SlideShare une entreprise Scribd logo
Azure à grande échelle avec
PowerShell
Comment gérer 300 souscriptions avec Powershell
https://twitter.com/BenoitSautiere
#PSSATPARIS2019
Bio
#PSSATPARIS2019
21 ans d’expérience
Culture dev à la base, j’ai rapidement migré vers
l’infrastructure, pour aller progressivement des postes de
travail aux serveurs, la messagerie, le Scripting puis la
sécurité.
Mon expertise dans l’industrialisation m’a amené aux Cloud
privés. Depuis quatre ans, j’aide mes clients à adopter les
composants IaaS de la plateforme Microsoft Azure.
Blog : http://bsimplebydesign.azurewebsites.net
https://twitter.com/BenoitSautiere
https://github.com/Benoitsautierecellenza/
Azure at scale
#PSSATPARIS2019
Azure at scale
#PSSATPARIS2019
Historiquement, nous souscriptions ressemblent à ça :
• Reprend la segmentation « On-premises »
• Limité dans la gestion des souscriptions Azure
• Implique de partager l’espace
• Gouvernance dite « Micro-Management »
• Refacturation des usages complexe
Production
subscription
Development
subscription
User
acceptance
subscription
Build
subscription
All teams
Assign role
Assign role
Assign role
Assign role
Azure at scale
#PSSATPARIS2019
Aujourd’hui on « scale » le nombre de souscriptions
• Séparation des populations en équipes / Feature team
• Segmentation par Management Group
• Mise à disposition de souscriptions « Feature »
Objectifs
• Isoler les risques
• Apporter la lisibilité pour la facturation
Root Management Group
BLD
DEV
UAT
PRD
Subscription Subscription Subscription
Subscription Subscription Subscription
Subscription Subscription Subscription
Subscription Subscription Subscription
Product /
feature
team
Product /
feature
team
Product /
feature
team
Hub
subscription
Shared servicesDedicated services
Hub
subscription
Hub
subscription
Hub
subscription
All teams
Azure at scale
#PSSATPARIS2019
La souscription Azure est un produit à industrialiser
• Grand nombre de souscriptions à gérer
• Objectif : Livrer des souscriptions « Under Control »
Outils Azure :
• Policy
• BluePrint
• PowerShell
Gouvernance : BluePrint + Policy + PowerShell
Azure at scale
#PSSATPARIS2019
Cloud Control Factory
• Créer des souscriptions
• Propager des BluePrints
• Gérer le cycle de vie
Azure Blueprint
Root Management Group
BLD
DEV
UAT
PRD
Subscription Subscription Subscription
Subscription Subscription Subscription
Subscription Subscription Subscription
Subscription Subscription Subscription
Custom Role
Deploy
Assign version
Assign version
Assign version Azure
policy
ARM Template
ResourceGroup
Cloud ControlFactory
Repos
Super
Powershell
Script
Powershell job
Pull
Powershell job Powershell job
Secrets
Inject
Inject
Inject
Pull
Pull
Azure at scale
#PSSATPARIS2019
Bien plus compliqué
• BluePrint c’est Preview
• Paralléliser c’est obligatoire
• Implique du Least-Privilege
• Refondre les Built-ins roles
• Interdire l’usage de « Owner »
• Bien scoper les utilisateurs
Azure Blueprint
Custom Role
Azure
policy
ARM Template
ResourceGroup
Cloud ControlFactory
Secrets BLD
Pipeline DEV
DevOps
Pipeline BLD Pipeline UAT Pipeline PRD
Build
Inject
Contexte
Repos
Scripts
Config
Build
Build
Build
Secrets DEV
Secrets UAT
Secrets PRD
Inject
Inject
Contexte
Contexte
Contexte
Pull
Pull
Pull
Pull
Runbooks
Custom Metrics
Alert
On-Premises API
Pre-deploy
Post-
deploy
Pre-assign
Post-assign
Clean-up
Re-assign
Commencer avec Azure Policy/BluePrint
#PSSATPARIS2019
Démonstration
Industrialiser nos souscriptions avec Blueprints et Azure Policy
#PSSATPARIS2019
Contenu démonstration
• Demo PowerShell pour importer une Azure Policy
• Demo PowerShell pour assigner une Azure Policy
• Demo PowerShell pour importer un BluePrint
#PSSATPARIS2019
Challenges
PowerShell oui mais
#PSSATPARIS2019
Challenges
Choix du moteur
• Garantir la conformité dans chaque souscription
• Automation Versus Azure Function
Points attention
• Attention sécurisation Automation
• Durée d’exécution Runbook
• Segmentation des secrets
• Rotation des secrets
• Gestion des erreurs (Completed but failed)
• Get-AzContextAutoSaveSettings
#PSSATPARIS2019
Challenges
Besoin d’un référentiel
• Simple, évolutif, dynamique
• Prenant en charge
• Exceptions
• Overides
Déployer
• Par wave
• Prédéployer
• Unitairement
#PSSATPARIS2019
BLD UAT DEV PROD
Wav
e 1
Wave 2 Wave 3
Challenges
Owner Azure != Global Administrator Azure AD
Isolation Azure AD From Azure because Office 365
• Mais un Global Admin peut devenir Owner de vos souscriptions
• Par défaut tout le monde peut enregistrer son application
Problèmes :
• Multiples applications avec le même nom
• Pas de respect de la charte de nommage
• Risque de secrets en “never expires”
• Tout n’est pas automatisable
#PSSATPARIS2019
Démonstration
Industrialiser nos souscriptions avec Azure Automation
#PSSATPARIS2019
Notre quotidien
• Propager la gouvernance, c’est vous
• Maintenir la gouvernance, c’est vous
• Les services Azure ne sont pas “Secure by design”
• Il faudra abandoner certains services
• Gérer les dépendances entre services
#PSSATPARIS2019
Azure Firewall
Gérer le Data Leakage dans Azure avec du PowerShell
#PSSATPARIS2019
Nos problématiques
• Industrialiser de multiples instances
• Propager plusieurs configurations
• Des règles génériques
• Des règles applicables à un scope (souscription)
• Des règles propres aux services consommés
• L’accès aux ressources
Challenges
• 180 secondes de processing
• Maintient de la cohérence
• Risques de collisions
#PSSATPARIS2019
VNET-NorthEurope
Virtual Machine
Subscription
Storage Account
PIPAFW-NorthEurope
Network Interface
Local Network Gateway
Key Vault
Azure Firewall
NorthEurope
Azure
Azure Firewall West
Europe
VNET-WestEurope
AzureFirewallSubnet
AzureFirewallSubnet
Route Table
Route Table
PIPAFW-WestEurope
DemoAzureFirewall
GatewaySubnet
GatewaySubnet
Local Network Gateway
PIPGWNorthEurope
PIPGWWestEurope
GWWestEurope
GWNorthEurope
Virtual Machine
VMSubnet
VMSubnet
Network Interface
Allow access from
Allow access from
Linked
Linked
Linked
Linked
Linked
Linked
Linked
Linked
Linked
Linked
Linked
Linked
Connection
Connection
Linked
Linked
Storage Account (GRS-RA)
Azure queue
afwnortheu
Azure queue
afwwesteu
Démonstration
Industrialiser la gestion d’Azure Firewall
#PSSATPARIS2019
#PSSATPARIS2019
Merci !
#PSSATPARIS2019

