Skip to content

djomo-moungoue/AZ-900

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

46 Commits
LICENSE
LICENSE
 
 
README.md
README.md
 
 

Repository files navigation

Gestion et Gouvernance

Le paiement à l'utilisation est un modèle de paiement cloud où vou payez pour les ressources que vous utilisez pendant un cycle de facturation.

La reservation d'une capacité est le fait de s'engager à utiliser et à payer une certaine quantité de ressources Azure pendant une période donnée (généralement 1 ou 3 ans)

Une zone est un groupement géographique de régions Azure à des fins de facturation.

Les facteurs pouvant affecter les coûts OpEx sont:

  • le type de ressource, les paramètres de la ressource et la région Azure
  • la consommation / le type d'achat: paiement à l'utilisation ou réservation (ex. vm / calcul, compte de sockage, bases de données)
  • la maintenance: entretenir l'environnement de cloud en surveillant les ressources afin de contrôler les coûts.
  • la géographie / emplacement: coûts variant en fonction du coût de l'énergie, des taxes, etc.
  • le trafic réseau (sortant): le trafic à l'intérieur d'une zone géographique est moins cher qu'entre 2 zones géographiques.
  • le type d'abonnement: les quotas d'utilisation impactent sur les coûts.
  • la place de marché

La calculatrice de prix et la calculatrice de coût total de possession (TCO): aident à comprendre les dépenses Azure potentielles. La calculatrice de prix estime les coûts de charge de travail dans Azure tandis que la calculatrice CTO aide à comparer les coûts des charges de travail dans une infrastructure locale par rapport à une infrastructure cloud Azure. Accessible sans être connecté à Azure.

La calculatrice de TCO vous aide à estimer les économies au fil du temps d’exploitation d’une solution dans Azure par rapport à l’exploitation dans un centre de données local.

Cost Management permet de vérifier rapidement les coûts des ressources Azure, de créer des alertes basées sur les dépenses de ressources et de créer des budgets qui peuvent être utilisés pour automatiser la gestion des ressources. Un budget est l’endroit où vous définissez une limite de dépense pour Azure. (Analyse + alertes + budgets)

Il existe 3 types d'alertes de coût:

  • alertes budgetaires: créer via portail Azure (budgets basés sur les coûts) ou API Azure Consumption (budgets basés sur les coûts ou sur utilisation de la consommation)
  • alertes de crédit: engagement monétaires de crédit Azure consommés à 90 ou 100%. Uniquement pour organisations ayant un contrat d'entreprise (AE)
  • alertes de quota de dépenses du service: dépenses du service ont atteint un seuil du quota (ex. 50%)

Pour organiser les ressources l'on peut uliser les abonnements, les groupes de ressources et les étiquettes / balises. Les balises sont des métadonnées ou informations supplémentaires sur les ressources. Elles permettent de gérer les ressources, gérer et optimiser les coûts, gérer les opérations, classifier les données par niveau de sécurité, identifier les ressources qui s'alignent sur les exigences de gouvernance ou de conformité réglementaire, optimiser et automatiser les charges de travail. Les étiquettes se gérent via le portail Azure, Azure CloudShell, via l'API REST et le modèle ARM. Les étiquettes ne s'héritent pas.

Un contrat SLA est une garantie de disponibilité ou de performances entre vous et vos utilisateurs.

Azure Policy vous permet de définir des stratégies individuelles et des groupes de stratégies associées appelées initiatives. Azure Policy évalue vos ressources et met en évidence les ressources qui ne sont pas conformes aux stratégies que vous avez créées. Azure Policy peut également empêcher la création de ressources non conformes. Azure Policy est fourni avec des définitions de stratégie et d’initiative intégrées pour le stockage, le réseau, le calcul, Security Center et le monitoring.

Un verrou de ressource empêche la suppression ou modification accidentelle des ressources. Les verrous de ressources sont hérités. Il se gère à partir du portail Azure, de CloudShell, ou d’un modèle ARM. Pour modifier une ressource verrouillée, vous devez d’abord retirer le verrou, même si vous êtes propriétaire.

Le portail d’approbation de services Microsoft est un portail qui permet d’accéder à divers contenus, outils et autres ressources concernant les pratiques de sécurité, de confidentialité et de conformité Microsoft. Vous pouvez télécharger les rapports et documents du portail d’approbation de services pendant au moins 12 mois après leur publication, ou jusqu’à ce qu’une nouvelle version du document soit disponible.

