Vous êtes sur la page 1sur 15

Planifier votre déploiement Azure Files - Learn | M... https://docs.microsoft.com/fr-fr/learn/modules/store...

R Précédente Unité 2 sur 7 S Suivant T

200 XP

Planifier votre déploiement


Azure Files
7 minutes

Le déplacement des fichiers partagés d’une société vers Azure Files dans le cloud
nécessite une analyse des options et un plan pour l’implémentation. Il y a une
décision importante à prendre : comment allez-vous accéder aux fichiers et les
mettre à jour ? Vous pourriez choisir de remplacer vos partages de fichiers SMB
existants par leur équivalent dans Azure Files. L’autre option consiste à configurer
une instance Azure File Sync. L’utilisation d’Azure File Sync offre davantage de
flexibilité dans la façon dont les fichiers sont sécurisés et accessibles.

La société financière vous a donné des instructions quant à ses besoins. Sa


préoccupation principale est qu’elle souhaite réduire l’impact sur les applications,
systèmes et utilisateurs existants. Elle souhaite utiliser un remplacement pour ses
partages SMB existants. Elle prévoit qu’aucune modification de code ne sera requise
pour prendre en charge les données déplacées.

Dans cette unité, vous allez explorer les fonctionnalités offertes par Azure Files et
découvrir les différentes façons d’accéder à vos fichiers. Les données d’une société
doivent être résilientes aux défaillances. Vous allez examiner les différentes options
de redondance et choisir celle qui convient à la société financière. Pour finir, une fois
que vous saurez quelles fonctionnalités Azure Files utiliser, vous créerez un plan de
migration des fichiers existants.

Qu’est-ce qu’Azure Files ?

1 sur 7 27/04/2020 à 16:36


Planifier votre déploiement Azure Files - Learn | M... https://docs.microsoft.com/fr-fr/learn/modules/store...

Avant d’explorer Azure Files, vous devez comprendre que le stockage des partages
de fichiers est un type de données qui peut être contenu dans un compte Stockage
Azure. Plus loin dans cette unité, vous verrez comment les comptes de stockage
fournissent des options pour la résilience des fichiers stockés.

Vous pouvez considérer Azure Files comme un partage de fichiers standard, hébergé
sur Azure, auquel vous pouvez accéder avec le protocole SMB standard. Vous pouvez
monter ou vous connecter à un partage de fichiers Azure Files simultanément sur
tous les principaux systèmes d’exploitation.

Azure Files peut être utilisé pour compléter ou remplacer les appareils NAS locaux ou
les serveurs de fichiers existants d’une entreprise. Voici quelques-unes des raisons
pour lesquelles votre organisation pourrait souhaiter utiliser Azure Files :

Les développeurs peuvent stocker des applications et des fichiers de


configuration dans un partage de fichiers, et connecter de nouvelles machines
virtuelles aux fichiers partagés. Cette action accélère la mise en production des
nouvelles machines.
Les applications basées sur le cloud peuvent efficacement écrire des fichiers
journaux en utilisant l’API REST File dans le stockage partagé. Les développeurs
peuvent ensuite mapper le dossier partagé et exécuter leurs outils de débogage
locaux sur les données partagées.
Avec les partages de fichiers sur Azure, les entreprises n’ont pas besoin
d’acheter et de déployer un matériel redondant coûteux, ni de gérer les mises à
jour logicielles.
Vous pouvez automatiser la création et la modification des partages de fichiers
à l’aide des commandes PowerShell ou Azure CLI. L’automatisation permet
d’augmenter la productivité des opérations d’une entreprise.

2 sur 7 27/04/2020 à 16:36


Planifier votre déploiement Azure Files - Learn | M... https://docs.microsoft.com/fr-fr/learn/modules/store...

Toute la résilience de la plateforme Azure est héritée par votre partage de


fichiers, ce qui rend les fichiers globalement redondants. Vous pouvez
également utiliser la fonctionnalité d’instantanés intégrée et configurer des
sauvegardes automatiques à l’aide de coffres Recovery Services.
Toutes les données sont chiffrées en transit avec le protocole HTTPS et sont
stockées sous forme chiffrée au repos.
Les partages sont multiplateformes, et vous pouvez vous y connecter à partir de
Windows, Linux ou macOS.

