Comments
Description
Transcript
eku 1.3.6.1.5.5.7.3.2 -ss My -sy 24
Cloud OS Tech Day 2014 2014/06/14 System Center User Group Japan 後藤 諭史(Satoshi GOTO) 後藤 諭史( Satoshi GOTO ) 某 ISP 所属。 仮想化製品が主な専門分野です。 ◦ の、はずなんですが、最近は Azure やらなんやら……。 Microsoft MVP - System Center Cloud and Datacenter Management (Jul.2012 - Jun.2014) TwitterとBlogはこちら ◦ Twitter:@wind06106/Blog:Tech Notes(http://www.dob1.info :ドタバタしてて更新サボってます) 2 セッションの目的 ◦ Windows Azure Pack において、あまり語られることのない 3 つの機能に スポットを当て、機能概要や導入方法をご理解いただく。 セッションのゴール ◦ プライベートクラウド管理に欠かせない 3 つの機能を利用することが できる。 ◦ 週明け、皆様が自社でドヤ顔(以下略 3 本セッション資料ですが、個人で準備した環境において、個人的に実施した検証/結果を基に記載しています。 あくまで個人の意見/見解であり、所属する会社/組織及びマイクロソフト社とは『まったく/なにも/全 然』関係がございません。 所属する会社/組織/マイクロソフト社の正式な回答/見解ではない事に留意してください。 また、本資料を閲覧した事により問題が生じた場合、または問題が発生しかけた場合、または生じた一切の不 利益について、発表者は一切の責任を負う事はできませんのでご了承ください。 4 5 プライベートクラウドで、 Microsoft Azure と同じインターフェースのセルフサービス ポータル、同様のサービスを実装可能な拡張コンポーネント群 WAP にて実装されているインターフェース、サービスは以下の通り ◦ Web サイト( PaaS ) ◦ 仮想マシン ( IaaS ) ◦ Service Bus ◦ SQL Server と MySQL ◦ オートメーション ◦ 管理者用ポータルとテナント用セルフサービスポータル ◦ 管理用REST ベース API 使用する機能により、必要なコンポーネント( OS 等)が異なります。最小構成では Windows Server 2012 のみで実装可能 IaaS として使用する場合には、 System Center 2012 ( VMM + SPF )が必要 6 以下の資料を参照してください 手元で動かす疑似 Azure ~ Windows Azure Services for Windows Server ~ http://download.microsoft.com/download/1/8/6/186060D3-E1C5-407E-8BE2E5E14A2136BA/TF_WASWS_kozuka.pdf ( Windows Azure Services for Windows Server ベースの資料ですが非常に有用です) App controller と windows azure pack で作る大規模プライベートクラウド http://www.slideshare.net/anikundesu/app-controllerwindows-azure-pack http://www.ustream.tv/recorded/45152294 ( MVP Community Camp 2014 の資料です) Windows Azure パック ステップ バイ ステップ評価ガイド http://download.microsoft.com/download/0/7/B/07BE7A3C-07B9-4173-B2516865ADA98E5D/WAP_EvalGuide_v1.0.docx 7 以下の資料を参照してください Windows Azure Pack 勉強会 ~ Windows Azure の勢いを自社内で展開するには~ http://download.microsoft.com/download/6/6/D/66DF1C86-2202-4392-A38B3664398ED390/20140228_TF_AzurePack.pptx ( Tech Fielders セミナーの資料です) 8 9 Microsoft Azure 用 PowerShell に同梱(インストールは WebPI で) 使用可能 Cmdlet は 45(Alias 31 、 Cmdlet 14)( Windows Azure PowerShell 0.8.3 ) Microsoft Azure と同じ感覚で、 WAP の操作が可能 10 WAP をインストールすると、自己署名証明書が作成され、 https 通信に使用されます WAP の各種管理機能へのアクセスは、全て https により行われます PowerShell を受け付けるサイト( TenantAPI )も自己署名証明書による https 通信を行 うことになりますが、その状態で PowerShell を叩くと、以下のようなエラーが発生 Workaround は、 ADCS 等のエンタープライズ CA による証明書を発行し、 Tenant API サイトの https 通信用に設定します 11 証明書の差し替えを行うサイトは『 MgmtSvc-TenantPublicAPI 』 ADCSの標準テンプレートである 『 WebServer 』をベースに、アクセス権等を付与(カ スタマイズ)したテンプレートから作成した証明書が使用可能です 12 PowerShell で WAP の管理を行う場合、Microsoft Azureを管理する場合と同様、サブスク リプション(プラン)情報や管理証明書を設定する必要があります Microsoft Azure の場合は 『 Add-AzureAccount 』で設定可能ですが、 WAP の場合はそれ らが記載された発行設定ファイル( PublishSettingsFile )を取得し、インポートする必要 があります 『 Get-WAPackPublishSettingsFile 』 Cmdlet が実装されていますが、この Cmdlet で発 行設定ファイルを取得するためには、あらかじめ 『 Add-WAPackEnvironment 』 Cmdlet を使用して、 PublishSettingsFileUrl