Comments
Description
Transcript
eku 1.3.6.1.5.5.7.3.2 -ss My -sy 24
Cloud OS Tech Day 2014
2014/06/14
System Center User Group Japan
後藤 諭史(Satoshi GOTO)
後藤 諭史( Satoshi GOTO )
某 ISP 所属。
仮想化製品が主な専門分野です。
◦ の、はずなんですが、最近は Azure やらなんやら……。
Microsoft MVP - System Center Cloud and Datacenter Management
(Jul.2012 - Jun.2014)
TwitterとBlogはこちら
◦ Twitter:@wind06106/Blog:Tech Notes(http://www.dob1.info :ドタバタしてて更新サボってます)
2
セッションの目的
◦ Windows Azure Pack において、あまり語られることのない 3 つの機能に
スポットを当て、機能概要や導入方法をご理解いただく。
セッションのゴール
◦ プライベートクラウド管理に欠かせない 3 つの機能を利用することが
できる。
◦ 週明け、皆様が自社でドヤ顔(以下略
3
本セッション資料ですが、個人で準備した環境において、個人的に実施した検証/結果を基に記載しています。
あくまで個人の意見/見解であり、所属する会社/組織及びマイクロソフト社とは『まったく/なにも/全
然』関係がございません。
所属する会社/組織/マイクロソフト社の正式な回答/見解ではない事に留意してください。
また、本資料を閲覧した事により問題が生じた場合、または問題が発生しかけた場合、または生じた一切の不
利益について、発表者は一切の責任を負う事はできませんのでご了承ください。
4
5
プライベートクラウドで、 Microsoft Azure と同じインターフェースのセルフサービス
ポータル、同様のサービスを実装可能な拡張コンポーネント群
WAP にて実装されているインターフェース、サービスは以下の通り
◦ Web サイト( PaaS )
◦ 仮想マシン ( IaaS )
◦ Service Bus
◦ SQL Server と MySQL
◦ オートメーション
◦ 管理者用ポータルとテナント用セルフサービスポータル
◦ 管理用REST ベース API
使用する機能により、必要なコンポーネント( OS 等)が異なります。最小構成では
Windows Server 2012 のみで実装可能
IaaS として使用する場合には、 System Center 2012 ( VMM + SPF )が必要
6
以下の資料を参照してください
手元で動かす疑似 Azure ~ Windows Azure Services for Windows Server ~
http://download.microsoft.com/download/1/8/6/186060D3-E1C5-407E-8BE2E5E14A2136BA/TF_WASWS_kozuka.pdf
( Windows Azure Services for Windows Server ベースの資料ですが非常に有用です)
App controller と windows azure pack で作る大規模プライベートクラウド
http://www.slideshare.net/anikundesu/app-controllerwindows-azure-pack
http://www.ustream.tv/recorded/45152294
( MVP Community Camp 2014 の資料です)
Windows Azure パック ステップ バイ ステップ評価ガイド
http://download.microsoft.com/download/0/7/B/07BE7A3C-07B9-4173-B2516865ADA98E5D/WAP_EvalGuide_v1.0.docx
7
以下の資料を参照してください
Windows Azure Pack 勉強会 ~ Windows Azure の勢いを自社内で展開するには~
http://download.microsoft.com/download/6/6/D/66DF1C86-2202-4392-A38B3664398ED390/20140228_TF_AzurePack.pptx
( Tech Fielders セミナーの資料です)
8
9
Microsoft Azure 用 PowerShell に同梱(インストールは WebPI で)
使用可能 Cmdlet は 45(Alias 31 、 Cmdlet 14)( Windows Azure PowerShell 0.8.3 )
Microsoft Azure と同じ感覚で、 WAP の操作が可能
10
WAP をインストールすると、自己署名証明書が作成され、 https 通信に使用されます
WAP の各種管理機能へのアクセスは、全て https により行われます
PowerShell を受け付けるサイト( TenantAPI )も自己署名証明書による https 通信を行
うことになりますが、その状態で PowerShell を叩くと、以下のようなエラーが発生
Workaround は、 ADCS 等のエンタープライズ CA による証明書を発行し、 Tenant API
サイトの https 通信用に設定します
11
証明書の差し替えを行うサイトは『 MgmtSvc-TenantPublicAPI 』
ADCSの標準テンプレートである 『 WebServer 』をベースに、アクセス権等を付与(カ
スタマイズ)したテンプレートから作成した証明書が使用可能です
12
PowerShell で WAP の管理を行う場合、Microsoft Azureを管理する場合と同様、サブスク
リプション(プラン)情報や管理証明書を設定する必要があります
Microsoft Azure の場合は 『 Add-AzureAccount 』で設定可能ですが、 WAP の場合はそれ
らが記載された発行設定ファイル( PublishSettingsFile )を取得し、インポートする必要
があります
『 Get-WAPackPublishSettingsFile 』 Cmdlet が実装されていますが、この Cmdlet で発
行設定ファイルを取得するためには、あらかじめ 『 Add-WAPackEnvironment 』 Cmdlet
