Virtuály v cloudu -

Vítejte u seriálu věnovanému Azure Virtual Machines – tedy vytváření virtuálních počítačů, jak se vznešeně říká „v cloudu“, prakticky to ale znamená v jednom ze 6 velkých datových center po celém světě. Vzhledem k latenci sítě je samozřejmě vhodné vybrat si datové centrum co nejblíže, což je v našem případě buď Amsterdam (North Europe) anebo Dublin (West Europe). Podobný seriál již vycházel cca před půl rokem, nyní vám ale nabízíme přece jenom jiný pohled podepřený několikaměsíčními zkušenostmi nás i našich zákazníků.

K čemu je to dobré?

K čemu je takový virtuální počítač dobrý? K řadě věcí. Předně nemusíte kupovat žádný hardware ani licenci na software – platíte pouze za hodinu existence virtuálního počítače, a to v závislosti na jeho hardwarových parametrech (tabulka HW parametrů a cen zde). Je tedy ideální pro zkoušení, kdy potřebuji určitý scénář rozběhnout na pár hodin.

Druhým scénářem použití je produkční prostředí, neboť infrastruktura je velmi robustní, všechny komponenty jsou duplikovány a vaše data (virtuální disky) jsou dokonce uložena ve třech zcela nezávislých replikách. Takovou úroveň bezpečnosti dat, odolnosti proti selhání a automatické obnovy v případě havárie vám žádný hoster nemůže nabídnout. Tento scénář je ideální zejména pro aplikace určené pro zákazníky anebo vaše obchodní partnery. Jejich umístěním mimo firmu ušetříte kapacitu vašeho internetového připojení, pro které lze jistě nalézt i kreativnější využití.

Konečně třetím často používaným scénářem je záložní systém k čemukoliv, co běží ve vašem datovém centru. Využitím virtuálů v cloudu se zbavíte starostí s vytvářením a správou záložní lokality – vaší záložní lokalitou je datové centrum v cloudu.

Jak si to vyzkouším?

Podobně jako si vyzkoušíte boty, než si je koupíte, budete si v případě, že uvažujete o virtuálních počítačích v cloudu, chtít tuto službu vyzkoušet. K tomuto účelu je ideální použít bezplatný 90 denní účet, který vám nabízí dostatek zdrojů pro nepřetržitý běh jednoho virtuálního stroje typu Small (1 jádro, 1.75 GB RAM). Uvedených 750 hodin můžete využít dle vlastního uvážení, takže například můžete běžet farmu 5 serverů velikosti Medium po dobu 75 hodin (za vesmírnou hodinu se spotřebuje 2 x 5 jednotek). Při překročení povoleného množství dojde k zastavení virtuálů do konce daného měsíce, garantovaně tedy nic neplatíte za celou dobu testování. Přesný postup založení účtu je popsaný zde, v případě problémů se nám ozvěte. Poté ještě musíte možnost používání povolit na stránce Preview Features.

Častým dotazem v této souvislosti je: „Pokud je zkoušení bezplatné, proč musím zadávat svoji bankovní kartu?“. Odpověď je poměrně jednoduchá – účet v cloudu lze zneužít k různé kriminální činnosti a ani telefonní číslo ani Microsoft Account (dříve LiveID) nejsou věrohodnými způsoby autentizace. Z vaší karty nebude po celou dobu nic strženo (v některých případech je stržen 1 dolaru nebo euro, kterou jsou pak ihned vráceny zpět – validace funkce karty). Je možné použít kreditní i debetní kartu. V případě potíží kontaktuje informační linku svojí banky, zřejmě máte zablokované internetové platby nebo byla transakce vyhodnocena jako podezřelá. Další informace lze nalézt též v tomto článku.

Podrobný praktický návod najdete v tomto českém screencastu, který vám určitě doporučuji shlédnout.

Jak se to platí a kolik to stojí?

Pokud již používáte komerční účet, platíte podle spotřebovaných zdrojů. Pokud používáte bezplatný zkušební účet, musíte přechod na komerční používání potvrdit (neprovede se automaticky). Platba se provádí z bankovní karty, ke které si z internetu stáhnete příslušnou fakturu za libovolný měsíc jako PDF dokument:

image

Při větších objemech je též možné dohodnout se na platbě fakturou (bez použití bankovní karty).

A teď to nejdůležitější – jak se příslušná částka spočítá.

Základní cena za jedno procesorové jádro a k tomu 1,75 GB paměti (což je virtuální počítač velikosti Small) je 0,12 USD za hodinu. Tato částka se účtuje po hodinách, což je ideální zejména pro testovací scénáře – vytvořím si na 4 hodiny 3 počítače a zaplatím cca 30 Kč. Pro ostatní velikosti virtuálů se jedná o násobky/podíly HW kapacity i ceny – detaily např. v kalkulačce zde.

