Base de données Azure pour PostgreSQL : Guide de déploiement complet

Architecture de sécurité et de conformité

La sécurisation de votre instance Azure Database for PostgreSQL est essentielle pour protéger les données sensibles, garantir la continuité des activités et maintenir la conformité réglementaire. 

Azure offre des fonctionnalités intégrées robustes qui facilitent la gestion des identités, sécurisent l'accès au réseau et garantissent la conformité aux normes du secteur.

Mécanismes d'authentification

L'authentification constitue la première ligne de défense pour sécuriser l'accès à votre base de données PostgreSQL. 

Intégration Azure Active Directory (AAD)

Azure AD vous permet de gérer de manière centralisée les utilisateurs et leur accès aux ressources Azure, y compris PostgreSQL. 

Cette solution est plus sécurisée que la gestion des utilisateurs de serveurs locaux et permet l'authentification multifactorielle, l'accès conditionnel et la gestion du cycle de vie des utilisateurs.

Nous pouvons examiner un exemple d'architecture : 

Vous pouvez intégrer votre domaine Active Directory sur site à Azure AD afin d'étendre votre infrastructure d'identité existante au cloud. 

L'image ci-dessous illustre une architecture d'identité hybride typique :

Image illustrant une architecture d'identité hybride intégrant Active Directory sur site et Azure Active Directory (Azure AD). source : Microsoft Azure Architecture

Pour activer l'authentification AAD :

01 : Enregistrez le serveur PostgreSQL avec AAD :

• Veuillez ouvrir le portail Azure.
• Accédez à vos serveurs flexibles Azure Database for PostgreSQL.
• Dans Paramètres, veuillez cliquer sur « Administrateur Active Directory ».
• Veuillez cliquer sur « Définir l'administrateur », rechercher un utilisateur/groupe, puis cliquer sur « Enregistrer ».

02 : Configurer l'administrateur AAD à l'aide de l'interface CLI Azure (facultatif) :

az postgres flexible-server ad-admin create \
  --resource-group <your-resource-group> \
  --server-name <your-server-name> \
  --display-name <aad-user-name> \
  --object-id <aad-user-object-id>

03 : Veuillez vous connecter à l'aide de psql :

psql "host=<your-postgres-host> dbname=<your-db> user=<aad-user>@<tenant>.onmicrosoft.com sslmode=require"

Authentification SCRAM-SHA-256

Azure PostgreSQL prend en charge SCRAM-SHA-256, un mécanisme d'authentification moderne et sécurisé basé sur un mot de passe qui surpasse le protocole MD5 obsolète.

Activez cette option dans les paramètres du serveur PostgreSQL :

• Accédez à la section « Paramètres du serveur » sous Serveur flexible dans le portail Azure.
• Recherchez « password_encryption » et définissez-le sur « scram-sha-256 ».
• Enregistrez les modifications et redémarrez le serveur si nécessaire.

Sécurité au niveau des lignes (RLS)

Utilisez RLS pour définir des stratégies de contrôle d'accès granulaires, qui permettent uniquement à certains utilisateurs de voir ou de modifier des lignes spécifiques d'un tableau.

Comment activer RLS :

01 : Connectez-vous à votre base de données et exécutez :

ALTER TABLE employees ENABLE ROW LEVEL SECURITY;

02 : Créer une politique :

CREATE POLICY employee_policy
ON employees
USING (user_email = current_user);

Protection du réseau

Il est essentiel de protéger votre base de données Azure pour PostgreSQL au niveau du réseau afin d'empêcher tout accès non autorisé et de réduire la surface d'attaque. 

Azure offre plusieurs fonctionnalités réseau intégrées pour isoler le trafic et appliquer le contrôle d'accès.

01 : Utilisation de points de terminaison privés

Les points de terminaison privés permettent à votre serveur PostgreSQL d'être accessible uniquement au sein de votre réseau virtuel Azure, éliminant ainsi toute exposition publique.

Pour configurer un point de terminaison privé :

01 : Accédez au portail Azure et sélectionnez votre serveur flexible PostgreSQL.

02 : Dans « Paramètres », veuillez cliquer sur « Réseau ».

