Post on 25-Jul-2015
Arquiteturas para Soluções
Microsoft na nuvem da AWS
Michel Pereira
Enterprise Solutions Architecture
Agenda• Arquiteturas Windows na AWS
• Segurança e administração remota
• Active Directory
• Microsoft SQL Server 2014 Enterprise
• Microsoft SharePoint 2013 Enterprise
Arquiteturas Windows na AWS
• Coloque servidores de aplicação em
subnets privadas para evitar acesso direto
através da internet.
• Use subnets pública para bastion hosts,
proxy reversos e outros servidores que
recebam conexões da internet.
• Coloque soluções críticas no mínimo em duas Zonas de
Disponibilidades para ter alta disponibilidade
Considerações na arquitetura
• Virtual Private Cloud
(Amazon VPC)
• Use o príncipio de menos
privilégio
• Security groups &
Network ACLs
• Administração remota
Zona de Disponibilidade
Subnet PrivadaSubnet pública
NAT
10.0.0.0/24 10.0.2.0/24
DCDBAPPWEB
Domain
Controller
SQL
ServerApp
Server
IIS
ServerRDGW
Zona de Disponibilidade
Subnet PrivadaSubnet Pública
NAT
10.0.0.0/24 10.0.2.0/24
DCDBAPPWEB
Domain
Controller
SQL
ServerApp
Server
IIS
ServerRDGW
Remoto
Usuários / Admins
Arquitetura
Windows
na AWS
Arquiteturapadrãopara
serviçosweb
Security Groups
Zona de Disponibilidade
Web Security Group SQL Security Group
Subnet PrivadaSubnet Pública
Aceita TCP Port 80
da Internet
Aceita TCP Port
1433 do SG Web
Usuário
WEB SQLTCP 80 TCP 1433
10.0.0.0/24 10.0.1.0/24
Administração remota
• Os clientes podem usar o Remote Desktop
Protocol (RDP) através de HTTPs para se
conectar através de uma conexão segura e
criptografada.
• Bastion hosts podem ter acesso ao Windows
PowerShell Web Access para tarefas na linha de
comando.
Colocar um bastion host em cada Zona de Disponibilidade provê alta
disponibilidade e acesso remoto seguro através da Internet
Arquitetura para administração remota
Zona de Disponibilidade
Gateway Security Group Web Security Group
Subnet PrivadaSubnet Pública
Aceita TCP 443 do
IP de Admin
Aceita TCP 3389 do SG
Gateway
AWS Administrator
Datacenter corporativo
WEB2
TCP 443
Requer uma coneão:
• Conecta-se ao RD Gateway, depois o gateway faz o proxy
da conexão RDP para a instância do back-end.
WEB1RDGW
Administração remota com Alta Disponibilidade
• Remote Desktop Gateway
– Requer balanceamento de carga
– Os membros tem que ter politicas identicas
– Tem que estar no mesmo domínio
• Amazon Route 53 Health Checks e DNS Failover
– Failover ativo-ativo
– Failover ativo-passivo
Soluções Microsoft na Amazon VPC
• DHCP na Amazon VPC, não precisa
instalar o seu servidor DHCP
• Instâncias no domínio devem usar o
seu servidor DNS
• Pode configurar opções no DHCP
para informar o seu próprio servidor
DNS
Conectividade ao seu Datacenter corporativo através de VPN
ou Direct Connect
Soluções Microsoft na Amazon VPC
Soluções Microsoft na Amazon VPC
• Seu servidor DNS pode encaminhar
as queries para o DNS da AWS,
muito útil para resolver recursos na
AWS como: nomes internos do
Elastic Load Balancing, etc.
• Precisa de resolução de DNS na
Amazon VPC (ligado por padrão)
AWS Directory Service
• Simple AD Serviço de diretório que tem o Samba 4 Active
Directory Compatible Server como motor
Suporte a contas de usuários, grupos, adição
automática ao domínio para instâncias no
Amazon EC2 e mais
• AD Connector Faz o proxy dos pedidos para o ambiente dentro da sua empresa
Usuários podem acessar recursos da AWS e aplicações com as
credenciais da sua empresa
Arquitetura para o AD
Gerenciando o seu próprio Active Directory
• Endereçamento IP e DNS
• Global catalog
• Controladores de domínios para
leitura e escrita
Zona de Disponibilidade 1 / AD Site 1
Subnet PrivadaSubnet Pública
10.0.0.0/24 10.0.2.0/24
DC1
Controlador
de DomínioExchange 2013
CAS+MBX
Zona de Disponibilidade 2 / AD Site 2
Subnet PrivadaSubnet Pública
10.0.1.0/24 10.0.3.0/24
DC2EXCH2
Controlador
de DomínioExchange 2013
CAS+MBX
Remote
Mail Server
Multi-site Active
Directory
architectureEDGE1
Exchange
2013 Edge
EDGE2
Exchange
2013 Edge
EXCH1
Exchange Server 2013 na AWS
Configurações híbridas do AD• Conectividade por VPN ou Direct Connect
• Security groups permitem tráfego para datacenters dentro da sua empresa
• Configure os AD sites e as subnets
• Configure os ’custos’ do site-link
• Ative a política "Try Next Closest Site“no domínio
Zona de Disponibilidade
Subnet Privada
DC3
Rede Corporativa
São Paulo
DC1
VPN
Floresta do AD na AWS e no seu datacenter
Rio de Janeiro
DC2
Zona de Disponibilidade
Subnet Privada
DC3
Rede Corporativa
São Paulo
DC1
VPN
Floresta do AD na AWS e no seu datacenter
Rio de Janeiro
DC2
X
DC1 fica for a do ar, em qual AD os clientes de
São Paulo vão conectar?