Déplacer les partages de fichiers existants d’une entreprise vers Azure Files lui offre la
flexibilité nécessaire pour déplacer ses données et son traitement, ou juste ses
données, dans le cloud. Elle peut ensuite tirer parti de la scalabilité, de la sécurité et
des coûts réduits par rapport à l’exécution et à la maintenance locales des ressources
requises.

Choisir votre méthode d’accès aux données

Deux méthodes intégrées d’accès aux données sont prises en charge par Azure Files.
La première méthode est l’accès direct par le biais d’un lecteur monté dans votre
système d’exploitation. L’autre méthode consiste à utiliser un serveur Windows
(localement ou dans Azure) et à installer Azure File Sync pour synchroniser les fichiers
entre les partages locaux et Azure Files.

Le scénario le plus courant qui pourrait vous amener à envisager l’utilisation d’Azure
File Sync consiste à exécuter vos applications ou vos ressources de calcul localement
sur des ordinateurs Windows locaux. Si en plus le bureau dispose d’une connexion
Internet lente, il est encore plus nécessaire d’exécuter Azure File Sync pour des
raisons de performances.

L’utilisation principale de l’accès direct au cloud est quand les applications


s’exécutent sur Azure et que tous les emplacements qui ont besoin d’accéder aux
données disposent d’une connexion Internet rapide.

Parce que la société financière déplace ses applications principales vers Azure et
qu’elle souhaite réduire le nombre de changements qu’elle doit effectuer dans ses
bureaux, l’accès direct est le meilleur choix pour elle.

Choisir votre option de redondance de fichiers

3 sur 7 27/04/2020 à 16:36


Planifier votre déploiement Azure Files - Learn | M... https://docs.microsoft.com/fr-fr/learn/modules/store...

Les données Azure Files étant stockées dans un compte de stockage, vous pouvez
choisir entre des comptes de stockage aux performances Standard ou Premium.

Performances Standard : latence en ms à deux chiffres, 10 000 IOPS, bande


passante de 300 Mbits/s
Performances Premium : latence en ms à un chiffre, 100 000 IOPS, bande
passante de 5 Gbits/s

Les comptes aux performances Standard utilisent un disque dur pour stocker les
données. Avec HDD, les coûts sont moindres, mais les performances aussi. Les
comptes de stockage avec des performances Premium utilisent des baies de disques
SSD, ce qui implique des coûts plus élevés. Actuellement, les comptes Premium
peuvent uniquement utiliser des comptes de stockage de fichiers avec stockage ZRS
dans un nombre limité de régions.

Vous devez trouver un équilibre entre les besoins en termes de disponibilité et de


performances afin de choisir les options de compte et de redondance appropriés. La
société financière est davantage soucieuse de la sécurité de ses données que des
performances, et elle souhaite que la résilience soit la plus élevée possible. Par
conséquent, le meilleur choix est un compte de stockage GRS Standard. Quand GZRS
ne sera plus en préversion mais en disponibilité générale, elle deviendra la meilleure
option. Ce tableau compare les différentes caractéristiques de chaque option de
stockage.

LRS ZRS GRS /


GZRS

Vous pouvez facilement recréer les données, et le coût est ✔


une priorité.

Les données doivent être stockées dans un seul ✔


emplacement connu.

Les performances Premium sont requises. ✔ ✔*

Les données doivent être hautement disponibles, et la ✔ ✔


redondance est une priorité.

Durabilité de 99,999999999 % (11 neufs). ✔

4 sur 7 27/04/2020 à 16:36


Planifier votre déploiement Azure Files - Learn | M... https://docs.microsoft.com/fr-fr/learn/modules/store...

LRS ZRS GRS /


GZRS

Durabilité de 99,9999999999 % (12 neufs). ✔

Durabilité de 99,99999999999999 % (16 neufs). ✔

Les comptes de stockage de fichiers Premium avec ZRS sont uniquement pris
en charge dans une plus petite partie de régions.

