Microsoft Azure - Licenciamento Brasoftware
Propaganda
Microsoft Azure Documentação do Ambiente Versão: 1.3 Preparado por Bruce Ito Esse documento contém a documentação de configuração do ambiente final referente ao projeto de novo ambiente no Azure para o Galvão 03/11/2016 Planejamento Técnico PROJETO Microsoft Azure CONTROLE DE VERSÕES Versão Data Autor Notas da Revisão 1.0 03/11/2016 Bruce Ito Criação do documento 1.1 04/11/2016 Bruce Ito Revisão 1.2 07/11/2016 Bruce Ito Revisão 1.3 08/11/2016 Bruno Faria Revisão Sumário 1. 2. Introdução e audiência ......................................................................................... 3 Microsoft Azure ................................................................................................... 3 2.1 Portal de gerenciamento ................................................................................... 3 2.1.1 Adicionando co-administradores ......................................................................... 3 3. 4. 2.2 Portal Enterprise .............................................................................................. 4 2.3 Gerenciamento via Powershell ........................................................................... 4 Topologia............................................................................................................ 5 Rede Virtual & VPN .............................................................................................. 5 4.1 Rede local Azure (VNET-AZR) ............................................................................ 5 4.2 Gateway Virtual Azure (VNET-AZR-GW) .............................................................. 6 4.3 Gateway Virtual Local (On-premises) .................................................................. 6 4.4 Chaves Compartilhadas: ................................................................................... 8 4.5 Documentos de referência: ............................................................................... 9 5.1 Storage .............................................................................................................. 9 Documentos de referência: ............................................................................... 9 5. 6. 7. Domain Controllers .............................................................................................. 9 File Server ........................................................................................................ 10 7.1 Documentos de referência: ............................................................................. 12 8. SQL Server ....................................................................................................... 12 9. IIS ................................................................................................................... 12 10. TOTVS.............................................................................................................. 13 11. Servidores ........................................................................................................ 13 12. Firewall – NSG .................................................................................................. 14 12.1 Documentação de referência ........................................................................... 14 13. Backup ............................................................................................................. 14 13.1 Alteração de Políticas de Backup (portal): ......................................................... 18 13.2 Alteração de Políticas de Backup (on-premises): ................................................ 18 13.3 Documentos de referência: ............................................................................. 