03 : Veuillez sélectionner « Accès privé (intégration VNet) ».

04 : Veuillez cliquer sur « Ajouter un point de terminaison privé ».

05 : Veuillez saisir un nom et sélectionner votre groupe de ressources et votre réseau virtuel/sous-réseau.

06 : Veuillez sélectionner l'option « Intégration DNS privée » (recommandée).

07 : Veuillez vérifier et créer le point de terminaison privé.

Les images ci-dessous illustrent certaines des principales étapes de la configuration d'un point de terminaison privé dans le portail Azure.

Image illustrant une capture d'écran des étapes du portail Azure pour configurer un point de terminaison privé (01).

Image illustrant une capture d'écran des étapes du portail Azure pour la configuration d'un point de terminaison privé (02).

02 : Groupes de sécurité réseau (NSG)

Les NSG contrôlent le trafic entrant et sortant vers les interfaces réseau et les sous-réseaux. Veuillez les utiliser pour autoriser uniquement les adresses IP de confiance à se connecter.

Pour configurer les NSG pour votre point de terminaison privé :

01 : Accédez au sous-réseau où se trouve votre point de terminaison privé.

02 : Veuillez attacher un NSG et définir des règles telles que :

• Autorisez uniquement les plages d'adresses IP de votre organisation.
• Refuser toutes les autres connexions entrantes.

03 : Peering interrégional

Pour les applications mondiales, veuillez utiliser le peering VNet entre les régions Azure afin d'acheminer le trafic de manière sécurisée entre les réseaux virtuels.

Pour configurer le peering interrégional dans le portail Azure :

01 : Dans le portail Azure, accédez à « Réseaux virtuels » et sélectionnez « Peering ».

02 : Veuillez cliquer sur « Ajouter » et sélectionner le réseau virtuel distant (VNet). 

03 : Activez l'option « Utiliser des passerelles distantes pour la connectivité interrégionale ».

Certifications de conformité

Azure Database pour PostgreSQL est conforme à un large éventail de normes industrielles et gouvernementales, ce qui garantit la protection des données et la conformité légale :

Certaines des certifications comprennent :

• GDPR
• HIPAA
• SOC 1/2/3
• ISO/IEC 27001, 27018
• FedRAMP, PCI-DSS

Vous pouvez consulter l'état de conformitésur le Centre de confiance Microsoft ettélécharger les rapports de conformité pertinents pour votre région ou votre secteur d'activité.

Optimisation et surveillance des performances

Il est essentiel de maximiser les performances et la fiabilité pour les charges de travail de production. 

Azure fournit des outils de réglage intelligent, de surveillance en temps réel et d'alerte pour garantir le fonctionnement optimal de votre serveur PostgreSQL.

Réglage intelligent

Azure permet d'améliorer les performances de manière proactive grâce à des outils d'analyse et d'optimisation intégrés.

Les cas d'utilisation incluent la mise à l'échelle automatique, la répartition de la charge de travail et l'amélioration des performances de stockage.

Utilisez Azure Advisor pour obtenir des recommandations en matière de performances.

Azure Advisor analyse les données de télémétrie et recommande les meilleures pratiques.

Pour appliquer les recommandations de performance :

01 : Veuillez vous rendre sur le portail Azure et sélectionner « Azure Advisor ».

02 : Veuillez cliquer sur « Recommandations », puis sur « Performances ».

03 : Recherchez votre serveur flexible PostgreSQL.

04 : Appliquez des suggestions telles que :

• Mise à l'échelle des vCores
• Augmentation des IOPS
• Utilisation des réplicas en lecture

Créer une réplique en lecture

Réduisez la charge des tâches de lecture intensive en créant des répliques. Pour ce faire : 

01 : Dans le portail Azure, veuillez sélectionner votre serveur PostgreSQL.

02 : Dans « Paramètres », sélectionnez « Répliques ».

03 : Veuillez cliquer sur « Ajouter une réplique », sélectionner la région et la créer.

04 : Veuillez utiliser les points de terminaison en lecture seule dans votre application.

Cadre de suivi

Azure Monitor offre une visibilité approfondie sur l'état et l'utilisation de vos ressources PostgreSQL.

