Windows Azure Pack - Private Cloud and Self-Service Portal - for Cloud OS Tech Day 2014 in Japan

1. Cloud OS Tech Day 2014
2014/06/14
System Center User Group Japan
後藤 諭史（Satoshi GOTO）

2.  後藤 諭史（ Satoshi GOTO ）
 某 ISP 所属。
 仮想化製品が主な専門分野です。
◦ の、はずなんですが、最近は Azure やらなんやら……。
 Microsoft MVP - System Center Cloud and Datacenter Management
（Jul.2012 - Jun.2014）
 TwitterとBlogはこちら
◦ Twitter：@wind06106／Blog：Tech Notes（http://www.dob1.info ：ドタバタしてて更新サボってます）
2

3.  セッションの目的
◦ Windows Azure Pack において、あまり語られることのない 3 つの機能に
スポットを当て、機能概要や導入方法をご理解いただく。
 セッションのゴール
◦ プライベートクラウド管理に欠かせない 3 つの機能を利用することが
できる。
◦ 週明け、皆様が自社でドヤ顔（以下略
3

4. 本セッション資料ですが、個人で準備した環境において、個人的に実施した検証／結果を基に記載しています。
あくまで個人の意見／見解であり、所属する会社／組織及びマイクロソフト社とは『まったく／なにも／全
然』関係がございません。
所属する会社／組織／マイクロソフト社の正式な回答／見解ではない事に留意してください。
また、本資料を閲覧した事により問題が生じた場合、または問題が発生しかけた場合、または生じた一切の不
利益について、発表者は一切の責任を負う事はできませんのでご了承ください。
4

5. 5

6. 6
 プライベートクラウドで、 Microsoft Azure と同じインターフェースのセルフサービス
ポータル、同様のサービスを実装可能な拡張コンポーネント群
 WAP にて実装されているインターフェース、サービスは以下の通り
◦ Web サイト（ PaaS ）
◦ 仮想マシン （ IaaS ）
◦ Service Bus
◦ SQL Server と MySQL
◦ オートメーション
◦ 管理者用ポータルとテナント用セルフサービスポータル
◦ 管理用REST ベース API
 使用する機能により、必要なコンポーネント（ OS 等）が異なります。最小構成では
Windows Server 2012 のみで実装可能
 IaaS として使用する場合には、 System Center 2012 （ VMM ＋ SPF ）が必要

7. 7
 以下の資料を参照してください
 手元で動かす疑似 Azure ～ Windows Azure Services for Windows Server ～
http://download.microsoft.com/download/1/8/6/186060D3-E1C5-407E-8BE2-
E5E14A2136BA/TF_WASWS_kozuka.pdf
（ Windows Azure Services for Windows Server ベースの資料ですが非常に有用です）
 App controller と windows azure pack で作る大規模プライベートクラウド
http://www.slideshare.net/anikundesu/app-controllerwindows-azure-pack
http://www.ustream.tv/recorded/45152294
（ MVP Community Camp 2014 の資料です）
 Windows Azure パック ステップ バイ ステップ評価ガイド
http://download.microsoft.com/download/0/7/B/07BE7A3C-07B9-4173-B251-
6865ADA98E5D/WAP_EvalGuide_v1.0.docx

8. 8
 以下の資料を参照してください
 Windows Azure Pack 勉強会 ～ Windows Azure の勢いを自社内で展開するには～
http://download.microsoft.com/download/6/6/D/66DF1C86-2202-4392-A38B-
3664398ED390/20140228_TF_AzurePack.pptx
（ Tech Fielders セミナーの資料です）

9. 9

10. 10
 Microsoft Azure 用 PowerShell に同梱（インストールは WebPI で）
 使用可能 Cmdlet は 45（Alias 31 、 Cmdlet 14）（ Windows Azure PowerShell 0.8.3 ）
 Microsoft Azure と同じ感覚で、 WAP の操作が可能

11. 11
 WAP をインストールすると、自己署名証明書が作成され、 https 通信に使用されます
 WAP の各種管理機能へのアクセスは、全て https により行われます
 PowerShell を受け付けるサイト（ TenantAPI ）も自己署名証明書による https 通信を行
うことになりますが、その状態で PowerShell を叩くと、以下のようなエラーが発生
 Workaround は、 ADCS 等のエンタープライズ CA による証明書を発行し、 Tenant API
サイトの https 通信用に設定します

12. 12
 証明書の差し替えを行うサイトは『 MgmtSvc-TenantPublicAPI 』
 ADCSの標準テンプレートである 『 WebServer 』をベースに、アクセス権等を付与（カ
スタマイズ）したテンプレートから作成した証明書が使用可能です

