, le calcul, Security Center et le monitoring. Par exemple, si vous
définissez une stratégie qui autorise seulement une certaine taille de référence SKU
pour les machines virtuelles à utiliser dans votre environnement, cette stratégie est
appelée quand vous créez une machine virtuelle et chaque fois que vous
redimensionnez des machines virtuelles existantes. Azure Policy assure également
l’évaluation et le monitoring de toutes les machines virtuelles actuellement dans
votre environnement.

Dans certains cas, Azure Policy permet de corriger automatiquement les ressources et
configurations non conformes pour garantir l’intégrité de l’état des ressources. Par
exemple, si toutes les ressources d’un certain groupe de ressources doivent être
balisées avec la balise AppName et la valeur « SpecialOrders », Azure Policy
réapplique automatiquement cette balise si elle est manquante.

Azure Policy s’intègre aussi à Azure DevOps en appliquant toutes les stratégies
relatives aux pipelines d’intégration continue et de livraison continue qui concernent
les phases de prédéploiement et de postdéploiement de vos applications.

Azure Policy en action


L’implémentation d’une stratégie dans Azure Policy implique trois tâches :

1. Créez une définition de stratégie.


2. Attribuez la définition aux ressources.
3. Passez en revue les résultats de l’évaluation.

Examinons chaque étape de plus près.

Tâche 1. Créer une définition de stratégie

Une définition de stratégie indique ce qu’il faut évaluer et l’action à entreprendre. Par
exemple, vous pouvez empêcher les machines virtuelles d’être déployées dans
certaines régions Azure. Vous pouvez également auditer vos comptes de stockage
pour vérifier qu’ils acceptent uniquement des connexions en provenance de réseaux
autorisés.

Chaque définition de stratégie présente des conditions dans lesquelles elle est
appliquée. Une définition de stratégie entraîne aussi un effet qui se produit quand les
conditions sont remplies. Voici quelques exemples de définitions de stratégie :

• Références SKU de machine virtuelle autorisées Cette stratégie vous


permet de spécifier un ensemble de références SKU de machine virtuelle
que votre organisation peut déployer.
• Emplacements autorisés Cette stratégie vous permet de restreindre les
emplacements que votre organisation peut spécifier quand elle déploie
des ressources. Son effet permet d’appliquer vos exigences de
conformité géographique.
• MFA doit être activé sur les comptes avec des autorisations en
écriture sur votre abonnement Cette stratégie exige que
l’authentification multifacteur (MFA) soit activée pour tous les comptes
d’abonnement avec des privilèges d’écriture afin d’empêcher une
violation des comptes ou des ressources.
• CORS ne doit pas autoriser chaque ressource à accéder à vos
applications web Le partage des ressources Cross-Origin (CORS) est une
fonctionnalité HTTP qui permet à une application web s’exécutant sous
un domaine d’accéder aux ressources d’un autre domaine. Pour des
raisons de sécurité, les navigateurs web modernes restreignent par
défaut le scripting inter-site. Cette stratégie autorise uniquement les
domaines nécessaires à interagir avec votre application web.
• Les mises à jour système doivent être installées sur vos
ordinateurs Cette stratégie permet à Azure Security Center de
recommander des mises à jour système de sécurité manquantes sur vos
serveurs.

Tâche 2. Attribuer la définition aux ressources

Pour implémenter vos définitions de stratégie, vous les attribuez aux ressources.
Une attribution de stratégie est une définition de stratégie qui s’applique à une
étendue spécifique. Cette étendue peut être un groupe d’administration (une
collection de plusieurs abonnements), un abonnement unique ou un groupe de
ressources.

Toutes les ressources enfants au sein de cette étendue héritent des attributions de
stratégie. Si une stratégie est appliquée à un groupe de ressources, elle l’est à toutes
les ressources incluses dans celui-ci. Vous pouvez exclure une sous-étendue de
l’attribution de stratégie si des ressources enfants spécifiques ont besoin d’en être
exemptées.

Tâche 3. Examiner les résultats de l’évaluation

Quand une condition est évaluée par rapport à vos ressources existantes, chaque
ressource est marquée comme conforme ou non conforme. Vous pouvez passer en
revue les résultats de stratégie non conformes afin de prendre toutes les mesures
nécessaires.

L’évaluation de la stratégie a lieu une fois par heure. Si vous apportez des
modifications à votre définition de stratégie et vous créez une attribution de
stratégie, cette stratégie est évaluée sur vos ressources dans l’heure.

Que sont les initiatives Azure Policy ?


Une initiative Azure Policy est un moyen de regrouper ensemble des stratégies
associées. La définition d’initiative contient toutes les définitions de stratégie qui
permettent de suivre l’état de conformité d’un objectif plus large.
Par exemple, Azure Policy comprend une initiative nommée Activer la supervision
dans Azure Security Center. Son objectif est de superviser toutes les
recommandations de sécurité disponibles pour tous les types de ressources Azure
dans Azure Security Center.

Dans cette initiative sont incluses les définitions de stratégie suivantes :

• Surveiller les bases de données SQL non chiffrées dans Security


Center Cette stratégie surveille les bases de données et les serveurs SQL
Server non chiffrés.
• Surveiller les vulnérabilités du système d’exploitation dans Security
Center Cette stratégie surveille les serveurs qui ne répondent pas à la
base de référence des vulnérabilités du système d’exploitation
configurée.
• Surveiller Endpoint Protection manquant dans Security Center Cette
stratégie surveille les serveurs qui n’ont aucun agent Endpoint Protection
installé.

En fait, l’initiative Activer la supervision dans Azure Security Center contient plus
de 100 définitions de stratégie distinctes.

Azure Policy comprend également des initiatives qui prennent en charge des
standards de conformité réglementaire, comme HIPAA et ISO 27001.

Comment faire pour définir une initiative ?

Vous définissez des initiatives en utilisant le portail Azure ou des outils en ligne de
commande. Dans le portail Azure, vous pouvez effectuer des recherches dans la liste
des initiatives intégrées à Azure. Vous pouvez également créer votre propre définition
de stratégie personnalisée.

L’illustration suivante montre quelques exemples d’initiatives Azure Policy dans le


portail Azure.
Comment faire pour attribuer une initiative ?

À l’instar d’une attribution de stratégie, une attribution d’initiative est une définition
d’initiative attribuée à une étendue spécifique d’un groupe d’administration, d’un
abonnement ou d’un groupe de ressources.

Même si vous n’avez qu’une seule stratégie, une initiative vous permet d’augmenter
leur nombre par la suite. Étant donné que l’initiative associée reste attribuée, il est
plus facile d’ajouter et de supprimer des stratégies sans avoir à modifier l’attribution
de stratégie de vos ressources.
Exercice - Limiter les déploiements à un
emplacement spécifique à l’aide d’Azure
Policy
Effectué100 XP
• 8 minutes

Dans cet exercice, vous créez une stratégie dans Azure Policy qui limite le
déploiement de ressources Azure à un emplacement spécifique. Vous vérifiez la
stratégie en essayant de créer un compte de stockage à un emplacement qui enfreint
la stratégie.

Tailwind Traders veut limiter l’emplacement auquel les ressources peuvent être
déployées à la région USA Est. Il y a deux raisons à cela :

• Suivi des coûts amélioré Pour suivre les coûts, Tailwind Traders utilise
différents abonnements pour suivre les déploiements sur chacun de ses
emplacements régionaux. La stratégie permet de veiller à ce que toutes
les ressources soient déployées dans la région USA Est.
• Respecter la résidence des données et la conformité de la
sécurité Tailwind Traders doit respecter une règle de conformité qui
stipule où les données client peuvent être stockées. Ici, les données client
doivent être stockées dans la région USA Est.

Rappelez-vous que vous pouvez attribuer une stratégie à un groupe d’administration,


à un abonnement unique ou à un groupe de ressources. Ici, vous attribuez la
stratégie à un groupe de ressources pour qu’elle n’affecte pas les autres ressources
de votre abonnement Azure.

Important

Vous devez disposer de votre propre abonnement Azure pour effectuer les exercices
de ce module. Si vous n’avez pas d’abonnement Azure, vous pouvez quand même
poursuivre.

Créer le groupe de ressources


Ici, vous créez un groupe de ressources nommé my-test-rg. Il s’agit du groupe de
ressources auquel vous allez appliquer votre stratégie d’emplacement.
Par commodité, vous utilisez le même nom de groupe de ressources que celui que
vous avez utilisé dans l’exercice précédent. Vous pouvez utiliser le même nom, car
vous avez supprimé le groupe de ressources précédent.

1. Accédez au portail Azure et connectez-vous.


2. Sélectionnez Créer une ressource.
3. Entrez groupe de ressources dans la zone de recherche, puis appuyez
sur Entrée.
4. Si vous êtes dirigé vers un volet de résultats de recherche,
sélectionnez Groupe de ressources dans les résultats.
5. Sélectionnez Create (Créer). Entrez ensuite les valeurs suivantes pour
chaque paramètre.

Paramètre

Valeur

Abonnement

(Votre abonnement Azure)

Abonnement > Groupe de ressources

my-test-rg

Région

(États-Unis) USA Est

6. Sélectionnez Examiner + créer, puis sélectionnez Créer.

Explorer des stratégies prédéfinies


Avant de configurer votre stratégie d’emplacement, examinons brièvement quelques
stratégies prédéfinies. Par exemple, intéressez-vous aux stratégies qui concernent les
services Azure Compute.

1. Dans le portail Azure, en haut de la page, sélectionnez Accueil pour


revenir à la page de démarrage.
2. En haut de la page, entrez policy dans la barre de recherche.
Sélectionnez ensuite Stratégie dans la liste de résultats pour accéder à
Azure Policy.
3. Sous Création, sélectionnez Définitions.
4. Dans la liste déroulante Catégorie, sélectionnez uniquement Calcul.
Notez que la définition des références SKU de machine virtuelle
autorisées vous permet de spécifier un ensemble de références SKU de
machine virtuelle que votre organisation peut
déployer.

Si vous le souhaitez, explorez les autres stratégies ou catégories qui vous intéressent.

Configurer la stratégie d’emplacement


Ici, vous configurez la stratégie d’emplacement autorisé à l’aide d’Azure Policy.
Ensuite, vous attribuez cette stratégie à votre groupe de ressources. Pour ce faire :

1. Dans le volet Stratégie, sous Création, sélectionnez Assignations.

Une affectation est une stratégie qui a été affectée pour être appliquée
dans une étendue spécifique. Par exemple, une définition peut être
attribuée à l’étendue de l’abonnement.
2. Sélectionnez Attribuer une stratégie.

Vous êtes dirigé vers le volet Assigner une stratégie.


3. Sous Étendue, sélectionnez les points de suspension.
Dans la boîte de dialogue qui s’affiche, définissez les éléments suivants :
0. Champ Abonnement sur votre abonnement Azure.
1. Champ Groupe de ressources sur my-test-rg.
2. Sélectionnez Sélectionner.
4. Sous Définition de stratégie, sélectionnez les points de suspension.
0. Dans la barre de recherche, entrez emplacement.
1. Sélectionnez la définition Emplacements autorisés.
2. Sélectionnez Sélectionner.

Cette définition de stratégie spécifie l’emplacement auquel toutes les


ressources doivent être déployées. Si un autre emplacement est choisi, le
déploiement échoue.

5. Sélectionnez Suivant pour accéder à l’onglet Paramètres.


6. Dans la liste déroulante Localisations autorisées, sélectionnez USA Est.
7. Sélectionnez Examiner + créer, puis sélectionnez Créer.
Vous constatez que l’attribution de stratégie Emplacements
autorisés est maintenant listée dans le volet Stratégie | Attributions.
Elle applique la stratégie sur le groupe de ressources my-test-rg.

Vérifier la stratégie d’emplacement


Ici, vous essayez d’ajouter à votre groupe de ressources un compte de stockage qui
se trouve à un emplacement qui enfreint votre stratégie d’emplacement.

1. Dans le portail Azure, en haut de la page, sélectionnez Accueil pour


revenir à la page de démarrage.
2. Sélectionnez Créer une ressource.
3. Entrez compte de stockage dans la zone de recherche, puis appuyez sur
Entrée.
4. Si vous êtes dirigé vers un volet de résultats de recherche,
sélectionnez Compte de stockage dans les résultats.
5. Sélectionnez Create (Créer). Entrez ensuite les valeurs suivantes pour
chaque paramètre.

Notes

Remplacez NNN par une série de numéros. Ceux-ci vous permettent de


vous assurer que le nom de votre compte de stockage est unique.

Paramètre

Valeur

Abonnement

(Votre abonnement Azure)

Abonnement > Groupe de ressources

my-test-rg

Nom du compte de stockage

mysaNNN
Lieu

(Asie-Pacifique) Japon Est

Performances

Standard

Type de compte

StorageV2 (v2 universel)

Redondance

Stockage localement redondant (LRS)

Niveau d’accès (par défaut)

Chaud

Si vous avez auparavant sélectionné Japon Est dans votre stratégie


d’emplacement, sélectionnez une autre région dans la liste.

6. Sélectionnez Examiner + créer, puis sélectionnez Créer.


Vous voyez un message qui indique que le déploiement a échoué en
raison d’une violation de la stratégie. Vous pouvez également voir les
détails du déploiement.
Voici un exemple montrant les détails du déploiement d’un compte de
stockage nommé mysa1234.

Supprimer l’attribution de stratégie


Vous n’avez plus besoin de votre attribution de stratégie. Ici, vous la supprimez de
votre abonnement.

1. Dans le portail Azure, sélectionnez Accueil > Stratégie.


2. Sous Création, sélectionnez Attributions.
3. Dans la ligne Emplacements autorisés, sélectionnez les points de
suspension. Sélectionnez ensuite Supprimer l’attribution. À l’invite,
sélectionnez Oui.

Vous constatez que l’attribution de stratégie Emplacements


autorisés n’existe plus.

Si vous le souhaitez, vous pouvez essayer de créer le compte de stockage une


seconde fois pour vérifier que la stratégie n’est plus en vigueur.

Supprimer le groupe de ressources


Vous n’avez plus besoin de votre groupe de ressources. Ici, vous le supprimez de
votre abonnement.

1. Dans le portail Azure, sélectionnez Accueil > Groupes de


ressources > my-test-rg pour accéder à votre groupe de ressources.
2. Sélectionnez Vue d’ensemble, puis Supprimer le groupe de
ressources.
3. À l’invite, entrez my-test-rg, puis sélectionnez OK. L’opération de
suppression peut prendre quelques instants.
4. Une fois l’opération terminée, sélectionnez Accueil > Groupes de
ressources. Vous constatez que le groupe de ressources my-test-
rg n’existe plus dans votre compte.

Beau travail ! Vous avez bien appliqué une stratégie à l’aide d’Azure Policy pour
limiter les déploiements de ressources Azure à certaines localisations. Vous pouvez
maintenant appliquer les stratégies dont vous avez besoin au niveau du groupe
d’administration, de l’abonnement ou du groupe de ressources.

Gouverner plusieurs abonnements à


l’aide d’Azure Blueprints
Effectué100 XP
• 4 minutes

Jusqu’à présent, vous avez examiné plusieurs fonctionnalités Azure qui facilitent
l’implémentation de vos décisions en matière de gouvernance, la supervision de la
conformité de vos ressources cloud, le contrôle de l’accès et la protection contre la
suppression accidentelle de ressources stratégiques.

Que se passe-t-il quand votre environnement cloud passe à plusieurs abonnements ?


Comment pouvez-vous faire évoluer la configuration de ces fonctionnalités, en
sachant qu’elles doivent s’appliquer aux ressources incluses dans les nouveaux
abonnements ?

Au lieu de configurer des fonctionnalités comme Azure Policy pour chaque nouvel
abonnement, Azure Blueprints vous permet de définir un ensemble reproductible
d’outils de gouvernance et de ressources Azure standard dont votre organisation a
besoin. Cela permet aux équipes de développement de créer et de déployer
rapidement de nouveaux environnements dans le respect des exigences de
conformité de l’organisation avec un ensemble de composants intégrés qui
accélèrent les phases de développement et de déploiement.

Azure Blueprints orchestre le déploiement de différents modèles de ressources et


d’autres artefacts, par exemple :

• Affectations de rôles
• Attributions de stratégies
• Modèles Azure Resource Manager
• Groupes de ressources

Azure Blueprints en action


Quand vous formez une équipe de centre d’excellence cloud ou une équipe des
consignataires cloud, cette équipe peut utiliser Azure Blueprints pour faire évoluer ses
pratiques de gouvernance dans toute l’organisation.