Indicateurs clés à surveiller

• Utilisation du processeur
• Utilisation de la mémoire
• E/S disque et IOPS
• Temps d'exécution de la requête
• Connexions actives
• Échecs de connexion

Pour afficher les mesures :

Étape 01 : Accédez au portail Azure et ouvrez Monitor.

Étape 02 : Veuillez cliquer sur « Métriques » et sélectionner votre serveur flexible PostgreSQL.

Étape 03 : Sélectionnez une métrique (par exemple, CPU %).

Étape 04 : Appliquez des filtres et définissez l'agrégation (par exemple, moyenne, maximum).

Étape 05 : Créez des graphiques visuels ou épinglez-les sur des tableaux de bord.

Création de règles d'alerte

Les alertes vous permettent de réagir rapidement aux anomalies de performances avant qu'elles n'affectent les utilisateurs.

Pour créer une alerte :

Étape 01 : Dans le portail Azure, accédez à Monitor (Surveiller) et sélectionnez « Alerts » (Alertes).

Étape 02 : Veuillez cliquer sur « Nouvelle règle d'alerte ».

Étape 03 : Veuillez sélectionner votre ressource PostgreSQL.

Étape 04 : Sélectionnez une condition, par exemple « CPU usage > 80% ».

Étape 05 : Définissez la période et la fréquence d'évaluation.

Étape 06 : Définissez un groupe d'actions (e-mail, webhook, application logique).

Étape 07 : Veuillez nommer et créer l'alerte.

Indicateurs clés de performance (KPI)

La surveillance des indicateurs clés de performance garantit le bon fonctionnement de votre système et le respect des accords de niveau de service :

Vous pouvez afficher et analyser ces indicateurs de performance clés dans Azure Monitor Metrics.

Modèles de migration et d'intégration

La migration de bases de données vers Azure Database for PostgreSQL peut s'effectuer en toute transparence avec les outils et la stratégie appropriés. 

Azure prend en charge la migration en ligne et hors ligne, plusieurs systèmes sources et l'intégration avec l'IA et des outils de développement.

Si vous souhaitez bénéficier d'un tutoriel pratique sur l'utilisation de PostgreSQL dans des environnements de développement réels, veuillez consulter Using PostgreSQL in Python.

Service de migration de bases de données (DMS)

Le service Azure Database Migration Service (DMS) facilite la migration sécurisée et guidée de diverses plateformes de base de données (sur site ou dans le cloud) vers Azure PostgreSQL.

L'image ci-dessous illustre les scénarios de migration et les plateformes pris en charge :

Diagramme illustrant le service Azure Database Migration Service (DMS). Source : Produits Microsoft

Effectuer une migration à l'aide de DMS

01 : Créer une instance DMS :

• Accédez au portail Azure et recherchez « Services de migration de base de données ».
• Veuillez cliquer sur « Créer », puis sélectionner votre abonnement, votre groupe de ressources et votre région.
• Sélectionnez « Integration Runtime (IR) » et créez ou réutilisez un IR existant.

02 : Veuillez créer un projet de migration :

• Dans votre instance DMS, veuillez cliquer sur « Ajouter un nouveau projet de migration ».
• Veuillez fournir un nom et définir :
• Type de serveur source : PostgreSQL
• Type de serveur cible : Base de données Azure pour PostgreSQL
• Type d'activité de migration : En ligne ou hors ligne

03 : Définissez les serveurs source et cible :

• Veuillez saisir les détails de connexion pour le serveur PostgreSQL source (sur site, AWS RDS, etc.).
• Veuillez saisir les informations d'identification pour le serveur flexible Azure PostgreSQL cible.

04 : Exécutez et surveillez la migration :

• Sélectionnez les bases de données/schémas à migrer.
• Configurez le mappage des tableaux et la transformation facultative des données.
• Lancez la migration et surveillez sa progression dans le portail Azure.

Migration depuis un environnement sur site ou d'autres clouds

Pour les migrations plus modestes ou ponctuelles, vous pouvez utiliser les outils natifs de PostgreSQL tels que pg_dump et pg_restore.

