Cloud OS Tech Day 2014:Windows Azure Pack プライベートクラウドとセルフポータル(仮)
5 likes2,757 views
Windows Azure Pack - Private Cloud and Self-Service Portal - for Cloud OS Tech Day 2014 in Japan
![33
SPF に SCOM 連携設定を行う際、前述の Blog に記述されている PowerShell Cmdlet ではう
まくいかない場合があります
• 手元の環境ではうまくいきませんでした……
以下の PowerShell Cmdlet を使用する事でクリアできました
• 『 New-SCSPFSetting 』の ヘルプに記載されたコマンド使用例( 1: Create a setting )と同じものです
• New-SCSPFSetting Help
http://technet.microsoft.com/en-us/library/dn472931%28v=sc.20%29.aspx
Import-module spfadmin
$OMDWSqlServer = "scom01.contoso.com"
$OMServer = "scom01.contoso.com"
$stamp = Get-SCSPFStamp;
$server = New-SCSPFServer -Name $OMServer -ServerType OMDW -Stamps $stamp[0];
$setting = New-SCSPFSetting -Name $OMDWSqlServer -Value
"Server=SCOM01¥SYSTEMCENTER;Database=OperationsManagerDW;Trusted_Connection=True;Connect
Timeout=300" -SettingType DatabaseConnectionString -Server $server](https://image.slidesharecdn.com/20140614-140615082313-phpapp01/85/Cloud-OS-Tech-Day-2014-Windows-Azure-Pack-33-320.jpg)
Cloud OS Tech Day 2014:Windows Azure Pack プライベートクラウドとセルフポータル(仮)
- 1. Cloud OS Tech Day 2014 2014/06/14 System Center User Group Japan 後藤 諭史(Satoshi GOTO)
- 2. 後藤 諭史( Satoshi GOTO ) 某 ISP 所属。 仮想化製品が主な専門分野です。 ◦ の、はずなんですが、最近は Azure やらなんやら……。 Microsoft MVP - System Center Cloud and Datacenter Management (Jul.2012 - Jun.2014) TwitterとBlogはこちら ◦ Twitter:@wind06106/Blog:Tech Notes(http://www.dob1.info :ドタバタしてて更新サボってます) 2
- 3. セッションの目的 ◦ Windows Azure Pack において、あまり語られることのない 3 つの機能に スポットを当て、機能概要や導入方法をご理解いただく。 セッションのゴール ◦ プライベートクラウド管理に欠かせない 3 つの機能を利用することが できる。 ◦ 週明け、皆様が自社でドヤ顔(以下略 3
- 5. 5
- 6. 6 プライベートクラウドで、 Microsoft Azure と同じインターフェースのセルフサービス ポータル、同様のサービスを実装可能な拡張コンポーネント群 WAP にて実装されているインターフェース、サービスは以下の通り ◦ Web サイト( PaaS ) ◦ 仮想マシン ( IaaS ) ◦ Service Bus ◦ SQL Server と MySQL ◦ オートメーション ◦ 管理者用ポータルとテナント用セルフサービスポータル ◦ 管理用REST ベース API 使用する機能により、必要なコンポーネント( OS 等)が異なります。最小構成では Windows Server 2012 のみで実装可能 IaaS として使用する場合には、 System Center 2012 ( VMM + SPF )が必要
- 7. 7 以下の資料を参照してください 手元で動かす疑似 Azure ~ Windows Azure Services for Windows Server ~ http://download.microsoft.com/download/1/8/6/186060D3-E1C5-407E-8BE2- E5E14A2136BA/TF_WASWS_kozuka.pdf ( Windows Azure Services for Windows Server ベースの資料ですが非常に有用です) App controller と windows azure pack で作る大規模プライベートクラウド http://www.slideshare.net/anikundesu/app-controllerwindows-azure-pack http://www.ustream.tv/recorded/45152294 ( MVP Community Camp 2014 の資料です) Windows Azure パック ステップ バイ ステップ評価ガイド http://download.microsoft.com/download/0/7/B/07BE7A3C-07B9-4173-B251- 6865ADA98E5D/WAP_EvalGuide_v1.0.docx
