Global Azure Bootcamp Paris 2018 - Gouvernance Azure

1. Benoît SAUTIERE
Gouvernance Azure,
Comment éviter les problèmes

2. www.azug.fr
© 2018 AZUG FR. All Rights Reserved.
Me
• Benoît SAUTIERE
• MVP Cloud & Datacenter
• Blog : https://danstoncloud.com/simplebydesign
• Twitter : https://twitter.com/BenoitSautiere
• Mon parcours : de serveurs à sécurité puis datacenters et enfin Azure
• Mes passions : PowerShell Addict, Azure Fanboy, le réseau, c’est la vie
• Une phrase : Simple by design but Business compliant

3. www.azug.fr
© 2018 AZUG FR. All Rights Reserved.
3
Sommaire
• Définir la gouvernance
• Sondage Gouvernance Azure
• Noeud du problème
• Le bon usage des tags
• La maîtrise des coûts
• Apporter une solution élégante (PowerShell qui pique)

4. www.azug.fr
© 2018 AZUG FR. All Rights Reserved.
4
Définir la gouvernance
• Prouver à nos interlocuteurs que tout est sous contrôle sur les
aspects :
• Technique
• Budgétaire
• Sécurité
• Dans le cloud, c’est le challenge : Comment conserver le contrôle sans
perdre l’agilité

5. 5
Sondage “Gouvernance Azure”
Question n°1 : Qui créé les groupes de ressources chez vous?
• Réponse A : Le propriétaire /responsable de la souscription
• Réponse B : Le demandeur du groupe de ressources
• Réponse C : Le gagnant au 421
• Réponse D : 42!
Question n°2 : Qui positionne les rôles sur les groupes de
ressources nouvellement créés?
• Réponse A : Le propriétaire / responsable de la souscription
• Réponse B : Le demandeur du groupe de ressources
• Réponse C : Owner what else?
• Réponse D : Attend que ca fonctionne
Question n°3 : Qui positionne les tags sur les groupes de ressources
nouvellement créés?
• Réponse A : Le propriétaire / responsable de la souscription
• Réponse B : Le demandeur du groupe de ressources
• Réponse C : On verra qui paie plus tard
• Réponse D : Le tagger avec sa bombe
Question n°4 : Qui s'assure que toutes les ressources au sein des
groupes de ressources ont bien les mêmes tags?
• Réponse A : Le propriétaire / responsable de la souscription
• Réponse B : Le demandeur du groupe de ressources
• Réponse C : Touche pas à mes ressources
• Réponse D : Par héritage du groupe de ressources?
Question n°5 : Qui s'assure du bon respect de la charte de
nommage des ressources?
• Réponse A : Le propriétaire / responsable de la souscription
• Réponse B : Le demandeur du groupe de ressources
• Réponse C : Mes ressources, mes règles
• Réponse D : Yoda
Question n°6 : Quel rôle permet de créer un groupe de ressources ?
Question n°7 : A quel niveau positionner ce rôle ?

6. 6
Sondage “Gouvernance Azure”
• Résultats
• Majorité de A : Contrôle centralisateur à l’extrème
• Majorité de B : Délégation à l’extrème
• Le dilemme de la gouvernance
Contrôle
Agilité

7. 7
Noeud du problème : Le portail
• Le portail est imaginatif
• Solution : Automatiser, un chemin pas un automatisme par défaut
OS Disk
Data Disk
Network
OS Disk
Data Disk
OS Disk
Data Disk
Network
Network
ACL
ACL
ACL

8. 8
Noeud du problème : Le portail
• You fail!
• Resource provider rule!
• Portal is your enemy
• Raisons?
• Contraintes différentes selon les ressources
• Certaines sont historiques (NETBIOS, …)
• L’unicité du nom dans le groupe de ressource
• L’unicité du nom n’est pas garantie dans les zones DNS publiques Azure
• My Tips
• Chercher la simplicité / court
• Inutile de préfixer par le groupe de ressources
• Externaliser les informations dans les Tags
• Accepter un nommage aléatoire pour les noms DNS publics (Custom Domains, Azure DNS)

9. 9
Le bon usage des tags
• Imposez vos tags
• ARM, Terraform, …
• Ma wish-list :
• DisplayName
• Application
• CostCenter
• Owner
• Environment
• InfraAsCode

10. 10
Le bon usage des tags
• Imposez vos tags avec Azure Policy
• Avec tacte
• Mais fermeté
• Granularité de la reaction
• Audit
• Deny
• Append