Contenu connexe

Tendances

AWS Paris Summit 2014 - T1 - Services de bases de données
AWS Paris Summit 2014 - T1 - Services de bases de donnéesAWS Paris Summit 2014 - T1 - Services de bases de données
AWS Paris Summit 2014 - T1 - Services de bases de données
Amazon Web Services
 
AWS Summit Paris - Track 1 - Session 1 - Boostez votre activité l'impact de ...
AWS Summit Paris - Track 1 - Session 1 - Boostez votre activité  l'impact de ...AWS Summit Paris - Track 1 - Session 1 - Boostez votre activité  l'impact de ...
AWS Summit Paris - Track 1 - Session 1 - Boostez votre activité l'impact de ...
Amazon Web Services
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
Microsoft Technet France
 
AWS Paris Summit 2014 - T3 - Architecturer avec AWS pour des millions d'util...
AWS Paris Summit 2014 - T3 -  Architecturer avec AWS pour des millions d'util...AWS Paris Summit 2014 - T3 -  Architecturer avec AWS pour des millions d'util...
AWS Paris Summit 2014 - T3 - Architecturer avec AWS pour des millions d'util...
Amazon Web Services
 
Alphorm.com Formation Microsoft Azure: Les Machines Virtuelles
Alphorm.com Formation Microsoft Azure: Les Machines VirtuellesAlphorm.com Formation Microsoft Azure: Les Machines Virtuelles
Alphorm.com Formation Microsoft Azure: Les Machines Virtuelles
Alphorm
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Maxime Rastello
 
