Disponible depuis septembre, l’outil de gestion centralisée Azure Arc pour serveurs offre une visibilité sur les services de données Azure, les clusters Kubernetes et les serveurs Windows ou Linux et concrétise le souhait de Microsoft de supporter les architectures de cloud hybride d'entreprise. L’extension d’Azure Resource Manager (ARM) au-delà d’Azure permet à Azure Arc de contribuer à la rationalisation de la gestion des ressources techniques sur site et dans d'autres clouds. Utilisé par une multitude d'outils Azure, le service de gestion ARM est essentiel pour fournir une expérience unifiée à travers des ressources diverses, y compris les machines virtuelles, les applications web ou les entrepôts de données. Introduit en 2014, Azure Resource Manager permet de disposer d’un ensemble de capacités génériques déjà matures pour Arc. En plus des fonctionnalités déjà inclues avec Azure Arc pour serveurs Windows, d'autres fonctionnalités - Azure Arc pour serveurs Linux, Azure Arc pour Kubernetes et les services de données compatibles avec Azure Arc - sont disponibles sous forme d’aperçu.
Azure Arc pour serveurs ajoute plusieurs outils et capacités de gestion et de gouvernance aux serveurs Windows, qu'ils soient hébergés sur des machines physiques ou virtuelles dans un datacenter d'entreprise ou dans un environnement cloud. On ne peut pas dire que les caractéristiques d’Azure Arc soient particulièrement révolutionnaires, mais l'intégration de ces capacités dans Azure peut rendre la gestion plus efficace puisqu’elle réduit le nombre d'outils nécessaires pour traiter une même charge de travail. Le problème de la gestion des mises à jour des serveurs Windows n'a jamais été entièrement résolu. Bien sûr, les services de mise à jour des serveurs Windows (WSUS) sont toujours d'actualité, tout comme Microsoft System Center, mais ils présentent tous deux un niveau de complexité et des exigences en termes de besoins qui les rendent inadaptés aux environnements de petite taille, hautement distribués ou multi-tenants. On trouve aussi de nombreuses plates-formes et services tiers pour gérer les mises à jour du système, mais très souvent, ils sont plus complexes et plus coûteux que ce qu’en attendent de nombreux départements IT.
Une vue d'ensemble de la conformité des mises à jour
La gestion des mises à jour dans Azure Arc pour serveurs permet d’avoir une vue d'ensemble de la conformité des mises à jour, y compris le type de mise à jour et les machines concernées. Outre les fonctions de rapport et de surveillance, l’outil permet de prendre des mesures correctives en programmant le déploiement des mises à jour sur des serveurs individuels, des groupes de serveurs gérés, voire des groupes définis par des balises de métadonnées. Il est même possible de configurer des déploiements de mises à jour de manière récurrente à partir du panneau de gestion des mises à jour. La fonction d'inventaire d'Azure Arc permet de voir instantanément quels serveurs sont surveillés, quels logiciels sont installés sur ces systèmes, quels services sont installés et leur état actuel, et même de vérifier l'existence de fichiers, de dossiers et de clés de registre spécifiques. Le suivi des modifications (Change Management) permet par exemple de surveiller les changements des mêmes points de données et les place dans une vue chronologique, fonctionne main dans la main avec la fonction d’Inventaire (Inventory). Le suivi des modifications monitore lui plusieurs aspects caractéristiques des services, dont leur état actuel, leur mode de démarrage et leur chemin d'accès à l'exécutable. De même, le suivi des changements apportés au logiciel répertorie les modifications apportées au nom, à la version, à l'éditeur et au type de modification.
Azure Monitor peut être utilisé via Azure Arc pour serveurs pour surveiller et alerter sur les performances du système ou visualiser les connexions réseaux actives. Les indicateurs clefs de performance peuvent même être épinglés à un tableau de bord Azure Dashboard afin de surveiller plus étroitement les infrastructures critiques. Le composant le plus puissant d'Azure Arc est sans doute celui des Stratégies (Policies). Azure Policy peut servir à tester les serveurs afin de vérifier leur conformité avec un certain nombre de politiques, y compris des politiques prédéfinies basées sur des listes de contrôle de la conformité industrielle comme HIPAA, NIST, SWIFT et PCI. Chacune de ces politiques peut être utilisée en remplissant une liste de paramètres afin de les adapter à votre environnement, par exemple pour spécifier les membres autorisés du groupe d'administrateurs, les versions minimales requises pour certains logiciels (tels que Java, PHP ou Python) et la version minimale de TLS.
Plusieurs d'étapes d'activation à suivre
Il est également possible de configurer les politiques pour automatiser la remédiation, même si les tâches de remédiation sont limitées à 500 ressources. Il est possible de créer des politiques à partir de zéro ou de les dupliquer en vue d’une plus forte personnalisation. Il est également possible de regrouper les politiques en Initiatives, lesquelles consistent à rassembler plusieurs politiques qui contribuent à un même objectif, par exemple la conformité à une norme particulière. Le processus d’activation d’Azure Arc pour serveurs se fait en plusieurs étapes, la première d’entre elles consistant à sélectionner une région Azure prise en charge, à charge pour Microsoft de rendre cette prise en charge disponible dans d'autres régions. Comme pour tout service Azure, l'idéal est de sélectionner une région dans la même zone géographique que celle où se trouve les autres ressources de votre entreprise.
Avant de pouvoir gérer des serveurs par l'intermédiaire Azure Arc, vous devrez activer deux services Azure existants, disponibles depuis un certain temps déjà : Azure Automation et Azure Log Analytics. Azure Automation permet de réaliser des tâches programmées comme la collecte de données à partir de serveurs surveillés, ou encore l'application de mises à jour, etc. Quant à Azure Log Analytics, il prend les données de vos serveurs et apporte une visibilité sur les besoins clés de l'entreprise, par exemple en termes de gestion des mises à jour, d'inventaire du système, de suivi des modifications et d'évaluation des politiques. Une fois ces services activés, vous pouvez y connecter vos serveurs en utilisant les agents appropriés. Les instructions pour déployer les agents, soit sur des serveurs individuels, soit par des moyens automatisés, sont disponibles dans les services Azure respectifs. Une fois que les agents sont installés, vous pouvez activer les services pour vos serveurs et commencer à collecter des données. Vous pouvez également configurer Azure Automation et Azure Analytics pour activer automatiquement tout nouveau serveur ajouté à votre déploiement.
Zoom sur la tarification
Le plan de contrôle Azure Arc est fourni gratuitement et comprend la gestion des mises à jour, l'automatisation et l'analyse avec Azure Resource Graph, qui permet aux utilisateurs d’explorer la télémétrie provenant des ressources Azure ou Arc. D'autres fonctionnalités ont un coût inhérent. Les Stratégies sont gratuites quand elles sont utilisées sur des ressources Azure, mais quand elles sont utilisées sur des ressources Azure Arc, le coût est, en France, de 5,0598 € par serveur et par mois pour un nombre illimité de politiques. Les fonctionnalités de gestion des changements sont incluses avec le set de fonctionnalités des Stratégies.
Commentaire