1. Michael Kirst-
Neshva
MVP Office 365
Senior IT-Infrastructure Architect
ANK Business Services UG mkn@ankbs.de
WindowsAzure
Hybrid Cloud mit
Windows AZURE Active
Directory
(WAAD)
SharePoint
Konferenz
Wien 2013
Veranstalter:
2. „If deploying an application requires a developer‘s involvement,
it‘s not IaaS“
• Abstrahiert physische Hardware
• Kunde ist verantwortlich für das OS, Software und
Datenbanken
• Rechenkapazitäten wie Performance, Bandbreite und
Speicherzugriff sind standardisiert
Was ist Infrastructure as a Service?
Infrastructure as a Service in Windows Azure
5. VM-Größe Anzahl
CPUs
RAM Bandbreit
e
Anzahl
Disks
SQL
Edition
Extra
Small
Shared 768 MB 5 (Mbps) 1 Express
Small 1 1.75 GB 100
(Mbps)
2 Standard
Medium 2 3.5 GB 200
(Mbps)
4 Standard
Large 4 7 GB 400
(Mbps)
8 Standard/
Enterprise
Extra
Large
8 14 GB 800
(Mbps)
16 Standard/
Enterprise
Jede persistente Disk kann bis zu 1 TB betragen
Verfügbare VM-Größen
Infrastructure as a Service in Windows Azure
7. • Cloud Services stellen einen logischen
Container zur Ausführung von VMs dar
• Befindet sich nur eine VM in diesem,
wird er im Azure Portal nicht extra
ausgewiesen
• Cloud Services besitzen jeweils ein
eigenes virtuelles Netzwerk
• Sind von außen via öffentlicher IP
erreichbar (VIP)
• Ports sind zur Laufzeit konfigurierbar
• Cloud Services können via VPN mit
lokalen Netzen verbunden werden
(IPsec)
Virtual Machines können gemeinsam in einem gemeinsamen Cloud Service gehostet werden
Cloud Services
18. • Zum korrekten Tunnelaufbau wird KB2523881 benötigt
(Windows Server 2008/R2)
• http://support.microsoft.com/default.aspx?scid=kb;EN-US;2523881
• Sowohl der Gateway Rechner in Azure, als auch der Rechner
welcher lokal als IPsec-Endpunkt dient, haben keine
Konnektivität zu den Rechnern auf der anderen Seite des
Tunnels
• IPsec-Tunnel sind nicht kompatibel mit NAT
• Auch Portweiterleitungen funktionieren nicht
• öffentliche IP direkt an NIC des Windows Servers wird benötigt
• IPsec-Tunnel wird Azure-seitig initiiert
Besonderheiten bei der Konfiguration
19. Windows Azure Networks
Subnetz C
z.B.
10.10.5.0/24
Subnetz B
z.B.
10.10.4.0/24
Subnetz A
z.B.
10.10.3.0/24
GatewaySubnetz
z.B.10.10.1.0/24
Web-Server
File-Server
SQL-Server
WindowsServer
ÖffentlicheIP
20. Dieser Host sieht
keine Rechner im
WA VNET !