13. 13
 PowerShell で WAP の管理を行う場合、Microsoft Azureを管理する場合と同様、サブスク
リプション（プラン）情報や管理証明書を設定する必要があります
 Microsoft Azure の場合は 『 Add-AzureAccount 』で設定可能ですが、 WAP の場合はそれ
らが記載された発行設定ファイル（ PublishSettingsFile ）を取得し、インポートする必要
があります
 『 Get-WAPackPublishSettingsFile 』 Cmdlet が実装されていますが、この Cmdlet で発
行設定ファイルを取得するためには、あらかじめ 『 Add-WAPackEnvironment 』 Cmdlet
を使用して、 PublishSettingsFileUrl の設定が必要です
 ブラウザで、直接 PublishSettingsFileUrl で設定されるサイトに接続することにより、発
行設定ファイルが取得可能です

14.  テナントポータルの『 /publishsettings 』へアクセス
 テナントポータルへのサインイン処理ののち、 PublishSettingsFile が発行される
 ダウンロードしたファイルには、管理証明書が含まれているので取り扱いには注意が必要
14

15. 15
 WAP 用 PowerShell Cmdlet 『 Import-WAPackPublishSettingsFile 』を実行して、取得し
た PublishSettingsFile をインポート
 以上で、 PowerShell によるWAPの管理が可能に

16. 16

17. 17
 対応クライアントは Remote Desktop Protocol 8.1 以降（ Windows7 SP1 は要 KB2830477 ）
 RDGateway には 『Microsoft System Center Virtual Machine Manager コンソール接続ゲート
ウェイ』の導入が必要
 導入モジュールは SC2012 VMM ISO の『 ¥amd64¥Setup¥msi¥RDGatewayFedAuth 』に格納
されています
Hyper-V ホストRDGatewayFirewall
https(443/tcp) vmconnect(2179/tcp)
Client

18. 18
 RDP 接続の認証は、証明書にて実施されます

19. 19
 導入は 3 ステップ
• VMM 管理サーバーへの証明書の導入
• Hyper-V ホストへの証明書の配布と設定
• RDGateway の実装
 導入の手順は、以下サイトを参照のこと
Remote Console in System Center 2012 R2
http://technet.microsoft.com/en-us/library/dn469415.aspx

20. 20
 秘密鍵を含む証明書を VMM 管理サーバーに導入
 証明書の要件は以下の4つ
• 有効期限が切れていない事
• キー使用法に『Digital Signature』が含まれている事
• 拡張キー使用法に『クライアント認証（1.3.6.1.5.5.7.3.2）』が含まれている事
• 暗号化サービスプロバイダーが『 Microsoft Enhanced RSA and AES Cryptographic Provider 』である事
 自己署名証明書を使用する場合には、『 makecert.exe 』で以下例を参考に作成
• 『 -e 』には証明書の有効期限、『 <CertificateName> 』には作成する証明書のファイル名を指定
• 上記例では、 秘密鍵を含む証明書がユーザーアカウントの個人に格納されるので、秘密鍵込みでエ
クスポートを実施
makecert -n "CN=Remote Console Connect" -r -pe -a sha256 -e <mm/dd/yyyy> -len 2048 -sky signature
-eku 1.3.6.1.5.5.7.3.2 -ss My -sy 24 "<CertificateName>.cer"

21. 21
 ADCS の場合、証明書テンプレートを作成の上、証明書を発行
 コンピューター証明書テンプレートをコピーして、以下の項目を変更
• 要求処理 → 用途 ：署名
• 暗号化 → プロバイダー ： Microsoft Enhanced RSA and AES Cryptographic Provider
• 拡張機能 → アプリケーションポリシー：クライアント証明

22. 22
 自己署名証明書の場合、 Hyper-V ホスト、 RDGateway の『信頼できるルート証明機関』に
自己署名証明書 (.cer) を手動にてストアする必要があります
 Hyper-V ホスト、 RDGateway と同一のセグメントにあるクライアントからコンソール接続を
行うと、 RDGateway を経由せずに、直接 Hyper-V ホストへ接続してしまう場合があります
• 原因 ：ローカルセグメントのため、 RDGateway を経由せずに、直接 Hyper-V ホストに
接続を試行してしまう。
• Workaround ：別セグメントから接続を行う。

23. 23
 RDGateway 設定後、AuthenticationPlugin と AuthorizationPlugin のプロパティーが、正しく
設定されていない場合があります（条件不明）
• 『 -e 』には証明書の有効期限、『 <CertificateName> 』には作成する証明書のファイル名を指定
• 上記例では、 秘密鍵を含む証明書がユーザーアカウントの個人に格納されるので、秘密鍵込みでエ
クスポートを実施
makecert -n "CN=Remote Console Connect" -r -pe -a sha256 -e <mm/dd/yyyy> -len 2048 -sky signature
-eku 1.3.6.1.5.5.7.3.2 -ss My -sy 24 "<CertificateName>.cer"
要修正例
正しい例

24. 24
 この設定は、 RDGateway の認証プラグインの設定であるため、プラグインが有効化されて
いないと証明書による認証ができません
 プロパティーが正しく設定されなかった場合、以下の PowerShell Cmdlet を使用して、手動
にて設定します
 PowerShell Cmdlet 実行後は、RDGateway サービスの再起動が必要です
$g = Get-WmiObject -Namespace root¥CIMV2¥TerminalServices -Class Win32_TSGatewayServerSettings
$g.SetAuthenticationPlugin("FedAuthAuthenticationPlugin")
$g.SetAuthorizationPlugin("FedAuthAuthorizationPlugin")
$g.RecycleRpcApplicationPools()

