La migration tenant-to-tenant d’infrastructure Azure est une opération délicate. Elle peut s’avérer nécessaire notamment en cas d’acquisition ou de scission d’entreprises.
Dans cet article, notre expert vous détaille les enjeux et les complexités de la modification de rattachement des ressources et du tenant, ainsi que les différentes approches pour y parvenir, en fonction des types d’abonnements.
🗣️ Gilles Fay, architecte technique, Blue Soft Empower.
Les types d’abonnements, une composante importante des stratégies de migration Microsoft Cloud Azure
Les types d’abonnements sont une composante importante des stratégies de migration cloud Azure car ils déterminent les limites de ressources et les permissions d’accès pour les utilisateurs et les services. En choisissant le bon type d’abonnement, les entreprises peuvent optimiser leur coût et leur sécurité tout en bénéficiant d’une flexibilité accrue pour leurs déploiements Azure.
Pour avoir une vue exhaustive des différentes possibilités selon le type d’abonnement source et cible, consultez la page de Microsoft Learn : Hub de transfert de produits Microsoft Cloud Azure : Prise en charge du transfert de produits
Néanmoins, en tant que CSP (Cloud Service Provider), les cas que nous avons eu à traiter concernaient des abonnements CSP (MPA = Microsoft Partner Agreement) et des abonnement MOSP (PAYG). À chaque fois, cela a nécessité le déplacement de ressources Azure d’un abonnement vers un autre.
Lexique sur les types d’abonnements
- Microsoft Online Subscription Program (MOSP), également appelé Paiement à l’utilisation (PAYG)
- Offre Microsoft Cloud Azure précédente dans le programme CSP
- Nouvelle offre Azure dans le programme CSP, également appelée Plan Azure avec un Contrat Partenaire Microsoft (MPA)
- Contrat Entreprise (EA)
- Contrat client Microsoft (MCA) de type Entreprise quand vous achetez des services Azure par le biais d’un représentant Microsoft. Également appelé contrat d’entreprise MCA.
- Contrat client Microsoft (MCA) que vous avez acheté via le site web Azure. Également appelé contrat individuel MCA.
- Autres comme MSDN, BizSpark, EOPEN, Pass Azure et Essai gratuit
Migration tenant-to-tenant d’infrastructure Azure : enjeux et complexités de la migration et de la modification de rattachement des ressources et du tenant
Les abonnements Microsoft Cloud Azure permettant d’héberger des ressources – et donc des charges de travail – sont associés à un Locataire Azure AD (tenant), c’est-à-dire un annuaire cloud permettant de gérer les droits sur ces ressources. Il est parfois nécessaire de modifier ces abonnements, soit pour les rattacher à un autre annuaire, soit pour déplacer des ressources qu’ils contiennent vers un autre abonnement :
- Rattacher les ressources cloud Azure présentes dans un abonnement à un autre tenant Microsoft Cloud Azure, par exemple dans le cas de rattachement de société à la suite d’acquisition ou, inversement, une scission en 2 sociétés désirant avoir chacune leur propre tenant et abonnement.
- Déplacer des ressources cloud Azure d’un abonnement vers un autre, pour des raisons techniques, d’organisation de changement de fournisseur CSP.
Compte tenu des dépendances entre abonnement et tenant, mais aussi entre les ressources d’un même abonnement, c’est une opération qui peut parfois s’avérer très délicate à chiffrer et à effectuer. Ce type d’opération peut également amener à des interruptions de service assez importantes quand il est exécuté sur des environnements de production. Enfin, selon le cas, le premier besoin (déplacement entre tenant) peut nécessiter le deuxième (déplacement entre abonnement).
Rattacher des ressources cloud Azure à un autre tenant : comment s’y prendre
Dans le cas d’abonnement rattachable (Pay-as-you-Go)
Dans le cas d’abonnement rattachable (Pay-as-you-Go), le rattachement de l’abonnement à un autre tenant est possible.
– Avantage : pas besoin de déplacer les ressources d’un abonnement vers un autre
– Impact : perte des informations qui relient l’abonnement au tenant (RBAC, identités managées, rôles personnalisés, stratégies d’accès, ACL, authentifications AD dans les bases de données…etc)
Il faudra donc faire un état des lieux détaillé et recréer/reconfigurer tout cela dans la cible après rattachement.
Dans le cas d’abonnement non rattachable (CSP)
Dans le cas d’abonnement non rattachable (CSP), il n’est pas possible de rattacher l’abonnement à un autre tenant : l’option de changement d’annuaire n’est pas prise en charge pour l’abonnement CSP).
Il faut alors déplacer les ressources d’un abonnement vers un autre.
De plus, si l’abonnement cible est également de type CSP, il va falloir utiliser un abonnement intermédiaire de type Pay-As-You-Go qui sera rattaché successivement au tenant source puis au tenant cible. Et un double déplacement sera nécessaire : d’abord de l’abonnement source vers l’abonnement intermédiaire, puis de l’abonnement intermédiaire vers l’abonnement cible.
L’abonnement intermédiaire étant détaché et rattaché à un tenant différent, l’impact observé dans le premier cas est toujours vrai : perte des informations qui relient l’abonnement au tenant.
L’impact du déplacement de ressources d’un environnement vers un autre est le plus lourd :
- Procédure complexe
- Tous les types de ressources ne sont pas déplaçables.
- Les liens entre ressources peuvent empêcher le déplacement.
- Contraintes : pour déplacer des ressources d’un abonnement vers un autre, les 2 abonnements doivent être rattachés au même tenant.
Pour déplacer des ressources d’un abonnement vers un autre, les 2 abonnements doivent être rattachés au même Tenant.
Enfin, la procédure présente deux contraintes à ne pas négliger :
- Le déplacement de ressources se fait à partir d’un groupe de ressource source (on ne peut déplacer ensemble que les ressources d’un même groupe)
- Les ressources liées doivent être déplacées en même temps.
L’étude de cadrage infrastructure : une étape cruciale
Un travail important d’analyse doit ainsi être effectué en amont du projet de migration cloud Azure tenant-to-tenant.
Tout d’abord, une analyse du besoin est nécessaire pour identifier dans quel cas on se trouve :
- S’agit-il d’un déplacement de ressources Azure d’un abonnement vers un autre (les 2 étant rattachés au même tenant) ?
- Y a-t-il des réservations ?
- S’agit-il de rattacher un abonnement ou des ressources Azure existantes à un autre tenant ? (cas d’un rachat de société impliquant une migration de tenant)
- Dans ce dernier cas, quels sont les types d’abonnement ? source et cible ?
En cas de détachement/rattachement à une autre tenant, une analyse de l’existant et des objets qu’il faudra recréer dans le tenant Cible en prévision de la reconfiguration après migration sera nécessaire.
En cas de déplacement de ressources d’un abonnement vers un autre, il convient de procéder à une analyse détaillée des ressources de l’abonnement source :
- Identification des ressources supportant le déplacement ou ne le supportant pas
- Identification des groupes de ressources (en vue de la réunification temporaire dans un même groupe des ressources liées)
- Analyse des dépendances
- Identification des problèmes connus nécessitant des actions particulières
- Identification des inconnues
- Plan d’action détaillé et chiffrage
Trois points clés devront également retenir notre attention :
- Le volume de l’abonnement (nombre de ressources)
- Le nombre de groupes de ressources
- La possibilité et/ou nécessité d’interruption de service
Rattacher des ressources Microsoft Cloud Azure à un autre tenant : nos retours d’expérience de migration chez 3 de nos client·es
Nos réalisations | Retours d’expérience et impacts |
---|---|
Création d’un abonnement cible Pay-as-you-Go rattaché au tenant et déplacement de ressources depuis l’abonnement source vers l’abonnement cible (déplacement partiel pour pouvoir utiliser des réservations et répartir les coûts). | Déplacement en succès. Maitrise de l’environnement Azure (interne). Nombre de ressources raisonnable et pas de difficulté majeure ou de cas “complexes” nécessitant de “casser” des dépendances, de supprimer et recréer des ressources. |
Création d’un abonnement Pay-As-You-Go intermédiaire rattaché au même tenant que l’abonnement CSP source et déplacement des ressources depuis l’abonnement source vers cet abonnement intermédiaire.
Rattachement de cet abonnement à un tenant cible. Charge au client de faire le déplacement depuis cet abonnement intermédiaire vers son abonnement cible. |
Bon déroulement de la partie à notre charge. Nombre de ressources relativement faible. Abonnement intermédiaire fourni au client avec l’environnement à l’exacte reproduction de l’environnement source. Difficultés mineures dues au monitoring en place nécessitant de la recréation. |
Création d’un abonnement CSP cible chez nous et déplacement des ressources de l’abonnement source vers l’abonnement cible. | Déplacement en succès malgré un nombre de ressources assez important et une contrainte temporelle forte.
Pas de contrainte de perte de service en raison de la période non travaillée où s’est déroulé l’opération. Difficulté technique assez forte en raison d’un nombre d’inconnues important au moment du déplacement. Nécessité de “casser” des dépendances, de supprimer et recréer des ressources, d’effectuer des reconfigurations et de faire des exports/imports de données de databases. Reconfiguration nécessaire et plutôt longue de certaines ressources réseaux. |