AWS Paris Summit 2014 - T2 - Déployer des environnements entreprises hybrides
AWS Paris Summit 2014 - T2 - Déployer des environnements entreprises hybridesAWS Paris Summit 2014 - T2 - Déployer des environnements entreprises hybrides
AWS Paris Summit 2014 - T2 - Déployer des environnements entreprises hybrides
Amazon Web Services
 
Estelle Auberix - La securité dans Azure - Global Azure Bootcamp 2016 Paris
Estelle Auberix - La securité dans Azure - Global Azure Bootcamp 2016 ParisEstelle Auberix - La securité dans Azure - Global Azure Bootcamp 2016 Paris
Estelle Auberix - La securité dans Azure - Global Azure Bootcamp 2016 Paris
AZUG FR
 
Architecture Moderne dans le Cloud en 2018
Architecture Moderne dans le Cloud en 2018Architecture Moderne dans le Cloud en 2018
Architecture Moderne dans le Cloud en 2018
Marius Zaharia
 
AWS Paris Summit 2014 - T3 - Evolution des architectures VPC
AWS Paris Summit 2014 - T3 - Evolution des architectures VPCAWS Paris Summit 2014 - T3 - Evolution des architectures VPC
AWS Paris Summit 2014 - T3 - Evolution des architectures VPC
Amazon Web Services
 
XebiCon'16 : Architecture MicroServices avec Azure par Michel Hubert, CTO de ...
XebiCon'16 : Architecture MicroServices avec Azure par Michel Hubert, CTO de ...XebiCon'16 : Architecture MicroServices avec Azure par Michel Hubert, CTO de ...
XebiCon'16 : Architecture MicroServices avec Azure par Michel Hubert, CTO de ...
Publicis Sapient Engineering
 
4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...
4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...
4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...
Nathalie Richomme
 
Gouvernance Azure - La charte de nommage
Gouvernance Azure - La charte de nommageGouvernance Azure - La charte de nommage
Gouvernance Azure - La charte de nommage
Cellenza
 
AWS Summit Paris - Track 3 - Session 3 - Découvrez Amazon WorkSpaces et WorkS...
AWS Summit Paris - Track 3 - Session 3 - Découvrez Amazon WorkSpaces et WorkS...AWS Summit Paris - Track 3 - Session 3 - Découvrez Amazon WorkSpaces et WorkS...
AWS Summit Paris - Track 3 - Session 3 - Découvrez Amazon WorkSpaces et WorkS...
Amazon Web Services
 
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm
 
AWS Summit Paris - Track 4 - Session 1 - Faites grandir votre business de ser...
AWS Summit Paris - Track 4 - Session 1 - Faites grandir votre business de ser...AWS Summit Paris - Track 4 - Session 1 - Faites grandir votre business de ser...
AWS Summit Paris - Track 4 - Session 1 - Faites grandir votre business de ser...
Amazon Web Services
 
Présentation des services AWS
Présentation des services AWSPrésentation des services AWS
Présentation des services AWS
Julien SIMON
 
Un Voyage dans le Cloud - Dev & Test
Un Voyage dans le Cloud - Dev & Test Un Voyage dans le Cloud - Dev & Test
Un Voyage dans le Cloud - Dev & Test
Amazon Web Services
 
AWS Summit Paris - Track 3 - Session 2 - IoT Partie 2 - Mettez en place l'inf...
AWS Summit Paris - Track 3 - Session 2 - IoT Partie 2 - Mettez en place l'inf...AWS Summit Paris - Track 3 - Session 2 - IoT Partie 2 - Mettez en place l'inf...
AWS Summit Paris - Track 3 - Session 2 - IoT Partie 2 - Mettez en place l'inf...
Amazon Web Services
 
Xebicon architectures microservices azure v1.0
Xebicon   architectures microservices azure v1.0Xebicon   architectures microservices azure v1.0
Xebicon architectures microservices azure v1.0
Michel HUBERT
 

Tendances (20)

AWS Paris Summit 2014 - T1 - Services de bases de données
AWS Paris Summit 2014 - T1 - Services de bases de donnéesAWS Paris Summit 2014 - T1 - Services de bases de données
AWS Paris Summit 2014 - T1 - Services de bases de données
 
AWS Summit Paris - Track 1 - Session 1 - Boostez votre activité l'impact de ...
AWS Summit Paris - Track 1 - Session 1 - Boostez votre activité  l'impact de ...AWS Summit Paris - Track 1 - Session 1 - Boostez votre activité  l'impact de ...
AWS Summit Paris - Track 1 - Session 1 - Boostez votre activité l'impact de ...
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
 
AWS Paris Summit 2014 - T3 - Architecturer avec AWS pour des millions d'util...
AWS Paris Summit 2014 - T3 -  Architecturer avec AWS pour des millions d'util...AWS Paris Summit 2014 - T3 -  Architecturer avec AWS pour des millions d'util...
AWS Paris Summit 2014 - T3 - Architecturer avec AWS pour des millions d'util...
 
