SharePoint 2013 farm kialakítása Windows Azure-ban I.

Ahogy korábban olvasóinknak ígértük, igyekszünk folyamatosan frissíteni a blogot a könyv megjelenése után bejelentett Azure frissítésekkel és új szolgáltatásokkal, amik bizonyos időközönként bekerülnek majd a könyv elektronikus kiadásaiba is.

A Paas mellett az IaaS szolgáltatás is sok újdonsággal bővült, így itt is egy több részes blogbejegyzés sorozatban mutatjuk be az újdonságokat:

 

SharePoint 2013 farm kialakítása Windows Azure-ban

A Windows Azure IaaS szolgáltatása lehetővé teszi számunkra, hogy a meglévő informatikai infrastruktúrát kiterjesszük a felhő irányába.

Egyik ilyen jellegzetes komponens lehet a SharePoint farm. Ez tipikusan böngészőből elérhető szolgáltatás, melynek egyes komponenseit a külsős partnerek és felhasználók is aktívan használják.

A SharePoint farm egyes komponensei a következők:

  • Active Directory Domain Services (Windows Server 2012)
  • SQL Server 2012
  • SharePoint 2013 szerver(ek)
  • VPN a meglévő (földi) infrastruktúra irányába

Ábrán szemléltetve a következőképp fest a hibrid infrastruktúra:

1

Lássuk a megvalósítást!

1. VPN kialakítása

Első lépésben a VPN hálózatot kell felépíteni, illetve az Azure-ban lévő infrastruktúrát megtervezni. Az Azure-ban lévő virtuális gépeknek egy Cloud Service-be kell kerülniük, de ettől függetlenül rakhatjuk az egyes komponenseket külön subnet-be.

  • AD-Subnet: 10.0.0.0/28
  • SP-Subnet: 10.0.0.8/28
  • SQL-Subnet: 10.0.0.16/28

Alakítsuk ki a fenti hálózatokat! Lépj be a Windows Azure Management Portalon és válaszd a New->Networks->Virtual Networks->Custom Create menüpontot!

2

Nevezd el a hálózatot és készíts egy Affinity Groupot is!

3

Következő lépésben készítsd el a subneteket:

4

A következő lépésben a DNS szervereket kell meghatároznod:

5

Egy kis magyarázat:

A cloud-dc még nem is létezik – akkor honnan tudhatjuk az IP címét? Nos, az Azure DHCP mindig fenntart magának 3 IP-t a hatókör elejéről, így nem nehéz kitalálni, hogy az első VM IP-je 10.0.0.4 lesz. Az onprem-dc pedig a saját, földi hálózatomban lévő Domain Controller.

A két DNS szerveren kívül meg kell határozni a VPN alagút IP tartományát is, nálam ez most 10.1.0.0/24 lett.

A varázsló utolsó lépésében el kell nevezni a földi hálózatot, meg kell adni a router IP címét és a földön használt subnet(ek)et.

6

Várd meg, míg elkészül a hálózat:

7

2. Storage Account

Nem kötelező, de célszerű készíteni egy külön Storage Account-ot a farm tagjainak. Ha az Azure által választott, automatikusan generált Storage Account-ba kerülnek a gépeink, később nehézkesebb lesz a kezelésük, mert a Storage Account véletlenszerűen generált neve nem lesz túl beszédes.

Storage Account készítéséhez válaszd a New->Data Services->Storage->Quick Create menüpontot! Adj neki nevet és határozd meg, hogy a sharepoint Affinity Groupba kerüljön!

8

3. VPN konfiguráció véglegesítése

Míg az új Storge Account készül, fejezzük be a VPN konfigurálását!

Lépj be a sharepoint Virtual Networkbe (kattints a nevére) és a Dashboard fülön válaszd ki a Create Gateway menüpontot!

9

Míg a Gateway, készül töltsd le a hálózati konfigurációs fájlt a megfelelő routerhez!

10

A konfigurációs állományban a < > jelek között lévő paramétereket kell kicserélned! Pl.:

object-group network <RP_AzureNetwork>  -> object-group network AzureNetwork

network-object <SP_AzureNetworkIpRange> <SP_AzureNetworkSubnetMask> à network-object 10.0.0.0 255.0.0.0

A teljes konfiguráció (félkövér betűkkel jelölve a változások):

!Microsoft Corporation
! Windows Azure Virtual Network

! This configuration template applies to Cisco ASA 5500 Series Adaptive Security Appliances running ASA Software 8.3.
! It configures an IPSec VPN tunnel connecting your on-premise VPN device with the Azure gateway.

! ———————————————————————————————————————
! ACL and NAT rules
!
! Proper ACL and NAT rules are needed for permitting cross-premise network traffic.
object-group network AzureNetwork
network-object 10.0.0.0 255.255.0.0
exit
object-group network OnPremiseNetwork
network-object 192.168.1.0 255.255.255.0
exit
access-list AzureAccessList extended permit ip object-group OnPremiseNetwork object-group AzureNetwork
nat (inside,outside) source static OnPremiseNetwork OnPremiseNetwork destination static AzureNetwork AzureNetwork

! ———————————————————————————————————————
! Internet Key Exchange (IKE) configuration
! ! This section specifies the authentication, encryption, hashing, Diffie-Hellman, and lifetime parameters for the Phase
! 1 negotiation and the main mode security association. We have picked an arbitrary policy # “10” as an example. If
! that happens to conflict with an existing policy, you may choose to use a different policy #.
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption aes
hash sha
group 2
lifetime 28800
exit