- 8. 8 以下の資料を参照してください Windows Azure Pack 勉強会 ~ Windows Azure の勢いを自社内で展開するには~ http://download.microsoft.com/download/6/6/D/66DF1C86-2202-4392-A38B- 3664398ED390/20140228_TF_AzurePack.pptx ( Tech Fielders セミナーの資料です)
- 9. 9
- 10. 10 Microsoft Azure 用 PowerShell に同梱(インストールは WebPI で) 使用可能 Cmdlet は 45(Alias 31 、 Cmdlet 14)( Windows Azure PowerShell 0.8.3 ) Microsoft Azure と同じ感覚で、 WAP の操作が可能
- 11. 11 WAP をインストールすると、自己署名証明書が作成され、 https 通信に使用されます WAP の各種管理機能へのアクセスは、全て https により行われます PowerShell を受け付けるサイト( TenantAPI )も自己署名証明書による https 通信を行 うことになりますが、その状態で PowerShell を叩くと、以下のようなエラーが発生 Workaround は、 ADCS 等のエンタープライズ CA による証明書を発行し、 Tenant API サイトの https 通信用に設定します
- 12. 12 証明書の差し替えを行うサイトは『 MgmtSvc-TenantPublicAPI 』 ADCSの標準テンプレートである 『 WebServer 』をベースに、アクセス権等を付与(カ スタマイズ)したテンプレートから作成した証明書が使用可能です
- 13. 13 PowerShell で WAP の管理を行う場合、Microsoft Azureを管理する場合と同様、サブスク リプション(プラン)情報や管理証明書を設定する必要があります Microsoft Azure の場合は 『 Add-AzureAccount 』で設定可能ですが、 WAP の場合はそれ らが記載された発行設定ファイル( PublishSettingsFile )を取得し、インポートする必要 があります 『 Get-WAPackPublishSettingsFile 』 Cmdlet が実装されていますが、この Cmdlet で発 行設定ファイルを取得するためには、あらかじめ 『 Add-WAPackEnvironment 』 Cmdlet を使用して、 PublishSettingsFileUrl の設定が必要です ブラウザで、直接 PublishSettingsFileUrl で設定されるサイトに接続することにより、発 行設定ファイルが取得可能です
- 14. テナントポータルの『 /publishsettings 』へアクセス テナントポータルへのサインイン処理ののち、 PublishSettingsFile が発行される ダウンロードしたファイルには、管理証明書が含まれているので取り扱いには注意が必要 14
- 15. 15 WAP 用 PowerShell Cmdlet 『 Import-WAPackPublishSettingsFile 』を実行して、取得し た PublishSettingsFile をインポート 以上で、 PowerShell によるWAPの管理が可能に
- 16. 16
- 17. 17 対応クライアントは Remote Desktop Protocol 8.1 以降( Windows7 SP1 は要 KB2830477 ) RDGateway には 『Microsoft System Center Virtual Machine Manager コンソール接続ゲート ウェイ』の導入が必要 導入モジュールは SC2012 VMM ISO の『 ¥amd64¥Setup¥msi¥RDGatewayFedAuth 』に格納 されています Hyper-V ホストRDGatewayFirewall https(443/tcp) vmconnect(2179/tcp) Client
- 19. 19 導入は 3 ステップ • VMM 管理サーバーへの証明書の導入 • Hyper-V ホストへの証明書の配布と設定 • RDGateway の実装 導入の手順は、以下サイトを参照のこと Remote Console in System Center 2012 R2 http://technet.microsoft.com/en-us/library/dn469415.aspx