Microsoft Purview vous propose des aperçus sur vos données locales, multiclouds et software-as-a-service. Ceci en automatisant la découverte des données, en classifiant les données sensibles et tan tracant les données de bout en bout.

Azure Arc est un pont qui extent la plateforme Microsoft Azure (ex. Defender) aux environnements non-Azure (Cloud hybrides et multi-clouds).

Azure Advisor évalue vos ressources Azure et émet des recommandations pour améliorer la fiabilité, la sécurité et les performances, atteindre l’excellence opérationnelle et réduire les coûts. Les suggestions sont divisées en cinq catégories :

  • La fiabilité est utilisée pour garantir et améliorer la continuité de vos applications critiques pour l’entreprise.
  • La sécurité est utilisée pour détecter les menaces et les vulnérabilités susceptibles d’entraîner des violations de sécurité.
  • Les performances sont utilisées pour améliorer la vitesse de vos applications.
  • L’ excellence opérationnelle est utilisée pour vous aider à atteindre l’efficacité des processus et des flux de travail, la facilité de gestion des ressources et les meilleures pratiques de déploiement.
  • Le coût est utilisé pour optimiser et réduire vos dépenses Azure globales.

Azure Service Health utilise l’ état d’Azure (vue d’ensemble de l’état global d’Azure), Intégrité des services / Service health (vue plus étroite des services et régions Azure) et Resource Health (vue personnalisée de vos ressources Azure réelles), vous offre une vue complète de votre environnement Azure, de l’état global des services et régions Azure à des ressources spécifiques. Après une panne, Service Health fournit des rapports d’incident officiels appelés analyse de la cause racine (RCA), que vous pouvez partager avec les parties prenantes.

Azure Monitor est une plateforme permettant de collecter des données sur vos ressources, d’analyser ces données, de visualiser les informations et même d’agir sur les résultats. Azure Log Analytics est l’outil dans le portail Azure où vous allez écrire et exécuter des requêtes de journal sur les données collectées par Azure Monitor. Les alertes Azure Monitor constituent un moyen automatisé de rester informé quand Azure Monitor détecte un seuil franchi.

Un groupe d’actions est simplement une collection de préférences de notification et d’action que vous associez à une ou plusieurs alertes. Azure Monitor, Service Health et Azure Advisor utilisent tous les groupes d’actions pour vous avertir lorsqu’une alerte a été déclenchée. Application Insights est une fonctionnalité Azure Monitor, surveille vos applications web.

Application Insights est une fonctionnalité d’Azure Monitor qui vous permet de surveiller les applications en cours d’exécution, de détecter automatiquement les anomalies de performances et d’utiliser des outils d’analyse intégrés pour voir ce que font les utilisateurs sur une application.

Gérer les identités et la gouvernance dans Azure

Microsoft Entra ID est une solution complète pour la gestion des identités, l’application de stratégies d’accès, et la sécurisation de vos applications et de vos données dans le cloud et localement. Par défaut, lorsque vous créez un abonnement Azure à l’aide d’un compte Microsoft, l’abonnement inclut automatiquement un nouveau locataire Microsoft Entra nommé « Annuaire par défaut ». Microsoft Entra ID est un service différent, beaucoup plus axé sur la fourniture de services de gestion des identités à des applications web, contrairement à AD DS, qui est plus axé sur les applications locales. Contrairement à AD DS, Microsoft Entra ID est multilocataire par conception. Vous pouvez associer le même locataire Microsoft Entra à plusieurs abonnements Azure. Cela vous permet d’utiliser les mêmes utilisateurs, groupes et applications pour gérer les ressources de différents abonnements Azure. Le terme locataire représente généralement une entreprise ou une organisation qui a souscrit un abonnement à un service cloud Microsoft. Toutefois, du point de vue technique, le terme « locataire » représente une instance Microsoft Entra individuelle. Chaque locataire Microsoft Entra se voit affecter le nom de domaine DNS (Domain Name System) par défaut, composé d’un préfixe unique.

AD DS est le déploiement traditionnel d’Active Directory basé sur Windows Server sur un serveur physique ou virtuel. Le déploiement d’AD DS sur une machine virtuelle Azure nécessite un ou plusieurs disques de données Azure supplémentaires, car vous ne devez pas utiliser le lecteur C pour le stockage AD DS. Ces disques sont nécessaires pour stocker la base de données AD DS, les journaux et le dossier sysvol. Le paramètre Préférences de cache d’hôte pour ces disques doit être défini sur Aucune.