Výše uvedená částka je zcela rozhodující. Jsou sice účtovány ještě další poplatky, ale ty je třeba brát pouze jako drobné – typicky v součtu tvoří mnohem méně než 10% faktury. Konkrétně to jsou:

Pro kalkulaci je nejjednodušší použít kalkulačku na stránce http://www.windowsazure.com/en-us/pricing/calculator/?scenario=virtual-machines:

image

Jak jsem již řekl, tyto 3 položky činí v typické situaci opravdu drobnosti a není třeba se jimi zabývat. Zajímavé je ovšem vědět, že z těchto cen můžete získat ještě další slevy:

Jak sledovat můj účet?

Velmi jednoduše. Na stránce http://www.windowsazure.com/account najdete všechny svoje účty (ve vašem případě zřejmě jeden účet) a můžete se podívat na jeho aktuální spotřebu:

image

Vidíte zde spotřebu jednotlivých zdrojů, která je rozdělena na dvě sekce. V sekci „Included in your subscription“ je vidět zobrazení aktuální spotřeby zdrojů, které máte k dispozici zdarma, případně ty, které máte předplaceny v rámci vašeho komerčního závazku. V sekci „Pay as you go“ vidíte nadlimitní spotřebu, která se účtuje běžnou sazbou. V případě 90denního bezplatného účtu bude tato sekce samozřejmě vždycky prázdná. Pro každou jednotlivou metriku je možné sledovat její trend v aktuálním účetním měsíci:

image

Pokud chcete sledovat svoji historickou spotřebu anebo například vysvětlit částku, kterou jste měli na faktuře, stačí přejít na záložku „Billing history“ a zde je možnost „Download Usage“:

image

Buďte ovšem připraveni na poměrně obsáhlý CSV dokument, na jehož porozumění je třeba trochu cviku a přemýšlení.

Jaké je SLA?

V případě jakékoliv služby je vždycky důležité SLA, tedy Service Level Agreement. Příslušné dokumenty najdete zde. Protože se jedná o poměrně obsáhlý materiál, přináším vám jeho stručný výtah.

SLA vám zaručuje dostupnost 99.9% (tedy výpadek max. 8,75 hodin/rok). Pokud provozujete více než jeden virtuální počítač pro každou roli (např. farma 2 web serverů a 2 databázové servery s mirroringem dat – tzv. availability set), je SLA dvakrát lepší, tedy 99.95%, neboť například údržbu hostovacích počítačů je možné provádět postupně bez zasažení dostupnosti řešení jako celku.

Důležitá je též definice výpadku. Zjednodušeně lze říct, že je to jakákoliv závada vně vašeho virtuálního počítače, tedy např. hardwarové poruchy (disk, CPU, paměť, síťová karta), problémy datového centra (síťová infrastruktura, napájení), údržba hostitelského počítače (hardware i aktualizace OS), plánované odstávky (oznamovány 6 dní předem, max. 25 minut). Naopak jako výpadek se nepočítá cokoliv se děje „uvnitř“ virtuálu, tedy např. výpadky nebo aktualizace zákaznického (hostovaného) operačního systému.

V případě nedodržení SLA máte nárok na kompenzaci, jehož výše je přesně smluvně dána a odvozuje se od výše vaší měsíční platby. Ovšem do doby, než bude na jaře služba uvedena do produkčního provozu na tuto kompenzaci nárok nemáte výměnou za výše zmíněnou 33% slevu hodinové ceny virtuálního počítače. Neznamená to ovšem, že by šlo o nějaké experimentální prostředí. I v této době se ale k prostředí přistupuje jako k produkčnímu a SLA bylo zatím vždy dodrženo.

Co nabízí Azure dále?

Virtuální počítače a odpovídající síťová infrastruktura jsou určitě daleko nejzajímavějšími službami pro IT profesionála. Pro úplnost uveďme ještě některé další nabízené služby určené spíše vývojářům a dodavatelům software:

Závěrem

Doufám, že vás komfortní možnost rychlého a flexibilního vytváření virtuálních počítačů zaujala a zachováte nám přízeň i v dalších dílech tohoto seriálu. Proto neváhejte se zřízením bezplatného testovacího účtu, abyste si mohli praktické postupy z dalších dílů seriálu vyzkoušet. V této souvislosti bych ještě jednou rád upozornil na pěkné video, které vám celý proces založení účtu a vytvoření prvního virtuálního počítače názorně ukáže.

V příštím díle se podíváme na různé možnosti vytváření virtuálních počítačů, v dalším pak na práci s disky a v dalším … nechte se překvapit Veselý obličej.

Dále bychom vás rádi pozvali na online seminář Vytvořte si virtuál v cloudu!, který se koná 7. února od 10:00 hodin a kde můžete položit všechny otázky, na které jste v tomto seriálu nedostali odpověď. Ti, kteří si vše chtějí vyzkoušet i prakticky, se mohou zaregistrovat na stejnojmenný bezplatný hands-on lab pod vedením zkušeného lektora.