L’implémentation d’un blueprint dans Azure Blueprints implique ces trois étapes :

1. Créez un blueprint Azure.


2. Attribuez le blueprint.
3. Suivez les attributions du blueprint.

Avec Azure Blueprints, la relation entre la définition du blueprint (ce qui doit être
déployé) et l’affectation du blueprint (ce qui a été déployé) est conservée. En d’autres
termes, Azure crée un enregistrement qui associe une ressource au blueprint qui la
définit. Cette connexion vous permet de suivre et d’auditer vos déploiements.

Les blueprints sont aussi versionnés. Le contrôle de version vous permet de suivre et
de commenter les modifications apportées à votre blueprint.

Que sont les artefacts de blueprint ?


Chaque composant de la définition de blueprint est appelé artefact.

Il est possible que les artefacts n’aient pas de paramètres supplémentaires


(configurations). C’est le cas, par exemple, de la stratégie Déployer la détection des
menaces sur les serveurs SQL qui ne nécessite aucune configuration
supplémentaire.

Les artefacts peuvent également contenir un ou plusieurs paramètres que vous


pouvez configurer. La capture d’écran suivante montre la stratégie Emplacements
autorisés. Cette stratégie inclut un paramètre qui spécifie les emplacements
autorisés.
Vous pouvez spécifier la valeur d’un paramètre lorsque vous créez la définition de
blueprint ou quand vous attribuez cette dernière à une étendue. Ainsi, vous pouvez
gérer un seul blueprint standard, tout en ayant la flexibilité de spécifier les
paramètres de configuration appropriés au niveau de chaque étendue où la définition
est attribuée.

Comment l’entreprise Tailwind Traders utilise-t-elle


Azure Blueprints pour la conformité à la norme
ISO 27001 ?
La norme ISO 27001 s’applique à la sécurité des systèmes informatiques. Elle est
publiée par l’Organisation internationale de normalisation. Dans le cadre de sa
procédure qualité, Tailwind Traders souhaite certifier qu’elle se conforme à cette
norme. Azure Blueprints comporte plusieurs définitions de blueprint intégrées qui se
rapportent à la norme ISO 27001.
En tant qu’administrateur informatique, vous décidez d’examiner la définition ISO
27001 : Blueprint des services partagés. Voici les grandes lignes de votre plan.

1. Définissez un groupe d’administration nommé PROD-MG. N’oubliez pas


qu’un groupe d’administration gère l’accès, les stratégies et la conformité
de plusieurs abonnements Azure. Chaque nouvel abonnement Azure est
ajouté à ce groupe d’administration lors de la création de l’abonnement.
2. Créez une définition de blueprint basée sur le modèle ISO 27001 :
Blueprint des services partagés. Publiez ensuite le blueprint.
3. Attribuez le blueprint à votre groupe d’administration PROD-MG.

L’illustration suivante montre les artefacts créés quand vous exécutez un blueprint
ISO 27001 à partir d’un modèle.
Vous voyez que le modèle de blueprint contient des attributions de stratégie, des
modèles Resource Manager et des groupes de ressources. Le blueprint déploie ces
artefacts sur tous les abonnements existants au sein du groupe
d’administration PROD-MG. Le blueprint déploie aussi ces artefacts sur tous les
nouveaux abonnements à mesure qu’ils sont créés et ajoutés au groupe
d’administration.

Accélérer votre parcours d’adoption du


cloud en utilisant Cloud Adoption
Framework pour Azure
Effectué100 XP
• 3 minutes

Le Cloud Adoption Framework pour Azure fournit une assistance qui a fait ses
preuves tout au long de votre parcours d’adoption du cloud. Cloud Adoption
Framework vous aide à créer et à implémenter les stratégies métier et technologiques
nécessaires pour réussir dans le cloud.

Tailwind Traders a besoin de contrôler son environnement cloud de sorte à se


conformer à plusieurs normes sectorielles, mais l’entreprise ne sait pas trop par où
commencer. Elle a des besoins métier existants, et comprend la relation entre ceux-ci
et ses charges de travail locales. Ces exigences doivent également être respectées par
les charges de travail qu’elle exécute dans le cloud.

Il vous a été demandé de faire des recherches sur ce que propose Azure, puis de
définir et implémenter la stratégie de gouvernance de Tailwind Traders. Vous décidez
de commencer avec le Cloud Adoption Framework.

Que comprend Cloud Adoption Framework ?


Comme mentionné dans la vidéo, Cloud Adoption Framework comprend des outils,
de la documentation et des pratiques éprouvées. Le Cloud Adoption Framework
comprend les étapes suivantes :

1. définir votre stratégie ;


2. établir un plan ;
3. préparer votre organisation ;
4. adopter le cloud ;
5. gouverner et gérer vos environnements cloud.
L’étape Gouverner se concentre sur la gouvernance cloud. Vous pouvez vous revenir
aux instructions recommandées par Cloud Adoption Framework tout au long de la
création de votre stratégie de gouvernance cloud.

Pour vous aider à élaborer votre stratégie d’adoption, le Cloud Adoption Framework
décompose chaque étape en exercices et sous-étapes supplémentaires. Penchons-
nous brièvement sur chaque étape.

Définir votre stratégie

Ici, vous identifiez les raisons pour lesquelles vous migrez vers le cloud et ce que vous
voulez en retirer. Avez-vous besoin d’évoluer pour satisfaire à la demande ou
d’atteindre de nouveaux marchés ? Cela va-t-il réduire les coûts ou augmenter
l’agilité de l’entreprise ? Lorsque vous définissez votre stratégie d’adoption du cloud,
vous devez comprendre le modèle économique du cloud et tenir compte de l’impact
sur l’activité, des délais de traitement, de la portée mondiale, des performances, etc.

Voici les étapes de cette phase.

Définir et décrire vos motivations : Rencontrer les parties prenantes et les dirigeants peut
vous aider à identifier les raisons pour lesquelles vous migrez vers le cloud.
Décrire les résultats pour l’entreprise : Rencontrez les dirigeants des services financiers,
marketing, commerciaux et des ressources humaines pour mieux documenter vos objectifs.

Évaluez les aspects financiers : mesurez les objectifs et identifiez le retour attendu d’un
investissement spécifique.

Comprenez les aspects techniques : évaluez ces aspects techniques via la sélection et la
réalisation de votre premier projet technique.

Créer un plan

Ici, vous créez un plan qui fait correspondre vos objectifs ambitieux à des actions
spécifiques. Un plan correct vous permet de veiller à ce que vos efforts correspondent
aux résultats souhaités.

Voici les étapes de cette phase.

Patrimoine numérique : Créez un inventaire des ressources numériques et charges de travail


existantes que vous envisagez de migrer vers le cloud.

Alignement initial de l’organisation : Veillez à ce que les bonnes personnes soient


impliquées dans vos efforts de migration, à la fois du point de vue technique et du point de
vue de la gouvernance cloud.
Plan de préparation des compétences : Créez un plan qui aide les personnes à acquérir les
compétences dont elles ont besoin pour fonctionner dans le cloud.

Plan d’adoption du cloud : Créez un plan exhaustif qui rassemble les équipes commerciales,
de développement et d’exploitation vers un objectif d’adoption du cloud partagé.

Préparer votre organisation

Ici, vous créez une zone d’atterrissage, c’est-à-dire un environnement dans le cloud
pour commencer à héberger vos charges de travail.

Voici les étapes de cette phase.

Guide de configuration Azure : Passez en revue le guide de configuration Azure pour vous
familiariser avec les outils et approches nécessaires lors de la création d’une zone
d’atterrissage.

Zone d’atterrissage Azure : Commencez à créer les abonnements Azure qui prennent en
charge chacun des principaux domaines de votre entreprise. Une zone d’atterrissage
comprend une infrastructure cloud, ainsi que des fonctionnalités de gouvernance, de gestion
des comptes et de sécurité.
Développer la zone d’atterrissage : Affinez votre zone d’atterrissage pour vérifier qu’elle
répond à vos besoins en matière d’opérations, de gouvernance et de sécurité.

Bonnes pratiques : Commencez avec des pratiques recommandées et éprouvées pour veiller
à ce que vos efforts de migration vers le cloud soient scalables et maintenables.

Adopter le cloud

Ici, vous commencez à migrer vos applications vers le cloud. En cours de route, vous
pouvez trouver des moyens de moderniser vos applications et de créer des solutions
novatrices qui utilisent des services cloud.

Le Cloud Adoption Framework divise cette phase en deux parties : migrer et innover.

Migrer : Voici les étapes de la partie migration de cette phase.

Migrer votre première charge de travail : Utilisez le guide de migration Azure pour
déployer votre premier projet sur le cloud.

Scénarios de migration : Utilisez d’autres guides détaillés pour explorer des scénarios de
migration plus complexes.

Bonnes pratiques : Consultez la liste de vérification des bonnes pratiques en matière de


migration vers le cloud Azure pour vérifier que vous vous y conformez.
Améliorations de processus : Identifiez les moyens de faire évoluer le processus de
migration en réduisant les efforts nécessaires.

Innover : Voici les étapes de la partie innovation de cette phase.

Consensus sur la valeur métier : Vérifiez que les investissements dans de nouvelles
innovations créent de la valeur ajoutée pour l’entreprise et répondent aux besoins des clients.

Guide d’innovation Azure : Utilisez ce guide pour accélérer le développement et créer un


produit minimum viable pour votre idée.

Bonnes pratiques : Vérifiez que votre progression s’inscrit dans les pratiques recommandées
avant de poursuivre.

Boucles de commentaires : Vérifiez souvent auprès de vos clients que vous créez ce dont ils
ont besoin.
Gouverner et gérer vos environnements cloud

Ici, vous commencez à former vos stratégies de gouvernance cloud et de gestion


cloud. Les processus de gouvernance et les stratégies cloud changent au même
rythme que le patrimoine cloud. Vous avez besoin de créer des solutions résilientes
qui sont optimisées en permanence.

Gouverner : Voici les étapes de la partie gouvernance de cette phase.

Méthodologie : Pensez à votre solution à l’état final. Ensuite, définissez une méthodologie
qui vous amène de manière incrémentielle des premières étapes à la gouvernance cloud
complète.

Benchmark : Utilisez l’outil de benchmark de la gouvernance pour évaluer votre état actuel
et votre état futur afin d’établir une vision de l’application de l’infrastructure.

Base de la gouvernance initiale : Créez un produit minimum viable qui capture les premières
étapes de votre plan de gouvernance.

Améliorer la base de la gouvernance initiale : Ajoutez de manière itérative des contrôles de


gouvernance qui traitent des risques tangibles à mesure que vous progressez vers votre
solution à l’état final.

Gérer : Voici les étapes de la partie gestion de cette phase :


Établir une base de référence de gestion : Définissez votre engagement minimal envers la
gestion des opérations. Une base de référence de gestion est l’ensemble minimal d’outils et de
processus qui doit être appliqué à chaque ressource d’un environnement.

Définir des engagements métier : Documentez les charges de travail prises en charge pour
établir des engagements opérationnels avec l’entreprise et convenez des investissements de
gestion de cloud pour chaque charge de travail.

Développer la base de référence de gestion : Appliquez les bonnes pratiques recommandées


pour itérer sur votre base de référence de gestion initiale.

Principes avancés de la conception et des opérations : Pour les charges de travail qui
nécessitent un niveau d’engagement métier plus poussé, effectuez un examen plus approfondi
de l’architecture pour respecter vos engagements en matière de résilience et de fiabilité.

Unité suivante: Créer une stratégie de gouvernance


des abonnements

Créer une stratégie de gouvernance des


abonnements
Effectué100 XP
• 3 minutes
Au début de toute implémentation de gouvernance cloud, vous identifiez une
structure d’organisation cloud répondant à vos besoins métier. Cette étape implique
souvent la formation d’une équipe de centre d’excellence cloud (également
appelée équipe d’activation cloud ou équipe de consignataires cloud). Cette équipe est
chargée d’implémenter des pratiques de gouvernance à partir d’un emplacement
centralisé pour l’ensemble de l’organisation.

Les équipes commencent souvent leur stratégie de gouvernance Azure au niveau de


l’abonnement. Trois principaux aspects sont à prendre en considération pour créer et
gérer des abonnements : facturation, contrôle d’accès et limites d’abonnement.

Intéressons-nous de plus près à chacun de ces aspects.

Facturation
Vous pouvez créer un seul rapport de facturation par abonnement. Si vous avez
plusieurs services et que vous devez effectuer une « rétrofacturation » des coûts
cloud, une solution possible consiste à organiser les abonnements par service ou par
projet.

Des balises de ressource peuvent également vous aider. Vous explorerez les balises
plus loin dans ce module. Quand vous définissez le nombre d’abonnements dont
vous avez besoin et la façon de les nommer, tenez compte de vos besoins de
facturation internes.

Contrôle d’accès
Un abonnement est une limite de déploiement pour les ressources Azure. Chaque
abonnement est associé à un locataire Azure Active Directory. Chaque locataire offre
aux administrateurs la possibilité de configurer un accès granulaire par le biais de
rôles définis à l’aide d’un contrôle d’accès en fonction du rôle Azure.

Quand vous concevez l’architecture de votre abonnement, tenez compte du facteur


de limite de déploiement. Par exemple, avez-vous besoin d’abonnements distincts
pour les environnements de développement et de production ? Des abonnements
distincts vous permettent de contrôler l’accès à chacun d’eux séparément, et donc
d’isoler leurs ressources les unes des autres.

Limites d’abonnement
Les abonnements ont aussi des limitations de ressources. Par exemple, le nombre
maximal de circuits Azure ExpressRoute du réseau par abonnement est de 10. Ces
limites doivent être prises en compte lors de la phase de conception. Si vous devez
dépasser ces limites, il se peut que vous deviez ajouter des abonnements. Si vous
atteignez une limite maximale stricte, vous ne disposez d’aucune flexibilité pour
l’augmenter.

Les groupes d’administration sont également disponibles pour faciliter la gestion des
abonnements. Un groupe d’administration gère l’accès, les stratégies et la conformité
de plusieurs abonnements Azure. Vous en apprendrez plus sur les groupes
d’administration plus loin dans ce module.

Résumé
Effectué100 XP
• 2 minutes

Vous avez été chargé de définir et d’implémenter la stratégie de gouvernance de


Tailwind Traders.

La gouvernance cloud nécessite une bonne analyse et l’identification des besoins.


Heureusement, le Cloud Adoption Framework pour Azure peut vous aider à définir et
à implémenter votre stratégie de gouvernance. Il existe plusieurs services et
fonctionnalités dans Azure pour soutenir ces efforts :

• Le contrôle d’accès en fonction du rôle Azure (Azure RBAC) vous permet


de créer des rôles définissant des autorisations d’accès.
• Les verrous de ressource empêchent la suppression ou modification
accidentelle des ressources.
• Les balises de ressource fournissent des informations supplémentaires,
ou métadonnées, sur vos ressources.
• Azure Policy est un service Azure qui vous permet de créer, attribuer et
gérer des stratégies qui contrôlent ou auditent vos ressources.
• Azure Blueprints vous permet de définir un jeu reproductible d’outils de
gouvernance et de ressources Azure standard dont votre organisation a
besoin.

En gardant cela à l’esprit, vous êtes prêt à passer à l’étape suivante qui vise à créer
une bonne stratégie de gouvernance cloud.

En savoir plus
Le module Contrôler et organiser les ressources Azure avec Azure Resource
Manager est une bonne étape pour continuer votre parcours. Il va vous permettre
d’approfondir l’utilisation d’Azure Resource Manager pour organiser les ressources,
appliquer des normes et protéger les ressources critiques contre la suppression.

Voici des ressources supplémentaires pour vous aider à aller plus loin :

• Commencez à utiliser le Cloud Adoption Framework pour Azure.


• Découvrez-en plus sur l’Abonnement Azure et les limites, quotas et
contraintes de service.
• Passez en revue la liste complète des rôles intégrés Azure pour RBAC
Azure.
• Pour découvrir comment Azure Policy permet d’appliquer des règles et
des conventions de balisage, consultez Attribuer des stratégies à des fins
de conformité des balises.
• Pour obtenir des recommandations sur la façon d’implémenter votre
propre stratégie de balisage, consultez le Guide de décision concernant
le nommage et le balisage des ressources.
• Explorez d’autres exemples Azure Policy.
• Pour plus d’informations, consultez Création d’une définition de stratégie
personnalisée. Ce tutoriel vous explique comment bien démarrer.

Introduction
Effectué100 XP
• 4 minutes

Dans ce module, vous allez découvrir l’engagement de Microsoft vis-à-vis de la


protection des données personnelles et la façon dont Azure respecte les normes
réglementaires et de conformité courantes.

Si votre organisation est une administration ou un organisme public ou si vous avez


besoin d’effectuer un déploiement dans des régions de Chine, vous allez aussi
découvrir des éléments à prendre en considération qui ne concernent pas les autres
utilisateurs d’Azure.

