Академический Документы
Профессиональный Документы
Культура Документы
" 100 XP
Nous disposons d’un site web qui s’exécute sur un serveur Linux Ubuntu local. Notre
objectif est de créer une machine virtuelle Azure à l’aide de l’image Ubuntu la plus
récente et de migrer le site dans le cloud. Dans cette unité, vous allez découvrir les
options dont vous aurez besoin pour déterminer s’il est opportun de créer une
machine virtuelle dans Azure.
La création de machines virtuelles Linux dans Azure est simple. Microsoft a conclu un
partenariat avec les principaux éditeurs Linux afin de garantir que leurs distributions
sont optimisées pour la plateforme Azure. Vous pouvez créer des machines virtuelles
à partir d’images prédéfinies pour un large éventail de distributions Linux courantes,
comme SUSE, Red Hat et Ubuntu, ou créer votre propre distribution Linux à exécuter
dans le cloud.
façons : à partir du portail Azure, d’un script (en utilisant Azure CLI ou Azure
PowerShell) ou d’un modèle Azure Resource Manager. Dans tous les cas, vous devez
fournir quelques informations que nous détaillerons prochainement.
La Place de marché Azure fournit également des images préconfigurées qui incluent
à la fois un système d’exploitation et des outils logiciels favoris installés pour des
scénarios spécifiques.
Comme d’autres services Azure, vous aurez besoin d’un groupe de ressources où
placer la machine virtuelle (et éventuellement regrouper ces ressources pour
l’administration). Quand vous créez une machine virtuelle, vous pouvez utiliser un
groupe de ressources existant ou en créer un.
Tout ce qui peut être installé sur un ordinateur peut être inclus dans une image. Vous
pouvez créer une machine virtuelle à partir d’une image qui est préconfigurée
précisément en fonction des tâches dont vous avez besoin, comme l’hébergement
d’une application web sur le serveur HTTP Apache.
Conseil
2 Avertissement
Il existe, pour chaque abonnement, des limites de quota qui peuvent avoir un
impact sur la création de machines virtuelles. Si vous atteignez ces limites de
quota, vous pouvez ouvrir une demande de service client en ligne pour
augmenter vos limites.
Tâches de calcul lourdes : Convient pour les serveurs web au trafic Fsv2, Fs, F
moyen, les appliances réseau, les processus de traitement par lots et
les serveurs d’applications.
Utilisation importante de la mémoire : Convient pour les serveurs Esv3, Ev3, M, GS,
de bases de données relationnelles, les caches de taille moyenne à G, DSv2, Dv2
grande ainsi que l’analytique en mémoire.
Conseil
Azure utilise des disques durs virtuels (VHD) qui représentent les disques physiques
pour la machine virtuelle. Les disques durs virtuels répliquent le format logique et les
données d’un lecteur de disque, mais ils sont stockés sous la forme d’objets blob de
pages dans un compte de Stockage Azure. Vous pouvez choisir pour chaque disque
le type de stockage qu’il doit utiliser (SSD ou HDD). Cela vous permet de contrôler
les performances de chaque disque, probablement en fonction des E/S que vous
prévoyez d’effectuer dessus.
Par défaut, deux VHD (disques durs virtuels) sont créés pour votre machine virtuelle
Linux :
2 Avertissement
Le disque temporaire n’est pas persistant. Vous devez écrire sur ce disque
uniquement des données qui ne sont pas essentielles au système.
Vous pouvez stocker les données sur le lecteur principal, avec le système
d’exploitation, mais une meilleure approche consiste à créer des disques de données
dédiés. Vous pouvez créer des disques supplémentaires et les attacher à la machine
virtuelle. Chaque disque peut contenir jusqu’à 32 767 Gibioctets (Gio) de données, la
quantité maximale de stockage étant déterminée par la taille de machine virtuelle
que vous sélectionnez.
7 Notes
Les tailles de disque virtuel Azure sont mesurées en Gibioctets (Gio), qui
diffèrent des gigaoctets (Go) ; un Gio représente environ 1,074 Go. Ainsi, pour
obtenir un équivalent approximatif de la taille de votre disque virtuel en Go,
multipliez la taille en Gio par 1,074 ; la taille en Go obtenue est relativement
proche. Par exemple, 32 767 Gio représentent approximativement 35 183 Go.