Alphorm.com Formation Microsoft Azure: Les Machines Virtuelles
Alphorm.com Formation Microsoft Azure: Les Machines VirtuellesAlphorm.com Formation Microsoft Azure: Les Machines Virtuelles
Alphorm.com Formation Microsoft Azure: Les Machines Virtuelles
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
 
AWS Paris Summit 2014 - T2 - Déployer des environnements entreprises hybrides
AWS Paris Summit 2014 - T2 - Déployer des environnements entreprises hybridesAWS Paris Summit 2014 - T2 - Déployer des environnements entreprises hybrides
AWS Paris Summit 2014 - T2 - Déployer des environnements entreprises hybrides
 
Estelle Auberix - La securité dans Azure - Global Azure Bootcamp 2016 Paris
Estelle Auberix - La securité dans Azure - Global Azure Bootcamp 2016 ParisEstelle Auberix - La securité dans Azure - Global Azure Bootcamp 2016 Paris
Estelle Auberix - La securité dans Azure - Global Azure Bootcamp 2016 Paris
 
Architecture Moderne dans le Cloud en 2018
Architecture Moderne dans le Cloud en 2018Architecture Moderne dans le Cloud en 2018
Architecture Moderne dans le Cloud en 2018
 
AWS Paris Summit 2014 - T3 - Evolution des architectures VPC
AWS Paris Summit 2014 - T3 - Evolution des architectures VPCAWS Paris Summit 2014 - T3 - Evolution des architectures VPC
AWS Paris Summit 2014 - T3 - Evolution des architectures VPC
 
XebiCon'16 : Architecture MicroServices avec Azure par Michel Hubert, CTO de ...
XebiCon'16 : Architecture MicroServices avec Azure par Michel Hubert, CTO de ...XebiCon'16 : Architecture MicroServices avec Azure par Michel Hubert, CTO de ...
XebiCon'16 : Architecture MicroServices avec Azure par Michel Hubert, CTO de ...
 
4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...
4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...
4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...
 
Gouvernance Azure - La charte de nommage
Gouvernance Azure - La charte de nommageGouvernance Azure - La charte de nommage
Gouvernance Azure - La charte de nommage
 
AWS Summit Paris - Track 3 - Session 3 - Découvrez Amazon WorkSpaces et WorkS...
AWS Summit Paris - Track 3 - Session 3 - Découvrez Amazon WorkSpaces et WorkS...AWS Summit Paris - Track 3 - Session 3 - Découvrez Amazon WorkSpaces et WorkS...
AWS Summit Paris - Track 3 - Session 3 - Découvrez Amazon WorkSpaces et WorkS...
 
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
 
AWS Summit Paris - Track 4 - Session 1 - Faites grandir votre business de ser...
AWS Summit Paris - Track 4 - Session 1 - Faites grandir votre business de ser...AWS Summit Paris - Track 4 - Session 1 - Faites grandir votre business de ser...
AWS Summit Paris - Track 4 - Session 1 - Faites grandir votre business de ser...
 
Présentation des services AWS
Présentation des services AWSPrésentation des services AWS
Présentation des services AWS
 
Un Voyage dans le Cloud - Dev & Test
Un Voyage dans le Cloud - Dev & Test Un Voyage dans le Cloud - Dev & Test
Un Voyage dans le Cloud - Dev & Test
 
AWS Summit Paris - Track 3 - Session 2 - IoT Partie 2 - Mettez en place l'inf...
AWS Summit Paris - Track 3 - Session 2 - IoT Partie 2 - Mettez en place l'inf...AWS Summit Paris - Track 3 - Session 2 - IoT Partie 2 - Mettez en place l'inf...
AWS Summit Paris - Track 3 - Session 2 - IoT Partie 2 - Mettez en place l'inf...
 