Beispielaufbau
Lokales Netz 192.168.150.0/24
192.168.150.30
WAVNET192.168.0.0/19
98.78.65.43
192.168.150.10
SP1
192.168.4.5
192.168.1.5
SP2
192.168.4.4
192.168.1.4
DB2
192.168.5.5
DB1
192.168.5.4
Gateway Subnetz 192.168.1.0/24
SharePoint Server Subnetz
192.168.4.0/24
DB-Server Subnetz
192.168.5.0/24
Gate-
way
192.168.1.11
169.23.42.23
21. Anbindung verschiedener Cloud Solutions / Cloud Provider
Hybrid Möglichkeiten
Lokales Netzwerk
SP1SP2
SAPArchive
Gate-
way
Windows AZURE Netzwerk
Cloud Service Provider
Netzwerk
Gate-
way
22. Anbindung verschiedener Cloud Solutions / Cloud Provider
Hybrid Möglichkeiten
Lokales Netzwerk
SP1SP2
SAPArchive
Gate-
way
Windows AZURE Netzwerk
Cloud Service Provider Netzwerk
Gate-
way
Internet
Gate-
way
Internet
23. Anbindung verschiedener Cloud Solutions / Cloud Provider
Hybrid Möglichkeiten – Beispiel SharePoint Backup
Lokales Netzwerk
SP1SP2
SAPArchive
Gate-
way
Windows AZURE Netzwerk
Cloud Service Provider Netzwerk
Gate-
way
Internet
Gate-
way
Internet
AZURE Storage
24. • Windows Azure Networks bietet standardkompatible IPsec-Tunnel
zwischen VNets aus Cloud Services und On-Premises-Netzen
• Beispielkonfigurationsskripte für
• Cisco ASA / ISR / ASR
• Juniper SSG / ISG
• Andere IPsec-Endpunktsysteme denkbar
• Windows Server – RRAS (Windows 2008 R2)
• Linux (Router) (z.B. RouterOS von RouterBOARD)
• AppGate der Firma Cryptzone
• Windows 2012 als RRAS offiziell supportet
• Leistungsfähiges Webportal zur Konfiguration von komplexen
Netzwerkumgebungen in Windows Azure
Zusammenfassung
35. Internet
Persistent VM Role
SharePoint
FrontEnd
Persistent VM Role
SharePoint
FrontEnd
Persistent VM Role
Search and Indes
Persistent Desk
Persistent VM Role
DC DNS
Server Account
Persistent VM RoleSQL
Persistent VM Role
SQL
Local DNS
SQLMirroring
Windows Azure Virtual Network
Use Accounts
On
Premises
DC DNS
10.8.8.x
Domain Joined to On-
Premises Network
39. Installation Scenario Deployment type and scale RAM Processor Hard Disk
Space
Single server with a built-in
database or single server
that uses SQL Server
Development or evaluation
installation of SharePoint
Foundation 2013
8 GB 64-bit, 4
cores
80 GB for
system drive
Single server with a built-in
database or single server
that uses SQL Server
Development or evaluation
installation of SharePoint
Server 2013
24 GB 64-bit, 4
cores
80 GB for
system drive
Web server or application
server in a three-tier farm
Pilot, user acceptance test, or
production deployment of
SharePoint Server 2013
12 GB 64-bit, 4
cores
80 GB for
system drive
SharePoint Server Configuration
40. SQL Server Configuration
Component Minimum requirement
Processor 64-bit, 4 cores for small deployments
64-bit, 8 cores for medium deployments
RAM 8 GB for small deployments
16 GB for medium deployments
42. Technical Deployment Considerations for SharePoint 2013
on Windows Azure Virtual
http://gallery.technet.microsoft.com/Technical-Deployment-
db645804
Install SharePoint 2013 on AzureVM–How to
http://blogs.technet.com/b/patrick_heyde/archive/2013/01/25/ins
tall-sharepoint-2013-on-azurevm-how-to.aspx
Deployment Guide SharePoint 2013
43.
44. Web Ressourcen
Unter folgenden Einstiegspunkten finden sich alle Ressourcen, die für einen Start in Windows Azure wichtig sind
• Windows Azure Homepage
http://www.azure.com
• Kostenloser Demo-Account
http://www.windowsazure.com/en-us/pricing/free-trial/?WT.mc_id=A2DCCE88E
• Windows Azure Development Center
http://www.windowsazure.com/en-us/develop/overview/
• Windows Azure SDKs
http://www.windowsazure.com/en-us/develop/downloads/
• Windows Azure Training Kit
http://www.windowsazure.com/en-us/develop/net/other-resources/training-kit/
• Kundenreferenzen
http://www.microsoft.com/de-de/business/kundenreferenzen/default.aspx?product=53
• Video-Serie zu Windows Azure (10-Minuten-Videos):
http://www.youtube.com/watch?v=kLfaa_19yB4&list=PLC71216BDE26EBE8C
45. Guidelines for Deploying Windows Server Active Directory on Windows Azure Virtual Machines
http://msdn.microsoft.com/en-us/library/windowsazure/jj156090.aspx
Create a Virtual Network for Cross-Premises Connectivity
http://www.windowsazure.com/en-us/manage/services/networking/cross-premises-connectivity/
Compliance and Security
http://www.windowsazure.com/de-de/support/trust-center/compliance/
RouterBOARD (RouterOS) – MikroTik (ab 45 USD bzw. 1 User for Free)
http://www.mikrotik.com/software.html
Guided Tour of Windows AZURE Active Directory
http://haishibai.blogspot.com/2012/07/guided-tour-of-windows-azure-active.html
How to connect your on-premise network to Windows Azure using Windows Server as a VPN gateway
http://morgansimonsen.wordpress.com/2012/10/24/how-to-connect-your-on-premise-network-to-windows-azure-using-