En général, la conformité renvoie au respect d’une loi, d’une norme ou d’un ensemble
de directives. La conformité réglementaire traite de la discipline et du processus qui
consiste à s’assurer qu’une entreprise respecte les lois imposées par des instances
dirigeantes.

À la rencontre de Tailwind Traders


Tailwind Traders est une société fictive de vente au détail de produits
d’aménagement de la maison. Elle a des points de vente de matériel dans le monde
entier et en ligne.

L’entreprise Tailwind Traders est spécialisée dans la compétitivité prix, des livraisons
rapides et dispose d’une gamme d’articles étendue. Elle envisage le recours aux
technologies cloud dans le but d’optimiser ses activités commerciales et de soutenir
la croissance sur les nouveaux marchés. En migrant vers le cloud, l’entreprise espère
proposer une expérience d’achat plus aboutie et ainsi se démarquer de la
concurrence.

Comment la société Tailwind Traders protégera-t-elle


ses données dans le cloud et restera conforme ?
Tailwind Traders planifie sa migration vers le cloud. L’entreprise est habituée à
contrôler entièrement toutes ses données d’application, qui sont stockées sur des
serveurs qu’elle gère dans son centre de données.

En migrant ses applications dans le cloud, Tailwind Traders a conscience que ses
données se trouvent désormais hors de ses murs. La société comprend également
que le fournisseur de cloud a accès à l’infrastructure des serveurs matériels. Comment
la confidentialité de ses données d’application est-elle protégée ?

Tailwind Traders doit aussi se conformer à plusieurs cadres réglementaires et de


conformité. Par exemple, l’entreprise doit respecter certaines règles pour garantir une
gestion correcte des données de carte de crédit. Elle doit également garantir que ses
applications sont conformes aux réglementations et aux normes en vigueur.
Comment l’infrastructure d’Azure se situe-t-elle par rapport à ces normes ?

Pour répondre à ces questions, vous allez commencer par découvrir les différents
types d’offres de conformité disponibles dans Azure.

Objectifs d’apprentissage
À l’issue de ce module, vous pourrez :
• Expliquer les différents types d’offres de conformité disponibles dans
Azure.
• Accéder à la Déclaration de confidentialité Microsoft, aux Conditions des
Services en Ligne et à l’Addendum sur la protection des données pour
connaître les données personnelles collectées par Microsoft, comment
elles sont utilisées et à quelles fins.
• Obtenir des informations sur les normes réglementaires et de conformité
qui s’appliquent à Azure à partir du Centre de gestion de la
confidentialité et dans la documentation sur la conformité Azure.
• Décrire les fonctionnalités Azure qui s’adressent spécifiquement aux
organismes publics.

Prérequis
• Vous devez être familiarisé avec les concepts et la terminologie de base
du domaine informatique.
• Connaître le cloud computing est un plus, mais n’est pas indispensable.

Explorer les conditions et exigences de


conformité
Effectué100 XP
• 5 minutes

Dans cette unité, vous allez découvrir les différents types d’offres de conformité
disponibles dans Azure.

Alors que Tailwind Traders est en passe d’exécuter ses applications dans le cloud,
l’entreprise souhaite savoir jusqu’à quel point Azure est en phase avec les cadres de
conformité réglementaire en vigueur. La société veut savoir :

• Quel est le degré de conformité d’Azure en matière de gestion des


données personnelles ?
• Quel est le degré de conformité des différents services d’Azure ?

Les services en ligne de Microsoft s’appuient sur un ensemble commun de contrôles


réglementaires et de conformité. Un contrôle peut être considéré comme un standard
connu et fiable sur lequel vous pouvez aligner votre solution pour en assurer la
sécurité. Ces contrôles répondent aux réglementations d’aujourd’hui et s’adaptent à
mesure que ces dernières évoluent.
Quelles sont les catégories de conformité qui sont
proposées dans Azure ?
Bien que les offres de conformité disponibles dans Azure soient bien plus
nombreuses, celles représentées dans l’image suivante comptent parmi celles qui
sont les plus répandues. Ces offres sont regroupées dans quatre catégories :
International, Gouvernement américain, Secteur d’activité et National.

Pour avoir une idée de la diversité des offres de conformité disponibles dans Azure,
examinons-en quelques-unes de plus près.

Bien que toutes ces offres de conformité ne s’appliquent pas nécessairement à vous
ou à votre équipe, elles témoignent de l’engagement total et constant de Microsoft
vis-à-vis de la conformité, qui est contrôlé et vérifié de manière indépendante.

Criminal Justice Information Services


Tout État ou toute agence locale des États-Unis qui souhaite accéder à la base de
données CJIS (Criminal Justice Information Services) du FBI doit respecter la stratégie
de sécurité du CJIS.

Azure est le seul fournisseur de cloud majeur qui s’engage contractuellement à se


conformer à la stratégie de sécurité du CJIS. Microsoft se conforme aux mêmes
exigences que les organismes chargés de l’application de la loi et de la sécurité
publique.

Certification Cloud Security Alliance STAR

Azure, Intune et Microsoft Power BI ont obtenu la certification Cloud Security Alliance
(CSA) STAR, qui implique une évaluation rigoureuse par un tiers indépendant des
dispositifs de sécurité d’un fournisseur de cloud.

La certification STAR est basée sur l’obtention de la certification ISO (Organisation


internationale de normalisation)/CEI (Commission Électrotechnique Internationale)
27001 et sur le respect des critères spécifiés dans la matrice CCM (Cloud Controls
Matrix). Elle prouve qu’un fournisseur de services cloud :

• Se conforme aux exigences applicables de la norme ISO/IEC 27001.


• A résolu les problèmes critiques de sécurité du cloud, comme indiqué
dans le CCM.
• A été évalué par rapport au Capability Maturity Model STAR pour la
gestion des activités dans les zones de contrôle du CCM.

Clauses du modèle de l’Union européenne

Microsoft propose à ses clients des clauses contractuelles standard de l’Union


européenne (UE), qui offrent des garanties contractuelles encadrant le transfert des
données personnelles hors de l’UE.

Microsoft est la première société à recevoir une approbation commune du groupe de


travail de l’UE sur l’article 29, selon lequel les protections contractuelles de
confidentialité fournies par Azure à ses clients du cloud d’entreprise sont conformes
aux normes en vigueur dans l’UE concernant les transferts internationaux de données.
Le respect de cette norme garantit que les clients Azure peuvent utiliser les services
de Microsoft pour transférer librement des données via le cloud de Microsoft, de
l’Europe au reste du monde.

Health Insurance Portability and Accountability Act


La loi américaine HIPAA (Health Insurance Portability Accountability Act) est une loi
fédérale qui régit les informations de santé protégées des patients.

Azure propose à ses clients un contrat BAA (Business Associate Agreement) HIPAA,
qui stipule le respect de certaines dispositions relatives à la sécurité et à la
confidentialité conformément à la loi HIPAA et à la loi HITECH. Pour aider les clients
dans leurs efforts de conformité individuels, Microsoft propose aux clients Azure un
BAA en tant qu’avenant au contrat.

Organisation internationale de normalisation/Commission


Électrotechnique Internationale 27018

Microsoft est le premier fournisseur de cloud à avoir adopté le code de bonnes


pratiques ISO/CEI 27018, qui couvre le traitement des informations personnelles par
les fournisseurs de services cloud.

Certification MTCS (Multi-Tier Cloud Security) pour Singapour

Après des évaluations rigoureuses menées par l’organisme de certification Multi-Tier


Cloud Security (MTCS), les services de cloud computing Microsoft ont reçu la
certification MTCS 584:2013 pour les trois classifications de services suivantes :

• Infrastructure as a service (IaaS)


• Platform as a service (PaaS)
• SaaS (software as a service)

Microsoft est le premier fournisseur de solutions cloud mondial à recevoir cette


certification dans les trois classifications.

Référentiels SOC (Service Organization Controls) 1, 2 et 3

Des auditeurs tiers indépendants réalisent au moins une fois par an un audit des
services de cloud computing Microsoft pour vérifier leur conformité au référentiel de
rapports SOC (Service Organization Controls).

L’audit des services de cloud computing Microsoft couvre les contrôles de la sécurité,
de la disponibilité, de l’intégrité du traitement et de la confidentialité des données,
conformément aux principes de confiance définis pour chaque service.

Référentiel cybersécurité du National Institute of Standards and


Technology
Le référentiel cybersécurité (CSF) du NIST (National Institute of Standards and
Technology) est un cadre bénévole constitué de standards, de recommandations et
de bonnes pratiques sur la gestion des risques liés à la cybersécurité.

Les services de cloud computing Microsoft ont été soumis aux audits tiers et
indépendants du FedRAMP (Federal Risk and Authorization Management Program)
aux niveaux Moderate et High Baseline. Les services de cloud computing Microsoft
sont certifiés conformes aux normes FedRAMP.

De plus, grâce à une évaluation validée effectuée par HITRUST (Health Information
Trust Alliance), une organisation leader dans le développement et l’accréditation de
normes de sécurité et de confidentialité, Office 365 est certifié conforme aux objectifs
spécifiés dans le NIST CSF.

Programme G-Cloud du gouvernement britannique

Le programme G-Cloud du gouvernement britannique est une certification de cloud


computing pour les services utilisés par les entités administratives au Royaume-Uni.
Azure a reçu l’accréditation officielle du gouvernement britannique.

Unité suivante: Accéder à la Déclaration de


confidentialité Microsoft, aux Conditions des Services
en Ligne et à l’Addendum sur la protection des
données

Accéder à la Déclaration de
confidentialité Microsoft, aux
Conditions des Services en Ligne et à
l’Addendum sur la protection des
données
Effectué100 XP
• 3 minutes

Dans cette partie, vous allez découvrir comment accéder à la Déclaration de


confidentialité Microsoft, aux Conditions des Services en Ligne et à l’Addendum sur la
protection des données pour expliquer la nature des données personnelles collectées
par Microsoft, comment elles sont utilisées et à quelles fins.

Pour Tailwind Traders, il est important de comprendre l’engagement de Microsoft en


matière de protection des données personnelles pour s’assurer que les données de
leurs clients et de leurs applications seront protégées.

Regardez la vidéo suivante pour découvrir le mode de fonctionnement de Microsoft,


qui repose essentiellement sur la confiance.

Poursuivons avec un bref examen de la Déclaration de confidentialité Microsoft et


des indications pour la trouver.

Qu’est-ce que la Déclaration de confidentialité


Microsoft ?
La Déclaration de confidentialité Microsoft explique la nature des données
personnelles collectées par Microsoft, comment Microsoft les utilise et à quelles fins.

La déclaration de confidentialité porte sur l’ensemble des services, sites web,


applications, logiciels, serveurs et appareils Microsoft. Cette liste comprend aussi bien
les produits entreprise et serveur que les appareils à usage domestique ou les
logiciels que les étudiants utilisent dans leurs établissements.

La déclaration de confidentialité de Microsoft fournit également des informations


concernant certains produits spécifiques comme Windows et Xbox.

Que trouve-t-on dans les Conditions des Services en


Ligne ?
Les Conditions des Services en Ligne consistent en un contrat juridique passé entre
Microsoft et le client. Elles décrivent en détail les obligations des deux parties en ce
qui concerne le traitement et la sécurité des données du client et des données
personnelles. Les Conditions des Services en Ligne s’appliquent plus précisément aux
services en ligne de Microsoft dont la licence est fournie via un abonnement. Tel est
le cas notamment d’Azure, Dynamics 365, Office 365 et Bing Maps.

Qu’est-ce que l’Addendum sur la protection des


données ?
L’Addendum sur la protection des données (ou DPA) définit de façon plus détaillée le
traitement des données et les conditions de sécurité des services en ligne. Ces
conditions portent sur les aspects suivants :

• Conformité avec les lois.


• Divulgation des données traitées.
• Sécurité des données, ce qui englobe les pratiques et stratégies de
sécurité, le chiffrement des données, l’accès aux données, les
responsabilités du client et la conformité avec l’audit.
• Transfert, rétention et suppression des données.

Pour accéder à l’Addendum sur la protection des données :

1. Accédez à la page Licensing Terms and Documentation.


2. Dans la barre de recherche, entrez DPA.
3. Dans les résultats de la recherche, localisez le lien vers le DPA dans votre
langue par défaut. Sinon, dans la barre de recherche qui s’affiche, entrez
votre langue par défaut pour filtrer les résultats. Voici un exemple qui
extrait la version anglaise de l’Addendum sur la protection des données.

Il est important qu’un fournisseur de cloud fasse preuve de transparence au moment


de communiquer ses stratégies de confidentialité et la façon dont il traite vos
données. La Déclaration de confidentialité Microsoft, les Conditions des Services en
Ligne et l’Addendum sur la protection des données détaillent l’engagement de
Microsoft en matière de protection des données et de confidentialité dans le cloud.
Explorer le Centre de gestion de la
confidentialité
Effectué100 XP
• 3 minutes

La société Tailwind Traders doit rester au fait des dernières normes de sécurité pour
assurer la protection de ses données. Aujourd’hui, l’équipe de sécurité doit vérifier si
Azure répond à la norme ISO 27001, fréquemment utilisée en matière de sécurité des
informations. Où la société peut-elle accéder à ces informations ?

Le Centre de gestion de la confidentialité expose les principes mis en œuvre par


Microsoft pour assurer l’intégrité des données dans le cloud ainsi que la façon dont
Microsoft implémente et favorise la sécurité, la confidentialité, la conformité et la
transparence dans tous les produits et services cloud Microsoft. Le Centre de gestion
de la confidentialité est une composante importante de l’initiative Microsoft Trusted
Cloud. La communauté en charge des questions juridiques et de conformité peut y
trouver un support et des ressources.
Voici ce que propose le Centre de gestion de la confidentialité :

• Des informations détaillées sur la sécurité, la confidentialité, les offres de


conformité, les stratégies, les fonctionnalités et les pratiques des produits
cloud Microsoft.
• Des ressources supplémentaires pour chaque thème.
• Des liens vers des blogs traitant de la sécurité, de la confidentialité et de
la conformité et les événements à venir.

Le Centre de gestion de la confidentialité est une ressource précieuse pour les autres
personnes de votre organisation qui sont susceptibles de jouer un rôle lié à la
sécurité, la confidentialité ou la conformité. à savoir les directeurs commerciaux, les
responsables de l’évaluation des risques et de la confidentialité et les équipes en
charge de la conformité légale.

Explorer le Centre de gestion de la confidentialité


À titre d’exemple, jetons un coup d’œil à l’entrée relative à la norme ISO 27001 dans
le Centre de gestion de la confidentialité.

Il n’est pas nécessaire de disposer d’un abonnement Azure ou d’un compte Microsoft
pour accéder au Centre de gestion de la confidentialité.

1. Accédez au Centre de gestion de la confidentialité.


2. Recherchez la section Autres ressources dans la page. Sous Offres pour
la conformité, sélectionnez En savoir plus.

Sous la section Conformité réglementaire & du secteur, cliquez sur &.

Vous accédez alors à la page Offres pour la conformité Microsoft.

Ces offres sont regroupées en quatre


catégories : International, Gouvernement américain, Secteur
d’activité et National.

3. Sous International, sélectionnez ISO 27001.


La page Normes de gestion de la sécurité des informations ISO 27001 est
un exemple classique du type d’information de conformité que nous
fournissons.

4. Examinez brièvement la documentation relative à la norme ISO/IEC


27001.

Vous voyez :

o Une présentation de la norme.


o Les services cloud concernés.
o Une vue d’ensemble du cycle d’audit et des liens vers des
rapports d’audit.
o Des réponses aux questions fréquentes.
o Des ressources supplémentaires et des livres blancs.

Si les domaines abordés dans la documentation peuvent varier d’une


offre de conformité à une autre, ce format correspond au format que
vous trouverez généralement.
Accéder à la documentation sur la
conformité Azure
Effectué100 XP
• 4 minutes

Vous allez ici découvrir comment accéder à une documentation détaillée sur les
normes légales et réglementaires et sur la conformité dans Azure.

Le commerce électronique occupe une place importante dans la stratégie


commerciale de Tailwind Traders. Sa boutique en ligne permet aux clients de
consulter et commander facilement ses produits. Comme les clients paient
généralement par carte de crédit, l’entreprise Tailwind Traders est soumise à la norme
Payment Card Industry Data Security Standard. Cette norme internationale, connue
sous le nom de PCI DSS, vise à empêcher la fraude par le biais d’un contrôle renforcé
des données de carte de crédit. Elle s’applique aux organisations qui stockent, traitent
ou transmettent des données sur les paiements et les détenteurs de cartes.