Nejkratší cesta

Nejrychlejší způsob vytvoření se jmenuje „Quick Create“, latiník by to glosoval jako nomen omen. Při tomto způsobu v portálu pro správu zadáváte jenom základní údaje:

image

Stačí zadat jenom nejnutnější údaje:

Pak už stačí počkat jenom cca 10 minut a můžete se k virtuálu připojit pomocí tlačítka Connect, a to prostřednictvím protokolu Remote Desktop (Windows) anebo SSH (Linux) klienta. Celý postup jste mohli vidět též ve videu k úvodnímu dílu seriálu.

O trochu delší cesta

V principu stejná, ale o pár údajů k zadání delší je cesta Create/From Gallery:

image

Jak vidíte, jedná se o 4-stránkového průvodce, který navíc k výše uvedeným údajům umožňuje též zadat následující:

Na výše popsaný způsob se též můžete podívat v doprovodném videu.

Ještě delší cesta

Ještě o něco složitější je vytváření nových počítačů klonováním počítačů existujících. Tedy přesněji řečeno vytváření počítačů je stejně jednoduché, jako jsme viděli dosud, ale musíte vyvinout určitou energii k vytvoření šablony (image) virtuálního počítače. Tento způsob vytváření se hodí zejména tehdy, pokud vytváříte počítače, které mají být identicky nakonfigurovány (např. farmu webových serverů). Při použití klonování nemusíte tyto úkony opakovat pro každý počítač – místo toho je provedete pouze na jednom z nich a tento pak naklonujete.

Není na tom nic složitého a postup se nijak neliší od klonování desktopů – po mnoho let běžné praxe. Stačí spustit uvnitř virtuálního počítače v cloudu nástroj sysprep.exe a provést generalizaci počítače. Po tomto procesu počítač „zapomene“ svoji identitu – jméno, SID, administrátorský účet apod. a je připraven ke klonování. Stačí pak takto připravený a zastavený počítač zaregistrovat jako novou šablonu pomocí operace Capture:

image

Po dokončení celého procesu se nově vytvořená šablona zobrazí na záložce Images:

image

A je možné ji používat při vytváření nových virtuálních počítačů:

image

Celý postup můžete velmi dobře a podrobně vidět v doprovodném videu k tomuto článku.

Nejdelší cesta

Nejdelší cesta je natolik zdlouhavá, že vám ji pro začátek určitě nedoporučuji. Spočívá ve vytvoření virtuálního počítače anebo šablony počítače a její upload do cloudu. A zde je právě zakopaný pes. Například typická domácí linka má rychlost uploadu maximálně 1Mbps, při velikosti virtuálu okolo 20 GB (což je ještě poměrně střídmý odhad), bude celý upload trvat téměř přesně 2 dny, ovšem za předpokladu, že se něco nepokazí.

Pokud vás výše uvedené neodradilo a máte rychlejší linku, celý postup operace je popsaný zde. Je nutné použít poslední verzi PowerShell cmdletů pro Azure (více v pátém díle), konkrétně příkaz Add-AzureVHD. Uploadovaný disk musí mít maximální velikost 127 GB, musí být typu Fixed a mít formát VHD.

Poté, co je celá operace dokončena, musíte uploadovaný VHD soubor zaregistrovat. Pokud jde o instanci virtuálního počítače, použijete Add-AzureDisk, pokud se jedná o šablonu určenou ke klonování, použijete Add-AzureVMImage. Pak již můžete začít vytvářet virtuální počítače, takto vytvořená registrace se při vytváření virtuálu z galerie objeví buď na záložce My Disks (instance virtuálního počítače) anebo My Images (šablona). Po spuštění je navíc z výkonnostních důvodů vhodné přesunout umístění stránkovacího souboru (pagefile) na disk E: typu Temporary Storage (více o discích ve třetím díle).

Nejenom, že je tedy celý postup dost dlouhý, ale má i řadu míst, kde lze udělat chybu. Proto bych ho začátečníkům spíše nedoporučil.

Závěrem

Pokud si celý postup chcete vyzkoušet, určitě se vraťte zpátky k prvnímu dílu a založte si svůj testovací účet (instruktážní video) V příštím díle se podíváme typy disků a práci s nimi. Doufám, že nám zachováte přízeň.