を使用して、 PublishSettingsFileUrl の設定が必要です
ブラウザで、直接 PublishSettingsFileUrl で設定されるサイトに接続することにより、発
行設定ファイルが取得可能です
13
テナントポータルの『 /publishsettings 』へアクセス
テナントポータルへのサインイン処理ののち、 PublishSettingsFile が発行される
ダウンロードしたファイルには、管理証明書が含まれているので取り扱いには注意が必要
14
WAP 用 PowerShell Cmdlet 『 Import-WAPackPublishSettingsFile 』を実行して、取得し
た PublishSettingsFile をインポート
以上で、 PowerShell によるWAPの管理が可能に
15
16
https(443/tcp)
Client
Firewall
vmconnect(2179/tcp)
RDGateway
Hyper-V ホスト
対応クライアントは Remote Desktop Protocol 8.1 以降( Windows7 SP1 は要 KB2830477 )
RDGateway には 『Microsoft System Center Virtual Machine Manager コンソール接続ゲート
ウェイ』の導入が必要
導入モジュールは SC2012 VMM ISO の『 ¥amd64¥Setup¥msi¥RDGatewayFedAuth 』に格納
されています
17
RDP 接続の認証は、証明書にて実施されます
18
導入は 3 ステップ
•
•
•
VMM 管理サーバーへの証明書の導入
Hyper-V ホストへの証明書の配布と設定
RDGateway の実装
導入の手順は、以下サイトを参照のこと
Remote Console in System Center 2012 R2
http://technet.microsoft.com/en-us/library/dn469415.aspx
19
秘密鍵を含む証明書を VMM 管理サーバーに導入
証明書の要件は以下の4つ
•
•
•
•
有効期限が切れていない事
キー使用法に『Digital Signature』が含まれている事
拡張キー使用法に『クライアント認証(1.3.6.1.5.5.7.3.2)』が含まれている事
暗号化サービスプロバイダーが『 Microsoft Enhanced RSA and AES Cryptographic Provider 』である事
自己署名証明書を使用する場合には、『 makecert.exe 』で以下例を参考に作成
makecert -n "CN=Remote Console Connect" -r -pe -a sha256 -e <mm/dd/yyyy> -len 2048 -sky signature
-eku 1.3.6.1.5.5.7.3.2 -ss My -sy 24 "<CertificateName>.cer"
•
•
『 -e 』には証明書の有効期限、『 <CertificateName> 』には作成する証明書のファイル名を指定
上記例では、 秘密鍵を含む証明書がユーザーアカウントの個人に格納されるので、秘密鍵込みでエ
クスポートを実施
20
ADCS の場合、証明書テンプレートを作成の上、証明書を発行
コンピューター証明書テンプレートをコピーして、以下の項目を変更
•
•
•
要求処理 → 用途
:署名
暗号化 → プロバイダー
: Microsoft Enhanced RSA and AES Cryptographic Provider
拡張機能 → アプリケーションポリシー:クライアント証明
21
自己署名証明書の場合、 Hyper-V ホスト、 RDGateway の『信頼できるルート証明機関』に
自己署名証明書 (.cer) を手動にてストアする必要があります
Hyper-V ホスト、 RDGateway と同一のセグメントにあるクライアントからコンソール接続を
行うと、 RDGateway を経由せずに、直接 Hyper-V ホストへ接続してしまう場合があります
•
•
原因
:ローカルセグメントのため、 RDGateway を経由せずに、直接 Hyper-V ホストに
接続を試行してしまう。
Workaround :別セグメントから接続を行う。
22
RDGateway 設定後、AuthenticationPlugin と AuthorizationPlugin のプロパティーが、正しく
設定されていない場合があります(条件不明)
正しい例
• 『 -e 』には証明書の有効期限、『 <CertificateName> 』には作成する証明書のファイル名を指定
要修正例
• 上記例では、 秘密鍵を含む証明書がユーザーアカウントの個人に格納されるので、秘密鍵込みでエ
クスポートを実施
makecert -n "CN=Remote Console Connect" -r -pe -a sha256 -e <mm/dd/yyyy> -len 2048 -sky signature
-eku 1.3.6.1.5.5.7.3.2 -ss My -sy 24 "<CertificateName>.cer"
23
この設定は、 RDGateway の認証プラグインの設定であるため、プラグインが有効化されて
いないと証明書による認証ができません
プロパティーが正しく設定されなかった場合、以下の PowerShell Cmdlet を使用して、手動
にて設定します
$g = Get-WmiObject -Namespace root¥CIMV2¥TerminalServices -Class Win32_TSGatewayServerSettings
$g.SetAuthenticationPlugin("FedAuthAuthenticationPlugin")
$g.SetAuthorizationPlugin("FedAuthAuthorizationPlugin")
$g.RecycleRpcApplicationPools()
PowerShell Cmdlet 実行後は、RDGateway サービスの再起動が必要です
24
25
プライベートクラウドといえども、コスト配分は必要です
そのためには『正しい使用時間』の把握と、『現在の使用コスト』の公開が必須です
『正しい使用時間』の把握に必要な機能が、使用状況管理機能です
IaaSにおいて、この機能は System Center 2012 R2 VMM と SPF 、 Operations Manager
の連携によって実現されます