18 ARQUIVO DOC_GALVAO_AZURE Pag. DATA 03/11/2016 18/18 Planejamento Técnico PROJETO Microsoft Azure 1. Introdução e audiência Este documento tem como objetivo apresentar a documentação final da execução do projeto do novo ambiente Azure e implementação de serviços de Active Directory, File Servers, Banco de Dados, ERP e Web. O documento destina-se aos administradores de TI, ao gerente do projeto, ao consultor de implantação e ao líder técnico do projeto. As informações contidas ao longo desse documento abordam itens tangentes a infraestrutura da Galvão e não deve, em hipótese alguma, ser compartilhado com qualquer pessoa que não faça parte da equipe do projeto descrita no parágrafo anterior. 2. Microsoft Azure Foi criado uma nova assinatura do Azure no portal Enterprise para o provisionamento da infraestrutura de máquinas virtuais. A nova assinatura possui nome e ID conforme abaixo: Assinatura Galvão Logística ID 7522149d-7bc5-44e3-8c92-6a1458bfb3e5 Tabela 1 - Assinatura Galvão (EA) 2.1 Portal de gerenciamento O portal de gerenciamento é o lugar onde tarefas administrativas ou informações referentes a infraestrutura do ambiente poderá ser realizado. O acesso ao portal poderá ser feito através dos endereços: Portal de gerenciamento: http://portal.azure.com Login de acesso: [email protected] (conta de administrador de serviço) O Administrador do Serviço tem acesso completo a todas as assinaturas, assim como permissões para adicionar ou remover co-administradores no portal de gerenciamento. É uma boa pratica adicionar contas individuais para cada pessoa que precisar ter acesso gerencial ao ambiente, evitando o compartilhamento da conta do Administrador do Serviço. Os analistas que também possuem permissão são administrativa: Bruno Guidone, Heber Pella. 2.1.1 Adicionando co-administradores Para adicionar uma nova conta como co-administrador, siga os passos abaixo: 1. Entre no Portal de Gerenciamento do Azure. Se você for um usuário em vários diretórios do Azure, clique em Assinaturas e filtre para exibir somente o diretório e as assinaturas que deseja editar. 2. No painel de navegação, clique em Configurações, clique em Administradores e clique em Adicionar. 3. Digite o endereço de e-mail dos usuários, selecione as assinaturas que o usuário deve acessar e clique na marca de seleção. Essa conta precisa ser uma conta Microsoft (Hotmail, outlook, etc.), pois o portal do Azure não está sincronizado com o Active Directory corporativo. A sugestão é criar contas com nomes fáceis de serem identificados ARQUIVO DOC_GALVAO_AZURE Pag. DATA 03/11/2016 18/18 Planejamento Técnico PROJETO Microsoft Azure como [email protected] ou adicione seu e-mail corporativo como uma conta Microsoft, cadastrando-a em http://www.msn.com. 2.2 Portal Enterprise O acesso ao controle de gastos e gerenciamento das assinaturas pode ser feito através do portal Enterprise pelo endereço abaixo: Portal Enterprise: http://ea.azure.com Somente as contas com poder de Administrador de Serviço possuem acesso a este portal. 2.3 Gerenciamento via Powershell Algumas configurações só serão possíveis de serem realizadas através da interface de Powershell, sendo assim, a instalação do módulo do Azure é essencial para os administradores da infraestrutura. Todas as ferramentas estão disponíveis no site: SDKs e Ferramentas: http://azure.microsoft.com/pt-br/downloads/ Azure Powershell: http://go.microsoft.com/?linkid=9811175&clcid=0x416 ARQUIVO DOC_GALVAO_AZURE Pag. DATA 03/11/2016 18/18 Planejamento Técnico PROJETO Microsoft Azure 3. Topologia Figura 1 - Topologia Azure Galvão 4. Rede Virtual & VPN Para a instalação da réplica do AD no Azure e demais componentes que farão parte da infraestrutura do novo ambiente, foi criado um gateway de VPN Site-to-site entre os ambientes on-premises Galvão (sede) e Microsoft Azure, também fechamos uma conexão de VPN com o Datacenter Corpflex e Microsoft Azure. Após alinhamento entre o consultor Brasoftware e equipe de administração da Galvão foram definidos a nomenclatura e o endereçamento utilizados, conforme abaixo: 4.1 Rede local Azure (VNET-AZR) Figura 2 - Range de IP's do Azure ARQUIVO DOC_GALVAO_AZURE Pag. DATA 03/11/2016 18/18 Planejamento Técnico PROJETO Microsoft Azure Figura 3 - Subnets da Rede Azure 4.2 