Arquiteturas para soluções microsoft na nuvem da aws

Arquiteturas para Soluções

Microsoft na nuvem da AWS

Michel Pereira

Enterprise Solutions Architecture

Agenda• Arquiteturas Windows na AWS

• Segurança e administração remota

• Active Directory

• Microsoft SQL Server 2014 Enterprise

• Microsoft SharePoint 2013 Enterprise

Arquiteturas Windows na AWS

• Coloque servidores de aplicação em

subnets privadas para evitar acesso direto

através da internet.

• Use subnets pública para bastion hosts,

proxy reversos e outros servidores que

recebam conexões da internet.

• Coloque soluções críticas no mínimo em duas Zonas de

Disponibilidades para ter alta disponibilidade

Considerações na arquitetura

• Virtual Private Cloud

(Amazon VPC)

• Use o príncipio de menos

privilégio

• Security groups &

Network ACLs

• Administração remota

Zona de Disponibilidade

Subnet PrivadaSubnet pública

NAT

10.0.0.0/24 10.0.2.0/24

DCDBAPPWEB

Domain

Controller

SQL

ServerApp

Server

IIS

ServerRDGW


Subnet PrivadaSubnet Pública

NAT

10.0.0.0/24 10.0.2.0/24

DCDBAPPWEB

Domain

Controller

SQL

ServerApp

Server

IIS

ServerRDGW

Remoto

Usuários / Admins

Arquitetura

Windows

na AWS

Arquiteturapadrãopara

serviçosweb

Security Groups


Web Security Group SQL Security Group


Aceita TCP Port 80

da Internet

Aceita TCP Port

1433 do SG Web

Usuário

WEB SQLTCP 80 TCP 1433

10.0.0.0/24 10.0.1.0/24

Administração remota

• Os clientes podem usar o Remote Desktop

Protocol (RDP) através de HTTPs para se

conectar através de uma conexão segura e

criptografada.

• Bastion hosts podem ter acesso ao Windows

PowerShell Web Access para tarefas na linha de

comando.

Colocar um bastion host em cada Zona de Disponibilidade provê alta

disponibilidade e acesso remoto seguro através da Internet

Arquitetura para administração remota


Gateway Security Group Web Security Group


Aceita TCP 443 do

IP de Admin

Aceita TCP 3389 do SG

Gateway

AWS Administrator

Datacenter corporativo

WEB2

TCP 443

Requer uma coneão:

• Conecta-se ao RD Gateway, depois o gateway faz o proxy

da conexão RDP para a instância do back-end.

WEB1RDGW

Administração remota com Alta Disponibilidade

• Remote Desktop Gateway

– Requer balanceamento de carga

– Os membros tem que ter politicas identicas

– Tem que estar no mesmo domínio

• Amazon Route 53 Health Checks e DNS Failover

– Failover ativo-ativo

– Failover ativo-passivo

Soluções Microsoft na Amazon VPC

• DHCP na Amazon VPC, não precisa

instalar o seu servidor DHCP

• Instâncias no domínio devem usar o

seu servidor DNS

• Pode configurar opções no DHCP

para informar o seu próprio servidor

DNS

Conectividade ao seu Datacenter corporativo através de VPN

ou Direct Connect



• Seu servidor DNS pode encaminhar

as queries para o DNS da AWS,

muito útil para resolver recursos na

AWS como: nomes internos do

Elastic Load Balancing, etc.

• Precisa de resolução de DNS na

Amazon VPC (ligado por padrão)

