...

eku 1.3.6.1.5.5.7.3.2 -ss My -sy 24

by user

on
Category: Documents
19

views

Report

Comments

Transcript

eku 1.3.6.1.5.5.7.3.2 -ss My -sy 24
Cloud OS Tech Day 2014
2014/06/14
System Center User Group Japan
後藤 諭史(Satoshi GOTO)



後藤 諭史( Satoshi GOTO )
某 ISP 所属。
仮想化製品が主な専門分野です。
◦ の、はずなんですが、最近は Azure やらなんやら……。


Microsoft MVP - System Center Cloud and Datacenter Management
(Jul.2012 - Jun.2014)
TwitterとBlogはこちら
◦ Twitter:@wind06106/Blog:Tech Notes(http://www.dob1.info :ドタバタしてて更新サボってます)
2

セッションの目的
◦ Windows Azure Pack において、あまり語られることのない 3 つの機能に
スポットを当て、機能概要や導入方法をご理解いただく。

セッションのゴール
◦ プライベートクラウド管理に欠かせない 3 つの機能を利用することが
できる。
◦ 週明け、皆様が自社でドヤ顔(以下略
3
本セッション資料ですが、個人で準備した環境において、個人的に実施した検証/結果を基に記載しています。
あくまで個人の意見/見解であり、所属する会社/組織及びマイクロソフト社とは『まったく/なにも/全
然』関係がございません。
所属する会社/組織/マイクロソフト社の正式な回答/見解ではない事に留意してください。
また、本資料を閲覧した事により問題が生じた場合、または問題が発生しかけた場合、または生じた一切の不
利益について、発表者は一切の責任を負う事はできませんのでご了承ください。
4
5
 プライベートクラウドで、 Microsoft Azure と同じインターフェースのセルフサービス
ポータル、同様のサービスを実装可能な拡張コンポーネント群
 WAP にて実装されているインターフェース、サービスは以下の通り
◦ Web サイト( PaaS )
◦ 仮想マシン ( IaaS )
◦ Service Bus
◦ SQL Server と MySQL
◦ オートメーション
◦ 管理者用ポータルとテナント用セルフサービスポータル
◦ 管理用REST ベース API
 使用する機能により、必要なコンポーネント( OS 等)が異なります。最小構成では
Windows Server 2012 のみで実装可能
 IaaS として使用する場合には、 System Center 2012 ( VMM + SPF )が必要
6
 以下の資料を参照してください
 手元で動かす疑似 Azure ~ Windows Azure Services for Windows Server ~
http://download.microsoft.com/download/1/8/6/186060D3-E1C5-407E-8BE2E5E14A2136BA/TF_WASWS_kozuka.pdf
( Windows Azure Services for Windows Server ベースの資料ですが非常に有用です)
 App controller と windows azure pack で作る大規模プライベートクラウド
http://www.slideshare.net/anikundesu/app-controllerwindows-azure-pack
http://www.ustream.tv/recorded/45152294
( MVP Community Camp 2014 の資料です)
 Windows Azure パック ステップ バイ ステップ評価ガイド
http://download.microsoft.com/download/0/7/B/07BE7A3C-07B9-4173-B2516865ADA98E5D/WAP_EvalGuide_v1.0.docx
7
 以下の資料を参照してください
 Windows Azure Pack 勉強会 ~ Windows Azure の勢いを自社内で展開するには~
http://download.microsoft.com/download/6/6/D/66DF1C86-2202-4392-A38B3664398ED390/20140228_TF_AzurePack.pptx
( Tech Fielders セミナーの資料です)
8
9
 Microsoft Azure 用 PowerShell に同梱(インストールは WebPI で)
 使用可能 Cmdlet は 45(Alias 31 、 Cmdlet 14)( Windows Azure PowerShell 0.8.3 )
 Microsoft Azure と同じ感覚で、 WAP の操作が可能
10
 WAP をインストールすると、自己署名証明書が作成され、 https 通信に使用されます
 WAP の各種管理機能へのアクセスは、全て https により行われます
 PowerShell を受け付けるサイト( TenantAPI )も自己署名証明書による https 通信を行
うことになりますが、その状態で PowerShell を叩くと、以下のようなエラーが発生
 Workaround は、 ADCS 等のエンタープライズ CA による証明書を発行し、 Tenant API
サイトの https 通信用に設定します
11
 証明書の差し替えを行うサイトは『 MgmtSvc-TenantPublicAPI 』
 ADCSの標準テンプレートである 『 WebServer 』をベースに、アクセス権等を付与(カ
スタマイズ)したテンプレートから作成した証明書が使用可能です
12
 PowerShell で WAP の管理を行う場合、Microsoft Azureを管理する場合と同様、サブスク
リプション(プラン)情報や管理証明書を設定する必要があります
 Microsoft Azure の場合は 『 Add-AzureAccount 』で設定可能ですが、 WAP の場合はそれ
らが記載された発行設定ファイル( PublishSettingsFile )を取得し、インポートする必要