La création d’une image de disque dur virtuel à partir d’un disque réel est une
fonctionnalité intéressante. Cela vous permet de migrer facilement des informations
existantes d’un ordinateur local vers le cloud.
Avec les disques non managés, vous êtes responsable des comptes de stockage qui
sont utilisés pour contenir les disques durs virtuels correspondant aux disques de
votre machine virtuelle. Vous payez le tarif de compte de stockage correspondant à
la quantité d’espace que vous utilisez. Un compte de stockage a une limite fixe de
20 000 opérations d’E/S par seconde. Cela signifie qu’un compte de stockage est
capable de prendre en charge 40 disques durs virtuels standard en utilisation
maximale. Si vous voulez effectuer une montée en charge, vous aurez besoin de
plusieurs comptes de stockage, ce qui peut devenir compliqué.
Fiabilité accrue : Azure garantit que les disques durs virtuels associés aux
machines virtuelles à haute fiabilité sont placés dans différentes parties du
Stockage Azure pour fournir des niveaux de résilience similaires.
Sécurité accrue : Les disques managés sont des ressources managées réelles
dans le groupe de ressources. Cela signifie qu’ils peuvent utiliser le contrôle
d’accès en fonction du rôle (RBAC) pour restreindre le nombre de personnes
autorisées à se servir des données des VHD.
Prise en charge des instantanés : Vous pouvez utiliser des instantanés pour
créer une copie en lecture seule d’un VHD (disque dur virtuel). Vous devez
arrêter la machine virtuelle propriétaire, mais la création de l’instantané ne
prend que quelques secondes. Une fois que vous avez terminé, vous pouvez
mettre la machine virtuelle sous tension et utiliser l’instantané afin de créer un
double de la machine virtuelle pour résoudre un problème de production ou
restaurer la machine virtuelle au moment où l’instantané a été pris.
Prise en charge des sauvegardes : Vous pouvez sauvegarder
automatiquement les disques managés dans des régions distinctes pour
effectuer une reprise d’activité avec Sauvegarde Azure, sans affecter le service
de la machine virtuelle.
Communication réseau
Les machines virtuelles communiquent avec les ressources externes à l’aide d’un
réseau virtuel. Le réseau virtuel représente un réseau privé dans une région, sur
lequel vos ressources communiquent. Il s’apparente aux réseaux que vous gérez
localement. Vous pouvez diviser un réseau virtuel en sous-réseaux pour isoler les
ressources, le connecter à d’autres réseaux (notamment vos réseaux locaux) et
appliquer des règles de trafic afin de régir les connexions entrantes et sortantes.
Quand vous créez une machine virtuelle, vous avez la possibilité de créer un réseau
virtuel ou d’utiliser un réseau virtuel existant dans votre région.
La création du réseau en même temps que la machine virtuelle par Azure est simple,
mais probablement pas idéale pour la plupart des scénarios. Il est préférable de
planifier vos exigences réseau dès le début pour tous les composants de votre
architecture et de créer la structure de réseau virtuel séparément. Créez ensuite les
machines virtuelles et placez-les dans les réseaux virtuels déjà créés. Nous
examinerons les réseaux virtuels plus en détail plus loin dans ce module.
Avant de créer une machine virtuelle, nous devons décider comment nous allons
l’administrer. Voyons un peu les options qui s’offrent à nous.
Continuer T
" 100 XP
Nous disposons d’un site web qui s’exécute sur un serveur Linux Ubuntu local. Notre
objectif est de créer une machine virtuelle Azure à l’aide de l’image Ubuntu la plus
récente et de migrer le site dans le cloud. Dans cette unité, vous allez découvrir les
options dont vous aurez besoin pour déterminer s’il est opportun de créer une
machine virtuelle dans Azure.
La création de machines virtuelles Linux dans Azure est simple. Microsoft a conclu un
partenariat avec les principaux éditeurs Linux afin de garantir que leurs distributions
sont optimisées pour la plateforme Azure. Vous pouvez créer des machines virtuelles
à partir d’images prédéfinies pour un large éventail de distributions Linux courantes,
comme SUSE, Red Hat et Ubuntu, ou créer votre propre distribution Linux à exécuter
dans le cloud.
façons : à partir du portail Azure, d’un script (en utilisant Azure CLI ou Azure
PowerShell) ou d’un modèle Azure Resource Manager. Dans tous les cas, vous devez
fournir quelques informations que nous détaillerons prochainement.