Choisir votre solution de migration de données

La société financière a des systèmes, des données et des partages de fichiers


existants. Vous devez migrer ces données vers Azure Files, donc vous avez une autre
décision à prendre. Étant donné que vous pouvez vous connecter via SMB ou utiliser
les API REST, vous disposez de nombreuses options. Par exemple, vous pouvez écrire
un utilitaire personnalisé ou utiliser des solutions Microsoft. Le tableau liste les
utilitaires les plus courants.

Utilitaire Description

AzCopy Outil en ligne de commande qui offre des performances optimales,


en particulier pour un faible volume de petits fichiers.

5 sur 7 27/04/2020 à 16:36


Planifier votre déploiement Azure Files - Learn | M... https://docs.microsoft.com/fr-fr/learn/modules/store...

Utilitaire Description

Robocopy Outil en ligne de commande fourni avec Windows et Windows


Server. AzCopy est conçu pour être pris en charge par Azure et offre
de meilleures performances.

Explorateur Utilitaire de gestion de fichiers graphique qui s’exécute sur Windows,


Stockage Azure Linux et macOS.

Portail Azure Utilisez le portail pour importer des fichiers et des dossiers.

Azure File Sync Peut être utilisé pour le transfert de données initial, puis désinstallé
une fois les données transférées.

Azure Data Box Si vous avez jusqu’à 35 To de données et que vous avez besoin de les
importer en moins d’une semaine.

La société financière dispose de petits fichiers et d’une bande passante d’environ


100 Mbits/s sur son réseau. Son équipe d’exploitation ne souhaite pas installer de
logiciel sur les machines et veut que les transferts soient le plus rapide possible.

Compte tenu de ces exigences et contraintes, vous suggérez qu’AzCopy est l’outil le
mieux adapté à ses besoins.

Contrôlez vos connaissances


1. Une entreprise de fabrication locale qui utilise des logiciels dédiés dans son
entrepôt vous a confié comme mission d’effectuer le suivi du stock. Les logiciels
doivent s’exécuter sur des machines dans l’entrepôt, mais l’équipe de gestion
souhaite accéder aux données de sortie du siège social. La bande passante limitée
disponible dans l’entrepôt a provoqué des problèmes par le passé quand elle a tenté
d’utiliser des solutions basées sur le cloud. Vous lui recommandez d’utiliser Azure
Files. Quelle est la meilleure méthode pour synchroniser les fichiers avec le cloud ?

Créer un partage Azure Files et monter directement les



partages sur les machines de l’entrepôt.

6 sur 7 27/04/2020 à 16:36


Créer un partage Azure Files et s’y connecter - Learn... https://docs.microsoft.com/fr-fr/learn/modules/store...

R Précédente Unité 3 sur 7 S Suivant T

" 100 XP

Créer un partage Azure Files et


s’y connecter
10 minutes

Deux étapes sont nécessaires pour créer des partages de fichiers Azure. La première
consiste à créer un compte de stockage en choisissant les options appropriées. La
deuxième consiste à créer les partages de fichiers eux-mêmes.

Après avoir étudié toutes les options, vous allez proposer à la société financière
d’utiliser un compte de stockage géoredondant (GRS). Ce type de compte procure le
niveau de résilience le plus élevé pour les fichiers stockés. Vous allez utiliser ce
compte de stockage et créer des partages de fichiers pour les rapports et les
données d’application.

Dans cette unité, vous allez découvrir comment utiliser les commandes Azure CLI
pour créer le compte de stockage dont vous avez besoin. Vous verrez comment vous
authentifier auprès d’Azure et rendre persistantes les informations d’identification
afin de permettre aux bureaux satellites de l’entreprise de conserver les connexions
aux partages de fichiers.

Créer un compte de stockage avec l’interface


Azure CLI
Azure CLI = Copier

az storage account create

La commande CLI pour créer un compte de stockage présente de nombreuses


options. Ces options peuvent être réduites à celles requises si vous connaissez la
référence SKU du compte dont vous avez besoin.