の設定が必要です ブラウザで、直接 PublishSettingsFileUrl で設定されるサイトに接続することにより、発 行設定ファイルが取得可能です 13 テナントポータルの『 /publishsettings 』へアクセス テナントポータルへのサインイン処理ののち、 PublishSettingsFile が発行される ダウンロードしたファイルには、管理証明書が含まれているので取り扱いには注意が必要 14 WAP 用 PowerShell Cmdlet 『 Import-WAPackPublishSettingsFile 』を実行して、取得し た PublishSettingsFile をインポート 以上で、 PowerShell によるWAPの管理が可能に 15 16 https(443/tcp) Client Firewall vmconnect(2179/tcp) RDGateway Hyper-V ホスト 対応クライアントは Remote Desktop Protocol 8.1 以降( Windows7 SP1 は要 KB2830477 ) RDGateway には 『Microsoft System Center Virtual Machine Manager コンソール接続ゲート ウェイ』の導入が必要 導入モジュールは SC2012 VMM ISO の『 ¥amd64¥Setup¥msi¥RDGatewayFedAuth 』に格納 されています 17 RDP 接続の認証は、証明書にて実施されます 18 導入は 3 ステップ • • • VMM 管理サーバーへの証明書の導入 Hyper-V ホストへの証明書の配布と設定 RDGateway の実装 導入の手順は、以下サイトを参照のこと Remote Console in System Center 2012 R2 http://technet.microsoft.com/en-us/library/dn469415.aspx 19 秘密鍵を含む証明書を VMM 管理サーバーに導入 証明書の要件は以下の4つ • • • • 有効期限が切れていない事 キー使用法に『Digital Signature』が含まれている事 拡張キー使用法に『クライアント認証(1.3.6.1.5.5.7.3.2)』が含まれている事 暗号化サービスプロバイダーが『 Microsoft Enhanced RSA and AES Cryptographic Provider 』である事 自己署名証明書を使用する場合には、『 makecert.exe 』で以下例を参考に作成 makecert -n "CN=Remote Console Connect" -r -pe -a sha256 -e <mm/dd/yyyy> -len 2048 -sky signature -eku 1.3.6.1.5.5.7.3.2 -ss My -sy 24 "<CertificateName>.cer" • • 『 -e 』には証明書の有効期限、『 <CertificateName> 』には作成する証明書のファイル名を指定 上記例では、 秘密鍵を含む証明書がユーザーアカウントの個人に格納されるので、秘密鍵込みでエ クスポートを実施 20 ADCS の場合、証明書テンプレートを作成の上、証明書を発行 コンピューター証明書テンプレートをコピーして、以下の項目を変更 • • • 要求処理 → 用途 :署名 暗号化 → プロバイダー : Microsoft Enhanced RSA and AES Cryptographic Provider 拡張機能 → アプリケーションポリシー:クライアント証明 21 自己署名証明書の場合、 Hyper-V ホスト、 RDGateway の『信頼できるルート証明機関』に 自己署名証明書 (.cer) を手動にてストアする必要があります Hyper-V ホスト、 RDGateway と同一のセグメントにあるクライアントからコンソール接続を 行うと、 RDGateway を経由せずに、直接 Hyper-V ホストへ接続してしまう場合があります • • 原因 :ローカルセグメントのため、 RDGateway を経由せずに、直接 Hyper-V ホストに 接続を試行してしまう。 Workaround :別セグメントから接続を行う。 22 RDGateway 設定後、AuthenticationPlugin と AuthorizationPlugin のプロパティーが、正しく 設定されていない場合があります(条件不明) 正しい例 • 『 -e 』には証明書の有効期限、『 <CertificateName> 』には作成する証明書のファイル名を指定 要修正例 • 上記例では、 秘密鍵を含む証明書がユーザーアカウントの個人に格納されるので、秘密鍵込みでエ クスポートを実施 makecert -n "CN=Remote Console Connect" -r -pe -a sha256 -e <mm/dd/yyyy> -len 2048 -sky signature -eku 1.3.6.1.5.5.7.3.2 -ss My -sy 24 "<CertificateName>.cer" 23 この設定は、 RDGateway の認証プラグインの設定であるため、プラグインが有効化されて いないと証明書による認証ができません プロパティーが正しく設定されなかった場合、以下の PowerShell Cmdlet を使用して、手動 にて設定します $g = Get-WmiObject -Namespace root¥CIMV2¥TerminalServices -Class Win32_TSGatewayServerSettings $g.SetAuthenticationPlugin("FedAuthAuthenticationPlugin") $g.SetAuthorizationPlugin("FedAuthAuthorizationPlugin") $g.RecycleRpcApplicationPools() PowerShell Cmdlet 実行後は、RDGateway サービスの再起動が必要です 24 25 プライベートクラウドといえども、コスト配分は必要です そのためには『正しい使用時間』の把握と、『現在の使用コスト』の公開が必須です 『正しい使用時間』の把握に必要な機能が、使用状況管理機能です IaaSにおいて、この機能は System Center 2012 R2 VMM と SPF 、 Operations Manager の連携によって実現されます 