Quand vous comparez AD DS à Microsoft Entra ID, il est important de noter les caractéristiques suivantes d’AD DS :

  • AD DS est un véritable service d’annuaire, avec une structure hiérarchique basée sur X.500.
  • AD DS utilise DNS (Domain Name System) pour localiser des ressources telles que des contrôleurs de domaine.
  • Vous pouvez interroger et gérer AD DS à l’aide d’appels LDAP (Lightweight Directory Access Protocol).
  • AD DS utilise principalement le protocole Kerberos pour l’authentification.
  • AD DS utilise des unités d’organisation et des objets de stratégie de groupe pour la gestion.
  • AD DS inclut des objets ordinateur, représentant des ordinateurs qui sont joints à un domaine Active Directory.
  • AD DS utilise des approbations entre domaines pour la gestion déléguée.

Quand vous comparez Microsoft Entra ID à AD DS, il est important de noter les caractéristiques suivantes de Microsoft Entra ID :

  • Microsoft Entra ID est principalement une solution d’identité. Elle est conçue pour les applications Internet, avec des communications HTTP (port 80) et HTTPS (port 443).
  • Microsoft Entra ID est un service d’annuaire multilocataire.
  • Les utilisateurs et les groupes Microsoft Entra sont créés dans une structure plate, et il n’existe pas d’unités d’organisation ni d’objets de stratégie de groupe.
  • Vous ne pouvez pas interroger Microsoft Entra ID en utilisant LDAP ; au lieu de cela, Microsoft Entra ID utilise l’API REST sur HTTP et HTTPS.
  • Microsoft Entra ID n’utilise pas l’authentification Kerberos ; au lieu de cela, il utilise des protocoles HTTP et HTTPS comme SAML, WS-Federation et OpenID Connect pour l’authentification, et OAuth pour l’autorisation.
  • Microsoft Entra ID inclut des services de fédération, et de nombreux services de tiers, comme Facebook, sont fédérés avec Microsoft Entra ID et lui font confiance.

Microsoft Entra ID est disponible gratuite, en versions premiums P1 et P2. Les fonctionnalités disponibles dans P1 sont:

  • la gestion des groupes en libre-service
  • les alertes et rapports de sécurité avancés
  • l'authentification multifacteur
  • la gestion des licences Microsoft Identity Manager (MIM)
  • le contrat SLA d'entreprise de 99.9%
  • la réinitialisation du mot de passe avec reécriture
  • la fonctionnalité Cloud app Discovery
  • l'accès conditionnel basé sur un appareil, un groupe ou un emplacement
  • Microsoft entra connect health

L’accès conditionnel peut utiliser des signaux pour déterminer des informations sur les tentatives d’authentification, puis déterminer s’il faut bloquer l’accès ou exiger des vérifications supplémentaires, telles que l’authentification multifacteur.

Fonctionnalités uniquement dans P2:

  • Microsoft entra ID protection: permet d'améliorer le monitoring et la protection des comptes d'utilisateurs.
  • Microsoft entra PIM (privileged identify management): permet de definir les administrateur permanents et temporaires.

Lors de la migration des applications/appareils membres du domaines AD DS locale dans le cloud Azure, vous pouvez continuer à leurs fournir les services d'authentification de 3 facons:

  • implémenter une réseau privé virtuel (VPN) de site à site entre votre infrastructure locale et Azure IaaS (traffic d'authentification traverse le vpn)
  • déployer des contrôleurs de domaine de réplica à partir de votre service AD DS local en tant que machine virtuelles dans Azure (traffic de replica traverse le vpn tandis que l'authentification se fait dans le cloud)
  • utiliser Microsoft entra Domaine Services. Ceci vous permet d'éviter les coûts supplémentaires et les efforts administratifs causés par les options précéentes.

Microsoft Entra Connect synchronise les identités utilisateur à partir d’un domaine Active Directory Domain Services (AD DS) local avec Microsoft Entra. Microsoft Entra Connect vous permet d’utiliser des fonctionnalités telles que l’authentification unique (SSO), l’authentification multifacteur et la réinitialisation de mot de passe en libre-service (SSPR) dans les deux systèmes. SSPR empêche les utilisateurs d’utiliser des mots de passe compromis connus.