- 20. 20 秘密鍵を含む証明書を VMM 管理サーバーに導入 証明書の要件は以下の4つ • 有効期限が切れていない事 • キー使用法に『Digital Signature』が含まれている事 • 拡張キー使用法に『クライアント認証(1.3.6.1.5.5.7.3.2)』が含まれている事 • 暗号化サービスプロバイダーが『 Microsoft Enhanced RSA and AES Cryptographic Provider 』である事 自己署名証明書を使用する場合には、『 makecert.exe 』で以下例を参考に作成 • 『 -e 』には証明書の有効期限、『 <CertificateName> 』には作成する証明書のファイル名を指定 • 上記例では、 秘密鍵を含む証明書がユーザーアカウントの個人に格納されるので、秘密鍵込みでエ クスポートを実施 makecert -n "CN=Remote Console Connect" -r -pe -a sha256 -e <mm/dd/yyyy> -len 2048 -sky signature -eku 1.3.6.1.5.5.7.3.2 -ss My -sy 24 "<CertificateName>.cer"
- 21. 21 ADCS の場合、証明書テンプレートを作成の上、証明書を発行 コンピューター証明書テンプレートをコピーして、以下の項目を変更 • 要求処理 → 用途 :署名 • 暗号化 → プロバイダー : Microsoft Enhanced RSA and AES Cryptographic Provider • 拡張機能 → アプリケーションポリシー:クライアント証明
- 22. 22 自己署名証明書の場合、 Hyper-V ホスト、 RDGateway の『信頼できるルート証明機関』に 自己署名証明書 (.cer) を手動にてストアする必要があります Hyper-V ホスト、 RDGateway と同一のセグメントにあるクライアントからコンソール接続を 行うと、 RDGateway を経由せずに、直接 Hyper-V ホストへ接続してしまう場合があります • 原因 :ローカルセグメントのため、 RDGateway を経由せずに、直接 Hyper-V ホストに 接続を試行してしまう。 • Workaround :別セグメントから接続を行う。
- 23. 23 RDGateway 設定後、AuthenticationPlugin と AuthorizationPlugin のプロパティーが、正しく 設定されていない場合があります(条件不明) • 『 -e 』には証明書の有効期限、『 <CertificateName> 』には作成する証明書のファイル名を指定 • 上記例では、 秘密鍵を含む証明書がユーザーアカウントの個人に格納されるので、秘密鍵込みでエ クスポートを実施 makecert -n "CN=Remote Console Connect" -r -pe -a sha256 -e <mm/dd/yyyy> -len 2048 -sky signature -eku 1.3.6.1.5.5.7.3.2 -ss My -sy 24 "<CertificateName>.cer" 要修正例 正しい例
- 24. 24 この設定は、 RDGateway の認証プラグインの設定であるため、プラグインが有効化されて いないと証明書による認証ができません プロパティーが正しく設定されなかった場合、以下の PowerShell Cmdlet を使用して、手動 にて設定します PowerShell Cmdlet 実行後は、RDGateway サービスの再起動が必要です $g = Get-WmiObject -Namespace root¥CIMV2¥TerminalServices -Class Win32_TSGatewayServerSettings $g.SetAuthenticationPlugin("FedAuthAuthenticationPlugin") $g.SetAuthorizationPlugin("FedAuthAuthorizationPlugin") $g.RecycleRpcApplicationPools()
- 25. 25
- 26. 26 プライベートクラウドといえども、コスト配分は必要です そのためには『正しい使用時間』の把握と、『現在の使用コスト』の公開が必須です 『正しい使用時間』の把握に必要な機能が、使用状況管理機能です IaaSにおいて、この機能は System Center 2012 R2 VMM と SPF 、 Operations Manager の連携によって実現されます 取得した使用状況に応じたコスト配分、使用状況の公開は、 System Center 2012 R2の標 準機能や、3rd party製品によって実装されています
- 27. 27 VMM とOM の連携により、仮想マシンの使用状況 (CPU, Memory, Storage, Network) が OM DWH に蓄積されていきます WAP の Usage Service が SPF を通じて OM DWH から使用状況データを取得、テナント 単位でデータを分類 WAP Usage Service からレポート作成ツールがデータを取得し、内部加工ののちユー ザーに公開 詳細な解説や、使用状況データの流れは以下の Blog を参照のこと How to Integrate Your Billing System with the Usage Metering System http://blogs.technet.com/b/systemcenter/archive/2013/08/01/how-to-integrate-your-billing-system-with- the-usage-metering-system.aspx VMM Operations Manager SPF WAP Usage Service Reporting