取得した使用状況に応じたコスト配分、使用状況の公開は、 System Center 2012 R2の標
準機能や、3rd party製品によって実装されています
26
VMM とOM の連携により、仮想マシンの使用状況 (CPU, Memory, Storage, Network) が
OM DWH に蓄積されていきます
WAP の Usage Service が SPF を通じて OM DWH から使用状況データを取得、テナント
単位でデータを分類
WAP Usage Service からレポート作成ツールがデータを取得し、内部加工ののちユー
ザーに公開
VMM
Operations
Manager
SPF
WAP
Usage
Service
Reporting
詳細な解説や、使用状況データの流れは以下の Blog を参照のこと
How to Integrate Your Billing System with the Usage Metering System
http://blogs.technet.com/b/systemcenter/archive/2013/08/01/how-to-integrate-your-billing-system-withthe-usage-metering-system.aspx
27
28
System Center 2012 R2 Orchestrator に同梱されている Service Reporting を使用すると、
Excel や SharePoint 経由でエンドユーザーに使用状況データを提供可能
29
3rd party製品である『 Cloud Cruiser Express 』と Cloud Cruiser 用 WAP 機能拡張を組み
合わせることで、 WAP のTenant Portal でエンドユーザーに使用状況データを提供可能
機能拡張の導入は WebPI から
Cloud Cruiserの機能として、リソースにコスト設定を行って、課金情報をエンドユーザー
に提供することも可能
30
米 Cloud Cruiser 社が提供する課金管理ソフトウェア
Express 版は WAP での使用状況管理、課金管理に機能限定されていますが、無償で利用
可能
WAP の Admin Portal のリンクからソフトウェアを入手して導入
31
導入の基本的流れは以下のとおり
•
•
•
•
SCVMM と SCOM の 連携設定 ※
SPF とWAP の導入
SPF から SCOM DWH へのアクセス設定
レポーティング機能( Service Reporting / Cloud Cruiser 等)の導入
導入の手順は、以下サイトを参照のこと
IaaS Usage and Service Reporting using System Center 2012 R2 and Windows Azure Pack
http://blogs.technet.com/b/privatecloud/archive/2013/08/27/iaas-usage-and-service-reporting-using-systemcenter-2012-r2-and-windows-azure-pack.aspx
※ SCVMM には Update Rollup2の適用が必要になります。
http://support.microsoft.com/kb/2932926
32
SPF に SCOM 連携設定を行う際、前述の Blog に記述されている PowerShell Cmdlet ではう
まくいかない場合があります
•
手元の環境ではうまくいきませんでした……
以下の PowerShell Cmdlet を使用する事でクリアできました
•
『 New-SCSPFSetting 』の ヘルプに記載されたコマンド使用例( 1: Create a setting )と同じものです
•
New-SCSPFSetting Help
http://technet.microsoft.com/en-us/library/dn472931%28v=sc.20%29.aspx
Import-module spfadmin
$OMDWSqlServer = "scom01.contoso.com"
$OMServer = "scom01.contoso.com"
$stamp = Get-SCSPFStamp;
$server = New-SCSPFServer -Name $OMServer -ServerType OMDW -Stamps $stamp[0];
$setting = New-SCSPFSetting -Name $OMDWSqlServer -Value
"Server=SCOM01¥SYSTEMCENTER;Database=OperationsManagerDW;Trusted_Connection=True;Connect
Timeout=300" -SettingType DatabaseConnectionString -Server $server
33
34
WAP を利用したプライベートクラウドは、 Microsoft Azure にはない便利機能がいろいろ
あります
WAP 自体、 Windows Server と System Center 2012 が展開されている環境であれば、無
償で利用可能です。また、本日紹介させていただいた機能は、すべて追加費用不要で利用
可能です
『 Microsoft Azure のテクノロジで作るプライベートクラウド』を、是非お試しください
35
Windows Azure Pack - Reconfigure portal names, ports and use trusted certificates
http://blogs.technet.com/b/privatecloud/archive/2013/12/10/windows-azure-packreconfigure-portal-names-ports-and-use-trusted-certificates.aspx
Sample Billing Adapter Code for Windows Azure Pack
http://blogs.technet.com/b/privatecloud/archive/2013/12/11/sample-billing-adapter-codefor-windows-azure-pack.aspx
Building Clouds
http://blogs.technet.com/b/privatecloud/
36
37