windows-server-as-a-vpn-gateway-2/
Integrating Active Directory into Windows Azure Virtual Machines
http://clintedmonson.ulitzer.com/node/2523213
Weitere Webressourcen
46. SharePoint Camp
ab 08. Juli in München
ab 05. August in Berlin
ab 02. September in Karlsruhe
in zwei speziellen Versionen
www.SharePointCamp.de
Trainings und Events der ppedv
Mehr als 100 verschiedene Trainings auf
Microsoft-Technologien spezialisiert
11 Standorte in AT & D Maßgeschneiderte Trainings direkt bei Ihnen vor Ort!
www.ppedv.at
Wir sehen uns wieder!
47. Hat Ihnen mein Vortrag gefallen?
Ich freue mich auf Ihr Feedback!
Bei IaaS behalten Sie als Kunde und Dateninhaber die volle Kontrolle über die bereitgestellten Applikationen, die Daten und die Verfügbarkeit.Es wird also nur der „klassische Betrieb“ einer Anwendung mit den dazugehörigen Kosten in die Cloud (Microsoft AZURE) verlagert.
Für eine IaaS Hybrid Cloud Solution werden die Elemente SM2M (Secure MachinetoMachine) und S2S (Site to Site) Netzwerk Konnektivität benötigt.
Talk TrackCloud Service sind eine Art Bereitstellungscontainer für Instanzen virtueller MaschinenJeder Cloud Service ist von außen via einer öffentlichen IP erreichbarDie einzelnen VMs sind jedoch nicht direkt ansprechbar, sondern es müssen explizit die entsprechenden Ports an die gewünschte VM durchgeleitet werdenVerschiedene Cloud Services sind standmäßig isoliert und haben keine Netzwerkverbindung zueinandermehrere VMs in einem Cloud Service können die gleiche Rolle ausführen um Load-Balancing zu betreibenAllerdings lassen sich auch individuelle Cloud Services konfigurieren, welche nicht für ein Scale-Out-Szenario vorgesehen sindDabei lassen die bereits bereitgestellten, oder selbst konfigurierte Vorlagen verwendenMittels der Portkonfiguration im Management Portal ist es möglich Endpunkt zu definieren welche durch einen Load-Balancer bedient werden sollenVirtual Maschinen in einem Cloud Service befinden gemeinsamen virtuellen Netzwerk und haben untereinander NetzwerkkonnektivitätEs ist möglich die virtuellen Netzwerke von Cloud Services mit lokalen Netzen zu verbindenWindows Azure erlaubt dafür das Erstellen eines standardkonformen IPsec-Tunnels, welcher von lokalen Endpunkten angenommen werden kann
Slide Objectives:Highlight the portability and no lock in of Windows Azure Virtual MachinesSpeaking Points:There are a few aspects of the Windows Azure Virtual machines feature that I want to talk more about.One of the ability to have Virtual Machine Portability between Windows Azure and different environments. All of the virtual machines running in Windows Azure are using what we call the VHD file format. VHD is an open specification that we’ve released. We use VHDs in a variety of other products including Windows Server virtualization.VHD’s created or uploaded to Windows Azure can be downloaded from Windows Azure and run on-premesis.