Dále bychom vás rádi pozvali na online seminář Vytvořte si virtuál v cloudu!, který se koná 7. února od 10:00 hodin, a kde můžete položit všechny otázky, na které jste v tomto seriálu nedostali odpověď. Ti, kteří si vše chtějí vyzkoušet i prakticky, se mohou zaregistrovat na stejnojmenný bezplatný hands-on lab pod vedením zkušeného lektora.

virtuály v cloudu – práce s disky

Uložení VHD disků

Kdo používal nějakou virtualizační technologii na svém hardwaru, budou mu níže popsané operace připadat v podstatě triviální. Existují pouze dva technické rozdíly:

  1. Disk není uložen na fyzickém hard disku, ale v úložišti Azure nazývaném Storage Account. Představte si ho jako síťový disk či NAS úložiště, který vám je automaticky vytvořen a přidělen, jenom místo adresy \\server\share\disk.vhd bude mít URL např. http://portalvhds5ckgygrz9qb4q.blob.core.windows.net/vhds/MJUREKTESTSERVER-TESTMACHINE-2012-07-03.vhd

  2. Veškerá správa se neprovádí lokální správcovskou konzolí, ale prostřednictvím portálu dostupného na adrese http://manage.windowsazure.com

Jak už jsem zmínil, VHD soubory jsou uloženy na speciálním úložišti Azure Storage. Zde jsou uloženy ve vámi vybraném datovém centru ve třech replikách. Pokud dojde k hardwarovém selhání, počet replik se automaticky doplní na tři. Tento způsob uložení se nazývá „locally redundant“.

Je možné si zapnout též tzv. „geo redundant“ uložení, při kterém se vytváří ještě další replika v sesterském datovém centru (např. Amsterdam -> London). Zde je třeba upozornit, že toto nastavení o 1/3 navyšuje cenu a dále – neslouží jako prostředek pro vysokou dostupnost napříč lokalitami. Je určeno pro opravdu katastrofické situace typu zemětřesení, kdy dojde ke ztrátě celého datového centra.

Pokud chcete, aby výkon vašeho prostředí byl optimální, věnujte pozornost též tzv. skupinám afinity (Affinity Group). Najdete je na portále pod Networks/Affinity Groups:

image

Tento koncept slouží infrastruktuře datového centra k tomu, aby na nich vytvořené prostředky umisťovala v datovém centru „síťově co nejblíže k sobě“. Jejich používáním můžete pozitivně ovlivnit jejich výkon.

Abyste měli nad vašimi úložišti (Storage Account) kontrolu, je lépe si je zřídit sám a nespoléhat se na automaticky generovaná úložiště nabízená průvodci. Vytvoření se provádí pomocí New/Data Services/Storage/Quick Create:

image

Jak je vidět, zadávají se pouze základní údaje:

Vytvoření je záležitostí několika minut.

Disk vs. Image

Pro začátečníky je někdy matoucí význam záložek Images a Disks, proto si nyní vysvětlíme rozdíl mezi nimi.

Images čili šablony virtuálních počítačů jsou zaregistrované VHD soubory v úložišti s generalizovaným (SYSPREPed) operačním systémem, které se používají pro vytváření nových virtuálních počítačů klonováním příslušné šablony. Dalo by se tedy říci, že jsou při klonování virtuálních počítačů pouze kopírovány, ale jinak se nepoužívají.

Disky jsou rovněž stejným způsobem zaregistrované VHD soubory v úložišti, ale jsou k dispozici pro čtení i zápis ve vašich virtuálních počítačích (viz obrázek):

image

Každý disk, který zde vidíte, může být buď připojený ke konkrétnímu počítači (pak vidíte jeho jméno ve sloupečku Attached To) anebo může být odpojený, což znamená, že pasivně leží v úložišti a čeká na svoji eventuální šanci. Kromě URL příslušného souboru zde lze vidět též typ disku a typ cache – tyto dva atributy si zasluhují zvláštní odstavec.

Pozor na technické požadavky při uploadu (ať už disků nebo šablon). V tuto chvíli je podporován pouze formát VHD, maximální velikost pro disky operačního systému je 127 GB a pro datové disky 1 TB, a musí být typu Fixed.

Zde je ještě zajímavá souvislost s cenou za uložení dat, neboť v úložišti jsou fyzicky uložené pouze neprázdné sektory. Pokud si tedy vytvoříte 100 GB disk a do něj uložíte 5 GB dat, platíte pouze za 5 GB. Nulové stránky nejsou uloženy ani účtovány a nástroje pro upload je ani nepřenášejí. Nemusíte se tedy obávat zakládat disky větší – jejich dodatečné zvětšování v tuto chvíli není žádným jednoduchým způsobem možné.

Typy disků

V úložišti mohou být uloženy dva typy disků.

„OS Disk“ je disk operačního systému. S tímto diskem zpravidla přímo nemanipulujete. Může vzniknout buď uploadem VHD s operačním systémem do úložiště anebo – častěji – vytvořením nového virtuálního počítače ze standardní nebo vámi vytvořené šablony počítače. Jak již název napovídá, jedná se o disk operačního systému.