があります
 『 Get-WAPackPublishSettingsFile 』 Cmdlet が実装されていますが、この Cmdlet で発
行設定ファイルを取得するためには、あらかじめ 『 Add-WAPackEnvironment 』 Cmdlet
を使用して、 PublishSettingsFileUrl の設定が必要です
 ブラウザで、直接 PublishSettingsFileUrl で設定されるサイトに接続することにより、発
行設定ファイルが取得可能です
13
 テナントポータルの『 /publishsettings 』へアクセス
 テナントポータルへのサインイン処理ののち、 PublishSettingsFile が発行される
 ダウンロードしたファイルには、管理証明書が含まれているので取り扱いには注意が必要
14
 WAP 用 PowerShell Cmdlet 『 Import-WAPackPublishSettingsFile 』を実行して、取得し
た PublishSettingsFile をインポート
 以上で、 PowerShell によるWAPの管理が可能に
15
16
https(443/tcp)
Client
Firewall
vmconnect(2179/tcp)
RDGateway
Hyper-V ホスト
 対応クライアントは Remote Desktop Protocol 8.1 以降( Windows7 SP1 は要 KB2830477 )
 RDGateway には 『Microsoft System Center Virtual Machine Manager コンソール接続ゲート
ウェイ』の導入が必要
 導入モジュールは SC2012 VMM ISO の『 ¥amd64¥Setup¥msi¥RDGatewayFedAuth 』に格納
されています
17
 RDP 接続の認証は、証明書にて実施されます
18
 導入は 3 ステップ
•
•
•
VMM 管理サーバーへの証明書の導入
Hyper-V ホストへの証明書の配布と設定
RDGateway の実装
 導入の手順は、以下サイトを参照のこと
Remote Console in System Center 2012 R2
http://technet.microsoft.com/en-us/library/dn469415.aspx
19
 秘密鍵を含む証明書を VMM 管理サーバーに導入
 証明書の要件は以下の4つ
•
•
•
•
有効期限が切れていない事
キー使用法に『Digital Signature』が含まれている事
拡張キー使用法に『クライアント認証(1.3.6.1.5.5.7.3.2)』が含まれている事
暗号化サービスプロバイダーが『 Microsoft Enhanced RSA and AES Cryptographic Provider 』である事
 自己署名証明書を使用する場合には、『 makecert.exe 』で以下例を参考に作成
makecert -n "CN=Remote Console Connect" -r -pe -a sha256 -e <mm/dd/yyyy> -len 2048 -sky signature
-eku 1.3.6.1.5.5.7.3.2 -ss My -sy 24 "<CertificateName>.cer"
•
•
『 -e 』には証明書の有効期限、『 <CertificateName> 』には作成する証明書のファイル名を指定
上記例では、 秘密鍵を含む証明書がユーザーアカウントの個人に格納されるので、秘密鍵込みでエ
クスポートを実施
20
 ADCS の場合、証明書テンプレートを作成の上、証明書を発行
 コンピューター証明書テンプレートをコピーして、以下の項目を変更
•
•
•
要求処理 → 用途
:署名
暗号化 → プロバイダー
: Microsoft Enhanced RSA and AES Cryptographic Provider
拡張機能 → アプリケーションポリシー:クライアント証明
21
 自己署名証明書の場合、 Hyper-V ホスト、 RDGateway の『信頼できるルート証明機関』に
自己署名証明書 (.cer) を手動にてストアする必要があります
 Hyper-V ホスト、 RDGateway と同一のセグメントにあるクライアントからコンソール接続を
行うと、 RDGateway を経由せずに、直接 Hyper-V ホストへ接続してしまう場合があります
•
•
原因
:ローカルセグメントのため、 RDGateway を経由せずに、直接 Hyper-V ホストに
接続を試行してしまう。
Workaround :別セグメントから接続を行う。
22
 RDGateway 設定後、AuthenticationPlugin と AuthorizationPlugin のプロパティーが、正しく
設定されていない場合があります(条件不明)
正しい例
• 『 -e 』には証明書の有効期限、『 <CertificateName> 』には作成する証明書のファイル名を指定
要修正例
• 上記例では、 秘密鍵を含む証明書がユーザーアカウントの個人に格納されるので、秘密鍵込みでエ
クスポートを実施
makecert -n "CN=Remote Console Connect" -r -pe -a sha256 -e <mm/dd/yyyy> -len 2048 -sky signature
-eku 1.3.6.1.5.5.7.3.2 -ss My -sy 24 "<CertificateName>.cer"
23
 この設定は、 RDGateway の認証プラグインの設定であるため、プラグインが有効化されて
いないと証明書による認証ができません
 プロパティーが正しく設定されなかった場合、以下の PowerShell Cmdlet を使用して、手動
にて設定します
$g = Get-WmiObject -Namespace root¥CIMV2¥TerminalServices -Class Win32_TSGatewayServerSettings
$g.SetAuthenticationPlugin("FedAuthAuthenticationPlugin")
$g.SetAuthorizationPlugin("FedAuthAuthorizationPlugin")
$g.RecycleRpcApplicationPools()

