Open in app

Sign in

Write

Sign in

Azure Landing Zone - Partie 2

A. Perraudeau
5 min readApr 9, 2024

--

Sommaire

Partie 1 : Introduction
Partie 2 : Groupes d’administration
Partie 3 : Abonnements et groupes de ressources

2 ) Groupes d’administration

Les groupes d’administration vous permettent de gérer l’accès, la stratégie et la conformité de plusieurs abonnements.

Tous les abonnements dans un groupe d’administration héritent automatiquement des conditions appliquées à ce groupe d’administration.

Le nombre de groupes d’administration autorisé en héritage est de maximum 6 et le nom d’un groupe d’administration n’est pas modifiable après sa création.

Les règles de conformités (Azure Policy) critiques sont généralement appliquées sur les groupes d’administration, tel que les régions spécifiques autorisées pour le déploiement.

Microsoft ne recommande pas d’utiliser les groupes d’administration pour les environnements. Cette solution peut engendrer des problèmes de mise en production liée à des différences d’Azure Policy sur les groupes d’administration.

Il est possible de nommer ces groupes d’administration comme on le souhaite, mais la Landing Zone propose des standards.

Il est préconisé d’utiliser les groupes d’administration à des fins d’affectation de stratégie (sécurité, conformité, connectivité, fonctionnalité) plutôt que de facturation ou d’environnement.

Niveau 1

Il est préconisé d’avoir un groupe d’administration avec le nom de l’entreprise sous le Tenant Root Group. Cette stratégie permet de gérer l’achat/revente d’une nouvelle entreprise et l’intégration sur le tenant.

Il sera aussi possible de déplacer une organisation d’abonnement plus simplement.

Le groupe d’administration du niveau 1 Constoso va porter la stratégie commune de l’entreprise Contoso sur votre tenant Azure. Il faut donc éviter de mettre trop de règle « Azure Policy », car cela va impacter l’ensemble des ressources déployées sur le tenant.

Ce groupe permet également d’avoir une vue consolidée de la facturation dans Azure.

Par ailleurs, le groupe racine « Tenant Root Group » n’est pas modifiable, il est alors nécessaire de créer un nouveau groupe d’administration si on souhaite mettre en place une gouvernance.

Niveau 2

Le schéma ci-dessous représente les groupes d’administration au niveau 2 en suivant les préconisations du Cloud Adoption Framework.

Platform

Ce groupe d’administration contient des ressources partagées dans l’environnement Azure : automatisation, connectivité et identité.

Il s’agit d’élément partagé pour plusieurs Landing Zone, par exemple : réseaux, gestion des logs avec Log Analytics, compte de stockage pour faire de l’infrastructure as Code avec Terraform.

Il garantit également que la facturation des ressources communes soit centralisée dans un ensemble d’abonnements de base.

Landing Zone

Il s’agit du groupe parent de l’ensemble des applicatifs. Les applications déployées dans Azure sont regroupées dans des sous-groupes d’administration de ce groupe.

L’objectif de cette organisation est d’isoler les applications dans le Cloud pour faciliter l’ajout et le retrait d’applications sur le long terme.

Des règles de conformités et de sécurités spécifiques pourront facilement être appliquées à une Landing Zone.

Sandbox

Un groupe d’administration bac à sable (sandbox) est préconisé pour que les utilisateurs puissent conduire immédiatement une expérience avec Azure.

Ils peuvent y expérimenter des ressources qui ne sont pas forcément encore autorisées dans des environnements de production.

Le bac à sable (sandbox) fournit une isolation de vos environnements de développement, de test et de production.

Il est possible de définir ce groupe d’administration comme groupe par défaut pour les nouveaux abonnements.

Les abonnements de type Dev/Test et MSDN peuvent être utilisés dans ce groupe d’administration.

Decommissioned

Ce groupe d’administration est dédié pour les zones d’atterrissage en cours d’annulation. Un abonnement est supprimé après une durée de 60 jours, les ressources sont conservées ici en attendant leur suppression définitive.

Des politiques d’extinction de services sont appliquées sur ces abonnements de façon qu’il soit supprimé définitivement après un certain temps.

Niveau 3

Le schéma ci-dessous représente les groupes d’administration au niveau 3 en suivant les préconisations du Cloud Adoption Framework.

Microsoft préconise de ne pas dépasser 4 niveaux pour les groupes d’administration afin d’éviter trop de complexité.

Identity (Platform)

Ce groupe d’administration contient ce qui est lié à l’identité :

  • Azure Domain Controller
  • Service d’authentification d’un tiers

Management (Platform)

Ce groupe d’administration contient les éléments liés à l’administration, la surveillance et la sécurité de la plateforme Azure :

  • Azure Log Analytics : Sortie de logs centralisés des ressources
  • Azure Automation : Tâches planifiées de maintenance sur les VM
  • Scripts IaC de Terraform
  • Dashboard : Tableau de bord partagé pour le suivi

Connectivity

Ce groupe d’administration contient un abonnement dédié auquel sont rattachées les ressources partagées liées au réseau. Dans le cas où une passerelle VPN est mise en place pour connecter votre infrastructure On-premise et Azure, elle devra être déployée dans cet abonnement.

Il contient également les connexions réseaux vers d’autres entreprises qui souhaiteraient connecter leur infrastructure à une application dans une Landing Zone.

La mise en place de firewall (Azure Firewall, Fortinet, Pali Alto Networks) est placée dans ce groupe d’administration.

Il contient aussi les DNS privés. Il garantit que toutes vos ressources réseau de base sont facturées ensemble et isolées des autres charges de travail.

Dans le cas de la mise en place une architecture « Hub & Spoke », le « Hub » (réseau virtuel d’entrée sur votre tenant Azure) sera rattaché à ce groupe d’administration.

Schéma de communication Hub & Spoke

Online (Landing Zone)

Ce groupe concerne les charges de travail qui peuvent nécessiter une connectivité directe à internet entrante/sortante ou pour les charges de travail qui ne nécessitent pas de réseau virtuel.

Il s’agit par exemple d’API ou site web ouvert sur internet sans connexion avec l’infrastructure on-premise.

Le nom des groupes d’administration sous le groupe « Landing Zone » est plus flexible, vous pouvez adapter ce nom en fonction de votre stratégie.

Corp (Landing Zone)

Ce groupe concerne les charges de travail qui nécessitent une connectivité avec le réseau d’entreprise via le Hub dans l’abonnement de connectivité.

>> Partie 3 : Abonnements et groupes de ressources

Azure Landing Zone
Azure
Cloud Adoption Framework
Cloud Adoption
Azure Management Group

--

--

A. Perraudeau
A. Perraudeau

Written by A. Perraudeau

12 Followers
12 Following

Consultant .NET / Azure / Devops chez Cellenza

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams