Déploiement de la passerelle de gestion cloud avec Azure Virtual Machine Scale Sets

By | 24 février 2021
0 Comment

Après un premier aperçu de cette fonctionnalité dans la preview 2009 de Configuration Manager, la prise en charge de la passerelle de gestion cloud (Cloud Management Gateway) pour les groupes de machines virtuelles identiques – Virtual Machine Scale Sets est désormais disponible en preview dans la version Current Branch 2010. La passerelle de gestion cloud reposant jusqu’à présent sur un service cloud classique Azure empêche son déploiement sur les abonnements Azure de type « CSP » et limite donc les scénarios de gestion des appareils Windows.

Dans cet article, nous verrons pas à pas la configuration de la passerelle de gestion cloud avec Azure Virtual Machine Scale Sets.

Prérequis

Je ne vais pas aborder dans cet article la gestion de tous les prérequis, pour cela vous pouvez consulter la documentation en ligne.

Pour la partie Azure, il est nécessaire de vérifier vos fournisseurs de ressources (Resource providers) et d’enregister les fournisseurs suivants :

  • Microsoft.KeyVault
  • Microsoft.Storage
  • Microsoft.Network
  • Microsoft.Compute

De mon coté, sur une souscription CSP crée pour l’occasion j’ai dû enregistrer le fournisseur Microsoft.KeyVault.

Autre changement par rapport à un déploiement « Classic » du CMG, le nom du service doit cette fois-ci inclure la région du Datacenter Azure utilisé, exemple :

  • GraniteFalls.EastUS.CloudApp.Azure.Com pour un déploiement sur la région EastUS
  • GraniteFalls.WestEurope.CloudApp.Azure.Com pour un déploiement sur la région WestEurope
  • etc 🙂

Pour mes labos j’utilise ZeroSSL pour générer des certificats gratuits – jusqu’à 3 – valable entre 90 jours et un an. Dans ce cas précis, je crée donc un certificat avec le nom du service que je vais utiliser pour déployer la passerelle de gestion cloud.

Une fois le certificat généré, il faut l’exporter avec toutes ses propriétés au format PFX, protégé par un mot de passe. Pour cela, j’utilise OpenSSL pour exporter le certifcat avec la commande suivante :

openssl pkcs12 -export -out "c:\cert\exportedCert.pfx" -inkey "c:\cert\private.key" -in "c:\cert\certificate.crt" -certfile "c:\cert\ca_bundle.crt"

Pour ce guide, j’utilise un nom de domaine personnalisé (et non domaine en « CloudApp.net ») et donc je dois créer un enregistrement CNAME dans ma zone DNS. L’enregistrement CNAME permet de rediriger le « Host » vers le nom du service Azure.

Déploiement de la passerelle de gestion

Passons maintenant au déploiement de la passerelle dans la console MEMCM, dirigez vous dans la partie administration, puis « Cloud Services » et « Cloud Management Gateway puis cliquer sur « Create Cloud Management Gateway ». Signez vous avec un compte administateur Azure, choisissez votre souscription.

Note : nous n’aborderons pas la création des Applications Azure AD, il est probable que vous disposiez déja de celles-ci si vous utilisez des services Cloud avec MEMCM (Cogestion, Desktop Analytics, Windows Store for Business etc.)

Sur la page suivante, on retrouve la configuration du certificat, du nom du service et son déploiement.

  1. Ajouter le certificat (format .pfx) et renseigner le mot de passe
  2. Si votre certificat comporte plusieurs SAN, choisissez celui qui correspond au « Service Name » Azure.
  3. Notez l’ajout de la région dans le nom du déploiement Azure.
  4. Nombre d’instances, ici 2. En production je conseille d’utiliser deux instances pour des raisons de hautes disponibilités mais une instance reste valable dans les autres cas.
  5. Pensez a cocher la case permettant au CMG de fonctionner comme un point de distribution, pratique pour la télédistribution!

La page suivante permet de configurer les alertes et quotas de consommation, je laisse par défaut ici mais en production bien se référer à l’environnement et à vos besoins (télédistribution etc).

Valider pour le résumé pour initialiser le déploiement de la passerelle.

La prochaine étape est d’installer le point de connexion CMG sur votre serveur (ici sur le serveur qui héberge le point de management configuré en e-http et le point de distribution). Une fois installé, vérifier que votre passerelle est bien renseignée.

Une fois la passerelle provisionnée vérifier son état et sa configuration dans la console:

Coté console Azure, voici les composants de la passerelle, on y retrouve :

  • Un VM Scale Set
  • Un KeyVault
  • Un load balancer
  • Un SNG
  • Une IP publique
  • Un VNET
  • Un compte de stockage
Détail des deux instances du VM Scale Set

Troubleshooting

Le composant SMS_CLOUD_SERVICES_MANAGER gère la configuration et le cycle de vie de la passerelle de gestion. Ici, c’est la log CloudMgr.log qui nous intéresse. Lors de l’ajout d’une passerelle nous pouvons suivre l’installation dont voici les différentes étapes :

  1. Création de la tâche de déploiement
  2. Déploiement du service
  3. Création du groupe de ressource si nécessaire
  4. Création du Key Vault
  5. Ajout du certificat dans le Key Vault
  6. Déploiement du Scale Set
  7. Fin du déploiement du Scale Set
  8. Fin des opérations

Conclusion

Longtemps attendue, cette fonctionnalité va bientôt permettre aux fournisseurs ou client CSP de déployer la passerelle de gestion Cloud afin de gérer les appareils à distance avec une passerelle reposant sur des composants modernes et extensibles.