Pour la société financière, vous avez décidé que GRS était le meilleur choix. --sku

1 sur 4 27/04/2020 à 17:21


Créer un partage Azure Files et s’y connecter - Learn... https://docs.microsoft.com/fr-fr/learn/modules/store...

est par conséquent le seul argument dont vous devez vous soucier. Les valeurs
autorisées pour cet argument sont Premium_LRS, Premium_ZRS, Standard_GRS,
Standard_GZRS, Standard_LRS, Standard_RAGRS, Standard_RAGZRS et Standard_ZRS.
Dans notre scénario, l’argument doit avoir la valeur Standard_GRS .

Il n’existe que deux autres arguments obligatoires pour la commande, --name et


-- resource-group .

La commande complète que vous utiliserez est la suivante :

Azure CLI = Copier

az storage account create \


--name <unique account name> \
--resource-group <resource group name> \
--sku Standard_GRS

Créer un partage de fichier


Azure CLI = Copier

az storage share create

L’unique argument obligatoire pour cette commande est --name , mais seul il ne
vous permettra pas de créer un partage. Vous devez également fournir les
informations sur le compte de stockage. Vous pouvez fournir les informations à la
commande de deux manières :

En utilisant --account-name et un argument --account-key ou --sas-token


En utilisant une chaîne de connexion au compte de stockage avec
--connection-string

Il existe des arguments facultatifs intéressants que vous trouverez probablement


utiles dans certains cas. Le premier argument contrôle la taille du partage en
gigaoctets. Si vous avez besoin de cette restriction, utilisez l’argument --quota . Le
deuxième argument vous permet de contrôler le délai d’attente (en secondes) pour
les appels au service avec --timeout .

2 sur 4 27/04/2020 à 17:21


Créer un partage Azure Files et s’y connecter - Learn... https://docs.microsoft.com/fr-fr/learn/modules/store...

Les valeurs par défaut de ces arguments sont acceptables dans notre scénario. La
commande complète a donc la forme suivante :

azurelci = Copier

az storage share create \


--account-name <unique account name> \
--account-key <account key> \
--name <share name>

Se connecter à un partage de fichiers Azure


avec SMB
Une fois le partage de fichiers Azure créé, vous pouvez vous y connecter à partir d’un
ordinateur Windows, Linux ou macOS. Il existe des guides en ligne pour chaque
système d’exploitation, et des liens vers ces derniers se trouvent dans l’unité de
synthèse. Ce module part du principe que vous utiliserez des machines Windows.

Le portail Azure facilite la connexion à votre nouveau partage en fournissant les


commandes PowerShell à exécuter.

S’authentifier auprès d’Azure Active Directory

L’authentification Azure Active Directory (Azure AD) est possible si la machine qui a
besoin d’accéder au partage de fichiers est une machine virtuelle Windows jointe à

3 sur 4 27/04/2020 à 17:21


Créer un partage Azure Files et s’y connecter - Learn... https://docs.microsoft.com/fr-fr/learn/modules/store...

un domaine et hébergée sur Azure. Cette méthode constitue une solution idéale
pour sécuriser vos partages de fichiers et offre des avantages par rapport à
l’utilisation d’une clé partagée :

Vous pouvez contrôler l’accès aux fichiers de manière plus précise avec l’accès
en fonction du rôle.
Les listes de contrôle d’accès discrétionnaire (DACL) locales peuvent être
copiées, ainsi que les fichiers, par le biais du protocole SMB afin de conserver
les autorisations existantes d’une société.

S’authentifier avec une clé partagée

Actuellement, Azure ne prend pas en charge l’authentification avec Kerberos sur


SMB. Vous pouvez créer des partages de fichiers en utilisant une clé partagée tant
que cette option n’est pas disponible. L’inconvénient est que cette méthode
d’authentification accorde à tous les utilisateurs disposant de la clé partagée un
accès administratif complet à tous les fichiers et dossiers contenus dans le partage de
fichiers. Si ce niveau d’accès est inacceptable, utilisez Azure File Sync parce qu’il
prend en charge les listes DACL.