- 28. 28
- 29. 29 System Center 2012 R2 Orchestrator に同梱されている Service Reporting を使用すると、 Excel や SharePoint 経由でエンドユーザーに使用状況データを提供可能
- 30. 30 3rd party製品である『 Cloud Cruiser Express 』と Cloud Cruiser 用 WAP 機能拡張を組み 合わせることで、 WAP のTenant Portal でエンドユーザーに使用状況データを提供可能 機能拡張の導入は WebPI から Cloud Cruiserの機能として、リソースにコスト設定を行って、課金情報をエンドユーザー に提供することも可能
- 31. 31 米 Cloud Cruiser 社が提供する課金管理ソフトウェア Express 版は WAP での使用状況管理、課金管理に機能限定されていますが、無償で利用 可能 WAP の Admin Portal のリンクからソフトウェアを入手して導入
- 32. 32 導入の基本的流れは以下のとおり • SCVMM と SCOM の 連携設定 ※ • SPF とWAP の導入 • SPF から SCOM DWH へのアクセス設定 • レポーティング機能( Service Reporting / Cloud Cruiser 等)の導入 導入の手順は、以下サイトを参照のこと IaaS Usage and Service Reporting using System Center 2012 R2 and Windows Azure Pack http://blogs.technet.com/b/privatecloud/archive/2013/08/27/iaas-usage-and-service-reporting-using-system- center-2012-r2-and-windows-azure-pack.aspx ※ SCVMM には Update Rollup2の適用が必要になります。 http://support.microsoft.com/kb/2932926
- 33. 33 SPF に SCOM 連携設定を行う際、前述の Blog に記述されている PowerShell Cmdlet ではう まくいかない場合があります • 手元の環境ではうまくいきませんでした…… 以下の PowerShell Cmdlet を使用する事でクリアできました • 『 New-SCSPFSetting 』の ヘルプに記載されたコマンド使用例( 1: Create a setting )と同じものです • New-SCSPFSetting Help http://technet.microsoft.com/en-us/library/dn472931%28v=sc.20%29.aspx Import-module spfadmin $OMDWSqlServer = "scom01.contoso.com" $OMServer = "scom01.contoso.com" $stamp = Get-SCSPFStamp; $server = New-SCSPFServer -Name $OMServer -ServerType OMDW -Stamps $stamp[0]; $setting = New-SCSPFSetting -Name $OMDWSqlServer -Value "Server=SCOM01¥SYSTEMCENTER;Database=OperationsManagerDW;Trusted_Connection=True;Connect Timeout=300" -SettingType DatabaseConnectionString -Server $server
- 34. 34
- 35. 35 WAP を利用したプライベートクラウドは、 Microsoft Azure にはない便利機能がいろいろ あります WAP 自体、 Windows Server と System Center 2012 が展開されている環境であれば、無 償で利用可能です。また、本日紹介させていただいた機能は、すべて追加費用不要で利用 可能です 『 Microsoft Azure のテクノロジで作るプライベートクラウド』を、是非お試しください
- 36. 36 Windows Azure Pack - Reconfigure portal names, ports and use trusted certificates http://blogs.technet.com/b/privatecloud/archive/2013/12/10/windows-azure-pack- reconfigure-portal-names-ports-and-use-trusted-certificates.aspx Sample Billing Adapter Code for Windows Azure Pack http://blogs.technet.com/b/privatecloud/archive/2013/12/11/sample-billing-adapter-code- for-windows-azure-pack.aspx Building Clouds http://blogs.technet.com/b/privatecloud/
- 37. 37