Avec Microsoft Entra Domain Services, vous pouvez migrer librement les applications qui utilisent les protocoles LDAP, NTLM (Windows NT LAN Manager) ou Kerberos de votre infrastructure locale vers le cloud. Vous pouvez activer Microsoft Entra Domain Services en utilisant le portail Azure. Ce service est facturé par heure en fonction de la taille de votre annuaire.

Un compte d’utilisateur renferme toutes les informations nécessaires pour authentifier l’utilisateur au moment de la connexion. Une fois authentifié, Microsoft Entra ID génère un jeton d’accès pour autoriser l’utilisateur, déterminer à quelles ressources il peut accéder et ce qu’il peut effectuer avec ces ressources. Les 3 catégories d'utilisateur dans Microsoft Entra ID sont:

  • Identités cloud: utilisateurs existant uniquement dans Microsoft Entra ID. Source: Microsoft Entra ID
  • Identités synchronisées avec l'annuaire: utilisateurs figurant dans l'annuaire AD local. Synchronisation via Microsoft Entra Connect. Source: Windows Server AD.
  • Utilisateurs invités: utilisateurs externes à Azure. Source: Utilisateur invité.

Lorsque vous supprimez un utilisateur, son compte reste à l’état suspendu pendant 30 jours. Pendant ces 30 jours, le compte de l’utilisateur peut être restauré, avec l’ensemble de ses propriétés. Au terme de cette période de 30 jours, le processus de suppression permanent est démarré automatiquement. Seul un administrateur global ou d'utilisateurs, un support de niveau 1 ou 2 partenaire peuvent restaurer ou supprimer définitivement des utilisateurs.

Les 2 types de groupes dans Microsoft Entra ID sont:

  • le groupe de sécurité (pour administrateur Microsoft entra)
  • le groupe Microsoft 365 (pour utilisateurs et administrateurs)

Un groupe Microsoft entra peut avoir 2 tpyes d'appartenances:

  • attribué: membres ajoutés et gérés manuellement
  • dynamique: membres ajoutés en fonction de règles.

Microsost intune: Administration centralisée des appareils mobiles, bureaux et applications dans Microsoft 365.

Quelques erreurs d'affectation de licence et leurs signification:

  • CountViolation: nombre insuffisant de licences
  • MutuallyExclusiveViolation: plans de service en conflit
  • DependencyViolation: d'autres produits dépendent de la licence
  • ProhibitedInUsageLocationViolation: l'emplacement d'utilisation n'est pas autorisé

Les attributs de sécurité personnalisés dans Microsoft Entra ID sont des attributs spécifiques à l'entreprise (paires clé-valeur) que vous pouvez définir et attribuer aux objets Microsoft Entra.

Les opérations Azure sont disivées en 2 types principaux:

  • les plans de contrôle qui appliquent les règles et la conformité aux ressources.
  • les plans de données qui orchestrent les opérations sur les données tandis que Azure Policy verifie si les données sont conformes à la politique de l'organisation.

Les affectations de politique définissent quelles ressources sont évaluées par une définition de politique ou une initiative. Les affectations de politique peuvent être effectuées dans le portail, par un appel à l'API ou par l'interface de ligne de commande.

Remarques : commencez par désactiver le mode d'application pour les nouvelles stratégies afin de tester leur impact, puis déployez les politiques en anneaux pour les étendre progressivement aux environnements de production.

Les services d'annuaires permettent de stocker, organiser et retrouver les informations des ressources d'un réseau. Ex. Microsoft AD, LDAP

Chaque abonnement Azure est associé à un seul annuaire Microsoft Entra. Les abonnements utilisent Microsoft Entra ID pour l’authentification unique (SSO) et la gestion des accès. Le contrôle d’accès en fonction du rôle Azure (RBAC Azure) est un système d’autorisation basé sur Azure Resource Manager qui fournit une gestion précise de l’accès aux ressources dans Azure. Un RBAC Azure n’applique pas d’autorisation d’accès au niveau de l’application ou des données. La sécurité de l’application doit être gérée par votre application.

Un principal de sécurité n’est qu’un nom sophistiqué pour désigner un utilisateur, un groupe ou une application auxquels vous voulez accorder un accès.

Une définition de rôle est un ensemble d’autorisations. Les 4 roôles principaux sont:

  • propriétaire
  • contributeur
  • lecteur
  • administrateur de l'accès utilisateur.