Vous avez été chargé de déterminer si l’hébergement de l’application de commerce


électronique de la société dans Azure est compatible avec la norme PCI DSS. La
documentation sur la conformité Azure est le point de départ.

Qu’est-ce que la documentation sur la conformité


Azure ?
La documentation sur la conformité Azure fournit des informations détaillées sur les
normes légales et réglementaires et sur la conformité dans Azure.

Vous pouvez y trouver des offres de conformité dans les catégories suivantes :

• Global
• Gouvernement américain
• Services financiers
• Santé
• Multimédia et industrie
• Zones géographiques

Vous y trouverez également d’autres ressources de conformité, telles que les rapports
d’audit, des informations sur la protection des données personnelles, des
implémentations et correspondances de conformité, des livres blancs et des rapports
d’analyste. Les réglementations en matière de confidentialité et de conformité des
pays et régions sont également incluses. Vous devrez peut-être vous connecter à
votre service cloud pour pouvoir accéder à certaines ressources.

Examiner la conformité à la norme PCI DSS


L’équipe juridique de Tailwind Traders souhaite en apprendre davantage sur la norme
PCI DSS et déterminer en quoi elle concerne l’application de commerce électronique
de la société dans Azure.

À titre d’exercice facultatif, voici la procédure à suivre.

1. Accédez à la documentation sur la conformité Azure.


2. Sous Services financiers, sélectionnez PCI DSS.

Voici ce que vous y trouvez :

o Une présentation de la norme PCI DSS.


o L’applicabilité de PCI DSS à Microsoft.
o Les services cloud concernés.
o Une vue d’ensemble du cycle d’audit.
o Des réponses aux questions fréquentes.
o Des ressources supplémentaires et des livres blancs.

Accéder à d’autres ressources de conformité


À partir de la documentation sur la conformité Azure, vous pouvez accéder à d’autres
ressources sur la conformité.

Par exemple, dans la section Rapport d’audit, vous trouverez un lien vers des
rapports d’audit pour PCI DSS.

De cette page, vous pouvez accéder à plusieurs fichiers, notamment aux rapports
d’attestation de conformité et à la matrice des responsabilités partagées de la norme
PCI DSS.

Sous Blueprints de conformité, vous trouverez des blueprints de référence ou des


définitions de stratégies pour les normes courantes que vous pouvez appliquer à
votre abonnement Azure. Le blueprint PCI DSS déploie un ensemble de stratégies de
base qui correspondent à la conformité PCI DSS et vous aident à régir vos charges de
travail Azure par rapport à cette norme.
Vous pouvez déterminer ensuite si les ressources Azure présentes dans votre
architecture d’application ont été configurées correctement pour la conformité PCI
DSS ou s’il convient d’en corriger certaines.

Compte tenu de l’évolution constante des normes, l’équipe Tailwind Traders peut
vérifier régulièrement le rapport d’audit pour vérifier si Azure présente des
changements récents.

Qu’est-ce qu’Azure Government ?


Effectué100 XP
• 2 minutes

Azure Government est une instance distincte du service Microsoft Azure. Elle répond
aux besoins de sécurité et de conformité des agences fédérales américaines, des
gouvernements des États et locaux et de leurs fournisseurs de solutions. Azure
Government est isolé physiquement des autres déploiements Azure et son personnel
de nationalité américaine fait l’objet d’une sélection rigoureuse.
Les services Azure Government gèrent les données soumises à certaines
réglementations et exigences gouvernementales :

• Federal Risk and Authorization Management Program (FedRAMP)


• Base de défense industrielle (DIB) du NIST (National Institute of
Standards and Technology) 800.171
• Réglementation américaine sur le trafic d’armes au niveau international
(ITAR)
• Internal Revenue Service (IRS) 1075
• Ministère américain de la Défense (DoD) L4
• CJIS (Criminal Justice Information Services)

Pour offrir le plus haut niveau de sécurité et de conformité, Azure Government utilise
des centres de données et des réseaux isolés physiquement, situés uniquement aux
États-Unis. L’éligibilité des clients Azure Government, tels que le gouvernement
fédéral des États-Unis, les gouvernements d’État/locaux ou leurs partenaires, est
vérifiée.

Azure Government propose une conformité optimale et a reçu l’approbation de


niveau 5 du ministère américain de la Défense (DoD). Azure Government
est disponible dans huit zones géographiques et offre les certifications de conformité
les plus strictes de tous les fournisseurs de cloud.

Qu’est-ce qu’Azure China 21Vianet ?


Effectué100 XP
• 2 minutes

Azure China 21Vianet est exploité par 21Vianet. Il s’agit d’une instance physiquement
distincte des services cloud situés en Chine. Azure China 21Vianet est exploité et géré
de manière indépendante par Shanghai Blue Cloud Technology Co., Ltd.
(« 21Vianet »), qui est une filiale à part entière de Beijing 21Vianet Broadband Data
Center Co., Ltd.

Conformément à la réglementation chinoise en matière de télécommunications, les


fournisseurs de services cloud, IaaS (Infrastructure as a Service) et PaaS (Platform as a
Service) doivent disposer d’une licence de télécommunications à valeur ajoutée.
Seules les sociétés locales constituées de moins de 50 % de capitaux étrangers
peuvent bénéficier de ces licences. Pour être conforme à cette réglementation, le
service Azure en Chine est exploité par 21Vianet avec des technologies sous licence
Microsoft.
En tant que premier fournisseur de services cloud public étranger proposé en Chine
conforme aux réglementations gouvernementales, Azure China 21Vianet offre une
sécurité de premier ordre, comme indiqué dans le Centre de gestion de la
confidentialité, telle que l’exigent les réglementations chinoises pour tous les
systèmes et toutes les applications basés sur son architecture.

Produits et services Azure disponibles en Chine


Les services Azure reposent sur les mêmes technologies Azure, Office 365 et Power BI
que celles du service cloud mondial de Microsoft, avec des niveaux de service
comparables. Les accords et contrats Azure en Chine, le cas échéant, sont signés
entre les clients et 21Vianet.

Azure intègre les composants de base d’IaaS, PaaS et SaaS (Software as a Service).
Ces composants incluent le réseau, le stockage, la gestion des données, la gestion
des identités et bien d’autres services.
Azure China 21Vianet prend en charge la plupart des services proposés par Azure à
l’échelon mondial, comme la réplication de données géosynchrone et la mise à
l’échelle automatique. Même si vous utilisez déjà les services mondiaux d’Azure, pour
les exploiter en Chine, vous devrez peut-être réhéberger ou refactoriser tout ou partie

de Récapitulatif
Effectué100 XP
• 1 minute

Dans ce module, vous avez découvert l’approche de Microsoft en matière de


confidentialité, de sécurité et de conformité. Vous avez exploré des ressources
spécifiques de services en ligne, notamment Azure, et la façon dont les
gouvernements peuvent utiliser Azure pour répondre à leurs besoins spécifiques en
matière de sécurité et de conformité.

L’équipe de sécurité de Tailwind Traders comprend mieux désormais les ressources


dont elle dispose pour renforcer la protection des données dans le cloud et rester
conforme :

• La Déclaration de confidentialité Microsoft rassure sur la façon dont


Microsoft collecte, protège et utilise les données des clients.
• Le Centre de gestion de la confidentialité propose une documentation
sur les normes de conformité et explique en quoi Azure peut aider votre
entreprise.
• La documentation sur la conformité Azure fournit des informations
détaillées sur les normes légales et réglementaires et sur la conformité
dans Azure.

Gardez à l’esprit que le statut de conformité des produits et services Azure n’est pas
un gage de conformité pour le service ou l’application que vous créez ou hébergez
dans Azure. Il vous incombe de vérifier que vous êtes en conformité avec les normes
légales et réglementaires en vigueur.

La plupart des services proposés dans Azure Government et Azure monde sont
identiques. Toutefois, vous devez être conscient de certaines différences. Pour en
savoir plus, comparez Azure Government et Azure international.

vos applications ou services.

Introduction
Effectué100 XP
• 3 minutes
Dans ce module, vous allez découvrir les principaux facteurs qui influencent le coût
de l’exécution de charges de travail dans le cloud. À cette occasion, vous utiliserez
certains des outils disponibles pour estimer les coûts d’exécution de vos charges de
travail sur Azure et vérifier que vous respectez le budget et que vous utilisez
uniquement les services dont vous avez besoin.

À la rencontre de Tailwind Traders


Tailwind Traders est une société fictive de vente au détail de produits
d’aménagement de la maison. Elle a des points de vente de matériel dans le monde
entier et en ligne.

L’entreprise Tailwind Traders est spécialisée dans la compétitivité prix, des livraisons
rapides et dispose d’une gamme d’articles étendue. Elle envisage le recours aux
technologies cloud dans le but d’optimiser ses activités commerciales et de soutenir
la croissance sur les nouveaux marchés. En migrant vers le cloud, l’entreprise espère
proposer une expérience d’achat plus aboutie et ainsi se démarquer de la
concurrence.

Comment Tailwind Traders gère-t-il les coûts du


cloud ?
Tailwind Traders planifie sa migration vers le cloud. Après avoir exécuté quelques
projets de preuve de concept, elle souhaite mieux comprendre comment gérer ses
coûts avant de migrer ses charges de travail vers Azure.

Pour exécuter des charges de travail dans le centre de données, vous devez disposer
d’une installation, ainsi qu’acquérir, alimenter, refroidir et entretenir vos serveurs.
L’exécution dans le cloud vous permet de penser vos dépenses informatiques
différemment.

Pour répondre à la question du coût, vous devez comprendre les facteurs qui
influence celui-ci. Vous devez également connaître les outils à votre disposition pour
vous estimer et gérer vos dépenses cloud.
Objectifs d’apprentissage
À l’issue de ce module, vous pourrez :

• Utiliser la calculatrice du coût total de possession pour comparer les


coûts d’exécution de charges de travail identiques dans votre centre de
données et sur Azure.
• Décrire les différentes méthodes d’achat de produits et services Azure.
• Utiliser la calculatrice de prix pour estimer le coût mensuel de l’exécution
de vos charges de travail cloud.
• Définir quelques-uns des principaux facteurs affectant le coût total, et
appliquer les pratiques recommandées pour minimiser les coûts.

Prérequis
• Vous devez être familiarisé avec les concepts et la terminologie de base
du domaine informatique.
• Connaître le cloud computing est un plus, mais n’est pas indispensable.

Unité suivante: Comparer les coûts à l’aide de la


calculatrice du coût total de possession

Introduction
Effectué100 XP
• 3 minutes

Dans ce module, vous allez découvrir les principaux facteurs qui influencent le coût
de l’exécution de charges de travail dans le cloud. À cette occasion, vous utiliserez
certains des outils disponibles pour estimer les coûts d’exécution de vos charges de
travail sur Azure et vérifier que vous respectez le budget et que vous utilisez
uniquement les services dont vous avez besoin.

À la rencontre de Tailwind Traders


Tailwind Traders est une société fictive de vente au détail de produits
d’aménagement de la maison. Elle a des points de vente de matériel dans le monde
entier et en ligne.
L’entreprise Tailwind Traders est spécialisée dans la compétitivité prix, des livraisons
rapides et dispose d’une gamme d’articles étendue. Elle envisage le recours aux
technologies cloud dans le but d’optimiser ses activités commerciales et de soutenir
la croissance sur les nouveaux marchés. En migrant vers le cloud, l’entreprise espère
proposer une expérience d’achat plus aboutie et ainsi se démarquer de la
concurrence.

Comment Tailwind Traders gère-t-il les coûts du


cloud ?
Tailwind Traders planifie sa migration vers le cloud. Après avoir exécuté quelques
projets de preuve de concept, elle souhaite mieux comprendre comment gérer ses
coûts avant de migrer ses charges de travail vers Azure.

Pour exécuter des charges de travail dans le centre de données, vous devez disposer
d’une installation, ainsi qu’acquérir, alimenter, refroidir et entretenir vos serveurs.
L’exécution dans le cloud vous permet de penser vos dépenses informatiques
différemment.

Pour répondre à la question du coût, vous devez comprendre les facteurs qui
influence celui-ci. Vous devez également connaître les outils à votre disposition pour
vous estimer et gérer vos dépenses cloud.

Objectifs d’apprentissage
À l’issue de ce module, vous pourrez :

• Utiliser la calculatrice du coût total de possession pour comparer les


coûts d’exécution de charges de travail identiques dans votre centre de
données et sur Azure.
• Décrire les différentes méthodes d’achat de produits et services Azure.
• Utiliser la calculatrice de prix pour estimer le coût mensuel de l’exécution
de vos charges de travail cloud.
• Définir quelques-uns des principaux facteurs affectant le coût total, et
appliquer les pratiques recommandées pour minimiser les coûts.
Prérequis
• Vous devez être familiarisé avec les concepts et la terminologie de base
du domaine informatique.
• Connaître le cloud computing est un plus, mais n’est pas indispensable.

Unité suivante: Comparer les coûts à l’aide de la


calculatrice du coût total de possession

Exercice - Utiliser la calculatrice du coût


TCO pour comparer des exemples de
coûts de charge de travail
Effectué100 XP
• 6 minutes

Dans cet exercice, vous allez utiliser la calculatrice du coût total de possession (TCO)
pour comparer le coût d’exécution d’un exemple de charge de travail dans le centre
de données et sur Azure.

Tailwind Traders souhaite transférer une partie de ses charges de travail locales vers
le cloud. Mais le directeur financier aimerait d’abord en savoir plus sur le passage
d’une structure de coût relativement fixe à une structure de coût mensuel continu.

Vous êtes chargé de déterminer si le déplacement de votre centre de données


européen dans le cloud permettra de réaliser des économies au cours des trois
prochaines années. Vous devrez prendre en compte tous les coûts potentiellement
cachés qui découlent de l’exécution de charges de travail au niveau local et dans le
cloud.

Au lieu de collecter manuellement tous les éléments susceptibles d’être inclus, vous
décidez d’utiliser la calculatrice du coût TCO comme point de départ. Vous ajustez les
hypothèses de coût fournies pour qu’elles reflètent l’environnement local de Tailwind
Traders.

Notes

Rappelez-vous que vous n’avez pas besoin d’un abonnement Azure pour utiliser la
calculatrice du coût TCO.

Partons des hypothèses suivantes :


• Tailwind Traders exécute deux ensembles, ou groupes, de 50 machines
virtuelles chacun.
• Le premier groupe de machines virtuelles exécute Windows Server avec
une virtualisation Hyper-V.
• Le deuxième groupe de machines virtuelles exécute Linux avec une
virtualisation VMware.
• Un réseau de zone de stockage (SAN) est également disponible, d’une
capacité de stockage sur disque de 60 téraoctets (To).
• Vous consommez environ 15 To de bande passante réseau sortante
chaque mois.
• Plusieurs bases de données sont également impliquées, mais vous
omettez ces détails pour l’instant.

Rappelez-vous que la calculatrice du coût TCO implique trois étapes :

Voyons à présent la comparaison entre les charges de travail existantes de Tailwind


Traders respectivement dans le centre de données et sur Azure.

Définir vos charges de travail


Entrez les spécifications de votre infrastructure locale dans la calculatrice du coût
TCO.

1. Accédez à la Calculatrice du coût TCO.


2. Sous Définir vos charges de travail, sélectionnez Ajouter une charge
de travail de serveur afin de créer une ligne pour votre groupe de
machines virtuelles Windows Server.
3. Sous Serveurs, définissez la valeur de chacun de ces paramètres :

Paramètre Valeur
Nom Serveurs : Machines virtuelles Window
Charge de travail Serveur Windows/Linux
Environnement Machines virtuelles
Système d’exploitation Windows
Machines virtuelles 50
Paramètre Valeur
Virtualisation Hyper-V
Processeur(s) 8
RAM (Go) 16
Optimiser par UC
Windows Server 2008/2008 R2 Désactivé

4. Sélectionnez Ajouter une charge de travail de serveur afin de créer une


deuxième ligne pour votre groupe de machines virtuelles Linux. Spécifiez
ensuite ces paramètres :

Paramètre Valeur
Nom Serveurs : Machines virtuelles Linux
Charge de travail Serveur Windows/Linux
Environnement Machines virtuelles
Système d’exploitation Linux
Machines virtuelles 50
Virtualisation VMware
Processeur(s) 8
RAM (Go) 16
Optimiser par UC

5. Sous Stockage, sélectionnez Ajouter du stockage. Spécifiez ensuite ces


paramètres :

Paramètre Valeur
Nom Stockage serveur
Type de stockage Disque local/SAN
Type de disque HDD
Capacité 60 To
Backup 120 To
Archivage 0 To

6. Sous Réseau, affectez à Bande passante sortante la valeur 15 To.


7. Sélectionnez Suivant.

Ajuster les hypothèses


Ici, vous spécifiez votre devise. Pour aller plus vite, conservez les valeurs par défaut
des champs restants.