! ———————————————————————————————————————
! IPSec configuration
!
! This section specifies encryption, authentication, and lifetime properties for the Phase 2 negotiation and the quick
! mode security association.
crypto ipsec transform-set IPSecTransformSet esp-aes esp-sha-hmac
crypto ipsec security-association lifetime seconds 3600
crypto ipsec security-association lifetime kilobytes 102400000

! ———————————————————————————————————————
! Crypto map configuration
!
! This section defines a crypto map that binds the cross-premise network traffic to the
! IPSec transform set and remote peer. We have picked an arbitrary ID # “10” as an example. If
! that happens to conflict with an existing crypto map, you may choose to use a different ID #.
crypto map IPSecCryptoMap 10 match address AzureAccessList
crypto map IPSecCryptoMap 10 set peer 137.117.164.58
crypto map IPSecCryptoMap 10 set transform-set IPSecTransformSet
crypto map IPSecCryptoMap interface outside

! ———————————————————————————————————————
! Tunnel configuration
!
! This section defines an IPSec site-to-site tunnel connecting to the Azure gateway and specifies the pre-shared key
! value used for Phase 1 authentication.
tunnel-group 137.117.164.58 type ipsec-l2l
tunnel-group 137.117.164.58 ipsec-attributes
pre-shared-key 7NaE68jBve7MAwZF7isPXLzwdYcB7ZMF

exit

! ———————————————————————————————————————
! TCPMSS clamping
!
! Adjust the TCPMSS value properly to avoid fragmentation
sysopt connection tcpmss 1350

———————————————————————————————————————-

Fontos! A crypto map sorokban adtam meg az Azure Gateway IP címét, ez a portálról olvasható le:

11

A VPN-hez szintén szükséges megosztott kulcs ugyanígy lelovasható, ha az alsó menüben a Manage Key menüpontot választod!

12

Ha a Network Configuration fájl szerinti konfiguráció helyes, és tartalmát bemásoltad a router memóriájába, akkor hamarosan elkészül a VPN tunnel is!

11

4. DC telepítése az Azure-ba

Megvan a hálózat, jöhet a felhőbe az első DC!

Kattints a New->Compute->Virtual Machine->From Gallery menüpontra és válassz ki egy Windows Server 2012 image-t!

14

15

Határozd meg a gép nevét, a felhasználónevet, a jelszót és a gép méretét:

16

A következő oldalon meg kell adni a gép DNS nevét! Mivel itt hozzuk létre a Cloud Service-t is, így ne a gép nevével megegyező DNS nevet adjunk meg, hanem egy lehetőleg beszédes, a későbbiekben is jól használható nevet válasszunk! A DNS név után add meg a már előre elkészített Storage Account és Virtual Network neveket is!

17

Az utolsó lépésben hozzunk létre egy rendelkezésre állási csoportot (Availability Set) is a farmtagok részére!

18

Ezekkel a lépésekkel eljutottunk oda, hogy a hálózatunkat kiterjesztettük a felhőbe és az Azure-ban is van egy másodlagos DC-k (következő részben telepítjük). Ennek segítségével a felhőben lévő virtuális gépek könnyen és gyorsan tudnak autentikálni és autorizálni, helyben az Azure-ban, így nem terhelik a VPN forgalmat.

Célszerű ellenőrizni, hogy a cloud-dc gép hálózati beállításai megfelelőek-e. Ezt a gép nevére kattintva a Dashboard menüpont alatt teheted meg:

19

Domain Controller promotálása

Léptesd be a cloud-dc-t a VPN-en keresztül a földi domainba! (demo.local domain)

RDP kapcsolattal csatlakozz fel a cloud-dc gépre és a Server Manager eszköz Local Server menüpontjában a Workgroup sorra kattintva léptesd a gépet a domainba:

20

Ennek végeztével indítsd újra a szervert!

Ha megvagy, a Server Manager segítségével telepítsd fel az Active Directory Domain Services szolgáltatást:

21

Majd végezd el a DC-promotálást!

22

Válaszd az „Add domain controller to an existing domain” menüpontot:

23

Add meg a DSRM jelszót:

24

A telepítő további lépésein bátran továbblépkedhetsz a Next gomb segítségével.

Megtörténik a DNS szerver telepítése, konfigurálása, az AD adatbázisok átmásolása, majd a gép újraindul!

Ezzel elkészült a felhőben a DC, az Azure-ban lévő gépek itt is tudnak autentikálni és autorizálni.

Ezeket az újdonságokat Te is kipróbálhatod! Regisztrálj az ingyenes, 90 napos Azure előfizetésre, és vegyél részt az AzureConf.HU eseményünkön, ahol képbe kerülhetsz mind a fejlesztői, mind pedig az üzemeltetői oldal újdonságaival!

Add hozzá az eseményt a naptáradhoz egy kattintással!

Holnap folytatjuk!

6 thoughts on “SharePoint 2013 farm kialakítása Windows Azure-ban I.

  1. Visszajelzés: SharePoint 2013 farm kialakítása Windows Azure-ban II. | Felhők között

  2. Visszajelzés: SharePoint 2013 farm kialakítása Windows Azure-ban II. - A magyar Windows Azure közösség blogja - devPortal

  3. Visszajelzés: SharePoint 2013 farm kialakítása Windows Azure-ban III. | Felhők között

  4. Visszajelzés: SharePoint 2013 farm kialakítása Windows Azure-ban III. - A magyar Windows Azure közösség blogja - devPortal

  5. Visszajelzés: Sharepoint 2013 farm kialakítása Windows Azure-ban IV. | Felhők között

  6. Visszajelzés: SharePoint 2013 farm kialakítása Windows Azure-ban IV. - A magyar Windows Azure közösség blogja - devPortal

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s