Réduction des couts Azure avec les SPOT VM Machines.

Le coût étant une contrainte importante dans l’adoption d’un service cloud comme AZURE.  Microsoft vient d’ajouter une nouvelle option qui va ravir les habitues d’Azure les SPOT VM

Les SPOT VM utilisent la capacité non utilisée dans les Datacenter AZURE et peuvent donc représenter une économie allant jusqu’à 70% par rapport au coût réel d’une machine virtuelle par exemple

Dès qu’Azure a besoin de récupérer toute la capacité, l’infrastructure Azure supprime les machines virtuelles Spot. Les machines virtuelles Spot sont donc appropriées pour les charges de travail capables de gérer les interruptions, comme les travaux de traitement par lots, les environnements de développement et de test, les charges de travail de calcul importantes, entre autres.

Il y a donc pour les Instances SPOT une stratégie d’éviction avec une notification de 30 secondes avant éviction. Vous pouvez même définir le prix maximum que vous êtes prêts à payer

Les machines virtuelles peuvent être supprimées en fonction de la capacité ou du prix maximal que vous avez défini. Pour les machines virtuelles, la stratégie d’éviction est définie sur Libérer. De cette façon, vos machines virtuelles évincées passent à l’état arrêté-libéré, ce qui vous permet de les redéployer ultérieurement. Toutefois, la ré allocation des machines virtuelles Spot dépend de la capacité disponible

Création d’une machine Virtuelle Spot

Une instance Spot se crée exactement comme une instance normale, il y a quelques paramètres à définir

Pour ceux qui aiment les chiffres en regardant le calculateur on réalise que sur une machine de type D2asv4 une économie de 72% par rapport au prix réel et ça c’est sans ‘option Azure Hybrid benefit c’est-à-dire quand vous n’avez pas de licence de produit préalable

On va dire que c’est une bonne opération pour Microsoft et pour les clients.

REDUISEZ VOTRE CONSOMMATION AZURE EN UTILISANT LES INSTANCES RESERVEES

Une des préoccupations de nos clients quand on parle souvent d’AZURE c’est le cout des infrastructures sur le long terme.

En général les clients comprennent et utilisent c’est le modèle PAY AS YOU GO . Aujourd’hui nous allons parler d’une fonctionnalité qui vous permet de réduire considérablement votre consommation AZURE ; Les AZURE RESERVED INSTANCES

Azure Reserved Instances (Azure RI) vous permettent de réduire considérablement votre consommation Azure (jusqu’à 72%) en vous engagement sur 1 ou 3 ans.

Le principe est simple : plus on s’engage dans le temps pour consommer, plus on obtient de remise.

En fonction de la durée d’engagement (1 ou 3 ans), vous pouvez obtenir des remises pouvant atteindre les -72%.

LES SERVICES CONCERNES

Les Azure Reserved Instances ne concernent que les services de type Compute c’est-à-dire :

  • Azure VM
  • Azure SQL Data Warehouse
  • Azure SQL Database
  • App Service
  • Azure Cosmos DB

QUI PEUT ACHETER Les Azure Reserved Instances

Pour pouvoir acheter des instances réservées, vous devez avoir le rôle « Owner /Propriétaire » au niveau Souscription de type :

  • [EA] Enterprise Agreement
  • Microsoft Customer Agreement.

Si vous êtes CSP (Cloud Solution Provider), vous pouvez utiliser soit le Portail Azure ou le Centre Partenaire pour acheter des Réservation Azure.

MODALITES DE PAIEMENT

Vous pouvez payer une réservation à l’avance ou tous les mois. Une même réservation avec paiement initial et avec paiements mensuels au même coût total : vous ne payez pas de frais supplémentaires si vous optez pour le paiement mensuel.

NB : Le paiement mensuel est disponible pour les réservations Azure, et non pour les produits tiers

C’EST QUOI LE GAIN

Simulons a travers un exemple, ce que pourrait gagner un client avec Azure Reservede Instances. Pour cela nous allons utiliser le calculateur AZURE.

Considérons une machine VM de Type B4MS hébergée en Région South Africa West.