Gateway Virtual Azure (VNET-AZR-GW) Figura 4 - Gateway VPN Route-based 4.3 Gateway Virtual Local (On-premises) Os gateways virtuais locais configurados, são criados para fechar comunicação entre o Gateway (VNET-AZR-GW) com o escritório da Galvão sede e Datacenter Corpflex. Toda criação de uma VPN Site-to-Site é obrigatória a criação de um Gateway local com o IP de WAN e endereço de LAN que terão conexão com o ambiente Azure. Obs: O Gateway criado está definido com SKU Basic, ou seja, permite até 10 conexões de VPN com 100MBps. Para alterar o SKU veja o item 4.4. ARQUIVO DOC_GALVAO_AZURE Pag. DATA 03/11/2016 18/18 Planejamento Técnico PROJETO Microsoft Azure Figura 5 - Gateway Corpflex Figura 6 - Gateway Galvão sede Além da criação dos Gateways, é necessário configurar conexões para o fechamento do túnel IPSec. Essas conexões se limitam somente a Chave compartilhada que será utilizada para troca de informações entre os dois ambientes, a maior parte da configuração deve ser feita no Firewall local, que no cenário aplicado são os Appliances StoneGate da Galvão. Para maiores informações consulte o item 4.4. ARQUIVO DOC_GALVAO_AZURE Pag. DATA 03/11/2016 18/18 Planejamento Técnico PROJETO Microsoft Azure Figura 7 - Conexão Azure X Corpflex Figura 8 - Conexão Azure X Galvão 4.4 Chaves Compartilhadas: Configuramos duas chaves compartilhadas, assim como os nomes das conexões foram definidas pela Galvão Engenharia. Conexão CONN-AZURECORPFLEX CONN-AZR-SEDE Shared Key f6AAmVtuPxw6KNCSWwmTeXrQKWsZFAmk7XrCxpPQWNqiHDwBfCcwtmogX7ofSkKwZAo Ct6DSdsZuXw rhzrGL3C6VHUYT2ukUjiL8Xw3Yc2Pw2FsYpj4LhqWX9hLMVzgVYjtcokpD5bZ7vLUZCyGVuinC e539 Tabela 2 - Chaves Compartilhadas VPN Site-to-Site ARQUIVO DOC_GALVAO_AZURE Pag. DATA 03/11/2016 18/18 Planejamento Técnico PROJETO 4.5 Microsoft Azure Documentos de referência: https://azure.microsoft.com/en-us/documentation/services/virtual-network/ https://azure.microsoft.com/en-us/documentation/articles/vpn-gateway-about-vpn-devices/ https://azure.microsoft.com/en-us/documentation/articles/vpn-gateway-about-vpngateways/ https://msdn.microsoft.com/en-us/library/mt270352.aspx (para ASM) 5. Storage Foram criadas seis contas de armazenamento para o escopo do projeto. Todas as contas foram configuradas no modelo LRS (localmente redundante), mantendo 3 cópias do disco no datacenter local. Neste cenário, os discos das máquinas virtuais foram organizados em diferentes storages conforme tabela a seguir: Nome do Storage Recursos Alocados galvaostr1 (LRS) Active Directory galvaostr2 (LRS) File Server1, File Server2 galvaostr3 (LRS) Web (IIS) galvaostr4 (LRS) Banco de Dados SQL Backup, TOTVS galvaostr5 (P-LRS) Banco de Dados SQL Dados galvaostr6 (LRS) Blobs para dados Frios Tabela 3 - Storages Azure O storage galvaostr6 foi criado para armazenar arquivos frios, que não são utilizados com frequência, nesta camada os dados serão organizados e enviados pela Galvão para este storage através do software Azure Storage. 5.1 Documentos de referência: http://azure.microsoft.com/en-us/documentation/services/storage/ http://storageexplorer.com/ (ferramenta útil para download/upload de arquivos diretamente pros storages) 6. Domain Controllers Para reduzir o tempo de latência e, principalmente, para que a infraestrutura não seja dependente da VPN Site-to-Site entre os ambientes on-premises e nuvem, foram instaladas duas réplicas de domain controller para um novo domínio em máquinas virtuais hospedados no Microsoft Azure. Dois DCs são necessários para manter o SLA de 99.95% estabelecido pela Microsoft evitando que em caso de falhas de uma das máquinas, a autenticação pare de funcionar. O nome do novo domínio será determinado e configurado pela Galvão. As configurações das máquinas virtuais serão conforme a seguir: ARQUIVO DOC_GALVAO_AZURE Pag. DATA 03/11/2016 18/18 Planejamento Técnico PROJETO Microsoft Azure BRDGLVPA01 Camada Standard Tamanho da VM A1 (1 cores, 1.75GB) Número de data disks 1 Versão Rede Virtual Windows Server 2012 R2 DC VNET-AZR Sub-rede BackEnd_DC Portas