Xebicon architectures microservices azure v1.0
Xebicon   architectures microservices azure v1.0Xebicon   architectures microservices azure v1.0
Xebicon architectures microservices azure v1.0
 

Similaire à Powershell Saturday - Azure at Scale with PowerShell

Windows Azure Camp du mardi 10 décembre 2013
Windows Azure Camp du mardi 10 décembre 2013Windows Azure Camp du mardi 10 décembre 2013
Windows Azure Camp du mardi 10 décembre 2013Microsoft Technet France
 
Azure Serverless C2S
Azure Serverless C2SAzure Serverless C2S
Azure Serverless C2S
Florian Rousselet
 
Présentation de Microsoft Azure_VERINET.pptx
Présentation de Microsoft Azure_VERINET.pptxPrésentation de Microsoft Azure_VERINET.pptx
Présentation de Microsoft Azure_VERINET.pptx
AbdoulayeSoulama1
 
Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...
Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...
Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...
AZUG FR
 
[GAB2016] La gestion des identités avec Azure - Maxime Rastello
[GAB2016] La gestion des identités avec Azure - Maxime Rastello [GAB2016] La gestion des identités avec Azure - Maxime Rastello
[GAB2016] La gestion des identités avec Azure - Maxime Rastello
Cellenza
 
Commencer le IaaS sur Azure - aOS Tahiti 03-03-2020
Commencer le IaaS sur Azure - aOS Tahiti 03-03-2020Commencer le IaaS sur Azure - aOS Tahiti 03-03-2020
Commencer le IaaS sur Azure - aOS Tahiti 03-03-2020
aOS Community
 
aOS Tahiti Introduction au IaaS avec Mirosoft Azure
aOS Tahiti Introduction au IaaS avec Mirosoft AzureaOS Tahiti Introduction au IaaS avec Mirosoft Azure
aOS Tahiti Introduction au IaaS avec Mirosoft Azure
💻 Sylver SCHORGEN ☕️
 
Architecture Cloud Hybride
Architecture Cloud HybrideArchitecture Cloud Hybride
Architecture Cloud Hybride
Microsoft
 
SQL in the Azure World
SQL in the Azure WorldSQL in the Azure World
SQL in the Azure World
Microsoft Technet France
 
TechDays 2012 - Windows Azure
TechDays 2012 - Windows AzureTechDays 2012 - Windows Azure
TechDays 2012 - Windows Azure
Jason De Oliveira
 
Cycle de vie d'un projet web agile avec TFS 2013, Azure VM et Monaco
Cycle de vie d'un projet web agile avec TFS 2013, Azure VM et MonacoCycle de vie d'un projet web agile avec TFS 2013, Azure VM et Monaco
Cycle de vie d'un projet web agile avec TFS 2013, Azure VM et Monaco
Microsoft
 
"J'ai migré mon SI intégralement en Java dans Windows Azure et je me porte bi...
"J'ai migré mon SI intégralement en Java dans Windows Azure et je me porte bi..."J'ai migré mon SI intégralement en Java dans Windows Azure et je me porte bi...
"J'ai migré mon SI intégralement en Java dans Windows Azure et je me porte bi...
Microsoft
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Microsoft Technet France
 
MSEXP : Monitoring et sécurisation des identités Azure
MSEXP : Monitoring et sécurisation des identités AzureMSEXP : Monitoring et sécurisation des identités Azure
MSEXP : Monitoring et sécurisation des identités Azure
MickaelLOPES91
 
MUG Strasbourg - Azure Active Directory et ses déclinaisons
MUG Strasbourg - Azure Active Directory et ses déclinaisonsMUG Strasbourg - Azure Active Directory et ses déclinaisons
MUG Strasbourg - Azure Active Directory et ses déclinaisons
mugstrasbourg
 
exposer cloud sur le cloud computing et azure
exposer cloud sur le cloud computing et azureexposer cloud sur le cloud computing et azure
exposer cloud sur le cloud computing et azure
gaetan FOKOM
 
TechDays 2014 : retour d'expérience Kompass migration Java dans Azure
TechDays 2014 : retour d'expérience Kompass migration Java dans AzureTechDays 2014 : retour d'expérience Kompass migration Java dans Azure
TechDays 2014 : retour d'expérience Kompass migration Java dans AzureThomas Conté
 
Expérience pratique de développement Azure
Expérience pratique de développement AzureExpérience pratique de développement Azure
Expérience pratique de développement Azure
Levio
 
Azure Active Directory : on fait le point
Azure Active Directory : on fait le pointAzure Active Directory : on fait le point
Azure Active Directory : on fait le point
Maxime Rastello
 

Similaire à Powershell Saturday - Azure at Scale with PowerShell (20)

Windows Azure Camp du mardi 10 décembre 2013
Windows Azure Camp du mardi 10 décembre 2013Windows Azure Camp du mardi 10 décembre 2013
Windows Azure Camp du mardi 10 décembre 2013
 
Azure Serverless C2S
Azure Serverless C2SAzure Serverless C2S
Azure Serverless C2S
 
Présentation de Microsoft Azure_VERINET.pptx
Présentation de Microsoft Azure_VERINET.pptxPrésentation de Microsoft Azure_VERINET.pptx
Présentation de Microsoft Azure_VERINET.pptx
 
Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...
Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...
Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...
 