Authentification sans mot de passe via Microsoft Entra ID :

  • Windows Hello Entreprise
  • Application Microsoft Authenticator
  • Clés de sécurité FIDO2

Concepts du cloud

Quels sont les outils de gestion et d'interaction Azure?

  • Portail Azure pour effectuer des tâches ponctuelles et simples
  • Azure Powershell et Azure Command-Line Iterface (CLI) pour automatiser les tâches repétitives et complexes
  • Azure Cloudshell interpretateur de commandes interactif d'azure Portail pour automatiser les tâches via Azure Powershell et Azure CLI
  • Application mobile Azure
  • Kit de developpement logiciels pour differents languages de programmation
  • API REST pour gérer et contrôler les ressources de facon programmatique

Comment installer Azure Powershell sous Windows, se connecter et créer une machine virtuelle ?

Intall-Module -Name Az -Repository PSGallery -Force
Connect-AzAccount
New-AzVW -ResourceGroupName "rgr1" -Name "vm1" -Image "Ubuntu2204"

Comment installer Azure CLI sous Windows, se connecter et créer une machine virtuelle ?

Invoke-WebRequest -Uri https://aka.ms/installazurecliwindows -OutFile .\AzureCLI.msi; Start-Process msiexec.exe -ArgumentList "/i AzureCLI.msi /quiet" -Wait; Remove-Item .\AzureCLI.msi
az login
az vm create --ressource-groupe rgrs --name vm1 --image Ubuntu2204 --generate-ssh-keys

Azure Cloud Shell est un environnement de ligne de commande auquel vous pouvez accéder via votre navigateur web. Il met à votre disposition Azure Powershell ou Azure CLI pour vous permettre de gérer vos ressources.

Comment accéder à Azure CloudShell? - Les sessions Cloud Shell s’arrêtent après 20 minutes d’inactivité. Il stocke les fichiers dans CloudDrive. La commande code permet d'ouvrir des fichier dans l'éditeur CloudShell lorsque le mode Classique est activité.

N’utilisez pas Azure Cloud Shell si :

  • Vous prévoyez de laisser une session ouverte pendant plus de 20 minutes pour les scripts ou activités de longue durée. Dans ce cas, votre session est déconnectée sans avertissement et l’état actuel est perdu.
  • Vous avez besoin d’autorisations d’administration, telles que l’accès sudo, dans l’environnement Azure CLI ou PowerShell.
  • Vous devez installer des outils qui ne sont pas pris en charge dans l’environnement Cloud Shell limité, mais nécessitent plutôt un environnement tel qu’une machine virtuelle personnalisée ou un conteneur.
  • Vous avez besoin de stockage dans différentes régions. Vous risquez de devoir sauvegarder et synchroniser ce contenu, car une seule région peut avoir le stockage alloué à Azure Cloud Shell.
  • Vous devez ouvrir plusieurs sessions en même temps. Azure Cloud Shell autorise une seule instance à la fois et n’est pas adapté au travail simultané sur plusieurs abonnements ou locataires.

Haute disponibilité: continuité en cas de problème assurée par le redondance (LRS, ZRS, GRS-RA, GZRS-RA); la tolérance aux pannes

scalabilité: capacité augmentation automatique ou manuelle de l'infrastructure Azure

  • scale-down/up: diminution/augmentation de puissance des serveurs (RAM, Disque, Processeur)
  • scale-in/out: diminution/augmentation du nombre de serveurs

agilité: rapidité et facilité à mettre à l'échelle verticalement ou horizontalement

élasticité: capacité à se mettre à l'échelle automatiquement lors de changement de charge de travail

L’élasticité fait référence à la possibilité de mettre à l’échelle les ressources en fonction des besoins, comme pendant les heures ouvrées, pour garantir qu’une application peut suivre la demande, puis réduire les ressources disponibles pendant les heures creuses. L’agilité fait référence à la possibilité de déployer rapidement de nouvelles applications et services. La haute disponibilité fait référence à la possibilité de s’assurer qu’un service ou une application reste disponible en cas de défaillance. La géo-distribution / géo-emplacement rend un service ou une application disponible dans plusieurs emplacements géographiques qui sont généralement proches de vos utilisateurs.