En pratique, ajustez les hypothèses et effectuez les modifications nécessaires pour


que les coûts reflètent ceux de votre environnement local actuel.
1. En haut de la page, sélectionnez votre devise. Cet exemple utilise Dollar
américain ($).
2. Sélectionnez Suivant.

Afficher le rapport
Prenez un moment pour examiner le rapport généré.

N’oubliez pas que votre tâche est d’étudier les économies de coûts pour votre centre
de données européen au cours des trois prochaines années.

Pour effectuer ces ajustements :

1. Sous Plage de temps, choisissez 3 ans.


2. Sous Région, choisissez Europe Nord.

Faites défiler la page vers le bas jusqu’au résumé. Ici, vous pouvez comparer le coût
d’exécution de vos charges de travail dans le centre de données et sur Azure. Les prix
que vous voyez peuvent différer, mais voici un exemple des économies de coûts
auxquelles vous pouvez vous attendre.

Sélectionnez Télécharger pour télécharger ou imprimer une copie du rapport au


format PDF.

Beau travail. Vous disposez maintenant d’informations que vous pouvez partager
avec votre directeur financier. Si vous avez besoin d’effectuer des ajustements, vous
pouvez relancer la calculatrice du coût TCO et générer un nouveau rapport.

Acheter des services Azure


Effectué100 XP
• 8 minutes
Cette unité montre comment acheter des services Azure et vous faire une idée des
autres facteurs qui affectent le coût.

Vous rencontrez votre directeur financier et certains responsables d’équipe. Vous en


apprenez davantage sur certaines hypothèses qui vous ont échappé. Vous ajustez en
conséquence vos dépenses totales estimées dans la calculatrice du coût total de
possession (TCO).

Au cours de la réunion, de nouvelles questions émergent à mesure que la discussion


s’oriente vers la migration cloud :

• Quels sont les types d’abonnements Azure disponibles ?


• Comment acheter des services Azure ?
• La localisation ou le trafic réseau a-t-il un impact sur le coût ?
• Quels sont les autres facteurs qui affectent le coût final ?
• Comment obtenir une estimation plus détaillée des coûts d’exécution sur
Azure ?

Il est important de savoir comment les coûts sont générés dans Azure pour que vous
puissiez comprendre comment vos décisions en matière d’achat et de conception de
solution peuvent impacter le coût final. Vous acceptez de travailler sur ces questions,
alors examinons chacune d’elles plus en détail.

Quels types d’abonnements Azure puis-je utiliser ?


Vous savez probablement qu’un abonnement Azure vous donne accès à des
ressources Azure telles que des machines virtuelles, du stockage et des bases de
données. Les types de ressources que vous utilisez ont un impact sur votre facture
mensuelle.

Azure propose des options d’abonnement gratuites et payantes adaptées à vos


besoins et à vos exigences. Il s'agit de :

• Essai gratuit

Un abonnement d’essai gratuit vous offre 12 mois d’accès gratuit à des


services populaires, un crédit pour explorer n’importe quel service Azure
pendant 30 jours et plus de 25 services toujours gratuits. Vos services
Azure sont désactivés à la fin de la période d’essai ou à l’expiration de
votre crédit pour les produits payants, sauf si vous passez à un
abonnement payant.

• Paiement à l’utilisation
Un abonnement avec paiement à l’utilisation vous permet de payer ce
que vous utilisez en associant une carte de crédit ou de débit à votre
compte. Les organisations peuvent demander des remises quantitatives
et une facturation prépayée.

• Offres spéciales réservées aux membres

Votre affiliation existante à certains produits et services Microsoft peut


vous faire bénéficier de crédits pour votre compte Azure et de tarifs
réduits sur les services Azure. Par exemple, des offres spéciales membres
sont proposées aux abonnés Visual Studio ainsi qu’aux membres des
programmes Microsoft Partner Network, Microsoft for Startups et
Microsoft Imagine.

Comment puis-je acheter des services Azure ?


L’achat de services Azure peut se faire selon trois méthodes principales. Il s'agit de :

• Par le biais d’un Accord Entreprise

Les clients plus importants, appelés clients entreprises, peuvent signer un


Accord Entreprise avec Microsoft. Cet accord les engage à pour dépenser
un montant prédéterminé pour les services Azure sur une période de
trois ans. Les frais de service sont généralement acquittés annuellement.
Si vous êtes un client titulaire d’un Accord Entreprise, vous bénéficiez des
meilleurs tarifs personnalisés selon les types et quantités de services que
vous prévoyez d’utiliser.

• Directement à partir du web

Ici, vous achetez les services Azure directement sur le site web du portail
Azure aux prix standard. Vous êtes facturé mensuellement et payez par
carte de crédit ou après réception d’une facture. Il s’agit de la méthode
« Web Direct ».

• Via un fournisseur de solutions cloud (CSP)

Un CSP est un partenaire Microsoft qui vous aide à créer des solutions
basées sur Azure. Votre CSP vous facture votre utilisation d’Azure à un
prix qu’il détermine. Il répond également à vos questions de support et
les fait remonter à Microsoft si nécessaire.

Vous pouvez provisionner des ressources Azure à partir du portail Azure ou de la


ligne de commande. Le portail Azure organise les produits et les services par
catégorie. Vous sélectionnez les services qui répondent à vos besoins. Votre compte
est facturé selon le modèle « payer pour ce que vous utilisez » d’Azure.

Voici un exemple montrant le portail Azure.

À la fin de chaque mois, vous êtes facturé selon ce que vous avez utilisé. Vous pouvez
à tout moment consulter la page de gestion des coûts et de facturation du portail
Azure pour obtenir un récapitulatif de votre utilisation actuelle et examiner les
factures des mois précédents.

Quels sont les facteurs qui affectent les coûts ?


La façon dont vous utilisez les ressources, votre type d’abonnement et les prix
pratiqués par les fournisseurs tiers sont des facteurs courants. Penchons-nous
rapidement sur chacun d’eux.

Type de ressource

Un certain nombre de facteurs influencent le coût des ressources Azure. Ils


dépendent du type de ressource ou de la façon dont vous la personnalisez.
Par exemple, pour un compte de stockage, vous spécifiez un type (par exemple,
stockage d’objets blob de blocs ou stockage Table), un niveau de performances
(Standard ou Premium) et un niveau d’accès (chaud, froid ou archive). Ces sélections
génèrent des coûts différents.

Compteurs d’utilisation

Quand vous provisionnez une ressource, Azure crée des compteurs pour mesurer
l’utilisation de cette ressource. Azure se sert de ces compteurs pour générer un
enregistrement de l’utilisation qui permet ensuite de calculer votre facture.

Ces compteurs d’utilisation sont similaires aux compteurs d’eau ou d’électricité dans
votre maison. Vous pouvez payer chaque mois un prix de base pour l’électricité ou
l’eau, mais votre facture finale est basée sur la quantité totale consommée.

Prenons l’exemple d’une machine virtuelle unique. Pour mesurer son utilisation, nous
utilisons les compteurs suivants :

• Temps processeur global.


• Temps passé avec une adresse IP publique.
• Trafic réseau entrant dans la machine virtuelle et sortant de celle-ci.
• Taille du disque et nombre d’opérations de lecture et d’écriture sur le
disque.

Chaque compteur mesure un type spécifique d’utilisation. Par exemple, un compteur


peut mesurer l’utilisation de la bande passante (trafic réseau entrant ou sortant en
bits par seconde), le nombre d’opérations ou la taille (capacité de stockage en
octets).

L’utilisation mesurée par un compteur est mise en corrélation avec un nombre


d’unités facturables. Ces unités sont facturées à votre compte pour chaque période
de facturation. Le taux appliqué par unité facturable dépend du type de ressource
utilisé.

Utilisation des ressources

Dans Azure, vous êtes toujours facturé en fonction de ce que vous utilisez. Voyons,
par exemple, la manière dont cette facturation s’applique à la désallocation (ou
libération) d’une machine virtuelle.

Dans Azure, vous pouvez supprimer ou libérer une machine virtuelle. La suppression
d’une machine virtuelle signifie que vous n’avez plus besoin de celle-ci. La machine
virtuelle est supprimée de votre abonnement, puis préparée pour un autre client.
La désallocation d’une machine virtuelle signifie que la machine virtuelle cesse de
s’exécuter. Toutefois, les disques durs et les données associés sont toujours conservés
dans Azure. La machine virtuelle n’étant pas affectée à un processeur ou à un réseau
dans le centre de données d’Azure, elle ne génère pas les coûts associés au temps de
calcul ou à l’adresse IP de la machine virtuelle. Étant donné que les disques et les
données sont toujours stockés et que la ressource est présente dans votre
abonnement Azure, le stockage sur disque vous est toujours facturé.

Si vous prévoyez de ne pas utiliser une machine virtuelle pendant un certain temps,
vous pouvez minimiser les coûts en la libérant. Vous pouvez ainsi libérer les machines
virtuelles de test quand votre équipe en charge des tests ne s’en sert pas, par
exemple, pendant les weekends. Vous en apprendrez davantage sur les moyens de
minimiser les coûts plus loin dans ce module.

Types d’abonnements Azure

Certains types d’abonnement Azure incluent également des quotas d’utilisation qui
impactent les coûts.

Par exemple, un abonnement à la version d’évaluation gratuite d’Azure permet


d’accéder à un certain nombre de produits Azure gratuitement pendant 12 mois. Il
comprend également un crédit à dépenser au cours des 30 premiers jours suivant
l’inscription. Et vous avez accès à plus de 25 produits toujours gratuits (en fonction de
la disponibilité des ressources et des régions).

Place de marché Azure

Vous pouvez également acheter des solutions et services basés sur Azure proposés
par des fournisseurs tiers via la Place de marché Azure. Citons par exemple les
appliances de pare-feu réseau managées ou les connecteurs à des services de
sauvegarde tiers. Les structures de facturation sont définies par le fournisseur.

La localisation ou le trafic réseau a-t-il un impact sur


le coût ?
Quand vous provisionnez une ressource dans Azure, vous devez définir la localisation
(ou région Azure) où elle sera déployée. Voyons pourquoi cette décision peut avoir
des conséquences sur les coûts.

Emplacement
L’infrastructure Azure est distribuée dans le monde entier, ce qui vous permet de
déployer vos services de manière centralisée ou de les provisionner au plus près de
l’endroit où vos clients les utilisent.

Les prix peuvent varier en fonction de la région. Étant donné que les régions
géographiques peuvent impacter les flux de trafic réseau, l’influence du trafic réseau
sur le coût doit être prise en compte.

Par exemple, imaginons que Tailwind Traders décide d’approvisionner ses ressources
Azure dans les régions Azure qui offrent les prix les plus bas. Cette décision
permettrait à l’entreprise d’économiser de l’argent. Toutefois, si celle-ci est amenée à
transférer des données entre ces régions, ou si ses utilisateurs se situent dans
différentes parties du monde, les économies potentielles risquent d’être annihilées
par les coûts supplémentaires d’utilisation du réseau liés au transfert de données
entre ces ressources.

Zones de facturation du trafic réseau

Les zones de facturation sont un facteur qui détermine le coût de certains services
Azure.

La bande passante fait référence aux données qui entrent dans les centres de
données Azure et en sortent. Certains transferts de données entrants (données
transmises à des centres de données Azure) sont gratuits. Pour les transferts de
données sortants (données quittant les centres de données Azure), le prix est basé
sur les zones.

Une zone est un regroupement géographique de régions Azure à des fins de


facturation. Voici des zones et certaines des régions qui les composent :

• Zone 1 : Australie Centre, USA Ouest, USA Est, Canada Ouest, Europe
Ouest, France Centre, etc.
• Zone 2 : Australie Est, Japon Ouest, Inde Centre, Corée Sud, etc.
• Zone 3 : Brésil Sud, Afrique du Sud Nord, Afrique du Sud Ouest, Émirats
arabes unis Centre, Émirats arabes unis Nord
• Allemagne Zone 1 : Allemagne Centre, Allemagne Nord-Est
Comment puis-je estimer le coût total ?
Comme vous l’avez vu, une estimation précise du coût doit prendre en compte tous
les facteurs ci-dessus. Heureusement, la calculatrice de prix Azure vous aide dans ce
processus.

La calculatrice de prix affiche les produits Azure en catégories. Vous ajoutez ces
catégories à votre estimation et configurez en fonction de vos besoins spécifiques.
Vous recevez ensuite un prix estimé consolidé ainsi qu’une ventilation détaillée des
coûts associés à chaque ressource ajoutée à votre solution. Vous pouvez exporter ou
partager cette estimation, ou l’enregistrer en vue d’une utilisation ultérieure. Vous
pouvez charger une estimation enregistrée et la modifier pour qu’elle reflète de
nouvelles exigences.

La calculatrice de prix vous permet également d’accéder aux détails des prix et des
produits et à la documentation de chaque produit.

Les options configurables dans la calculatrice de prix varient d’un produit à l’autre,
mais en voici quelques-unes :

• Région
Une région correspond à l’emplacement géographique dans lequel vous
pouvez provisionner un service. Asie Sud-Est, Canada Centre, USA Ouest
et Europe Nord sont quelques exemples de régions.

• Niveau

Les niveaux, tels que Gratuit ou De base, offrent une disponibilité ou des
performances distinctes, dont les coûts associés diffèrent.

• Options de facturation

Les options de facturation correspondent aux différentes façons dont


vous pouvez payer un service. Les options peuvent varier en fonction du
type de client et du type d’abonnement, et peuvent inclure des options
pour réduire les coûts.

• Options de support

Ces options vous permettent de sélectionner des options de support


payantes supplémentaires pour certains services.

• Programmes et offres

Votre client ou votre type d’abonnement peut vous proposer un choix de


programmes de licence spécifiques ou d’autres offres.

• Tarifs de Dev/Test Azure

Cette option liste les prix disponibles pour les charges de travail de
développement et de test. Les tarifs de Dev/Test s’appliquent quand vous
exécutez des ressources dans le cadre d’un abonnement Azure basé sur
une offre de Dev/Test.

Gardez à l’esprit que la calculatrice de prix fournit des estimations, pas des devis réels.
Les prix réels varient en fonction de la date d’achat, de la devise dans laquelle vous
effectuez vos paiements et du type de client Azure que vous êtes.

Exercice - Estimer le coût d’une charge


de travail à l’aide de la calculatrice de
prix
Effectué100 XP
• 6 minutes
Dans cet exercice, vous allez utiliser la calculatrice de prix pour estimer le coût
d’exécution d’une application web de base sur Azure.

Sensible aux facteurs de coût les plus importants associés à l’exécution sur Azure,
Tailwind Traders souhaite à présent estimer le coût mensuel lié à l’exécution d’une
charge de travail standard sur Azure.

Le responsable informatique de Tailwind Traders est confronté à la problématique


suivante : remplacer du matériel local vieillissant ou déplacer l’application vers Azure.
L’entreprise doit connaître le coût mensuel continu de la solution dans Azure.

Commençons par définir les services Azure dont vous avez besoin.

Notes

La calculatrice de prix est fournie à titre indicatif uniquement. Les prix donnés sont
des estimations, et aucun service que vous sélectionnez ne vous sera facturé.

Définir vos exigences


Avant d’exécuter la calculatrice de prix, vous devez d’abord déterminer les services
Azure dont vous avez besoin.

Vous rencontrez l’équipe de développement d’applications pour discuter de son


projet de migration.

Dans son centre de données, l’équipe a une application web ASP.NET qui s’exécute
sur Windows. L’application web fournit des informations sur les stocks et les prix des
produits. Deux machines virtuelles sont connectées au moyen d’un équilibreur de
charge central. L’application web se connecte à une base de données SQL Server qui
contient des informations sur les stocks et les prix.

L’équipe prend les décisions suivantes :

• Utiliser des instances de machines virtuelles Azure, similaires aux


machines virtuelles utilisées dans le centre de données.
• Utiliser Azure Application Gateway pour l’équilibrage de charge.
• Utiliser Azure SQL Database pour conserver les informations sur les
stocks et les prix.

Voici un diagramme qui illustre la configuration de base :


En pratique, vous devez définir vos exigences de manière plus détaillée. Mais voici
quelques faits et exigences de base qui ont été évoqués au cours de la réunion :

• L’application est utilisée par les employés de Tailwind Traders dans leurs
magasins. Elle n’est pas accessible aux clients.
• Cette application ne nécessite pas une très grande puissance de calcul.
• Les machines virtuelles et la base de données fonctionnent en
permanence (730 heures par mois).
• Le réseau traite environ 1 To de données par mois.
• La base de données n’a pas besoin d’être configurée pour des charges de
travail hautes performances et ne nécessite pas plus de 32 Go de
stockage.