públicas Nenhum IP LAN 192.168.8.132 Tabela 4 - Servidor DC 01 BRDGLVPA02 Camada Standard Tamanho da VM A1 (1 cores, 1.75GB) Número de data disks Versão 1 Windows Server 2012 R2 DC Rede Virtual VNET-AZR Sub-rede BackEnd_DC Portas públicas Nenhum IP LAN 192.168.8.133 Tabela 5 - Servidor DC 02 7. File Server Para atender as necessidades da Galvão, foi provisionado dois servidores de File Servers que garantam a disponibilidade de 22TB distribuídos entre si e com custo menor se comparado a uma única VM. Para utilização no cenário do Azure serão acrescentados 16 Discos de 1TB (Máximo Permitido pelo Plano A4) e mais 8 Discos de 1TB (Máximo Permitido no Plano A3) utilizando o recurso do Windows chamado Storage Pool, onde serão apresentados como um único bloco em RAID0 para alta performance e utilização de todo o espaço disponível. Neste cenário a soma dos dois servidores terão capacidade de armazenamento de 24TB. BRDGLVPG01 Camada Standard Tamanho da VM Número de data disks Versão A4 (8 cores, 14 GB) 16 Windows Server 2012 R2 DC Rede Virtual VNET-AZR Sub-rede BackEnd Portas públicas Nenhum IP LAN 192.168.8.68 Tabela 6 - Servidor File Server 01 ARQUIVO DOC_GALVAO_AZURE Pag. DATA 03/11/2016 18/18 Planejamento Técnico PROJETO Microsoft Azure Figura 9 – Partições BRDGLVPG01 BRDGLVPG02 Camada Standard Tamanho da VM Número de data disks Versão A3 (4 cores, 7 GB) 8 Windows Server 2012 R2 DC Rede Virtual VNET-AZR Sub-rede BackEnd Portas públicas Nenhum IP LAN 192.168.8.69 Tabela 7 - Servidor File Server 02 Figura 10 – Partições BRDGLVPG02 ARQUIVO DOC_GALVAO_AZURE Pag. DATA 03/11/2016 18/18 Planejamento Técnico PROJETO 7.1 Microsoft Azure Documentos de referência: https://azure.microsoft.com/en-us/documentation/articles/virtual-machines-windows-attachdisk-portal/ 8. SQL Server Provisionamos uma VM com Windows Server 2008 R2 SP1. A instalação do SQL Server Standard será realizada pela Galvão utilizando licença separada fornecida pela Brasoftware. Para atender ao requisito de 500 IOPS de performance de storage, será utilizado um disco SSD de tamanho P10 de 128GB. BRDGLVPI01 Camada Standard Tamanho da VM DS11_V2 (2 cores, 14 GB) Número de Discos Versão Rede Virtual 2 SQL Server 2008 R2 SP1 VNET-AZR Sub-rede BackEnd Portas públicas Nenhum IP LAN Datadisk01 Backupdisk01 192.168.8.71 128GB SSD 200GB HDD Tabela 8 - Servidor Banco de Dados Dois discos estão anexados a este servidor, um para Dados/Log (SSD) 128 GB e outro para Backup (Standard) 200 GB. Figura 11 – Partições BRDGLVPI01 9. IIS O IIS é composto por um servidor de aplicação, que será configurado para sites corporativos. Não foi definida nenhuma permissão para acesso externo através de um IP válido, de acordo com os analistas da Galvão, este servidor está disponível somente para acesso interno. A máquina é provisionada de acordo com as configurações abaixo: ARQUIVO DOC_GALVAO_AZURE Pag. DATA 03/11/2016 18/18 Planejamento Técnico PROJETO Microsoft Azure BRDGLVPC01 Camada Standard Tamanho da VM A2 (2 cores, 3.5 GB) Número de Discos 1 Versão Windows Server 2012 R2 DC Rede Virtual VNET-AZR Sub-rede FrontEnd Portas Públicas Nenhum IP LAN 192.168.8.4 Tabela 9 – Servidor Web (IIS) 10. TOTVS O Protheus é composto por um servidor de aplicação, que será instalado e configurado pela Galvão. A máquina virtual provisionada para atender a esta aplicação possui a seguinte configuração: BRDGLVPL01 Camada Standard Tamanho da VM A2 (2 cores, 3.5 GB) Número de Discos 1 Versão Windows Server 2012 R2 DC Rede Virtual VNET-AZR Sub-rede BackEnd Portas Públicas Nenhum IP LAN 192.168.8.70 Tabela 10 - Servidor TOTVS 11. Servidores No portal do Azure os servidores estão instalados e configurados conforme a estrutura descrita acima. As senhas dos servidores estão configuradas provisoriamente como: Usuário Administrador Senha galvaoadm galvao@123456 Tabela 11 - Senha provisória Servidores Recomenda-se a troca tão logo seja dado como finalizado a preparação do ambiente. ARQUIVO DOC_GALVAO_AZURE Pag. DATA 03/11/2016 18/18 Planejamento Técnico