Migration hors ligne via l'interface CLI

Pour effectuer une migration hors ligne à partir d'une base de données PostgreSQL locale ou d'une autre base de données cloud vers Azure, veuillez suivre les étapes suivantes :

01 : Exportez la base de données depuis la source :

pg_dump -Fc --no-acl --no-owner -h <source-host> -U <source-user> dbname > db.dump

02 : Importer vers Azure PostgreSQL :

pg_restore -h <azure-host> -U <azure-user> -d <target-db> db.dump

Il est recommandé d'utiliser le drapeau « --jobs » avec « pg_restore » pour améliorer les performances sur les bases de données volumineuses.

Migration d'Oracle vers PostgreSQL

Pour migrer d'Oracle vers PostgreSQL, vous pouvez utiliser Ora2Pg afin de convertir les schémas Oracle en syntaxe compatible avec PostgreSQL. Veuillez suivre les étapes suivantes :

01 : Veuillez installer Ora2Pg.

02 : Veuillez configurer le fichier ora2pg.conf avec vos identifiants Oracle.

03 : Veuillez exécuter les commandes suivantes :

ora2pg -c ora2pg.conf -o schema.sql
psql -h <azure-host> -U <user> -d <dbname> -f schema.sql

Pour renforcer vos compétences en matière de gestion des bases de données après la migration, veuillez consulter la section Gestion des bases de données dans PostgreSQL.

Capacités d'intégration de l'IA

Azure PostgreSQL prend en charge les charges de travail IA à l'aide de l'extension pgvector et peut s'intégrer à Azure Cognitive Services.

Pour activer et utiliser pgvector :

CREATE EXTENSION IF NOT EXISTS vector;

02 : Créer et utiliser des colonnes vectorielles :

CREATE TABLE embeddings (
  id SERIAL PRIMARY KEY,
  description TEXT,
  embedding vector(1536)
);

03 : Vecteurs d'insertion et de recherche :

INSERT INTO embeddings (description, embedding) 
VALUES ('example', '[0.1, 0.2, 0.3, 0.4]');

SELECT * FROM embeddings 
ORDER BY embedding <-> '[0.1, 0.2, 0.3, 0.4]' 
LIMIT 5;

04 : Intégration avec les services d'intelligence artificielle :

• Veuillez utiliser Azure OpenAI, Cognitive Search ou Azure ML pour générer des intégrations.
• Stockez-les et interrogez-les à l'aide de pgvector dans PostgreSQL.

Techniques d'optimisation des coûts

Azure propose plusieurs stratégies pour réduire les coûts d'infrastructure et d'exploitation de PostgreSQL.

Tarification flexible des serveurs

Afin d'optimiser vos coûts grâce à des options de tarification flexibles pour les serveurs, veuillez suivre les recommandations suivantes :

01 : Utilisez des SKU à capacité burst (par exemple, B1ms) pour le développement ou les charges de travail nécessitant peu de ressources CPU.

• Dans le portail Azure, accédez à PostgreSQL et sélectionnez « Niveau de tarification ».
• Veuillez sélectionner « Burstable ».

02 : Capacité réservée :

• Engagez-vous pour une durée d'utilisation de 1 ou 3 ans et bénéficiez d'une réduction pouvant atteindre 60 %.
• Veuillez effectuer votre achat via le portail Azure en accédant à « Réservations », en cliquant sur « Ajouter », puis en sélectionnant « Serveur flexible PostgreSQL ».

Économie de l'hyperscale (Citus)

L'hyperscale utilise le partitionnement horizontal pour améliorer le débit.

Les avantages comprennent :

• Équilibrage de charge entre les nœuds
• Meilleure isolation des ressources
• Efficacité du stockage grâce à la compression

Activez Hyperscale en accédant au portail Azure, en sélectionnant « Créer une ressource », puis en choisissant « Azure Database for PostgreSQL (Hyperscale, Citus) ».

Gestion des coûts de stockage et de sauvegarde

Pour gérer efficacement les coûts de stockage et de sauvegarde, il est recommandé de suivre les étapes suivantes :

Vérifier la durée de conservation des instantanés :

• Azure effectue des sauvegardes quotidiennes par défaut.
• Veuillez vous rendre dans « Paramètres du serveur », puis « Sauvegardes » et modifiez la « Période de conservation » (la valeur par défaut est comprise entre 7 et 35 jours).