25. 25

26. 26
 プライベートクラウドといえども、コスト配分は必要です
 そのためには『正しい使用時間』の把握と、『現在の使用コスト』の公開が必須です
 『正しい使用時間』の把握に必要な機能が、使用状況管理機能です
 IaaSにおいて、この機能は System Center 2012 R2 VMM と SPF 、 Operations Manager
の連携によって実現されます
 取得した使用状況に応じたコスト配分、使用状況の公開は、 System Center 2012 R2の標
準機能や、3rd party製品によって実装されています

27. 27
 VMM とOM の連携により、仮想マシンの使用状況 (CPU, Memory, Storage, Network) が
OM DWH に蓄積されていきます
 WAP の Usage Service が SPF を通じて OM DWH から使用状況データを取得、テナント
単位でデータを分類
 WAP Usage Service からレポート作成ツールがデータを取得し、内部加工ののちユー
ザーに公開
 詳細な解説や、使用状況データの流れは以下の Blog を参照のこと
How to Integrate Your Billing System with the Usage Metering System
http://blogs.technet.com/b/systemcenter/archive/2013/08/01/how-to-integrate-your-billing-system-with-
the-usage-metering-system.aspx
VMM
Operations
Manager
SPF
WAP
Usage
Service
Reporting

28. 28

29. 29
 System Center 2012 R2 Orchestrator に同梱されている Service Reporting を使用すると、
Excel や SharePoint 経由でエンドユーザーに使用状況データを提供可能

30. 30
 3rd party製品である『 Cloud Cruiser Express 』と Cloud Cruiser 用 WAP 機能拡張を組み
合わせることで、 WAP のTenant Portal でエンドユーザーに使用状況データを提供可能
 機能拡張の導入は WebPI から
 Cloud Cruiserの機能として、リソースにコスト設定を行って、課金情報をエンドユーザー
に提供することも可能

31. 31
 米 Cloud Cruiser 社が提供する課金管理ソフトウェア
 Express 版は WAP での使用状況管理、課金管理に機能限定されていますが、無償で利用
可能
 WAP の Admin Portal のリンクからソフトウェアを入手して導入

32. 32
 導入の基本的流れは以下のとおり
• SCVMM と SCOM の 連携設定 ※
• SPF とWAP の導入
• SPF から SCOM DWH へのアクセス設定
• レポーティング機能（ Service Reporting ／ Cloud Cruiser 等）の導入
 導入の手順は、以下サイトを参照のこと
IaaS Usage and Service Reporting using System Center 2012 R2 and Windows Azure Pack
http://blogs.technet.com/b/privatecloud/archive/2013/08/27/iaas-usage-and-service-reporting-using-system-
center-2012-r2-and-windows-azure-pack.aspx
※ SCVMM には Update Rollup2の適用が必要になります。
http://support.microsoft.com/kb/2932926

33. 33
 SPF に SCOM 連携設定を行う際、前述の Blog に記述されている PowerShell Cmdlet ではう
まくいかない場合があります
• 手元の環境ではうまくいきませんでした……
 以下の PowerShell Cmdlet を使用する事でクリアできました
• 『 New-SCSPFSetting 』の ヘルプに記載されたコマンド使用例（ 1: Create a setting ）と同じものです
• New-SCSPFSetting Help
http://technet.microsoft.com/en-us/library/dn472931%28v=sc.20%29.aspx
Import-module spfadmin
$OMDWSqlServer = "scom01.contoso.com"
$OMServer = "scom01.contoso.com"
$stamp = Get-SCSPFStamp;
$server = New-SCSPFServer -Name $OMServer -ServerType OMDW -Stamps $stamp[0];
$setting = New-SCSPFSetting -Name $OMDWSqlServer -Value
"Server=SCOM01¥SYSTEMCENTER;Database=OperationsManagerDW;Trusted_Connection=True;Connect
Timeout=300" -SettingType DatabaseConnectionString -Server $server

34. 34

35. 35
 WAP を利用したプライベートクラウドは、 Microsoft Azure にはない便利機能がいろいろ
あります
 WAP 自体、 Windows Server と System Center 2012 が展開されている環境であれば、無
償で利用可能です。また、本日紹介させていただいた機能は、すべて追加費用不要で利用
可能です
 『 Microsoft Azure のテクノロジで作るプライベートクラウド』を、是非お試しください

36. 36
 Windows Azure Pack - Reconfigure portal names, ports and use trusted certificates
http://blogs.technet.com/b/privatecloud/archive/2013/12/10/windows-azure-pack-
reconfigure-portal-names-ports-and-use-trusted-certificates.aspx
 Sample Billing Adapter Code for Windows Azure Pack
http://blogs.technet.com/b/privatecloud/archive/2013/12/11/sample-billing-adapter-code-
for-windows-azure-pack.aspx
 Building Clouds
http://blogs.technet.com/b/privatecloud/

37. 37