Les partages de fichiers de la société financière doivent être utilisés par des
personnes dans des bureaux satellites et par une combinaison de machines Windows
hébergées et locales. Ce scénario vous amène à choisir une clé partagée sur toutes
ces machines pour accéder aux partages de fichiers. Vous pouvez rendre la clé
persistante sur ces machines avec l’utilitaire cmdkey . Comme vous le verrez dans une
unité ultérieure, vous pouvez renforcer la sécurité des partages de fichiers.

Unité suivante: Exercice - Créer un partage Azure Files et s’y connecter

Continuer T

4 sur 4 27/04/2020 à 17:21


Sécuriser l’accès aux fichiers stockés dans Azure File... https://docs.microsoft.com/fr-fr/learn/modules/store...

R Précédente Unité 5 sur 7 S Suivant T

" 100 XP

Sécuriser l’accès aux fichiers


stockés dans Azure Files
10 minutes

Les entreprises disposent toujours de choix pour sécuriser et contrôler l’accès aux
partages de fichiers, même si vous utilisez une clé partagée pour vous y connecter.

La société financière a indiqué qu’elle souhaitait mettre en œuvre les bonnes


pratiques de sécurité. Une approche consiste à verrouiller l’accès aux partages de
fichiers à une plage spécifique d’adresses IP. Elle souhaiterait également comprendre
en quoi consistent les options d’utilisation de l’authentification Azure Active
Directory Domain Services (Azure AD DS).

Dans cette unité, vous allez étudier les moyens de sécuriser l’accès aux partages de
fichiers Azure à partir de machines locales. Vous allez vérifier que les données sont
chiffrées pendant leur transit vers Azure. Une fois l’accès sécurisé en place, vous
étudierez comment la société financière peut utiliser Azure AD pour contrôler l’accès
aux partages de fichiers. En guise de niveau supplémentaire de protection des
fichiers partagés, vous allez également explorer la fonctionnalité d’instantané.

Sécuriser l’accès à partir du site local


Les partages de fichiers Azure ne prennent en charge que le montage à partir de
SMB version 3.0. Il existe des vulnérabilités connues avec SMB 1.0. Microsoft vous
recommande de désinstaller ou de désactiver cette version de toutes les machines
dont vous êtes responsable.

Si vous devez supprimer SMB 1, utilisez cette commande PowerShell : Remove-


WindowsFeature -Name FS-SMB1 .

Quand vous montez des partages de fichiers Azure, Windows doit communiquer par
le biais du port 445. Il est possible que l’accès réseau sur le port 445 soit bloqué par
défaut. Si votre organisation applique cette stratégie de blocage, demandez

1 sur 5 27/04/2020 à 18:44


Sécuriser l’accès aux fichiers stockés dans Azure File... https://docs.microsoft.com/fr-fr/learn/modules/store...

l’ouverture du port. Rien n’est intrinsèquement non sécurisé sur ce port spécifique.
Avec SMB 1 désactivé, le risque d’une attaque SMB est considérablement réduit.

Configurer des règles de pare-feu basées sur IP

Pour limiter l’accès à vos réseaux locaux, vous devez connaître votre adresse IP
publique. Avec cette information en main, activez le pare-feu du compte de stockage
pour autoriser l’accès à partir de réseaux sélectionnés. Vous pouvez ensuite ajouter
votre adresse IP publique à la liste des adresses autorisées, soit dans le portail Azure,
soit à l’aide d’une commande PowerShell :

PowerShell = Copier

Add-AzStorageAccountNetworkRule `
-ResourceGroupName "myresourcegroup" `
-AccountName "mystorageaccount" `
-IPAddressOrRange "NNN.NNN.NNN.NNN"

Ou vous pouvez utiliser une commande CLI :

azurelci = Copier

az storage account network-rule add \


--resource-group "myresourcegroup" \
--account-name "mystorageaccount" \
--ip-address "NNN.NNN.NNN.NNN"

Où NNN.NNN.NNN.NNN est votre adresse IP publique.