[GAB2016] La gestion des identités avec Azure - Maxime Rastello
[GAB2016] La gestion des identités avec Azure - Maxime Rastello [GAB2016] La gestion des identités avec Azure - Maxime Rastello
[GAB2016] La gestion des identités avec Azure - Maxime Rastello
 
Commencer le IaaS sur Azure - aOS Tahiti 03-03-2020
Commencer le IaaS sur Azure - aOS Tahiti 03-03-2020Commencer le IaaS sur Azure - aOS Tahiti 03-03-2020
Commencer le IaaS sur Azure - aOS Tahiti 03-03-2020
 
aOS Tahiti Introduction au IaaS avec Mirosoft Azure
aOS Tahiti Introduction au IaaS avec Mirosoft AzureaOS Tahiti Introduction au IaaS avec Mirosoft Azure
aOS Tahiti Introduction au IaaS avec Mirosoft Azure
 
Architecture Cloud Hybride
Architecture Cloud HybrideArchitecture Cloud Hybride
Architecture Cloud Hybride
 
SQL in the Azure World
SQL in the Azure WorldSQL in the Azure World
SQL in the Azure World
 
TechDays 2012 - Windows Azure
TechDays 2012 - Windows AzureTechDays 2012 - Windows Azure
TechDays 2012 - Windows Azure
 
Cycle de vie d'un projet web agile avec TFS 2013, Azure VM et Monaco
Cycle de vie d'un projet web agile avec TFS 2013, Azure VM et MonacoCycle de vie d'un projet web agile avec TFS 2013, Azure VM et Monaco
Cycle de vie d'un projet web agile avec TFS 2013, Azure VM et Monaco
 
"J'ai migré mon SI intégralement en Java dans Windows Azure et je me porte bi...
"J'ai migré mon SI intégralement en Java dans Windows Azure et je me porte bi..."J'ai migré mon SI intégralement en Java dans Windows Azure et je me porte bi...
"J'ai migré mon SI intégralement en Java dans Windows Azure et je me porte bi...
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
 
MSEXP : Monitoring et sécurisation des identités Azure
MSEXP : Monitoring et sécurisation des identités AzureMSEXP : Monitoring et sécurisation des identités Azure
MSEXP : Monitoring et sécurisation des identités Azure
 
MUG Strasbourg - Azure Active Directory et ses déclinaisons
MUG Strasbourg - Azure Active Directory et ses déclinaisonsMUG Strasbourg - Azure Active Directory et ses déclinaisons
MUG Strasbourg - Azure Active Directory et ses déclinaisons
 
exposer cloud sur le cloud computing et azure
exposer cloud sur le cloud computing et azureexposer cloud sur le cloud computing et azure
exposer cloud sur le cloud computing et azure
 
TechDays 2014 : retour d'expérience Kompass migration Java dans Azure
TechDays 2014 : retour d'expérience Kompass migration Java dans AzureTechDays 2014 : retour d'expérience Kompass migration Java dans Azure
TechDays 2014 : retour d'expérience Kompass migration Java dans Azure
 
Adopter le cloud avec microsoft
Adopter le cloud avec microsoftAdopter le cloud avec microsoft
Adopter le cloud avec microsoft
 
Expérience pratique de développement Azure
Expérience pratique de développement AzureExpérience pratique de développement Azure
Expérience pratique de développement Azure
 
Azure Active Directory : on fait le point
Azure Active Directory : on fait le pointAzure Active Directory : on fait le point
Azure Active Directory : on fait le point
 

Plus de Benoît SAUTIERE

Gouvernance azure - rex du studio Cellenza
Gouvernance azure -  rex du studio CellenzaGouvernance azure -  rex du studio Cellenza
Gouvernance azure - rex du studio Cellenza
Benoît SAUTIERE
 
Gab2018 - PARIS gouvernance azure 1.0
Gab2018 - PARIS  gouvernance azure 1.0Gab2018 - PARIS  gouvernance azure 1.0
Gab2018 - PARIS gouvernance azure 1.0
Benoît SAUTIERE
 
MS Cloud Summit Paris 2017 - Azure Stack
MS Cloud Summit Paris 2017 - Azure StackMS Cloud Summit Paris 2017 - Azure Stack
MS Cloud Summit Paris 2017 - Azure Stack
Benoît SAUTIERE
 
