Cloud OS Tech Day 2014

2014/06/14

System Center User Group Japan

後藤諭史（Satoshi GOTO）

後藤諭史（ Satoshi GOTO ）

某 ISP 所属。

仮想化製品が主な専門分野です。◦ の、はずなんですが、最近は Azure やらなんやら……。

Microsoft MVP - System Center Cloud and Datacenter Management

（Jul.2012 - Jun.2014）

TwitterとBlogはこちら◦ Twitter：@wind06106／Blog：Tech Notes（http://www.dob1.info ：ドタバタしてて更新サボってます）

2

セッションの目的◦ Windows Azure Pack において、あまり語られることのない 3 つの機能にスポットを当て、機能概要や導入方法をご理解いただく。

セッションのゴール◦ プライベートクラウド管理に欠かせない 3 つの機能を利用することができる。

◦ 週明け、皆様が自社でドヤ顔（以下略

3

本セッション資料ですが、個人で準備した環境において、個人的に実施した検証／結果を基に記載しています。

あくまで個人の意見／見解であり、所属する会社／組織及びマイクロソフト社とは『まったく／なにも／全然』関係がございません。

所属する会社／組織／マイクロソフト社の正式な回答／見解ではない事に留意してください。

また、本資料を閲覧した事により問題が生じた場合、または問題が発生しかけた場合、または生じた一切の不利益について、発表者は一切の責任を負う事はできませんのでご了承ください。

4

5

6

プライベートクラウドで、 Microsoft Azure と同じインターフェースのセルフサービスポータル、同様のサービスを実装可能な拡張コンポーネント群

WAP にて実装されているインターフェース、サービスは以下の通り

◦ Web サイト（ PaaS ）

◦ 仮想マシン（ IaaS ）

◦ Service Bus

◦ SQL Server と MySQL

◦ オートメーション

◦ 管理者用ポータルとテナント用セルフサービスポータル

◦ 管理用REST ベース API

使用する機能により、必要なコンポーネント（ OS 等）が異なります。最小構成ではWindows Server 2012 のみで実装可能

IaaS として使用する場合には、 System Center 2012 （ VMM ＋ SPF ）が必要

7

以下の資料を参照してください

手元で動かす疑似 Azure ～ Windows Azure Services for Windows Server ～

http://download.microsoft.com/download/1/8/6/186060D3-E1C5-407E-8BE2-

E5E14A2136BA/TF_WASWS_kozuka.pdf（ Windows Azure Services for Windows Server ベースの資料ですが非常に有用です）

App controller と windows azure pack で作る大規模プライベートクラウド

http://www.slideshare.net/anikundesu/app-controllerwindows-azure-pack

http://www.ustream.tv/recorded/45152294（ MVP Community Camp 2014 の資料です）

Windows Azure パックステップバイステップ評価ガイド

http://download.microsoft.com/download/0/7/B/07BE7A3C-07B9-4173-B251-

6865ADA98E5D/WAP_EvalGuide_v1.0.docx

8

以下の資料を参照してください

Windows Azure Pack 勉強会～ Windows Azure の勢いを自社内で展開するには～

http://download.microsoft.com/download/6/6/D/66DF1C86-2202-4392-A38B-

3664398ED390/20140228_TF_AzurePack.pptx（ Tech Fielders セミナーの資料です）

9

10

Microsoft Azure 用 PowerShell に同梱（インストールは WebPI で）

使用可能 Cmdlet は 45（Alias 31 、 Cmdlet 14）（ Windows Azure PowerShell 0.8.3 ）

Microsoft Azure と同じ感覚で、 WAP の操作が可能

11

WAP をインストールすると、自己署名証明書が作成され、 https 通信に使用されます

WAP の各種管理機能へのアクセスは、全て https により行われます

PowerShell を受け付けるサイト（ TenantAPI ）も自己署名証明書による https 通信を行うことになりますが、その状態で PowerShell を叩くと、以下のようなエラーが発生

Workaround は、 ADCS 等のエンタープライズ CA による証明書を発行し、 Tenant API

サイトの https 通信用に設定します

12

証明書の差し替えを行うサイトは『 MgmtSvc-TenantPublicAPI 』

ADCSの標準テンプレートである『 WebServer 』をベースに、アクセス権等を付与（カスタマイズ）したテンプレートから作成した証明書が使用可能です

13

PowerShell で WAP の管理を行う場合、Microsoft Azureを管理する場合と同様、サブスクリプション（プラン）情報や管理証明書を設定する必要があります

Microsoft Azure の場合は『 Add-AzureAccount 』で設定可能ですが、 WAP の場合はそれらが記載された発行設定ファイル（ PublishSettingsFile ）を取得し、インポートする必要があります