„Data Disk“ je dodatečný disk připojený k běžícímu operačnímu systému. Může vzniknout opět uploadem anebo si můžete vytvořit a připojit prázdný disk a později ho postupně plnit obsahem. Tyto disky můžete volně připojovat a odpojovat k virtuálním počítačům a to i za běhu těchto počítačů. Disk smí ale být samozřejmě připojen v daný okamžik pouze k jedinému virtuálnímu počítači.

Existuje ještě třetí typ disků, často nazývaný Temporary Storage. Jedná se o další typ disku používaný typicky pro stránkování (page file), ale můžete ho využít i pro svá vlastní dočasná data (můžete o ně kdykoliv přijít!). Tyto disky nemůžete vytvářet, ani s nimi provádět jiné operace, jsou vašim virtuálům k dispozici automaticky. Všechny 3 typy disků vidíte na následujícím obrázku z Windows Exploreru:

image

Na obrázku vidíte tři disky:

Všechny tři typy disků si porovnáme v přehledné tabulce:

 

OS Disk

Data Disk

Temporary Storage

Výchozí cache režim

Čtení+zápis

Bez cache

Není trvale uložen

Podporované cache režimy

Čtení, čtení+zápis

Bez cache, čtení, čtení+zápis

Není trvale uložen

Max. velikost/GB

127

1024

20 (XS), 70 (S), 140 (M), 280 (L), 560 (XL)

Max. počet

1

1 (XS), 2 (S), 4 (M), 8 (L), 16 (XL)

1

Podpora pro Image

Ano

Ne

Ne

Změny bez restartu

Ne

Ano

Nelze nic měnit

Cena

0.070/0.095 USD/GB/měsíc

0.070/0.095 USD/GB/měsíc

Zdarma

Pokud máte zapnutou georeplikaci, platíte vyšší cenu, jinak platíte nižší cenu. Jak jsme ale již uvedli v prvním díle, cena za uložení disku je ve srovnání s cenou za běh virtuálního počítače typicky zcela zanedbatelná.

Nejzajímavějším atributem je cache režim, který popisuje zda a jakým způsobem se používá lokální diskové pole hostitelského počítače pro cachování VHD souboru z úložiště, které si můžete představit jako připojené NAS zařízení. OS Disky mají standardně nastavené cachování pro čtení i zápis, což znamená zlepšení výkonu, ale s rizikem malé ztráty dat při nepravděpodobné, ale možné fatální havárii hostitelského počítače (podobný efekt má například náhlé odpojení běžícího počítače od proudu). Data Disky naopak necachují data vůbec. Má se zato, že data na nich jsou tak důležitá, že jakékoliv riziko ztráty integrity je nepřijatelné. Dobrým příkladem jejich použití jsou například datové soubory SQL serveru, zde jistě nebudete chtít žádnou nekonzistenci v datech připustit. Úroveň cache si můžete v rámci limitů popsaných v tabulce sami měnit podle toho, zda pro daný disk preferujete více výkon anebo konzistenci dat.

Operace s disky

Na portále můžete provádět základní operace s disky. Jsou analogické operacím, které se používají v prostředích HyperV nebo VMWare. Na základní stránce každého počítače vidíme všechny aktuálně připojené disky:

image

Odsud se provádí základní operace s disky. Zde vidíte příklad – provedení operace přidání nového prázdného disku:

image

Dostupné operace jsou:

Další operace lze provádět ze záložky Disks:

image

K dispozici jsou opět 3 operace:

Nejčastěji prováděná operace – tedy vytvoření, připojení, použití a odpojení disku jsou hezky vysvětleny v českém doprovodném instruktážním videu.

Závěrem

Pokud si celý postup chcete vyzkoušet, určitě se vraťte zpátky k prvnímu dílu a založte si svůj testovací účet (instruktážní video). V příštím díle se budeme pokračovat možnostmi síťového nastavení.

Dále bychom vás rádi pozvali na online seminář Vytvořte si virtuál v cloudu!, který se koná 7. února od 10:00 hodin a kde můžete položit všechny otázky, na které jste v tomto seriálu nedostali odpověď. Ti, kteří si vše chtějí vyzkoušet i prakticky, se mohou zaregistrovat na stejnojmenný bezplatný hands-on lab pod vedením zkušeného lektora.

virtuály v cloudu – nastavení sítě

Virtuální síť

Virtuální počítače v cloudu jsou samozřejmě umístěny na virtuální síti. Pokud se o nic nestaráte, je tato síť vytvořena automaticky, používá náhodně přidělený rozsah IP adres. Na obrázku níže vidíte, že můj virtuální počítač získal interní IP adresu 10.77.14.52:

image

Každý zákazník má samozřejmě svoji vlastní virtuální síť, takže vaše počítače jsou odděleny od ostatních zákazníků v cloudu. Pro cokoliv nad úroveň základního zkoušení si zřejmě budete chtít vytvořit vámi kontrolovanou virtuální síť, abyste mohli ovlivnit přidělený rozsah adres a další věci. Její vytvoření není nic složitého, stačí použít možnost New/Virtual Network – pak máte pod kontrolou rozsah IP adres na vaší virtuální síti, nastavení DNS serverů a případně můžete i nastavit propojení této sítě s lokální sítí pomocí IPSec propojení. Při vytváření virtuálních počítačů pak specifikujete, na kterou síť a podsíť je chcete umístit:

image

Některé další detaily si ještě vysvětlíme.