PowerShell Cmdlet 実行後は、RDGateway サービスの再起動が必要です
24
25
プライベートクラウドといえども、コスト配分は必要です
そのためには『正しい使用時間』の把握と、『現在の使用コスト』の公開が必須です
『正しい使用時間』の把握に必要な機能が、使用状況管理機能です
IaaSにおいて、この機能は System Center 2012 R2 VMM と SPF 、 Operations Manager
の連携によって実現されます
 取得した使用状況に応じたコスト配分、使用状況の公開は、 System Center 2012 R2の標
準機能や、3rd party製品によって実装されています




26
 VMM とOM の連携により、仮想マシンの使用状況 (CPU, Memory, Storage, Network) が
OM DWH に蓄積されていきます
 WAP の Usage Service が SPF を通じて OM DWH から使用状況データを取得、テナント
単位でデータを分類
 WAP Usage Service からレポート作成ツールがデータを取得し、内部加工ののちユー
ザーに公開
VMM
Operations
Manager
SPF
WAP
Usage
Service
Reporting
 詳細な解説や、使用状況データの流れは以下の Blog を参照のこと
How to Integrate Your Billing System with the Usage Metering System
http://blogs.technet.com/b/systemcenter/archive/2013/08/01/how-to-integrate-your-billing-system-withthe-usage-metering-system.aspx
27
28
 System Center 2012 R2 Orchestrator に同梱されている Service Reporting を使用すると、
Excel や SharePoint 経由でエンドユーザーに使用状況データを提供可能
29
 3rd party製品である『 Cloud Cruiser Express 』と Cloud Cruiser 用 WAP 機能拡張を組み
合わせることで、 WAP のTenant Portal でエンドユーザーに使用状況データを提供可能
 機能拡張の導入は WebPI から
 Cloud Cruiserの機能として、リソースにコスト設定を行って、課金情報をエンドユーザー
に提供することも可能
30
 米 Cloud Cruiser 社が提供する課金管理ソフトウェア
 Express 版は WAP での使用状況管理、課金管理に機能限定されていますが、無償で利用
可能
 WAP の Admin Portal のリンクからソフトウェアを入手して導入
31
 導入の基本的流れは以下のとおり
•
•
•
•
SCVMM と SCOM の 連携設定 ※
SPF とWAP の導入
SPF から SCOM DWH へのアクセス設定
レポーティング機能( Service Reporting / Cloud Cruiser 等)の導入
 導入の手順は、以下サイトを参照のこと
IaaS Usage and Service Reporting using System Center 2012 R2 and Windows Azure Pack
http://blogs.technet.com/b/privatecloud/archive/2013/08/27/iaas-usage-and-service-reporting-using-systemcenter-2012-r2-and-windows-azure-pack.aspx
※ SCVMM には Update Rollup2の適用が必要になります。
http://support.microsoft.com/kb/2932926
32
 SPF に SCOM 連携設定を行う際、前述の Blog に記述されている PowerShell Cmdlet ではう
まくいかない場合があります
•
手元の環境ではうまくいきませんでした……
 以下の PowerShell Cmdlet を使用する事でクリアできました
•
『 New-SCSPFSetting 』の ヘルプに記載されたコマンド使用例( 1: Create a setting )と同じものです
•
New-SCSPFSetting Help
http://technet.microsoft.com/en-us/library/dn472931%28v=sc.20%29.aspx
Import-module spfadmin
$OMDWSqlServer = "scom01.contoso.com"
$OMServer = "scom01.contoso.com"
$stamp = Get-SCSPFStamp;
$server = New-SCSPFServer -Name $OMServer -ServerType OMDW -Stamps $stamp[0];
$setting = New-SCSPFSetting -Name $OMDWSqlServer -Value
"Server=SCOM01¥SYSTEMCENTER;Database=OperationsManagerDW;Trusted_Connection=True;Connect
Timeout=300" -SettingType DatabaseConnectionString -Server $server
33
34
 WAP を利用したプライベートクラウドは、 Microsoft Azure にはない便利機能がいろいろ
あります
 WAP 自体、 Windows Server と System Center 2012 が展開されている環境であれば、無
償で利用可能です。また、本日紹介させていただいた機能は、すべて追加費用不要で利用
可能です
 『 Microsoft Azure のテクノロジで作るプライベートクラウド』を、是非お試しください
35
 Windows Azure Pack - Reconfigure portal names, ports and use trusted certificates
http://blogs.technet.com/b/privatecloud/archive/2013/12/10/windows-azure-packreconfigure-portal-names-ports-and-use-trusted-certificates.aspx

Sample Billing Adapter Code for Windows Azure Pack
http://blogs.technet.com/b/privatecloud/archive/2013/12/11/sample-billing-adapter-codefor-windows-azure-pack.aspx

Building Clouds
http://blogs.technet.com/b/privatecloud/
36
37
Fly UP