windows azure connect. software development team lead en plain concepts [email protected]
TRANSCRIPT
WINDOWS AZURE CONNECT
• Software Development Team Lead en Plain Concepts
http://www.estoyenlanube.com http://geeks.ms/blogs/ilanda
@ibonilm
IBON LANDA MARTIN
www.estoyenlanube.com
• Conexión segura entre soluciones on-premise y en la nube– Protocolos IP standard
• Se aprovechan las inversiones actuales en IT
• Integrar aplicaciones de la nube con aplicaciones existentes o con orígenes de datos externos
• Muy fácil de instalar y gestionar
• Disponible la versión CTP desde Diciembre de 2010
WINDOWS AZURE CONNECT
Azure
Enterprise
EN CONTEXTO
CLOUD ENTERPRISE
Data SynchronizationSQL Azure Data Sync
Application-layer Connectivity & Messaging
Service Bus
SecurityFederated Identity and Access Control
Secure Network ConnectivityWindows Azure Connect
• Activa los WA Roles para disponer de conectividad externa a través del service model
• Permite la conectividad externa de equipos instalando un agente– Plataformas soportadas: Win Server 2008,
2008 R2, Vista, y Win7
• Administración de políticas de red a través del portal de WA
• Conexión segura entre las instancias de los roles y los equipos externos– Protocolo IP standard– IPSec, SSL– Resolución DNS de nombres
UN POCO MÁS…
Role A Role B
Role C(multiple VM’s)
Enterprise
Dev machines
Databases
Relay
• Para activar Connect en un servicio WA, requiere cierta configuración– Para Web y Worker roles se incluye un plugin como parte del service model
(.csdef file)– Para VM roles, el agente se debe instalar en la imagen VHD usando el
paquete de instalación de Connect para VM– El agente se despliega de forma automática por cada nueva instancia que se
arranca
• La configuración se administra a través del fichero ServiceConfiguration (.cscfg)– Requiere => “ActivationToken”
• Único por subscripción y accesible desde el portal de administración
DESPLIEGUE EN SERVICIOS AZURE
DESPLIEGUE EN SERVICIOS AZURE
• En los equipos locales hay que instalar y activar el agente de Connect para permitir la conectividad– Link Web
• Se obtiene de la interfaz de administración• Token único por instalación en la URL
– Instalador Standalone
• Lee token desde el registro• Permite la instalación con herramientas de distribución
• El agente de Connect tiene tray icon y una UI cliente– Ver estado y conectividad – Refrescar políticas de seguridad
• El agente de Connect gestiona automáticamente la conectividad de red– Crear el adaptador de red virtual, conectarse al “relay” cuando se necesite, configurar las políticas de
seguridad, resolución DNS..
DESPLIEGUE ON-PREMISE
DESPLIEGUE ON-PREMISE
• Desde el portal de administración Windows Azure
• Los equipos locales se organizan en grupos– Un equipo puede pertenecer a uno o ningún grupo
• Los roles de WA se pueden conectar a grupos– Permite la conexión entre todas las instancias del rol y los equipos locales del
grupo– WA Connect no controla la conectividad entre instancias de roles
• Los grupos se puede conectar a otros grupos– Habilita la conectividad entre los equipos de cada grupo– Útil para escenarios de roaming
POLÍTICAS DE RED
POLÍTICAS DE RED
SERVER1
SERVER2
Windows Azure
SERVER3DEV_LAPTOP1
Role A
Instance3Instance2Instance
Role B
Instance3Instance2Instance
DEV_LAPTOP2
My Servers My Laptops
POLÍTICAS DE RED
POLÍTICAS DE RED
• Los recursos conectados (WA Role instances y equipos externos) realizan todas las comunicaciones de forma seguridad a nivel de protocolo IP– Independiente de la topología física de red (Firewalls / NAT’s), sólo se necesita
salida https (puerto TCP 443)
• Cada equipo conectado tiene una dirección IPv6 enrutable– EL agent de Connect crea un adaptador de red virtual– No se realizan cambios en las redes existentes
• Comunicación segura end-to-end basado en IPSec
• Existe resolución de nombres en los equipos conectados– Windows Azure instance local computer– Local computer Windows Azure instance
MODELO DE RED
MyContoso.comMyContoso.com
Windows AzureWindows Azure
DC SQL Server
http://customersearch.mycontoso.com
IIS Servers
http://customersearch.mycontoso.com
IIS Servers
Requirements for Customer Search•Servidores de frontend en WA•El SQL Server on-premise permite sólo autenticación Windows•IIS/ASP.NET se conecta con autenticación integrada al SQL Server•Añadir al dominio las máquinas de Azure, a un determinado OU•Usa las credenciales de AD para controlar quién puede acceder a las instancias•Administración remota de las máquina de Azure empleando Powershell•Las máquinas de WA pueden acceder a los ficheros compartidos de las máquinas on-premise
Remote Admin
File Server
DEMO
• Un rol de WA accediendo un SQL Server on-premise– O un servidor de ficheros o una aplicación de línea de negocio etc…
• Escenario de unión a dominios– Controlar el acceso a las instancias de WA empleando cuentas de dominio– Utilizar autenticación integrada de IIS en los Web Roles– Ejecutar un rol con una cuenta de dominio para acceder a un recursos on-
premise, por ejemplo un SQL Server securizado con autenticación integrada
• Lanzar comandos powershell contras las instancias de WA– O acceso a una unidad de red, event log etc..
ESCENARIOS
• El plugin de Connect permite la unión de roles de WA a un Active Directory on-premise
• Una instancia de un rol de WA añadida a un dominio no se comporta igual que un equipo on-premise
• Las instancias no garantizan la persistencia del estado local; las identidades de las instancias pueden cambiar a lo largo del tiempo
• Recomendación general: las instancias deben usar las identidades en AD en lugar de ser gestionado como un equipo más del dominio
UNIÓN A UN DOMINIO
UNIÓN A UN DOMINIO
UNIÓN A UN DOMINIO
DEMOHOLA CONNECT!!
DEMOCONEXIÓN SQL SERVER
ON-PREMISE
DEMOUNIÓN A UN
DOMINIO
AZURE CONNECT VS APPFABRIC
AZURE CONNECT VS APPFABRIC
DEMOAPPFABRIC CACHE