La Place de marché Azure fournit également des images préconfigurées qui incluent
à la fois un système d’exploitation et des outils logiciels favoris installés pour des
scénarios spécifiques.
Comme d’autres services Azure, vous aurez besoin d’un groupe de ressources où
placer la machine virtuelle (et éventuellement regrouper ces ressources pour
l’administration). Quand vous créez une machine virtuelle, vous pouvez utiliser un
groupe de ressources existant ou en créer un.
Tout ce qui peut être installé sur un ordinateur peut être inclus dans une image. Vous
pouvez créer une machine virtuelle à partir d’une image qui est préconfigurée
précisément en fonction des tâches dont vous avez besoin, comme l’hébergement
d’une application web sur le serveur HTTP Apache.
Conseil
2 Avertissement
Il existe, pour chaque abonnement, des limites de quota qui peuvent avoir un
impact sur la création de machines virtuelles. Si vous atteignez ces limites de
quota, vous pouvez ouvrir une demande de service client en ligne pour
augmenter vos limites.
Tâches de calcul lourdes : Convient pour les serveurs web au trafic Fsv2, Fs, F
moyen, les appliances réseau, les processus de traitement par lots et
les serveurs d’applications.
Utilisation importante de la mémoire : Convient pour les serveurs Esv3, Ev3, M, GS,
de bases de données relationnelles, les caches de taille moyenne à G, DSv2, Dv2
grande ainsi que l’analytique en mémoire.
Conseil
Azure utilise des disques durs virtuels (VHD) qui représentent les disques physiques
pour la machine virtuelle. Les disques durs virtuels répliquent le format logique et les
données d’un lecteur de disque, mais ils sont stockés sous la forme d’objets blob de
pages dans un compte de Stockage Azure. Vous pouvez choisir pour chaque disque
le type de stockage qu’il doit utiliser (SSD ou HDD). Cela vous permet de contrôler
les performances de chaque disque, probablement en fonction des E/S que vous
prévoyez d’effectuer dessus.
Par défaut, deux VHD (disques durs virtuels) sont créés pour votre machine virtuelle
Linux :
2 Avertissement
Le disque temporaire n’est pas persistant. Vous devez écrire sur ce disque
uniquement des données qui ne sont pas essentielles au système.
Vous pouvez stocker les données sur le lecteur principal, avec le système
d’exploitation, mais une meilleure approche consiste à créer des disques de données
dédiés. Vous pouvez créer des disques supplémentaires et les attacher à la machine
virtuelle. Chaque disque peut contenir jusqu’à 32 767 Gibioctets (Gio) de données, la
quantité maximale de stockage étant déterminée par la taille de machine virtuelle
que vous sélectionnez.
7 Notes
Les tailles de disque virtuel Azure sont mesurées en Gibioctets (Gio), qui
diffèrent des gigaoctets (Go) ; un Gio représente environ 1,074 Go. Ainsi, pour
obtenir un équivalent approximatif de la taille de votre disque virtuel en Go,
multipliez la taille en Gio par 1,074 ; la taille en Go obtenue est relativement
proche. Par exemple, 32 767 Gio représentent approximativement 35 183 Go.
La création d’une image de disque dur virtuel à partir d’un disque réel est une
fonctionnalité intéressante. Cela vous permet de migrer facilement des informations
existantes d’un ordinateur local vers le cloud.
Avec les disques non managés, vous êtes responsable des comptes de stockage qui
sont utilisés pour contenir les disques durs virtuels correspondant aux disques de
votre machine virtuelle. Vous payez le tarif de compte de stockage correspondant à
la quantité d’espace que vous utilisez. Un compte de stockage a une limite fixe de
20 000 opérations d’E/S par seconde. Cela signifie qu’un compte de stockage est
capable de prendre en charge 40 disques durs virtuels standard en utilisation
maximale. Si vous voulez effectuer une montée en charge, vous aurez besoin de
plusieurs comptes de stockage, ce qui peut devenir compliqué.
Fiabilité accrue : Azure garantit que les disques durs virtuels associés aux
machines virtuelles à haute fiabilité sont placés dans différentes parties du
Stockage Azure pour fournir des niveaux de résilience similaires.