Exiger un transfert sécurisé pour toutes les connexions

L’exécution des commandes de l’exercice précédent crée un compte de stockage


Azure avec le transfert sécurisé activé par défaut. Si vos partages de fichiers ont été
créés sans que cette fonctionnalité soit activée, il est facile de le faire dans le portail.

2 sur 5 27/04/2020 à 18:44


Sécuriser l’accès aux fichiers stockés dans Azure File... https://docs.microsoft.com/fr-fr/learn/modules/store...

Vous pouvez aussi l’automatiser avec une commande PowerShell :

PowerShell = Copier

Set-AzStorageAccount `
-Name "StorageAccountName" `
-ResourceGroupName "ResourceGroupName" `
-EnableHttpsTrafficOnly $True

Ou vous pouvez utiliser une commande Azure CLI :

Azure CLI = Copier

az storage account update \


--resource-group ResourceGroupName \
--name StorageAccountName \
--https-only true

L’option de transfert sécurisé autorise uniquement les requêtes adressées au compte


de stockage par le biais d’une connexion HTTPS sécurisée. Toutes les requêtes
utilisant le protocole HTTP sont rejetées. Quand vous utilisez Azure Files, les
connexions sans chiffrement échouent, même si vous utilisez SMB 2.1, SMB 3.0 sans
chiffrement ou certaines versions du client SMB Linux.

3 sur 5 27/04/2020 à 18:44


Sécuriser l’accès aux fichiers stockés dans Azure File... https://docs.microsoft.com/fr-fr/learn/modules/store...

Activer et utiliser l’authentification Azure AD DS

La société financière exécute sa nouvelle application de création de rapports sur une


machine virtuelle hébergée sur Azure, c’est pourquoi elle souhaite configurer
l’authentification Azure AD DS pour accéder aux partages de fichiers. Par ailleurs, elle
souhaite procéder à cette configuration avant de déplacer une plus grande part de
son traitement vers le cloud.

Azure AD DS offre l’avantage de pouvoir gérer l’accès avec des contrôles d’accès en
fonction du rôle. Les fichiers héritent de leurs listes DACL NTFS existantes.

La première étape de la configuration d’Azure AD DS consiste à activer Azure AD


Domain Services pour le locataire et à faire en sorte que la machine virtuelle se
trouve sur le même réseau virtuel. Une fois ces éléments en place, vous activerez
l’authentification Azure AD DS sur le compte de stockage. Vous pourrez ensuite
accorder des autorisations d’accès à un partage dans le compte de stockage. Ces
autorisations peuvent être au niveau de l’utilisateur, du groupe ou du principal du
service.

Microsoft a créé trois nouveaux rôles pour les niveaux d’autorisation d’accès aux
partages de fichiers SMB pour les utilisateurs :

Lecteur de partage SMB des données du fichier de stockage


Collaborateur de partage SMB des données du fichier de stockage
Collaborateur à privilèges élevés de partage SMB des données du fichier de
stockage

Utiliser des instantanés de partage pour se protéger contre les


suppressions accidentelles

4 sur 5 27/04/2020 à 18:44


Sécuriser l’accès aux fichiers stockés dans Azure File... https://docs.microsoft.com/fr-fr/learn/modules/store...

Les instantanés de partage offrent un niveau de sécurité supplémentaire et


contribuent à réduire le risque d’altération des données ou de suppression
accidentelle. Vous pouvez également les utiliser comme sauvegarde générale pour la
reprise d’activité après sinistre.

Les instantanés sont faciles à créer dans le portail Azure ou avec l’API REST, les
bibliothèques de client, Azure CLI et PowerShell.

Les instantanés se trouvent au niveau racine d’un partage de fichiers et s’appliquent


à tous les dossiers et fichiers qu’il contient.

Unité suivante: Exercice - Sécuriser l’accès aux fichiers stockés dans Azure
Files

Continuer T

5 sur 5 27/04/2020 à 18:44

Vous aimerez peut-être aussi