Připojení k Internetu

Přestože to není terminologicky zcela správně, nejnázornější je představit si internetovou konektivitu následovně. Každý virtuální počítač má přidělené NAT (Network Address Translation) zařízení, které překládá požadavky z veřejného prostoru internetových adres na IP adresy na privátní síti. Toto zařízení má pevně dané DNS jméno cokoliv.cloudapp.net, kde „cokoliv“ si můžete vybrat při vytváření virtuálního počítače (první textbox na předchozím obrázku) a dále pevně danou veřejnou IP adresu (tu si volně vybrat nemůžete). Oba údaje můžete vidět na prvním obrázku jako „DNS“ a „Public Virtual IP Address“. Toto zařízení pak pro definované TCP/UDP porty překládá příchozí komunikaci na interní IP síť. Je to tedy velmi podobné jako když máte domácí síť za ADSL routerem a chcete zveřejnit např. web server rozběhnutý na jednom z domácích počítačů na Internet. V Azure se toto zveřejnění provádí na záložce Endpoints:

image

Zde můžete přidávat pravidla pro zveřejňování dalších služeb na Internet – samozřejmě pokud chcete. Po vytvoření virtuálu je zde vždy jedno pravidlo, a to pro vzdálenou plochu. Pro Windows virtuály je to 3389 (RDP), pro Linux virtuály 22 (SSH). Pokud nechcete, aby tato možnost správy byla k dispozici, můžete pravidla odstranit – např. pokud chcete virtuály spravovat přes VPN síť a ne přes veřejný Internet. Jistě není třeba připomínat, že tímto způsobem zpřístupněné porty musí být propustné též na úrovni lokálního firewallu v operačním systému!

Speciálním případem je využití NAT zařízení jako load balanceru, kdy příchozí komunikace na určitý port je rozdělována mezi 2 nebo více virtuálních počítačů. Load balancer je samozřejmě natolik inteligentní, že využívá pouze běžící počítače, které jsou „živé“, tj. odpovídají na příslušném portu. V případě údržby některého počítače jej samozřejmě můžete z load balancingu dočasně odstranit.

Při vytváření druhého a dalšího počítače si můžete v průvodci vybrat, zda bude mít svoji vlastní veřejnou IP adresu a DNS jméno (Standalone Virtual Machine na druhém obrázku) anebo zda je bude sdílet s existujícím virtuálním počítačem. De facto se tedy rozhodujete, zda počítače budou sdílet společné NAT zařízení (v případě load balancingu je to nutnost) anebo zda bude mít každý svoje nezávislé NAT zařízení.

Vše napsané v tomto odstavci se týkalo příchozích spojení z Internetu. Odchozí TCP/UDP spojení nejsou nijak omezena. Pokud je chcete omezit, můžete to udělat firewallem na úrovni operačního systému

IP adresy, jména počítačů, DNS servery

IP adresy virtuálních počítačů jsou tzv. pseudostatické. Formálně jsou jejich síťové karty nastaveny na používání DHCP serveru, ale fakticky má každý počítač svoji rezervovanou IP adresu, která se nikdy nemění. Nepokoušejte se dávat těmto počítačům statické IP adresy – není to podporováno a riskujete ztrátu konektivity s virtuálem. Dokonce i u AD/DNS serverů se nechává použití DHCP serveru, ignorujte varování wizardu při případném vytváření domain controlleru. Při použití automaticky přidělené virtuální sítě nemáte konkrétní IP adresu pod kontrolou. Při použití vlastní virtuální sítě máte volbu IP adresy pod kontrolou, když definujete adresní prostor a jednotlivé podsítě:

image

Při vytváření virtuálního počítače pak můžete specifikovat, na jakou síť a podsíť chcete virtuální počítač umístit:

image

Počítači je pak přidělena IP adresa ze zvolené podsítě. Nemáte ovšem pod kontrolou, která konkrétní adresa to bude, máte ovšem jistotu, že jakmile je jednou přidělena, už se nebude měnit.

Pokud jde o jména počítačů, můžete si jméno zvolit libovolně. Podobně jako na běžné síti, tato jména musí být v rámci virtuální sítě jedinečná. Nemůžete tedy mít na své virtuální síti např. dva počítače se jménem SERVER1. Samozřejmě, dva různí zákazníci mohou mít každý svůj virtuál se jménem SERVER1, neboť jde o dvě různé oddělené sítě. Dodatečná změna jména počítače není podporována.