Les groupes de machines virtuelles identiques sont une ressource de calcul Azure que vous pouvez utiliser pour déployer et gérer et mettre à l’échelle un ensemble de machines virtuelles identiques.

tolérance aux pannes: gestion de pannes + conservation du niveau de service grâce à la redondance

La récupération d’urgence utilise des services, tels que la sauvegarde basée sur le cloud, la réplication des données et la géo-distribution, pour assurer la sécurité des données et du code en cas de sinistre. reprise après sinistre: redemarrage propre + incident majeur.

Le PaaS est un service de type Serverless dont le composant principale est Azure Function

Cloud privé: confidentialité + reglementation

Cloud publique: accessibilité + offre riche + bon marché (dépendance + sécurité)

Zone géographique / Pays: +Regions: +Data Centers ou zones de disponibilité: +Armoires: +Racks: +Noeuds / Serveurs physicques (Disques, Réseau): +vms: +conteneurs

Les zones de disponibilité sont des centres de données physiquement séparés au sein d’une région Azure. Chaque zone de disponibilité est composée d’un ou de plusieurs centres de données équipés d’une alimentation, d’un refroidissement et d’un réseau indépendants. Au moins 3 zones de disponibilité par région. Les zones de disponibilité sont principalement destinées aux machines virtuelles, aux disques managés, aux équilibreurs de charge et aux bases de données SQL.

Paire de régions: Chaque région Azure est toujours associée à une autre région située dans la même zone géographique, comme les États-Unis, l’Europe ou l’Asie, à au moins 300 miles.

Faible latence regionale et forte latence interregionale

Quota: limite du nombre de ressources d'un Abonnement

1 Abonnement = 1 facture

Les machines virtuelles sont des émulations logicielles d’ordinateurs physiques. Ils incluent un processeur virtuel, une mémoire, un stockage et des ressources réseau. Les machines virtuelles hébergent un système d’exploitation, et vous pouvez installer et exécuter des logiciels comme sur un ordinateur physique.

Les hyperviseurs sont: WMware, Microsoft Hyper-V, Citrix xenServer, KVM

Groupe de ressources: regroupe logiquement les ressources tandis que le groupe de gestion / d'administration regroupe logiquement les abonnements.

Les groupes d’administration peuvent être utilisés dans des environnements qui ont plusieurs abonnements pour simplifier l’application des conditions de gouvernance. Les unités administratives sont utilisées pour déléguer l’administration des ressources Microsoft Entra, telles que les utilisateurs et les groupes.

Le modèle Azure Ressource Manager (ARM) est le service de déploiement et de gestion pour Azure. Il fournit une couche de gestion qui vous permet de créer, mettre à jour et supprimer des ressources dans un compte Azure via le portail Azure ou via CloudShell (IaC). Cloud Shell est un interpréteur de commandes interactif accessible par navigateur pour la gestion des ressources Azure.

Arechitecture et services Azure

Docker permet de créer des images contenant toutes les composants techniques dont l'app à besoin.

Conteneur: environnement d'exécution isolé: OS, stockage, conf reseau, version app

Kubernetes: automatise deploiement + mise à l'échelle + gestion apps conteneurisé

Pod: groupe de conteneurs partageant des ressources

Compte de stockage: +Conteneurs: +Blobs

Disque HDD + SDD Standard sont non managés - disque ssd premium + ultra disk sont managés

PaaS: facturation/h et memoire illimitée - service plan est facturé même s'il ne contient aucune app. Supprimer pour éviter.

FaaS: facturation/s et memoire limitée. Azure Functions vous permet d’exécuter du code en tant que service sans avoir à gérer la plateforme ou l’infrastructure sous-jacente. Azure Logic Apps est similaire à Azure Functions, mais utilise des workflows prédéfinis au lieu de développer votre propre code.

Azure Seccurity center (Azure Defender: vision sur tout): vision sur VM+App Web - vue sur la sécurité

Key Vault (Hardware Security Module: HSM pour clés uniquement): stocker clés de chiffrement + secrets + certificats - URI

Azure sentinel (Security Information and Event Management: SIEM): collecter données+détecter menaces+investiguer+repondre incidents

Les réseaux virtuels Azure fournissent les capacités de mise en réseau clés suivantes:

