Ce n’est pas la première fois qu’Azure Automanage est abordé. Mais quelques changements récents sur la configuration des machines nécessitent une mise à jour
Configuration de machine d’Azure Automanage
Plus spécifiquement sur la fonctionnalité Azure Automanage Machine Configuration.
Auparavant, gérer la configuration et la conformité de ses machines se faisait de plusieurs façons. Par des scripts Powershell ou des outils d’automatisation tierce comme Ansible ou d’autres outils. Ou de manière native Azure au travers d’Azure Automation et de sa solution State configuration (DSC).
Avec l’arrivée d’Azure Automanage Machine Configuration, est-on en face d’un simple changement d’outillage ou d’un habillage cosmétique ? La réponse est résolument non, c’est beaucoup plus que cela.
Un changement de philosophie
C’est un vrai changement de philosophie. Le passage d’un modèle d’opérations, d’actions d’exploitation et de maintien en condition opérationnelle à un modèle de gouvernance de la conformité.
Dans sa documentation, l’éditeur Microsoft décrit les grands concepts du Cloud Azure dans son Azure Well-Architected Framework. Ce sont 5 piliers « d’excellence architecturale ».
Fiabilité, Sécurité, Excellence opérationnelle, Optimisation des coûts et Efficacité des performances. La configuration des machines, c’est … un peu de tout ça finalement. Une grosse part de ce qui fait l’excellence opérationnelle, mais également une petite part des autres piliers.
Partons maintenant à la découverte de cette nouvelle façon de faire, de cette nouvelle philosophie.
Quelques éléments techniques
La gestion « ancienne » des machines au travers de State Configuration (DSC) est une gestion efficace, centrale et qui donne de très bon résultats. C’est une solution technique qui s’appuie sur un fichier déclaratif. Quels sont les attendus en termes de configuration ?
Les machines qui sortent de cette liste de conformité sont réalignées automatiquement dans un délai très court de 30 minutes. Cerise sur le gâteau, ces machines communiquent avec le service Automation pour consigner leur état et consolider un rapport. Bonne nouvelle, toute cette partie est équivalente avec Azure Automanage Machine Configuration. On ne repart pas de zéro !
Mais, on quitte la stricte exploitation des ressources pour une gouvernance de la ressource. Les mises à jour ne sont plus pilotées par un service State Configuration (DSC) mais par les stratégies Azure !
Et cela change beaucoup de choses. On remarque au passage que l’agent de machine va être remplacé par un nouvel agent.
Le plus intéressant dans cette nouvelle solution, c’est vraiment de s’appuyer sur les stratégies. Ce qui donne une souplesse incroyable et permet de faire des choses qui n‘étaient pas possibles avec DSC. S’il y a 4 choses essentielles et importantes à retenir dans ce nouveau mode de gestion, ce sont :
- La capacité à traiter plusieurs fichiers de configuration : C’est une nouveauté, la machine est gérée par stratégie(s), elle peut être l’objet de nombreuses stratégies, dont des stratégies de configuration. Les différentes stratégies sont évaluées de manière séquentielle. Puis, elles sont appliquées si nécessaire.
- La capacité à mixer les effets de la configuration (Audit ou remédiation) : Cette nouvelle possibilité couvre les besoins d’audit et de remédiation pour une même machine. Certains points sont corrigés, d’autres audités uniquement. Dans ce scénario, il va être intéressant de pouvoir remédier tout en auditant. C’est un peu un scénario de déploiement continu des configurations. Les ajouts de nouvelles configurations se font en mode audit parallèlement aux remédiations en cours et permettent d’estimer la charge des remédiations à venir. Si l’audit remonte trop de différences, il sera intéressant de ne pas « basculer » du mode audit en mode correction en l’état. Mais plutôt d’ajouter petit à petit les nouvelles corrections en répartissant les points dans différentes stratégies. C’est une précaution élémentaire.
- La possibilité de s’appuyer nativement sur les étiquettes (tags) de la ressource : Cela va ajouter beaucoup plus de finesse à l’étendue d’application de la ou les stratégies. C’est bien de gouvernance fine dont il est question. Utiliser les tags sur Azure, c’est amplifier sa gouvernance. C’est se donner le moyen de combiner plusieurs « états » d’une ressource. Le terme état est utilisé ici pour parler des différences qu’il peut y avoir entre différents tags appliqués à différents types de machines par exemple. On traitera différemment un serveur applicatif et un serveur d’authentification. Ou un serveur exposé à internet d’un serveur dans une DMZ.
- Une meilleure intégration des machines Linux, et c’est une très bonne nouvelle ! C’est donc tout ce qui fait la puissance de DSC bonifiée par l’utilisation de la gouvernance au travers des stratégies.
La mise en place
Comme expliqué plus haut, il va être possible de réutiliser une grande partie de l’existant en lui donnant encore plus de valeur.
Les configurations compilées précédemment pour DSC sont utilisées et sont préparées sous la forme de Packages. C’est un nouveau module Powershell qui est utilisé pour ce besoin, GuestConfiguration. Ces packages sont mis à disposition sur un emplacement central, par exemple, un compte de stockage Azure. Les commandes de préparation des stratégies Azure créent un nouveau fichier de définition de stratégies, sur le même modèle que ce qui existe déjà, c’est-à-dire :
– Une règle pour cibler le type de ressources
– Un effet (audit / correction même si ce point est très légèrement différent)
– Un compte ayant les droits de correction si la stratégies doit aligner la machine.
Seul spécifique à AutoManage, le fichier donne le chemin vers le fichier de définition de la conformité.
En clair, les points de configuration ne sont pas intégrés dans la stratégie, mais sont référencés dans un emplacement externe, comme un compte de stockage. Ce sont les champs en jaune sur l‘extrait de code ci-dessus.
Puis, ces stratégies sont assignées aux ressources et sont consommées comme toute les autres stratégies. On retrouve un rapport de conformité dans la console des stratégies Azure, mais on retrouve également un rapport détaillé avec une conformité pour chacun des points de la configuration.
Incontournable donc !
Le meilleur de DSC couplé à la puissance des stratégies Azure. S’il n’y a qu’un sujet cette année 2023 pour améliorer l’exploitabilité de votre IaaS, ce sera certainement celui-là.
Pour résumer, un rappel des points importants
- Automanage Machine Configuration est un gage d’excellence opérationnelle.
- La gestion par stratégies Azure autorise de très nombreuses combinaisons comme la possibilité d’utiliser plusieurs configurations et d‘activer en même temps un mode audit.
- Les anciennes configurations DSC sont une excellente base de départ pour construire la solution.
Smart DSI N°30
Téléchargez cette ressource
Guide Adobe Firefly, l’IA générative dédiée aux équipes créatives
Depuis plus d’une décennie, Adobe exploite l’intelligence artificielle (IA) pour proposer des solutions toujours plus performantes et innovantes aux équipes créatives. Comment le nouveau moteur d’IA générative Adobe Firefly permet-il aux entreprises de développer leurs capacités créatives et de tirer, dès à présent, tout le profit de l'IA générative ?
Les articles les plus consultés
- Migration de VMware à Hyper-V sans effort
- Une stratégie de sécurité adaptée pour migrer vers le Cloud
- Quels sont les bénéfices d’une stratégie multi-Cloud ?
- Le Cloud : une accélération depuis la crise du Covid-19
- L’Azure Lab Experience du 5 juin 2018 adressera la synchronisation de vos serveurs de fichiers dans le Cloud