11. 11
Exemple d’usage : Azure Backup
• Introduction du Tag “Backup” pour les resources Virtual machines
• Deux valeurs acceptées : YES/NO
• NO Tag : Mail de notification pour Owner
• Mise en oeuvre : Azure Automation
• Scheduled Runbook
• SKU Free : 500 minutes de scripts / mois gratuites

12. 12
Exemple d’usage : Arrêt des
environnements
• Utilisation des tags pour :
• Organiser l’arrêt des environnements de développement
• Organiser le redémarrage des environnements de développement
• Arrêter les VM non utilisées
• Solution “Start/Stop VMs during off-hours solution (preview) in Azure
Automation”
• En preview : https://docs.microsoft.com/en-
us/azure/automation/automation-solution-vm-management

13. 13
La maîtrise des coûts
• Le truc à pas louper avec le DAF
• Spending limit
• Dans un EA : la courbe du crédit

14. 14
La maîtrise des coûts
• Prouver notre capacité à anticiper
• Propositions :
• Quotas
• Azure Policy
• La Solution : Azure Policy
• Imposer les tags (Mode append)
• Imposer des tags Mandatory (mode Deny)
• Clairement exprimer les ressources / SKU interdites
• Imposer les regions / SKU autorisées

15. 15
La maîtrise des coûts
• Tout n’est pas consummation Azure

16. 16
Cost Management for Azure
• Issu du rachat de CloudDyn en 2017
• Capacité natives gratuites(pour les souscriptions Azure)
• Génération de rapports
• Catégorisation des ressources avec des Tags
• Mise en place & suivi de budgets de consummation
• Notification sur alertes
• Recommandation sur seuils de consommation
• Fonctionnalités Premium (Juin 2018)
• Cost Markup
• Intégration charges / budgets externes
• Personnalisationn des seuils de recommendation
• Recatégorisation des coûts avec des Meta-Tags

17. 17
Cost Management for Azure
• Issu du rachat de CloudDyn en 2017

18. 18
Cost Management for Azure
• Evaluer le Reservation Break-event point
Pas encore rentable Rentable

19. 19
Apporter une solution élégante
• Dilemme : Qui doit créer le groupe de ressources?
• Responsable de la souscription
• Demandeur des ressources
• Réponse : API : Ressource group as a Service
• Challenges :
• Contrôle sans sacrifier l’équilibre
• Simple by design
• But Business compliant
Souscription
Azure Dev
Azure
Function
Souscription
Azure tests
Credentials
Azure AD Identity
Oauth2
authentication
Azure Tables
Azure
Active Directory
Souscription
Azure Prod
API
Consummer
Souscription
magique

20. 20
Apporter une solution élégante
• Plusieurs API en fait :
• Quelles souscriptions accessible pour quel demandeur?
• Quels environnement accessibles (Tags)?
• Quels costs-center utilisables?
Get-
AuthorizedSubscrip
tion
Credentials
Azure AD Identity
Oauth2
authentication
AuthorizedCallersAPI
Consummer
Suis-je autorisé?
ValetgetForAzureTable
Azure Table Secrets
SAS Key
Get-
AuthorizedEnviron
ments
Credentials
Azure AD Identity
Oauth2
authentication
AuthorizedEnviro
nments
API
Consummer
Suis-je autorisé?
ValetgetForAzureTable
Azure Table Secrets
SAS Key
Get-
AuthorizedCostCen
ter
Credentials
Azure AD Identity
Oauth2
authentication
AuthorizedCostCe
nter
API
Consummer
Suis-je autorisé?
ValetgetForAzureTable
Azure Table Secrets
SAS Key

21. 21
Apporter une solution élégante
• Maintenant l’API magique
• Avec du PowerShell
Credentials
Azure
Active Directory
Subscription Secrets
Request SAS
Azure Table Secrets
Authenticate as Service Principal
Create Resource Group
Souscription
Azure Prod
Souscription
Azure Dev
Souscription
Azure tests
Request-
ResourceGroup
ValetgetForAzureTable
Assign Mandatory tags
Assign optional tags
Assign Roles
Assign Policies
Resource
group

22. 22
Merci à nos sponsors
PLATINUM
LOCAUX
PARTENAIRES MEDIA

23. 23
Sponsors internationaux

24. www.azug.fr
© 2018 AZUG FR. All Rights Reserved.
24
Nous suivre
Facebook
facebook.com/groups/azugfr/
Twitter
twitter.com/AZUGFR
Meetup
meetup.com/AZUG-FR/
LinkedIn
https://www.linkedin.com/groups/8315615
Web
www.azug.fr

25. Merci
d’être venus
A bientôt !