(SLIDE CONTAINS BUILDS OF THE NEXT FOUR SLIDES)Slide Objectives:Discuss Windows Azure Virtual MachinesSpeaking Points:The benefit of using the same file format is that it’s really easy open file format is that it’s really easy …The beneift is that since we’re using an open file format, you have the ability to take a VM from your own data center and upload it to Windows AzureYou don’t have to run an import / export process. You simply upload it and it worksThere’s no conversion tools or agent you have to install in the VM, it just works. [build]You can also take, for example, either the Windows or Linux VMs that we created in Windows Azure and we make it really easy for you to download the VHD locally and you can then boot it up on a local server in whatever environment that you want. Again you don’t have to export it or convert it, just click and download it. It’s not a one way street[build]The other thing this offers is that it not only allows you to run in Windows Azure as a data center but it also allows you to run in other service providers as well.You can take VMs from any of these locations and move them into another data center[build]The end result is that you have a lot of flexibility, a lot of portability, and ensures that you have no lock-in
(SLIDE CONTAINS BUILDS OF THE NEXT FOUR SLIDES)Slide Objectives:Highlight Windows Azure Durable Storage and how it works with Virtual MachinesSpeaking Points:The other neat thing that we’re doing with Windows Azure now is making it possible for you to mount durable drives to your virtual machine. We’re trying to do it in way that it is very reliable, consistent, and delivers a high performance.One of the things that’s different about how we enabled it is that when you mount a drive either in the portal or in the command line we are backing the disk with the Windows Azure Storage system that we’re running in the cloud todayThere are a couple nice characteristics about the storage system.Replication One is that we triple replicate the content within the data center. If a disk ever goes bad that you data is on then we have two other copies of the data that we can work with and we do not have any interruption of serviceWe can then spin up a new replica once we detect a disk is badFrom your VMs perspective you never know that an issue actually occurred[build]So you get much more reliability and an always on experience even when hardware failsNotes:Mention that Windows Azure Virtual Machines are backed by a durable store. Let’s spend a few minutes talking about how this works.
Speaking Points:Another thing that is nice about the Windows Azure Storage solution is that we have support for Continuous storage geo-replicationWhat this means is that whenever you save something in the storage system, in the background we can automatically replicate the data to another datacenter. We guarantee that these data centers are several hundred miles apart so that in the case of a natural disaster or a complete data center failure you can be ensured that a copy of your data exists somewhere else. You don’t have to set anything up to enable it. It’s automatically enabled by default.You can turn it off if there are policy reasons why you wouldn’t want it enabled. The end result is that you can deliver more robust solutions with even greater integrity
Slide Objectives:Describe Geo-replicationSpeaking Points:Another thing that is nice about the Windows Azure Storage solution is that we have support for Continuous storage geo-replicationWhat this means is that whenever you save something in the storage system, in the background we can automatically replicate the data to another datacenter. We guarantee that these data centers are several hundred miles apart so that in the case of a natural disaster or a complete data center failure you can be ensured that a copy of your data exists somewhere else. You don’t have to set anything up to enable it. It’s automatically enabled by default.You can turn it off if there are policy reasons why you wouldn’t want it enabled. The end result is that you can deliver more robust solutions with even greater integrity
@KB2523881Pakete auf einem Client-Computer gesendet werden, die hinter einem NAT-Gerät befindet, wird der Computer mit Windows 7 oder Windows Server 2008 R2 nicht die richtige Sicherheitszuordnung (SA) ausgewählt. Aus diesem Grund kann der IPSec-Tunnel nicht hergestellt werden. Hotfix behebt das ProblemGateway-Rechner haben selbst keine Konnektivität in die anderen NetzeIPsec-Tunnel sind nicht kompatibel zu NAT (Network Address Translation ). Es ist daher beispielsweise nicht möglich mittels Portweiterleitung an einen Rechner / VM hinter beispielsweise einem standard-DSL-Router einen IPsec-Tunnel aufzubauen. Zumindest wenn Windows Server als IPsec-Endpunktgerät verwendet wird kann in einer solchen Konfiguration kein Tunnel ausgehandelt werdenDie IPsec-Tunnel zwischen lokalen und Azure-seitigen Netzen werden vom Gateway in der Windows Azure Plattform initiiert. Der Gateway beginnt nach der Erstellung und der Konfiguration der öffentlichen IP des lokalen mit dem Senden von Paketen mit Anfragen zum Tunnelaufbau (ca. alle 10 Sekunden)