Zona de Disponibilidade
Subnet Privada
DC3
Rede Corporativa
São Paulo / AD Site 1
DC1
VPN
Floresta do AD na AWS e no seu datacenter
Rio de Janeiro / AD Site 2
DC2
AD Site 3
Custo 50
Topologia implementada corretamente e a política “Try
Next Closest Site”ativada. Os clientes usarão o caminho
com melhor custo para se conectar
Alta disponibilidade com SQL Server
• Amazon RDS com Multi-AZ
– Gerenciado pela AWS
– Sem interveção administrativa
– Utiliza o mirror do SQL
• SQL Server Enterprise 2012/2014
– Gerenciado por você
– HA usando WSFC e AlwaysOn AvailabilityGroups
Alta disponibilidade com SQL Server
Zona de Disponibilidade 1
Subnet Privada
Primary
Replica
Zona de Disponibilidade 2
Subnet Privada
Secondary
Replica
Synchronous-commit Synchronous-commit
Primary: 10.0.2.100
WSFC: 10.0.2.101
AG Listener: 10.0.2.102
Primary: 10.0.3.100
WSFC: 10.0.3.101
AG Listener: 10.0.3.102
AG Listener:
ag.awslabs.net
Failover automático
WSFC Quorum
Zona de Disponibilidade 1
Subnet Privada
Primary
Replica
Zona de Disponibilidade 2
Subnet Privada
Secondary
Replica
Synchronous-commit Synchronous-commit
Automatic Failover
Witness
Server
WSFC Quorum
Zona de Disponibilidade 1
Primary
Replica
Zona de Disponibilidade 2
Secondary
Replica
Automatic Failover
Witness
Server
Zona de Disponibilidade 3
Alta disponibilidade no SQL Server HA com réplica de leitura
Zona de Disponibilidade 1
Subnet Privada
Primary
Replica
Zona de Disponibilidade 2
Subnet Privada
Secondary
Replica 1
Synchronous-commit Synchronous-commit
AG Listener:
ag.awslabs.net
Automatic Failover
Asynchronous-commit
Secondary
Replica 2
(Readable)
Reporting
Application
Recuperação de desastres no SQL Server e Backup
Zona de Disponibilidade 1
Subnet Privada
Primary
Replica
Zona de Disponibilidade 2
Secondary
Replica 1
Subnet Privada
AG Listener:
ag.awslabs.net
Corporate Network
VPN
Automatic Failover
Secondary
Replica 2
(Readable)
Reporting
Application
Backups
Manual Failover
Alta disponibilidade com SharePoint 2013
• A alta disponibilidade na camada Web é feita através de balanceamentode carga
• O balanceamento na camada de aplicação é nativa do SharePoint
• A alta disponibilidade na camada de bancode dados é feita através do SQL AlwaysOn
• Instale o SharePoint usando o SQL Client Alias
• Atualize o ‘alias’ depois de colocar o bancode dados em alta disponibilidade e apontarpara um Availability Group Listener FQDN
Subnet Privada
Subnet Privada
10.0.2.0/24
Zona de Disponibilidade
Zona de Disponibilidade
Subnet Pública
NAT
10.0.0.0/24
DCDB
PrimaryAPPWEB
Domain
ControllerApp
Server
Web
Front-EndRDGW
Subnet Pública
NAT
10.0.0.0/24 10.0.2.0/24
DCDB
SecondaryAPPWEB
Domain
ControllerApp
Server
Web
Front-EndRDGW
Usuários
Site em
SharePoint
com acesso
via Internet
Availability
Group
SQL
Server
SQL
Server
Suporte ao CloudWatch Logs usando Windows no
Amazon EC2
Tipos de Logs:
• Event Logs
• IIS Logs
• Qualquer evento do
Windows(ETW)
• Qualquer dados do contador de
performance
• Qualquer log baseado em texto
Os clientes podem monitorar facilmente atividades na
instância em tempo real e criar alarmes nesses eventos
To learn more: http://amzn.to/1qVKKkI
Mais informações
• Active Directory
• SQL Server 2014 AlwaysOn
• SharePoint 2013 Enterprise
• PowerShell DSC
• Exchange Server 2013
aws.amazon.com/quickstart
Obrigado!