AWS Directory Service

• Simple AD Serviço de diretório que tem o Samba 4 Active

Directory Compatible Server como motor

Suporte a contas de usuários, grupos, adição

automática ao domínio para instâncias no

Amazon EC2 e mais

• AD Connector Faz o proxy dos pedidos para o ambiente dentro da sua empresa

Usuários podem acessar recursos da AWS e aplicações com as

credenciais da sua empresa

Arquitetura para o AD

Gerenciando o seu próprio Active Directory

• Endereçamento IP e DNS

• Global catalog

• Controladores de domínios para

leitura e escrita

Zona de Disponibilidade 1 / AD Site 1


10.0.0.0/24 10.0.2.0/24

DC1

Controlador

de DomínioExchange 2013

CAS+MBX

Zona de Disponibilidade 2 / AD Site 2


10.0.1.0/24 10.0.3.0/24

DC2EXCH2

Controlador

de DomínioExchange 2013

CAS+MBX

Remote

Mail Server

Multi-site Active

Directory

architectureEDGE1

Exchange

2013 Edge

EDGE2

Exchange

2013 Edge

EXCH1

Exchange Server 2013 na AWS

Configurações híbridas do AD• Conectividade por VPN ou Direct Connect

• Security groups permitem tráfego para datacenters dentro da sua empresa

• Configure os AD sites e as subnets

• Configure os ’custos’ do site-link

• Ative a política "Try Next Closest Site“no domínio


Subnet Privada

DC3

Rede Corporativa

São Paulo

DC1

VPN

Floresta do AD na AWS e no seu datacenter

Rio de Janeiro

DC2


Subnet Privada

DC3

Rede Corporativa

São Paulo

DC1

VPN


Rio de Janeiro

DC2

X

DC1 fica for a do ar, em qual AD os clientes de

São Paulo vão conectar?


Subnet Privada

DC3

Rede Corporativa

São Paulo / AD Site 1

DC1

VPN


Rio de Janeiro / AD Site 2

DC2

AD Site 3

Custo 50

Topologia implementada corretamente e a política “Try

Next Closest Site”ativada. Os clientes usarão o caminho

com melhor custo para se conectar

Alta disponibilidade com SQL Server

• Amazon RDS com Multi-AZ

– Gerenciado pela AWS

– Sem interveção administrativa

– Utiliza o mirror do SQL

• SQL Server Enterprise 2012/2014

– Gerenciado por você

– HA usando WSFC e AlwaysOn AvailabilityGroups

Alta disponibilidade com SQL Server

Zona de Disponibilidade 1

Subnet Privada

Primary

Replica


Subnet Privada

Secondary

Replica

Synchronous-commit Synchronous-commit

Primary: 10.0.2.100

WSFC: 10.0.2.101

AG Listener: 10.0.2.102

Primary: 10.0.3.100

WSFC: 10.0.3.101

AG Listener: 10.0.3.102

AG Listener:

ag.awslabs.net

Failover automático

WSFC Quorum


Subnet Privada

Primary

Replica


Subnet Privada

Secondary

Replica


Automatic Failover

Witness

Server

WSFC Quorum


Primary

Replica


Secondary

Replica

Automatic Failover

Witness

Server


Alta disponibilidade no SQL Server HA com réplica de leitura


Subnet Privada

Primary

Replica


Subnet Privada

Secondary

Replica 1


AG Listener:

ag.awslabs.net

Automatic Failover

Asynchronous-commit

Secondary

Replica 2

(Readable)

Reporting

Application

Recuperação de desastres no SQL Server e Backup


Subnet Privada

Primary

Replica


Secondary

Replica 1

Subnet Privada

AG Listener:

ag.awslabs.net

Corporate Network

VPN

Automatic Failover

Secondary

Replica 2

(Readable)

Reporting

Application

Backups

Manual Failover

Alta disponibilidade com SharePoint 2013

• A alta disponibilidade na camada Web é feita através de balanceamentode carga

• O balanceamento na camada de aplicação é nativa do SharePoint

• A alta disponibilidade na camada de bancode dados é feita através do SQL AlwaysOn

• Instale o SharePoint usando o SQL Client Alias

• Atualize o ‘alias’ depois de colocar o bancode dados em alta disponibilidade e apontarpara um Availability Group Listener FQDN

Subnet Privada

Subnet Privada

10.0.2.0/24



Subnet Pública

NAT

10.0.0.0/24

DCDB

PrimaryAPPWEB

Domain

ControllerApp

Server

Web

Front-EndRDGW

Subnet Pública

NAT

10.0.0.0/24 10.0.2.0/24

DCDB

SecondaryAPPWEB

Domain

ControllerApp

Server

Web

Front-EndRDGW

Usuários

Site em

SharePoint

com acesso

via Internet

Availability

Group

SQL

Server

SQL

Server

Suporte ao CloudWatch Logs usando Windows no

Amazon EC2

Tipos de Logs:

• Event Logs

• IIS Logs

• Qualquer evento do

Windows(ETW)

• Qualquer dados do contador de

performance

• Qualquer log baseado em texto

Os clientes podem monitorar facilmente atividades na

instância em tempo real e criar alarmes nesses eventos

To learn more: http://amzn.to/1qVKKkI

Mais informações

• Active Directory

• SQL Server 2014 AlwaysOn

• SharePoint 2013 Enterprise

• PowerShell DSC

• Exchange Server 2013

aws.amazon.com/quickstart

Obrigado!

Software

Arquiteturas para soluções microsoft na nuvem da aws