Connectivité entre Azure Stack HCI et Azure Cloud

Nous allons aborder ensemble dans cet article les deux différentes architectures de management de la solution Azure Stack HCI et de la technologie qui se cache derrière cette nouvelle solution hyper-convergée proposée par Microsoft.

Qu’est-ce qu’une infrastructure hyper-convergée ?

L’infrastructure hyper-convergée (HCI) est un système unifié qui va porter les différentes couches qui composent un data center traditionnel. La solution Azure Stack HCI combine dans chaque cluster le stockage, la mémoire, le réseau et le management.

La gestion d’une infrastructure hyper-convergée est très simple car cela ne demande pas d’avoir plusieurs équipes différentes pour chaque composante. La même équipe depuis l’interface de management va gérer le réseau virtualisé, le stockage et les capacités de calcul des machines virtuelles.

L’utilisation de Hyper-convergence peut répondre à différents besoins :

• Mise en place d’un cloud privé : contrôle des coûts et plus de sécurité,
• Mise en place d’un cloud hybride : déploiement d’applications et de machines virtuelles entre les deux mondes,
• Mise en place d’un débordement ou PRA vers le cloud public : réplication de vos machines et applications vers le cloud public pour un plan de reprise d’activité. Un débordement automatique en cas de forte demande de ressources On-Premise.

Azure Stack HCI en mode connecté

La connectivité vers le service Azure est obligatoire au moins une fois par mois pour la déclaration de la licence Azure Stack HCI. Le prix de la licence Azure Stack HCI est au cœur physique au niveau de chaque nœud : 11 euros/ Mois/ cœur physique.

Les flux entre notre infrastructure On-Premise et Azure Public Cloud sont uniquement des flux sortant en HTTPS 443. L’ensemble des données envoyées vers Azure concernent que la consommation des ressources et des cœurs physiques de notre infrastructure. Aucune donnée sensible de nos machines virtuelles ou applications vont être transférées vers Azure sans notre autorisation avec la mise en place d’un service comme Azure Site Recovery ou Azure backup.

Le schéma ci-dessous montre les flux sortants de nos clusters vers Azure (Source : Microsoft ):

À noter qu’il est également possible de mettre en place un proxy en plus de votre firewall périmétrique internet. Certaines fonctionnalités ne supportent pas le mode proxy sur la version actuelle d’Azure Stack HCI.

Azure Stack HCI en mode déconnecté

L’avantage de cette solution proposée par Microsoft est son large spectre à répondre à des besoins clients hybrides mais aussi des clients qui souhaitent une infrastructure On-Premise sans service Azure. La seule obligation dans ce cas est une connexion périodique chaque 30 jours pour la déclaration des licences.

Notre cluster est inscrit, mais qu’il ne s’est pas connecté à Azure depuis plus de 30 jours, pas de panique pour vos applications. Le système n’autorise pas la création ni l’ajout de nouvelles machines virtuelles. Un message d’erreur s’affiche quand vous tentez de créer des machines virtuelles :

« Échec lors de la configuration du rôle de machine virtuelle pour « nom_machine virtuelle ». le travail a échoué. Erreur lors de l’ouverture des rôles en cluster pour « nom_machine virtuelle ». Le service auquel vous accédez a une licence pour un nombre particulier de connexions. Il n’est plus possible d’établir des connexions au service pour le moment, car le nombre maximal de connexions autorisées est déjà atteint.»        

Azure Stack HCI et Azure Arc

Nous avons la possibilité d’activer Azure Arc sur nos serveurs Hyper-V pour venir apporter de nouvelles fonctionnalités existantes sur Azure Ressource Manager (ARM) sur nos clusters. Une amélioration de la gestion et de la supervision de nos clusters Azure Stack HCI est apportée. Azure Arc facilité d’intégration de ressource non-Azure vers notre tenant Azure.

Azure Arc apporte plusieurs avantages surtout pour un usage hybride d’Azure Stack HCI solution :

• Une meilleure organisation de nos ressources en management groups, souscription, ressource groupe et tags,
• Une séparation claire entre nos ressources On-Premise et celles d’Azure cloud,
• Une gestion centralisée des accès au travers de RBAC,
• Une gestion centrale de nos logs avec gestion d’accès basée sur les rôles,
• Intégration native d’Azure Monitor pour la supervision de nos clusters, VMs, SQL server, AKS..etc

En fonction de la ressource et du service, Azure Arc apporte des fonctionnalités supplémentaires comme Microsoft Defender et Microsoft Sentinel pour SQL server ou Azure Policy pour Azure Kubernetes Services.

Mangement Azure Stack HCI depuis Azure Portal

Microsoft propose une extension de Windows Admin Center dans le portail Azure. Nous avons la possibilité de gérer nos clusters AZ-HCI à distance. Cela passe par la gestion du stockage, réseau virtuel, machine virtuelle et plus encore. Cette extension reste en preview au moment où j’écris ces lignes.

On n’a aucunement besoin d’un VPN site-à-site, IP public ou flux entrants, mais uniquement d’une connectivité internet sortante encryptée sous TLS. La sécurisation des transmissions entre Azure et nos clusters est assurée par TLS. On trouve les fonctionnalités suivantes dans cette extension :

• Gestion du système d’exploitation et des mises à jour Microsoft,
• Gestion des mises à jour firmware de notre OEM,
• Mise sous maintenance et dépannage PowerShell,
• Gestion des volumes CSV et des machines virtuelles,
• Gestion des accès dans votre tenant avec Azure Active Directory,
• Et encore ..

Cette fonctionnalité ne nécessite pas d’activation du protocole RDP pour se connecter à nos nœuds HCI.

Management Azure Stack HCI avec WAC

L’option d’installer notre machine virtuelle Windows Admin Center est possible également pour être en capacité pour répondre aux besoins d’infrastructure privée. L’utilisation des services Azure restent optionnels, la seule obligation est la déclaration des licences chaque 30 jours.

On va retrouver les services suivants sur notre WAC On-Premise :

• Alertes et évènements sur notre cluster,
• Liste des serveurs physiques de notre cluster,
• Liste des machines virtuelles,
• Liste des disques de stockage et l’état de santé de ces derniers,
• Liste des volumes disponibles sur le cluster,
• Utilisation totale du CPU, RAM, Stockage sur le cluster,
• Total des opérations d’entrée/sortie du cluster par seconde (IOPS),
• Latence moyenne du cluster en millisecondes,

Conclusion

Microsoft propose aujourd’hui une solution hybride digne de ce nom qui supprime la frontière entre votre cloud Azure et votre infrastructure On-Premise. La plateforme Azure Stack HCI répond très bien à des clients critique niveau sécurité avec ses serveurs certifiés Device Guard et Credendial Guard mais aussi à des clients qui souhaitent étendre leurs clouds On-Premise vers Azure et vice versa.

A très bientôt