MS Cloud Summit Paris 2017 - Azure Stack
MS Cloud Summit Paris 2017 - Azure StackMS Cloud Summit Paris 2017 - Azure Stack
MS Cloud Summit Paris 2017 - Azure Stack
Benoît SAUTIERE
 
Programme de formation Cloud d'ABC-Systèmes
Programme de formation Cloud d'ABC-SystèmesProgramme de formation Cloud d'ABC-Systèmes
Programme de formation Cloud d'ABC-Systèmes
Benoît SAUTIERE
 
Microsoft experiences 2016 azure stack de l'azure dans votre datacenter 1.0
Microsoft experiences 2016   azure stack  de l'azure dans votre datacenter 1.0Microsoft experiences 2016   azure stack  de l'azure dans votre datacenter 1.0
Microsoft experiences 2016 azure stack de l'azure dans votre datacenter 1.0
Benoît SAUTIERE
 

Plus de Benoît SAUTIERE (6)

Gouvernance azure - rex du studio Cellenza
Gouvernance azure -  rex du studio CellenzaGouvernance azure -  rex du studio Cellenza
Gouvernance azure - rex du studio Cellenza
 
Gab2018 - PARIS gouvernance azure 1.0
Gab2018 - PARIS  gouvernance azure 1.0Gab2018 - PARIS  gouvernance azure 1.0
Gab2018 - PARIS gouvernance azure 1.0
 
MS Cloud Summit Paris 2017 - Azure Stack
MS Cloud Summit Paris 2017 - Azure StackMS Cloud Summit Paris 2017 - Azure Stack
MS Cloud Summit Paris 2017 - Azure Stack
 
MS Cloud Summit Paris 2017 - Azure Stack
MS Cloud Summit Paris 2017 - Azure StackMS Cloud Summit Paris 2017 - Azure Stack
MS Cloud Summit Paris 2017 - Azure Stack
 
Programme de formation Cloud d'ABC-Systèmes
Programme de formation Cloud d'ABC-SystèmesProgramme de formation Cloud d'ABC-Systèmes
Programme de formation Cloud d'ABC-Systèmes
 
Microsoft experiences 2016 azure stack de l'azure dans votre datacenter 1.0
Microsoft experiences 2016   azure stack  de l'azure dans votre datacenter 1.0Microsoft experiences 2016   azure stack  de l'azure dans votre datacenter 1.0
Microsoft experiences 2016 azure stack de l'azure dans votre datacenter 1.0
 