『 Get-WAPackPublishSettingsFile 』 Cmdlet が実装されていますが、この Cmdlet で発行設定ファイルを取得するためには、あらかじめ『 Add-WAPackEnvironment 』 Cmdlet

を使用して、 PublishSettingsFileUrl の設定が必要です

ブラウザで、直接 PublishSettingsFileUrl で設定されるサイトに接続することにより、発行設定ファイルが取得可能です

テナントポータルの『 /publishsettings 』へアクセス

テナントポータルへのサインイン処理ののち、 PublishSettingsFile が発行される

ダウンロードしたファイルには、管理証明書が含まれているので取り扱いには注意が必要

14

15

WAP 用 PowerShell Cmdlet 『 Import-WAPackPublishSettingsFile 』を実行して、取得した PublishSettingsFile をインポート

以上で、 PowerShell によるWAPの管理が可能に

16

17

対応クライアントは Remote Desktop Protocol 8.1 以降（ Windows7 SP1 は要 KB2830477 ）

RDGateway には『Microsoft System Center Virtual Machine Manager コンソール接続ゲートウェイ』の導入が必要

導入モジュールは SC2012 VMM ISO の『 ¥amd64¥Setup¥msi¥RDGatewayFedAuth 』に格納されています

Hyper-V ホストRDGatewayFirewall

https(443/tcp) vmconnect(2179/tcp)

Client

18

RDP 接続の認証は、証明書にて実施されます

19

導入は 3 ステップ

• VMM 管理サーバーへの証明書の導入

• Hyper-V ホストへの証明書の配布と設定

• RDGateway の実装

導入の手順は、以下サイトを参照のこと

Remote Console in System Center 2012 R2

http://technet.microsoft.com/en-us/library/dn469415.aspx

20

秘密鍵を含む証明書を VMM 管理サーバーに導入

証明書の要件は以下の4つ

• 有効期限が切れていない事

• キー使用法に『Digital Signature』が含まれている事

• 拡張キー使用法に『クライアント認証（1.3.6.1.5.5.7.3.2）』が含まれている事

• 暗号化サービスプロバイダーが『 Microsoft Enhanced RSA and AES Cryptographic Provider 』である事

自己署名証明書を使用する場合には、『 makecert.exe 』で以下例を参考に作成

• 『 -e 』には証明書の有効期限、『 <CertificateName> 』には作成する証明書のファイル名を指定

• 上記例では、秘密鍵を含む証明書がユーザーアカウントの個人に格納されるので、秘密鍵込みでエクスポートを実施

makecert -n "CN=Remote Console Connect" -r -pe -a sha256 -e <mm/dd/yyyy> -len 2048 -sky signature

-eku 1.3.6.1.5.5.7.3.2 -ss My -sy 24 "<CertificateName>.cer"

21

ADCS の場合、証明書テンプレートを作成の上、証明書を発行

コンピューター証明書テンプレートをコピーして、以下の項目を変更

• 要求処理 → 用途 ：署名

• 暗号化 → プロバイダー ： Microsoft Enhanced RSA and AES Cryptographic Provider

• 拡張機能 → アプリケーションポリシー：クライアント証明

22

自己署名証明書の場合、 Hyper-V ホスト、 RDGateway の『信頼できるルート証明機関』に自己署名証明書 (.cer) を手動にてストアする必要があります

Hyper-V ホスト、 RDGateway と同一のセグメントにあるクライアントからコンソール接続を行うと、 RDGateway を経由せずに、直接 Hyper-V ホストへ接続してしまう場合があります

• 原因 ：ローカルセグメントのため、 RDGateway を経由せずに、直接 Hyper-V ホストに接続を試行してしまう。

• Workaround ：別セグメントから接続を行う。

23

RDGateway 設定後、AuthenticationPlugin と AuthorizationPlugin のプロパティーが、正しく設定されていない場合があります（条件不明）

• 『 -e 』には証明書の有効期限、『 <CertificateName> 』には作成する証明書のファイル名を指定

• 上記例では、秘密鍵を含む証明書がユーザーアカウントの個人に格納されるので、秘密鍵込みでエクスポートを実施

makecert -n "CN=Remote Console Connect" -r -pe -a sha256 -e <mm/dd/yyyy> -len 2048 -sky signature

-eku 1.3.6.1.5.5.7.3.2 -ss My -sy 24 "<CertificateName>.cer"

要修正例

正しい例

24

この設定は、 RDGateway の認証プラグインの設定であるため、プラグインが有効化されていないと証明書による認証ができません

プロパティーが正しく設定されなかった場合、以下の PowerShell Cmdlet を使用して、手動にて設定します

PowerShell Cmdlet 実行後は、RDGateway サービスの再起動が必要です

$g = Get-WmiObject -Namespace root¥CIMV2¥TerminalServices -Class Win32_TSGatewayServerSettings

$g.SetAuthenticationPlugin("FedAuthAuthenticationPlugin")