Pokud jde o DNS servery, máte opět dvě možnosti. První je použít interní servery v Azure infrastruktuře, které umí rozlišit jména počítačů na téže virtuální síti a dále veřejné DNS záznamy v prostoru Internetu. Anebo pokud máte vlastní virtuální síť, můžete při jejím vytváření specifikovat IP adresy libovolných DNS serverů (veřejný na Internetu, privátní v cloudu, privátní na vaší lokální síti apod.), jejich IP adresy specifikujete při vytváření virtuální sítě:

image

Propojení s vaší sítí pomocí VPN

Virtuální síť v cloudu lze plně propojit s vaší lokální sítí pomocí standardního VPN připojení. Cloudová síť se pak chová v podstatě jako připojená vzdálená lokalita vaší firmy s vynikajícím vlastním internetovým připojením. Tím pádem můžete používat jednotný adresář Active Directory, jednotnou DNS infrastrukturu, nástroje pro správu a monitorování apod. Tato možnost je též ideální pro hybridní scénáře, kdy část infrastruktury běží v cloudu (např. extranetový web) a část systému ve vašem lokálním prostředí (např. ERP systém).

Pokud chcete propojení nastavit, potřebujete znát 5 věcí:

Nejprve musíte zadat první a třetí údaj při definici lokální sítě v Azure portálu:

image

Poté na Azure portálu vytvoříte virtuální VPN gateway pomocí operace Create Gateway. Po skončení této operace (trvá řádově 15 minut) zde můžete zjistit poslední 2 údaje – cloudovou veřejnou IP adresu a klíč pro šifrování privátního kanálu (Manage Key):

image

Všech 5 údajů pak využijete pro konfiguraci lokálního VPN zařízení, které musí podporovat IPSec tunnel mode (IKE v1, AES 128/256, SHA1/2). Vytvoření IPSec tunelu je samozřejmě závislé na použitém zařízení, existuje seznam otestovaných a podporovaných zařízení od firem Cisco a Juniper, pro které lze stáhnout přímo konfigurační skripty. V případě úspěšného připojení uvidíte na portále nenulové hodnoty čítačů Data In a Data Out.

Několik otestovaných zařízení od Cisco a Juniper (včetně konfiguračních skriptů)

Závěrem

Pokud si celý postup chcete vyzkoušet, určitě se vraťte zpátky k prvnímu dílu a založte si svůj testovací účet (instruktážní video). Většinu výše zmíněných postupů můžete prakticky vidět v připraveném instruktážním videu na našem videoportálu MSTV.cz. Praktické cvičení na toto téma v angličtině naleznete též zde.

V příštím (posledním) díle se budeme věnovat správě virtuálních počítačů.

Dále bychom vás rádi pozvali na online seminář Vytvořte si virtuál v cloudu!, který se koná 7. února od 10:00 hodin a kde můžete položit všechny otázky, na které jste v tomto seriálu nedostali odpověď. Ti, kteří si vše chtějí vyzkoušet i prakticky, se mohou zaregistrovat na stejnojmenný bezplatný hands-on lab pod vedením zkušeného lektora.

virtuály v cloudu – Správa prostředí

Architektura – API a portál pro správu

Pro pochopení, jak celá správa cloud prostředí funguje, je třeba porozumět její architektuře. Veškeré operace nad vrstvou virtuálního hardwaru, které jsme dosud prováděli (vytváření virtuálů, manipulace s nimi, nastavení sítě, připojování disků apod.) provádí inteligentní cloudová infrastruktura, někdy nazývaná jako tzv. fabric. Operace jsou zpřístupněny přes tzv. Windows Azure Management REST API. Po technické stránce se jedná o HTTPS službu, se kterou si správcovský nástroj vyměňuje XML dokumenty. Přehled veškerých provedených operací. Veškeré prováděné operace jsou auditovány a je možné si je zpětně zobrazit na portále přes Service/Operation Logs:

image

Toto rozhraní pro správu může být voláno různými způsoby:

Nejjednodušší je samozřejmě použít portál pro správu, který je dostupný z libovolného webového prohlížeče na libovolné platformě. Řadu jeho možností jsme si již ukázali, přidejme ještě možnost sledovat základní výkonnostní charakteristiky virtuálního počítače:

image

Anebo možnost jej spustit/zastavit/restartovat, nebo třeba změnit jeho hardwarové parametry (vyžaduje restart). Nyní hádanka pro zvídavé: Proč mezi monitorovanými parametry není spotřeba paměti? Odpověď se dozvíte ke konci článku.

Kdo může spravovat Azure prostředí?