Sécurité accrue : Les disques managés sont des ressources managées réelles
dans le groupe de ressources. Cela signifie qu’ils peuvent utiliser le contrôle
d’accès en fonction du rôle (RBAC) pour restreindre le nombre de personnes
autorisées à se servir des données des VHD.
Prise en charge des instantanés : Vous pouvez utiliser des instantanés pour
créer une copie en lecture seule d’un VHD (disque dur virtuel). Vous devez
arrêter la machine virtuelle propriétaire, mais la création de l’instantané ne
prend que quelques secondes. Une fois que vous avez terminé, vous pouvez
mettre la machine virtuelle sous tension et utiliser l’instantané afin de créer un
double de la machine virtuelle pour résoudre un problème de production ou
restaurer la machine virtuelle au moment où l’instantané a été pris.
Prise en charge des sauvegardes : Vous pouvez sauvegarder
automatiquement les disques managés dans des régions distinctes pour
effectuer une reprise d’activité avec Sauvegarde Azure, sans affecter le service
de la machine virtuelle.
Communication réseau
Les machines virtuelles communiquent avec les ressources externes à l’aide d’un
réseau virtuel. Le réseau virtuel représente un réseau privé dans une région, sur
lequel vos ressources communiquent. Il s’apparente aux réseaux que vous gérez
localement. Vous pouvez diviser un réseau virtuel en sous-réseaux pour isoler les
ressources, le connecter à d’autres réseaux (notamment vos réseaux locaux) et
appliquer des règles de trafic afin de régir les connexions entrantes et sortantes.
Quand vous créez une machine virtuelle, vous avez la possibilité de créer un réseau
virtuel ou d’utiliser un réseau virtuel existant dans votre région.
La création du réseau en même temps que la machine virtuelle par Azure est simple,
mais probablement pas idéale pour la plupart des scénarios. Il est préférable de
planifier vos exigences réseau dès le début pour tous les composants de votre
architecture et de créer la structure de réseau virtuel séparément. Créez ensuite les
machines virtuelles et placez-les dans les réseaux virtuels déjà créés. Nous
examinerons les réseaux virtuels plus en détail plus loin dans ce module.
Avant de créer une machine virtuelle, nous devons décider comment nous allons
l’administrer. Voyons un peu les options qui s’offrent à nous.
Continuer T
" 100 XP
Vous avez créé une machine virtuelle Linux dans Azure. La prochaine étape est de la
configurer pour les tâches que nous voulons déplacer vers Azure.
Sauf si vous avez configuré un VPN de site à site vers Azure, vos machines virtuelles
Azure ne sont pas accessibles à partir de votre réseau local. Si vous faites vos
premiers pas avec Azure, il est peu probable que vous ayez un VPN de site à site
opérationnel. Alors comment faire pour se connecter à la machine virtuelle ?
Par défaut, les adresses IP publiques dans Azure sont allouées dynamiquement. Cela
signifie que l’adresse IP peut changer au fil du temps : pour les machines virtuelles,
l’affectation de l’adresse IP est effectuée au redémarrage. Vous pouvez payer
davantage pour attribuer des adresses statiques si vous voulez vous connecter
directement à une adresse IP et avoir la garantie que cette adresse ne changera pas.
En acceptant ces restrictions et les alternatives décrites ci-dessus, nous allons utiliser
l’adresse IP publique de la machine virtuelle dans ce module.
Auparavant, vous avez généré une paire de clés SSH, vous avez ajouté la clé publique
à la configuration de la machine virtuelle et vous avez vérifié que le port 22 était
ouvert.
Dans l’unité suivante, vous utilisez ces informations pour ouvrir un terminal sécurisé
sur la machine virtuelle avec SSH.
Une fois le terminal ouvert, vous avez accès à tous les outils en ligne de commande
Linux standard.
Continuer T
" 100 XP
Vous avez créé une machine virtuelle Linux dans Azure. La prochaine étape est de la
configurer pour les tâches que nous voulons déplacer vers Azure.
Sauf si vous avez configuré un VPN de site à site vers Azure, vos machines virtuelles
Azure ne sont pas accessibles à partir de votre réseau local. Si vous faites vos
premiers pas avec Azure, il est peu probable que vous ayez un VPN de site à site
opérationnel. Alors comment faire pour se connecter à la machine virtuelle ?