Cout : Pay As you go Sans engagement : $216 par mois

Calculons le Prix de cette VM avec un engagement de 3ans

Cout : 88$ mensuel. Ça fait une économie de 128$ mensuel sur 3 ans, ce qui n’est pas du tout négligeable

Vous pouvez meme encore aller plus loin en combinant les Reserved Instances avec le Azure Hybrid benefit

AZURE HYBRID BENEFIT

Azure Hybrid Benefit est une option tarifaire qui vous permet d’étendre vos Licences Windows Server et SQL Server dans le Cloud Azure.

Si vous disposez des licences Windows Server ou SQL Server via contrat SA (Software Assurance) ou équivalent (Licences de type EAS, Abonnement SCE ou Abonnement Open Value), sachez que vous pouvez les réutiliser pour vos machines Azure (Azure VM, Azure SQL, ou SQL Server sur des VMs Azure), et réduire le coût de ces ressources de manière considérable.

Vous économisez généralement jusqu’à 80% quand vous combinez Azure Hybrid Benefit avec les instances réservées (RI) Azure.

Se Connecter a O365 de maniere securisee sans mot de passe avec MS Authenticator

Le MFA Multi Factor authentication est un standard aujourd’hui reconnu dans l’industrie comme étant une bonne pratique contre les attaques cyber criminelles visant l’identité .

Mais nous avons constaté parfois une réticence chez les clients à mettre en place cette bonne pratique à cause de la contrainte de l’authentification supplémentaire.Parfois certains utilisateurs considèrent cela comme une gène .

Aujourd’hui il y a toute une réflexion autour du Passwordless entendez sans mot de passe, qui apparait comme un bon compromis entre sécurité et productivité. notamment avec le standard FIDO 2

Nous allons voir dans cet article comment mettre en œuvre le Passwordless avec MFA à l’aide Microsoft authenticator

Ci-dessous l’ancienne Expérience de connexion avec mot de passe

La etapes de configuration qui vont suivre sont basees sur le document suivant :https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-passwordless-phone

Pour activer l’option MFA sans mot de passe il faut tout d’abord configurer votre tenant pour supporter ce mode d’authentification comme ici bas:

Ces configurations se passent sur le portail Azure. Configuration pas defaut

Activation de la connexion sans mot de passe

Ensuite il faut télécharger l’application MS authenticator à partir du Store Android et suivre les instructions pour configurer votre compte avec l’application.

Voici la nouvelle experience d’authentification sans mot de passe

Etape 1 :  Sur la fenetre de connexion des que vous tapez votre nom utilisateur ,le système demande de vous authentifier en vous proposant de choisir un chiffre

Etape 2 : Le chiffre correspondant apparait dans l’application de votre smartphone

Etape 3:Si tout est OK l’authentification a réussi

Voila nous venons de nous connecter a O365 sans mot passe et sans compromis sur la securite

 

 

 

Difference entre Windows AD (AD DS) et Azure AD (AAD) et Azure AD DS(AADDS)

Avec le développement des solutions Cloud, de nouveaux concepts d’identité sont nés et il n’est pas toujours facile de faire la différence entre les termes : AD DS et Azure AD et AADDS

Nous allons clarifier tout ça dans l’article suivant :

Active Directory aka   ( AD DS ou AD )   désigne le service d’annuaire que vous déployez dans votre centre de données et qui est fourni en natif dans toute nouvelle Installation de Windows Server. Quand on le dit comme ça beaucoup de personnes savent à quoi on se réfère puisque  AD est aujourd’hui un standard en matière de gestion d’identités pour plusieurs organisations

 

Azure Active Directory aka (AAD) est l’offre Identity as a Service de Microsoft propose par Microsoft Azure. AAD est donc un service Cloud mutualise de gestion d’identités et d’accès pour les applications essentiellement WEB hébergées et exécutées dans le Cloud Azure qui peut être étendu a votre Centre de données.