Explorer la calculatrice de prix


Commençons par une présentation rapide de la calculatrice de prix.

1. Accédez à la calculatrice de prix.


2. Prenez en compte les onglets suivants :

o Produits

C’est sous cet onglet que vous choisissez les services Azure à
inclure dans votre estimation. Vous passerez probablement
la majeure partie de votre temps ici.

o Exemples de scénarios
Sous cet onglet figurent plusieurs architectures de
référence ou solutions cloud courantes que vous pouvez
utiliser comme point de départ.

o Estimations enregistrées

Cet onglet comprend les estimations enregistrées


précédemment.

o Questions fréquentes (FAQ)

Vous trouverez ici les réponses aux questions fréquemment


posées sur la calculatrice de prix.

Estimer votre solution


Vous ajoutez ici à la calculatrice chaque service Azure dont vous avez besoin. Ensuite,
vous configurez chaque service en fonction de vos besoins.

Conseil

Vérifiez que la calculatrice ne stocke plus aucun élément dans l’estimation. Pour
réinitialiser l’estimation, sélectionnez l’icône de la Corbeille à côté de chaque élément.

Ajouter des services à l’estimation

1. Sous l’onglet Produits, sélectionnez le service dans chacune de ces


catégories :

Category Service
Calcul Machines virtuelles
Bases de données Azure SQL Database
Mise en réseau Application Gateway

2. Faites défiler vers le bas de la page. Comme vous pouvez le voir, chaque
service est listé avec sa configuration par défaut.
Configurer les services en fonction de vos besoins

1. Sous Machines virtuelles, définissez les valeurs suivantes :

Paramètre Value
Région USA Ouest
Système d’exploitation Windows
Type (Système d’exploitation uniquement)
Niveau Standard
Instance D2 v3
Machines virtuelles 2 x 730 heures

2. Conservez les valeurs actuelles pour les paramètres restants.


3. Sous Azure SQL Database, définissez les valeurs suivantes :

Paramètre Value
Région USA Ouest
Type Base de données uniq
Niveau de stockage de sauvegarde RA-GRS
Modèle d’achat vCore
Niveau de service Usage général
Niveau de calcul approvisionné
Generation Gen 5
Instance 8 vCore

4. Conservez les valeurs actuelles pour les paramètres restants.


5. Sous Application Gateway, définissez les valeurs suivantes :

Paramètre Value
Région USA Ouest
Paramètre Value
Niveau Pare-feu d’applications web
Taille Moyenne
Heures de passerelle 2 x 730 heures
Données traitées 1 To
Transfert de données sortantes 5 Go

6. Conservez les valeurs actuelles pour les paramètres restants.

Passer en revue, partager et enregistrer votre


estimation
Au bas de la page, vous pouvez voir le coût total estimé de l’exécution de la solution.
Vous pouvez modifier le type de devise si vous le souhaitez.

À ce stade, plusieurs options s’offrent à vous :

• Sélectionnez Exporter pour enregistrer votre estimation dans un


document Excel.
• Sélectionnez Enregistrer ou Enregistrer sous pour enregistrer votre
estimation sous l’onglet Estimations enregistrées en vue d’une
utilisation ultérieure.
• Sélectionnez Partager pour générer une URL et partager l’estimation
avec votre équipe.
Vous disposez à présent d’une estimation de coût que vous pouvez partager avec
votre équipe. Vous pouvez effectuer des ajustements au fur et à mesure que vos
exigences changent.

Essayez quelques-unes des options que vous avez utilisées ici ou créez un plan
d’achat pour une charge de travail que vous souhaitez exécuter sur Azure.

Gérer et réduire le coût total sur Azure


Effectué100 XP
• 11 minutes

Le proverbe selon lequel il faut mesurer deux fois avant de couper est
particulièrement adapté à l’équipe de Tailwind Traders, entreprise spécialisée dans la
vente de matériaux et d’équipements pour la maison.

Voici quelques pratiques recommandées qui pourront vous aider à réduire vos coûts.

Comprendre les coûts estimés avant le déploiement


Pour vous aider à planifier votre solution sur Azure, réfléchissez soigneusement aux
produits, services et ressources dont vous avez besoin. Lisez la documentation
pertinent pour comprendre comment chacun de vos choix est mesuré et facturé.

Calculez vos coûts prévus à l’aide de la calculatrice de prix et de la calculatrice du


coût total de possession (coût TCO). Ajoutez uniquement les produits, services et
ressources nécessaires à votre solution.

Utiliser Azure Advisor pour superviser votre


utilisation
Dans l’idéal, vos ressources provisionnées doivent correspondre à votre utilisation
réelle.

Azure Advisor identifie les ressources inutilisées ou sous-utilisées, et recommande


des ressources inutilisées que vous pouvez supprimer. Ces informations vous
permettent de configurer vos ressources en fonction de votre charge de travail réelle.

L’image suivante montre des exemples de recommandations tirés d’Azure Advisor :


Les recommandations sont triées selon leur impact : élevé, moyen ou faible. Dans
certains cas, Azure Advisor peut corriger automatiquement le problème sous-jacent.
D’autres problèmes, comme ceux listés avec un impact élevé, nécessitent une
intervention humaine.

Utiliser des limites de dépense


Si vous avez un abonnement à la version d’évaluation gratuite d’Azure ou un
abonnement Azure basé sur des crédits, vous pouvez utiliser des limites de dépense
pour éviter tout dépassement accidentel.

Par exemple, quand vous dépensez tous les crédits inclus avec votre compte Azure
gratuit, les ressources Azure que vous avez déployées sont supprimées de la
production et vos machines virtuelles Azure sont arrêtées et libérées. Les données de
vos comptes de stockage sont disponibles en lecture seule. À ce stade, vous pouvez
mettre à niveau votre abonnement à la version d’évaluation gratuite vers un
abonnement assorti d’un paiement à l’utilisation.

Si votre abonnement est basé sur des crédits et que vous atteignez la limite de
dépense configurée, Azure suspend votre abonnement jusqu’à la prochaine période
de facturation.

Les quotas présentent un concept similaire puisqu’ils limitent le nombre de ressources


analogues que vous pouvez provisionner dans votre abonnement. Par exemple, vous
pouvez allouer jusqu’à 25 000 machines virtuelles par région. Ces limites permettent
principalement à Microsoft de planifier la capacité de son centre de données.
Utiliser Azure Reservations pour prépayer
Azure Reservations offre des remises sur certains services Azure. Vous pouvez
économiser jusqu’à 72 % par rapport aux prix du paiement à l’utilisation. Pour
recevoir une remise, vous réservez des services et des ressources en payant à
l’avance.

Par exemple, vous pouvez prépayer pour un ou trois ans l’utilisation des machines
virtuelles, de la capacité de calcul de la base de données, du débit de base de
données et d’autres ressources Azure.

L’exemple suivant montre les économies estimées sur les machines virtuelles. Cet
exemple estime que vous allez économiser 72 % en vous engageant sur un terme de
trois ans.
Azure Reservations est disponible pour les clients disposant d’un Accord Entreprise,
les fournisseurs de solutions cloud et les titulaires d’abonnements avec paiement à
l’utilisation.

Choisir des régions et emplacements de faible coût


Le coût des produits, services et ressources Azure peut varier selon les emplacements
et les régions. Dans la mesure du possible, utilisez-les dans les emplacements et
régions où ils coûtent moins cher.

Mais rappelez-vous que certaines ressources sont limitées et facturées en fonction de


la quantité de bande passante réseau sortante qu’elles consomment. Vous devez
provisionner les ressources connectées qui sont mesurées par bande passante dans la
même région Azure pour réduire le trafic de sortie entre elles.

Rechercher les offres économiques disponibles


Tenez-vous régulièrement informé des dernières offres d’abonnement et
commerciales Azure, et choisissez les offres les plus avantageuses financièrement.

Utiliser Azure Cost Management + Billing pour


contrôler les dépenses
Azure Cost Management + Billing est un service gratuit qui vous permet de
comprendre votre facture Azure, de gérer votre compte et vos abonnements, de
superviser et de contrôler les dépenses Azure et enfin d’optimiser l’utilisation des
ressources.

L’image suivante montre l’utilisation actuelle répartie par service :


Dans cet exemple, Azure App Service, un service d’hébergement d’applications web,
génère le coût le plus élevé.

Parmi les fonctionnalités d’Azure Cost Management + Billing, citons les suivantes :

• Création de rapports

Utilisez des données historiques pour générer des rapports et prévoir


l’utilisation et les dépenses futures.

• Enrichissement des données

Responsabilisez les équipes en classant les ressources au moyen


d’étiquettes correspondant à des unités d’organisation et commerciales
réelles.

• Budgets

Créez et gérez des budgets de coût et d’utilisation en supervisant les


tendances de la demande en ressources, les taux de consommation et les
modèles de coût.

• Alertes

Recevez des alertes en fonction de vos budgets de coût et d’utilisation.

• Recommandations

Recevez des recommandations pour éliminer les ressources inactives et


optimiser les ressources Azure que vous provisionnez.
Appliquer des étiquettes pour identifier les
propriétaires des coûts
Les étiquettes vous aident à gérer les coûts associés aux différents groupes de
produits et ressources Azure. Vous pouvez appliquer des étiquettes à des groupes de
ressources Azure pour organiser les données de facturation.

Par exemple, si vous exécutez plusieurs machines virtuelles pour différentes équipes,
vous pouvez utiliser des étiquettes pour classer les coûts par service (ressources
humaines, marketing, finances, etc.) ou par environnement (test, production, etc.).

Les étiquettes facilitent l’identification des groupes qui génèrent les coûts Azure les
plus importants et peuvent vous aider à ajuster vos dépenses en conséquence.

L’image suivante montre, sur une année, l’utilisation répartie par étiquettes dans la
page Azure Cost Management + Billing :

Redimensionner les machines virtuelles sous-utilisées


Une recommandation couramment émise par Azure Cost Management + Billing et
Azure Advisor est de redimensionner ou d’arrêter les machines virtuelles sous-
utilisées ou inactives.

Supposons que vous ayez une machine virtuelle de taille Standard_D4_v4, un type
de machine virtuelle à usage général avec quatre processeurs virtuels et 16 Go de
mémoire. Vous pourriez découvrir que cette machine virtuelle est inactive 90 % du
temps.
Les coûts de la machine virtuelle sont linéaires et doublent chaque fois que vous
passez à une taille supérieure dans la même série. Donc, dans ce cas, si vous réduisez
la taille de la machine virtuelle de Standard_D4_v4 à Standard_D2_v4 (juste en
dessous), vous réduisez le coût de calcul de 50 %.

L’image suivante illustre cette idée :

N’oubliez pas que pour redimensionner une machine virtuelle, vous devez l’arrêter, la
redimensionner, puis la redémarrer. Ce traitement peut prendre quelques minutes, en
fonction de l’importance du changement de taille. Quand vous effectuez des
opérations de redimensionnement, veillez à planifier une interruption ou à déplacer
votre trafic vers une autre instance.

Libérer les machines virtuelles en dehors des heures


d’activité
Rappelez-vous qu’une machine virtuelle libérée n’est plus exécutée, mais qu’elle
conserve les disques durs et données associés dans Azure.

Si vous avez des charges de travail de machine virtuelle qui ne sont utilisées que
pendant certaines périodes, mais que vous exécutez à chaque heure de chaque jour,
vous gaspillez de l’argent. Ces machines virtuelles peuvent tout à fait être arrêtées
quand elles ne sont pas utilisées et redémarrées au besoin. Leur libération vous
permettra de réduire les coûts de calcul.

Cette approche est particulièrement adaptée aux environnements de développement


et de test, où les machines virtuelles ne sont nécessaires que pendant les heures
d’ouverture. Azure permet également de démarrer et d’arrêter automatiquement vos
machines virtuelles selon une planification.

Supprimer les ressources inutilisées


Cette recommandation peut sembler évidente mais, si vous n’utilisez pas une
ressource, vous devriez l’arrêter. Il n’est pas rare de trouver des systèmes non
destinés à la production ou dédiés à une preuve de concept qui ne sont plus
nécessaires une fois un projet terminé.

Examinez régulièrement votre environnement pour repérer de tels systèmes. L’arrêt


de ces systèmes vous permet de faire des économies sur deux fronts : sur les coûts
d’infrastructure et sur les coûts de licence et d’exploitation.

Migrer des services IaaS vers les services PaaS


Quand vous migrez vos charges de travail vers le cloud, il est naturel de commencer
par les services IaaS (infrastructure as a service) car ils correspondent plus exactement
aux concepts et aux opérations que vous connaissez déjà.

Au fil du temps, vous pouvez réduire les coûts en déplaçant progressivement les
charges de travail IaaS sur des services PaaS (platform as a service). Bien que vous
puissiez considérer IaaS comme un accès direct à l’infrastructure de calcul, PaaS
fournit des environnements de développement et de déploiement prêts à l’emploi
qui sont gérés pour vous.

Par exemple, imaginons que vous exécutiez SQL Server sur une machine virtuelle
s’exécutant sur Azure. Cette configuration exige que vous gériez le système
d’exploitation sous-jacent, configuriez une licence SQL Server, gériez les mises à jour
logicielles et de sécurité, etc. La machine virtuelle vous est également facturée, que la
base de données traite des requêtes ou non. Une façon de réduire les coûts consiste
à déplacer votre base de données SQL Server située sur une machine virtuelle vers
Azure SQL Database. Azure SQL Database est basé sur SQL Server.

Les services PaaS comme Azure SQL Database sont souvent moins chers à exécuter,
et comme ils sont gérés pour vous, vous n’avez pas besoin de vous soucier des mises
à jour logicielles, des correctifs de sécurité ou de l’optimisation du stockage physique
pour les opérations de lecture et d’écriture.

Réaliser des économies sur le coût des licences


La gestion de licences peut également avoir un impact considérable sur vos dépenses
dans le cloud. Examinons quelques moyens permettant de réduire vos dépenses en
licences.

Choisir des systèmes d’exploitation économiques

Vous pouvez exécuter de nombreux services Azure sur Windows ou Linux. Dans
certains cas, le coût dépend de votre choix. Si vous avez le choix et que votre
application ne dépend pas du système d’exploitation sous-jacent, vous avez tout
intérêt à comparer les prix pour voir si vous pouvez réaliser des économies.

Utiliser Azure Hybrid Benefit pour réaffecter des licences logicielles sur
Azure

Si vous avez acheté des licences pour Windows Server ou SQL Server et que celles-ci
sont couvertes par le programme Software Assurance, vous pourrez peut-être
réaffecter ces licences à des machines virtuelles sur Azure.

Certains détails varient entre Windows Server ou SQL Server. Nous fournissons à la fin
de ce module des ressources qui vous permettront d’en apprendre davantage.

Résumé
Effectué100 XP
• 2 minutes

Dans le cadre de sa migration vers le cloud, Tailwind Traders a décidé d’adopter une
approche méthodique. Si les projets de preuve de concept sont utiles pour
démontrer la faisabilité technique de l’approche, une vision claire du coût total
d’exécution des charges de travail dans le cloud permet à l’équipe de valider son
choix.

Pour cela, l’équipe de Tailwind Traders a utilisé la calculatrice du coût total de


possession pour estimer les économies découlant de l’exécution de sa solution sur
Azure plutôt que dans son centre de données local.

Ensuite, elle a utilisé la calculatrice de prix pour obtenir une estimation plus détaillée
de l’exécution d’une charge de travail standard sur Azure chaque mois.

L’équipe a également créé une liste de contrôle des mesures d’économies qu’elle
peut utiliser pour réduire les coûts. La liste comprend :

• Effectuer une analyse des coûts avant de procéder au déploiement.


• Utiliser Azure Advisor pour superviser votre utilisation.
• Utiliser des limites de dépense pour éviter les dépenses accidentelles.
• Utiliser Azure Reservations pour prépayer.
• Choisir des régions et emplacements à faible coût.
• Rechercher les offres économiques disponibles.
• Appliquer des étiquettes pour identifier les propriétaires des coûts.

Une fois ces mesures en place, l’équipe de Tailwind Traders est prête à passer aux
étapes suivantes de la migration cloud.

Étapes suivantes
Si vous exécutez des charges de travail existantes au niveau local ou dans le centre de
données, essayez d’entrer vos charges de travail existantes dans la calculatrice du
coût total de possession pour comparer le coût d’exécution sur Azure et ce que vous
payez aujourd’hui.