  • L’isolement et la segmentation: usage des plages d'addresses IP pour diviser le réseau virtuel en plusieurs sous-réseaux non accessibles via Internet mais pouvant communiquer entre eux grâce au points de terminaison privés.
  • Les communications Internet: à travers les addresses IP public ou les équilibreurs de charge public.
  • Communication entre les ressources Azure: Les réseaux virtuels peuvent connecter non seulement les machines virtuelles tandis que les point de terminaison de service peuvent se connecter à des bases de données SQL Azure et les comptes de stockage.
  • Communication avec les ressources sur site: Les connexions de réseau privé virtuel point à site / site à site. Azure ExpressRoute affrant une connectivité privée dédiée vers Azure qui ne passe pas par Internet.
  • Router le trafic: Par défaut, Azure achemine le trafic entre les sous-réseaux sur tous les réseaux virtuels connectés, les réseaux sur site et Internet.
  • Filtrer le trafic: Les réseaux virtuels Azure vous permettent de filtrer le trafic entre des sous-réseaux à l’aide des groupe de sécurité réseau (NSG) à partir de facteurs tels que l’adresse IP source et de destination, le port et le protocole. Les appliances virtuelles de réseau sont des machines virtuelles spécialisées qui exécutent une fonction réseau particulière, telle que l'exécution d'un pare-feu ou l'optimisation d'un réseau étendu (WAN).
  • Connecter des réseaux virtuels: Le peering permet à deux réseaux virtuels de se connecter directement entre eux. Le trafic réseau échangé entre réseaux appairés est privé et transite par le réseau principal Microsoft, sans jamais entrer sur l’Internet public. Ces réseaux virtuels peuvent se trouver dans des régions distinctes. Cette fonctionnalité permet de créer un réseau mondial interconnecté via Azure.

Le réseau virtuel Azure prend en charge les points de terminaison publics et privés pour permettre la communication entre des ressources externes ou internes et d’autres ressources internes.

  • Les points de terminaison publics ont une adresse IP publique et peuvent être accessibles depuis n'importe où dans le monde.
  • Les points de terminaison privés existent au sein d'un réseau virtuel et disposent d'une adresse IP privée à partir de l'espace d'adressage de ce réseau virtuel.

Il est possible de lier des réseaux virtuels ensemble grâce au peering de réseaux virtuels. Le peering permet aux ressources de chaque réseau virtuel de communiquer entre elles.

Les connexions ExpressRoute et la passerelle VPN Azure sont deux services que vous pouvez utiliser pour connecter un réseau local à Azure. Azure Bastion fournit une interface web pour administrer à distance des machines virtuelles Azure à l’aide de SSH/RDP sans aucune exposition des machines virtuelles via des adresses IP publiques. Le Pare-feu Azure est un service de pare-feu avec état utilisé pour protéger les réseaux virtuels.

Une passerelle VPN est un type de passerelle de réseau virtuel. Les instances de passerelle VPN Azure sont déployées sur un sous-réseau dédié d’un réseau virtuel. Vous pouvez les utiliser pour connecter des centres de données locaux à des réseaux virtuels via une connexion VPN site à site (S2S).

Attaque DDoS: epuiser les resources d'une app afin de la rendre indisponible. (Basic, Standard)

L’objectif de défense en profondeur est d’utiliser plusieurs couches de protection pour empêcher l’accès ou le vol d’informations par des utilisateurs non autorisés.

  • Azure firewall filtre entrée/sortie entre le réseau virtuel Azure et Internet
  • Azure DDoS protége les adresses publiques du réseau virtuel
  • Groupe de sécurité réseau filtre les flux au niveaux des sous-réseaux et VMs

hôte dédié: serveur dédié à un seul client. S/DNAT: Source/Destination Network Address Translation

Une strategie / policy est une règle conditionnelle dans Azure Active Directory. Seulement sur Prem P1 minimum ou periode dessaie gratuit de prem P2

RBAC: autorisation aux ressources + grp de ressource + abonnements + grp de gestion. Un rôle RBAC Azure est appliqué à une étendue / portée, qui est une ressource ou un ensemble de ressources auxquelles l’accès s’applique.

Rôles: collection d'autorisations variant en fonct. des ressources. IAM: Identity and Access Management

Verrou: ressources + grp ressource + abonnements

Azure policy / Stratégie: grp ressources + abonnements + grp gestion

Azure confiance trust center: portail de renseignement sur sécurité + confidentialité + conformité

Azure Trust Portal: portail d'approbation de services

Les regions souveraiines tel que Azure China sont isolés du réseau global d'Azure et gérer par la société 21Vianet

Brezil Sud est la seule région dont la paire régionale se trouve hors de la zone géographique (USA Centre)

Les groupes administratifs peuvent être imbriqués. Impossible d'imbriquer les groupes de ressources cad mettre GR1 dans GB2.