Chaque fois que vous souscrivez à un abonnement O365 vous avez droit à une instance de AAD. tous les objets crées dans votre tenant O365 résident dans votre Instance AAD

Vous avez toute la documentation sur cette couche AAD ici : https://docs.microsoft.com/fr-fr/azure/active-directory/

La différence entre AD DS et AAD

Tout d’abord il faut garder à l’esprit que AAD ne remplace pas AD DS

Listons les fonctionnalités de l’un et de l’autre pour en ressortir les différences :

Quand on parle AD DS on pense à :

  • Forêt /Domaine (Root & Child) Active Directory
  • Contrôleurs de domaine (DC : Domain Controller) hébergés chez vous généralement et sur lesquels vous avez Full Control (qu’ils soient physiques ou virtuels).
  • Service d’annuaire qui a une structure hiérarchique basée sur X.500
  • Annuaire pouvant stocker de multiple type d’objet : utilisateurs, ordinateurs, imprimantes, GPOs, Sites AD, Partages…
  • Annuaire pouvant être interrogé à l’aide du protocole LDAP (Lightweight Directory Access Protocol) ou LDAPS
  • Authentification via Kerberos/NTLM
  • Organisation des objets à l’aide d’OU (Organitional Unit)
  • Configuration des postes clients (Ordinateurs) et utilisateurs à l’aide de GPO (Group Policy Object)
  • Relation d’approbation entre deux ou plusieurs forêt

Alors que AAD quant à lui  est :

  • Un service Cloud (: cela veut dire que Microsoft conçoit, déploie et gère toute l’infrastructure (mutualisée) hébergeant Azure AD. Et vous, en tant que client vous consommez et payer ce service de manière mensuelle
  • Authentifie les utilisateurs aux niveaux des applications hébergées dans Azure ou celles hébergées chez vous OnPrem, via l’utilisation du service Azure AD Application Proxy.
  • L’authentification se fait via Internet : Azure AD s’appuie principalement sur une authentification over Internet (HTTP/80 ou HTTPS/433).
  • L’authentification ne se limite pas aux devices connectés sur le réseau Corporate de l’Entreprise mais plutôt to Any Device (vu que la communication avec un Azure AD se fait à l’aide des protocoles HTTP ou HTTPS, il suffit d’avoir un device connecté à Internet pour pouvoir communiquer avec un Azure AD.
  • Azure AD s’appuie quant à lui sur des protocoles dis « Modern Authentication Protocol » tels que OpenID Conncet /Oauth2 /SAML /WS-FEDERATION (et none Kerberos & NTLM ).
  • Contrairement à un Active Directory, Azure AD peut être interrogé via une interface REST API, appelée AD Graph API
  • Azure AD étant un service Cloud (IDentity-as-a-Service), vous n’avez pas la main sur l’infrastructure hébergeant cette solution IAM, il n’y pas de gestion de GPO possible, la création d’une structure d’OU n’est pas non plus disponible car il s’agit d’une structure Plate (Flat).
  • Azure AD stocke et gère uniquement les objets « Users » et « Groups » : pas de GPO, pas de partage réseau, pas de sites AD…etc
  • La manière dont les objets AD classiques (users, computers, partages, groupes….) sont stockés et gérés est complètement différente entre un AD et Azure AD

Azure AD DS  ou AADDS c’est quoi ?

Azure AD DS c’est votre AD DS géré et déployé par Microsoft dans Azure avec les mêmes caractéristiques listées plus haut pour AD DS mais avec les limitations suivantes :

  • Contrairement à un AD, Azure ADDS ne vous permet pas d’établir/créer de relations d’approbation entre plusieurs instances Azure ADDS.
  • Vous n’avez plus la main sur les comptes « Admins Entreprises » et « Admins du Schéma »
  • Et enfin, l’extension du schéma AD n’est pas possible sur un domaine (Managé) Azure ADDS.

L’une des questions qui revient souvent beaucoup posent souvent la question du scenario d’utilisation de AADDS. Si vous avez des contraintes de sécurité relatives à la réplication de votre AD local vers Azure (vers des DCs hébergés sous forme de VMs Azure), l’offre Azure ADDS peut être une solution à adopter pour créer rapidement une nouvelle forêt dédiée pour Azure, pour authentifier (via Kerberos/NTLM) vos utilisateurs/machines Windows hébergés dans Azure.