V předchozí části jsme si popsali management rozhraní. Zvídavější čtenáře jistě napadlo: Jak je toto rozhraní zabezpečeno? To je samozřejmě klíčové. Asi nikdo by nebyl nadšený, pokud by mu někdo přes otevřené rozhraní vymazal jeho virtuální počítač.

Nejprve se podívejme na to, kdo smí provádět operace prostřednictvím management portálu. Ve standardním nastavení je to jediný člověk – vlastník Microsoft Account (dříve Live ID), které je vlastníkem příslušného Azure účtu. Tento může pomocí portálu delegovat na další účty roli tzv. co-administrátora, který pak má shodná práva z hlediska správy systému (nemůže ale sledovat nastavení účtu ani delegovat další administrátory):

image

Správce účtu má též jednu další možnost – registrovat certifikáty pro správu:

image

Tyto certifikáty mohou být vydané prakticky kýmkoliv, mohou to být i samopodepsané (self-signed) certifikáty. Stačí pouze uploadovat na toto místo libovolný certifikát bez privátního klíče (soubor s příponou .cer) a od té chvíle může každý, kdo vlastní příslušný certifikát včetně privátního klíče může vzdáleně volat rozhraní pro správu pomocí libovolného nástroje (např. PowerShellu). K certifikátům lze přistoupit dvojím způsobem:

Azure PowerShell

Nástrojů pro správu Azure prostředí je celá řada (mj. pro Linux, MacOS, anebo univerzální JavaScript). Na plaformě Windows však pravděpodobně použijete PowerShell, který lze stáhnout zde.

Dostupných příkazů je celá řada a kopírují prakticky všechny možnosti portálu. Můžete si je vypsat pomocí get-command –module Azure:

image

Pokud nemáte PKI infrastrukturu, je nejjednodušší nechat si příslušné certifikáty vygenerovat pomocí příkazu Get-AzurePublishSettingsFile, který přesměruje váš prohlížeč na stránku, ze které si po přihlášení stáhnete soubor s příponou .publishsettings obsahující vygenerované certifikáty pro všechny vaše subskripce. Tyto certifkáty pak naimportujete do operačního systému pomocí příkazu Import-AzurePublishSettingsFile (zadáte pouze cestu k souboru). Pokud máte více než jednu subskripci, musíte použí příkaz Select-AzureSubscription. Pokud máte vlastní infrastrukturu a nepoužíváte vygenerované certifikáty, použijete Set-AzureSubscription. Od této chvíle je již zajištěna správná autentizace a můžete volně provádět veškeré operace s prostředím, jako v následujícím příkladu:

image

Máte tedy k dispozici zcela standardní možnosti PowerShellu, jaké očekáváte. Celý postup je prakticky ukázán v tomto krátkém videu.

Správa operačního systému

Pokud vás napadlo, že dosavadní nástroje správy jenom klouzají po povrchu a neumožňují opravdovou správu operačního systému, tak máte samozřejmě pravdu. Tyto nástroje slouží pouze ke správě virtualizované hardwarové vrstvy, podobně jako např. Virtual Machine Manager z rodiny System Center. A ještě štěstí, že je tomu tak! Většina zákazníků by asi nebyla úplně nadšená z představy, že si Microsoft uvnitř jejich operačního systému spustil nějakého agenta pro správu, který tam sbírá čert ví co. A protože ve virtuálech žádný takový agent není, znamená to, že virtualizační vrstva nemůže žádným způsobem „vidět dovnitř“ operačního systému a je to též důvod, proč nevidíte na portále množství volné paměti daného virtuálu (a odpověď na výše položenou hádanku).

Pokud chcete mít detailní informace o operačním systému, jeho výkonnostních charakteristikách apod., nainstalujte si do něj sami nějakého agenta pro správu a z něj si tyto informace sbírejte. Microsoft pro tyto účely nabízí System Center Operations Manager. Stejně tak můžete použít další běžné nástroje pro správu, jako například Active Directory nebo skupinové politiky. A pokud použijete propojení s lokální sítí pomocí VPN tak, jak jsme si popsali v minulém díle, bude tato správa k nerozeznání od správy lokálního počítače na vaší síti.

Závěrem

Pokud si celý chcete popsané postupy vyzkoušet, určitě se vraťte zpátky k prvnímu dílu a založte si svůj testovací účet (instruktážní video). Většinu výše zmíněných postupů z tohoto článku můžete prakticky vidět v připraveném instruktážním videu na našem videoportále.

Dále bychom vás rádi pozvali na online seminář Vytvořte si virtuál v cloudu!, který se koná 7. února od 10:00 hodin a kde můžete položit všechny otázky, na které jste v tomto seriálu nedostali odpověď. Ti, kteří si vše chtějí vyzkoušet i prakticky, se mohou zaregistrovat na stejnojmenný bezplatný hands-on lab pod vedením zkušeného lektora.