WINDOWS AZURE CONNECT

IBON LANDA MARTIN Software Development Team Lead en Plain Concepts ilanda@plainconcepts.com http://www.estoyenlanube.com http://geeks.ms/blogs/ilanda @ibonilm

www.estoyenlanube.com

WINDOWS AZURE CONNECT Azure Conexión segura entre soluciones on-premise y en la nube Protocolos IP standard Se aprovechan las inversiones actuales en IT Integrar aplicaciones de la nube con aplicaciones existentes o con orígenes de datos externos Muy fácil de instalar y gestionar Disponible la versión CTP desde Diciembre de 2010 Enterprise

EN CONTEXTO CLOUD ENTERPRISE Data Synchronization Application-layer SQL Azure Data Sync Application-layer Connectivity & Messaging Service Bus Security Federated Identity and Access Control Secure Network Connectivity Windows Azure Connect

UN POCO MÁS… Enterprise Activa los WA Roles para disponer de conectividad externa a través del service model Permite la conectividad externa de equipos instalando un agente Plataformas soportadas: Win Server 2008, 2008 R2, Vista, y Win7 Administración de políticas de red a través del portal de WA Conexión segura entre las instancias de los roles y los equipos externos Protocolo IP standard IPSec, SSL Resolución DNS de nombres Role A Role B Relay Role C (multiple VM’s) Dev machines Databases Enterprise

DESPLIEGUE EN SERVICIOS AZURE Para activar Connect en un servicio WA, requiere cierta configuración Para Web y Worker roles se incluye un plugin como parte del service model (.csdef file) Para VM roles, el agente se debe instalar en la imagen VHD usando el paquete de instalación de Connect para VM El agente se despliega de forma automática por cada nueva instancia que se arranca La configuración se administra a través del fichero ServiceConfiguration (.cscfg) Requiere => “ActivationToken” Único por subscripción y accesible desde el portal de administración

DESPLIEGUE EN SERVICIOS AZURE

DESPLIEGUE ON-PREMISE En los equipos locales hay que instalar y activar el agente de Connect para permitir la conectividad Link Web Se obtiene de la interfaz de administración Token único por instalación en la URL Instalador Standalone Lee token desde el registro Permite la instalación con herramientas de distribución El agente de Connect tiene tray icon y una UI cliente Ver estado y conectividad Refrescar políticas de seguridad El agente de Connect gestiona automáticamente la conectividad de red Crear el adaptador de red virtual, conectarse al “relay” cuando se necesite, configurar las políticas de seguridad, resolución DNS..

DESPLIEGUE ON-PREMISE

POLÍTICAS DE RED Los grupos se puede conectar a otros grupos Desde el portal de administración Windows Azure Los equipos locales se organizan en grupos Un equipo puede pertenecer a uno o ningún grupo Los roles de WA se pueden conectar a grupos Permite la conexión entre todas las instancias del rol y los equipos locales del grupo WA Connect no controla la conectividad entre instancias de roles Los grupos se puede conectar a otros grupos Habilita la conectividad entre los equipos de cada grupo Útil para escenarios de roaming

POLÍTICAS DE RED Windows Azure Role A Role B Instance3 Instance3 SERVER1 My Servers My Laptops DEV_LAPTOP1 SERVER2 SERVER3 DEV_LAPTOP2

POLÍTICAS DE RED

POLÍTICAS DE RED

MODELO DE RED Los recursos conectados (WA Role instances y equipos externos) realizan todas las comunicaciones de forma seguridad a nivel de protocolo IP Independiente de la topología física de red (Firewalls / NAT’s), sólo se necesita salida https (puerto TCP 443) Cada equipo conectado tiene una dirección IPv6 enrutable EL agent de Connect crea un adaptador de red virtual No se realizan cambios en las redes existentes Comunicación segura end-to-end basado en IPSec Existe resolución de nombres en los equipos conectados Windows Azure instance  local computer Local computer  Windows Azure instance

DEMO Windows Azure MyContoso.com IIS Servers DC SQL Server File Server http://customersearch.mycontoso.com IIS Servers Remote Admin http://customersearch.mycontoso.com IIS Servers Requirements for Customer Search Servidores de frontend en WA El SQL Server on-premise permite sólo autenticación Windows IIS/ASP.NET se conecta con autenticación integrada al SQL Server Añadir al dominio las máquinas de Azure, a un determinado OU Usa las credenciales de AD para controlar quién puede acceder a las instancias Administración remota de las máquina de Azure empleando Powershell Las máquinas de WA pueden acceder a los ficheros compartidos de las máquinas on-premise DC SQL Server File Server MyContoso.com

ESCENARIOS Un rol de WA accediendo un SQL Server on-premise O un servidor de ficheros o una aplicación de línea de negocio etc… Escenario de unión a dominios Controlar el acceso a las instancias de WA empleando cuentas de dominio Utilizar autenticación integrada de IIS en los Web Roles Ejecutar un rol con una cuenta de dominio para acceder a un recursos on-premise, por ejemplo un SQL Server securizado con autenticación integrada Lanzar comandos powershell contras las instancias de WA O acceso a una unidad de red, event log etc..

UNIÓN A UN DOMINIO El plugin de Connect permite la unión de roles de WA a un Active Directory on-premise Una instancia de un rol de WA añadida a un dominio no se comporta igual que un equipo on-premise Las instancias no garantizan la persistencia del estado local; las identidades de las instancias pueden cambiar a lo largo del tiempo Recomendación general: las instancias deben usar las identidades en AD en lugar de ser gestionado como un equipo más del dominio

UNIÓN A UN DOMINIO

UNIÓN A UN DOMINIO

DEMO HOLA CONNECT!!

DEMO CONEXIÓN SQL SERVER ON-PREMISE

DEMO UNIÓN A UN DOMINIO

AZURE CONNECT VS APPFABRIC

AZURE CONNECT VS APPFABRIC

DEMO APPFABRIC CACHE

¡MUCHAS GRACIAS! Si necesitáis ayuda… ilanda@plainconcepts.com info@plainconcepts.com