Powershell Saturday - Azure at Scale with PowerShell

  • 1. Azure à grande échelle avec PowerShell Comment gérer 300 souscriptions avec Powershell https://twitter.com/BenoitSautiere #PSSATPARIS2019
  • 2. Bio #PSSATPARIS2019 21 ans d’expérience Culture dev à la base, j’ai rapidement migré vers l’infrastructure, pour aller progressivement des postes de travail aux serveurs, la messagerie, le Scripting puis la sécurité. Mon expertise dans l’industrialisation m’a amené aux Cloud privés. Depuis quatre ans, j’aide mes clients à adopter les composants IaaS de la plateforme Microsoft Azure. Blog : http://bsimplebydesign.azurewebsites.net https://twitter.com/BenoitSautiere https://github.com/Benoitsautierecellenza/
  • 4. Azure at scale #PSSATPARIS2019 Historiquement, nous souscriptions ressemblent à ça : • Reprend la segmentation « On-premises » • Limité dans la gestion des souscriptions Azure • Implique de partager l’espace • Gouvernance dite « Micro-Management » • Refacturation des usages complexe Production subscription Development subscription User acceptance subscription Build subscription All teams Assign role Assign role Assign role Assign role
  • 5. Azure at scale #PSSATPARIS2019 Aujourd’hui on « scale » le nombre de souscriptions • Séparation des populations en équipes / Feature team • Segmentation par Management Group • Mise à disposition de souscriptions « Feature » Objectifs • Isoler les risques • Apporter la lisibilité pour la facturation Root Management Group BLD DEV UAT PRD Subscription Subscription Subscription Subscription Subscription Subscription Subscription Subscription Subscription Subscription Subscription Subscription Product / feature team Product / feature team Product / feature team Hub subscription Shared servicesDedicated services Hub subscription Hub subscription Hub subscription All teams
  • 6. Azure at scale #PSSATPARIS2019 La souscription Azure est un produit à industrialiser • Grand nombre de souscriptions à gérer • Objectif : Livrer des souscriptions « Under Control » Outils Azure : • Policy • BluePrint • PowerShell Gouvernance : BluePrint + Policy + PowerShell
  • 7. Azure at scale #PSSATPARIS2019 Cloud Control Factory • Créer des souscriptions • Propager des BluePrints • Gérer le cycle de vie Azure Blueprint Root Management Group BLD DEV UAT PRD Subscription Subscription Subscription Subscription Subscription Subscription Subscription Subscription Subscription Subscription Subscription Subscription Custom Role Deploy Assign version Assign version Assign version Azure policy ARM Template ResourceGroup Cloud ControlFactory Repos Super Powershell Script Powershell job Pull Powershell job Powershell job Secrets Inject Inject Inject Pull Pull
  • 8. Azure at scale #PSSATPARIS2019 Bien plus compliqué • BluePrint c’est Preview • Paralléliser c’est obligatoire • Implique du Least-Privilege • Refondre les Built-ins roles • Interdire l’usage de « Owner » • Bien scoper les utilisateurs Azure Blueprint Custom Role Azure policy ARM Template ResourceGroup Cloud ControlFactory Secrets BLD Pipeline DEV DevOps Pipeline BLD Pipeline UAT Pipeline PRD Build Inject Contexte Repos Scripts Config Build Build Build Secrets DEV Secrets UAT Secrets PRD Inject Inject Contexte Contexte Contexte Pull Pull Pull Pull Runbooks Custom Metrics Alert On-Premises API Pre-deploy Post- deploy Pre-assign Post-assign Clean-up Re-assign
  • 9. Commencer avec Azure Policy/BluePrint #PSSATPARIS2019
  • 10. Démonstration Industrialiser nos souscriptions avec Blueprints et Azure Policy #PSSATPARIS2019
  • 11. Contenu démonstration • Demo PowerShell pour importer une Azure Policy • Demo PowerShell pour assigner une Azure Policy • Demo PowerShell pour importer un BluePrint #PSSATPARIS2019
  • 13. Challenges Choix du moteur • Garantir la conformité dans chaque souscription • Automation Versus Azure Function Points attention • Attention sécurisation Automation • Durée d’exécution Runbook • Segmentation des secrets • Rotation des secrets • Gestion des erreurs (Completed but failed) • Get-AzContextAutoSaveSettings #PSSATPARIS2019
  • 14. Challenges Besoin d’un référentiel • Simple, évolutif, dynamique • Prenant en charge • Exceptions • Overides Déployer • Par wave • Prédéployer • Unitairement #PSSATPARIS2019 BLD UAT DEV PROD Wav e 1 Wave 2 Wave 3
  • 15. Challenges Owner Azure != Global Administrator Azure AD Isolation Azure AD From Azure because Office 365 • Mais un Global Admin peut devenir Owner de vos souscriptions • Par défaut tout le monde peut enregistrer son application Problèmes : • Multiples applications avec le même nom • Pas de respect de la charte de nommage • Risque de secrets en “never expires” • Tout n’est pas automatisable #PSSATPARIS2019
  • 16. Démonstration Industrialiser nos souscriptions avec Azure Automation #PSSATPARIS2019
  • 17. Notre quotidien • Propager la gouvernance, c’est vous • Maintenir la gouvernance, c’est vous • Les services Azure ne sont pas “Secure by design” • Il faudra abandoner certains services • Gérer les dépendances entre services #PSSATPARIS2019
  • 18. Azure Firewall Gérer le Data Leakage dans Azure avec du PowerShell #PSSATPARIS2019
  • 19. Nos problématiques • Industrialiser de multiples instances • Propager plusieurs configurations • Des règles génériques • Des règles applicables à un scope (souscription) • Des règles propres aux services consommés • L’accès aux ressources Challenges • 180 secondes de processing • Maintient de la cohérence • Risques de collisions #PSSATPARIS2019 VNET-NorthEurope Virtual Machine Subscription Storage Account PIPAFW-NorthEurope Network Interface Local Network Gateway Key Vault Azure Firewall NorthEurope Azure Azure Firewall West Europe VNET-WestEurope AzureFirewallSubnet AzureFirewallSubnet Route Table Route Table PIPAFW-WestEurope DemoAzureFirewall GatewaySubnet GatewaySubnet Local Network Gateway PIPGWNorthEurope PIPGWWestEurope GWWestEurope GWNorthEurope Virtual Machine VMSubnet VMSubnet Network Interface Allow access from Allow access from Linked Linked Linked Linked Linked Linked Linked Linked Linked Linked Linked Linked Connection Connection Linked Linked Storage Account (GRS-RA) Azure queue afwnortheu Azure queue afwwesteu
  • 20. Démonstration Industrialiser la gestion d’Azure Firewall #PSSATPARIS2019