$g.SetAuthorizationPlugin("FedAuthAuthorizationPlugin")

$g.RecycleRpcApplicationPools()

25

26

プライベートクラウドといえども、コスト配分は必要です

そのためには『正しい使用時間』の把握と、『現在の使用コスト』の公開が必須です

『正しい使用時間』の把握に必要な機能が、使用状況管理機能です

IaaSにおいて、この機能は System Center 2012 R2 VMM と SPF 、 Operations Manager

の連携によって実現されます

取得した使用状況に応じたコスト配分、使用状況の公開は、 System Center 2012 R2の標準機能や、3rd party製品によって実装されています

27

VMM とOM の連携により、仮想マシンの使用状況 (CPU, Memory, Storage, Network) がOM DWH に蓄積されていきます

WAP の Usage Service が SPF を通じて OM DWH から使用状況データを取得、テナント単位でデータを分類

WAP Usage Service からレポート作成ツールがデータを取得し、内部加工ののちユーザーに公開

詳細な解説や、使用状況データの流れは以下の Blog を参照のこと

How to Integrate Your Billing System with the Usage Metering System

http://blogs.technet.com/b/systemcenter/archive/2013/08/01/how-to-integrate-your-billing-system-with-

the-usage-metering-system.aspx

VMMOperations

ManagerSPF

WAP

Usage

ServiceReporting

28

29

System Center 2012 R2 Orchestrator に同梱されている Service Reporting を使用すると、Excel や SharePoint 経由でエンドユーザーに使用状況データを提供可能

30

3rd party製品である『 Cloud Cruiser Express 』と Cloud Cruiser 用 WAP 機能拡張を組み合わせることで、 WAP のTenant Portal でエンドユーザーに使用状況データを提供可能

機能拡張の導入は WebPI から

Cloud Cruiserの機能として、リソースにコスト設定を行って、課金情報をエンドユーザーに提供することも可能

31

米 Cloud Cruiser 社が提供する課金管理ソフトウェア

Express 版は WAP での使用状況管理、課金管理に機能限定されていますが、無償で利用可能

WAP の Admin Portal のリンクからソフトウェアを入手して導入

32

導入の基本的流れは以下のとおり

• SCVMM と SCOM の連携設定※

• SPF とWAP の導入

• SPF から SCOM DWH へのアクセス設定

• レポーティング機能（ Service Reporting ／ Cloud Cruiser 等）の導入

導入の手順は、以下サイトを参照のこと

IaaS Usage and Service Reporting using System Center 2012 R2 and Windows Azure Pack

http://blogs.technet.com/b/privatecloud/archive/2013/08/27/iaas-usage-and-service-reporting-using-system-

center-2012-r2-and-windows-azure-pack.aspx

※ SCVMM には Update Rollup2の適用が必要になります。

http://support.microsoft.com/kb/2932926

33

SPF に SCOM 連携設定を行う際、前述の Blog に記述されている PowerShell Cmdlet ではうまくいかない場合があります

• 手元の環境ではうまくいきませんでした……

以下の PowerShell Cmdlet を使用する事でクリアできました

• 『 New-SCSPFSetting 』のヘルプに記載されたコマンド使用例（ 1: Create a setting ）と同じものです

• New-SCSPFSetting Help

http://technet.microsoft.com/en-us/library/dn472931%28v=sc.20%29.aspx

Import-module spfadmin

$OMDWSqlServer = "scom01.contoso.com"

$OMServer = "scom01.contoso.com"

$stamp = Get-SCSPFStamp;

$server = New-SCSPFServer -Name $OMServer -ServerType OMDW -Stamps $stamp[0];

$setting = New-SCSPFSetting -Name $OMDWSqlServer -Value

"Server=SCOM01¥SYSTEMCENTER;Database=OperationsManagerDW;Trusted_Connection=True;Connect

Timeout=300" -SettingType DatabaseConnectionString -Server $server

34

35

WAP を利用したプライベートクラウドは、 Microsoft Azure にはない便利機能がいろいろあります

WAP 自体、 Windows Server と System Center 2012 が展開されている環境であれば、無償で利用可能です。また、本日紹介させていただいた機能は、すべて追加費用不要で利用可能です

『 Microsoft Azure のテクノロジで作るプライベートクラウド』を、是非お試しください

36

Windows Azure Pack - Reconfigure portal names, ports and use trusted certificates

http://blogs.technet.com/b/privatecloud/archive/2013/12/10/windows-azure-pack-

reconfigure-portal-names-ports-and-use-trusted-certificates.aspx

Sample Billing Adapter Code for Windows Azure Pack

http://blogs.technet.com/b/privatecloud/archive/2013/12/11/sample-billing-adapter-code-

for-windows-azure-pack.aspx

Building Clouds

http://blogs.technet.com/b/privatecloud/

37