Ensuite, utilisez la documentation Azure pour mapper votre infrastructure actuelle aux
services cloud. Utilisez la calculatrice de prix pour obtenir une vision plus précise des
coûts d’exécution de vos charges de travail existantes sur Azure.

En savoir plus
Dans ce module, vous avez vu les nombreux facteurs qui affectent le coût total de
l’exécution de charges de travail sur Azure.

Nous vous recommandons à présent de suivre le parcours d’apprentissage Contrôler


les dépenses Azure et gérer les factures avec Azure Cost Management + Billing pour
apprendre à superviser et contrôler vos dépenses Azure.

Voici d’autres ressources pour vous aider à aller plus loin.

Acheter des services Azure

• Si vous débutez dans Azure, consultez le FAQ sur le compte Azure


gratuit pour savoir si un compte d’essai gratuit est approprié dans votre
cas.
• Pour en savoir plus sur la façon d’acheter des produits et services Azure,
consultez Découvrir différentes options d’achat flexibles pour Azure.

Comprendre votre facture


• Pour plus d’informations sur les frais d’utilisation dans Azure,
consultez Comprendre les termes figurant sur votre facture Microsoft
Azure.
• Pour en savoir plus sur la façon dont la bande passante affecte les prix,
consultez Détails de la tarification de la bande passante.

Gérer et réduire les coûts

• Pour en savoir plus sur l’analyse des coûts, la création et la gestion de


budgets, l’exportation de données, l’examen et la prise en compte de
recommandations, consultez Azure Cost Management + Billing.
• Bénéficiez de remises importantes sur les charges de travail de
développement et de test. Pour plus d’informations, consultez les Tarifs
de Dev/Test Azure.
• Découvrez comment économiser de l’argent avec Azure Reservations en
souscrivant des plans tarifaires d’un an ou de trois ans.
• Découvrez comment éviter les frais inattendus avec la gestion de la
facturation est des coûts Azure.
• Pour savoir ce qui se passe si vous atteignez votre limite de dépense et
apprendre à la supprimer, consultez Limite de dépense Azure.
• Découvrez comment démarrer et arrêter des machines virtuelles en
dehors des heures d’ouverture.
• Découvrez comment Azure Hybrid Benefit peut vous aider à réduire les
coûts en transférant des licences locales Windows Server et SQL Server
avec Software Assurance vers Azure.

Explorer d’autres modules


• Gérer des ressources dans Azure
• AZ-400 : Faciliter la communication et collaboration
• Principes de base de Microsoft Azure : description des contrats de niveau
de service et de gestion des coûts Azure
• Azure pour les chercheurs, partie 2 : sécurité du cloud et Cost
Management
• Contrôler les dépenses Azure et gérer les factures avec Azure Cost
Management + Facturation
• Gérer les identités et la gouvernance pour les administrateurs Azure

Introduction
Effectué100 XP
• 1 minute
Ce module présente les contrats de niveau de service (contrats SLA) dans Azure et la
manière ils peuvent affecter vos décisions en matière de conception d’applications. Il
décrit également le cycle de vie des nouveaux services Azure, de la préversion à la
disponibilité générale.

À la rencontre de Tailwind Traders


Tailwind Traders est une société fictive de vente au détail de produits
d’aménagement de la maison. Elle a des points de vente de matériel dans le monde
entier et en ligne.

L’entreprise Tailwind Traders est spécialisée dans la compétitivité prix, des livraisons
rapides et dispose d’une gamme d’articles étendue. Elle envisage le recours aux
technologies cloud dans le but d’optimiser ses activités commerciales et de soutenir
la croissance sur les nouveaux marchés. En migrant vers le cloud, l’entreprise espère
proposer une expérience d’achat plus aboutie et ainsi se démarquer de la
concurrence.

Comment une migration vers le cloud affecte-t-elle


les contrats de disponibilité ?
La migration vers le cloud vous décharge du travail de maintenance de l’infrastructure
informatique. En cas de perte de la connectivité réseau ou de défaillance d’un disque
dur, vous comptez sur le fournisseur de cloud pour rétablir le service.

Le service informatique de Tailwind Traders héberge des applications et services dans


son centre de données pour l’ensemble de l’entreprise. Il a des contrats avec d’autres
équipes en place, qui précisent de quelle façon les ressources seront disponibles,
notamment quand et comment sera effectuée la maintenance planifiée. Du fait que
Tailwind Traders migre ses charges de travail vers Azure, le service informatique ne
contrôle plus totalement le matériel et les réseaux. Comment ses contrats en lien avec
la disponibilité seront-ils affectés ?
Objectifs d’apprentissage
À l’issue de ce module, vous pourrez :

• Décrivez ce qu’est un contrat SLA et pourquoi ce type de contrat est


important.
• Identifier les facteurs, comme le niveau de service choisi, qui peuvent
affecter un contrat SLA.
• Combiner des contrats SLA pour calculer un contrat SLA composite.
• Décrire le cycle de vie des services dans Azure, y compris l’accès aux
nouvelles fonctionnalités d’Azure.

Prérequis
• Vous devez être familiarisé avec les concepts et la terminologie de base
du domaine informatique.

Unité suivante: Que sont les contrats de niveau de


service (ou contrats SLA) ?

Que sont les contrats de niveau de


service (ou contrats SLA) ?
Effectué100 XP
• 6 minutes

Comme mentionné dans la vidéo, un contrat de niveau de service (contrat SLA) est un
contrat formel entre une société qui fournit un service et le client. Pour Azure, ce
contrat définit les standards de performance que Microsoft s’engage à respecter pour
vous, le client.

Cette partie explique ce que sont les contrats SLA Azure et, en particulier, pourquoi
les contrats SLA sont importants, où vous pouvez trouver le contrat SLA d’un service
Azure spécifique et ce que renferme un contrat SLA type.

Pourquoi les contrats SLA sont-ils importants ?


Avoir une bonne compréhension du contrat SLA de chaque service Azure que vous
utilisez vous permet de mieux connaître les garanties prévues.
Quand vous créez des applications sur Azure, la disponibilité des services utilisés a
une incidence sur les performances de vos applications. Bien comprendre les contrats
SLA de ces services vous aidera à établir le contrat SLA défini avec vos clients.

Plus loin dans ce module, vous découvrirez quelques stratégies sont possibles quand
un contrat SLA Azure ne répond pas à vos besoins.

Où puis-je trouver les contrats SLA des services


Azure ?
Vous pouvez accéder aux contrats SLA à partir de la page Contrats de niveau de
service.

Notes

Vous n’avez pas besoin d’un abonnement Azure pour consulter les contrats SLA des
services.

Chaque service Azure définit son propre contrat SLA. Les services Azure sont
organisés par catégorie.

Ouvrez le contrat SLA du service Azure Database pour MySQL, une base de données
managée qui permet aux développeurs de travailler facilement avec des bases de
données MySQL. Nous reparlerons de ce contrat SLA dans un moment.

Pour ce faire :

1. Accédez à Contrats de niveau de service.


2. Dans la catégorie Bases de données, sélectionnez Azure Database pour
MySQL.

Quel est le contenu d’un contrat SLA type ?


Un contrat SLA type se compose des sections suivantes :

• Introduction

Cette section explique ce que prévoit le contrat SLA, notamment son


champ d’application et l’impact potentiel des renouvellements
d’abonnement sur les conditions.

• Conditions générales

Cette section définit les termes utilisés dans le cadre du contrat SLA afin
que les deux parties (vous et Microsoft) adoptent un vocabulaire
cohérent. Par exemple, cette section peut préciser le sens de concepts
tels que « temps d’arrêt », « incident » et « code d’erreur ».

Cette section explicite également les conditions générales du contrat, y


compris les procédures pour soumettre une réclamation ou recevoir un
avoir en cas de problèmes de performance ou de disponibilité, ainsi que
les limitations du contrat.

• détails du contrat SLA

Cette section décrit les garanties spécifiques applicables au service. Les


engagements en matière de performance sont souvent mesurés en
pourcentage. Ce pourcentage se situe généralement entre 99,9 % (« trois
neuf ») et 99,99 % (« quatre neuf »).

L’engagement en matière de performance prend principalement en


compte le temps d’activité, ou le pourcentage de temps pendant lequel
un produit ou un service est resté disponible. Certains contrats SLA
tiennent compte d’autres facteurs en plus, comme la latence, ou la vitesse
à laquelle le service est tenu de répondre à une demande.

Cette section définit aussi les conditions supplémentaires propres au


service, le cas échéant.

Prenez un moment pour parcourir le contrat SLA du service Azure Database pour
MySQL.

Vous voyez que ce contrat SLA privilégie le temps d’activité. Azure Database pour
MySQL garantit un temps d’activité de 99,99 % ou « quatre neuf ». Cela signifie qu’il
est garanti que le service sera opérationnel et disponible pour traiter les demandes
pendant au moins 99,99 % du temps.
Comment le pourcentage SLA se matérialise-t-il sur
le temps d’arrêt total ?
Le temps d’arrêt fait référence à la durée pendant laquelle le service n’est pas
disponible.

L’écart entre 99,9 % et 99,99 % peut paraître mineur, mais il est important de
comprendre ce que veulent dire ces chiffres en termes de temps d’arrêt total.

Voici un tableau montrant de quelle façon le temps d’arrêt total décroît quand le
pourcentage SLA passe de 99 % à 99,999 % :

Pourcentage SLA Temps d’arrêt par semaine Temps d’arrêt par mois Temps
99 1,68 heure 7,2 heures 3,65 jo
99,9 10,1 minutes 43,2 minutes 8,76 he
99,95 5 minutes 21,6 minutes 4,38 he
99,99 1,01 minute 4,32 minutes 52,56 m
99,999 6 secondes 25,9 secondes 5,26 m

Ces valeurs sont cumulatives, à savoir que la durée de tous les arrêts des différents
services est combinée, ou totalisée.

Que sont les avoirs service ?


Un avoir service correspond au pourcentage des frais que vous avez payés qui vous
sont recrédités selon le processus d’approbation des réclamations.

Un contrat SLA décrit la réponse apportée par Microsoft quand un service Azure ne
fonctionne pas comme prévu. Par exemple, une remise sur votre facture Azure peut
vous être accordée en guise de compensation si un service ne fonctionne pas
conformément au contrat SLA associé.

En règle générale, les avoirs augmentent quand le temps d’activité diminue. Voici
comment les avoirs sont appliqués en fonction du temps d’activité du service Azure
Database pour MySQL :

Pourcentage de durée de bon fonctionnement mensuelle Pourcentage de crédit d


< 99,99 % 10
< 99 25
< 95 100

Quel est le contrat SLA pour les services gratuits ?


Les produits gratuits n’ont habituellement pas de contrat SLA.

Par exemple, bon nombre de services Azure proposent un


niveau Gratuit ou Partagé qui fournit des fonctionnalités plus limitées. Des services
comme Azure Advisor sont toujours gratuits. Le contrat SLA pour Azure
Advisor stipule que, s’agissant d’un service gratuit, il n’est pas financièrement adossé
à un SLA.

Comment savoir si le service est arrêté ?


La page État Azure présente une vue globale de l’intégrité des services et régions
Azure. Si vous pensez que le service est arrêté, cette page s’avère souvent utile pour
les vérifications initiales.

La page État Azure fournit un flux RSS des changements observés dans l’intégrité des
services Azure. Vous pouvez vous abonner à ce flux. Vous pouvez connecter ce flux à
des logiciels de communication tels que Microsoft Teams ou Slack.

À partir de la page des états d’Azure, vous pouvez également accéder au service
Azure Service Health. Cela offre une vue personnalisée de l’intégrité des services et
régions Azure que vous utilisez, directement dans le portail Azure.

Comment puis-je demander un avoir service à


Microsoft ?
En règle générale, vous devez faire une réclamation auprès de Microsoft pour
recevoir un avoir service. Si vous achetez des services Azure à un fournisseur de
solutions Cloud (CSP) partenaire, c’est normalement lui qui gère le processus de
réclamation.

Chaque contrat SLA définit les délais d’envoi de votre réclamation et de son
traitement par Microsoft. Pour la plupart des services, vous devez soumettre votre
réclamation avant la fin du mois calendaire qui suit le mois où l’incident s’est produit.

Nous allons maintenant examiner d’autres facteurs que Tailwind Traders doit prendre
en compte, qui sont susceptibles d’affecter les cibles de performances du contrat SLA.

Définir le contrat SLA de votre


application
Effectué100 XP
• 3 minutes

Un contrat SLA d’application définit les exigences de contrat SLA pour une application
donnée. Ce terme fait généralement référence à une application que vous créez sur
Azure.

Tailwind Traders utilise une application nommée « Commandes spéciales » basée sur
Azure. L’application effectue le suivi des commandes spéciales que des clients ont
passées dans les magasins de vente au détail de l’entreprise. Une commande spéciale
comprend un article et les personnalisations dont le client a besoin. Par exemple, une
porte pliante peut inclure des personnalisations, comme la dimension et
l’emplacement de la charnière. Étant donné que les personnalisations nécessitent
souvent un traitement particulier, l’article personnalisé doit être commandé auprès
du fournisseur quand un client en fait la demande.

Vous pouvez prendre de nombreuses décisions de conception pour améliorer la


disponibilité et la résilience des applications et services que vous créez sur Azure. Ces
décisions ne concernent pas uniquement le contrat SLA applicable à un service
spécifique. Dans cette partie, vous allez découvrir quelques-unes de ces
considérations.

Avant tout chose, il est toujours utile d’avoir une discussion avec votre équipe pour
évaluer à quel point la disponibilité de chaque application est importante pour vos
activités. Les sections suivantes couvrent quelques facteurs que Tailwind Traders
pourrait prendre en considération.

Impact commercial
Quel est l’impact commercial d’un arrêt de l’application Commandes spéciales ?
Quand cela arrive, les clients ne peuvent pas faire de nouvelles commandes en
magasin et le personnel ne peut pas vérifier l’état des commandes existantes. Les
clients devront réessayer plus tard ou se tourner vers un concurrent.

Effet sur d’autres activités de l’entreprise


L’application Commandes spéciales n’affecte pas d’autres opérations. La majorité des
activités de Tailwind Traders se poursuivront donc normalement en cas d’arrêt de
l’application Commandes spéciales.

Modèles d’usage
Les modèles d’usage définissent quand et comment les utilisateurs accèdent à votre
application.

Une question à se poser est de savoir si l’exigence de disponibilité diffère entre les
périodes critiques et non critiques. Par exemple, une application de déclaration de
revenus ne doit pas échouer le jour de la date limite de la déclaration.

Les magasins de vente au détail de Tailwind Traders ne sont pas ouverts 24 heures
sur 24. Par conséquent, si l’application s’arrêtait au milieu de la nuit, l’impact serait
minime. Toutefois, étant donné que Tailwind Traders possède des points de vente au
détail dans le monde entier, elle doit veiller à ce que chaque établissement ait accès
au service pendant ses heures d’ouverture.

Que décide l’équipe ?


Supposons que Tailwind Traders décide qu’un contrat SLA de 99,9 % est acceptable
pour l’application Commandes spéciales. Cela implique pour l’entreprise un temps
d’arrêt estimé de 10,1 minutes par semaine. Mais comment cela garantit-il que ses
choix technologiques prennent en charge le contrat SLA de son application ?

La partie suivante explique comment l’équipe définit les exigences de l’application en


adéquation avec les exigences de services Azure spécifiques. Vous en apprendrez
davantage sur certaines techniques utiles pour vérifier que vos choix technologiques
se conforment au contrat SLA de votre application.

Unité suivante: Concevoir votre application dans le


respect de votre contrat SLA

Concevoir votre application dans le


respect de votre contrat SLA
Effectué100 XP
• 7 minutes

Tailwind Traders décide qu’un contrat SLA de 99,9 % est acceptable pour l’application
Commandes spéciales. Rappelez-vous, cela implique pour l’entreprise un temps
d’arrêt estimé de 10,1 minutes par semaine.

Vous allez à présent concevoir une solution performante et fiable pour cette
application sur Azure, dans le respect du contrat SLA associé. Vous devez sélectionner
les produits et services Azure dont vous avez besoin, et approvisionner les ressources
cloud nécessaires correspondantes.

En réalité, des défaillances se produisent. Le matériel peut être défaillant. Le réseau


peut subir des délais d’attente par intermittence. Même s’il est rare que l’arrêt
concerne un service ou une région dans son intégralité, vous devez planifier de tels
événements.

Nous allons suivre le processus que Tailwind Traders utilise pour s’assurer que ses
choix technologiques sont en adéquation avec le contrat SLA de son application.