Par défaut, les adresses IP publiques dans Azure sont allouées dynamiquement. Cela
signifie que l’adresse IP peut changer au fil du temps : pour les machines virtuelles,
l’affectation de l’adresse IP est effectuée au redémarrage. Vous pouvez payer
davantage pour attribuer des adresses statiques si vous voulez vous connecter
directement à une adresse IP et avoir la garantie que cette adresse ne changera pas.
En acceptant ces restrictions et les alternatives décrites ci-dessus, nous allons utiliser
l’adresse IP publique de la machine virtuelle dans ce module.
Auparavant, vous avez généré une paire de clés SSH, vous avez ajouté la clé publique
à la configuration de la machine virtuelle et vous avez vérifié que le port 22 était
ouvert.
Dans l’unité suivante, vous utilisez ces informations pour ouvrir un terminal sécurisé
sur la machine virtuelle avec SSH.
Une fois le terminal ouvert, vous avez accès à tous les outils en ligne de commande
Linux standard.
Continuer T
" 100 XP
Notre serveur est en cours d’exécution et Apache est installé et retourne des pages.
Notre équipe de sécurité nous demande de verrouiller tous nos serveurs, et nous
n’avons encore rien fait à cette machine virtuelle. Nous n’avons rien fait et cela a
permis à Apache d’écouter le port 80. Examinons la configuration réseau Azure pour
voir comment utiliser la prise en charge de la sécurité intégrée afin de renforcer
notre serveur.
Les applications peuvent effectuer des requêtes sortantes, mais le seul trafic entrant
autorisé provient du réseau virtuel (par exemple, d’autres ressources sur le même
réseau local) et d’Azure Load Balancer (vérifications par sondage).
2. Créer une règle de trafic entrant autorisant le trafic sur les ports dont vous avez
besoin.
Les réseaux virtuels fournissent une isolation et une protection, et constituent la base
du modèle de gestion réseau Azure. Les groupes de sécurité réseau (NSG, Network
Security Groups) sont le principal outil que vous utilisez pour appliquer et contrôler
les règles de trafic réseau au niveau de la gestion réseau. Ils constituent une couche
de sécurité facultative qui fournit un pare-feu logiciel en filtrant le trafic entrant et
sortant sur le réseau virtuel.
Les groupes de sécurité peuvent être associés à une interface réseau (pour des règles
par hôte), à un sous-réseau sur le réseau virtuel (pour s’appliquer à plusieurs
ressources), ou aux deux niveaux.
Les NSG utilisent des règles pour autoriser ou refuser le trafic sur le réseau. Chaque
règle identifie les adresses source et de destination (ou la plage d’adresses), le
protocole, le port (ou plage), la direction (entrant ou sortant), une priorité numérique,
et s’il faut autoriser ou refuser le trafic qui correspond à la règle.
Chaque groupe de sécurité dispose d’un ensemble de règles de sécurité par défaut
permettant d’appliquer les règles de réseau par défaut décrites ci-dessus. Ces règles
par défaut ne peuvent pas être modifiées, mais peuvent être remplacées.
Pour le trafic entrant, Azure traite le groupe de sécurité associé au sous-réseau, puis
le groupe de sécurité appliqué à l’interface réseau. Le trafic sortant est géré dans
l’ordre inverse (l’interface réseau tout d’abord, suivie du sous-réseau).
2 Avertissement
N’oubliez pas que les groupes de sécurité sont facultatifs à ces deux niveaux. Si
aucun groupe de sécurité n’est appliqué, tout le trafic est autorisé par Azure.
Si la machine virtuelle a une adresse IP publique, cela peut constituer un risque
sérieux, en particulier si le système d’exploitation ne fournit pas de pare-feu
intégré.
Les règles sont évaluées par ordre de priorité, en commençant par la règle à la
priorité la plus basse. Les règles de refus arrêtent toujours l’évaluation. Par
exemple, si une règle d’interface réseau bloque une requête sortante, les règles
appliquées au sous-réseau ne seront pas vérifiées. Pour que le trafic traverse le
groupe de sécurité, il doit traverser tous les groupes appliqués.
La dernière règle est toujours une règle Refuser tout. Il s’agit d’une règle par défaut
ajoutée à chaque groupe de sécurité pour le trafic entrant et sortant avec une
priorité de 65 500. Cela signifie que pour que le trafic traverse le groupe de sécurité,
vous devez avoir une règle d’autorisation, sinon la règle par défaut finale le bloquera.
7 Notes
Continuer T