PROJETO Microsoft Azure Figura 12 - Máquinas Virtuais Galvão 12. Firewall – NSG Para implementar a segurança do datacenter no ambiente do Azure é necessário a criação do recurso chamado Network Security Group. Atualmente este recurso não foi configurado por definição da Galvão, uma vez que este ambiente ficará disponível apenas internamente através da VPN Site-to-Site. Caso este ambiente necessite de acesso externo por IP válido, exemplo: Servidor de IIS, recomendamos a criação deste recurso, para que se tenha uma estrutura de segurança para liberação de portas específicas de acesso aos servidores. 12.1 Documentação de referência https://azure.microsoft.com/en-us/documentation/articles/virtual-networks-nsg/ 13. Backup Os backups dos servidores serão efetuados pelo Azure Backup opção de File and Folders para os Files Servers, devendo ser instalado o cliente e configurado o cofre que será armazenado esses dados. As retenções destes dados estão definidas da seguinte forma: File Server: • • • • 1 1 1 1 Cópia Cópia Cópia Cópia diária por 1 semana semanal por 1 mês mensal por 12 meses anual por 5 anos ARQUIVO DOC_GALVAO_AZURE Pag. DATA 03/11/2016 18/18 Planejamento Técnico PROJETO Microsoft Azure Figura 13 - Politica de Retenção Azure Backup File and Folders Adicionamos a partição E:\ onde serão armazenados os arquivos e backups para Nuvem do Azure. Figura 14 - Unidade de Backup FS ARQUIVO DOC_GALVAO_AZURE Pag. DATA 03/11/2016 18/18 Planejamento Técnico PROJETO Microsoft Azure Máquinas Virtuais: • • 1 Cópia da VM inteira (AD, IIS e TOTVS) 1 Cópia diária dos arquivos de backup do SQL Server. Figura 15 - Politica de Retenção VM ARQUIVO DOC_GALVAO_AZURE Pag. DATA 03/11/2016 18/18 Planejamento Técnico PROJETO Microsoft Azure Figura 16 – Unidade Backup SQL Para ter um melhor gerenciamento do espaço consumido dos backups, a Galvão solicitou que separássemos os servidores por cofres de backups separados, exceto os dois DCs que podem ficar no mesmo cofre. A nomenclatura adotada e escolhida está na tabela abaixo, com seus respectivos servidores: Nome Cofre GLOG-BackupVault1 GLOG-BackupVault2 GLOG-BackupVault3 GLOG-BackupVault4 GLOG-BackupVault5 GLOG-BackupVault6 Instâncias protegidas BRDGLVPA01 e BRDGLVPA02 BRDGLVPC01 BRDGLVPL01 BRDGLVPI01 BRDGLVPG01 BRDGLVPG02 Tabela 12 - Cofres de Backup ARQUIVO DOC_GALVAO_AZURE Pag. DATA 03/11/2016 18/18 Planejamento Técnico PROJETO Microsoft Azure Figura 17 - Recovery Services Vaults Galvão Todas os cofres estão configurados como backup LRS (Localmente redundante). Para os backups das VM inteiras foi configurado políticas de backups específico para cada uma. Nos servidores de File Servers e Banco de Dados a política não é configurada no portal, e sim pelo software Azure Backup instalado. Nome Cofre GLOG-BackupVault1 GLOG-BackupVault2 GLOG-BackupVault3 GLOG-BackupVault4 GLOG-BackupVault5 GLOG-BackupVault6 Política / Horário Policy-DC / 20:00hrs Policy-IIS / 20:00hrs Policy-TOTVS / 20:00hrs Policy-BD / 20:00hrs Policy-FS1 / 20:00hrs Policy-FS02 / 20:00hrs Tabela 13 - Políticas de Backup por Cofre 13.1 Alteração de Políticas de Backup (portal): Para criar uma nova política ou alterar suas propriedades como retenção e horário siga as etapas: 1. Entre no Portal de Gerenciamento do Azure. Se você for um usuário em vários diretórios do Azure, clique em Assinaturas e filtre para exibir somente o diretório e as assinaturas que deseja editar. 2. Acesse o recurso chamado Recovery Services Vault. 3. Clique no Cofre desejado, ex: GLOG-BackupVault1 e acesse o menu Políticas e Políticas de Backup. 13.2 Alteração de Políticas de Backup (on-premises): Para criar uma nova política ou alterar suas propriedades como retenção e horário siga as etapas: 1. Pesquise no Windows, o aplicativo Azure Backup. 2. Ao abrir o aplicativo, clique em Backup Agendado. 3. Siga as próximas etapas informadas para alteração. 13.3 Documentos de referência: https://azure.microsoft.com/pt-br/documentation/services/backup/ ARQUIVO DOC_GALVAO_AZURE Pag. DATA 03/11/2016 18/18