取得した使用状況に応じたコスト配分、使用状況の公開は、 System Center 2012 R2の標 準機能や、3rd party製品によって実装されています 26 VMM とOM の連携により、仮想マシンの使用状況 (CPU, Memory, Storage, Network) が OM DWH に蓄積されていきます WAP の Usage Service が SPF を通じて OM DWH から使用状況データを取得、テナント 単位でデータを分類 WAP Usage Service からレポート作成ツールがデータを取得し、内部加工ののちユー ザーに公開 VMM Operations Manager SPF WAP Usage Service Reporting 詳細な解説や、使用状況データの流れは以下の Blog を参照のこと How to Integrate Your Billing System with the Usage Metering System http://blogs.technet.com/b/systemcenter/archive/2013/08/01/how-to-integrate-your-billing-system-withthe-usage-metering-system.aspx 27 28 System Center 2012 R2 Orchestrator に同梱されている Service Reporting を使用すると、 Excel や SharePoint 経由でエンドユーザーに使用状況データを提供可能 29 3rd party製品である『 Cloud Cruiser Express 』と Cloud Cruiser 用 WAP 機能拡張を組み 合わせることで、 WAP のTenant Portal でエンドユーザーに使用状況データを提供可能 機能拡張の導入は WebPI から Cloud Cruiserの機能として、リソースにコスト設定を行って、課金情報をエンドユーザー に提供することも可能 30 米 Cloud Cruiser 社が提供する課金管理ソフトウェア Express 版は WAP での使用状況管理、課金管理に機能限定されていますが、無償で利用 可能 WAP の Admin Portal のリンクからソフトウェアを入手して導入 31 導入の基本的流れは以下のとおり • • • • SCVMM と SCOM の 連携設定 ※ SPF とWAP の導入 SPF から SCOM DWH へのアクセス設定 レポーティング機能( Service Reporting / Cloud Cruiser 等)の導入 導入の手順は、以下サイトを参照のこと IaaS Usage and Service Reporting using System Center 2012 R2 and Windows Azure Pack http://blogs.technet.com/b/privatecloud/archive/2013/08/27/iaas-usage-and-service-reporting-using-systemcenter-2012-r2-and-windows-azure-pack.aspx ※ SCVMM には Update Rollup2の適用が必要になります。 http://support.microsoft.com/kb/2932926 32 SPF に SCOM 連携設定を行う際、前述の Blog に記述されている PowerShell Cmdlet ではう まくいかない場合があります • 手元の環境ではうまくいきませんでした…… 以下の PowerShell Cmdlet を使用する事でクリアできました • 『 New-SCSPFSetting 』の ヘルプに記載されたコマンド使用例( 1: Create a setting )と同じものです • New-SCSPFSetting Help http://technet.microsoft.com/en-us/library/dn472931%28v=sc.20%29.aspx Import-module spfadmin $OMDWSqlServer = "scom01.contoso.com" $OMServer = "scom01.contoso.com" $stamp = Get-SCSPFStamp; $server = New-SCSPFServer -Name $OMServer -ServerType OMDW -Stamps $stamp[0]; $setting = New-SCSPFSetting -Name $OMDWSqlServer -Value "Server=SCOM01¥SYSTEMCENTER;Database=OperationsManagerDW;Trusted_Connection=True;Connect Timeout=300" -SettingType DatabaseConnectionString -Server $server 33 34 WAP を利用したプライベートクラウドは、 Microsoft Azure にはない便利機能がいろいろ あります WAP 自体、 Windows Server と System Center 2012 が展開されている環境であれば、無 償で利用可能です。また、本日紹介させていただいた機能は、すべて追加費用不要で利用 可能です 『 Microsoft Azure のテクノロジで作るプライベートクラウド』を、是非お試しください 35 Windows Azure Pack - Reconfigure portal names, ports and use trusted certificates http://blogs.technet.com/b/privatecloud/archive/2013/12/10/windows-azure-packreconfigure-portal-names-ports-and-use-trusted-certificates.aspx Sample Billing Adapter Code for Windows Azure Pack http://blogs.technet.com/b/privatecloud/archive/2013/12/11/sample-billing-adapter-codefor-windows-azure-pack.aspx Building Clouds http://blogs.technet.com/b/privatecloud/ 36 37