Identifier vos charges de travail


Une charge de travail est une fonctionnalité ou tâche distincte qui est séparée de
façon logique des autres tâches, sur le plan des exigences de logique métier et de
stockage des données. Chaque charge de travail définit un ensemble d’exigences
quant à la disponibilité, la scalabilité, la cohérence des données et la reprise d’activité
après sinistre.

Sur Azure, l’application Commandes spéciales requiert :

• Deux machines virtuelles.


• Une instance d’Azure SQL Database.
• Une instance d’Azure Load Balancer.

Ce diagramme illustre l’architecture de base :


Combiner des contrats SLA pour calculer le contrat
SLA composite
Une fois que vous avez identifié le contrat SLA pour chaque charge de travail dans
l’application Commandes spéciales, vous remarquerez que ces contrats SLA ne sont
pas tous identiques. Quelle incidence cela a-t-il sur notre exigence globale de contrat
SLA d’application de 99,9 % ? Pour le savoir, quelques calculs mathématiques
s’imposent.

Combiner les contrats SLA vous permet de calculer le contrat SLA composite pour un
ensemble de services. Pour calculer le contrat SLA composite, vous devez multiplier le
contrat SLA individuel de tous les services.

La page Contrats de niveau de service présente le contrat SLA de chaque service


Azure dont vous avez besoin. Il s'agit de :

Service Contrat SLA


Machines virtuelles Azure 99,9 %
Azure SQL Database 99,99 %
Azure Load Balancer 99,99 %

Par conséquent, pour l’application Commandes spéciales, le contrat SLA composite se


calculerait ainsi :

99,9%×99,9%×99,99%×99,99%99,9%×99,9%×99,99%×99,99%=0,999×0,999
×0,9999×0,9999=0,999×0,999×0,9999×0,9999=0,9978=0,9978=99,78%=99,
78%

N’oubliez pas que vous avez besoin de deux machines virtuelles. Vous devez donc
inclure le contrat SLA de machines virtuelles de 99,9 % deux fois dans la formule.

Notez que, même si tous les services ont des contrats SLA de niveau égal ou
supérieur au contrat SLA de l’application, leur combinaison produit un résultat
global inférieur au pourcentage de 99,9 % dont vous avez besoin. Pourquoi ? La
raison est que le recours à plusieurs services ajoute de la complexité et augmente
légèrement le risque de défaillance.

Vous voyez ici que le contrat SLA composite de 99,78 % ne remplit pas l’exigence du
contrat SLA de 99,9 %. Vous pouvez alors demander à votre équipe si cela est
acceptable. Ou vous pouvez implémenter d’autres stratégies dans votre conception
pour améliorer ce contrat SLA.
Que se passe-t-il si le contrat SLA composite ne
répond pas à vos besoins ?
Dans l’application Commandes spéciales, le contrat SLA composite n’atteint pas le
niveau requis de 99,9 %. Examinons quelques stratégies à envisager par Tailwind
Traders.

Choisir des options de personnalisation adaptées à votre contrat SLA


requis

Chacune des charges de travail définies précédemment a son propre contrat SLA, et
les choix de personnalisation opérés quand vous approvisionnez chaque charge de
travail ont une incidence sur ce contrat SLA. Par exemple :

• Disques

Avec des machines virtuelles, vous pouvez choisir d’utiliser un disque


managé HDD Standard, un disque managé SSD Standard ou encore un
disque SSD Premium ou Ultra. Le contrat SLA pour une machine virtuelle
est de 95 %, de 99,5 % ou de 99,9 %, selon le choix du disque.

• Niveaux

Certains services Azure sont proposés à la fois comme produit gratuit et


comme service payant standard. Par exemple, le service Azure
Automation fournit 500 minutes d’exécution de travaux dans un compte
Azure gratuit, mais il n’est pas adossé çà un contrat SLA. Le contrat SLA
de niveau standard pour le service Azure Automation est de 99,9 %.

Veillez à prendre vos décisions d’achat en tenant compte de leur impact sur le contrat
SLA des services Azure que vous choisissez. Cela garantit l’adéquation entre les
contrats SLA et le contrat SLA requis pour votre application.

Ici, Tailwind Traders pourrait choisir un disque Ultra pour ses machines virtuelles afin
de garantir une durée de bon fonctionnement plus longue.

Intégrer les exigences de disponibilité dans votre conception

En matière de conception, il est utile de prendre en compte certaines considérations


en lien avec l’infrastructure cloud sous-jacente.
Par exemple, pour améliorer la disponibilité de l’application, évitez d’avoir des points
de défaillance uniques. Ainsi, au lieu d’ajouter des machines virtuelles, vous pouvez
déployer une ou plusieurs instances supplémentaires de la même machine virtuelle
entre les différentes zones de disponibilité de la même région Azure.

Une zone de disponibilité est un emplacement physique unique au sein d’une région
Azure. Chaque zone de disponibilité est composée d’un ou de plusieurs centres de
données équipés d’une alimentation, d’un système de refroidissement et d’un réseau
indépendants. Ces zones n’ayant pas les mêmes plans de maintenance, si une zone
est affectée, votre instance de machine virtuelle dans l’autre zone ne l’est pas.

Le déploiement d’au moins deux instances d’une machine virtuelle Azure dans au
moins deux zones de disponibilité fait passer le contrat SLA de la machine virtuelle à
99,99 %. Le recalcul de votre contrat SLA composite ci-dessus avec ce contrat SLA de
machines virtuelles produit le contrat SLA d’application suivant :

99,99%×99,99%×99,99%×99,99%99,99%×99,99%×99,99%×99,99%=99,96%
=99,96%

Ce contrat SLA révisé de 99,96 % dépasse votre cible de 99,9 %.

Pour en savoir plus sur le contrat SLA pour machines virtuelles, consultez la page SLA
pour machines virtuelles.

Inclure la redondance pour augmenter la disponibilité

Pour garantir une haute disponibilité, vous pouvez prévoir que votre application ait
accès à des composants en double dans plusieurs régions. C’est ce que l’on appelle
la redondance. À l’inverse, pour réduire les coûts pendant les périodes non critiques,
vous pourriez vous contenter d’exécuter votre application dans une seule région.
Tailwind Traders pourrait envisager cette option si les tarifs des commandes spéciales
tendent à être beaucoup plus élevés durant certains mois ou saisons.

Pour parvenir à une disponibilité maximale dans votre application, ajoutez de la


redondance à chaque partie de l’application. Cette redondance concerne l’application
elle-même, ainsi que les services et l’infrastructure sous-jacents. Sachez toutefois que
l’ajout de la redondance peut s’avérer difficile et coûteux, et produit souvent des
solutions inutilement complexes.

Évaluez à quel point la haute disponibilité est critique pour vos besoins avant
d’ajouter la redondance. Il y a peut-être des moyens plus simples de satisfaire au
contrat SLA de votre application.
Atteindre la très haute performance est difficile
Les cibles de performances supérieures à 99,99 % sont très difficiles à atteindre. Un
contrat SLA de 99,99 % signifie un temps d’arrêt de 1 minute par semaine. Il est
difficile pour un être humain d’arriver à traiter une défaillance suffisamment vite pour
respecter les cibles de performances d’un contrat SLA au-delà de 99,99 %. Au lieu de
cela, votre application doit être capable d’effectuer elle-même un diagnostic et de
s’autoréparer pendant une défaillance.

Unité suivante: Accéder aux services en préversion et


aux fonctionnalités en préversion

Accéder aux services en préversion et


aux fonctionnalités en préversion
Effectué100 XP
• 4 minutes

Maintenant que la société Tailwind Traders a ses applications opérationnelles dans


Azure, elle souhaite commencer à regarder les nouvelles fonctionnalités Azure de
plus près. Une option possible est de se tourner vers les services en préversion. Dans
ce module, vous allez découvrir comment les services Azure passent de la phase de
préversion au produit en disponibilité générale intégré à Azure.

Pour Tailwind Traders, la migration du centre de données vers Azure répond à une
logique d’efficacité opérationnelle. L’équipe de recherche et de développement
explore de nouvelles fonctionnalités basées sur le cloud qui leur permettront de
conserver une longueur d’avance.

Tailwind Traders est dans les phases de développement de la création d’un système
de livraison par drone pour les clients ruraux. La société a besoin d’un suivi des
orages en temps réel dans le système de guidage des drones, mais cette
fonctionnalité n’est pas encore disponible. Un service AI Storm Analyzer a récemment
été publié en préversion publique. L’équipe R&D de Tailwind Traders décide
d’incorporer le service en préversion dans les phases préliminaires de test de
l’application.

Notes
AI Storm Analyzer est un service Azure fictif, introduit ici à des fins d’illustration
uniquement.

Avant de s’engager dans cette voie, l’équipe souhaite mieux comprendre l’incidence
des services en préversion sur son contrat SLA. Commençons par définir le cycle de
vie d’un service Azure.

Comment se déroule le cycle de vie d’un service ?


Le cycle de vie d’un service définit le processus de mise à disposition de chaque
service Azure pour une utilisation publique.

Chaque service Azure entre d’abord en phase de développement. Au cours de cette


phase, l’équipe Azure collecte et définit ses exigences, et commence à créer le service.

Ensuite, le service passe à la phase de préversion publique. Au cours de cette phase,


le public peut expérimenter le service et donner un feedback concret. Vos
commentaires aident Microsoft à améliorer les services. Plus important encore, ils
vous offrent l’opportunité de demander l’ajout ou la modification de fonctionnalités
existantes afin que les services répondent mieux à vos besoins.

Une fois qu’un nouveau service Azure a été validé et testé, il est mis à la disposition
de tous les clients en tant que service prêt pour la production. C’est ce que l’on
appelle la disponibilité générale (GA).

Quelles conditions générales s’appliquent ?


Chaque préversion Azure définit ses propres conditions générales. Toutes
les conditions générales propres à la préversion sont exclues des contrats de niveau
de service et de la garantie limitée.

Certaines préversions ne sont peut-être pas couvertes par le service client et peuvent
être soumises à des engagements de sécurité, de conformité et de confidentialité
limités ou différents. Pour toutes ces raisons, les préversions ne sont pas
recommandées pour les charges de travail critiques pour l’entreprise.

Comment accéder aux services en préversion ?


Vous pouvez accéder aux services en préversion à partir du portail Azure.
Voici comment voir quels services en préversion sont disponibles. Vous devez avoir
un abonnement Azure.

1. Accédez au portail Azure et connectez-vous.


2. Sélectionnez Créer une ressource.
3. Entrez préversion dans la zone de recherche, puis sélectionnez Entrée.
4. Sélectionnez un service en préversion pour en savoir plus à son sujet.
Vous pouvez aussi lancer le service si vous souhaitez l’essayer.

Comment puis-je bénéficier des nouvelles


fonctionnalités d’un service existant ?
Certaines fonctionnalités en préversion concernent une partie spécifique d’un service
Azure existant. Par exemple, des fonctionnalités améliorées peuvent avoir été
ajoutées à un service de calcul ou de base de données que vous utilisez déjà
quotidiennement. Ces fonctionnalités en préversion sont disponibles quand vous
déployez, configurez et gérez le service.

Vous pouvez utiliser une fonctionnalité Azure en préversion dans un environnement


de production, mais veillez à prendre connaissance des limitations avant de la
déployer en production.

Comment puis-je accéder aux fonctionnalités en


préversion du portail Azure ?
Vous pouvez accéder aux fonctionnalités en préversion spécifiques du portail Azure à
partir de Microsoft Azure (préversion).

Les fonctionnalités d’évaluation du portail apportent généralement des améliorations


à l’interface du portail Azure sur le plan des performances, de la navigation et de
l’accessibilité.

Lorsque vous utilisez la préversion du portail Azure, Microsoft Azure


(préversion) s’affiche dans l’en-tête de page pour vous rappeler la version du portail
Azure que vous utilisez. Les fonctionnalités en préversion publique qui sont
éventuellement disponibles sont également marquées de (préversion) dans les pages
Azure.
Comment puis-je envoyer des commentaires sur le portail Azure ?

Vous pouvez envoyer vos commentaires :

• Dans l’un des 124 forums dédiés aux services Azure, accédez à la page
d’idées de la communauté Azure
• Par le biais de l’onglet Commentaires dans le portail Azure.
Comment puis-je me tenir informé des dernières
annonces ?
La page Mises à jour Azure présente des informations sur les dernières mises à jour
des produits, services et fonctionnalités Azure, ainsi que des feuilles de route et des
annonces de produit.

À partir de la page Mises à jour Azure, vous pouvez :

• Voir les détails de toutes les mises à jour Azure.


• Découvrez quelles mises à jour sont désormais disponibles, en préversion
ou en cours de
développement.

• Parcourir les mises à jour par catégorie de produit ou type de mise à jour.
• Rechercher des mises à jour par mot clé.
• Vous abonner à un flux RSS pour recevoir des notifications.
• Accès à la page Microsoft Connect pour consulter les annonces et les
dernières informations relatives aux produits Azure.

Unité suivante: Contrôle des connaissances

Résumé
Effectué100 XP
• 2 minutes

Un contrat de niveau de service (contrat SLA) est le contrat formel entre une société
qui fournit un service et le client. Pour Azure, ce contrat définit les standards de
performance que Microsoft s’engage à respecter pour ses clients.

L’équipe de Tailwind Traders travaille sur de nombreux projets ! En plus du site web
principal, elle est en train d’ajouter une fonctionnalité de cartographie à son
application Commandes spéciales, qui pourra calculer les itinéraires entre les
fournisseurs et les magasins de vente au détail. Elle cherche également à améliorer
son système de guidage par drone en y ajoutant une fonctionnalité de suivi des
tempêtes.

Face à l’évolution des exigences, il est important que l’équipe comprenne la façon
dont le contrat SLA de chaque service choisi affecte les garanties de performances
globales de ses applications.

Par exemple, le site web principal de l’entreprise doit offrir un temps de disponibilité
le plus proche possible de 100 %. Pour atteindre cet objectif, Tailwind Traders peut
déployer des instances supplémentaires de la même machine virtuelle dans les
différents zones de disponibilité de la même région Azure. Cela permet de s’assurer
que, si une zone est affectée, des instances de machine virtuelle dans l’autre zone de
disponibilité peuvent reprendre la charge.

L’application Commandes spéciales peut être plus souple sur les tolérances. Du
moment que les employés des magasins de vente au détail ne perdent pas de
données et peuvent rapidement se reconnecter au réseau, l’application Commandes
spéciales peut avoir un contrat SLA moins haut. Ici, l’équipe peut choisir d’inclure une
redondance moindre dans sa conception.

Quand vous définissez vos exigences de contrat de niveau de service, veillez à


prendre en compte vos besoins métier ainsi que le temps nécessaire à la restauration
d’un composant suite à un échec. Réfléchissez également à l’incidence possible de
l’utilisation de services et fonctionnalités en préversion sur vos systèmes de
production.

Étapes suivantes
Faites un croquis ou un diagramme de l’application que vous envisagez de migrer
vers le cloud. Incluez chaque service Azure que vous envisagez d’utiliser.

Consultez la page Contrats de niveau de service pour trouver le contrat SLA de


chaque service Azure utilisé. Calculez ensuite le contrat SLA composite pour votre
application.

Le contrat SLA composite répond-il à vos besoins ? Si ce n’est pas le cas, que pouvez-
vous faire pour l’améliorer ?

En savoir plus
Dans ce module, vous avez examiné plusieurs facteurs qui influent sur les garanties
des services Azure. Vous avez également vu comment accéder aux services en
préversion et aux fonctionnalités en préversion. Voici des ressources supplémentaires
pour vous aider à aller plus loin.

Utiliser des services en préversion

• Lisez l’Avenant aux conditions d’utilisation pour les préversions de


Microsoft Azure.
• Renseignez-vous sur les mises à jour et les nouvelles fonctionnalités de
produit sur le blog des annonces Azure.

Parcours d’apprentissage des principes de base


d’Azure
Ce module fait partie du parcours d’apprentissage Principes de base d’Azure -
Sixième partie : Description des contrats de niveau de service et de gestion des coûts
Azure, qui est l’un des six parcours d’apprentissage des principes de base d’Azure.

Voici les parcours d’apprentissage de cette série :

• Principes de base d’Azure - Première partie : Description des principaux


concepts Azure
• Principes de base d’Azure - Deuxième partie : Description des principaux
services Azure
• Principes de base d’Azure - Troisième partie : Description des solutions
principales et des outils de gestion Azure
• Principes de base d’Azure - Quatrième partie : Description des
fonctionnalités de sécurité générale et de sécurité réseau
• Principes de base d’Azure - Cinquième partie : Description des
fonctionnalités d’identité, de gouvernance, de confidentialité et de
conformité
• Principes de base d’Azure - Sixième partie : Description des contrats de
niveau de service et de gestion des coûts Azure

Vous aimerez peut-être aussi