Les stratégies héritées du groupe administratifs ne peuvent pas être modifier par le propriétaire d'une ressource ou d'un abonnement.

Les groupes administratifs et les abonnements ne supportent pas le multi-héritage cad plusieurs parents.

az vm create --resource-group "learn-284f000e-d8c2-486c-93e5-a446cb2e5be8" --name my-vm --image Ubuntu2204 --admin-username azureuser --generate-ssh-keys

az vm extension set --resource-group "learn-284f000e-d8c2-486c-93e5-a446cb2e5be8" --vm-name my-vm --name customScript --publisher Microsoft.Azure.Extensions --version 2.1 --settings '{"fileUris":["https://raw.githubusercontent.com/MicrosoftDocs/mslearn-welcome-to-azure/master/configure-nginx.sh"]}' --protected-settings '{"commandToExecute": "./configure-nginx.sh"}' 

IPADDRESS="$(az vm list-ip-addresses --resource-group "learn-284f000e-d8c2-486c-93e5-a446cb2e5be8" --name my-vm --query "[].virtualMachine.network.publicIpAddresses[*].ipAddress" --output tsv)"

curl --connect-timeout 5 http://$IPADDRESS

--output tsv: tabb-separated value, with no keys

Azure Virtual Desktop / bureau virtuel azure est un service de virtualisation de bureau et d’application qui s’exécute sur le cloud: Supporte Windows 10 ou Windows 11 single/multisession, Windows server 2012 R2, 2016, 2019

Les vm virtualisent le hardware tandis que les conteneurs virtualisent l'OS

Azure container instances est la version simplifiées d'azure container apps.

Moyen d'heberger les application sur Azure: VM, conteneur, azure app service

Par défaut, le groupe de sécurité réseau d’une VM Linux autorise l’accès au réseau uniquement via le port 22.

Passerelle VPN 1-* reséau virtuel

Utilisez une passerelle VPN basée sur une route si vous avez besoin des types de connectivité suivants :

  • Connexion entre réseaux virtuels
  • Connexions point à site
  • Connexions multisites
  • Coexistence avec une passerelle Azure ExpressRoute

Vous ne pouvez pas utiliser Azure DNS pour acheter un nom de domaine.

sync: exécution séquentielle avec blocage ex. fetch - async: exécution en arrière-plan / parallèle sans blocage ex. async/wait.

Veuillez noter que les données de votre région secondaire peuvent ne pas être à jour en raison du RPO.

Un compte de stockage est accessisble globalement tandis qu'un disque est accessible via la VM. Le niveau chaud est optimisé pour stocker les données fréquemment consultées. Le niveau d’accès froid a un contrat SLA de disponibilité légèrement inférieur et des coûts d’accès plus élevés par rapport aux données chaudes, qui sont des compromis acceptables pour réduire les coûts de stockage. Le stockage archive stocke des données hors connexion et offre les coûts de stockage les plus bas, mais également les coûts de réhydratation et d'accès aux données les plus élevés.

Azure Files offre des partages de fichiers entièrement managés dans le cloud avec des partages accessibles à l’aide du protocole SMB (Server Message Block). Le montage de partages de fichiers Azure est tout comme la connexion à des partages sur un réseau local.

Moyens d'accés au compte de stockage azure:

  • URL,
  • l'API REST Stockage Azure,
  • Azure PowerShell,
  • Azure CLI ou
  • une bibliothèque cliente Stockage Azure

Moyens d'accés á Azure files:

  • protocoles SMB (Server Message Block) ou (clients Windows, Linux et macOS) - Mise en cache sous server Windows via Azure File Sync
  • protocol NFS (Network File System) Standard (clients Linux et macOS)

Création, montage et partage d'azure files via: PowerShell, Azure CLI, Portal Azure, Explorateur Stockage Azure

Migration des données bidirectionnel de grand volumes de données

  • Azure Migrate
  • Azure Data Box > 40TB

Transfer de fichiers

  • AzCopy: sync unidirectionnel Source --> Dest.
  • Explorateur de stockage Azure: GUI utilisant AzCopy en arriére plan
  • Azure File Sync - via protocoles SMB, NFS et FTPS

About

AZ-900

Resources

Readme

License

GPL-3.0 license
Activity

Stars

0 stars

Watchers

0 watching

Forks

0 forks
Report repository

Releases

No releases published

Packages

No packages published