Windows Azure Netzwerke ermöglicht neben der bloßen Bereitstellung eines Adressraume eine Zerlegung dessen in SubnetzeDies ermöglicht eine Trennung von einzelnen Host je nach Funktionalität in den jeweiligen Netzen, welches wiederum in einer besseren Verwaltbarkeit resultiertVPN wird von Windows Azure mittels eines separaten Gateway-Subnetzes bereitgestelltDer Gateway ist selbst kein via RDP erreichbarer Host, sondern eher eine von der Fabric bereitgestellte NetzwerkkonfigurationDer IPsec-Tunnel ist für die Hosts in Azure transparent, für diese macht es keinen Unterschied, ob in ein anderen Vnet in Azure oder via VPN in ein On-Premises-Netz geroutet wirdWindows Server als Endpunkt benötigt eine öffentliche IP direkt an der Netzwerkkarte des Servers
Beispielhaft eine Konfiguration für ein lokalen Netzwerk in 192.168.150.0/24 gezeigt, welches mit einem Netzwerk in Windows Azure (192.168.0.0/19) verbunden wurdeMittels den Optionen im Web Portal kann das Netz in Azure komfortabel in weitere Subnetze zerlegt werden192.168.150.10 stellt in diesem Fall den lokalen Gateway für das VPN nach Azure dar. (wichtig : öffentliche IP direkt an der Server / Gateway NIC)Nach der Erstellung es Gateways auf der Seite von Windows Azure, initiiert dieser einen Tunnel mittels IKE-Request an die im Portal angegebene öffentliche IP des lokalen Servers (UDP / Port 500)Wichtig: der lokal Gateway-Rechner hat selbst keine Verbindung in das Windows Azure Netzwerk. Mittels des Windows Routing und RAS Dienstes werden nur Pakete aus dem restlichen Netzwerk in den Tunnel weitergeleitetAnmerkungDer parallele Betrieb eines PPTP-VPN-Servers auf dem IPsec-Gateway funktioniert nicht in der Form, dass PPTP-Clients zugriff auf das Azure-Netzwerk und Verwendung des Routing-Dienstes erhalten können. Daher ist für eine Client PPTP Lösung ein zusätzlicher Router bzw. Gateway für das interne Netzwerk notwendig.
Windows Azure Networks bietet eine standardkompatible IPsec-Tunnel um Netzwerke im Azure Data Center mit lokalen Netzwerken zu verbinden Für einige populäre Geräte(-Plattformen) werden Beispielkonfigurationsskripte innerhalb des Webportal zur Verfügung gestellt. Dies umfasstCisco ASA / ISR / ASRJuniper SSG / ISGAufgrund der Standardkonformität sind allerdings auch eine Vielzahl andere Endgeräte denkbarWindows ServerLinux, hier insbesondere Router-Distributionen wie DD-WRT o.a.Die gesamte Konfiguration lässt sich komfortabel mittels des Webportals verwalten. Innerhalb von 10-15 Minuten (mit Wartezeiten) lässt sich ein komplettes Netzwerk mit mehreren Host und einer VPN-Verbindung ins lokale Netzwerk erstellen
Objective:This slide describes the problems customers face:What happens to authentication when applications are exposed, or moved to cloud without AD?How to leverage the user resources from popular social networks?How to allow users from business partners to access protected resources?How to authenticate users on mobile devices?Notes:Here there’s a list of cloud scenarios we consider of interest in term of how identity is handled.<click> our baseline is the classic on premises scenario.<click> you have a data center, <click> a population of internal users and <click> some authentication infrastructure, such as Active Directory, maintaining their accounts.<click> applications targeting such environment will follow the current intranet practices.<click> We will then introduce Windows Azure in the picture and observe how things change when the application moves to the cloud; we'll consider this both from the architecture and products usage perspectives.<click> Then we'll move to consider what happens when the application is exposed to multiple business partners, and the implications on authentication and relationships management.<click> However business partners represent an important but tiny fraction of all the possible population <click> you an cater to if you target the internet users.<click> live id, Google, Facebook and yahoo! have hundreds of millions of users; the authentication requirements in those conditions are completely different than the business case, although as we will see the solutions may end up being surprisingly similar.<click> Finally, the mobile scenario is of great importance and again apparently a completely different problem space. Using claims-based identity makes it very easy to progressively accommodate all those different scenarios.Without further ado, let’s get started.
Objectives:Security is a common request of applications. However implementing **proper** security is hard. Also, additional security-related code increases complexity and attacking surface to your applications. We need authentication and authorization abstracted away so we can focus on business logics.Transition:N/ASpeaking Points:Implementing proper security is hardSecurity should not be added later on, but should be designed into the system at beginning.Notes:N/A
Slide Objective:Show how SharePoint could be deployed in a hybrid approach