Veuillez estimer les coûts à l'aide du calculateur de prix Azure :

• Calculateur de prix Azure.
• Ajoutez un serveur flexible PostgreSQL, sélectionnez la région, la référence, la durée de conservation des sauvegardes et les IOPS.

Gestion des versions et des mises à niveau de PostgreSQL

Assurez la sécurité et la prise en charge de votre environnement en appliquant régulièrement les mises à jour.

Versions prises en charge et politique de cycle de vie

Il est important de bien comprendre les versions PostgreSQL prises en charge et leur politique de cycle de vie afin de garantir la sécurité et la prise en charge de votre environnement :

• Azure prend en charge les versions 11 à 16 de PostgreSQL.
• La prise en charge des versions est alignée sur la politique de fin de vie de la communauté PostgreSQL.
• Veuillez planifier les mises à niveau avant la fin de la durée de vie afin de maintenir le support et la sécurité.

Mise à niveau et correctifs

La mise à niveau et l'application de correctifs à votre serveur flexible PostgreSQL impliquent des processus automatiques et manuels, selon le type de mise à jour :

• Les mises à jour mineures sont appliquées automatiquement.
• Les mises à niveau majeures nécessitent des étapes manuelles :

Étapes de la mise à niveau :

01 : Sauvegarde de la base de données actuelle :

pg_dumpall -h <current-host> -U <user> > backup.sql

02 : Créez un nouveau serveur avec la version PostgreSQL souhaitée à partir du portail Azure.

03 : Restaurer la sauvegarde sur le nouveau serveur :

psql -h <new-host> -U <user> -f backup.sql

04 : Veuillez mettre à jour les chaînes de connexion dans votre application ou vos variables d'environnement.

Écosystème de développement

Azure PostgreSQL prend en charge les charges de travail DevOps et géospatiales modernes.

Infrastructure en tant que code (IaC)

Utilisez Terraform pour un provisionnement automatisé et reproductible. Voici un exemple de script Terraform permettant de créer un serveur flexible Azure PostgreSQL :

resource "azurerm_postgresql_flexible_server" "example" {
  name                   = "mypgflexserver"
  resource_group_name    = "myrg"
  location               = "East US"
  administrator_login    = "pgadmin"
  administrator_password = "password123!"
  sku_name               = "Standard_B1ms"
  version                = "14"
}

Pour créer la ressource, veuillez sélectionner « terraform init » (Afficher les ressources) → « terraform plan » (Afficher les ressources) → « terraform apply » (Ajouter

Pour en savoir plus, veuillez consulter notre guide complet sur l'utilisation de Terraform avec Azure.sur l'utilisation de Terraform avec Azure.

Capacités géospatialesavec PostGIS

PostGIS étend PostgreSQL pour les requêtes spatiales et géographiques.

Pour activer PostGIS :

CREATE EXTENSION postgis;

À utiliser pour les applications basées sur la localisation, la cartographie, l'optimisation d'itinéraires et le géorepérage.

Extensions et intégrations populaires

Activez de puissantes extensions PostgreSQL pour améliorer l'observabilité et la planification :

Pour activer les extensions souhaitées, accédez au portail Azure et accédez à votre serveur flexible PostgreSQL. 

À partir de là, accédez à la section Paramètres du serveur, localisez le paramètre azure.extensions, ajoutez les extensions requises sous forme de liste séparée par des virgules, puis enregistrez les modifications.

Conclusion

Azure Database pour PostgreSQL vous permet de déployer, de mettre à l'échelle et de gérer PostgreSQL avec une fiabilité, une sécurité et des performances de niveau professionnel dans le cloud. 

À mesure que les exigences en matière de cloud évoluent, l'écosystème robuste d'Azure et la fiabilité éprouvée de PostgreSQL garantissent la flexibilité, la conformité et la rentabilité de vos applications.

Si vous souhaitez approfondir vos connaissances, je vous recommande vivement de consulterle cursus Azure Fundamentals. Bonne formation !